Der Eidgenössische Datenschutzbeauftragte (Edöb) kritisiert den grössten Schweizer Online-Händler Digitec Galaxus wegen dessen Umgang mit Kundendaten. Unter anderem verletzte das Unternehmen mit dem Zwang, ein Kundenkonto anzulegen, den Grundsatz der Verhältnismässigkeit.
Der Datenschutzbeauftragte Adrian Lobsiger teilte am Mittwoch mit, er sei nach einer umfangreichen Abklärung zum Schluss gekommen, dass die Pflicht zur Erstellung «eines Kundenkontos für die Abwicklung des Bestellvorgangs» bei Digitec Galaxus dem Gebot der Verhältnismässigkeit widerspreche. Damit liege eine Persönlichkeitsverletzung vor.
Der Edöb schlug dem Online-Händler deshalb vor, einen Kauf ohne Registrierung, also einen sogenannten Gastkauf, anzubieten. Digitec Galaxus habe diese Empfehlung angenommen und werde dem Datenschutzbeauftragten «zu gegebener Zeit» Vorschläge unterbreiten, hiess es.
Lobsiger verlangte demnach weiter, dass der Online-Händler, der zu 70 Prozent der Migros gehört, seine Datenschutzbearbeitung anpasst. Und zwar so, dass dabei aus Kundensicht klar ist, welche Daten für welche Zwecke bearbeitet und weitergegeben werden. Diese Empfehlungen habe Digitec Galaxus nach eigenen Informationen in einer neuen Datenschutzerklärung zum Teil bereits umgesetzt.
Ausserdem empfehle der Edöb dem Unternehmen, seine Datenschutzerklärung so anzupassen, dass diese keine Datenbearbeitungen «auf Vorrat» beinhaltet, hiess es im Communiqué weiter. Es dürften nur diejenigen Datenbearbeitungen aufgeführt werden, die auch tatsächlich erfolgten. Damit würde die Transparenz erhöht. Digitec Galaxus habe diese Empfehlung jedoch zurückgewiesen.
Der Datenschutzbeauftragte war nach eigenen Angaben im März 2020 durch eine betroffene Person darauf aufmerksam gemacht worden, dass Kundinnen und Kunden der Digitec Galaxus AG in der Datenschutzerklärung allen Datenbearbeitungen zustimmen müssen, um eine Bestellung tätigen zu können.
Als eine Kundin nachträglich der Speicherung und Weitergabe ihrer Daten und deren Auswertung widersprechen wollte, sei ihr das vom Kundendienst verweigert worden.
Aufgrund weiterer eingegangener Bürgerinnen-Anfragen und einer ersten Antwort von Digitec Galaxus eröffnete der Datenschutzbeauftragte im Jahr 2021 eine sogenannte Sachverhaltsabklärung.
Sobald die Verbesserungsvorschläge von Digitec Galaxus vorlägen, will der Datenschutzbeauftragte nach eigener Aussage prüfen, ob und inwieweit er gegen allenfalls nicht rechtskonforme Bearbeitungen vorgeht.
Digitec Galaxus gehört zur Migros-Gruppe und ist gemäss Edöb das grösste Online-Warenhaus der Schweiz.
(dsc/sda)
