EDÖB kritisiert Digitec Galaxus
Der EDÖB hat Digitec Galaxus sechs Empfehlungen zur Verbesserung des Datenschutzes gegeben. Der Onlinehändler ist nicht mit allen einverstanden. Die Kritikpunkte werfen auch die Frage nach dem Gleichgewicht zwischen Transparenz und Vollständigkeit in Datenschutzerklärungen auf.
Der Onlinehändler Digitec Galaxus muss in puncto Datenschutz nachbessern. Zu diesem Schluss kommt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), der sich in einer Untersuchung mit dem Onlinehändler befasste und nun seinen Schlussbericht veröffentlichte.
Keine Datenbearbeitung auf Vorrat
Von den insgesamt sechs Empfehlungen des EDÖB an Digitec Galaxus betreffen fünf die Datenschutzerklärung. Diese sollte der Onlinehändler anpassen, damit "die Nutzerinnen und Nutzer eindeutig über Datenbearbeitungen informiert werden. Dabei muss klar darüber informiert werden, welche Daten für welche Bearbeitungszwecke bearbeitet und an welche Datenempfänger sie weitergegeben werden". Damit soll der Datenbearbeitung auf Vorrat entgegengewirkt und die Transparenz erhöht werden, schreibt der EDÖB in einer Mitteilung und fügt hinzu, in diesem Punkt sei seine Empfehlung von Digitec Galaxus zurückgewiesen worden.
Tatsächlich weist der zur Migros gehörende Onlinehändler laut dem Schlussbericht darauf hin, dass man seit der Untersuchung die Datenschutzerklärung aktualisiert und zwei der fünf Empfehlungen vollumfänglich und eine teilweise umgesetzt habe. Nicht einverstanden ist Digitec Galaxus mit der Empfehlung, in der Datenschutzerklärung nur diejenigen Datenbearbeitungen aufzuführen, die auch tatsächlich erfolgen. Das Unternehmen lehnt auch die Empfehlung ab, in der Datenschutzerklärung differenziert und unmissverständlich darüber zu informieren, "welche Bearbeitungen zu Persönlichkeitsverletzungen führen und auf welche Gründe sich die Digitec Galaxus AG zu deren Rechtfertigung beruft", wie es im Schlussbericht heisst.
Man halte es weder für sinnvoll noch notwendig, die ohnehin schon umfangreiche Datenschutzerklärung noch weiter auszubauen, erklärt Digitec Galaxus in einer eigenen Mitteilung. Eine noch längere und sich ständig ändernde Datenschutzerklärung wäre nicht im Sinne der Kundschaft.
Informationelle Selbstbestimmung – aber keine Gastkäufe
Die sechste Empfehlung des EDÖB betrifft Mängel betreffend das Kundenkonto und die Kundenverhaltensanalyse. Hier sollte Digitec Galaxus die Datenbearbeitungen so anpassen, dass sie künftig "nicht mehr in die informationelle Selbstbestimmung der Nutzerinnen und Nutzer eingreifen, als für die zweckgerechte Durchführung der Bearbeitung nötig und mit den privaten Interessen der Verantwortlichen datenschutzrechtlich gerechtfertigt". Eine naheliegende Möglichkeit zur Umsetzung dieser Empfehlung sei das Anbieten eines Gastkaufs. So könnten Kunden und Kundinnen einkaufen, ohne sich registrieren zu müssen.
Digitec Galaxus nimmt diese Empfehlung zwar an, hält aber das Anbieten eines Gastkaufes für keine gute Idee. In der Mitteilung kündigt das Unternehmen an, Massnahmen zur Umsetzung der Empfehlung auszuarbeiten. Im Fokus stehen dabei Datenbearbeitungen, mit welchen wir Inhalte oder Empfehlungen personalisieren können. Künftig soll dies direkt im Kundenkonto individuell einstellbar sein." Weitere Möglichkeiten, etwa zum vollständigen Löschen eines Nutzerkontos, gebe es bereits.
Kritik von Experten
In seiner Mitteilung zitiert Digitec Galaxus den auf Datenschutzrecht spezialisierten Juristen David Vasella, der den Onlinehändler im EDÖB-Verfahren beriet. "Der EDÖB geht mit seinen Empfehlungen häufig über das hinaus, was das Datenschutzrecht verlangt, auch bei harmlosen Bearbeitungen. Er macht dabei Vorgaben an die Angebotsgestaltung und greift damit in die Wirtschaftsfreiheit ein, statt sich auf die korrekte Anwendung des Datenschutzrechts zu beschränken."
Auch Sylvain Métille, Professor für Datenschutz an der Universität Lausanne (UNIL) und Anwalt der Kanzlei HDC, kommentiert die Empfehlungen des EDÖB kritisch. Das Verfahren sei unter dem alten Datenschutzgesetz (DSG) durchgeführt worden und die Empfehlungen der Datenschutzbehörde seien nicht verbindlich, schreibt er in einem Linkedin-Beitrag. Der Experte weist zudem darauf hin, dass die Empfehlung, nur die Datenbearbeitungen zu beschreiben, die tatsächlich durchgeführt werden, schwer umzusetzen ist. Soll man die Kundschaft über die potenzielle Verarbeitung ihrer Daten informieren (Absicherung gegen mögliche Straftaten mittels Vollständigkeit) oder nur über die tatsächlich durchgeführten Verarbeitungen (um die betroffene Person gut zu informieren)? Dazwischen gelte es ein Gleichgewicht zu finden, das sei immer heikel, schreibt Métille. "Dies wirft auch die Frage auf, ob die genaue Information über eine konkrete Verarbeitung aus der Datenschutzerklärung oder aus der Antwort auf das Auskunftsrecht hervorgehen sollte."
Seit September 2023 gilt in der Schweiz ein neues Datenschutzgesetz. Es bringt einige Neuerungen mit sich, die bei Missachtung auch Bussen nach sich ziehen können. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
International Photo Festival Olten sucht die besten Foto-Talente der Schweiz
Update: CKW schliesst die Umrüstung auf smarte Stromzähler ab
Die wohl unangenehmste Liftfahrt in einer weit, weit entfernten Galaxis
Update: Apple muss in der EU auch iPadOS öffnen
Schweizer Haushaltsgerätebranche stabilisiert sich
Logitech wächst wieder - aber noch nicht genug
Loewe fertigt eigene OLED-Display-Module
Dell erweitert seine Inspiron-Serie
Motorola lanciert Neuauflage seiner Edge-Smartphones
