Der Eidgenössische Datenschutzbeauftrage (Edöb) Adrian Lobsiger hat in einer umfangreichen Abklärung den Umgang von Digitec Galaxus mit Kundendaten unter die Lupe genommen. Dabei ist er zum Schluss gekommen, dass die Pflicht zur Erstellung «eines Kundenkontos für die Abwicklung des Bestellvorgangs» bei Digitec Galaxus dem Gebot der Verhältnismässigkeit widerspreche, wie Lobsiger in einer Mitteilung vom Mittwoch schreibt.
Der Edöb schlug deshalb dem Onlinehändler vor, auch einen Kauf ohne Registrierung, also einen Gastkauf, anzubieten. Digitec Galaxus nehme diese Empfehlung an und werde dem Edöb zu gegebener Zeit Vorschläge zur Herstellung des rechtmässigen Zustands unterbreiten, heisst es in der Mitteilung weiter.
In seinen Empfehlungen verlangt der Edöb zudem weiter, dass der Onlineshop die Datenschutzerklärung so anpasst, dass eindeutig über die Datenbearbeitungen informiert wird und klar ist, welche Daten für welche Zwecke bearbeitet und an welche Datenempfänger weitergegeben werden. Digitec Galaxus hat nach eigenen Angaben einige dieser Empfehlungen durch die Einführugn einer neuen Datenschutzerklärung während des laufenden Verfahrens bereits vorweggenommen.
Der Datenschutzbeauftragte empfiehlt zudem, dass die Datenschutzerklärung nur Datenbearbeitungen beschreibt, die auch tatsächlich erfolgen. Damit soll der Datenbearbeitung «auf Vorrat» entgegengewirkt und die Transparenz erhöht werden. Diese Empfehlung hat Digitec Galaxus jedoch zurückgewiesen.
Jahrelanges Verfahren
Auslöser für die Sachverhaltsabklärung durch den Datenschutzbeauftragten war der Hinweis einer betroffenen Person im März 2020. Die Person hatte den Edöb darauf aufmerksam gemacht, dass Kundinnen und Kunden von Digitec Galaxus offenbar sämtlichen in der Datenschutzerklärung umschriebenen Datenbearbeitungen zustimmen müssen, um eine Bestellung tätigen zu können.
Als eine Kundin nachträglich die Speicherung und Weitergabe ihrer Adress- und Kreditkartendaten und deren Auswertung zu Werbe- und Marketingzwecken widersprechen wollte, habe der Kundendienst das Gesuch abgelehnt. Weil der Edöb in dieser Angelegenheit weitere Anfragen von Bürgerinnen und Bürgern erhielt, eröffnete er im Februar 2021 eine
Sachverhaltsabklärung. Sobald die Verbesserungsvorschläge von Digitec Galaxus vorliegen, will der Datenschutzbeauftragte laut Mitteilung prüfen, ob und in wie weit er gegen allenfalls nicht rechtskonforme Datenbearbeitungen vorgeht.
Die Digitec Galaxus AG ist ein Unternehmen der Migros-Gruppe, welche die Onlineshops Digitec und Galaxus betreibt. Galaxus ist das grösste Online-Warenhaus der Schweiz
Zum Schlussbericht des Eidgenössischen Datenschutzbeauftragten: https://www.newsd.admin.ch/newsd/message/attachments/87062.pdf