CH_EDÖB_002

Zitiert

BGE 142 III 263, BGE 138 II 346, BGE 136 II 508, BGE 133 I 77

Quelle
entscheidsuche.ch

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB

1/39

EDÖB-A-B3653401/5

Schlussbericht

vom 15. April 2024

des

Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)

in Sachen Digitec Galaxus AG

Sachverhaltsabklärung gemäss Artikel 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1)

2/39

Inhaltsverzeichnis

Einführung ........................................................................................................................ 4 1.1. Ausgangslage .......................................................................................................................... 4 1.2. Chronologie ............................................................................................................................. 6 1.3. Gesetzliche Grundlage ............................................................................................................ 6 1.4. Umfang der Sachverhaltsabklärung ........................................................................................ 7 1.5. Berücksichtigte Dokumente ..................................................................................................... 7 2. Sachverhalt ...................................................................................................................... 8 2.1. Bearbeitung von Kundendaten durch die Digitec Galaxus AG ............................................... 8 2.1.1. Kundenkonto und Zustimmung der Datenschutzerklärung .............................................. 8 2.1.2. In der Datenschutzerklärung umschriebene Datenbearbeitungen ................................ 10 2.1.3. Datenbearbeitungen zu Personalisierungszwecken («Tracking») ................................. 11 2.1.3.1. Verwendete «Cookies» und andere Mechanismen ............................................... 11 2.1.3.2. Personalisierung des Angebots auf der Webseite ................................................. 13 2.1.3.3. Personalisierung der Werbeanzeige auf Webseiten Dritter ................................... 14 2.1.3.4. Personalisierte Kommunikation inkl. Marketingmitteilungen .................................. 15 2.1.4. Information und Widerspruchsmöglichkeiten ................................................................. 15 2.1.5. Datenübermittlungen an Dritte ....................................................................................... 17 2.1.5.1. ..................................................................................................... 17 2.1.5.2. ................................................................................................. 17 2.1.5.3. Social Plugins ......................................................................................................... 18 2.1.6. Bearbeitung von Persönlichkeitsprofilen ........................................................................ 18 2.1.7. Bekanntgabe von Profilen .............................................................................................. 19 2.2. Bearbeitung von Widerspruchs- und Löschungsbegehren ................................................... 19 2.2.1. Rechte der betroffenen Personen gemäss der Datenschutzerklärung .......................... 19 2.2.2. Bearbeitung von Datenschutzbegehren durch den Kundendienst ................................ 19 2.2.3. Löschung von Daten bei Dritten ..................................................................................... 21 2.2.4. Neuer Löschprozess ...................................................................................................... 21 2.2.5. Löschung von nicht mehr gebrauchten Daten (ohne das Mitwirken der Kunden) ......... 23 3. Datenschutzrechtliche Beurteilung ................................................................................. 23 3.1. Bearbeitung von Personendaten ........................................................................................... 23 3.1.1. Daten im Zusammenhang mit ..................................................... 24 3.1.2. Daten im Zusammenhang mit ......................................................... 25 3.1.3. Bearbeitung von Persönlichkeitsprofilen ........................................................................ 26 3.2. Transparenz und Informationspflicht ..................................................................................... 27 3.2.1. Grundsätze nach Art. 4 Abs. 3 und 4 sowie Art. 14 DSG .............................................. 27 3.2.2. Erkennbarkeit ................................................................................................................. 28 3.2.2.1. Erkennbarkeit der Datenerhebung ......................................................................... 28 3.2.2.2. Erkennbarkeit der Bearbeitungszwecke und der Rahmenbedingungen der Datenbearbeitung ................................................................................................... 29 3.2.2.3. Erkennbarkeit der Bearbeitung im Rahmen von und ............................................................................................................... 29 3.2.2.4. Erkennbarkeit der Bearbeitung von Persönlichkeitsprofilen ................................... 30 3.2.3. Umfang der Datenbearbeitung ....................................................................................... 31 3.2.3.1. Nicht durchgeführte Datenbearbeitungen .............................................................. 31 3.2.3.2. Widerspruchsrecht .................................................................................................. 31 3.3. Grundsatz der Verhältnismässigkeit ...................................................................................... 32 3.3.1. Grundsatz nach Art. 4 Abs. 2 DSG ................................................................................ 32 3.3.2. Kundenkonto und Kundenverhaltensanalyse im Rahmen der «Kernleistung» .............. 33

3/39

3.3.3. Kundenkonto im Rahmen der Dienstleistung Community ............................................. 34 3.3.4. Persönlichkeitsverletzung und Rechtfertigung ............................................................... 35 4. Empfehlungen ................................................................................................................ 37 5. Verfahren ........................................................................................................................ 38 5.1. Stellungnahme der Digitec Galaxus AG ................................................................................ 38 5.2. Veröffentlichung des Schlussberichts mit Empfehlungen ..................................................... 38

Abbildungsverzeichnis

Abbildung 1 – Suchhistorie im Browser ................................................................................................ 13 Abbildung 2 – Neues Löschkonzept der Digitec Galaxus AG ............................................................... 22

4/39

  1. Einführung 1.1. Ausgangslage
  2. Die Digitec Galaxus AG ist ein Unternehmen der Migros Gruppe, welche die Onlineshops Digitec und Galaxus betreibt. Galaxus ist das grösste Online-Warenhaus der Schweiz und führt ein stetig wachsendes Sortiment für fast alle Bedürfnisse. Digitec ist der grösste Schweizer Onlineshop für Elektronik. Gemäss eigenen Angaben der Digitec Galaxus AG sei es ihre Mission, ein komfortables und effizientes Einkaufen zu durchgehend tiefen Preisen zu ermöglichen und gleichzeitig eine um- fassende Plattform für Inspiration, Information und Kommunikation zu schaffen, welche die Kund- schaft dazu einlädt, selber aktiv zu partizipieren. 1 Die Digitec Galaxus AG hat derzeit zehn Filialen in der Schweiz, die als Abholort für diejenigen, die bei Online-Bestellungen die Option Filialabho- lung wählen, und als Showroom mit einem sehr begrenzten Angebot, dienen.

2 . Im März 2020 wurde der EDÖB durch eine betroffene Person darauf aufmerksam, dass Kundinnen und Kunden der Digitec Galaxus AG offenbar sämtlichen in der Datenschutzerklärung umschrie- benen Datenbearbeitungen zustimmen müssen, um eine Bestellung beim Webshop Digitec tätigen zu können. In der Datenschutzerklärung der Digitec Galaxus AG wird unter anderem unter Ziffer 8.4 erläutert, dass Personendaten erfasst werden, um das Kunden- und Kaufverhalten in individu- alisierter und personenbezogener Form aufzuzeichnen und auszuwerten. Ferner wird erklärt, dass die gesammelten Personendaten mit Personendaten aus vergangenen Bestellungen bei der Di- gitec Galaxus AG, anderen Unternehmen der Migros-Gruppe oder Dritten bzw. öffentlich erhältli- chen Personendaten verknüpft werden könnten. Dies deutete auf die Erstellung von Persönlich- keitsprofilen bei der Kundschaft der Digitec Galaxus AG hin. Zudem könnten Personendaten ge- mäss Ziffer 9 der Datenschutzerklärung auch an andere Unternehmen der Migros-Gruppe weiter- gegeben werden, welche die Daten in deren eigenen Interesse ebenfalls bearbeiten könnten. 3. In dem uns gemeldeten Fall hat eine Kundin, welche der Datenschutzerklärung durch Ankreuzen eines Kontrollkästchens bei der Registrierung zugestimmt hatte, nachträglich den Kundendienst kontaktiert, um der Speicherung und Weitergabe ihrer Adress- und Kreditkartendaten und jeder Auswertung zu Werbe- und Marketingzwecken zu widersprechen. Das eingereichte Widerspruchs- begehren wurde allerdings gemäss den uns verfügbaren Informationen vom Kundenservice abge- lehnt. 3 Dies mit der Begründung, dass sowohl die AGB als auch die Datenschutzerklärung der Digitec Galaxus AG für alle Kundinnen und Kunden ausnahmslos und gleichermassen gelten wür- den und dass keine individuellen Datenschutzeinstellungen angeboten werden könnten. 4. Am 18. Mai 2020 hat der EDÖB mit der Digitec Galaxus AG im Rahmen einer Vorabklärung Kontakt aufgenommen. Ziel unseres Schreibens war es, uns einen Überblick über die Bearbeitungsmetho- den der Digitec Galaxus AG zu verschaffen und den uns gemeldeten Fall im Zusammenhang mit der Bearbeitung von Widerspruchsbegehren zu klären. Im Schreiben stellten wir konkrete Fragen betreffend die Datenschutzerklärung und zur Widerspruchs- bzw. Löschungspraxis. 5. Die Digitec Galaxus AG hat mit Schreiben vom 12. Juni 2020 zu unseren Fragen umfassend Stel- lung genommen. Ausserdem hält sie in ihren Vorbemerkungen fest, dass der Verantwortliche die Freiheit hat, die eigenen Bearbeitungszwecke zu bestimmen und dass sich die Verhältnismässig- keit der Bearbeitung an diesen Zwecken misst.

1 Digitec Galaxus AG, «Über uns», verfügbar unter: https://www.galaxus.ch/de/wiki/528 [aufgerufen am 19.05.2021]. 2 Schreiben vom 12. Juni 2020, S. 1 und Stellungnahme vom 3. September 2021, S. 3. 3 Vgl. E-Mail des Kundendienstes vom 26. März 2020, welche uns die betroffene Person am selben Tag weitergeleitet hat. (Er- gänzt aufgrund der Stellungnahme der Digitec Galaxus AG vom 3. September 2021).

5/39

  1. In den folgenden Monaten erhielt der EDÖB weitere Bürgeranfragen betreffend die Datenbearbei- tungen der Digitec Galaxus AG sowie ihrer Bearbeitung von Widerspruchsbegehren. Bei einer die- ser Meldungen wurde die betroffene Person durch einen Mitarbeiter des Kundendiensts informiert, dass ein fortwährender Widerspruch gegen die Datenschutzerklärung der Digitec Galaxus AG die Löschung ihres Kontos bei Digitec Galaxus zur Folge hätte. 4

  2. Aufgrund der weiteren eingegangen Bürgeranfragen sowie der Antwort von der Digitec Galaxus AG im Rahmen unserer Vorabklärung leitete der EDÖB mit Schreiben vom 15. Februar 2021 eine Sachverhaltsabklärung ein. Er stellte der Digitec Galaxus AG erneut verschiedene Fragen in Form eines Fragenkatalogs und verlangte die folgenden Dokumente: ein detailliertes Datenflussdia- gramm, welches die Prozesse der Digitec Galaxus AG und Dienstleistungen Dritter - bestenfalls mit Beschriftung der entsprechend flankierenden Sicherheitsmassnahmen - illustriert und be- schreibt; ihr Löschungskonzept für Kundendaten gemäss Frage 25 des Fragenkatalogs sowie je- des andere Dokument, das sie für nützlich halten würde.

  3. Mit Schreiben vom 29. April 2021 reichte die Digitec Galaxus AG, vertreten durch und , ihre Antworten zum Fragenkatalog des EDÖB sowie eine Abbildung ihres neuen Löschprozesses ein. Auf unsere Bitte um Zustellung eines Datenflussdia- gramms gab uns die Digitec Galaxus AG bekannt, dass ein solches Dokument in dieser Form nicht existiere. Stattdessen habe sie in ihren Ausführungen die Datenflüsse detailliert aufbereitet, zu- nächst in den Vorbemerkungen und nochmals bei den Antworten zu den einzelnen Fragen. Die Digitec Galaxus AG schlug ausserdem vor, ihre Antworten auf die Fragestellungen des EDÖB in einem Gespräch mit , zu erläutern und das Team des EDÖB durch die Eckpunkte ihrer Datenbearbeitungen zu führen.

  4. Am 26. Mai 2021 teilte der EDÖB der Digitec Galaxus AG per E-Mail mit, dass er das Angebot der Digitec Galaxus AG annehmen würde, ihre Antworten in einem Gespräch mit zu erläutern, jedoch erst zum Zeitpunkt der Bereinigung der Sachverhaltsfeststellung. Am 4. August 2021 stellte der EDÖB der Digitec Galaxus AG eine provisorische Version seiner Sachverhaltsfest- stellung vom selben Datum zusammen mit seinen Fragen zu offenen Punkten des Sachverhalts und Terminvorschlägen für das Gespräch zu.

  5. Die Digitec Galaxus AG nahm zu unseren Fragen mit Schreiben vom 3. September 2021 schriftlich Stellung. Das Gespräch fand am 9. September 2021 beim EDÖB statt. Am Gespräch nahmen neben Mitarbeitenden des EDÖB und , Rechtsanwalt der Digitec Galaxus AG, teil. Im Rahmen des Gesprächs stellten die Mitarbeitenden des EDÖB Zusatzfragen zum Sachverhalt und beantworte- ten die Fragen der anderen Teilnehmenden betreffend das Verfahren und die weiteren Schritte. haben eine kurze Präsentation über die Digitec Galaxus AG abgehal- ten. Im Gespräch wurde abgesprochen, dass die Digitec Galaxus AG ergänzte Informationen

nach- reichen würde. Diese zusätzlichen Informationen wurden am 21. Oktober 2021 per E-Mail zuge- stellt. Der EDÖB hat im Anschluss an diese E-Mail und die Stellungnahme vom 3. September 2021 seine Sachverhaltsfeststellung ergänzt. Diese ergänzte Version wurde am 22. November 2021 der Di- gitec Galaxus AG zur Information geschickt mit dem Hinweis, dass ohne ihren Gegenbericht inner- halb von 14 Tagen der EDÖB davon ausgehen würde, dass der Sachverhalt korrekt wiedergege- ben wurde. Zudem wurde die Digitec Galaxus AG darüber informiert, dass ihre Anmerkungen im Rahmen der rechtlichen Analyse des Sachverhalts in der Form eines Schlussberichts berücksich- tigt werden. Dazu würde die Digitec Galaxus AG die Möglichkeit haben, noch einmal Stellung zu nehmen. Mit Schreiben vom 2. Dezember 2021 machte die Digitec Galaxus AG weitere Korrektur- und Anpassungsvorschläge. Diese wurden in diesem Schlussbericht berücksichtigt.

4 Vgl. E-Mail des Kundendienstes vom 13. Oktober 2020, welche uns die betroffene Person am 14. Oktober 2020 weitergeleitet hat. (Ergänzt aufgrund der Stellungnahme der Digitec Galaxus AG vom 3. September 2021).

6/39

  1. Mit E-Mail vom 13. Juni 2023 teilte die Digitec Galaxus AG dem EDÖB mit, ihre Datenschutzerklä- rung überarbeitet und diese neu auf der Webseite publiziert zu haben. Der EDÖB forderte die Di- gitec Galaxus AG auf, zu der Frage Stellung zu nehmen, welche Punkte der Sachverhaltsfeststel- lung sich aus ihrer Sicht durch die Einführung der neuen Datenschutzerklärung in materieller Hin- sicht geändert haben. Am 9. August 2023 nahm die Digitec Galaxus AG Stellung zu der Frage und teilte dem EDÖB mit, dass die Änderungen der überarbeiteten Datenschutzerklärung keine Sach- verhaltsänderung oder -ergänzung zur Folge haben und einzig für allfällige Empfehlungen berück- sichtigt werden können. Am 8. September 2023 bestätigte der EDÖB der Digitec Galaxus AG diese Ansicht und nahm die Änderungen der überarbeiteten Datenschutzerklärung zur Kenntnis. 1.2. Chronologie 26.03.2020: Eingang erste Bürgeranfrage in Sachen Digitec Galaxus AG 18.05.2020: Vorabklärung und Zustellung von Fragen an die Digitec Galaxus AG 12.06.2020: Beantwortung unserer Fragen durch die Digitec Galaxus AG 15.02.2021: Eröffnung Sachverhaltsabklärung durch den EDÖB und Zustellung eines Fragenkata- loges an die Digitec Galaxus AG 17.03.2021: Mitteilung der Vertretung durch Walder Wyss AG und Fristerstreckungsgesuch 17.03.2021: Gewährung Fristerstreckung durch den EDÖB 29.04.2021: Beantwortung unserer Fragen durch Digitec Galaxus AG 26.05.2021: Antwort des EDÖB betreffend ein Gespräch mit

04.08.2021: Versand Sachverhaltsfeststellung an Digitec Galaxus AG 03.09.2021: Stellungnahme zur Sachverhaltsfeststellung durch Digitec Galaxus AG 09.09.2021: Gespräch mit Vertretern der Digitec Galaxus AG, des Migros-Genossenschafts-Bund und Walder Wyss AG 21.10.2021: Präzisierungen zur Sachverhaltsfeststellung durch EDÖB 22.11.2021: Versand der korrigierten Sachverhaltsfeststellung an Digitec Galaxus AG 02.12.2021: Ergänzungs- und Korrekturvorschläge der Digitec Galayus AG zur korrigierten Sach- verhaltsfeststellung 13.06.2023: Mitteilung betreffend neue Datenschutzerklärung durch Digitec Galaxus AG an EDÖB 27.06.2023: Aufforderung zur Stellungnahme betreffend neue Datenschutzeklärung 09.08.2023 Stellungnahme von Digitec Galaxus AG zur neuen Datenschutzerklärung 30.01.2024: Versand des Schlussberichts an Walder Wyss AG 1.3. Gesetzliche Grundlage 12. Seit dem 1. September 2023 ist das neue Bundesgesetz vom 25. September 2020 über den Da- tenschutz in Kraft (nachfolgend «nDSG», SR 235.1). Gemäss Art. 70 nDSG gilt das neue Gesetz nicht für Untersuchungen des EDÖB, die im Zeitpunkt des Inkrafttretens hängig waren. Diese Fälle unterstehen dem bisherigen Recht, weshalb der EDÖB die rechtliche Beurteilung in der vorliegen- den Sachverhaltsabklärung gestützt auf das Bundesgesetz vom 19. Juni 1992 über den Daten- schutz (nachfolgend «DSG», SR 235.1) vorgenommen und abgeschlossen hat. Mit Blick auf die Fortführung von Datenbearbeitungen, die Gegenstand dieser Sachverhaltsabklärung sind, finden sich in einzelnen Kapiteln jedoch punktuelle Hinweise darauf, in wie weit die Bestimmungen des nDSG gegenüber dem alten Recht Änderungen vorsehen.

7/39

  1. Art. 1 bis 15 DSG und Art. 1 bis 12 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11) sind auf das Bearbeiten von Personendaten durch private Personen anwendbar. Gemäss Art. 29 Abs. 1 lit. a DSG kann der EDÖB von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher abklären, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (sog. Systemfehler). Gemäss Art. 29 Abs. 2 DSG kann er dabei Akten herausverlangen, Auskünfte einholen und sich Datenbe- arbeitungen vorführen lassen. Aufgrund seiner Abklärungen kann er empfehlen, das Bearbeiten zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG). Wird eine solche Empfehlung nicht befolgt oder abgelehnt, kann er die Angelegenheit dem Bundesverwaltungsgericht (BVGer) auf dem Klageweg zum Entscheid vorlegen (Art. 29 Abs. 4 DSG i. V. m. Art. 35 lit. b des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 [VGG, SR 173.32]). 1.4. Umfang der Sachverhaltsabklärung
  2. Die vorliegende Sachverhaltsabklärung stützt sich auf den Sachverhalt vom 2. Dezember 2021 (vgl. Rz. 11) und zielt darauf ab zu prüfen, ob und inwiefern Mängel hinsichtlich der Konformität mit dem DSG bei der Bearbeitung von Widerspruchsgesuchen, bei der Verknüpfung von Personenda- ten der Kunden aus diversen Quellen für den Zweck der Kundenverhaltensanalyse sowie bei der Bekanntgabe von Personendaten der Kunden der Digitec Galaxus AG an andere Unternehmen der Migros-Gruppe bestehen. 1.5. Berücksichtigte Dokumente
  3. Die Sachverhaltsfeststellungen des EDÖB stützen sich auf folgende Dokumente:
  • E-Mail vom 12. Juni 2020;
  • Schreiben vom 29. April 2021 inkl. Beilage 1 «Darstellung Löschprozess»;
  • Bürgeranfragen vom 26. März 2020, 14. Oktober 2020 und 10. November 2020;
  • Stellungnahme vom 3. September 2021;
  • E-Mail vom 21. Oktober 2021 mit Präzisierungen zum Sachverhalt (Klärung offener Punkte);
  • Schreiben vom 2. Dezember 2021 mit zusätzlichen Anpassungs- und Korrekturvorschlägen;
  • Webseite der Digitec Galaxus AG (Datenschutzerklärung 5 , AGBs 6 , Über uns etc.).
  • Weitere öffentlich zugängliche Informationen, wie in den Fussnoten gekennzeichnet

5 Versionen 1.1 und 1.3. Die Digitec Galaxus AG hat in ihrem Schreiben vom 29. April 2021 mitgeteilt, dass die Version 1.3 der Datenschutzerklärung vom 21. Oktober 2020 mit Blick auf das revidierte DSG (revDSG) und voraussichtlich besonders im Hinblick auf eine klarere Information zu bearbeiteten Datenkategorien und Bearbeitungszwecken überarbeitet wird. Die überarbeitete Da- tenschutzerklärung ist nicht Gegenstand dieser Abklärung. 6 Stand März 2019, verfügbar unter https://www.digitec.ch/de/wiki/478 [am 07.09.2021 aufgerufen].

8/39

  1. Sachverhalt 2.1. Bearbeitung von Kundendaten durch die Digitec Galaxus AG 2.1.1. Kundenkonto und Zustimmung der Datenschutzerklärung
  2. Um Produkte bei den Onlineshops Digitec und Galaxus zu kaufen, muss man sich als Kunde re- gistrieren und mithin ein Kundenkonto erstellen. 7 Eine Bestellung als Gast ist nicht möglich 8 . Dies sei gemäss der Digitec Galaxus AG eine bewusste Entscheidung des Unternehmens aus mehreren Gründen: a. Das Kundenkonto sei die zentrale Stelle zur Information über die Bestellhistorie, zur Verwaltung kundenseitiger Einstellmöglichkeiten und zur Steuerung weiterer Dienstleistungen: Diese Möglichkeiten, die gemäss Digitec Galaxus AG ein Kun- denkonto voraussetzen, betrachtet das Unternehmen als Bestandteil ihres Service. Gemäss der Digitec Galaxus AG liege es im Interesse der Kunden selbst, ein Kun- denkonto zu haben, über welches sie von verschiedenen, auch datenschutzrecht- lich relevanten Verwaltungsmöglichkeiten Gebrauch machen können. Das Konto liege ausserdem im Interesse des Unternehmens selbst, weil es den Aufwand für eine Kundenbetreuung von hoher Qualität reduziere und es ihr ermögliche, das Kundenverhalten zu analysieren und bei starker Veränderung des Verhaltens be- trügerische Aktivitäten zu erkennen und eine entsprechende Reaktion auszulösen. b. Das Konto ermögliche eine Personalisierung der Darstellung des Sortiments 9 im Onlineshop sowie das Anzeigen von zuletzt besuchten Artikeln und das Erstellen von Merklisten: dies sei gemäss der Digitec Galaxus AG unabdingbar, damit sich die Kunden im Onlineshop orientieren können. Personalisierungen auf Basis von Verhaltensdaten des Besuchs (Cookies) seien nicht zuverlässig und funktionierten zudem nicht gerätübergreifend. c. Das Konto sei erforderlich, damit die Kunden an der «Community» Digitec teilneh- men können, was für die Digitec Galaxus AG ein wesentlicher Aspekt ihres Dienst- leistungsangebots sei: Die Digitec Galaxus AG sei nicht nur ein Onlineshop, son- dern eine Plattform mit einer aktiven Community von Nutzern, welche untereinan- der, mit der Digitec Galaxus AG und mit Produkten interagieren, indem sie Bewer- tungen schreiben. Bewertungen ohne Kundenkonto seien gemäss der Digitec Ga- laxus AG nicht nach Einhaltung der Lauterkeitsrechtvorschriften kontrollierbar. Die- ses System sei es auch, welches Kunden ermögliche, gekaufte Artikel direkt über die Plattform anderen Kunden weiterverkaufen zu können, wobei die Digitec Gala- xus AG lediglich als Vermittler gelte. Zudem ermögliche das Konto das sog. «Di- gitec live», also das Anzeigen von getätigten Einkäufen im öffentlichen Profil der Kunden.

7 Galaxus.ch, Bestellvorgang und Kundenkonto, verfügbar unter: https://www.galaxus.ch/de/wiki/557 [aufgerufen am 20.07.2021]. 8 Von den in der Schweiz 15 umsatzstärksten B2C-Online-Shops bieten interdiscount.ch, microspot.ch, brack.ch, ikea.com/ch und mediamarkt.ch einen Gastkauf an; Digitec.ch, galaxus.ch, zalando.ch, amazon.de, aliexpress.com, nespresso.com/ch, wish.com, coopathome.ch und zurrose-shop.ch bieten hingegen keinen Gastkauf an. In diesem Zusammenhang vertritt die Digitec Galaxus AG den Standpunkt, dass sie weder unter dem DSG noch unter dem revDSG verpflichtet sei, einen Gastkauf anzubieten: «Der Verantwortliche muss nutzerseitige Einstellungen nur datenschutzfreundlich voreinstellen, sofern er entscheidet, solche überhaupt anzubieten. Ein Gastkauf kann unter diesem Titel nicht verlangt werden.» (Vgl. Ziff. 11 des Schreibens vom 29. April 2021, S. 5). 9 Digitec Galaxus AG vermerkt, dass dies zurzeit mehr als Artikel erfasst.

9/39

d. Die Gestaltung der Webseite als Plattform, die eines Kundenkontos bedingt, dient zudem der Kundenbindung und der Absatzsteigerung der Firma in einem stark um- kämpften Markt: die Digitec Galaxus AG stehe im Wettbewerb mit anderen Anbie- tern, die auch auf personalisiertes Marketing setzen, und sei deshalb darauf ange- wiesen, das Kundenkonto als Basis für eine Personalisierung zu verwenden, um die Wirksamkeit ihres Marketings auf der eigenen Website zu steigern und mit Kun- den personalisiert zu kommunizieren. 17. Ein Konto kann man auch über erstellen. Dabei gibt der Nutzer die Zustimmung für die Weitergabe gewisser Daten 10 aus dem an Digitec Galaxus AG. Von den übermittelten Daten werden lediglich Name und E-Mail-Adresse verwendet, um die entsprechenden Felder des Registrierungsformulars auszufüllen. Diese Angaben werden dann erst gespeichert, wenn die Kundin oder der Kunde den Registrierungsprozess abschliesst, um ein Kundenkonto bei Digitec Galaxus AG zu erstellen. An- dere übermittelten Daten werden gemäss Digitec Galaxus AG nicht gespeichert. 11

  1. Bei der Registrierung als neuer Kunde muss man das Kontrollkästchen neben folgender Aussage ankreuzen: «Ja, ich stimme der in der Datenschutzerklärung umschriebenen Bearbeitung sämtli- cher meiner Personendaten zu. Dies umfasst die Bearbeitung sämtlicher meiner Personendaten, insbesondere zum Zweck der Analyse des Kundenverhaltens und des Direktmarketings durch alle Unternehmen der Migros-Gruppe.» 12 .

  2. Die Zustimmung zur Datenschutzerklärung der Digitec Galaxus AG wird auch im Text der Daten- schutzerklärung an zwei Stellen wie folgt thematisiert: «Es ist uns ein Anliegen, dass Sie der Be- arbeitung Ihrer Personendaten zustimmen. Mit dieser Datenschutzerklärung informieren wir Sie umfassend über unsere Datenbearbeitungsmethoden. Und Sie entscheiden, ob Sie die Bearbei- tung Ihrer Personendaten wünschen.» und «Diese Datenschutzerklärung erfasst sowohl histori- sche als auch zukünftige Personendaten. Stimmen Sie der Bearbeitung Ihrer Personendaten zu, werden wir nicht nur die in Zukunft von Ihnen erhobenen Personendaten in Übereinstimmung mit dieser Datenschutzerklärung bearbeiten, sondern auch Ihre bei uns bereits gespeicherten Perso- nendaten.». 13 Wobei mit « historische Daten» die Personendaten gemeint sind, die zum Zeitpunkt der Einführung der Datenschutzerklärung bei der Digitec Galaxus AG bereits vorhanden waren 14 .

  3. Gemäss der Digitec Galaxus AG soll dieses Verfahren nicht so verstanden werden, dass die Durch- führung gewisser in der Datenschutzerklärung beschriebenen Datenbearbeitungen nur aufgrund dieser Zustimmung erlaubt wären, sondern lediglich als eine kundenfreundliche Massnahme, die dazu dient, den Kunden den Gegenstand der möglichen Datenbearbeitungen durch die Digitec Galaxus AG zu verdeutlichen. 15

  4. Die Digitec Galaxus AG vertritt ferner den Standpunkt, dass die Personendaten, welche Digitec für die Kommunikation und die Personalisierung von Angeboten und Produktbewertungen benötigt, erst mit der Registrierung, also folglich nach der Zustimmung der Datenschutzerklärung, anfallen.

.

10 Je nach Dienst werden unterschiedliche Daten übermittelt. Vgl. Präzisierungen zum Sachverhalt vom 21. Oktober 2021. 11 Vgl. Präzisierungen zum Sachverhalt vom 21. Oktober 2021. 12 Text auf der Seite «Als Privatkunde registrieren». 13 Vgl. Datenschutzerklärung der Digitec Galaxus AG. Diese und die folgenden Verweise auf die Datenschutzerklärung der Digitec Galaxus AG betreffen die Version 1.3 vom 21.10.2020, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 14 Vgl. Antwort zur Frage 4 (Ziff. 24 des Schreibens vom 29. April 2021, S. 9). 15 Vgl. Ziff. 19 des Schreibens vom 29. April 2021, S. 7.

10/39

Verzichtet der Kunde darauf, die Bestellung abzuschliessen, d.h. eröffnet er kein Kundenkonto oder meldet er sich nicht mit einem bereits bestehenden Konto an, bleiben diese Daten gemäss Digitec Galaxus AG ohne Personenbezug und werden nur zu statistischen, nicht personenbezogenen Zwecken verwendet . 16

2.1.2. In der Datenschutzerklärung umschriebene Datenbearbeitungen 22. Unter Ziffer 6 der Datenschutzerklärung 17 werden Beispiele von Situationen angegeben, bei denen die Digitec Galaxus AG Personendaten über die Kunden sammeln kann, und unter Ziffer 7 werden Beispiele von Datenkategorien aufgelistet, welche durch die Digitec Galaxus AG erhoben werden. 23. Unter Ziffer 8 werden verschiedene Zwecke angegeben, für welche die Digitec Galaxus AG Perso- nendaten bearbeitet. Diese werden in 5 Kategorien unterteilt: Bearbeitungszwecke im Zusammen- hang mit ihren Waren und Dienstleistungsangeboten, mit der Kundenkommunikation, mit beson- deren Aktivitäten und Anlässen, mit der Analyse des Kundenverhaltens und mit Direktmarketing. 24. Unter Ziffer 9 wird erläutert, an wen die Digitec Galaxus AG Personendaten weitergibt. Gemäss der Datenschutzerklärung kann sie Personendaten der Kunden an andere Unternehmen der Mig- ros-Gruppe weitergeben, die sie «im eigenen Interesse für die gleichen Zwecke benutzen» können, wie diejenigen der Digitec Galaxus AG. Also insbesondere individualisierte und personalisierte Analysen des Kundenverhaltens und für Direktmarketing-Aktivitäten. Ausserdem wird unter Ziffer 9 ausgeführt, dass die Digitec Galaxus AG Personendaten an Dienstleister weitergibt, die im Auf- trag und in Interesse der Digitec Galaxus AG Daten bearbeiten. 25. Weiter wird die Datenbearbeitung im Zusammenhang mit der Verwendung von Cookies (Ziff. 10), Log-Dateien (Ziff. 11), Analyse-Tools und anderen Trackingtechnologien (Ziff. 12) sowie Social Plugins (Ziff. 13) allgemein beschrieben. 18

  1. Verschiedene Datenbearbeitungen bzw. Bearbeitungszwecke, die in der Datenschutzerklärung er- wähnt sind, werden gemäss der Digitec Galaxus AG im Moment nicht durchgeführt und sind auch zukünftig nicht geplant. Diese sind: a. b . c.

d .

16 Vgl. Antworten zu Fragen 3 und 5 (Ziff. 23 und 26 des Schreibens vom 29. April 2021, S. 9 f.) und Stellungnahmen vom 2. und 23. Dezember 2021 sowie vom 25. Januar 2022. 17 Vgl. Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 18 Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 19 Vgl. Antwort zur Frage 4 (Schreiben vom 12. Juni 2020, S. 3) und Antworten zu Fragen 1, 17 und 22.2 (Ziff. 20, 57 und 65 des Schreibens vom 29. April 2021, S. 8, 18 bzw. 21). 20

21

11/39

e.

f . 2 7. Der Grund hierfür liegt darin, dass die Datenschutzerklärung absichtlich breit formuliert worden ist. Die Digitec Galaxus AG vertritt in diesem Zusammenhang den Standpunkt, dass eine Datenschut- zerklärung, welche breit formuliert ist, datenschutzfreundlicher ist, als eine Datenschutzerklärung, welche granulare Ausführungen enthält und deshalb öfter geändert werden muss: «Das kommt den betroffenen Personen zugute, denn dadurch ist ihnen bei der Aufnahme der Kundenbeziehung bewusst - also dann, wenn sie die Datenschutzerklärung erstmals und i.d.R. auch letztmals kon- sultieren -, dass eine verhältnismässig breitere Datenbearbeitung in Frage kommt. Das ist zweifel- los datenschutzfreundlicher als eine Datenschutzerklärung, die sich häufig ändert und es den be- troffenen Personen aufgäbe, die Datenschutzerklärung erneut zu lesen und auf Änderungen zu prüfen». 24

2 .1.3. Datenbearbeitungen zu Personalisierungszwecken («Tracking») 2.1.3.1. Verwendete «Cookies» und andere Mechanismen 29. Digitec Galaxus AG verwendet Cookies Die Cookies speichern Informationen über das verwendete End- gerät, die Herkunft des Besuchers (d.h. den Kanal, über welchen der Besucher zur Website kam, z.B. E-Mail-Kampagne, Social Media oder Google-Suche), die Navigation über die Webseite (z.B. Seitenaufrufe, Produktansichten, Suchanfragen und weitere Interaktionen) sowie das Datum und Uhrzeit der Interaktionen bzw. des Besuchs.

(Vgl. Antworten zu Fragen 1 und 14 (Ziff. 20 bzw. 53 des Schreibens vom 12. Juni 2020, S. 8 bzw. 17). 22 Siehe Fussnote Nr. 6. 23 Siehe Fussnote Nr. 6 und Ziff. 25 des Schreibens vom 29. April 2021, S. 9. 24 Vgl. Ziff. 16, 17, 20 und 21 des Schreibens vom 29. April 2021, S. 6 f. 25 Vgl. Antworten zu Fragen 1 und 15 (Ziff. 20 bzw. 54 des Schreibens vom 29. April 2021, S. 7 f. bzw. 17) und Stellungnahme vom 3. September 2021, S. 5.

12/39

  1. Folgende Cookies werden bei einem Besuch der Webseite www.digitec.ch gespeichert: 26

3

  1. Folgende Cookies werden bei einem Besuch der Webseite www.galaxus.ch gespeichert 28 :

26 Gemäss mit Webprotokoll durchgeführter Analyse der Webseite vom 7. Juli 2021. Ergebnisse verfügbar unter:

27 Die Digitec Galaxus AG hält in ihrer Stellungnahme vom 3. September 2021 fest, dass sie die Speicherdauer von Cookies von Drittanbietern nicht bestimmen kann (S. 6). 28 Gemäss mit Webprotokoll durchgeführter Analyse der Webseite vom 7. Juli 2021. Ergebnisse verfügbar unter:

13/39

32 .

: Schlüssel Wert

  1. Die folgende Abbildung, die durch die Digitec Galaxus AG zur Verfügung gestellt wurde, zeigt ein Beispiel einer gespeicherten Suchhistorie :

Abbildung 1 – Suchhistorie im Browser 34. Die mittels Cookies erhobenen Daten dienen also hauptsächlich als Grundlage der Personalisie- rung des Angebots auf der Webseite selbst sowie der Werbung der Digitec Galaxus AG, die in anderen Webseiten aufgeschaltet werden. 35. In den Apps wird ausserdem eine Software von verwendet, um die Installationen der Apps zu messen. 29

2.1.3.2. Personalisierung des Angebots auf der Webseite 36. Die Personalisierung des Angebots auf der Webseite wird einerseits durch den und andererseits schätzt basierend auf Daten über das Nut- zerverhalten auf der Webseite

  1. Die Personalisierung . 31

29 Vgl. Antwort zur Frage 9 (Ziff. 47 des Schreibens vom 29. April 2021, S. 15). 30 Die Digitec Galaxus AG ist der Auffassung, dass diese Daten nicht personenbezogen sind (siehe Rz. 21). Vgl. Stellungnahme vom 3. September 2021 S. 6 und Präzisierungen zum Sachverhalt vom 21. Oktober 2021. 31 Vgl. Antworten zu Fragen 6 und 7 (Ziff. 29 ff. des Schreibens vom 29. April 2021, S. 11 ff), Stellungnahme vom 3. September 2021 und Präzisierungen zum Sachverhalt vom 21. Oktober 2021.

14/39

3 8. 3 9. Eine weitere Form von Personalisierung der Webseite erfolgt

2.1.3.3. Personalisie rung der Werbeanzeige auf Webseiten Dritter 40. Um ihre Werbung auf der Grundlage von Cookies gemäss Ziff. 8.5 der Datenschutzerklärung 35 zu personalisieren, arbeitet die Digitec Galaxus AG mit verschiedenen Werbenetzanbietern zusam- men, welche Werbung für sie auf die Webseiten Dritter ausspielen. Diese sind: . Ausserdem lässt die Digitec Galaxus AG Werbung auf Social-Media- Plattformen und in Videoangeboten ausspielen. Die Digitec Galaxus AG verwendet den Dienst , um die durch erhobenen Daten auszuwerten. leitet aus den erhobenen Daten potentielle Kundenbedürfnisse und Kundeninteresse sowie eine ge- schätzte Alterskohorte und ein vermutetes Geschlecht ab. Dementsprechend werden die Anzeigen personalisiert. Dies erfolgt wie folgendermassen: Gewisse Cookies, die sich bei einem Besuch der Webseiten der Digitec Galaxus AG im Browser und im Endgerät der Nutzer abspeichern, werden durch die Werbeanzeigen, welche auf Webseiten Dritter platziert sind, ausgelesen. Diese Werbe- anzeigen reagieren auf die übermittelten Informationen, um passende Werbung auszuspielen (z.B. zeigen die angesehenen, aber nicht bestellten Produkte). 36

  1. Für die Personalisierung der Werbung auf Social-Media-Plattformen wie verwendet die Digitec Galaxus AG den Dienst

32 Die Information, die die Digitec Galaxus AG in ihrer Antwort zur Frage 6 übermittelte (Ziff. 31 des Schreibens vom 29. April 2021, S. 11) wurde in der Stellungnahme vom 3. September 2021 präzisiert (S. 2 und 6). 33 Vgl. Antwort zur Frage 6 (Ziff. 35 des Schreibens vom 29. April 2021, S. 12). 34 Vgl. Antwort zur Frage 6 (Ziff. 38 des Schreibens vom 29. April 2021, S. 12) sowie Stellungnahme vom 3. September, S. 7. 35 Individualisierte und personalisierte Anpassung der Angebote sowie der Werbung auf unseren Internet-Seiten, Apps für mobile Geräte oder bei unseren Kanälen auf Internet-Plattformen, Multimedia-Portalen bzw. sozialen Netzwerken. 36 Vgl. Antwort zur Frage 6 (Ziff. 39 des Schreibens vom 29. April 2021, S. 13) und Präzisierungen zum Sachverhalt vom 21. Oktober 2021. 37 Vgl. Antwort zur Frage 6 (Ziff. 40 des Schreibens vom 29. April 2021, S. 13).

15/39

2.1.3.4. Personalisierte Kommunikation inkl. Marketingmitteilungen 42. Die Digitec Galaxus AG bearbeitet auch Daten der Nutzerinnen und Nutzer, um ihnen personali- sierte Kommunikation z.B. in Form eines personalisierten Newsletters, eines Gutscheins oder eines Flyers 38 zuzustellen. Die Personalisierung erfolgt auf der Grundlage von Daten über das Kunden- verhalten (z.B. auf zuletzt angesehene Produkte, gekaufte Produkte oder Inaktivität) sowie Alter, Geschlecht und Sprache, welche im Nutzerkonto erfasst sind. 43. Gemäss der Digitec Galaxus AG erteilen die Nutzerinnen und Nutzer, die das Kästchen bei der Registrierung gemäss Ziff. 17 ankreuzen, eine Einwilligung zur Zustellung von elektronischen Mar- ketingmitteilungen. In diesem Sinne beziehe sich die Aussage «Dies umfasst die Bearbeitung sämtlicher meiner Personendaten, insbesondere zum Zweck der Analyse des Kundenverhaltens und des Direktmarketings durch alle Unternehmen der Migros-Gruppe.» lediglich auf die Zustellung elektronischer Werbung und nicht auf weitere Arten personalisierter Marketingmitteilungen, weil die Digitec Galaxus AG der Auffassung ist, eine Einwilligung sei für Letztere nicht erforderlich. 2.1.4. Information und Widerspruchsmöglichkeiten 44. Die Webseiten digitec.ch und galaxus.ch enthalten keinen Cookie-Banner (Hinweis auf die Ver- wendung von Cookies bzw. Speicherung von Informationen im Browser des Nutzers). Nutzerinnen und Nutzer werden über die Speicherung von Cookies in der Datenschutzerklärung informiert. 45. In der Datenschutzerklärung der Digitec Galaxus AG wird aufgeführt, dass auf ihren Internetseiten «Cookies und ähnliche Technologien wie z.B. Pixel Tags (zusammen "Cookies")» verwendet wer- den. Wofür Cookies verwendet werden, wird wie folgt erklärt: Die von uns genutzten Cookies dienen zunächst dazu, die Funktionen unserer Internet-Seiten – wie zum Beispiel die Warenkorbfunktionalität – zu gewährleisten. Ausserdem verwenden wir Coo- kies, um unser Internet-Angebot Ihren Kundenwünschen anzupassen und Ihnen das Surfen bei uns so komfortabel wie möglich zu gestalten. Wir verwenden Cookies auch zur Optimierung unse- rer Werbung. Mit Cookies können wir Ihnen Werbung und/oder besondere Waren und Dienstleis- tungen präsentieren, die für Sie aufgrund Ihrer Nutzung unserer Internet-Seite besonders interes- sant sein könnten. Unser Ziel ist es dabei, unser Internet-Angebot für Sie so attraktiv wie möglich zu gestalten und Ihnen Werbung zu präsentieren, die Ihren Interessengebieten entspricht. 39

  1. Zur Speicherdauer der Cookies wird in der Datenschutzerklärung Folgendes aufgeführt: Die meisten der von uns verwendeten Cookies werden nach Ende der Browser-Sitzung automa- tisch wieder von Ihrem Computer oder mobilen Gerät gelöscht (sogenannte Session-Cookies). Zum Beispiel verwenden wir Session-Cookies um Ihre Landes- und Sprachvoreinstellungen und Ihren Warenkorb über verschiedene Seiten einer Internet-Sitzung hinweg zu speichern. Darüber hinaus verwenden wir auch temporäre bzw. permanente Cookies. Diese bleiben nach dem Ende der Browser-Sitzung auf Ihrem Computer oder mobilen Gerät gespeichert. Bei einem weite- ren Besuch auf einer unserer Internet-Seiten wird dann automatisch erkannt, welche Eingaben und Einstellungen Sie bevorzugen. Diese temporären bzw. permanenten Cookies bleiben je nach Art des Cookies zwischen einem Monat und zehn Jahre auf Ihrem Computer oder mobilen Gerät ge- speichert und werden nach Ablauf der programmierten Zeit automatisch deaktiviert.

38 Vgl. Antwort zu Fragen 6 und 13 (Ziff. 36 bzw. 52 des Schreibens vom 29. April 2021, S. 12 und 16f.) sowie Angaben der Digitec Galaxus AG

39 Ziff. 10.1 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021].

16/39

Sie dienen dazu, unsere Internet-Seiten nutzerfreundlicher, effektiver und sicherer zu machen. Dank dieser Cookies bekommen Sie beispielsweise speziell auf Ihre Interessen abgestimmte In- formationen auf der Seite angezeigt. Die auf Ihrem Computer oder mobilen Gerät gespeicherten Cookies können unter Umständen auch von Partnerunternehmen stammen. Diese können andere Unternehmen der Migros-Gruppe oder auch Unternehmen ausserhalb der Migros-Gruppe sein. Diese Cookies ermöglichen unseren Part- nerunternehmen, Sie mit Werbung anzusprechen, die Sie tatsächlich interessieren könnte. Die Cookies der Partnerunternehmen bleiben zwischen einem Monat und zehn Jahre auf Ihrem Com- puter oder mobilen Gerät gespeichert und werden nach Ablauf der programmierten Zeit automa- tisch deaktiviert. 40

  1. In der Datenschutzerklärung werden die Nutzer wie folgt unterwiesen, wie die Speicherung von Cookies verhindert werden kann: Die meisten Internet-Browser akzeptieren Cookies automatisch. Sie können jedoch Ihren Browser anweisen, keine Cookies zu akzeptieren oder Sie jeweils anzufragen, bevor ein Cookie einer von Ihnen besuchten Internet-Seite akzeptiert wird. Sie können auch Cookies auf Ihrem Computer oder mobilen Gerät löschen, indem Sie die entsprechende Funktion Ihres Browsers benutzen. Falls Sie sich entschliessen, unsere Cookies oder die Cookies unserer Partnerunternehmen nicht zu akzep- tieren, werden Sie auf unseren Internet-Seiten gewisse Informationen nicht sehen und einige Funk- tionen, die Ihren Besuch verbessern sollen, nicht nutzen können. 41

  2. Das aktive Blockieren von sämtlichen Cookies hat als Folge, dass es nicht möglich ist, weiter auf die Webseite zu surfen, weil dies verhindert, dass die Webseite richtig funktioniert. Werden nur Third-Party-Cookies blockiert, vorliegend die Cookies , kann die Seite normal verwendet werden. 42

  3. Spezifisch zur Unterbindung der Cookies von wird in der Datenschutzerklärung auf die Möglichkeit hingewiesen, die Browser-Erweiterung zur Deaktivierung von zu installieren: Sie können die Erfassung der durch Cookies erzeugten und auf Ihre Nutzung der Internet-Seite bezogenen Daten (inkl. Ihrer IP-Adresse) an sowie die Verarbeitung dieser Daten durch verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren. Nähere Informationen zu und Datenschutz finden Sie unter

  4. Die Kunden können der Zustellung von Marketingmitteilungen über das Kundenkonto oder durch e inen Link in elektronischen Newslettern jederzeit widersprechen. 44

40 Ziff. 10.3 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 41 Ziff. 10.4 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 42 Vgl. Antwort zur Frage 8 (Ziff. 46 des Schreibens vom 29. April 2021, S. 15). 43 Ziff. 12 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 44 Vgl. Antwort zur Frage 1 (Schreiben vom 12. Juni 2020, S. 2), Stellungnahme vom 3. September 2021 (S. 7).

17/39

2.1.5. Datenübermittlungen an Dritte 2.1.5.1. 51. Wie oben aufgeführt, verwendet die Digitec Galaxus AG den Dienst , um Nut- zerverhaltensdaten auszuwerten. In diesem Zusammenhang bearbeitet Deshalb erklärt die Digitec Galaxus AG, dass sie neben einem Auftragsbearbeitungsvertrag einen zusätzlichen Vertrag über die abge- schlossen habe. 52.

Im Zusammenhang mit der Verwen- d ung von Analyse-Tools wird Folgendes in der Datenschutzerklärung aufgeführt: «Je nach Anbie- ter eines Web Analyse-Tools können diese Server im Ausland stehen. [...]

2.1.5 .2. 53.

45 Ziff. 9 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 46 Ziff. 12 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 47 Nutzungsbedingungen für , verfügbar unter:

48 Datenverarbeitungsbedingungen von verfügbar unter:

49 verfügbar unter:

18/39

2.1.5.3. 54.

2 .1.6. Bearbeitung von Persönlichkeitsprofilen 56. Neben der Erhebung und Auswertung von Daten zur Analyse des Kundenverhalten werden ge- mäss Datenschutzerklärung die Daten, welche die Digitec Galaxus AG erhebt, mit anderen Daten verknüpft mit dem Zweck, die Datenbasis und die Analyse des Kundenverhaltens zu verbessern. Dabei werden Profile der Nutzer generiert . 53

  1. Durch die individualisierte und personalisierte Aufzeichnung und Auswertung des historischen und aktuellen Kunden- und Kaufverhaltens bei der Nutzung der Angebote auf den Internet-Seiten der Digitec Galaxus AG, auf Apps für mobile Geräte oder auf Internet-Plattformen, Multimedia-Portalen bzw. sozialen Netzwerken, erkennt, klassifiziert und analysiert die Digitec Galaxus AG aktuelle und potentielle Kundenbedürfnissen, Kundeninteressen sowie das Kundenpotential (siehe Ziff. 2.1.3). 54

  2. Ausserdem leitet die Digitec Galaxus AG bei einem Kauf auf Rechnung aus den Kundenprofil Schlussfolgerungen über die Bonität der Kunden ab, indem sie die folgenden Daten über die Kun- den bearbeitet:

Die statistischen Daten, mit denen das Profil des Kunden angereicht wird, sind die folgen- den Daten über den Wohnort des Kunden: 5

50

51 Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 52 Vgl. Stellungnahme vom 3. September 2021, S. 8. 53 Vgl. Antwort zur Frage 11 (Ziff. 49 des Schreibens vom 29. April 2021, S. 16) und Ziff. 8.4 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 54 Ziff. 8.4 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 55 Vgl. Antworten zu Fragen 12 und 16 (Ziff. 51, 55 und 56 des Schreibens vom 29. April 2021, S. 16f.).

19/39

2.1.7. Bekanntgabe von Profilen 59. Gemäss der Digitec Galaxus AG werden weder die Kundenprofile noch die Ergebnisse der Kun- denverhaltensanalyse an Dritte bekanntgegeben, wobei einzelne Personen innerhalb des Migros- Genossenschafts-Bunds technisch eine Zugriffsmöglichkeit auf die Daten haben.

2.2. Bearbeitung von Widerspruchs- und Löschungsbegehren 60. Einer der Kernpunkte und Anlass dieser Sachverhaltsabklärung waren die Meldungen von Bürgern betreffend die Bearbeitung von Datenschutzbegehren, insbesondere von Widerspruchsbegehren durch die Digitec Galaxus AG. 2.2.1. Rechte der betroffenen Personen gemäss der Datenschutzerklärung 61. Die Digitec Galaxus AG führt in ihrer Datenschutzerklärung unter Ziffern 3 und 4 auf, dass die Betroffenen der Bearbeitung ihrer Personendaten widersprechen können, indem sie Digitec.ch durch die zur Verfügung gestellten Kanäle (telefonisch oder mittels Kontaktformular) kontaktieren: 3. Welche Rechte haben Sie mit Bezug auf Ihre Personendaten? Sie haben das Recht jederzeit Ihre Datenschutzrechte geltend zu machen und Auskunft über Ihre gespeicherten Personendaten zu erhalten, Ihre Personendaten zu berichtigen, zu ergän- zen, der Bearbeitung Ihrer Personendaten zu widersprechen oder die Löschung Ihrer Perso- nendaten zu verlangen. Die Kontaktmöglichkeiten finden Sie in Ziffer 4 unten. Wir behalten uns vor, in diesem Zusammenhang elektronisch (insbesondere per E-Mail) mit Ihnen zu korrespon- dieren. 4. Wie können Sie uns kontaktieren? Falls Sie Ihre Rechte mit Bezug auf Ihre Personendaten geltend machen möchten oder Fragen bzw. Bedenken haben hinsichtlich der Bearbeitung unserer Personendaten, können Sie uns wie folgt kontaktieren: /Information/ContactInformation. Wir werden uns bemühen, Ihre Fragen oder Bedenken nach Erhalt umgehend zu beantworten. 57

2.2.2. Bearbeitung von Datenschutzbegehren durch den Kundendienst 62. Gemäss der Digitec Galaxus AG gehen Datenschutzbegehren im Kundendienst ein, wo sie erfasst und anschliessend umgesetzt werden. Um Datenschutzbegehren richtig zu erkennen und bearbei- ten zu können, werden die Mitarbeitenden des Kundendienstes gemäss der Digitec Galaxus AG von einem externen Datenschutzbeauftragten geschult. Zudem wurde ein gruppenweites E-Lear- ning bereits ausgerollt, wobei auch die Mitarbeitenden der Digitec Galaxus AG (inkl. des Kunden- dienstes) im Datenschutz geschult werden sollen. Bei Unsicherheiten steht ihnen zudem eine, im Datenschutz geschulte, interne Kontaktperson zur Verfügung. 58

56 Vgl. Antworten zur Frage 4 des Schreibens vom 12. Juni 2020 (S. 3) und zur Frage 18 (Ziff. 58 des Schreibens vom 29. April 2021, S. 18). 57 Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 58 Vgl. Antwort zur Frage 2 (Schreiben vom 12. Juni 2020, S. 2).

20/39

  1. In den uns gemeldeten Fällen wurden Kunden, die ein Widerspruchsbegehren per E-Mail beim Kundendienst eingereicht haben, um gewisse von ihnen nicht erwünschte Datenbearbeitungen (vorliegend die Datenbekanntgabe an Dritte bzw. die Speicherung, die Verwendung und Auswer- tung von Personendaten zu Werbe- und Marketingzwecken) zu verbieten, informiert, dass dies nicht möglich sei. In einem der uns gemeldeten Fällen erklärte ein Mitarbeiter des Kundendienstes, dass die Richtlinien der Digitec Galaxus AG für ausnahmslos jeden Kunden gleichermassen gelten würden, weshalb dem einzelnen Kunden keine individuelle Lösung angeboten werden könnte. 59

Hierzu nahm die Digitec Galaxus AG wie folgt Stellung: «Unsere Kunden haben nicht die Möglich- keit, ihnen [den Datenbearbeitungen] im Einzelnen zu widersprechen. In diesem Sinne ist es richtig, dass wir keine individuellen Datenschutzeinstellungen anbieten, mit Ausnahme des Direktmarke- tings, das der Kunde einstellen kann». In diesem Sinne hielt die Digitec Galaxus AG weiter Folgen- des fest: «Ein Kunde, der die Bearbeitung von Personendaten zu Analysezwecken nicht wünscht, kann aber von der Bestellung absehen und hat jederzeit die Möglichkeit, die Löschung seiner Kun- dendaten zu verlangen. Darüber informieren wir ausdrücklich in unserer Datenschutzerklärung (Ziff. 3). Löschbegehren kommen wir nach (dazu Frage 2). Damit decken wir das Widerspruchs- recht unserer Kunden umfassend ab» 60

  1. Mit dem Satz «Darüber informieren wir ausdrücklich in unserer Datenschutzerklärung (Ziff. 3)» sei nicht gemeint, dass die betroffenen Personen in der Datenschutzerklärung darauf aufmerksam ge- macht werden, dass sie, mit Ausnahme der Zustellung von Direktmarketingmitteilungen, nicht die Möglichkeit haben, einzelnen Datenbearbeitungen zu widersprechen und, dass sie ihr Wider- spruchsrecht ausüben können, indem sie von einer Bestellung absehen bzw. die Löschung der bereits erfassten Daten verlangen würden. Vielmehr werde ausgeführt, dass sie in der Datenschut- zerklärung über ihr Löschungsrecht informiert werden, welches sie über ihr Kundenkonto durch das Klicken auf den Link «Benutzerkonto löschen» geltend machen können. 61 Digitec Galaxus AG vertritt den Standpunkt, dass das Widerspruchsrecht der Kunden umfassend abgedeckt sei, wenn die Kunden jederzeit über die Kontaktmöglichkeit in der Datenschutzerklärung, über das Nutzer- konto oder z.B. durch einen Link in elektronischen Newslettern widersprechen können. Gemäss unseren Abklärungen können die Kunden nicht beispielsweise, sondern ausschliesslich der Zustel- lung von elektronischen Marketingmitteilungen widersprechen.

  2. In einem weiteren uns gemeldeten Fall wurde die betroffene Person durch den Kundendienst in- formiert, dass, um ihrem Widerspruchsbegehren nachkommen zu können, die Digitec Galaxus AG ihr Kundenkonto löschen müsste. Dies wurde aber gemäss den uns verfügbaren Information einer anderen betroffenen Person, die uns im Februar 2020 kontaktiert hat, nicht mittgeteilt bzw. wurde ihr die Löschung des Kontos nicht angeboten. Gemäss der Digitec Galaxus AG werden die Daten der Kunden, die ein Widerspruchsbegehren beim Kundendienst einreichen, nicht automatisch ge- löscht: Die Kunden, welche ihre gespeicherten Daten bei der Digitec Galaxus AG löschen wollen, müssen dies ausdrücklich verlangen (mehr dazu unter Rz. 68). 62

  3. Die Digitec Galaxus AG hält bezüglich dieser Aussagen von Kundendienstmitarbeitenden fest, dass sie keine Kenntnis davon habe, was Mitarbeiter des Kundendiensts in Einzelfällen möglich- erweise gesagt haben könnten, dass sie aber einer Verallgemeinerung etwaiger einzelner Aussa- gen widerspreche. 63 Was die Bearbeitung von Löschungsbegehren anbelangt, hält sie fest, dass ihr keine Fälle bekannt seien, in denen eine Löschung nicht korrekt umgesetzt worden sei. 64

59 Vgl. E-Mail des Kundendienstes vom 26. März 2020, welche uns die betroffene Person am selben Tag weitergeleitet hat. (Ergänzt aufgrund der Stellungnahme der Digitec Galaxus AG vom 3. September 2021). 60 Vgl. Antwort zur Frage 1 (Schreiben vom 12. Juni 2020, S. 2). 61 Vgl. Antwort zur Frage 21 (Ziff. 61 des Schreibens vom 29. April 2021, S. 19). 62 Vgl. Antwort zur Frage 24.1 (Ziff. 69 f. des Schreibens vom 29. April 2021, S. 22). 63 Vgl. Stellungnahme vom 3. September 2021 (S. 9). 64 Vgl. Antwort zur Frage 2 (Schreiben vom 12. Juni 2020, S. 2).

21/39

2.2.3. Löschung von Daten bei Dritten 67. Da die Digitec Galaxus AG gewisse Personendaten durch Auftragsdatenbearbeiter bearbeiten lässt (siehe Ziff. 2.1.5), stellte sich die Frage, wie sie die Löschung von nicht mehr gebrauchten Daten, die durch Auftragsdatenbearbeiter aufbewahrt werden, sicherstellt. Die Digitec Galaxus AG hält dazu fest, dass sich die Antwort je nach Typ und Anbieter der Auftragsbearbeitung unterschei- det. Auf eine detaillierte Auflistung in ihrer Stellungnahme hat sie verzichtet, aber sie erklärte, dass das Unternehmen generell Auftragsdatenbearbeitungsvereinbarungen (ADV) mit seinen Auftrags- datenbearbeitern abschliessen würde, welche ein Weisungsrecht und eine Löschpflicht vorsehen würden und definieren, wann der Dienstleister zur Löschung verpflichtet sei (z.B. rollierend nach 30 Tagen). 65 In anderen Fällen hielt die Digitec Galaxus AG fest, dass sie darauf abziele, den Dienstleister automatisiert per E-Mail zur Löschung anzuweisen. Eine vollautomatische Löschung über alle Systeme hinweg habe sie jedoch bisher nicht umgesetzt. 66

2.2.4. Neuer Löschprozess 68. Gemäss der Digitec Galaxus AG wurde ein neuer Löschprozess bei der Digitec Galaxus AG ein- geführt, wonach neu die Kunden jederzeit die Option haben, über ihr Kundenkonto die Löschung ihrer Daten zu verlangen, indem sie die Option «Benutzerkonto löschen» wählen.

65 Die Digitec Galaxus AG hat uns als Beispiel in der Beilage zur Stellungnahme vom 3. September 2021 eine Kopie eines Vertrages, welchen sie mit dem Dienstleister abgeschlossen hat, zugestellt.

66 Vgl. Antwort zur Frage 22.3 (Ziff. 66 des Schreibens vom 29. April 2021, S. 21). 67 Vgl. Antworten zu Fragen 21 und 22.1 (Ziff. 61 f. des Schreibens vom 29. April 2021, S. 19 f.) und Stellungnahme vom 3. September 2021, S. 9. 68 Vgl. Antwort zur Frage 10 (Ziff. 48 des Schreibens vom 29. April 2021, S. 15) und Antwort zur Frage 1 (Ziff. 2 der Stellungnahme vom 3. September 2021, S. 1 f.). 69 Vgl. Antwort zur Frage 24.2 (Ziff. 70 des Schreibens vom 29. April 2021, S. 22).

01 S

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB

Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch

2.2.5. Löschung von nicht mehr gebrauchten Daten (ohne das Mitwirken der Kunden) 72. Zur Löschung von Personendaten ohne das Mitwirken der Kunden durch Einreichen eines Lö- schungsbegehrens wird unter Ziff. 2 der Datenschutzerklärung Folgendes aufgeführt: 2. Wie lange bewahren wir Daten auf? Wir behalten Ihre Personendaten so lange auf, wie wir dies zur Einhaltung der geltenden Gesetze als notwendig oder angemessen erachten oder so lange sie für die Zwecke, für die sie gesammelt wurden notwendig sind. Wir löschen Ihre Personendaten, sobald diese nicht mehr benötigt werden und auf jeden Fall nach Ablauf der gesetzlich vorgeschriebenen maximalen Aufbewahrungsfrist. 73. Dabei stellte sich die Frage, für wie lange die Digitec Galaxus AG die Daten, die für die verschie- dene Bearbeitungszwecke erhoben worden sind, als erforderlich betrachtet und mithin aufbewahrt. Die Digitec Galaxus AG hat in diesem Zusammenhang festgehalten, dass sie alle Personendaten der Kunden während einer laufenden Kundenbeziehung (d.h. solange das Kundenkonto aktiv ist) aufbewahrt, es sei denn der Kunde die Löschung seiner Daten ausdrücklich verlangt. 70

  1. Datenschutzrechtliche Beurteilung
  2. Nachfolgend werden auf der Basis des verbindlich festgestellten Sachverhalts diejenigen Aspekte behandelt, deren Datenschutzkonformität in Rahmen dieser Sachverhaltsabklärung zu prüfen wa- ren. 3.1. Bearbeitung von Personendaten
  3. Das Bundesgesetz vom 19. Juni 1992 über den Datenschutz ist auf das Bearbeiten von Personen- daten durch private Personen anwendbar (Art. 2 Abs. 1 lit. a DSG). Unter «Bearbeiten» wird jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbeson- dere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten verstanden (Art. 3 lit. e DSG). Als «Personendaten» im Sinne von Art. 3 lit. a DSG gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare Person bezie- hen. Liegen keine Personendaten vor, kommt das DSG nicht zur Anwendung. Werden Personen- daten bearbeitet, müssen die Vorgaben des DSG beachtet werden. Das nDSG sieht diesbezüglich keine Änderungen vor, abgesehen davon, dass unter Personen neu nur noch natürliche Personen verstanden werden.
  4. Gemäss den AGB der Digitec Galaxus AG gilt für die Bearbeitung von Personendaten ihre Daten- schutzerklärung. Alle Datenbearbeitungen, welche in der Datenschutzerklärung umschrieben wer- den, können also prinzipiell als Bearbeitungen von Personendaten verstanden werden.
  5. Allerdings bestreitet die Digitec Galaxus AG, dass gewisse Daten, die sie bearbeiten, einen Per- sonenbezug aufweisen. Dies sind die Daten, welche sie mittels Cookies und andere Trackingme- chanismen erhebt und bei der Nutzung des zur Bearbeitung über- mittelt. Ausserdem wird die Nutzung des in der Datenschutzerklä- rung nicht ausdrücklich erwähnt, was darauf hindeuten könnte, dass die Digitec Galaxus AG die Hashwerte der E-Mail-Adressen der Kunden, die sie bei hochlädt, nicht als Personen- daten betrachtet. Nachfolgend wird deshalb geprüft, ob diese Daten dennoch als «Personendaten» im Sinne des DSG gelten.

70 Vgl. Antwort zur Frage 25 (Ziff. 71 des Schreibens vom 29. April 2021, S. 23).

24/39

  1. Personendaten müssen einen Personenbezug aufweisen. Konkret muss die Person, auf welche sich die Angaben beziehen, bestimmt oder bestimmbar sein: Eine Person ist bestimmt, wenn sich bereits aufgrund der Informationen selbst eindeutig ergibt, auf welche Person sie sich beziehen. Bestimmbar ist die Person hingegen, wenn sie zwar allein durch die Daten nicht eindeutig identifi- ziert wird, aber aus den Umständen, das heisst dem Kontext einer Information auf sie geschlossen werden kann (Botschaft DSG, BBl 1988 II 413, S. 444).
  2. Zur Annahme der Bestimmbarkeit genügt nicht jede theoretische Möglichkeit der Identifizierung. Die Antwort hängt vom konkreten Fall ab, wobei das Interesse, die Mittel des Interessenten sowie insbesondere die Möglichkeiten der Technik mitzuberücksichtigen sind. Muss nach der allgemei- nen Lebenserfahrung nicht damit gerechnet werden, dass ein Interessent, sei es der Datenbear- beiter oder ein Dritter, den Identifizierungsaufwand auf sich nehmen wird, dann liegt in der Regel keine Bestimmbarkeit vor (BBl 1988 II 444 f. Ziff. 221.1; BELSER, a.a.O., N. 6 zu Art. 3 DSG; ROSENTHAL, a.a.O., N. 24 f. zu Art. 3 DSG).
  3. Zur Annahme der Bestimmtheit einer Person im Sinne des DSG spielt es weder eine grosse Rolle, wie gross der Aufwand ist, um die Person hinter einem Identifikator zu identifizieren, noch, ob sich der Datenbearbeiter diesen Mühen unterziehen will oder kann, wenn ein eindeutiger Bezug zwi- schen den Daten und der Person vorliegt. Denn selbst wenn der Datenbearbeiter nicht imstande wäre, einer Angabe den Namen einer Person zuzuordnen, liegt gleichwohl Bestimmbarkeit der Angaben im Sinne des DSG vor, wenn ein eindeutiger Bezug zwischen den Daten und der Person vorliegt. In diesem Sinne hielt die ehemalige Eidgenössische Datenschutzkommission (nachfol- gend «EDSK») beispielsweise fest, dass, auch wenn E-Mails lediglich aus Zahlenfolgen oder Phan- tasiebezeichnungen bestehen, eine eindeutige Koppelung zwischen den Personen und diesen Da- ten vorliegt, sofern sie eindeutig zu einer Person gehören. Die EDSK stellte in Bezug auf E-Mail- Adressen fest, dass sich Personen die Mühe machen, im Internet E-Mail-Adressen zu sammeln, deren Halter sie nicht identifizieren können, weil sie damit rechnen können, dass die an aktive Adressen versandte E-Mail-Werbung ankommt und von den Empfängern zur Kenntnis genommen wird. «Dabei entsteht die Chance, dass sie auf einen potenziellen Kunden für die feilgehaltenen Produkte oder Dienstleistungen trifft. [...] Demnach sind E-Mail-Adressen - unabhängig davon, ob es sich um Phantasiebezeichnungen handelt oder nicht - Personendaten im Sinne von Art. 3 Abs. 1 Bst. a DSG.» (Urteil der EDSK vom 15. April 2005, VPB 69.106, E. 2.4).
  4. In Hinblick auf das Risiko einer Re-Identifizierung von Daten, die bearbeitet wurden, um die Iden- tität der betroffenen Person zu verschleiern, stellt «Identifizierung» nicht nur auf die Möglichkeit ab, Namen und/oder Adressen betroffener Personen zu ermitteln, sondern auch auf eine potenzielle Identifizierbarkeit durch Herausgreifen, Verknüpfung und Inferenz. Von einer Anonymisierung der Daten kann man ausgehen, wenn keine Partei in der Lage ist, eine Person aus einem Datenbe- stand herauszugreifen, eine Verbindung zwischen zwei Datensätzen eines Datenbestands (oder zwischen zwei unabhängigen Datenbeständen) herzustellen oder durch Inferenz Informationen aus einem solchen Datenbestand abzuleiten. Wenn andererseits immer noch die Möglichkeit einer Re-Identifizierung der Daten durch Herausgreifen, Verknüpfung und Inferenz besteht, spricht man von pseudonymisierten Daten. Pseudonymisierten Daten stellen insofern Personendaten nach Art. 3 lit. a DSG dar, als sie ohne unangemessenen Aufwand re-identifiziert werden können (vgl. BLECHTA, a.a.O., N. 11 und 12 zu Art. 3 DSG). 3.1.1. Daten im Zusammenhang mit
  5. Vorab ist festzuhalten, dass die Datenbearbeitung im Zusammenhang mit nicht im Fokus der vorliegenden Sachverhaltsabklärung stand. Soweit Digitec Galaxus AG angibt, dass sie neben einem Auftragsdatenbearbeitungsvertrag einen zusätzlichen Vertrag über die Be- arbeitung in gemeinsamer Verantwortung mit abgeschlossen habe, wird dieser Aspekt des Sachverhalts und die grundsätzliche Rechtmässigkeit des darauf beruhenden Einsatzes von deshalb nicht näher geprüft. Zur Frage der erkennbaren Ausweisung des Einsatzes von s. Kap. 3.2.2.3.

25/39

  1. In den -Hilfen erläutert , dass Nutzungsdaten, welche mit erhoben und ausgewertet werden, keine «personenidentifizierbaren Informationen» seien. Die De- finition von von «personenidentifizierbaren Informationen» stimmt allerdings nicht mit dem Begriff von Personendaten nach Art. 3 lit. a DSG überein. Für gelten Angaben als «perso- nenidentifizierbare Informationen», wenn allein durch diese eine natürliche Person direkt identifi- ziert, kontaktiert oder genau geortet werden kann. betrachtet beispielsweise die folgenden Angaben nicht als Personendaten: Pseudonyme Cookie-ID; Pseudonyme Werbe-ID; IP-Adresse; sowie sonstige pseudonyme Endnutzerkennungen, weist allerdings darauf hin, dass

. Vor diesem Hintergrund soll die Einstufung durch von Daten als nicht-personenidentifizierbare Informationen nicht als Synonym von Nicht-Personendaten verstanden werden. 84. Unabhängig von der Definition von macht die Digitec Galaxus AG geltend, dass sie diese Daten nicht als Personendaten betrachtet. Dies begründet sie damit, dass sie keine realistische Möglichkeit hat, die Personen hinter den Angaben zu identifizieren bzw. diese einer bestimmten Person zuzuordnen, ausser wenn sich diese Personen als Nutzer bei Digitec Galaxus AG regist- rieren und einloggen. Was die Nutzung von anbelangt, verwendet die Digitec Galaxus AG diese Argumentation um festzuhalten, dass die Daten, welche bearbeitet, auch nicht als Personendaten gelten. 85. Unter Berücksichtigung der oben genannten Definition von Personendaten können Daten, die mit einer eindeutigen Kennung des Endnutzers verbunden sind, als Personendaten betrachtet werden. Gemäss unserer Analyse werden die Daten, welche mittels bearbeitet werden, verknüpft mit einer Client-ID an übermittelt. Die Client-ID ist eine einzigartige Kennung, welche unter anderem aus einer Kombination von Informationen über den Browser und das End- gerät generiert wird und erlaubt, dass ein Nutzer über mehrere Sessions erkannt wird, sofern er denselben Browser und dasselbe Endgerät verwendet. Da Digitec Galaxus AG die Client-ID nicht , erhält die Clint-ID einen noch stärkeren persön- licheren Charakter, weil die Nutzungsdaten trotz Löschung der Cookies weiterhin mit dieser ein- deutigen Kennung verknüpft werden können. Da sich die Nutzer der Webshops anmelden müssen, um Produkte zu bestellen, erfolgt ausserdem eine Identifizierung durch Digitec Galaxus AG der Person, auf die sich die Nutzerdaten beziehen. Diese sind von Anfang an als Personendaten zu betrachten, weil sie einen eindeutigen Bezug zu dem entsprechenden Nutzer oder der entspre- chenden Nutzerin des Endgeräts/Browsers haben. Somit handelt es sich bei Nutzungsdaten und sonstigen gerätespezifischen Daten, die einer bestimmten Nutzerin oder Nutzer zugeordnet wer- den können, um Personendaten i.S.d. DSG. 3.1.2. Daten im Zusammenhang mit 86. Die Digitec Galaxus AG lädt eine Liste mit gehashten E-Mail-Adressen bei hoch, damit diese die Dienstleistungen im Zusammenhang mit der Erstellung von Kundenlisten für Werbungkampagnen bereitstellen kann. Die Digitec Galaxus AG hat nicht ausdrücklich bestritten, dass es sich bei den gehashten E-Mail-Adressen nicht um Personendaten handelt, sondern nur festgehalten, dass diese vor einer Übermittlung an pseudonymisiert werden. Die Verwandlung von Textdaten auf Hashwerten kann unter Umständen genügen, um die Geltung des DSG auszuschliessen. Dies ist allerdings nicht der Fall, wenn die Möglichkeit einer Re-Identifizie- rung der Daten ohne unverhältnismässig grossen Aufwand besteht. 87. Vorliegend wird das Hashverfahren SHA-256 verwendet, um E-Mail-Adressen von Kunden auf Hashwerte umzuwandeln. erhält lediglich Hashwerte, kann aber durchaus aus den Hashwerten Rückschlüsse auf konkrete Nutzer ziehen. Da jeder und Nutzerin eine E-Mail-Adresse bei registriert hat und gleiche Werte immer identische Hashwerte generieren, kann dem durch Digitec Galaxus AG übermittelten Hashwert eine E-Mail-Adresse zuordnen, die registriert ist, wenn diese mit Hashwerten, die aus registrierten E-Mail-Adressen selbst berechnet, vergleicht. So kann feststellen, welche auch Kunden der Digitec Galaxus AG sind. Somit sind diese Hashwerte Personendaten i.S.d. DSG.

26/39

3.1.3. Bearbeitung von Persönlichkeitsprofilen 88. Persönlichkeitsprofile werden in Art. 3 lit. d DSG als «eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt» definiert. Gemäss Botschaft zum DSG ist ein Persönlichkeitsprofil eine Zusammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Auch Datensammlungen über das Konsumverhalten sind geeignet, mindestens ein Teilbild der betroffenen Personen zu ergeben. Entscheidend ist, dass die systematische Zusammenstellung von an sich nicht besonders schützenswerten Daten eine Beur- teilung wesentlicher Aspekte der Persönlichkeit zulässt (BBl II 1988 413, S. 446 f.). Personendaten, die über einen längeren Zeitraum zusammengetragen werden und dadurch gleichsam ein biogra- fisches Bild ergeben, indem sie eine Entwicklung, einen Werdegang der betroffenen Person auf- zeigen, sind eher als Persönlichkeitsprofil zu qualifizieren als Daten, die eine blosse Momentauf- nahme darstellen. Eine Darstellung der Gesamtpersönlichkeit ist nicht erforderlich. Es genügt, wenn aus wichtigen Eigenschafts- und Verhaltensaspekten ein Persönlichkeitsbild erstellt werden kann. Ein Beispiel einer möglichen Bearbeitung von Persönlichkeitsprofilen ist die Aufzeichnung von Kundengewohnheiten und -präferenzen, der personalisierten Auswertung von Kreditkarten- transaktionen, etc. (BVGer A-4232/2015 vom 18. April 2017, E. 5.2.1). Gemäss dem Leiturteil des Bundesverwaltungsgerichts zum Persönlichkeitsprofil in Sachen Moneyhouse können sich auch an sich harmlose, der Öffentlichkeitssphäre zurechenbare Informationen zu einem Persönlichkeits- profil verdichten (BVGer A-4232/2015 vom 18. April 2017). Für die Frage, ob eine Zusammenstel- lung mehrerer Daten einer bestimmten Person ein Persönlichkeitsprofil ergibt, kommt es zum einen auf die Menge und den Inhalt der personenbezogenen Informationen an, mit anderen Worten, ob und inwiefern diese Werturteile über die betroffene Person erlauben. 89. Die Digitec Galaxus AG analysiert das Verhalten ihrer Kunden. Durch erkennt, klassifiziert und analysiert die Digitec Galaxus AG aktuelle und potentielle Kundenbedürfnisse, Kundeninteressen sowie das Kundenpotential. Die Personalisierung erfolgt auf der Grundlage von Daten über das Kundenverhalten

welche im Nutzerkonto erfasst sind. 90. Durch die Kundenverhaltensanalyse werden Kundengewohnheiten und -präferenzen aufgezeich- net und dahingehend ausgewertet, dass bspw. eine Personalisierung des Sortiments im Online- shop ermöglicht wird. Personendaten werden über einen längeren Zeitraum zusammengetragen und damit eine Entwicklung der Person aufgezeigt. Folglich führt die Bearbeitung durch die Digitec Galaxus AG zu einer Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit ihrer Kunden erlaubt und somit zu Persönlichkeitsprofilen führt. 91. Im nDSG wurde die Begrifflichkeit des «Persönlichkeitsprofils» durch die Begrifflichkeit des «Profi- lings» ersetzt. Gemäss Art. 5 lit. f umfasst die Bearbeitungsform des Profilings «jede Art der auto- matisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet wer- den, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewer- ten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, per- sönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen». 92. Im Rahmen der parlamentarischen Arbeiten hat der Gesetzgeber von 2020 das «Profiling» in lit. g. von Art. 5 nDSG durch die qualifizierte Bearbeitungsform des «Profilings mit hohem Risiko» er- gänzt, welche in der Vorlage des Bundesrats noch nicht vorgesehen war. Dabei handelt es sich um ein «Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung we- sentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.» Es ist augenscheinlich, dass sich der Gesetzgeber von 2020 mit dieser Formulierung an die Definition des altrechtlichen «Persönlichkeitsprofils» angelehnt hat und dieses weitgehend übernimmt (so R UDIN, in: Baeris- wyl/Pärli/Blonski (Hrsg.), Stämpflis Handkommentar um DSG, 2. Aufl. Art. 5 N 52).

27/39

Obwohl beide Begrifflichkeiten eine automatisierte Form der Bearbeitung voraussetzen, ist deren Bedeutung nicht deckungsgleich. Während es sich beim altrechtlichen Persönlichkeitsprofil um das Ergebnis einer Datenbearbeitung handelt, bezeichnet «Profiling» eine besondere Form der Bear- beitung. Aus dem logischen Zusammenhang zwischen dem Resultat und der Form einer Bearbei- tung wiederum lässt sich in Anlehnung an die einschlägige Lehre ableiten, dass automatisierte Bearbeitungen, die im Ergebnis zu einem altrechtlichen «Persönlichkeitsprofil» führen, das eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer Person erlaubt, im Regelfall auch die Qualifikationsmerkmale des «Profilings mit hohem Risiko» erfüllen (in diesem Sinne S TENGEL/LO- DERER unter Berufung auf Daniel Rosenthal u.a., in: Bieri/Powell (Hrsg.), Kommentar DSG, Ausg. 2023 Art. 5 N 16 f.). 93. Wie oben dargelegt, lassen die von der Digitec Galaxus AG bearbeiteten Persönlichkeitsprofile eine Beurteilung wesentlicher Persönlichkeitsaspekte zu, wie sie auch für das «Profiling mit hohem Risiko» nach neuem Recht kennzeichnend ist. Ob im konkreten Fall denn auch von einem solchen «Profiling mit hohem Risiko» auszugehen ist, kann der EDÖB indessen offenlassen, da sich die vorliegende Sachverhaltsabklärung nach altem Recht beurteilt. 3.2. Transparenz und Informationspflicht 3.2.1. Grundsätze nach Art. 4 Abs. 3 und 4 sowie Art. 14 DSG 94. Die Bearbeitung von Personendaten muss gemäss den Bearbeitungsgrundsätzen von Art. 4, 5 Abs. 1 und 7 Abs. 1 DSG erfolgen. Eine Verletzung dieser Bearbeitungsgrundsätze stellt eine Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG dar. 95. Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Ergänzt wird der Zweckbindungsgrundsatz vom Grundsatz der Erkennbarkeit in Art. 4 Abs. 4 DSG, wonach die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung für die be- troffene Person erkennbar sein muss. Sinn und Zweck dieser Norm ist, den betroffenen Personen zu ermöglichen, bewusste Entscheidungen über ihr informationelles Selbstbestimmungsrecht zu treffen. In diesem Sinne müssen die Informationen, die bereitgestellt werden, umfassend, korrekt und für den Nutzer eindeutig und klar sein. 96. Wenn die Datenbearbeitungen nicht präzis genug bestimmt oder nicht in einer klaren und eindeu- tigen Form beschrieben werden, kann eine betroffene Person weder die durchgeführten Datenbe- arbeitungen kontrollieren, noch ihre datenschutzrechtlichen Ansprüche vernünftig ausüben. So die Botschaft: «Die in Artikel 4 Absatz 4 verlangte Transparenz [...] verleiht dem Recht, die Bearbei- tung zu untersagen (Art. 12 Abs. 2 lit. b DSG), ebenfalls eine neue Dimension. Das Recht, sich der Bearbeitung zu widersetzen, muss so lange blosse Theorie bleiben, als die betroffenen Personen sich über eine Datenbeschaffung und ihre wesentlichen Rahmenbedingungen gar nicht im Klaren sind. Die Transparenz der Beschaffung und die Information der betroffenen Person bilden somit den eigentlichen Eckpfeiler des ganzen Datenschutzsystems» (BBl 2003 2101, S. 2126). 97. Dazu sollen die Informationen und deren Bereitstellung aus der Perspektive einer zum Zielpublikum gehörenden, verständigen Durchschnittsperson nach Treu und Glauben hinreichend sein, um ihnen eine zumutbare Möglichkeit zu gewähren, davon Kenntnis zu nehmen. Vor diesem Hinter- grund sind die Informationen, welche der Inhaber oder die Inhaberin der Datensammlung in einer konkreten Situation der betroffenen Person erteilen muss, nach den Umständen sowie den Grunds- ätzen der Verhältnismässigkeit und Treu und Glauben zu beurteilen (Art. 4 Abs. 2 DSG). 98. Das DSG kennt neben dem Transparenzgebot des Art. 4 Abs. 4 DSG auch eine Informationspflicht des Verantwortlichen beim Beschaffen von besonders schützenswerten Personendaten und Per- sönlichkeitsprofilen: Der Inhaber der Datensammlung ist verpflichtet, die betroffene Person über die Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen zu informieren (vgl. Art. 14 Abs. 1 DSG).

28/39

  1. Die Informationspflicht nach Art. 14 DSG setzt voraus, dass die Information ausdrücklich bereitge- stellt wird und dass der Inhaber der Datensammlung der betroffenen Person alle Informationen zukommen lässt, die für eine Bearbeitung nach dem Grundsatz von Treu und Glauben und der Verhältnismässigkeit erforderlich sind, insbesondere die Identität des Inhabers der Datensamm- lung, den Zweck des Bearbeitens und die Kategorien allfälliger Datenempfänger.
  2. Folgende Anforderungen müssen erfüllt werden, um den Transparenzgrundsatz einzuhalten:
  1. Die Erhebung von Personendaten muss erkennbar sein und dabei muss es der betroffenen Per- son klar sein, wofür welche Daten über sie bearbeitet werden; 2) wenn dies aus den Umständen nicht ersichtlich ist, müssen die Bearbeitungszwecke und Rahmenbedingungen durch den Verant- wortlichen in Form einer Information angegeben werden; 3) die Angemessenheit der Informationen wird daran gemessen, ob eine betroffene Person auf Grundlage dieser eine bewusste Entschei- dung über ihr Recht auf informationelle Selbstbestimmung treffen kann (z.B. ihre Einwilligung ge- ben). In diesem Sinne müssen die Informationen, die bereitgestellt werden, umfassend, korrekt und für den Nutzer oder die Nutzerin eindeutig und klar sein.
  1. Das nDSG geht indes weiter, indem es die Verantwortlichen verpflichtet, die Betroffenen angemes- sen über die Beschaffung von Personendaten zu informieren, auch dann, wenn die Daten nicht bei der betroffenen Person beschafft werden (vgl. Art. 19 nDSG). Die Verantwortlichen haben bei der Beschaffung den betroffenen Personen diejenigen Informationen mitzuteilen, die erforderlich sind, damit sie ihre Rechte nach dem nDSG geltend machen können und eine transparente Datenbear- beitung gewährleistet ist (vgl. Art. 19 Abs. 2 nDSG). 3.2.2. Erkennbarkeit 3.2.2.1. Erkennbarkeit der Datenerhebung
  2. Vorliegend werden Nutzerinnen und Nutzer in Form einer Datenschutzerklärung auf der Webseite über die Bearbeitung ihrer Personendaten wie bspw. über den Zweck der Datenbearbeitung, die Bekanntgabe der Personendaten an Dritte u.v.m. informiert (vgl. Ziff. 2.1.2.). Nutzerinnen und Nut- zer kreuzen bei der Registrierung das Kontrollkästchen neben der Aussage «Ja, ich stimme der in der Datenschutzerklärung umschriebenen Bearbeitung sämtlicher meiner Personendaten zu. Dies umfasst die Bearbeitung sämtlicher meiner Personendaten, insbesondere zum Zweck der Analyse des Kundenverhaltens und des Direktmarketings durch alle Unternehmen der Migros-Gruppe» an (vgl. Ziff. 19).
  3. Dass bei der Registrierung aufgefordert wird, durch das Ankreuzen Kenntnis von der Datenschut- zerklärung zu nehmen, kann als Zeichen einer aktiven Information angesehen werden, was mit Blick auf Art. 14 DSG zu begrüssen ist. Die Information wird folglich durch die Digitec Galaxus AG ausdrücklich bereitgestellt.
  4. Die Einhaltung des Transparenzgebots und der Informationspflicht gemäss Art. 14 DSG kann al- lerdings nur abschliessend bejaht werden, wenn die Informationen, die durch den Verantwortlichen geliefert werden, auch angemessen sind. Insbesondere müsste ersichtlich sein, welche Daten für welche Zwecke und unter welchen Bedingungen bearbeitet werden. In Bezug auf Persönlichkeits- profile müsste ausserdem ausgeführt werden, ob und inwieweit diese durch wen für welche Zwecke bearbeitet werden und ob eine Datenbekanntgabe an Dritte stattfindet.

29/39

3.2.2.2. Erkennbarkeit der Bearbeitungszwecke und der Rahmenbedingungen der Datenbearbeitung 105. Das Zweckbindungsprinzip will die Bearbeitung von Personendaten kontrollieren, indem es den Verantwortlichen dazu zwingt, im Vornherein zu definieren, in welchem Kontextraum er die Perso- nendaten verwenden will. Wenn der Verantwortliche klar macht, zu welchen Zwecken er die Daten erhebt, stabilisiert er die Erwartungen der betroffenen Person und reduziert Informationsasymmet- rien (G EORGE DAMIAN, Prinzipien und Rechtmässigkeitsbedingungen im privaten Datenschutzrecht, Kritische Betrachtungen zu Geschichte und Gegenwart eines Schutzkonzepts in der Schweiz und der Europäischen Union, Zürich - Basel - Genf 2021, S. 286). 106. Nach Ziff. 15.3 der AGB gilt für die Bearbeitung von Personendaten durch die Digitec Galaxus AG die Datenschutzerklärung. Unter Ziff. 8 der Datenschutzerklärung («Warum bearbeiten wir Perso- nendaten?») werden verschiedene Zwecke angegeben, für welche Personendaten bearbeitet wer- den. Diese sind in fünf Kategorien unterteilt: Bearbeitungszwecke im Zusammenhang mit ihren Waren und Dienstleistungsangeboten, mit der Kundenkommunikation, mit besonderen Aktivitäten und Anlässen, mit der Analyse des Kundenverhaltens und mit Direktmarketing. Gemäss Ziff. 9 der Datenschutzerklärung kann die Digitec Galaxus AG Personendaten für die genannten Zwecke an andere Unternehmen der Migros-Gruppe weitergeben, die sie «im eigenen Interesse für die glei- chen Zwecke benutzen» können, wie diejenigen der Digitec Galaxus AG. Also insbesondere indi- vidualisierte und personalisierte Analysen des Kundenverhaltens und für Direktmarketing-Aktivitä- ten. Unter Ziff. 7 der Datenschutzerklärung («Welche Personendaten sammeln wir?») wird in einer Aufzählung präzisiert, welche Daten bearbeitet werden. Unterschieden wird zwischen «Daten zur Person» und «Daten zur Kundenaktivität». 107. Vorliegend umschreibt die Digitec Galaxus AG zwar die Zwecke, die gesammelten Personendaten und an wen diese bekanntgegeben werden, allerdings ist nicht ersichtlich, welche Personendaten konkret zu welchen Zwecken bearbeitet und welche Personendaten konkret an welche Unterneh- men weitergegeben werden. Ziff. 7 der Datenschutzerklärung erweckt den Anschein, als würden sämtliche dort aufgelisteten Daten für sämtliche Zwecke verwendet und damit an sämtliche in Ziff. 9 umschriebenen Dritten bekanntgegeben werden. Für betroffene Personen muss jedoch ersicht- lich sein, welche Personendaten konkret zu welchen Zwecken bearbeitet werden. Ist dies für die betroffene Person nicht klar, kann sie keine bewussten Entscheidungen über ihr informationelles Selbstbestimmungsrecht treffen. Ausserdem ist es bspw. nicht möglich, die Erforderlichkeit eines Eingriffs zu beurteilen oder die Einhaltung der Grundsätze der Speicherbegrenzung und der Da- tenrichtigkeit. 108. In diesem Sinne sind die Informationen, die bereitgestellt werden, für den Nutzer oder die Nutzerin nicht eindeutig und klar. Sie erlaubt es den betroffenen Personen nicht, sich einen Überblick über die tatsächlich durchgeführten Datenbearbeitungen zu verschaffen. Verantwortliche haben in ihrer Datenschutzerklärung klar und erkennbar zu umschreiben, welche Personendaten zu welchem Zweck bearbeitet und an wen diese weitergegeben werden. Folglich erachten wir die Informationen in der Datenschutzrichtlinie als ungenügend hinsichtlich des Transparenzgebots nach Art. 4 Abs. 4 DSG. 3.2.2.3. Erkennbarkeit der Bearbeitung im Rahmen von und

  1. Die Digitec Galaxus AG beschreibt in Ziff. 12 der Datenschutzerklärung, wie sie Web Analyse- Tools verwenden. Sie verweist darauf, dass je nach Anbieter eines Web Analyse-Tools die Server im Ausland stehen können. Es wird einzig auf das , marginal eingegangen.

30/39

  1. In Kap. 3.1.1. und 3.1.2 wurde festgehalten, dass es sich im Rahmen von bei Nutzungsdaten und sonstigen gerätespezifischen Daten, die bestimmten Nutzerinnen oder Nut- zern zugeordnet werden können und im Rahmen von bei Hashwerten um Per- sonendaten i.S.d. DSG handelt. Die Datenschutzerklärung liefert keine Informationen über Damit wird der Grundsatz der Transparenz verletzt.
  2. In Bezug auf die Nutzung von wird lediglich der Zweck der Webseite Optimierung genannt. Wir stellen aber fest, dass Tracking ebenfalls für die Bearbeitung von Persönlichkeitspro- file im Zusammenhang mit Werbung und Marketing eingesetzt wird. Die Aussage aus der Daten- schutzerklärung «Die im Rahmen von von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von zusammengeführt.» trifft nicht zu. Wenn in Apps oder auf Webseiten zusammen mit anderen produkten wie implementiert wird, werden die Daten mit Werbe-IDs erfasst und mit anderen Daten zusammen- geführt. Dies findet auf der Webseite von Digitec statt (siehe Rz. 50). 3.2.2.4. Erkennbarkeit der Bearbeitung von Persönlichkeitsprofilen
  3. Die Digitec Galaxus AG bearbeitet über Digitec und Galaxus Persönlichkeitsprofile (siehe Kap. 3.1.3). Somit untersteht die Digitec Galaxus AG der Informationspflicht nach Art. 14 DSG.
  4. Ziff. 7 der Datenschutzerklärung beschreibt mittels Aufzählung, welche Personendaten gesammelt werden. Für die betroffenen Personen ist nicht ersichtlich, dass überhaupt und insbesondere zu welchen Zwecken Persönlichkeitsprofile bearbeitet werden. Eine konkrete Information im Sinne von Art. 14 DSG liegt damit nicht vor. In Ziff. 8.4 werden die Bearbeitungszwecke im Zusammen- hang mit der Analyse des Kundenverhaltens beschrieben. Fraglich ist hierbei, inwiefern ein Bear- beitungsvorgang einen Bearbeitungszweck darstellen kann. Aus der Aufzählung ist ersichtlich, dass die Analyse zur Optimierung der Standorte und des Produktangebots in den Filialen und der Kundenbedürfnisse dienen soll. Letztendlich dient die Kundenverhaltensanalyse der Absatzsteige- rung, in dem den betroffenen Personen individualisierte bzw. auf ihre Interessen zugeschnittene Angebote unterbreitet werden können. Auch hier fehlt es an Transparenz für die betroffenen Per- sonen. Es ist nicht klar ersichtlich, zu welchem Zweck eine Kundenverhaltensanalyse erfolgt und welche Daten in diesem Zusammenhang bearbeitet werden. Folglich verletzt die Digitec Galaxus AG ihre Informationspflicht nach Art. 14 DSG.
  5. Ziff. 9 der Datenschutzerklärung beschreibt, an wen die Digitec Galaxus AG Personendaten wei- tergibt. Gemäss Datenschutzerklärung kann sie Personendaten der Nutzerinnen und Nutzer an andere Unternehmen der Migros-Gruppe weitergeben, die sie «im eigenen Interesse für die glei- chen Zwecke benutzen» können, wie diejenigen der Digitec Galaxus AG. Also insbesondere indi- vidualisierte und personalisierte Analysen des Kundenverhaltens und für Direktmarketing-Aktivitä- ten. Gemäss Art. 12 Abs. 2 DSG darf der Verantwortliche oder die Verantwortliche nicht ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Drit- ten bekanntgeben. Eine einzelne Bekanntgabe eines Persönlichkeitsprofils genügt; eine regelmäs- sige Bekanntgabe ist nicht erforderlich. Die Rechtmässigkeit der Weitergabe von Persönlichkeits- profilen an Dritte hängt vom Vorliegen eines Rechtfertigungsgrunds, z.B. der expliziten Einwilligung der betroffenen Person oder einer gesetzlichen Grundlage, ab (BVGer A-4232/2015 vom 18. April 2017, E. 5.2.1 f.).

Die Di- gitec Galaxus AG erklärt, dass sie einen Rechtfertigungsgrund prüfen würden, wenn dies der Fall wäre. Konkret wird im Kap. 3.2.3.1 auf diese Thematik eingegangen. Folglich kann davon ausge- gangen werden, dass keine Bekanntgabe an Dritte erfolgt und Art. 12 Abs. 2 DSG nicht zur An- wendung kommt.

31/39

3.2.3. Umfang der Datenbearbeitung 3.2.3.1. Nicht durchgeführte Datenbearbeitungen 116. Verschiedene Datenbearbeitungen bzw. Bearbeitungszwecke, die in der Datenschutzerklärung er- wähnt sind, werden gemäss der Digitec Galaxus AG im Moment nicht durchgeführt und sind auch zukünftig nicht geplant.

  1. Die Digitec Galaxus AG erklärt, ihre Datenschutzerklärung absichtlich breit zu formulieren. Sie ver- tritt den Standpunkt, dass eine Datenschutzerklärung, welche breit formuliert ist, datenschutz- freundlicher sei, als eine Datenschutzerklärung, welche granulare Ausführungen enthält und des- halb öfter geändert werden muss. Das komme den betroffenen Personen zugute, denn dadurch sei ihnen bei der Aufnahme der Kundenbeziehung bewusst - also dann, wenn sie die Datenschut- zerklärung erstmals und i.d.R. auch letztmals konsultieren -, dass eine verhältnismässig breitere Datenbearbeitung in Frage komme.
  2. Eine betroffene Person vertraut nach Treu und Glauben darauf, dass die Informationen in der Da- tenschutzerklärung zutreffen. Wird dem Ansatz von der Digitec Galaxus AG gefolgt, können Ver- antwortliche eine Datenschutzerklärung verfassen, welche jegliche Datenbearbeitungen auf Vorrat miteinbeziehen. Eine Datenschutzerklärung mit Datenbearbeitungen «auf Vorrat» lässt die be- troffenen Personen im Unwissen. Ihnen wäre es nicht mehr möglich, Datenbearbeitungen, die tat- sächlich erfolgen, von denjenigen, die möglicherweise in Zukunft eintreten können, abzugrenzen. Die betroffenen Personen sind sich über die Datenbeschaffung und ihre wesentlichen Rahmenbe- dingungen nicht mehr im Klaren. Sie müssten in einem ersten Schritt vom Verantwortlichen oder der Verantwortlichen wissen, welche Datenbearbeitungen tatsächlich erfolgen und könnten erst in einem zweiten Schritt ihre Betroffenenrechte ausüben. Die betroffenen Personen dürfen nach Treu und Glauben damit rechnen, dass die Datenbearbeitungen, welche in der Datenschutzerklärung umschrieben werden, auch tatsächlich erfolgen.
  3. Das Verhalten von der Digitec Galaxus AG verstösst gegen den Grundsatz von Treu und Glauben und stellt eine Verletzung des Transparenzgrundsatzes dar, die zu einer Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG führt. Wenn kein Rechtfertigungsgrund vorliegt, ist diese Persön- lichkeitsverletzung widerrechtlich. 3.2.3.2. Widerspruchsrecht
  4. Die Digitec Galaxus AG führt in ihrer Datenschutzerklärung unter Ziff. 3 und 4 auf, dass die Be- troffenen der Bearbeitung ihrer Personendaten widersprechen können, indem sie die Digitec Ga- laxus AG durch die zur Verfügung gestellten Kanäle (telefonisch oder mittels Kontaktformular) kon- taktieren.
  5. Nach der Digitec Galaxus AG sei das Widerspruchsrecht umfassend abgedeckt, wenn die Nutze- rinnen und Nutzer von der Bestellung absehen oder die Löschung ihrer Daten verlangen können (vgl. Kap. 2.2). Es gebe keine Möglichkeit, Datenbearbeitungen im Einzelnen zu widersprechen. Die Digitec Galaxus AG biete, mit Ausnahmen des Direktmarketings, keine individuellen Daten- schutzeinstellungen an. Hier stützt sich die Digitec Galaxus AG auf ihren Standpunkt, dass die Datenbearbeitungen, konkret die Pflicht zur Registrierung durch ein Kundenkonto mit gekoppelter Kundenverhaltensanalyse, grundsatzkonform seien und kein Rechtfertigungsgrund notwendig sei.

32/39

  1. Bereits unter Kapitel 3.2.3.1. wurde festgehalten, dass eine betroffene Person nach Treu und Glau- ben darauf vertraut, dass die Informationen in der Datenschutzerklärung zutreffen. Die betroffenen Personen dürfen damit rechnen, dass die Datenbearbeitungen, welche in der Datenschutzerklä- rung umschrieben werden, auch tatsächlich erfolgen sowie ihre Betroffenenrechte grundsätzlich auch geltend gemacht werden können.
  2. In diesem Sinne liegt eine mit dem Grundsatz von Treu und Glauben unvereinbare Situation vor, wenn die Digitec Galaxus AG erklärt, dass das Widerspruchsrecht ihrer Nutzerinnen und Nutzer umfassend abgedeckt wird, wenn sie von der Bestellung absehen oder die Löschung seiner Kun- dendaten verlangen können. Diese Lösungen entsprechen weder den berechtigten Erwartungen, die entstehen, wenn eine Person die Datenschutzerklärung liest, noch sind sie mit den geltenden datenschutzrechtlichen Bestimmungen vereinbar. Somit können die Personen erwarten, dass sie gewissen Datenbearbeitungen nach der Registrierung widersprechen können. Ausserdem haben die Nutzerinnen und Nutzer gestützt auf Art. 12 Abs. 2 lit. b DSG ein gesetzlich garantiertes Wider- spruchsrecht, wonach ein Datenbearbeiter ohne Rechtfertigungsgrund keine Personendaten einer Person gegen deren ausdrücklichen Willen bearbeiten darf.
  3. Wenn Nutzerinnen oder Nutzer ein Widerspruchsbegehren beim Kundendienst einreichen und kein Rechtfertigungsgrund für die Weiterbearbeitung der Daten vorliegt, müssen die fraglichen Daten- bearbeitungen eingestellt werden. Bearbeitungen gegen den ausdrücklichen Willen der betroffenen Person und ohne Rechtfertigungsgrund stellen eine Persönlichkeitsverletzung dar. Wird die be- troffene Person diese Datenbearbeitungen hinnehmen müssen, um eine Bestellung abzugeben, wenn sie für diesen Zweck nicht notwendig sind und kein Rechtfertigungsgrund für deren Durch- führung vorliegt, wird sie in ihrer Persönlichkeit widerrechtlich verletzt. Sofern sich die Digitec Ga- laxus AG auf ein überwiegendes privates Interesse nach Art. 13 DSG stützen will, so hat sie dies im Rahmen der Ablehnung des Widerspruchsrechts zu begründen. Die Aussagen, wonach die Da- tenbearbeitungen grundsatzkonform seien und dass das Widerspruchsrecht umfassend abgedeckt sei, wenn die Nutzerinnen und Nutzer von der Bestellung absehen oder die Löschung ihrer Daten verlangen können, treffen deshalb nicht zu. 3.3. Grundsatz der Verhältnismässigkeit 3.3.1. Grundsatz nach Art. 4 Abs. 2 DSG
  4. Gemäss Art. 4 Abs. 3 DSG dürfen Personendaten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Dabei ist nicht auszuschliessen, dass eine Datenbearbeitung für mehrere Zwecke erfolgen kann. Werden Daten für mehrere Zwecke bearbeitet, muss für jeden einzelnen Zweck geprüft wer- den, ob die Datenbearbeitung den datenschutzrechtlichen Grundsätzen, insbesondere dem Grund- satz der Verhältnismässigkeit, entspricht. Denn je nach Zweck kann die rechtliche Beurteilung un- terschiedlich ausfallen.
  5. Nach Art. 4 Abs. 2 DSG muss die Bearbeitung der Personendaten verhältnismässig sein. Dies verlangt, dass Personendaten nur soweit bearbeitet werden dürfen, als dies für einen bestimmten Zweck objektiv geeignet und tatsächlich erforderlich ist. Der Verhältnismässigkeitsgrundsatz ver- langt weiter, dass die Datenbearbeitung für die betroffene Person sowohl hinsichtlich ihres Zwecks als auch hinsichtlich ihrer Mittel zumutbar ist, d.h., in einem vernünftigen Verhältnis zum Eingriff in die Grundrechte, insb. das Recht auf informationelle Selbstbestimmung, steht (verhältnismässig i.e.S.). Erforderlich ist eine vernünftige Zweck-Mittel-Relation. Eine Datenbearbeitung ist unverhält- nismässig, wenn das Ziel mit einem weniger schweren Eingriff in die Persönlichkeit erreicht werden kann (vgl. BGE 133 I 77 E. 4.1, S. 81). Ausdruck des Verhältnismässigkeitsprinzips ist das Gebot der Datenminimierung, wonach nur diejenigen Daten beschafft und bearbeitet werden dürfen, die für einen Zweck auch tatsächlich benötigt werden.

33/39

  1. Die Rechtsprechung des Bundesverwaltungsgerichts i.S. Google Street View (BVerG A-7040/2009 30.03.2011, E. 8.2.3) und des Bundesgerichts i.S. Video-Überwachung in einem Mieterhaus (BGE 142 III 263, E. 2.2.2) bestätigt: Wenn kein vernünftiges Verhältnis zwischen dem Bearbei- tungszweck und der Persönlichkeitsbeeinträchtigung besteht, weil bspw. das gewählte Mittel einen erheblichen Eingriff in der Persönlichkeit der betroffenen Person darstellt, stellt die Datenbearbei- tung eine Persönlichkeitsverletzung im Sinne von Art. 12 Abs. 2 lit. a DSG dar (BVerG A-4232/2015 vom 18.04.2017, E. 5.2.1).
  2. Vorliegend ist zu prüfen, ob die Verpflichtung zur Errichtung eines Kundenkontos und Koppelung einer Kundenverhaltensanalyse verhältnismässig ist.
  3. Der Bestellverlauf bzw. die Teilnahme an der «Community» ist wie folgt gestaltet: Nutzerinnen und Nutzer, die ein Produkt kaufen möchten und Teil der «Community» sein wollen, müssen sich auf Digitec und Galaxus mit einem Kundenkonto registrieren. Die von den betroffenen Personen bei der Registrierung angegebenen Personendaten werden als Datensatz einem Kundenkonto zuge- ordnet. Erst durch das Kundenkonto wird ein Persönlichkeitsprofil erstellt. 3.3.2. Kundenkonto und Kundenverhaltensanalyse im Rahmen der «Kernleistung»
  4. Die Digitec Galaxus AG betreibt primär einen Onlineshop, welcher die sog. «Kernleistung» des Unternehmens darstellt. Dies wird in Ziff. 8.1. der Datenschutzerklärung zum Ausdruck gebracht, wonach verschiedene Zwecke im Zusammenhang mit den Waren aufgezählt werden wie bspw. die Bereitstellung und der Verkauf von Waren, die Abwicklung von Bestellungen und Verträgen, etc. Der Grundsatz der Verhältnismässigkeit bzw. der Datenminimierung gilt auch bei der Gestaltung des Bestellverlaufs. Eine Datenbearbeitung hat zu unterbleiben, wenn eine gleich geeignete, aber mildere Massnahme für den angestrebten Erfolg ausreichen würde. Das Gebot der Erforderlichkeit einer Massnahme wird auch als Prinzip der «Notwendigkeit», des «geringst möglichen Eingriffs», der «Zweckangemessenheit» oder als «Übermassverbot» bezeichnet (Urteil des BVGer A- 3908/2008 vom 4. August 2009, E. 3.3).
  5. Das Erfordernis zur Erstellung eines Kundenkontos und der Kundenverhaltensanalyse begründet die Digitec Galaxus AG mit verschiedenen Argumenten. Das Unternehmen betrachte die Möglich- keiten, welche ein Kundenkonto voraussetzen, als Bestandteil ihres Service, so z.B. sei das Kun- denkonto eine zentrale Stelle zur Information über die Bestellhistorie u.v.m. (vgl. Kap. 2.1.1). Das Kundenkonto ermögliche eine Personalisierung der Darstellung des Sortiments im Onlineshop so- wie das Anzeigen von zuletzt besuchten Artikeln und das Erstellen von Merklisten: dies sei gemäss der Digitec Galaxus AG unabdingbar, damit sich die Nutzer und Nutzerinnen im Onlineshop orien- tieren können. Personalisierungen auf Basis von Verhaltensdaten des Besuchs (Cookies) seien nicht zuverlässig und funktionierten zudem nicht gerätübergreifend.
  6. Mit dem Recht auf informationelle Selbstbestimmung hat jede Person das Recht, grundsätzlich selbst über die Verwendung der Daten zu bestimmen, welche sich auf seine Person beziehen. Es lässt dem Einzelnen die Herrschaft über seine personenbezogenen Daten zukommen (vgl. BVerG A-7040/2009 30.03.2011, E. 8.2.3). Erwähnt sei in diesem Kontext auch die notorische Tatsache, dass Digitec und Galaxus zu den Marktleadern im Onlineshop-Geschäft der Schweiz gehören. 71

Daraus folgt, dass für eine grosse Anzahl von Personen durch die Bekannt- und Beliebtheit von Galaxus und Digitec sowie deren grosser Produktauswahl Digitec und Galaxus erste Anlaufstelle sind, um Produkte zu erwerben.

71 Die beiden Onlineshops sind nach heutigem Stand der Dinge gemäss dem E-Commerce Stimmungsbarometer 2023 schweiz- weit am beliebtesten und mehr als 4 Millionen Personen haben im Jahr 2023 bei Galaxus und Digitec eingekauft (https://fh- hwz.ch/news/e-commerce-stimmungsbarometer-2023-digitec-galaxus-schweizweit-am-beliebtesten (zuletzt besucht am 03.11.2023); https://www.netzwoche.ch/news/2024-01-23/mehr-als-4-millionen-personen-haben-2023-bei-galaxus-und-digitec- eingekauft?utm_source=Netzticker&utm_campaign=a97b191e4c-EMAIL_CAM- PAIGN_2023_11_16_11_17_COPY_01&utm_medium=email&utm_term=0_-b068c6f4a6-%5BLIST_EMAIL_ID%5D [zuletzt be- sucht am 23.01.2024]) .

34/39

Ein Kundenkonto, welches auch mit einer Kundenverhaltensanalyse gekoppelt ist, dient klarer- weise der Absatzsteigerung und erlaubt Digitec und Galaxus, ihre Kundschaft gezielter anzuspre- chen. Auch wenn der Service von Digitec und Galaxus der Nutzerin oder dem Nutzer durch die gesammelten Informationen im Kundenkonto und der daraus folgenden Kundenverhaltensanalyse ein besseres Kauferlebnis ermöglichen soll, so geht es Onlineshop-Käufern und -Käuferinnen beim Onlineshopping primär darum, das gewünschte Produkt zu erwerben. Auf Galaxus und Digitec werden auch Produkte verkauft, die zumindest teilweise einen Rückschluss auf besonders schüt- zenswerte Personendaten ermöglichen wie bspw. die Gesundheit. Je länger und je mehr eine Per- son auf Digitec und Galaxus bestellt, desto aussagekräftiger ist deren Persönlichkeitsprofil durch das Kundenkonto. Persönlichkeitsprofile sind gemäss Bundesverwaltungsgericht geeignet, die Entfaltung der Persönlichkeit wesentlich zu beeinträchtigen (vgl. BVerG A-4232/2015 vom 18.04.2017, E. 5.2.1.). 133. Ein Kaufvorgang ist in der Regel als Einmalschuldverhältnis ausgestaltet, d.h. der Nutzer oder die Nutzerin bestellt bspw. ein Produkt gegen Zahlung eines Entgelts, das Produkt wird geliefert und damit ist der Vertrag erfüllt. Vorliegend werden mit einem Kundenkonto und damit einhergehenden Kundenverhaltensanalyse jedoch Personendaten bearbeitet, die über den unmittelbaren Kaufpro- zess hinausgehen. Betroffene Personen sind gezwungen, eine Datenbearbeitung einzugehen, die für die eigentliche Kernleistung der Datenbearbeitung nicht notwendig ist. Abgesehen von gesetz- lichen Vorschriften, die eine längere Aufbewahrungsdauer vorsehen, müssen nicht mehr benötigte Daten nach Vertragserfüllung gelöscht werden. Personendaten werden mit einem Kundenkonto allerdings mindestens so lange gespeichert, wie dieses aktiv ist. 134. In diesem Zusammenhang halten wir fest, dass die Pflicht zur Erstellung eines Kundenkontos mit der Koppelung zur Erstellung von Persönlichkeitsprofilen die Kundschaft in ihrer Persönlichkeit übermässig beeinträchtigt und für eine Nutzerin oder einen Nutzer, der lediglich eine Ware bei dem Webshop bestellen möchte, nicht erforderlich ist. Betroffenen Personen kann in dem Sinne nicht zugemutet werden, einer Bearbeitung ihrer Personendaten einzugehen, die für den Kauf nicht not- wendig ist. Damit wird ihr Recht auf informationelle Selbstbestimmung stark beeinträchtigt. 135. Aus diesen Gründen steht fest, dass das Erfordernis eines Kundenkontos für die Abwicklung des Bestellvorgangs dem Gebot der Erforderlichkeit widerspricht und damit den Grundsatz der Verhält- nismässigkeit der Datenbearbeitung gemäss Art. 4 Abs. 2 DSG verletzt. Es liegt daher eine Per- sönlichkeitsverletzung nach Art. 12 Abs. 2 lit. a DSG vor. 136. Wie oben dargelegt, lassen die von der Digitec Galaxus AG bearbeiteten Persönlichkeitsprofile eine Beurteilung wesentlicher Persönlichkeitsaspekte zu, wie sie auch für das «Profiling mit hohem Risiko» nach neuem Recht kennzeichnend ist. Dies spricht dafür, dass sich an der Beurteilung der Beeinträchtigung als «wesentlich» auch nach neuem Recht nichts ändern dürfte. Da die vorlie- gende Sachverhaltsabklärung nach altem Recht zu beurteilen ist, lässt der EDÖB diese Frage in- dessen offen. 3.3.3. Kundenkonto im Rahmen der Dienstleistung Community 137. Die Digitec Galaxus AG bietet allerdings nicht nur einen Onlineshop, sondern auch eine Plattform mit einer aktiven Community an und damit eine Dienstleistung gemäss Ziff. 8.1 der Datenschutzer- klärung. Die Teilnahme an dieser Community erfordere ein Kundenkonto, damit die Nutzerinnen und Nutzer an der Community Digitec teilnehmen können,

  1. Vorliegend stellt das Kundenkonto die Grundlage zur Benützung der Digitec «Community» Platt- form dar. Bewertungen ohne Kundenkonto seien gemäss der Digitec Galaxus AG nicht nach Ein- haltung der Lauterkeitsvorschriften kontrollierbar. Die Plattform ermögliche es den Nutzerinnen und Nutzern, gekaufte Artikel direkt anderen weiterzuverkaufen, wobei die Digitec Galaxus AG lediglich als Vermittler gelte. Zudem ermögliche das Konto das sog. «Digitec live», also das Anzeigen von getätigten Einkäufen im öffentlichen Profil der Nutzerin oder des Nutzers.

35/39

  1. Im Gegensatz zum Kaufvorgang und damit der «Kernleistung» der Digitec Galaxus AG stellt die «Community» Plattform kein Einmalschuldverhältnis dar. Die Dienstleistung ist so ausgestaltet, dass die «Community» miteinander interagieren kann, weshalb sich die Datenbearbeitung im Ge- gensatz zum Kaufvorgang stark unterscheidet. Nutzerinnen und Nutzer entscheiden sich in diesem Fall dafür, Teil der Digitec bzw. Galaxus «Community» zu sein und damit in die Datenbearbeitung, die hierfür erforderlich ist. 3.3.4. Persönlichkeitsverletzung und Rechtfertigung
  2. Nach der Rechtsprechung des Bundesgerichts i.S. Logistep (BGE 136 II 508, S. 523, E. 6.3.1) lässt sich eine Persönlichkeitsverletzung beim Verstoss gegen die Grundsätze von Art. 4 DSG nur mit grosser Zurückhaltung durch private Interessen rechtfertigen. Dabei könnte die Einwilligung des Verletzten, ein überwiegendes privates oder öffentliches Interesse oder ein Gesetz im Betracht kommen. Das nDSG sieht bei der Begrifflichkeit der Persönlichkeitsverletzung und den gesetzli- chen Rechtfertigungsgründen keine Änderungen vor.
  3. Gemäss Digitec soll das Ankreuzen des Kästchens neben folgender Aussage bei der Registrierung «Ja, ich stimme der in der Datenschutzerklärung umschriebenen Bearbeitung sämtlicher meiner Personendaten zu. Dies umfasst die Bearbeitung sämtlicher meiner Personendaten, insbesondere zum Zweck der Analyse des Kundenverhaltens und des Direktmarketings durch alle Unternehmen der Migros-Gruppe.» (siehe Rz. 18 ff.) nicht als Einwilligung verstanden werden, weshalb nicht geprüft wird, ob eine gültige Einwilligung dadurch erteilt wird. Die Digitec Galaxus AG hat in ihrer Stellungnahme zudem keinen weiteren Rechtfertigungsgrund erwähnt, weil sie davon ausgeht, dass keine Persönlichkeitsverletzung vorliegt. Sie führte lediglich in Bezug auf die Möglichkeit, dass Daten an andere Unternehmen der Migros bekanntgegeben werden, aus, dass sie einen Rechtfer- tigungsgrund prüfen würden, wenn eine Datenbekanntgabe stattfinden sollte. Da sich die Digitec Galaxus AG somit vorliegend auf keinen konkreten Rechtfertigungsgrund beruft, erweist sich die beanstandete Personendatenbearbeitung als unzulässig, soweit sie aufgrund ihrer Koppelung mit der zwingenden Eröffnung eines Kundenkontos gegen das Verhältnismässigkeitsprinzip verstösst.
  4. Sollte sich die Digitec Galaxus AG auf den Rechtfertigungsgrund des überwiegenden privaten In- teresses berufen wollen, erachtet der EDÖB es als wichtig klarzustellen, dass rein wirtschaftliche Interessen, wie beispielsweise das Interesse daran, eine Datenbearbeitung möglichst effizient zu gestalten oder die eigenen Geschäftsabläufe zu optimieren, grundsätzlich zu den schutzwürdigen Interessen zählen, die im Rahmen einer Interessenabwägung berücksichtigt werden müssen. Ge- mäss der Rechtsprechung des Bundesgerichts (BGE 138 II 346 S. 365, E. 10.4 und 10.61) dürfen Verantwortliche allerdings nicht alleine gestützt auf das Interesse ihres wirtschaftlichen Erfolgs die Verletzung der Persönlichkeitsrechte zahlreicher Personen in Kauf nehmen.
  5. Als Betreiberin des grössten Online-Warenhauses und Onlineshops für Elektronik der Schweiz hat die Digitec Galaxus AG ihre Dienste unter hinreichender Wahrung der informationellen Selbstbe- stimmung der Betroffenen anzubieten, sodass allfällige Persönlichkeitsverletzungen nach Möglich- keit vermieden oder gemildert werden. Sofern der zur verhältnismässigen Ausgestaltung der Be- arbeitung notwendige Mehraufwand weder die wirtschaftliche Existenz des Unternehmens noch dessen Geschäftsmodell im Online Handel ernstlich infrage stellt, können dessen wirtschaftlichen Interessen die Schutzinteressen der von Persönlichkeitsverletzungen betroffenen Personen schwerlich überwiegen.
  6. Eine offensichtliche Alternative, um die festgestellten Persönlichkeitsverletzungen zu vermeiden bzw. zu rechtfertigen, wäre das Anbieten eines Gastkaufes. Ein solcher ermöglicht es der Kund- schaft im Onlineshop zu bestellen, ohne sich mit einem Kundenkonto registrieren zu müssen. Be- stellungen können durch einen Gastkauf grundsätzlich schneller abgewickelt werden, da bspw. kein Passwort erstellt werden muss und in der Regel nur diejenigen Personendaten erhoben wer- den, die für die Abwicklung des Bestellvorgangs und der Zahlungsabwicklung notwendig sind.

36/39

  1. Nutzerinnen und Nutzer können selbstverständlich freiwillig vom besseren Kauferlebnis und von der Community profitieren wollen. So führt die Digitec Galaxus AG denn auch verschiedene Argu- mente an, die für das Erstellen eines Kundenkontos sprechen. So sei das Kundenkonto eine zent- rale Stelle zur Information über die Bestellhistorie, zur Verwaltung kundenseitiger Einstellmöglich- keiten und zur Steuerung weiterer Dienstleistungen. Das Konto ermögliche auch eine bessere Kun- denbetreuung Auf- grund dieser Argumentation kann somit weder davon ausgegangen werden, dass sich die Nutze- rinnen und Nutzer stets für einen Gastkauf entscheiden würden, wenn ein solcher angeboten würde, noch dass alle Nutzerinnen und Nutzer ein Kundenkonto eröffnen und ihre Bestellungen nur über dieses Konto abwickeln würden. Zur Wahrung der informationellen Selbstbestimmung der Nutzerinnen und Nutzer erscheint es deshalb angezeigt, diesen ein Wahlrecht darüber einzuräu- men, ob ihr Online Kauf über ein Konto erfolgen und so zu einer weitergehenden Bearbeitung ihrer persönlichen Daten führen soll oder nicht.
  2. Es sind für den EDÖB keine Anhaltspunkte ersichtlich, wonach die Ermöglichung des Gastkaufs für die Digitec Galaxus AG zu einem unverhältnismässigen Aufwand und wirtschaftlichen Nachtei- len führen würde, welche die Wirtschaftlichkeit des Unternehmens und ihres Geschäftsmodells in Frage stellen würden. Einerseits kann die Digitec Galaxus AG ihre Kundschaft mit geeigneten Mar- ketingstrategien und Leistungen motivieren, sich freiwillig mit einem Kundenkonto zu registrieren. So besteht etwa die Möglichkeit der Gewährung verhältnismässiger wirtschaftlicher Anreize wie Gutschriften und Rabatten, wie sie in der Schweiz mehrere Grossverteiler den Inhaberinnen und Inhabern ihrer Kundenkarten zukommen lassen. Weiter verfügt die Digitec Galaxus AG als spezi- alisierte Online Händlerin auch mit Blick auf Gastkäufe über die nötige Expertise, um die Risiken von Missbräuchen und Zahlungsstörungen für sich und ihre Online Laufkundschaft durch geeignete technische Vorkehren auf ein vertretbares Mass zu senken.
  3. Zusammenfassend lässt sich somit folgendes festhalten: Soweit die Digitec Galaxus AG den On- line-Bestellvorgang mit dem zwingenden Erfordernis eines Kundenkontos koppelt, erweisen sich die im Rahmen dieser Sachverhaltsabklärung zu beurteilenden Personendatenbearbeitungen als unzulässig, weil sie das Gebot der Erforderlichkeit und damit den Grundsatz der Verhältnismässig- keit der Datenbearbeitung gemäss Art. 4 Abs. 2 DSG verletzen.

37/39

  1. Empfehlungen
  2. Gestützt auf Art. 29 Abs. 3 DSG erlässt der EDÖB gegenüber der Digitec Galaxus AG die folgenden Empfehlungen. In Bezug auf die Transparenz und Informationspflicht (vgl. Kap. 3.2 ff.) lauten die Empfehlungen:

Die Digitec Galaxus AG passt ihre Datenschutzerklärung dergestalt an, dass die Nutzerinnen und Nutzer eindeutig über Datenbearbeitungen informiert werden. Dabei muss klar darüber informiert werden, welche Daten für welche Bearbeitungszwecke bearbeitet und an welche Datenempfänger sie weitergegeben werden. Die Digitec Galaxus AG hat ihre Datenschutzerklärung dahingehend anzupassen, dass

  1. für die betroffenen Personen klar erkennbar ist, welche Web Analyse-Tools verwendet werden und welche Datenbearbeitungen daraus resultieren.

  2. für die betroffenen Personen klar erkennbar ist, zu welchen Zwecken welche Personendaten bearbeitet werden, und dass Datenbearbeitungen erfolgen, die zu Persönlichkeitsprofilen füh- ren.

  3. die Erklärung keine Datenbearbeitungen «auf Vorrat» beinhaltet und dort nur diejenigen Daten- bearbeitungen aufgeführt werden, die auch tatsächlich erfolgen.

  4. die Erklärung differenziert und unmissverständlich darüber informiert, welche Bearbeitungen zu Persönlichkeitsverletzungen führen und auf welche Gründe sich die Digitec Galaxus AG zu deren Rechtfertigung beruft.

  5. die Erklärung je nach Rechtfertigungsgrund der Datenbearbeitung die korrekte Lösch- bzw. Wi- derspruchsmöglichkeit beschreibt und ihre Praxis bezüglich der Lösch- bzw. Widerspruchsbe- gehren diesbezüglich korrekt umgesetzt wird.

In Bezug auf die festgestellten Mängel betreffend das Kundenkonto und die Kundenverhaltensana- lyse (siehe Kap. 3.3) lautet die Empfehlung:

  1. Soweit die untersuchten Datenbearbeitungen infolge Koppelung mit dem zwingenden Erforder- nis eines Kundenkontos gegen das Verhältnismässigkeitsprinzip verstossen, erweisen sie sich als unzulässig. Die Digitec Galaxus AG passt die Bearbeitungen deshalb dergestalt an, dass sie inskünftig nicht mehr in die informationelle Selbstbestimmung der Nutzerinnen und Nutzer eingreifen, als für die zweckgerechte Durchführung der Bearbeitung nötig und mit den privaten Interessen der Verantwortlichen datenschutzrechtlich gerechtfertigt werden kann. Eine nahelie- gende Möglichkeit zur verhältnismässigen Ausgestaltung der Datenbearbeitungen stellt das al- ternative Anbieten eines Gastkaufs dar.

38/39

  1. Verfahren 5.1. Stellungnahme der Digitec Galaxus AG
  2. Mit Schreiben vom 30. Januar 2024 wurde der Digitec Galaxus AG der Bericht zu einer abschlies- senden Stellungnahme unterbreitet.
  3. Im Falle der vollumfänglichen oder teilweisen Annahme der Empfehlungen wird der EDÖB der Digitec Galaxus AG nach Publikation des Schlussberichts Frist ansetzen, zu deren Umsetzung Stellung zu nehmen. Sofern sich aufgrund dieser Stellungnahme Abstimmungsbedarf ergeben sollte, kann der EDÖB die Digitec Galaxus AG zu gegebener Zeit zu Gesprächen einladen. Soweit die Empfehlungen nicht angenommen werden, kann der EDÖB sie dem Bundesverwaltungsgericht zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).
  4. Die Digitec Galaxus AG hält in ihrer Stellungnahme vom 5. April 2024 fest, dass die Sachverhalts- abklärung für den vorliegenden Schlussberichts am 15. Februar 2021 eröffnet wurde und seit der Eröffnung des Sachverhalts sich die schweizerische Unternehmenspraxis im Datenschutzbereich entwickelt habe, unter anderem aufgrund des neuen Datenschutzgesetzes und der dafür getroffe- nen Vorbereitungen. Das treffe auch auf die Digitec Galaxus AG zu, die ihre Datenschutzerklärung seither grundlegend überarbeitet und den Umgang mit Betroffenenbegehren stärker professionali- siert habe. Dies in Vorbereitung auf das neue DSG, aber auch, weil die Awareness für Anliegen des Datenschutzes in der Schweiz generell zugenommen habe und der Umgang mit Personenda- ten für das Geschäftsmodell der Digitec Galaxus AG bedeutsam sei.
  5. Der zeitliche Verlauf des Verfahrens und die in der Zwischenzeit geänderte Datenschutzerklärung führen gemäss der Digitec Galaxus AG daher dazu, dass fünf der sechs Empfehlungen einen in- zwischen überholten Sachverhalt betreffen, konkret die alte Datenschutzerklärung. Durch die An- passungen habe die Digitec Galaxus AG in der Zwischenzeit bereits einige der Empfehlungen im Schlussbericht vorweggenommen.
  6. Zu den Empfehlungen hält die Digitec Galaxus AG fest, dass die Empfehlungen 1 bis 6 grundsätz- lich aus verschiedenen Gründen gegenstandslos seien. Zu den einzelnen Empfehlungen positioniert sie sich wie folgt:
  • Sie nimmt die Empfehlung 6 ohne Anerkennung einer Rechtspflicht an. Die Empfehlung 6 bedarf der Umsetzung.
  • Sie hat die Empfehlung 1 und 5 vollumfänglich sowie die Empfehlung 2 teilweise in dem Punkt, dass für die betroffenen Personen klar erkennbar sein muss, zu welchen Zwecken welche Per- sonendaten bearbeitet werden, inhaltlich und ohne Anerkennung einer Rechtspflicht bereits vor- weggenommen.
  • Sie lehnt die Empfehlung 3 und 4 vollumfänglich sowie die Empfehlung 2 teilweise ab. 5.2. Veröffentlichung des Schlussberichts mit Empfehlungen
  1. Es besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für die vorliegende Art der Da- tenbearbeitung zu sensibilisieren und sie über seine Feststellungen und die Ergebnisse seiner Ab- klärung zu informieren. Gestützt auf Art. 30 Abs. 2 DSG wird der EDÖB deshalb den vorliegenden Schlussbericht in angepasster Form auf seiner Website (www.edoeb.admin.ch) veröffentlichen.
  2. Die Veröffentlichung des vollständigen Berichts inklusive Empfehlungen steht unter dem Vorbehalt, dass aus Sicht der Digitec Galaxus AG keine vertraulichen Daten offengelegt werden, welche Ge- schäftsgeheimnisse preisgeben oder die Wettbewerbsfähigkeit beeinflussen könnten.

39/39

  1. Die Digitec Galaxus AG hat den Bericht auf solche vertraulichen Inhalte geprüft und Schwärzungen beantragt, die der EDÖB vollumfänglich übernommen hat.

Der Beauftragte: Die zuständige Juristin:

Adrian Lobsiger Elisa Tolaj

Zitate

Gerichtsentscheide

Quelldetails
Rechtsraum
Schweiz
Region
Federal
Verfugbare Sprachen
Deutsch
Zitat
CH_EDÖB_002
Gericht
Ch Edoeb
Geschaftszahlen
CH_EDÖB_002
Entscheidungsdatum
15.04.2024
Zuletzt aktualisiert
24.03.2026
Originalquelle
https://entscheidsuche.ch/docs/CH_EDOEB/CH_ED%C3%96B_002_d41d8cd98f00b204e980_2024-04-15.pdf