Daten sammeln bis zum drohenden Kontrollverlust: Bei der zunehmenden Komplexität von Big-Data-Projekten sind Datenlecks wie bei der Swisscom oder bei der Inkassofirma Eos Schweiz kein Zufall. Auch Medien- und Vermarktungsunternehmen sammeln möglichst viele Personendaten, um diese für Werbezwecke einsetzen zu können.
Die zunehmende Komplexität und der Anstieg von gemeldeten Datenverlusten führten im letzten Jahr sogar zu einem neuen Rekord: Noch nie war der Aufwand des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb) für die beratende Begleitung von privatwirtschaftlichen Projekten grösser.
So wurde Edöb Adrian Lobsiger beim Swisscom-Datendiebstahl als eine Art Feuerwehrmann eingeschaltet: Lobsiger habe das Telekomunternehmen «mit Blick auf Minimierung der Risiken und Wahrung der Informationsrechte der Kunden beraten», wie er in seinem Tätigkeitsbericht über das vergangene Jahr schreibt.
Daneben ist der Edöb auch beratend tätig, wenn es um das Sammeln und Bearbeiten von Personendaten geht. So habe im Berichtsjahr erstmals ein Austausch mit Admeira stattgefunden. Das Vermarktungsunternehmen bearbeitet die Daten der Swisscom, um zielgruppenspezifische Werbung bei Ringier, SRG und Swisscom anzubieten. «Es gilt dabei sicherzustellen, dass die Datenflüsse und Auswertungen für die betroffenen Personen erkennbar sind», schreibt der Edöb.
Die Allgemeine Plakatgesellschaft (APG) habe den Edöb um eine datenschutzrechtliche Einschätzung zu einer Plattform für personalisierte Werbung in Apps, basierend auf Standortdaten, gebeten. «Es hat sich gezeigt, dass mittels der Plattform umfangreiche Bewegungsprofile und Ortungsdaten grundsätzlich unbefristet bearbeitet werden sollen», heisst es im Tätigkeitsbericht dazu.
Das Geschäftsmodell dieser Plattform ziele darauf ab, einer konkreten Person in einem bestimmten Kontext personenbezogene Werbung anzuzeigen. Daher müsse die APG die Nutzer der App umfassend und transparent über die Datenbearbeitung informieren und ihre ausdrückliche Zustimmung einholen. «Sie müssen auch jederzeit die Möglichkeit haben, ihre einmal erteilte Einwilligung zu widerrufen.»
Noch offen sei aktuell ein Verfahren mit Tamedia: Denn die Online-Auktionsplattform ricardo.ch hat im Juli 2017 ihre Datenschutzerklärung geändert, um den Datenaustausch innerhalb der Tamedia-Gruppe zu ermöglichen - insbesondere zum Zweck der personalisierten Werbung. «Wir haben ein Verfahren eingeleitet, um zu prüfen, ob eine solche Weitergabe von Daten auf der Grundlage einer gültigen Einwilligung der Nutzer erfolgt.»
Ricardo.ch informierte die Nutzer damals per E-Mail über die Änderungen. Eine Ablehnung der Nutzungsbedingungen hatte die automatische Schliessung des Benutzerkontos zur Folge. Reagierte eine Person nicht auf die Änderungen, so ging ricardo.ch davon aus, dass sie den Änderungen zustimmte.
«Wir haben eine Sachverhaltsabklärung eröffnet, um insbesondere zu prüfen, ob sich das Unternehmen auf die Einwilligung seiner Nutzer (oder einen anderen Rechtfertigungsgrund) berufen kann», erklärt der Datenschützer die Ausgangslage. Unterdessen habe das Unternehmen einen Fragenkatalog des Edöb beantwortet. Eine rechtliche Beurteilung des Sachverhalts liege noch nicht vor.
