Sachverhalt
2.1. Differenzen bei der Sachverhaltsfeststellung und dem Schlussbericht
11. Die Once Dating AG hat ihre Änderungs- und Ergänzungsvorschläge zur Sachverhaltsfest- stellung vom 23. Juni 2021 mit Stellungnahme vom 21. Juli 2021 mitgeteilt. Diese wurden bei der Verfassung dieses Schlussberichts berücksichtigt. 2.2. Funktionsweise der App 2.2.1. Datenflussmodellierung
12. Das erhaltene Datenflussdiagramm ist in die drei Schichten Mobile App Functional Architec- ture, Backend Functional Architecture und Once Backend Technical Architecture gegliedert.
13. In Abbildung 1 wird die Benutzeroberfläche (UX Modules) dargestellt. Diese bezieht sich auf alle Dinge, auf die der Once App Nutzer zugreift, um Anforderungen zu senden oder andere Aufgaben in der Cloud auszuführen. Synchron erfolgen im Weiteren das Logging etc. mittels den dargestellten Tech and UX monitoring modules. Abbildung 1: Ansicht der Mobile App Functional Architecture
7/44
14. Die in Abbildung 2 dargestellte Funktionsschicht Backend Functional Architecture beschreibt die Administrationsoberfläche der App Once. Also primär alle Operationen, die im Hinter- grund vorgenommen werden (bspw. das Aussehen und die Funktionen im Frontend verän- dern). Abbildung 2: Übersicht zur Backend Functional Architecture.
15. Die vorgängig abgebildete Datenflussmodellierung wird in Abbildung 3 zerlegt und auf einer detaillierteren Ebene genauer beschrieben, wie folgende Abbildung schematisch zeigt. Abbildung 3: Illustration der Once Backend Technical Architecture.
8/44
16. Die Backend-Architektur in der Cloud unterstützt die Frontend-Architektur. Sie besteht aus Hardware und Speicher und befindet sich auf einem Remote-Server. Der Cloud-Provider (AWS) steuert und verwaltet diese Backend Technical Architecture. 2.2.2. Registrierungsverfahren
17. Die App Once kann über den Google Play Store und über den Apple App Store heruntergela- den werden. Um die App zu nutzen, muss sich die Nutzerin oder der Nutzer registrieren. Ge- mäss Angaben der Once Dating AG kann die Anmeldung aktuell über 3 Methoden erfolgen: per Telefon, via Facebook-Connect oder via Apple-ID2, wobei die letzte Methode nur für Nut- zer verfügbar ist, die die App auf einem Apple Gerät installiert haben. Gemäss der Daten- schutzrichtlinie sollte eine Anmeldung per E-Mail auch möglich sein, womit offenbar das Lo- gin via Apple-ID gemeint ist.3
18. Für jede der drei Methoden ist ein unterschiedliches Verifizierungsverfahren vorgesehen, mit dem Ziel sicherzustellen, dass die Profile von Menschen und nicht von Robotern erstellt wer- den. Wer sich mit einer Handynummer anmeldet, wird mittels eines SMS-Verifizierungspro- zesses verifiziert. Dabei erhält die Person einen Code per SMS, welchen sie in ihrem Profil eingeben muss. Bei einer Anmeldung über Facebook-Connect4 wird die Identität der Nutzer verifiziert, indem die Nutzerin oder der Nutzer der Once Dating AG Zugriff auf Daten ihres oder seines Facebook Profils gewährt. Diese seien gemäss Once Dating AG der Nutzer- name, das Geburtsdatum, die Nutzerfotos und die Nutzer-E-Mail von Facebook. Dadurch wird das Profil des Nutzers bei Once mit seinem Facebook-Account verknüpft. Die Once Da- ting AG hat hierzu Folgendes klargestellt: Obwohl in der Datenschutzrichtlinie aufgeführt wird, dass bei einer Anmeldung über Facebook darüber hinaus die «Freundesliste, Fotos und Inte- ressen sowie Likes entsprechend den Facebook-Posts» an die Once Dating AG übermittelt werden, die Once Dating AG diese zusätzlichen Informationen nicht erhält.5 Wenn man sich für die Verifizierung per Apple ID entscheidet, erhält die Once Dating AG die E-Mail-Adresse oder einen Proxy der E-Mail-Adresse, je nach den Einstellungen der Nutzerin oder des Nut- zers. 6
19. Nutzer müssen ausserdem mindestens 18 Jahre alt sein. Um dies zu prüfen, fordert Once ihre Nutzerinnen und Nutzer auf, einige Angaben über sich zu machen, wenn sie sich als Mit- glied registrieren. Pflichtangaben sind: Vorname, Bild(er), Alter, Land/Standort sowie sexuelle Orientierung.7 Die Once Dating AG prüft das Alter und die Echtheit des Profils anhand der Bilder, welche die Nutzerin oder der Nutzer in die App hochlädt. Alle Profile werden mithilfe des Bildmoderationstools Sightengine halbautomatisch moderiert. Wenn die Nutzerin oder der Nutzer Bilder hochlädt, auf denen keine Person erkennbar ist bzw. nur eine Illustration auf dem Foto zu sehen ist, oder falls auf dem Foto mit hoher Wahrscheinlichkeit ein Promi- nenter oder ein Minderjähriger erkannt wird, wird das Profil gesperrt und manuell moderiert.
2 Vgl. Antwort zur Frage 14.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26 f.) 3 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 4 Mehr Informationen zum Facebook Tool «Facebook Login» unter Ziff. 31 5 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 6 Vgl. Antwort zur Frage 14.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26 f.) 7 Vgl. Antwort zur Frage 4.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 4 bzw. 20 f.) und Datenschutzrichtli- nie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://ge- tonce.com/de/terms#privacy [aufgerufen am 21.04.2021]
9/44
Die entsprechenden Bilder werden entfernt und die Nutzerin oder der Nutzer wird entweder gesperrt oder benachrichtigt, die Bilder zu ändern.8 2.2.3. Matchmaking
20. Neben den Pflichtangaben können die Nutzer der App die folgenden Angaben freiwillig ma- chen: Beschreibung; Bildung; Grösse; Job & Arbeitgeber; Kekse (Fragen zur Persönlichkeit); Hobbys; Reisen; Kinder/ keine Kinder; Religion; Politik; Vorlieben beim Trinken und Vorlieben beim Rauchen. Diese Informationen sowie die Pflichtangaben werden von der KI ausgewer- tet, um eine Partnerin oder einen Partner zu vermitteln, sind aber durch die anderen Nutzer nicht einsehbar (siehe Ziff. 27).
21. Der «Matchmaking-Algorithmus» wählt potentielle Partner basierend auf den Informationen in den Profilen der Nutzer und aufgrund ihrer täglichen Bewertungen von Profilen anderer Nut- zer. Er ist eine selbstlernende KI, die Rückschlüsse über die Partnerpräferenzen der Nutzer aus diesen Bewertungen zieht. Sie passt sich dementsprechend an, um die vermuteten Prä- ferenzen der Nutzer bei künftigen Vorschlägen zu berücksichtigen. Je mehr die Nutzer an- dere Profile bewerten, desto besser weiss die KI über deren Vorlieben Bescheid und kann dementsprechend bessere Matchs machen. Der Algorithmus lernt auch dadurch, dass er über die Kompatibilität zwischen den Nutzern lernt.9 2.2.4. Bearbeitungszwecke
22. Alle Informationen der Nutzer werden gemäss Angaben der Once Dating AG ausschliesslich für das Matchmaking verwendet. Die Once Dating AG führt in diesem Zusammenhang aus, dass sie «im Gegensatz zu vielen ihrer Konkurrenten, die Daten der Nutzer nicht verkauft und die persönlichen Daten der Nutzer nicht über In-App-Werbung monetarisiert»10 und, dass sie «keine persönlichen Daten für Werbung [verwendet], (…) die Nutzer nicht für Werbung [mo- netarisiert] und (…) nicht mit Affiliates [arbeitet]».11
23. Gemäss der Once Dating AG bedeutet die Aussage, dass sie keine persönlichen Daten für Werbung verwende, dass keine Anzeigen innerhalb der App Once platziert sind (Interstitials, Banner, etc.), welche Personendaten der Nutzer verwenden, um ihnen Werbung anzuzeigen. Mit der Aussage «wir monetarisieren unsere Nutzer nicht für Werbung» meint Once Dating AG, dass sie keine Nutzerdaten gegen irgendeine Art von Entgelt weitergeben.12
24. Die Once Dating AG bearbeitet Nutzerdaten für folgende Zwecke:
a. Bereitstellung des täglichen Matches;
b. Um passende Nutzer in der App vorzustellen z.B. auf dem Bewertungsbildschirm;
c. Um Produktinformationen an die Nutzer zu senden z.B. Benachrichtigungen von erhaltener Nachrichten etc;
8 Ausserdem werden die Bilder moderiert, wenn der Algorithmus Nacktheit, Waffen oder rassistische Elemente mit hoher Wahrscheinlichkeit auf den Fotos erkennt. Vgl. Antwort zur Frage 14.1 (Anhang 1 des Schreibens vom
9. April 2021, S. 10 f. bzw. 26 f.) 9 Vgl. Antwort zur Frage 2.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 3 f. bzw. 19 f.) 10 Vgl. Schreiben vom 9. April 2021, S. 1 f. 11 Vgl. Antwort zur Frage 6 (Anhang 1 des Schreibens vom 9. April 2021, S. 7 bzw. 23) 12 Vgl. Antwort zur Zusatzfrage 2 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021).
10/44
d. Um Marketingkommunikation zuzustellen z.B. Nutzerumfragen und Werbeaktio- nen;
e. Weitergabe an Dritte zu Marketingzwecken. 13 2.2.5. Weitere Massnahmen zur Missbrauchsbekämpfung
25. Neben der Verifizierung bei der Registrierung und der halbautomatisierten Bildermoderation implementiert die Once Dating AG auch die folgenden Massnahmen und bearbeitet dabei Personendaten der Nutzer, um Fake-Profile und andere Nutzermissbräuche zu erkennen und zu bekämpfen:
a. Nutzerberichten: An 3 Endpunkten in der App haben die Nutzer die Möglichkeit, «bösartiges Verhalten» anderer Nutzer zu melden.
b. Regelmässige IP-Prüfungen (und evtl. Blockierung): IP-Adressen aus bestimmten Ländern, die als besonders riskant eingeschätzt werden, die bereits von anderen bekannten betrügerischen Nutzern verwendet worden sind oder die zu Dritten ge- hören, die VPN anbieten und als betrügerisch bekannt sind, können blockiert wer- den.
c. Punkte im Bewertungssystem: auf Basis von Nutzerberichten wurde ein Bewer- tungssystem implementiert, welches betrügerische Profile gemäss den folgenden Kriterien erkennt: Nutzerberichte, Wahrscheinlichkeit, dass es sich um eine betrü- gerische Telefonnummer handelt, letzte bekannte IP-Adressen, Bewertungsver- halten (Geschwindigkeit und Bewertung), Grösse der Beschreibung.
d. Manuelle Moderation: Die Once Dating AG führt täglich eine manuelle Moderation durch, um andere Probleme zu beheben und um Scammer-Muster zu entdecken.
e. Kundenbetreuung: die Nutzer können sich an den Kundendienst wenden, um Probleme (inkl. gefälschte Profile) zu melden. Die Once Dating AG hat ein Team von 2 Personen, die, unter der Aufsicht des CPO, Tickets in 4 Sprachen verwal- ten.14 2.2.6. Bekanntgabe von Personendaten der Nutzer an Dritte
26. Gemäss der Datenschutzrichtlinie von der Once Dating AG können Personendaten der Nut- zer an die folgenden Dritten übermittelt werden: andere Nutzer von Once und «Dritten, die auf Rechnung von Once bestimmte Leistungen erbringen».15 2.2.7. Bekanntgabe von Personendaten an andere Nutzer der App
27. Mit Ausnahme der Fotos, die im «Bewertungsbildschirm» von anderen Nutzern eingesehen werden können, sind die Profilinformationen eines Nutzers oder einer Nutzerin nur für diejeni- gen Personen zugänglich, die vom Algorithmus als «Match des Tages» ausgewählt wurden.16
13 Vgl. Antworten zu Fragen 25.3 und 28.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 f. bzw. 32 f.) 14 Vgl. Antwort zur Frage 14.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 11 f. bzw. 27 f.) 15 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 4 «Weitergabe Ihrer personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 16 Vgl. Antwort zur Frage 4.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 4 bzw. 20 f.)
11/44
28. Nicht registrierte Nutzer haben keine Möglichkeit, auf Personendaten registrierter Nutzer zu- zugreifen.17 2.2.8. Bekanntgabe von Personendaten an Dienstleister/Partner
29. Gemäss der Datenschutzrichtlinie von Once Dating AG, können Personendaten der Nutzer «mit Dritten ausgetauscht werden, «die auf Rechnung von Once bestimmte Leistungen er- bringen, wie zum Beispiel externen Dienstleistern insbesondere für Hosting und Pflege der Daten, Analysen, Kundendienst, Zahlungsabwicklung und Sicherheitsmaßnahmen.».18 «Aus- tausch» soll hier gemäss der Once Dating AG als «Bekanntgabe» verstanden werden, weil die Once Dating AG keine personenbezogenen Daten von Nutzern von Dritten erhält, abge- sehen von den Daten, die mit dem Facebook SDK beim Facebook-Login übertragen wer- den.19
30. Diese Datenbekanntgaben erfolgen im Zusammenhang mit folgenden Bearbeitungszwecken: Kundensupport, Zahlungsabwicklung und Sicherheitsoperationen sowie Analysen für Marke- tingzwecke. Die Once Dating AG verlässt sich auf externe Partner oder Dienstleister in die- sen Bereichen, um einen sicheren und hochwertigen Service zu betreiben, weil sie nicht alle Kompetenzen oder technischen Bausteine im Haus hat.20
31. Die nachfolgenden Partner erhalten Zugriff auf folgende Daten:21: Dienstleister Dienst Kategorien der im Auftrag bear- beiteten Daten Facebook App-Analytik22: Messung und Visualisie- rung aller In-App-Ereignisse, Funnels, Kohorten, etc. App-Ereignisse, Telefonumgebung (Plattform, OS, App-Version), ano- nymisierte Benutzerinformationen (Geschlecht, Plattform, Land), u- did23 Facebook Login Facebook-Konto Google Ana- lytics und Firebase App-Analytik: Messung und Visualisie- rung aller In-App-Ereignisse, Funnels, Kohorten, etc. App-Ereignisse, Telefonumgebung (Plattform, OS, App-Version, udid), anonymisierte Benutzerinformatio- nen (Geschlecht, Plattform, Land, IP-Adresse)
17 Vgl. Antwort zur Frage 4.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 5 bzw. 21 f.) 18 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfüg- bar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 19 Vgl. Antwort zur Frage 5.3 (Anhang 1 des Schreibens vom 9. April 2021, S. 7 bzw. 23) 20 Vgl. Antworten zur Fragen 5.1 und 5.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 5 f. bzw. 21 f.) 21 Vgl. Antworten zur Fragen 5.1 und 5.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 5 f. bzw. 21 f.), Antwort zur Zusatzfrage 1 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021) und Änderungsvorschlag 1 (Anhang 1 des Schreibens vom 21. Juli 2021, S. 2 bzw. 3) 22 Das Tool Facebook Analytics wird am 30. Juni 2021 von Facebook eingestellt. Vgl. Facebook, Facebook Analy- tics wird eingestellt, verfügbar unter https://www.facebook.com/business/help/ 966883707418907 [aufgerufen am 26.04.2021]. 23 Udid ist ein Akronym für «Unique Device Identifier». Dies ist eine eindeutige Kennung für jedes Apple-Gerät.
12/44
Batch Reengagement-Dienste: ermöglicht das Senden von Push-Benachrichtigungen an Benutzer, basierend auf Ereignissen und Auslösern. App-Ereignisse, Telefonumgebung (Plattform, Betriebssystem, App- Version), Benutzerinformationen (Geschlecht, Plattform, Alter, Land, Standort, Trinkvorlieben, Grösse, Politik, Religion, Sexualität) Adjust Analytik und Werkzeug zur Attributions- erkennung Anonyme Benutzerkennung, App- Sitzungen (von Adjust SDK abgeru- fen), Umsatz, udid Paypal Online Bezahldienst. Anonyme Benutzerkennung Stripe Online Bezahldienst. Anonyme Benutzerkennungen, Kre- ditkartennummer, E-Mail-Adresse Sightengine Bildanalyse zur Moderation Anonyme Benutzerkennungen und Bilder Telesign Überprüft die Telefonnummer, die für die Benutzerauthentifizierung bei der An- meldung verwendet wird. Sendet einen 6-stelligen Code zur Verifizierung, damit sich der Benutzer anmelden kann. Rufnummer Logentries24 Werkzeug zur Verwaltung von Protokol- len Anonyme Benutzerkennung
Airbrake Crash-Reporting-Werkzeug Anonyme Benutzerkennung Sendgrid Reengagement-Dienste: ermöglicht das Senden von E-Mails an Benutzer, basie- rend auf Ereignissen und Auslösern E-Mail-Adresse Looker Visualisiert die wichtigsten Daten, um sie zu analysieren, Berichte zu erstellen und Entscheidungen zu treffen. Anonyme Benutzerkennungen, Pro- duktereignisse, Geschlecht, Be- triebssystem, Alter Zendesk Cloudbasierte Kundensupport-Plattform. Anonyme Benutzerkennung, E- Mail-Adresse und Konversationen mit unserem Kundensupport Vonage Videochats zwischen Nutzern, nachdem die Zustimmung eingeholt wurde. Anonyme Benutzerkennung und Vi- deo Apple Apple Sign-In E-Mail-Adresse für Apple-Anmel- dung Tabelle 1
32. Grösstenteils erfolgen diese Datenbekanntgaben an Dienstleister/Partner über Programmier- schnittstellen (API), welche durch das Einbauen von vorgefertigten Code-Bausteinen (SDK)
24 Dieser wird gemäss der Once Dating AG derzeit entfernt.
13/44
der Dienstleister in den Code der App Once ausgelöst werden. Durch die Integration dieser SDK werden viele Funktionen der App durch Algorithmen, welche von Dritten entwickelt wer- den, ausgeführt.
33. Einige dieser Algorithmen von Dritten führen eine Trackingfunktion aus. Dabei werden Perso- nendaten der Nutzer durch Ditte bearbeitet, um das Nutzerverhalten zu verfolgen: Facebook Analytics, Google Analytics, Batch, Firebase,25 Adjust26, Telesign27, Sendgrid28, Looker29, Vo- nage30 und Airbrake31.
34. Die Werbe-ID der Nutzer (IDFA für iOS, GPS-ADID für Google) wird an den Dienstleister Ad- just übermittelt, der seinerseits die Werbe-ID an Dritte (insbesondere Facebook und Google) für Werbezwecke weitergibt. Die Once Dating AG speichert jedoch die IDFA oder GPS-ADID der Nutzer nicht auf ihren Servern und verknüpft keine Daten der Nutzer zu deren Werbe- ID.32
25 Vgl. Antwort zur Fragen 27, 27.1 und 27.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 bzw. 33) 26 Adjust wurde zwar nicht in der Antwort von Once Dating AG zur Frage 27.1 erwähnt, wird aber gemäss ihrer Antwort zur Frage 23 hier auch aufgeführt. (Anhang 1 des Schreibens vom 9. April 2021, S. 15 bzw. 32) 27 Telesign wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der ge- mäss der Privacy Notice erhobenen Daten hier aufgeführt. Vgl. Privacy Notice von Telesign, verfügbar unter: https://www.telesign.com/privacy-notice [aufgerufen am 18.05.2021]. 28 Sendgrid wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der ge- mäss dem Privacy Statement von Twilio möglicherweise erhobenen Daten hier aufgeführt. Vgl. Twilio Privacy Statement, verfügbar unter: https://www.twilio.com/legal/privacy#how-twilio-processes-your-end-users-personal- information [aufgerufen am 18.05.2021] 29 Looker wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der ge- mäss der Privacy Policy von Looker möglicherweise erhobenen Daten hier aufgeführt. Vgl. Ziff. 2 der Privacy Po- licy, verfügbar unter https://looker.com/trust-center/privacy/policy [aufgerufen am 18.05.2021] 30 Vonage wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der ge- mäss der Privacy Policy von Vonage möglicherweise erhobenen Daten hier aufgeführt. Vgl. https://www.vo- nage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy [aufgerufen am 18.05.2021] 31 Airbrake wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird hier aber aufgeführt, weil gemäss der Airbrake Privacy Notice Drittdienste wie bspw. Google Analytics Daten von Airbrake Nutzern er- heben können. Vgl. https://airbrake.io/privacy#information-collected [aufgerufen am 18.05.2021]. 32 Vgl. Antworten zur Fragen 22 bis 25 (Anhang 1 des Schreibens vom 9. April 2021, S. 15 f. bzw. 32)
14/44
35. Gewisse Dienstleister behalten sich das Recht vor, die ihnen durch Once Dating AG bereitge- stellten Daten im eigenen Interesse zu nutzen. Diese sind: Facebook, Google,33 Sendgrid34, Looker35, Vonage36 und Paypal37.38 2.2.9. Bekanntgabe von Personendaten ins Ausland
36. Gemäss der Datenschutzrichtlinie der Once Dating AG erfolgt manchmal eine Datenbekannt- gabe ins Ausland, wenn Daten an Dritte weitergegeben werden. Für die Übermittlung von Da- ten in Länder, die kein angemessenes Datenschutzniveau aufweisen, wie zum Beispiel die USA, beruft sich die Once Dating AG auf EU-Standardvertragsklauseln oder «andere geeig- nete Schutzklauseln, um diesen Datenübertragungen einen festen Rahmen zu verleihen und die Geheimhaltung und Sicherheit Ihrer Daten abzusichern.».39
37. Auf die Frage, in welchem Rahmen eine Datenübertragung in Länder ohne angemessenes Datenschutzniveau erfolgt und welche Personendaten davon betroffen sind, gab die Once Dating AG lediglich den Cloud-Anbieter Amazon Web Services an, welche die Daten von der App Once hostet, wobei alle Daten in der EU (Irland) gespeichert werden, ausser den Fotos der Nutzer, die in einer AWS-Instanz in den USA gespeichert werden40.
33 Vgl. Antwort zur Zusatzfrage 1 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021). 34 Sendgrid wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss dem Privacy Statement von Twilio hier aufgeführt. «When we process Customer Usage Data, we act as a proces- sor in many respects, but we may act as a controller in others. For example, we may need to use certain Cus- tomer Usage Data for the legitimate interests of billing, reconciling invoices with telecommunications carriers, and in the context of troubleshooting and detecting problems with the network. (…) » Vgl. Twilio Privacy Statement, verfügbar unter: https://www.twilio.com/legal/privacy#how-twilio-processes-your-personal-information [aufgerufen am 18.05.2021] 35 Looker wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss der Privacy Policy von Looker hier aufgeführt. Vgl. Privacy Policy von Looker, verfügbar unter: https://loo- ker.com/trust-center/privacy/policy [aufgerufen am 18.05.2021] 36 Vonage wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss der Privacy Policy von Vonage hier aufgeführt. Vgl. Vonage Privacy Policy, verfügbar unter: https://www.vo- nage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy [aufgerufen am 18.05.2021] 37 Paypal wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss der Privacy Policy von Paypal hier aufgeführt. Vgl. Privacy Policy, verfügbar unter: https://www.paypal.com/ch/webapps/mpp/ua/privacy-full?locale.x=en_CH#7 [aufgerufen am 18.05.2021] 38 Zwischen der Zustellung der Sachverhaltsfeststellung und der Erarbeitung des Schlussberichts wurde die Pri- vacy Notice von TeleSign überarbeitet. Gemäss den neuen Bestimmungen behält sich die TeleSign nicht mehr vor, Daten, die sie im Auftrag erhält, für eigene Zwecke zu bearbeiten. «In den meisten Fällen sind wir ein "Daten- verarbeiter", d.h. wir verarbeiten Persönliche Daten, die wir von Organisationen (TeleSigns "Kunden") für die Er- bringung unserer Dienstleistungen erhalten. […] Als Datenverarbeiter erheben und verwenden wir Ihre personen- bezogenen Daten in Übereinstimmung mit den vertraglichen Verpflichtungen, die wir mit unseren Kunden ha- ben.». Deshalb wird TeleSign in dieser Auflistung nicht mehr aufgeführt. Vgl. Hinweis zum Datenschutz, verfügbar unter: https://www.telesign.com/privacy-notice [aufgerufen am 15.02.2022] 39 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 5 «Übertragung von personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 40 Vgl. Antworten zur Fragen 15.1 und 15.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 12 bzw. 28 f.)
15/44
38. Die gemäss Once Dating AG als Schutzklausel einschlägige AWS Kundenvereinbarung hält zum Datenschutz Folgendes fest: «3.2 Datenschutz. Sie können die AWS Regionen benennen, in denen Ihre Inhalte gespeichert werden. Sie stimmen der Speicherung Ihrer Inhalte in den von Ihnen gewählten AWS Regionen sowie deren Über- tragung in diese AWS Regionen zu. Wir werden nicht auf Ihre Inhalte zugreifen oder diese nutzen, es sei denn, dies ist notwendig, um die Serviceangebote zu warten oder anzubieten oder erforderlich, um die Gesetze einzuhalten oder einer verbindlichen Anordnung einer staatlichen Stelle nachzukommen. Wir werden Ihre Inhalte (a) nicht an staatliche Stellen oder Dritte weitergeben oder (b) Ihre Inhalte, vorbehalt- lich Ziffer 3.3, nicht in andere als die von Ihnen gewählten AWS-Regionen verlagern, es sei denn, dies ist im Einzelfall erforderlich, um Gesetze einzuhalten oder einer verbindlichen Anordnung einer staatlichen Stelle nachzukommen. Wir werden Sie über eine rechtliche Verpflichtung oder Anordnung im Sinne dieser Ziffer 3.2 informieren, es sei denn, dies ist uns gesetzlich oder durch die Anordnung einer staatlichen Stelle untersagt. Wir werden Ihre Account Informationen nur der Datenschutzerklärung entsprechend verwen- den, und Sie stimmen hiermit einer solchen Nutzung zu. Die Datenschutzerklärung ist auf Ihre Inhalte nicht anwendbar.» 41
39. Wir stellen aber aus der von der Once Dating AG bereitgestellten Partnerliste fest, dass ver- schiedene Dienstleister, mit denen die Once Dating AG zusammenarbeitet, in ihren Daten- schutzerklärungen bzw. Nutzungsbedingungen ankündigen, dass sie Personendaten von Endkunden in Drittländer (z.B. USA) übermitteln. Ein angemessener Schutz der Daten in dem Zielland werde gemäss den Partnern durch EU-Standardvertragsklausel oder eine Zertifizie- rung unter dem Privacy Shield Framework gewährleistet. Diese sind: Google (Google Analy- tics, Firebase und Looker42), Facebook43, Adjust44; Paypal45; Stripe46; Sightengine47;
41 Vgl. AWS Kundenvereinbarung, verfügbar unter https://d1.awsstatic.com/legal/aws-customer-agree- ment/AWS_Customer_Agreement-German_2020-11-30.pdf [aufgerufen am 28.04.2021] 42 Vgl. Rechtliche Rahmenbedingungen für Datenübermittlungen, verfügbar unter https://policies.google.com/pri- vacy/frameworks?hl=de und Ziff. 10 der Data Processing and Security Terms for Looker Services (Customers), verfügbar unter https://looker.com/trust-center/legal/customers/dpst [aufgerufen am 28.04.2021] 43 Vgl. Informationen für Unternehmen, verfügbar unter https://www.facebook.com/business/gdpr [aufgerufen am 28.04.2021] 44 Vgl. Annex “General Terms and Conditions for Data Processing”, verfügbar unter https://www.ad- just.com/terms/general-terms-and-conditions/?entity=rest-of-world [aufgerufen am 28.04.2021] 45 Vgl. Ziff. 7 der Datenschutzerklärung, verfügbar unter https://www.paypal.com/ch/webapps/mpp/ua/privacy- full?locale.x=en_CH#7 [aufgerufen am 28.04.2021] 46 Vgl. Ziff. 7 der «Global Privacy Policy – World», verfügbar unter https://stripe.com/gb/privacy#international- data-transfers [aufgerufen am 28.04.2021] 47 Vgl. Data Processing Addendum, verfügbar unter https://s3-eu-west-1.amazonaws.com/static.sighten- gine.com/legal/20191212-dpa.pdf und Liste von Sub-Processors, verfügbar unter https://sightengine.com/poli- cies/subprocessors [aufgerufen am 28.04.2021]
16/44
Telesign48; Rapid749; Airbreak50; Twilio (Sendgrid)51; Zendesk52 und Vonage53. Also alle aus- ser Batch54.
40. Gemäss den «Internen Datenschutz-Policies», welche die Once Dating AG im Hinblick auf das neue DSG erarbeitet und gemäss ihrer Anwältin Fr. noch als «Work in Progress» zu betrachten sind, dürften Auftragnehmer der Once Dating AG keine Personendaten in Dritt- ländern ohne die Zustimmung der Once Dating AG übermitteln. Sollte die Once Dating AG dies jedoch erlauben, dann würde sie als Auftraggeberin in der Regel sicherstellen, dass sich die fraglichen Datenübermittlungen auf die von der EU genehmigten Standardvertragsklau- seln für die Übertragung persönlicher Daten stützen.55 2.3. Aufbewahrung und Löschung von Personendaten 2.3.1. Deaktivierung von Konten auf Verlangen
41. Nutzer können ihr Konto jederzeit selbst in der App deaktivieren, indem sie unter den Einstel- lungen die Option «Mein Konto deaktivieren» wählen. Wenn eine Nutzerin oder Nutzer dies tut, wird ihr oder sein Profil für andere Mitglieder unsichtbar gemacht. Eine Reaktivierung ist innerhalb eines Jahres möglich, weil die Informationen des Kontos für 1 (ein) Jahr nach dem Deaktivierungsdatum aufbewahrt werden.56 2.3.2. Löschung von Konten bzw. Personendaten der Nutzer auf Verlangen
42. Man findet zwar keine eigenständige In-App Option unter den Einstellungen («Paramètres») für das Löschen des Kontos mit entsprechenden Personendaten, aber es besteht seit 2017 die Möglichkeit, einen Löschungsantrag durch das Auswählen der Option «ich will mein
48 Vgl. Privacy Notice von Telesign, verfügbar unter: https://www.telesign.com/privacy-notice [aufgerufen am 15.05.2022] 49 Vgl. Rapid7 Privacy Policy, verfügbar unter: https://www.rapid7.com/de/privacy-policy/ [aufgerufen am 28.04.2021] 50 Vgl. Airbreak Privacy Policy, verfügbar unter: https://airbrake.io/privacy [aufgerufen am 28.04.2021] 51 Vgl. Twilio Privacy Statement, verfügbar unter: https://www.twilio.com/legal/privacy#transfers-of-personal-infor- mation-out-of-the-eea-and-switzerland [aufgerufen am 28.04.2021] 52 Vgl. Ziff. 8 der «Privacy Policy von Zendesk», verfügbar unter: https://www.zendesk.com/company/customers- partners/privacy-policy/#international-transfer-of-personal-information [aufgerufen am 28.04.2021] 53 Vgl. Privacy Policy von Vonage, verfügbar unter: https://www.vonage.com/legal/privacy-policy/?icmp=footer_le- galpolicy_privacy [aufgerufen am 28.04.2021] 54 Vgl. Ziff. 2.8 des Data Processing Agreements - Batch und Once Dating, verfügbar unter: https://drive.google.com/file/d/1UU8BbAPK5KaKVGzBkW6O_k_xawhQ3a31/view [aufgerufen am 28.04.2021] 55 Vgl. Ziff. 11 des Data Processing Addendums (Beilage 1 zum Schreiben vom 9. April 2021, S. 11) 56 Vgl. Antwort zur Frage 16.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 12 f. bzw. 29) und FAQ von Once, verfügbar unter https://getonce.com/de/faq#wie-deaktiviere-ich-mein [aufgerufen am 21.04.2021]
17/44
Konto löschen» über den In-App Kontaktkanal («Nous contacter») einzureichen, wie folgende Abbildung zeigt:57
43. Somit können Löschbegehren entweder per Brief an die Adresse der Once Dating AG in Pfäf- fikon SZ, per E-Mail an hello@getonce.com oder über den Kontaktkanal in der App einge- reicht werden. Die Bearbeitungszeit von Löschbegehren beträgt gemäss Angaben der Once Dating AG 24 Stunden und erfolgt seit Mai 2021 in automatisierter Form mithilfe eines Lö- schungs-Skripts, welches täglich ausgeführt wird.58
44. Gemäss der Datenschutzrichtlinie der Once Dating AG sollen Datenschutzbegehren jedoch an die E-Mail-Adresse dpo@getonce.com gerichtet werden, wo sie in der Regel innerhalb von zwei Monaten nach Eingang von der Once Dating AG bearbeitet werden. In der Daten- schutzrichtlinie wird ausserdem ausgeführt, dass der Anfrage eine Kopie eines mit der Unter- schrift des Inhabers versehenen Ausweisdokuments beizufügen ist. Darüber hinaus werden die Betroffenen darauf hingewiesen, dass falls «sich die Anfragen eines Mitglieds als deutlich unbegründet oder über das Maß hinausgehend herausstellen (insbesondere aufgrund ihres sich wiederholenden Charakters), ist Once [Dating AG] berechtigt, i) angemessene Aufwen- dungen geltend zu machen, die den Verwaltungskosten für die Bereitstellung der Informatio- nen, den Kommunikationsaufbau oder das Ergreifen der angefragten Maßnahmen Rechnung tragen, oder ii) sich weigern, diesen Anträgen Folge zu leisten.».59
45. In der FAQ zu Once wird die Frage «Wie kann ich mein Konto endgültig löschen, anstatt es nur zu deaktivieren?» wie folgt beantwortet: «Wenn du dein Konto dauerhaft löschen
57 Vgl. Änderungsvorschlag 3 (Anhang 1 des Schreibens vom 21. Juli 2021, S. 2 bzw. 3) 58 Vgl. Antwort zur Frage 18 (Anhang 1 des Schreibens vom 9. April 2021, S. 14 bzw. 30) 59 Datenschutzrichtlinie vom 26.05.2020, Ziff. 9 «Ihre Rechte», verfügbar unter https://getonce.com/de/terms#pri- vacy [aufgerufen am 21.04.2021] Abbildung 4: Screenshot des Kontaktkanals in der App Once («Nous contacter»)
18/44
möchtest, sende uns eine Nachricht mit deiner Telefonnummer, deiner E-Mail-Adresse oder deiner Facebook-E-Mail-Adresse, damit wir dein Profil finden können. Bitte bedenke, dass alle Vorschläge und alle Profildaten dabei verloren gehen und diese Aktion nicht rückgängig gemacht werden kann.». Es wird jedoch nicht präzisiert, wie bzw. über welchen Kommunika- tionskanal man diese «Nachricht» der Once Dating AG senden kann.60
46. Die Once Dating AG hat in ihrer Antwort zu unserer Frage Nr. 19 ausgeführt, dass sämtliche Personendaten der Nutzer gelöscht werden, wenn diese es verlangen; in ihrer Antwort zu un- serer Frage Nr. 16.1 jedoch festgehalten:«…identifizierenden Daten des Mitglieds werden für 1 (ein) Jahr nach diesem Datum aufbewahrt, für den Fall, dass betrügerisches Verhalten ge- meldet wird oder Beschwerden von einem anderen Mitglied gegen das Mitglied vorgebracht werden».
47. Once Dating AG hat hierzu klargestellt, dass in der Regel alle personenbezogenen Daten von Nutzern innert 24 Stunden nach dem Eingang eines Löschbegehrens automatisch gelöscht werden, mit Ausnahme des Falles, dass ein Nutzer mit betrügerischem Verhalten auf der App identifiziert wurde und bereits blockiert wurde. Nur in diesem Fall würden die Daten, die die Nutzerin oder der Nutzer bei der Anmeldung angegeben hat, sowie alle In-App-Aktivitätsda- ten der Nutzerin oder des Nutzers für 1 (ein) Jahr nach dem Datum der Blockierung aufbe- wahrt bevor sie endgültig gelöscht werden.61 2.3.3. Deaktivierung und Löschung von Konten von inaktiven Nutzern
48. Die App Once führt weder eine automatisierte Löschung noch eine Deaktivierung von inakti- ven Konten durch. Gemäss Angaben der Once Dating AG werden jedoch die Profile von Nut- zern, die für eine lange Zeit die App nicht mehr genutzt haben, «in verschiedenen Dimensio- nen depriorisiert». Zuerst erfolgt eine De-Priorisierung der inaktiven Nutzer in dem Match-Ma- king-Prozess, wenn sie die App seit mehr als 2 Wochen nicht genutzt haben. Nutzen sie die App seit mehr als 30 Tagen nicht, werden sie in der Datenbank von Once inaktiv. Dies hat zur Folge, dass sie keine Kommunikation (E-Mail, Benachrichtigungen) mehr von der Once Dating AG erhalten, aus ihrer Mailingliste gelöscht werden und nicht mehr für User Experi- ence Umfragen und Fokusgruppen ausgewählt werden.62 2.3.4. Löschung von Personendaten bei Dritten
49. Auf unsere Frage, wie die Datenlöschung bei der Inanspruchnahme von Diensten Dritter si- chergestellt wird, teilte uns die Once Dating AG mit, dass sie sich auf Dritte verlasse, um die Daten von gelöschten Nutzern zu löschen. Sie habe allerdings aktuell keinen proaktiven Pro- zess, um eine sofortige Löschung von Daten, die durch Dritte im Auftrag bearbeitet werden, zu beantragen, obwohl die Vereinbarungen, die sie mit diesen Dienstleistern geschlossen ha- ben, die Möglichkeit vorsehen, dass sie auf Anfrage der Once Dating AG die Nutzerdaten lö- schen.63
50. Die neuen internen Policies der Once Dating AG beinhalten die folgende Vorgabe zur Lö- schung von Personendaten, die durch Dritte bearbeitet werden: “Each employee who works with personal data shall take all reasonable measures for the destruction and deletion from all systems of all personal data which is not necessary anymore and in compliance with the
60 Vgl. Antwort FAQ von Once, verfügbar unter https://getonce.com/de/faq#wie-kann-ich-mein-konto-endgultig- anstatt-es-nur-zu [aufgerufen am 21.04.2021] 61 Vgl. Antwort zur Zusatzfrage 3 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021) 62 Vgl. Antwort zur Frage 3.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 4 bzw. 20) 63 Vgl. Antwort zur Frage 21 (Anhang 1 des Schreibens vom 9. April 2021, S. 14 f. bzw. 31 f.)
19/44
rules and keeping policies of Once – this may include the obligation third parties to be required to delete these personal data.”64 2.4. Datensicherheit 2.4.1. Entwicklung der App
51. Gemäss der Once Dating AG wurde die App Once nicht nach einem besonderen Standard hinsichtlich Datenspeicherung und Datenschutz (OWASP; ISO, NIST etc.) entwickelt, aber die Datenschutzkonformität wurde dadurch gewährleistet, dass die Once Dating AG die Ent- wicklung der Datenschutzvorschriften verfolgt hat und den Rat ihrer Rechtsberater in Bezug auf den Datenschutz bei der Entwicklung der App berücksichtigt hat. Die Once Dating AG ist der Auffassung, dass die Sicherheit der Daten dadurch gewährleistet wird, dass die Entwick- lung der Anwendung von Senior Ingenieuren durchgeführt wird, die Erfahrung mit ähnlichen Anwendungen und in einem hochkritischen Kontext gesammelt haben (z. B. Militär, Amadeus, etc.), die Datenspeicherung gemäss den best practices der AWS-Sicherheit erfolgt und die Infrastruktur über Sicherheitsgruppen und IP-Filterung in mehrere Bereiche mit einge- schränktem Zugriff aufgeteilt wird. 2.4.2. Schwachstellentests
52. Die Once Dating AG bearbeitet aufgrund des Zwecks Partnervermittlung sensible Daten der Nutzer, unter anderem auch besonders schützenswerten Daten. Auch wenn diese - auf der Netzwerkebene geschützt - auf einem anderen System liegen, sind sie doch über die App er- reichbar. Es wurden bisher weder Audits noch Penetrations-Tests durchgeführt, um die Si- cherheit der App durch externe Schwachstellentests überprüfen zu lassen. Im Moment wer- den nur interne Schwachstellentests durchgeführt. Änderungen werden von einer zweiten Person des Teams auf mehrere Aspekte hin, inkl. die Implikationen der Änderungen aus Sicht des Datenschutzes, überprüft und analysiert, bevor sie aufgeschaltet werden. 65 2.4.3. Monitoring und Patchen
53. Das Monitoring bei Once erfolgt mittels Alarmierung bei Verbindungen zu kritischen Maschi- nen. Das regelmässige Patchen wird sichergestellt, indem die App typischerweise alle 2 Wo- chen gepatcht wird. Dies erfolgt durch vollständige Bereitstellungen der API-Infrastruktur.66 2.4.4. Verschlüsselung
54. Die Datenübertragungen zwischen dem Endgerät der Nutzer und den Servern von Once (AWS) erfolgen über verschlüsselte HTTPS-Verbindungen (HTTP over TLS). In der Cloud angekommen, werden die Daten aber wieder vollständig entschlüsselt. Damit hat der Cloud- Anbieter ungehindert Zugriff auf die Daten, da diese im Ruhezustand (Data at Rest) weder pseudonymisiert noch verschlüsselt werden.67 2.4.5. Zugriffskontrollen
64 Vgl. Ziff. 9 der Internal General Data Protection Guidance (Beilage 1 zum Schreiben vom 9. April 2021, S. 18 f.) 65 Vgl. Antworten zur Fragen 8, 11 und 12 (Anhang 1 des Schreibens vom 9. April 2021, S. 9 f. bzw. 25 f.) 66 Vgl. Antwort zur Frage 12 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26) 67 Vgl. Antworten zu Fragen 9 und 10 (Anhang 1 des Schreibens vom 9. April 2021, S. 9 bzw. 25)
20/44
55. Der Zugriff auf Nutzerdaten wird einerseits durch VPN und IP-Beschränkungen und anderer- seits durch Zugriffsberechtigungen eingeschränkt. Ergänzend sind Ratenbegrenzung auf IP- Adressen für die Administration und für die öffentliche API implementiert mit dem Ziel, einen brute force Angriff auf Authentifizierungstoken zu verhindern. Die Administration ist über ein VPN mit persönlichem Zugriff nur für Teammitglieder erreichbar. Das Verwaltungstool ist mit persönlichen Anmeldeinformationen eingeschränkt, wonach jeder Nutzer nur auf diejenigen Daten zugreifen kann, die er benötigt. Ausserdem werden die Daten gemäss den Sicherheits- massnahmen von AWS gespeichert.68 Logdaten und Protokolle sind durch persönliche Zu- gangsdaten geschützt, die nur an Personen weitergegeben werden, die Zugang zu den Pro- tokollen benötigen.69
56. Gemäss der uns von der Once Dating AG zugestellten AWS Kundenvereinbarung ist die Once Dating AG «für die ordnungsgemäße Konfiguration und Nutzung der Serviceangebote verantwortlich» und muss «angemessene Maßnahmen ergreifen zur Sicherung, zum Schutz und zum Backup Ihrer Accounts und Ihrer Inhalte, wozu die Nutzung von Verschlüsselungs- technologie zum Schutz Ihrer Inhalte vor unberechtigtem Zugriff sowie eine regelmäßige Ar- chivierung gehören können.». AWS ergreift ihrerseits «zumutbare und angemessene Maß- nahmen», um der Once Dating AG «zu helfen, Ihre Inhalte gegen zufällige oder rechtswidrige Verluste, Zugriffe oder Offenlegung zu schützen».70
57. In den neuen internen Datenschutz-Policies werden die technischen und organisatorischen Massnahmen zum Schutz der Daten allgemein unter Ziff. 10.1 des Dokuments «Internal Ge- neral Data Protection Guidance»71 sowie in Details im Dokument «Technical and Organisatio- nal Measures (TOMS)»72 umschrieben. Diese Massnahmen sind ein «Work-in-Progress» und wurden noch nicht implementiert. 2.5. Logging
58. Gemäss der Datenschutzrichtlinie der Once Dating AG werden Daten über die Nutzung der Webseite und der App Once erfasst, wobei alle über die Website und die App realisierten Ak- tionen sowie die Verbindungen, Verbindungszeiten und die gesamten Interaktionen der Nut- zer mit den anderen Nutzern protokolliert werden. Gemäss Angaben der Once Dating AG werden Logdaten aggregiert und ausschliesslich zur Analyse der Applikationsperformance ausgewertet. Logdaten werden für 1 Monat aufbewahrt. 73 2.6. Einwilligung und Datenschutzeinstellungen der App
59. Die Once Dating AG rechtfertigt die Bearbeitung aller Daten, die sie von Nutzern erhebt, auf der Grundlage der Einwilligung der betroffenen Personen (Nutzerin oder Nutzer). Gemäss der Once Dating AG erteilen die Nutzer im Rahmen der Anmeldung74 eine Einwilligung zur Bearbeitung von «Daten, die während des Anmeldevorgangs gesammelt werden, sowie auf
68 Vgl. Antworten zu Fragen 13 und 13.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26) 69 Vgl. Antworten zur Frage 26.3 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 bzw. 33) 70 Vgl. Ziff. 3.1 und 4.3 der AWS Kundenvereinbarung, verfügbar unter https://d1.awsstatic.com/legal/aws-custo- mer-agreement/AWS_Customer_Agreement-German_2020-11-30.pdf [aufgerufen am 28.04.2021] 71 Beilage 1 zum Schreiben vom 9. April 2021, S. 19 f. 72 Beilage 1 zum Schreiben vom 9. April 2021, S. 26 f. 73 Vgl. Antworten zu Fragen 26, 26.1 und 26.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 bzw. 33) 74 Durch Ankreuzen des Kästchens neben der Aussage: «Ich akzeptiere, dass Once einige meiner personenbe- zogenen Daten sammelt und weiterverarbeitet, um ihren Dienst bereitzustellen».
21/44
die Profilinformationen, die zu jedem Zeitpunkt der App-Nutzung vom Nutzer gesammelt wer- den können.».75
60. Es ist nicht möglich, die Datenbearbeitungen in der App Once durch Datenschutzeinstellun- gen einzuschränken. Nutzer müssen allen Datenbearbeitungen inkl. Weitergabe an Dritte zu Marketingzwecke zustimmen, wenn sie Once nutzen wollen. Wenn sie dies nicht wünschen, können sie ihr Konto deaktivieren oder löschen.76
3. Datenschutzrechtliche Beurteilung
61. Nachfolgend werden auf der Basis des verbindlich festgestellten Sachverhalts diejenigen As- pekte behandelt, deren Datenschutzkonformität in Rahmen dieser Sachverhaltsabklärung zu prüfen waren. 3.1. Bearbeitung von Personendaten
62. Das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) ist auf das Be- arbeiten von sog. Personendaten durch private Personen anwendbar (Art. 2 Abs. 1 lit. a DSG). Unter «Bearbeiten» wird jeder Umgang mit Personendaten, unabhängig von den an- gewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten verstanden (Art. 3 lit. e DSG). Entscheidend für die Anwendbarkeit des DSG ist vor diesem Hintergrund die Qualifi- zierung der bearbeitenden Daten als Personendaten.
63. Gemäss Art. 3 lit. a DSG gelten als Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare (natürliche oder juristische) Person beziehen. Die gesetzliche Definition des Begriffs «Personendaten» erfasst demnach alle Informationen, die mit einer natürlichen oder juristischen Person in Verbindung gebracht werden können. Diese Verbindung zu einer Person kann anhand der Daten selbst eindeutig sein. In diesem Fall ist die Person bestimmt. Es ist aber auch möglich, dass die Person, zu der sich die Information bezieht, zwar nicht al- lein anhand dieses Datums identifiziert werden kann, aber anhand der Umstände auf sie ge- schlossen werden kann. In letzterem Fall spricht man von einer Person, die identifizierbar ist. (Botschaft DSG, BBl 1988 II 413, S. 444).
64. Vorliegend ist unbestritten, dass die Once Dating AG für und bei der Bereitstellung der App Once verschiedene Daten, die einen Bezug zu der Person des Nutzers oder der Nutzerin ha- ben, zu diversen Zwecken (siehe dazu Rz. 24) bearbeitet: diese Daten sind einerseits die An- gaben, welche die Nutzer über sich selbst in ihren Profilen und bei der Registrierung machen und andererseits Informationen, die bei der Nutzung der App entstehen (Bewertung von Pro- filen, Kontakt mit anderen Nutzern, Reaktion auf Benachrichtigung, Informationen über die Aktivität der Nutzer in der App etc.). Diese Datenbearbeitungen unterliegen dem DSG und müssen deshalb in Einklang mit den Bearbeitungsgrundsätzen gemäss Art. 4, 5 und 7 DSG erfolgen. 3.1.1. Bearbeitung von besonders schützenswerten Daten
65. Gemäss Art. 3 lit. c DSG gelten als besonders schützenswerte Daten solche über die religiö- sen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, sowie administrative oder strafrechtliche Verfolgungen und Sanktionen.
75 Vgl. Antworten zu Fragen 28.1 und 30 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 f. bzw. 33 f.) 76 Vgl. Antworten zur Frage 29 (Anhang 1 des Schreibens vom 9. April 2021, S. 18 f. bzw. 35)
22/44
66. Die Datenbearbeitungen der Once Dating AG umfassen zum Teil besonders schützenswerte Daten der Kategorie «Daten über die Intimsphäre». Dazu gehört die sexuelle Orientierung der Nutzer, die sie angeben müssen, damit ihnen ein geeigneter Partner oder eine geeignete Partnerin ausgesucht werden kann (siehe Ziff. 19), wie man aus der Datenschutzrichtlinie entnehmen kann: «Von Once erhobene personenbezogene Pflichtangaben (bei Nichtbereit- stellung dieser Daten werden Sie die Dienste nicht nutzen können) […] Sensible Daten: sexu- elle Orientierung (heterosexuell, homosexuell, bisexuell).». Ausserdem kann die Information, dass eine Person ein aktives Profil bei einer Dating App hat, unter Umstände Rückschlüsse über ihre Intimsphäre liefern, weil diese Information darauf hindeutet, dass der Nutzer aktiv nach einem Partner oder Partnerin sucht.
67. Zudem können die Datenbearbeitungen der Once Dating AG auch besonders schützens- werte Daten der Kategorien «Daten über religiösen, weltanschaulichen, politischen oder ge- werkschaftlichen Ansichten» sowie Gesundheitsdaten und Daten über die Rassenzugehörig- keit erfassen, je nach den Angaben, welche die Nutzer freiwillig in ihren Profilen machen (siehe Ziff. 20).
68. In diesem Sinne ist unbestritten, dass die Once Dating AG besonders schützenswerte Perso- nendaten bearbeitet, Die Einhaltung der erhöhten Anforderungen, die das Gesetz an die Be- arbeitung besonders schützenswerter Daten stellt, wird im Folgenden in den einzelnen The- menbereichen untersucht. 3.1.2. Bearbeitung von Persönlichkeitsprofilen
69. Persönlichkeitsprofile werden in Art. 3 lit. d DSG als «eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt» definiert. Anhaltspunkte, was unter diesem Begriff zu verstehen ist, findet man in der Bot- schaft zum Bundesgesetz über den Datenschutz vom 23. März 1988 (BBl II 1988 413) und in der Rechtsprechung. Gemäss der Botschaft zum DSG ist ein Persönlichkeitsprofil eine Zu- sammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die berufli- chen Fähigkeiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkei- ten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Ent- scheidend ist, dass die systematische Zusammenstellung von an sich nicht besonders schüt- zenswerten Daten (z.B. über Lesegewohnheiten, Reise- und Freizeitaktivitäten) eine Beurtei- lung wesentlicher Aspekte der Persönlichkeit zulässt (BBl II 1988 447).
70. Die ehemalige Eidgenössische Datenschutzkommission hielt fest, dass der Begriff des Per- sönlichkeitsprofils nicht generell definiert werden kann, sondern das Vorliegen eines Persön- lichkeitsprofils im Einzelfall auf Grund der konkreten Umstände zu bejahen oder zu verneinen ist. (Urteil der EDSK vom 27. Januar 2000, VPB 65.48, E. 2). Mithin muss eine Prüfung vor- genommen werden, ob die Once Dating AG Personendaten der Nutzer so zusammenstellt, dass eine Beurteilung wesentlicher Aspekte deren Persönlichkeit ermöglicht wird (BVerG A- 4232/2015 Urteil vom 18. April 2017, E. 5.2.1). Dabei ist eine Darstellung der Gesamtpersön- lichkeit nicht erforderlich. Es genügt, wenn aus wichtigen Eigenschafts- und Verhaltensaspek- ten ein Persönlichkeitsbild erstellt werden kann. In diesem Sinne entsteht ein Persönlichkeits- profil auch anhand der Zusammenstellung einer Anzahl von Daten etwa über die Persönlich- keitsstruktur sowie über berufliche und private Aktivitäten, die ein wesentliches Teilbild einer betroffenen Person ergeben (Vgl. Basler Kommentar DSG, Art. 3 Bst. d, Rz. 66 f.).
71. Wenn sich eine Person bei der App Once registriert, muss sie gewisse Angaben über sich machen, damit sie mit anderen in der App registrierten Person in Verbindung gesetzt werden kann (siehe Ziff. 19). Beim Match-Making-Prozess zielt die Once Dating AG darauf ab, zwei Personen zusammen zu bringen, die gemäss den Einschätzungen von Once zusammenpas- sen würden. Diese Einschätzung basiert auf den Angaben, die die Nutzer über sich machen, sowie auf ihren Präferenzen (siehe Ziff. 21). Basierend auf diesen Personendaten erstellt die Once Dating AG ein Persönlichkeitsbild der Nutzer und zieht Schlussfolgerungen über die
23/44
Vorlieben (in Bezug auf potentielle Partner) der betroffenen Person. Dieses Persönlichkeits- bild lässt die Beurteilung wesentlicher Aspekte der betroffenen Personen zu und zielt gera- dezu darauf ab. Dementsprechend ist es als Persönlichkeitsprofil zu qualifizieren.
72. Daraus folgt, dass die Once Dating sowohl gewisse besonders schützenswerten Daten als auch Persönlichkeitsprofile bearbeitet. Die Einhaltung der erhöhten Anforderungen, die das Gesetz an die Bearbeitung von Persönlichkeitsprofilen knüpft, wird folgend in den einzelnen Themenbereichen geprüft. 3.2. Transparenz und Qualität der Informationen an die Nutzer der App Once 3.2.1. Grundsatz der Transparenz nach Art. 4 Abs. 4 DSG
73. Die Bearbeitung von Personendaten muss gemäss den Bearbeitungsgrundsätzen von Art. 4, 5 Abs. 1 und 7 Abs. 1 erfolgen. Eine Verletzung dieser Bearbeitungsgrundsätze stellt eine Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG dar. Art. 4 Abs. 4 DSG sieht den Transparenzgrundsatz vor, wonach die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein müssen.
74. Der Grundsatz der Transparenz dient dazu, den betroffenen Personen zu ermöglichen, be- wusste Entscheidungen über ihr informationelles Selbstbestimmungsrecht zu treffen. Wenn die Bearbeitungszwecke nicht präzis genug bestimmt werden oder nicht in einer klaren und eindeutigen Form beschrieben werden, kann eine betroffene Person weder die durchgeführ- ten Datenbearbeitungen kontrollieren, noch ihre datenschutzrechtlichen Ansprüche vernünftig ausüben. So die Botschaft: «Die in Artikel 4 Absatz 4 verlangte Transparenz (…) verleiht dem Recht, die Bearbeitung zu untersagen (Art. 12 Abs. 2 Bst. b DSG), ebenfalls eine neue Di- mension. Das Recht, sich der Bearbeitung zu widersetzen, muss so lange blosse Theorie bleiben, als die betroffenen Personen sich über eine Datenbeschaffung und ihre wesentlichen Rahmenbedingungen gar nicht im Klaren sind. Die Transparenz der Beschaffung und die In- formation der betroffenen Person bilden somit den eigentlichen Eckpfeiler des ganzen Daten- schutzsystems.» (BBl 2003 2101, S. 2126)
75. Vor diesem Hintergrund sind die Informationen, welche der Inhaber der Datensammlung in einer konkreten Situation der betroffenen Person erteilen muss, damit die Datenbeschaffung sowie die Rahmenbedingungen der Datenbearbeitung erkennbar sind, nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen (Art. 4 Abs. 2 DSG).
76. Wenn die Datenbeschaffung und ihr Zweck aus den Umständen klar erkennbar sind, muss keine besondere Information erfolgen. Wenn eine Beschaffung auf Grund der Umstände hin- gegen weniger deutlich erkennbar ist, muss die betroffene Person umso eher in geeigneter Art und Weise auf die Erhebung und ihre wesentlichen Rahmenbedingungen aufmerksam gemacht werden. Wenn eine Information erforderlich ist, setzen die Grundsätze der Verhält- nismässigkeit und von Treu und Glauben voraus, dass diese aus der Perspektive einer zum Zielpublikum der App gehörenden, verständigen Durchschnittsperson nach Treu und Glau- ben hinreichend sind, um ihnen eine zumutbare Möglichkeit zu gewähren, davon Kenntnis zu nehmen. 3.2.2. Informationspflicht nach Art. 14 DSG
77. Die Once Dating AG bearbeitet in Zusammenhang mit der Bereitstellung der App Once so- wohl besonders schützenswerte Personendaten (siehe Ziff. 3.1.1) als auch Persönlichkeits- profile (siehe Ziff. 3.1.2). Somit untersteht die Once Dating AG der Informationspflicht nach Art. 14 DSG.
24/44
78. Die Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen nach Art. 14 DSG ergänzt den Grundsatz der Transparenz und setzt eine ausdrückliche Information durch den Verantwortlichen über Folgendes voraus: die Be- schaffung der Daten, den Zweck ihrer Bearbeitung, die Identität des Inhabers der Daten- sammlung sowie die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorge- sehen ist (nicht aber die Identität jedes einzelnen Datenempfängers). Gemäss der Botschaft ist es aber möglich, dass unter Umstände weitere Angaben gemacht werden müssen: «Erfor- dert es der Grundsatz von Treu und Glauben, muss der Inhaber der Datensammlung indes- sen noch weitere Informationen liefern, beispielsweise darüber, ob die Beantwortung der ge- stellten Fragen freiwillig oder obligatorisch ist und über die Folgen einer Verweigerung der verlangten Angaben» (BBl 2131). Um seiner Informationspflicht nachzukommen muss der Verantwortliche alles unternehmen, was von ihm nach den Umständen vernünftigerweise ver- langt werden kann. (BBl 2003 2101, S. 2132). 3.2.3. Einhaltung des Transparenzgrundsatzes (Art. 4 Abs. 4 DSG) und der Informati- onspflicht (Art. 14 DSG)
79. Folgende Anforderungen müssen erfüllt werden, um den Transparenzgrundsatz einzuhalten:
1) Die Erhebung von Personendaten muss erkennbar sein und dabei muss es der betroffe- nen Person klar sein, wofür welche Daten über sie bearbeitet werden; 2) wenn dies aus den Umständen nicht ersichtlich ist, müssen die Bearbeitungszwecke und Rahmenbedingungen durch den Verantwortlichen in Form einer Information angegeben werden; 3) die Angemes- senheit der Informationen wird daran gemessen, ob eine betroffene Person auf Grundlage dieser eine bewusste Entscheidung über ihr Recht auf informationelle Selbstbestimmung tref- fen kann (z. B. ihre Einwilligung geben). In diesem Sinne müssen die Informationen, die be- reitgestellt werden, umfassend, korrekt und für den Nutzer eindeutig und klar sein.
80. Die Informationspflicht nach Art. 14 setzt ausserdem voraus, dass die Information ausdrück- lich bereitgestellt wird und dass der Inhaber der Datensammlung der betroffenen Person alle Informationen zukommen lässt, die für eine Bearbeitung nach dem Grundsatz von Treu und Glauben und der Verhältnismässigkeit erforderlich sind, insbesondere die Identität des Inha- bers der Datensammlung, den Zweck des Bearbeitens und die Kategorien allfälliger Daten- empfänger. 3.2.3.1. Erkennbarkeit der Datenerhebungen bei der App Once
81. Vorliegend werden die Nutzer der App Once bei der Registrierung aufgefordert, gewisse An- gaben über sich zu machen und zu bestätigen, dass sie die Datenschutzrichtlinie und die AGB der Once Dating AG zur Kenntnis genommen haben (dabei werden beide Dokumente verlinkt), sowie folgenden Aussage zuzustimmen: «Ich akzeptiere, dass Once einige meiner personenbezogenen Daten sammelt und weiterverarbeitet, um ihren Dienst bereitzustellen». In diesem Sinne ist es für die betroffenen Personen erkennbar, dass die Once Dating AG Personendaten erhebt.
82. Dass die Nutzer bei der Registrierung aufgefordert werden, Kenntnis von der Datenschutz- richtlinie und den AGB zu nehmen, kann als Zeichen einer aktiven Information der Nutzer be- treffend die im Zusammenhang mit der App Once durchgeführten Datenbearbeitungen ange- sehen werden, was mit Blick auf Art. 14 DSG und zu begrüssen ist. Es gibt jedoch keinen di- rekten Link auf die Datenschutzrichtlinie im Footer der Webseite getonce.com.77
77 Um darauf zu gelangen, muss man zuerst auf «Bedingungen» klicken, um den Link auf die «Daten- schutzbedingungen», d.h. die Datenschutzrichtlinie der Once Dating AG, zu finden.
25/44
83. Die Einhaltung des Transparenzgebots und der Informationspflicht gemäss Art. 14 DSG kann allerdings nur abschliessend bejaht werden, wenn die Informationen, die durch den Verant- wortlichen geliefert werden, angemessen sind (siehe Ziff. 79). Dies bedeutet vorliegend, dass in den Datenschutzrichtlinien und AGB der Once Dating AG angemessene Informationen über die durch die Once Dating AG durchgeführte Datenbearbeitungen inkl. Bearbeitung von besonders schützenswerten Daten und Persönlichkeitsprofilen zu finden sein müssen. Insbe- sondere müsste ersichtlich sein: welche Daten für welche Zwecke und unter welchen Bedin- gungen bearbeitet werden. In Bezug auf besonders schützenswerte Daten und Persönlich- keitsprofilen müsste ausserdem ausgeführt werden, ob und inwieweit diese bearbeitet wer- den, für welche Zwecke, durch wen und ob eine Datenbekanntgabe an Dritte stattfindet. 3.2.3.2. Erkennbarkeit der Bearbeitungszwecke und der Rahmenbedingungen der Datenbearbeitung
84. Gemäss den Nutzungsbedingungen legen diese die Hauptregeln für die Nutzung der Mobile App fest und werden «durch zusätzliche Richtlinien, die Datenschutzrichtlinie, die Cookie- Richtlinie und die häufig gestellten Fragen (FAQ) ergänzt». Die AGB beinhalten auch eine Vorrangregel, wonach im Falle eines Konflikts zwischen den verschiedenen Richtlinien der zu einer mangelnden Zugänglichkeit, Verständlichkeit und/oder Vorhersehbarkeit der Regeln führt, die AGB Vorrang vor der Datenschutzrichtlinie, der Cookie-Richtlinie und den FAQ ha- ben. Gemäss Ziff. 6 der AGB erfolgen die Datenbearbeitungen, welche die Once Dating AG in Zusammenhang mit der App Once durchführt, «zur Erfüllung eines Vertrags, bei dem das Mitglied Vertragspartei ist» und sind dazu «erforderlich». Dabei wird auf die Datenschutzricht- linie verwiesen.78
85. In der Datenschutzrichtlinie der Once Dating AG werden zuerst gewisse Bearbeitungszwecke unter Ziff. 1 («Zwecke und Rechtsgrundlage der Verarbeitungen») ohne weitere Informatio- nen über die bearbeitenden Daten angegeben: «Verwaltung und Verwendung der App und der Website», «Newsletter» und «Verwaltung der Bewerbungen». Der Zweck «Verwaltung und Verwendung der App und der Website» wird dabei mit folgenden Informationen weiter konkretisiert: 1) Den Nutzern die Verwendung der App und die Nutzung der Dienste zu erlau- ben; 2) Mit den Nutzern per E-Mail, SMS oder auf dem Postweg zu kommunizieren; 3) Die Verbesserung der Services der Once Dating AG (mit folgenden Beispielen: «Analyse von Da- ten, Forschung und Entwicklung, Aufdeckung betrügerischer Verhaltensweisen; wobei alleine auf der Grundlage einer automatisierten Verarbeitung keine Entscheidung eines Eingreifens getroffen wird».). Dabei erklärt die Once Dating AG, dass die in diesem Zusammenhang durchgeführten Datenbearbeitungen «für die Erfüllung eines Vertrages, von dem das Mitglied Vertragspartei ist, notwendig» seien. Dabei wird auch informiert, dass die Once Dating AG in Zusammenhang mit der «Verwaltung und Verwendung der App und der Website» auch «so- genannte „sensible“ Daten» bearbeitet79. Diese Datenbearbeitung erfolge aber nicht zur Erfül- lung des Vertrags, sondern mit der ausdrücklichen Einwilligung der Nutzer, «die durch Ihre Anmeldung zustande kommt.». Diese Unterscheidung oder Präzisierung wird in den AGB nicht gemacht (siehe Ziff. 84).
86. Gemäss der Once Dating AG gibt sie Daten an Dritte weiter, damit diese gewisse Datenbear- beitungen (siehe Tabelle 1) mit folgenden Bearbeitungszwecken im Auftrag der Once Dating AG durchführen: Kundensupport, Zahlungsabwicklung, Sicherheitsoperationen und Analysen für Marketingzwecke (siehe Ziff. 30 ff.). Diese Zwecke werden zwar nicht explizit in der Da- tenschutzrichtlinie angegeben, aber können, mit Ausnahme der Analysen für
78 Gemäss Ziff. 6 der AGB 79 Für genauere Informationen wird auf Ziff. 2 verwiesen «(sexuelle Ausrichtung etc. - siehe unten „Ar- ten von erhobenen personenbezogenen Daten“)».
26/44
Marketingzwecke, den allgemeinen Zwecken, welche unter Ziff. 1 der Datenschutzrichtlinie angegeben werden, subsumiert werden (siehe Tabelle 2). Somit lassen sich diese Bearbei- tungszwecke mit Ausnahme der Analysen für Marketingzwecke aus den Informationen der Datenschutzrichtlinie ableiten. Der Zweck «Analysen für Marketingzwecke» ist hingegen nicht erkennbar.
87. Die Mehrheit der durchgeführten Datenbearbeitungen stehen in engem Zusammenhang mit der Erfüllung der durch die Once Dating AG angegebenen Bearbeitungszwecke (gemäss Ziff. 30 ff.), aber nicht alle. Die Dienste der Anbieter Vonage, Airbrake und Looker scheinen zwar in Zusammenhang mit der Erfüllung von Bearbeitungszwecken zu stehen, die in der Daten- schutzrichtlinie angegeben werden, aber nicht mit den Zwecken Kundensupport, Zahlungsab- wicklung, Sicherheitsoperationen oder Analysen für Marketingzwecke. Die Reengagement- Dienste, welche durch Batch bereitgestellt werden, können hingegen unter keinen der er- wähnten Zwecken subsumiert werden (siehe Tabelle 2). Dienst (Datenbearbeiter) Bearbeitungszweck gemäss Angaben der Once Dating AG Zweck gemäss Daten- schutzrichtlinie Cloudbasierte Kundensupport- Plattform (Zendesk)
Kundensupport «Um per E-Mail, SMS oder auf dem Postweg mit Ihnen (den Nutzern) zu kommunizie- ren» Reengagement-Dienste (Batch)
Keine Subsumtion möglich. Keine Subsumtion möglich, denn die Kommunikation mit den Kunden erfolgt nicht per E-Mail, SMS oder Postweg, sondern mittels Handybenach- richtigung. Online Bezahldienst (Paypal, Stipe) Zahlungsabwicklung «Um die Verwendung der App und die Nutzung der Dienste zu erlauben» Videochats zwischen Nutzern (Vonage) - «Um die Verwendung der App und die Nutzung der Dienste zu erlauben» Bildanalyse zur Moderation (Sightengine) Sicherheitsoperationen «Um unseren Service zu verbessern (nämlich: Analyse von Daten, Forschung und Entwicklung, Aufdeckung be- trügerischer Verhaltenswei- sen); wobei alleine auf der Grundlage einer automatisier- ten Verarbeitung keine Ent- scheidung eines Eingreifens getroffen wird» Überprüfung von Rufnummern (Telesign) Werkzeug zur Verwaltung von Protokollen (Logentries)
27/44
Crash-Reporting-Werkzeug (Airbrake)
- «Um unseren Service zu verbessern (nämlich: Ana- lyse von Daten, Forschung und Entwicklung, Aufde- ckung betrügerischer Verhal- tensweisen); wobei alleine auf der Grundlage einer automati- sierten Verarbeitung keine Entscheidung eines Eingrei- fens getroffen wird» Visualisiert die wichtigsten Da- ten, um sie zu analysieren, Be- richte zu erstellen und Ent- scheidungen zu treffen (Loo- ker) App-Analytik (Google Analytics und Firebase; Facebook) Analysen für Marketingzwecke Keine Subsumtion möglich, denn die Analyse steht nicht im Zusammenhang mit der Verbesserung der Services, sondern dient Marketingzwe- cken. Analytik und Werkzeug zur At- tributionserkennung (Adjust) Tabelle 2
88. Unter Ziff. 2 der Datenschutzrichtlinie («Arten von erhobenen personenbezogenen Daten») wird präzisiert, welche Daten im Zusammenhang mit den bereits unter Ziff. 1 ausgeführten Zwecken bearbeitet werden. Im Zusammenhang mit der «Verwaltung und Verwendung der App und der Website» wird zwischen Daten, die durch die Nutzer bereitgestellt werden müs- sen, um die App nutzen zu können (Pflichtangaben), und Daten, welche freiwillig durch die Nutzer bereitgestellt werden, differenziert. Unter den Pflichtangaben wird die sexuelle Orien- tierung als «sensibel» (besonders schützenswertes Datum) gekennzeichnet. Unter den frei- willigen Angaben werden die Informationen «über ethnische Herkunft, Religion, ethnische/re- ligiöse Vorlieben beim Dating, politische Einstellung» als sensibel gekennzeichnet.
Abbildung 5: Auszug aus der Datenschutzrichtlinie
28/44
89. Die verwendete Struktur des Absatzes mit Aufzählungszeichen gibt zu verstehen, dass alle Angaben, welche nach dem Satz «Von Once erhobene freiwillige personenbezogene Anga- ben» aufgeführt sind, mit freiwilliger Zustimmung der Nutzerinnen und Nutzer von der Once Dating AG erhoben werden (siehe Abbildung 5). Allerdings gehört zumindest ein Teil davon zu den erforderlichen Angaben. In diesem Zusammenhang wird erläutert, dass die Once Da- ting AG Informationen bei ihren Interaktionen mit Kunden im Rahmen der Kundenbetreuung sammelt und diese zu Trainingszwecken und Qualitätssicherung überwacht oder aufzeichnet. Auch in diesem Zusammenhang wird mitgeteilt, dass die Once Dating AG Daten über die Ak- tivität der Nutzer auf der Website und der App erfasst. Diese Datenbearbeitung betreffe alle durch die Nutzer via Website oder App realisierten Aktionen, Verbindungen, Verbindungszei- ten sowie die gesamten Interaktionen mit anderen Nutzern. Dabei wird allerdings nicht präzi- siert, für welche Zwecke diese Informationen verwendet werden, sondern lediglich mitgeteilt, dass sie erhoben werden.
90. Ausserdem wird dabei informiert, dass die Once Dating AG Daten über die Endgeräte der Nutzer erhebt. Als Angaben, die im Zusammenhang mit den Endgeräten der Nutzer erhoben werden, werden die Modelle sowie Version des Betriebssystems erwähnt, und als Zweck für deren Bearbeitung wird die Verbesserung der mobilen Anwendungen angegeben. Wie wir allerdings feststellen konnten, bearbeitet die Once Dating AG neben diesen Informationen auch die u-id (siehe Ziff. 31) für verschiedene Zwecke und gibt die Werbe-ID der Nutzer (IDFA für iOS, GPS-ADID für Android) an Dritte bekannt, welche diese wiederum an weitere Dritte weitergeben, welche sie für Werbezwecke bearbeiten (siehe Ziff. 34). Auch dabei wird angedeutet, dass die Once Dating AG Daten im Rahmen von Markterhebungen sammelt, ohne allerdings anzugeben, welche Daten dabei bearbeitet werden.
91. Im Zusammenhang mit dem Bearbeitungszweck «Newsletter» wird Folgendes erläutert: «Da- mit wir Ihnen unsere Newsletter zukommen lassen können, wird von Once die von Ihnen mit- geteilte E-Mail-Adresse erfasst und verarbeitet. Dem Nutzer steht es frei, diese nicht bekannt zu geben. Die Mitteilung Ihrer E-Mail-Adresse ist zwingend erforderlich, wenn Sie die Newsletter von Once erhalten möchten.» Diese Information widerspricht zum Teil dem Inhalt der AGB, wonach die Nutzer bei der Anmeldung eine Einwilligung zum Versand von Newslet- tern erteilen: «Newsletter: Bei der Anmeldung für die App stimmt das Mitglied dem Empfang eines Newsletters von ONCE zu. Per Klick auf den Abmeldelink unten in jeder E-Mail von ONCE können die Mitglieder jederzeit von ihrem Widerspruchsrecht Gebrauch machen und den Newsletter abbestellen.». In diesem Zusammenhang stellen wir fest, dass die Nutzer nicht angemessen informiert werden, dass mit der Registrierung eine Einwilligung zum Ver- sand des Newsletters erteilt wird.80
92. Aus den oben genannten Gründen erlaubt die Struktur des Textes der Datenschutzrichtlinie und zum Teil auch der Inhalt ihrer einzelnen Punkte den Nutzern nicht, sich einen Überblick über die tatsächlich durchgeführten Datenbearbeitungen zu verschaffen. Darum erachten wir die Informationen in der Datenschutzrichtlinie als ungenügend hinsichtlich des Transparenz- gebots nach Art. 4 Abs. 4 DSG. In Bezug auf die Bearbeitungsbedingungen wird die Kennt- nisnahme der datenschutzrelevanten Informationen erschwert durch die Tatsache, dass ei- nige Informationen in den AGB nicht mit der Datenschutzrichtlinie (siehe z.B. Ziff. 84 und 91) oder den FAQ (siehe Ziff. 45) übereinstimmen. Darüber hinaus wird die Kenntnisnahme auch dadurch erschwert, dass in den AGB und in der Datenschutzrichtlinie auf unterschiedliche
80 Unter Ziff. 2 wird auch erläutert, inwieweit die Once Dating AG Daten in Zusammenhang mit Bewer- bungen bearbeitet. Da diese Datenbearbeitung nicht die Nutzer der App Once betrifft, sondern den Anstellungsprozess, ist diese nicht Gegenstand unserer Sachverhaltsabklärung.
29/44
Gesetze verwiesen wird81, jedoch nicht auf das DSG, obschon es auf die Datenbearbeitun- gen der Once Dating AG anwendbar ist. Eine unmissverständliche Information über die für die Anbieterin geltende Datenschutzgesetzgebung ist unerlässlich, um den Nutzern zu er- möglichen, ihre Rechtsansprüche zu kennen und durchzusetzen. 3.2.3.3. Information über die Kategorien der Datenempfänger
93. Unter Umständen gehört die Information über die Datenempfänger zu den minimalen Anga- ben, welche erforderlich sind, um einer Datenbearbeitung Transparenz zu gewähren. Wenn es um die Datenbekanntgabe von besonders schützenswerten Personendaten oder Persön- lichkeitsprofilgen geht, ist die Kategorie der Empfänger sogar eine Pflichtangabe gemäss Art. 14a DSG.
94. Die Datenschutzrichtlinie der Once Dating AG enthält Informationen zu den Kategorien von Datenempfängern, ohne die übermittelten Daten näher zu erläutern. Unter Ziff. 4 der Daten- schutzrichtlinie wird angegeben, dass grundsätzlich die «Mitglieder von Once», also die re- gistrierten Nutzer, sowie «Dienstleister der Once Dating AG», die Empfänger der Daten sind, welche die Once Dating AG bearbeitet. Im Fall einer Fusion, Verkauf, Auflösung usw. erklärt die Once Dating AG ausserdem, dass Daten an andere Gesellschaften weitergegeben könn- ten. Zudem behält sich die Once Dating AG das Recht vor, Personendaten bekanntzugeben, wenn dies gesetzlich, gerichtlich oder behördlich vorgeschrieben ist, oder wenn dies zum Nachweis oder zur Ausübung der Rechte der Once Dating AG, ihrer Mitarbeitenden oder sonstiger Personen erforderlich scheint.
95. Gemäss unserer Abklärung behalten sich einige Dienstleister der Once Dating AG das Recht vor, die ihnen durch die Once Dating AG bereitgestellten Daten zu eigenen Zwecken zu nut- zen. Diese sind: Facebook, Google, Sendgrid, Looker, Vonage und Paypal. (siehe Ziff. 35). Dies bedeutet, dass die Once Dating AG Daten an Dritte bekanntgibt, die diese nicht nur in ihrem Auftrag bearbeiten, sondern zum Teil auch in eigener Verantwortung.
96. Aufgrund der Tatsache, dass diese Empfänger die Daten nicht ausschliesslich im Auftrag der Once Dating AG bearbeiten, ist der Begriff «Dienstleister der Once» nicht zutreffend, um diese Kategorie von Datenempfängern zu beschreiben. Immer wenn die Empfänger Perso- nendaten in eigener Verantwortung bearbeiten, gelten diese als Dritte, nicht aber als reine Dienstleister bzw. Auftragnehmer.
97. Da die Informationen in der Datenschutzrichtlinie keine Hinweise über die Bekanntgabe von Personendaten an Dritte, die Personendaten im eigenen Interesse und unter eigener Verant- wortung bearbeiten, enthalten, erachten wir diese als unvollständig. Dies stellt einen Mangel hinsichtlich der Informationspflicht der Once Dating AG gegenüber ihren Nutzern dar. In der Datenschutzrichtlinie müsste diese Datenbekanntgabe an Dritte inkl. Bearbeitungszweck er- läutert werden. 3.2.3.4. Erkennbarkeit der verwendeten Garantien für die Übermittlung von Daten ins Ausland
98. Da uns die Once Dating AG am 9. April 2021 mitteilte, dass sie die Kanzlei
beauftragt hat, ihre Datenbearbeitungsaktivitäten zu analysieren und ihre
81 In den AGB wird auf das Gesetz Nr. 78-17 vom 6. Januar 1978 in der durch das französische Datenschutzge- setz Nr. 2004-801 vom 6. August 2004 abgeänderten Fassung verwiesen; in der Datenschutzrichtlinie wird auf die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten Nr. 2016/679 vom 27. April 2016 («DSGVO») verwiesen.
30/44
Datenschutz-Policies gemäss dem revidierten DSG anzupassen, gehen wir davon aus, dass die Datenschutzrichtlinie der Once Dating AG im Hinblick auf die Ausweitung der Informati- onspflicht gemäss dem neuen Gesetz überarbeitet werden soll. In diesem Zusammenhang weisen wir darauf hin, dass die Informationspflicht gemäss Art. 19 nDSG auch die Information über die verwendeten Garantien für die Datenübermittlung ins Ausland umfasst und eine all- gemeine Aussage zu der Verwendung von Standardvertragsklauseln oder anderen «geeigne- ten Schutzklausen» nicht genügt, um diese zu erfüllen. Gemäss dem Erwägungsgrund 4 der neuen europäischen Standardvertragsklauseln «muss diese Information einen Verweis auf die angemessenen Garantien und die Möglichkeiten, wie eine Kopie von ihnen eingeholt wer- den kann, oder wo sie verfügbar sind, umfassen.»82. 3.2.3.5. Schlussfolgerung
99. Zusammenfassend lässt sich feststellen, dass die Informationen, welche die Once Dating AG ihren Nutzern zur Verfügung stellt, nicht angemessen sind. Die Reengagement-Dienste, wel- che durch Batch bereitgestellt werden, können unter keinen der in der Datenschutzrichtlinie dargestellten Zwecke subsumiert werden, und der Zweck «Analysen für Marketingzwecke» ist in dieser auch nicht erkennbar. Ausserdem geht aus der missverständlichen Struktur und zum Teil aus dem Inhalt der einzelnen Punkte nicht klar hervor, was die tatsächlich durchge- führten Datenbearbeitungen sind. Hinsichtlich der Datenbearbeitung in Zusammenhang mit dem Newsletter wird die Kenntnisnahme der datenschutzrelevanten Informationen erschwert durch die Tatsache, dass einige Informationen in den AGB nicht mit der Datenschutzrichtlinie übereinstimmen. Darüber hinaus wird die Kenntnisnahme auch dadurch erschwert, dass in den AGB und in der Datenschutzrichtlinie auf unterschiedliche Gesetze verwiesen wird und das DSG gänzlich unerwähnt bleibt, obschon es für die Datenbearbeitungen der Once Dating AG eigentlich gilt. Ausserdem enthält die Datenschutzrichtlinie keine Informationen über die Datenbekanntgabe an Dritte, die nicht als Dienstleister der Once Dating AG handeln, sondern Personendaten für eigene Zwecke bearbeiten. 100. Dies stellt eine Verletzung des Transparenzgrundsatzes (Art. 4 Abs. 4 DSG) dar, die zu einer Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG führt. Wenn kein Recht- fertigungsgrund vorliegt, ist diese Persönlichkeitsverletzung widerrechtlich. 3.3. Löschkonzept und Löschmöglichkeiten der Nutzer 3.3.1. Grundsatz der Rechtmässigkeit (Art. 4 Abs. 1), von Treu und Glauben und der Ver- hältnismässigkeit (Art. 4 Abs. 2 DSG) 3.3.1.1. Möglichkeit Personendaten auf Verlangen zu löschen (Art. 12 Abs. 2 lit. b DSG) 101. Angesichts der Sensibilität der auf der App Once bearbeitenden Daten sowie der Tat- sache, dass die Daten gemäss der Datenschutzrichtlinie und den Angaben der Once Dating AG in dieser Sachverhaltsabklärung gestützt auf die Einwilligung der betroffenen Person be- arbeitet werden, ist es unabdingbar, dass die Nutzer der App Once eindeutig auf ihre Löschmöglichkeiten hingewiesen werden und jederzeit die umgehende Löschung ihrer Per- sonendaten bzw. ihres Profils verlangen können. Aufgrund des Grundsatzes von Treu und
82 Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäi- schen Parlaments und des Rates
31/44
Glauben soll jeder Nutzer und Nutzerin dies auf einfacher Weise verlangen können. Das heisst, es darf nicht schwieriger sein, eine Einwilligung zurückzuziehen und die Löschung der eigenen Daten zu verlangen, als eine Einwilligung abzugeben und ein Konto bei Once Dating AG zu erstellen. Gemäss Art. 12 Abs. 2 lit. b DSG darf die Once Dating AG ausserdem keine Personendaten bearbeiten ohne Rechtfertigungsgrund, wenn die betroffene Person aus- drücklichen Widerspruch zur Datenbearbeitung eingelegt hat. 102. Gemäss der Once Dating AG haben die Nutzer der App Once die Möglichkeiten, die in Ziff. 2.3.2 der Sachverhaltsfeststellung erläutert werden, um die Löschung ihrer Daten zu verlangen: ein Löschbegehren per E-Mail, per Brief oder über den in-App Kontaktkanal einzu- reichen. Die Löschbegehren erfolgen gemäss Löschprozess in automatisierter Form grund- sätzlich innert 24 Stunden nach dem Eingang des Löschbegehrens, mit Ausnahme des Fal- les, dass ein Nutzer mit betrügerischem Verhalten auf der App identifiziert und bereits blo- ckiert wurde. 103. Aus den oben genannten Gründen ist es zu begrüssen, dass die Nutzer die Löschung ihrer Daten verlangen können und dass die Once Dating AG einen Prozess hat, um Löschbe- gehren umgehend zu bearbeiten. Es ist auch positiv, dass den Nutzern verschiedene Kom- munikationskanäle zur Verfügung stehen, um ihr Löschbegehren einzureichen (per E-Mail, per Brief oder über den in-App Kontaktkanal), wobei die Zugänglichkeit der in-App Löschmöglichkeit (siehe Ziff. 42) verbessert werden könnte. 3.3.1.2. Information über die verfügbaren Löschmöglichkeiten 104. Ein weiterer wichtiger Punkt ist die Information über die verfügbaren Löschmöglichkei- ten, die den Nutzern bereitgestellt werden. Insgesamt lässt sich nach unserer Abklärung fest- stellen, dass die Nutzer der Once App nicht angemessen über ihre Löschungsmöglichkeiten durch die Once Dating AG informiert werden. Einerseits, weil die den Nutzern zur Verfügung gestellten Informationen diesbezüglich erhebliche Ungenauigkeiten aufweisen und anderer- seits, weil diese nicht oder nicht genügend die verfügbaren Löschmöglichkeiten erläutern. 105. Erstens stimmen die Informationen auf der Datenschutzrichtlinie betreffend die Bear- beitung von Löschbegehren mit der aktuellen Praxis der Once Dating AG nicht überein: ge- mäss der Datenschutzrichtlinie müssen Löschbegehren per E-Mail an die Adresse dpo@ge- tonce.com mit einer Kopie des Ausweises eingereicht werden. Diese sollten durch die Once Dating AG anschliessend innerhalb von 2 Monaten bearbeitet werden, es sei denn, die An- frage stellt sich «als deutlich unbegründet oder über das Maß hinausgehend» heraus. Zwei- tens werden die Möglichkeiten, das Löschbegehren per Brief oder über den im App-Kontakt- kanal einzureichen, in der Datenschutzrichtlinie nicht erläutert. Die Möglichkeit, das Löschbe- gehren per Brief einzureichen, wird lediglich in den AGB erwähnt. Die Möglichkeit, ein Lösch- begehren über den Kontaktkanal in der App einzureichen, wird weder in den AGB noch in der Datenschutzrichtlinie der Once Dating AG erwähnt, und die FAQ klärt darüber auch nicht wei- ter auf. Diese Diskrepanzen zwischen den verschiedenen Dokumenten macht die Information zu den gewährten Löschmöglichkeiten derart unübersichtlich, dass es einem durchschnittli- chen Nutzer nicht möglich ist, Kenntnis von den verfügbaren Löschungsoptionen zu nehmen. 106. Ausserdem enthält die Datenschutzrichtlinie folgenden Satz, welcher unter dem Ge- sichtspunkt von Treu und Glauben problematisch ist, da er die Nutzerinnen und Nutzer von der Ausübung deren Rechte möglicherweise abhalten könnte: «[s]ollten sich die Anfragen ei- nes Mitglieds als deutlich unbegründet oder über das Maß hinausgehend herausstellen (ins- besondere aufgrund ihres sich wiederholenden Charakters), ist Once berechtigt, i) angemes- sene Aufwendungen geltend zu machen, die den Verwaltungskosten für die Bereitstellung der Informationen, den Kommunikationsaufbau oder das Ergreifen der angefragten Maßnah- men Rechnung tragen, oder ii) sich weigern, diesen Anträgen Folge zu leisten.». (Siehe Ziff. 44).
32/44
107. Zu möglichen Kostenfolgen eines Begehrens muss zwischen dem Auskunftsrecht und anderen Betroffenenrechten differenziert werden. Das Gesetz sieht zwar die Möglichkeit ei- ner Erhebung von Kosten für die Bereitstellung von Auskünften gemäss Art. 8 DSG vor, um unverhältnismässige Aufwände auszugleichen, nicht aber für die Bearbeitung anderer Daten- schutzbegehren. Zudem erlaubt auch Art. 8 DSG nicht ohne Weiteres, dass sich ein Verant- wortlicher weigert, einem Datenschutzbegehren Folge zu leisten. Ausserdem muss ein Löschbegehren immer berücksichtigt werden, wenn die Weiterbearbeitung der Daten ohne Rechtfertigungsgrund erfolgen würde. Daher ist ein genereller Hinweis, wonach Begehren nicht berücksichtigt werden, unter diesem Aspekt nicht zulässig. 108. Angesichts der Tatsache, dass sich die Datenbearbeitungen der Once Dating AG auf die Einwilligung der Nutzer stützen, stellt dieser Mangel an Übersichtlichkeit der Informatio- nen über die verfügbaren Löschmöglichkeiten und der oben erwähnte Hinweis auf die Mög- lichkeit, dass die Once Dating AG «angemessene Aufwendungen geltend zu machen» könnte, einen Verstoss gegen den Grundsatz der Treu und Glauben dar. 3.3.1.3. Automatische Löschung von Personendaten bei Inaktivität 109. Das Ziel der App Once ist es, mittels Matching-Algorithmus Menschen zu verbinden, die eine Beziehung mit einer anderen Person eingehen möchten. Mit dieser Erwartung ver- trauen die Nutzerinnen und Nutzer der App Once der Once Dating AG die Bearbeitung ihrer persönlichen Daten an. Im Hinblick auf den Grundsatz der Datenbearbeitung nach Treu und Glauben und den Grundsatz der Datenrichtigkeit ist die Once Dating AG verpflichtet, ange- messene Massnahmen zu treffen, um sich darüber zu vergewissern, dass die Personenda- ten, die sie in diesem Zusammenhang erhebt und bearbeitet, Personen betreffen, die tat- sächlich eine Beziehung mit einer anderen Person eingehen möchten. Im Rahmen der Part- nervermittlung folgt daraus, dass die Once Dating AG nicht nur eine Pflicht hat, die registrie- renden Nutzer zu prüfen und betrügerisches Verhalten von aktiven Nutzern regelmässig zu kontrollieren, sondern auch zumutbare Massnahmen zu treffen, um sicherzustellen, dass der Datenbestand möglichst aktuell bleibt. 110. Die Once Dating AG implementiert Massnahmen zur Verifikation der registrierten Nut- zerinnen und Nutzer und zur Identifikation und Bekämpfung von auffälligem Missbrauch (mehr dazu unter 3.5.1.1). Ausserdem führt sie beim Matchmaking eine De-Priorisierung der Profile von Nutzenden durch, die für eine lange Zeit die App nicht mehr genutzt haben. Nut- zende, die seit mehr als 30 Tagen die App nicht genutzt haben, werden in der Datenbank der Once Dating AG inaktiv. Dies entspricht aber nicht einer Deaktivierung des Kontos (siehe Ziff. 41), sondern hat lediglich zur Folge, dass die Nutzerinnen und Nutzer keine Kommunikation (E-Mail, Benachrichtigungen) mehr von der Once Dating AG erhalten, aus ihrer Mailingliste gelöscht und nicht mehr für User Experience Umfragen und Fokusgruppen ausgewählt wer- den (siehe Ziff. 48). Die inaktiven Nutzerinnen und Nutzer bleiben jedoch in der Datenbank der Once Dating AG gespeichert und können theoretisch weiterhin von anderen Nutzenden angesehen werden, bis sie aktiv die Deaktivierung oder die Löschung der Daten verlangen. 111. Die Once Dating AG weiss, welche Nutzerinnen und Nutzer aktiv oder inaktiv sind und kann deshalb nicht in gutem Glauben deren persönliche Daten auf unbestimmte Zeit bearbei- ten. Die De-Priorisierung ist zwar eine wichtige Massnahme, um die Bearbeitung von Daten von inaktiven Nutzerinnen und Nutzern zu minimieren. Angesichts der Sensibilität der Daten, und da allein die Information, dass eine Person ein Konto bei einer Dating-Anwendung hat, Rückschlüsse auf die Intimsphäre einer Person zulässt, erachten wir als notwendig, dass die Once Dating AG weitergehende Massnahmen ergreift, um sich zu vergewissern, dass sie die Personendaten von inaktiven Nutzerinnen und Nutzern nach Treu und Glaube weiterhin bear- beiten darf. 112. Bei längerer Inaktivität der Nutzerinnen und Nutzer kann nicht mehr davon ausgegan- gen werden, dass diese noch an der Vermittlung eines Partners oder eine Partnerin
33/44
interessiert sind, weshalb eine Weiterbearbeitung zu diesem Zweck unverhältnismässig ist. Aufgrund der fehlenden Übersichtlichkeit der Optionen für die Einreichung eines Löschbegeh- rens kann ausserdem nicht ausgeschlossen werden, dass Personen ihr Konto einzig aus dem Grund nicht löschen, dass sie nicht wissen, wie sie diese Löschung veranlassen kön- nen, die App aber tatsächlich nicht mehr nutzen und deshalb als inaktive Nutzenden gelten. 113. Der Grundsatz der Verhältnismässigkeit verlangt von der Once Dating AG, dass sie keine Personendaten bearbeitet, welche zur Erreichung der Bearbeitungszwecke nicht mehr notwendig sind. Auch wenn die Once Dating AG die Daten von inaktiven Nutzenden nicht mehr aktiv für die Partnervermittlung bearbeitet, speichert sie die Daten weiter, obwohl sie diese nicht mehr benötigt. Diese zeitlich unbeschränkte Bearbeitung der Daten von inaktiven Nutzern durch die Once Dating AG verletzt deshalb den Grundsatz der Treu und Glauben und der Verhältnismässigkeit. 3.3.1.4. Löschung von Personendaten, deren Bearbeitung ausgelagert wurde 114. Der Löschprozess der Once Dating AG, welcher in Ziff. 46 beschrieben wird, beinhal- tet nicht die Daten, welche durch Auftragnehmer bearbeitet werden. Dies bedeutet, dass die Once Dating AG bei einem Löschbegehren zwar diejenigen Daten löscht, die bei ihr gespei- chert sind, aber nicht unbedingt diejenigen, deren Bearbeitung an Datenbearbeiter ausgela- gert wurde. Diesbezüglich hat sie keinen proaktiven Prozess. Folglich bleiben gewisse Perso- nendaten bei den Auftragsbearbeitern der Once Dating AG gespeichert. 115. Art. 10a Abs. 1 lit. a DSG sieht aber vor, dass der Auftragnehmer die Daten nur so be- arbeiten darf, wie der Auftraggeber selbst es tun dürfte. Dies bedeutet, dass dieser keine Da- ten weiterbearbeiten darf, die eine Person betreffen, welche die Löschung ihrer Daten beim Inhaber der Datensammlung verlangt hat. Die Once Dating AG ist aufgrund des Bearbei- tungsgrundsatzes der Rechtmässigkeit und der Verhältnismässigkeit verpflichtet, für die Lö- schung dieser Daten zu sorgen, auch wenn sie Dritte (Auftragsdatenbearbeiter) mit deren Be- arbeitung beauftragt hat. Zum Beispiel, indem sie das Begehren an den Dritten zur Erledi- gung weiterleitet, wenn sie nicht selbst in der Lage ist, die Löschung zu veranlassen. 116. Es verstösst gegen die Grundsätze der Rechtmässigkeit und der Verhältnismässig- keit, wenn die Auftragnehmer der Once Dating AG in ihrem Auftrag Daten, deren Löschung der Nutzer oder die Nutzerin ausdrücklich verlangt hat bzw. die nicht mehr benötigt werden, weiterbearbeiten. 3.3.1.5. Schlussfolgerung 117. Das Verfahren zur Bearbeitung von Löschbegehren ist insofern mit dem Grundsatz der Verhältnismässigkeit, Rechtmässigkeit und Treu und Glauben zu vereinbaren, als die Once Dating AG Löschbegehren und über verschiedenen unkomplizierten Kanälen erhält und diese in kurzer Zeit (24 Stunden) bearbeitet. Hingegen wird dem Grundsatz von Treu und Glauben nicht genügend getan hinsichtlich der Qualität der Informationen über die Löschmöglichkeiten, die den Nutzerinnen und Nutzern bereitgestellt werden sowie der Zu- gänglichkeit der In-App Kontaktoption, die u.E. nicht ausreichend erkennbar ist. Aufgrund der fehlenden Übersichtlichkeit der Optionen für die Einreichung eines Löschbegehrens ist nicht auszuschliessen, dass Personen, die ihr Konto löschen wollten, aber nicht wissen, wie genau dies verlangt werden kann, kein Löschbegehren einreichen, aber die App nicht mehr nutzen und als inaktive Nutzenden gelten. Die Once Dating AG bearbeitet deren Daten nicht mehr aktiv, aber speichert sie weiter, obwohl sie diese nicht mehr benötigt, was einen Verstoss ge- gen den Grundsatz der Verhältnismässigkeit darstellt. In diesem Sinne und vor dem Hinter- grund, dass die Information, dass eine Person ein Profil in einer Dating-App hat, unter Um- ständen auch Rückschlüsse über ihre Intimsphäre erlaubt, müsste die Once Dating AG auch eine maximale Aufbewahrungsfrist für inaktive Konten festlegen.
34/44
118. Angesichts der Tatsache, dass die Once Dating AG keinen aktiven Prozess hat, um sicherzustellen, dass die Daten, die von den Löschbegehren betroffen sind, aber von Auf- tragsbearbeitern der Once Dating AG bearbeitet werden, ebenfalls gelöscht werden, erfolgt die weitere Bearbeitung dieser Daten unter Missachtung des Grundsatzes der Rechtmässig- keit, der Verhältnismässigkeit und der Treu und Glaube. Ausserdem ist es nicht auszuschlies- sen, dass die Daten, die gelöscht werden sollten, die aber durch Auftragnehmer bearbeitet werden, weiterhin bei diesen vorhanden sind. Dies stellt einen Verstoss gegen den Grund- satz der Rechtmässigkeit, der Treu und Glaube und der Verhältnismässigkeit dar. Dies führt zu einer Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG. Dementsprechend muss die Once Dating AG die Personendaten von inaktiven Konten in ihren Löschungsprozess in- tegrieren, um diese von sich aus zu löschen, soweit eine Weiterbearbeitung nicht zu anderen Zwecken notwendig ist oder eine Weiterbearbeitung aus anderen Gründen nicht gerechtfer- tigt werden könnte. 3.4. Datenweitergabe an «Dienstleister» 3.4.1. Anforderungen an einer Auftragsdatenbearbeitung (Art. 10a DSG) 119. Gemäss Art. 10a DSG darf ein Verantwortlicher die Bearbeitung von Personendaten einem Dritten (Auftragnehmer) übertragen. Eine Auftragsbearbeitung i.S.v. Art. 10a DSG setzt die Erfüllung bestimmter Anforderungen voraus: Der Dritte darf die Daten nur so verar- beitet, wie es der Verantwortliche selbst tun dürfte, es gibt keine gesetzlichen oder vertragli- chen Geheimhaltungspflichten, die einer Auslagerung dieser Datenbearbeitung entgegenste- hen, und der Verantwortliche stellt sicher, dass der Dritte die Sicherheit der Daten gewähr- leistet. 120. Wer einem Dritten den Auftrag zur Datenbearbeitung gibt, muss dafür sorgen, dass dieser die datenschutzrechtlichen Schranken in gleicher Weise beachtet, wie er es selbst tun müsste. Dies gilt für jegliche Bearbeitungsart, von der Erhebung bis zur allfälligen Weitergabe der Daten. Bei der Übertragung der Bearbeitung an einen Dritten muss der Auftraggeber in Analogie zu Art. 55 des Bundesgesetzes über das Obligationenrecht alle gebotene Sorgfalt aufwenden, um Verstösse gegen das Datenschutzgesetz zu verhindern. Das betrifft insbe- sondere die Einhaltung der allgemeinen Grundsätze, der Regeln betreffend die Datensicher- heit, sowie der Regeln betreffend die Bekanntgabe ins Ausland. Er ist daher verpflichtet, sei- nen Auftragsbearbeiter sorgfältig auszuwählen, ihn angemessen zu instruieren und soweit als nötig zu überwachen (BBl 1988 II 413, S. 463). 121. Die Aufführung von Art. 12 Abs. 2 DSG ist nicht abschliessend, sondern nur exempla- risch. Eine Persönlichkeitsverletzung kann demnach auch vorliegen, wenn andere Daten- schutzvorgaben nicht eingehalten werden. So ist beispielsweise von einer widerrechtlichen Persönlichkeitsverletzung auszugehen, wenn die Anforderungen an einer Auftragsbearbei- tung von Art. 10a DSG nicht eingehalten werden. Sind diese Bedingungen nicht gegeben, dann darf der Verantwortliche die dafür geltende Privilegierung für Auftragsbearbeitungen nicht für sich in Anspruch nehmen. Dies bedeutet, die Datenbekanntgabe an den Dritten muss gemäss Art. 13 DSG gerechtfertigt werden, sonst wird die Persönlichkeit der betroffe- nen Personen widerrechtlich verletzt. 3.4.2. Einhaltung der Anforderungen nach Art. 10a DSG 122. Die Dienstleister, die in der Datenschutzrichtlinie der Once Dating AG als Datenemp- fänger erwähnt werden, sind in erster Linie Auftragnehmer der Once Dating AG, denn sie übertragt ihnen gewisse Personendaten, damit sie diesen für die von ihr festgelegten Zwecke bearbeiten. In diesem Sinne ist die Once Dating AG gemäss Art. 10a DSG verpflichtet, ihre Dienstleister sorgfältig auszuwählen und so zu instruieren und zu überwachen, dass sie die
35/44
Daten nur weisungsgemäss bearbeiten und auch die Datenschutzbestimmungen insbeson- dere hinsichtlich Datensicherheit und Übermittlung ins Ausland einhalten. Werden die Anfor- derungen von Art. 10a DSG nicht eingehalten, gilt diese Übertragung als eine Datenbekannt- gabe an Dritte, für die der Verantwortliche die für Auftragsbearbeitung geltende Privilegierung nicht für sich in Anspruch nehmen kann, so dass sie gerechtfertigt werden muss. Kann sie nicht gerechtfertigt werden, wird die Persönlichkeit der betroffenen Personen widerrechtlich verletzt. 123. Die Verträge bzw. Vereinbarungen zwischen der Once Dating AG und ihren Dienst- leistern sind nicht Gegenstand der vorliegenden Abklärung. Darum verzichten wir darauf zu prüfen, ob diese tatsächlich den Anforderungen an einer Auftragsdatenbearbeitung nach Art. 10a DSG genügen. Wir konnten allerdings im Rahmen unserer Abklärung zwei Mängel in Zu- sammenhang mit der Auslagerung von Personendaten durch die Once Dating AG an ihren Dienstleister feststellen. 3.4.2.1. Übermittlung ins Ausland 124. Erstens konnten wir feststellen, dass alle Auftragsdatenbearbeiter der Once Dating AG Daten in Drittländern bearbeiten und nicht nur AWS, wie die Once Dating AG in ihrer Ant- wort auf unsere Fragen angegeben hat (siehe Ziff. 36 ff.). Die Einhaltung der Vorgaben von Art. 6 DSG durch die Auftragnehmer der Once Dating AG steht ausserhalb des Rahmens die- ser Abklärung. Wie bereits unter Ziff. 119 ausgeführt, ist die Once Dating AG als Auftragge- berin aber verpflichtet, sorgfältig zu prüfen, ob ihre Auftragnehmer die Datenschutzvorgaben einhalten und trägt die Verantwortung für die Einhaltung der Regeln betreffend Datenüber- mittlung ins Ausland, wenn diese Datenbekanntgabe in Rahmen einer Auftragsdatenbearbei- tung erfolgt. 125. Unabhängig von der Frage, ob die von den Dienstleistern in ihren jeweiligen Daten- schutzerklärungen im Zusammenhang mit der Datenübermittlung ins Ausland erwähnten Si- cherheitsvorkehrungen (siehe Ziff. 39) die Anforderungen von Art. 6 DSG tatsächlich erfüllen, kommen wir aufgrund der Tatsache, dass die Once Dating AG in ihrer Antwort nur AWS er- wähnt hat, zu dem Schluss, dass sie ihre Dienstleister in dieser Hinsicht nicht angemessen überprüft und keine besonderen Vorkehrungen getroffen hat um sicherzustellen, dass die von ihren Dienstleistern in Drittländer übermittelten Daten angemessen geschützt bleiben. In die- sem Sinne ist davon auszugehen, dass die Once Dating AG nicht genügend getan hat, um sicherzustellen, dass ihre Auftragnehmer die Regeln betreffend Datenübermittlung ins Aus- land einhalten. Somit hat sie die Anforderungen von Art. 10a DSG nicht eingehalten und könnte zugleich selbst Art. 6 DSG verletzt haben. 3.4.2.2. Bearbeitung von Personendaten für Zwecke Dritter 126. Zweitens stellten wir fest, dass einige Dienstleister der Once Dating AG Personenda- ten nicht nur nach der Weisung der Auftraggeberin Once Dating AG, sondern auch für eigene Zwecke bearbeiten. Dies verstösst gegen den Grundsatz der Zweckbindung und steht der Natur einer Auftragsdatenbearbeitung entgegen. Immer, wenn Datenbearbeiter Personenda- ten, die sie von Auftraggeber erhalten, für eigene Zwecke bearbeiten, gilt dies als eine Daten- bekanntgabe an Dritte, für die der Verantwortliche die für Auftragsbearbeitung geltende Privi- legierung nicht für sich in Anspruch nehmen kann, so dass sie gerechtfertigt werden muss. 3.4.3. Schlussfolgerung 127. Gemäss unserer Abklärung bearbeiten alle Auftragnehmer entgegen ihrer Angaben Personendaten in Drittländern ohne angemessenes Datenschutzniveau und manche bearbei- ten Personendaten für eigene Zwecke. Die Once Dating AG hat nicht sichergestellt, dass ihre Auftragnehmer die Daten nur weisungsgemäss bearbeiten. Da die Anforderungen an einer
36/44
Auftragsbearbeitung von Art. 10a DSG nicht eingehalten werden, muss die Once Dating AG diese Datenbekanntgabe an Dritte gemäss Art. 13 DSG rechtfertigen, sonst wird die Persön- lichkeit der betroffenen Personen gemäss Art. 12 Abs. 1 DSG widerrechtlich verletzt. Sie trägt ausserdem die Verantwortung für die Einhaltung von Art. 6 DSG, wenn die Datenübermittlung ins Ausland in Rahmen einer Auftragsdatenbearbeitung erfolgt. 3.5. Einhaltung der Anforderungen an die Datensicherheit 3.5.1. Schutz des Systems gegen datenschutzrechtlich relevante Risiken 128. Gemäss Art. 7 DSG i.V.m. Art. 8 VDSG ist eine Privatperson, die Personendaten be- arbeitet, verpflichtet, den Grundsatz der Datensicherheit einzuhalten. Das heisst, sie hat für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten zu sorgen, um einen ange- messenen Datenschutz zu gewährleisten. Dabei muss sie vor allem die Systeme gegen fol- gende Risiken schützen: unbefugte oder zufällige Vernichtung; zufälligen Verlust; technische Fehler; Fälschung, Diebstahl oder widerrechtliche Verwendung der Daten; unbefugtes Än- dern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen. Die Massnahmen müssen dem Zweck der Datenbearbeitung, der Art und dem Umfang der Datenbearbeitung, den mög- lichen Risiken für die betroffenen Personen und dem gegenwärtigen Stand der Technik ange- messen sein. 129. Das Gesetz verzichtet darauf, die Sicherheitsmassnahmen im Detail zu regeln. Es verfolgt aber einen risikobasierten Ansatz. Das Risiko, das mit einer Bearbeitung einhergeht, muss in Beziehung gesetzt werden zu den technischen Möglichkeiten, um dieses zu verrin- gern. Je höher das Risiko, je grösser die Eintrittswahrscheinlichkeit und je umfangreicher die Datenbearbeitung ist, umso höher sind die Anforderungen an die technischen Vorkehren, da- mit sie als angemessen gelten können. Es liegt in der Verantwortung des Inhabers der Da- tensammlung, die Sicherheitsbedürfnisse für seine Datenbearbeitungen zu definieren und die nötigen Sicherheitsmassnahmen anzuordnen. 3.5.1.1. Schutz gegen unbefugte Datenbearbeitung 130. Gemäss der Once Dating AG sollen grundsätzlich nur registrierte Nutzer und berech- tigte Dritte auf Personendaten der registrierten Nutzerinnen und Nutzer zugreifen können. Um zu verhindern, dass Unbefugte mittels Bots auf die Daten zugreifen, führt die Once Da- ting AG bei der Registrierung neuer Nutzer eine Verifikation durch. Das Verifikationsverfahren dient nicht einer Verifizierung der echten Identität einer Person, sondern der Vermeidung von computergenerierten Anmeldungen. Wer sich mit einer Handynummer anmeldet, wird mittels eines SMS-Verifizierungsprozesses verifiziert. Bei einer Anmeldung über Facebook-Connect wird die Identität der Nutzender verifiziert, indem das Nutzerprofil bei Once mit einem beste- henden Facebook-Profil verknüpft wird. Wenn man sich für die Verifizierung per Apple ID ent- scheidet, erhält die Once Dating AG, je nach den gewählten Einstellungen, die E-Mail-Ad- resse oder einen Proxy der E-Mail-Adresse der Nutzerin oder des Nutzers. Zudem hat die Once Dating AG verschiedene Massnahmen ergriffen, um offensichtliche Fake-Profilen zu erkennen und zu blockieren. 131. Die registrierenden Personen zu verifizieren ist wichtig, um die Datensicherheit im System zu gewährleisten. Nutzende einer Dating App, die aufgefordert werden, echte Anga- ben über sich zu machen, um eine passende Partnerin oder Partner vom Algorithmus vermit- telt zu bekommen, können erwarten, dass ihre Profile nur durch echte Personen eingesehen werden. In diesem Zusammenhang müssen wir feststellen, dass die Verifizierung über Face- book sowie über die Telefonnummer die Erstellung von Profilen durch Bots nicht vollständig verhindern können, sie erschweren aber das Erstellen von Fake-Profile und stellen die übli- chen Verifikationsverfahren im elektronischen Bereich dar.
37/44
132. Ausserdem ist niemand dazu verpflichtet, sich ein Konto bei Facebook anzulegen, um sich bei der App Once zu registrieren, es bestehen Alternativen zu diesem Verifizierungpro- zess. Insgesamt erscheint das Verifizierungsverfahren der Once Dating AG nach heutigem Stand der Technik als angemessen, um zusammen mit den weiteren Massnahmen zur Miss- brauchsbekämpfung die App gegen Bots zu schützen. Die Once Dating AG bleibt aber in der Pflicht stets zu prüfen, ob diese Massnahme auch in der Zukunft geeignet bleiben und dem aktuellen Stand der Technik weiterhin entsprechen, um den diesbezüglichen Anforderungen der Datensicherheit zu genügen und diese ggf. durch sichere Login-Möglichkeiten zu ersetz- ten. 3.5.1.2. Periodische Evaluation der Sicherheitsmassnahmen und Durchführung von Schwachstellentests 133. Eine wichtige organisatorische Massnahme ist die periodische Evaluation der Sicher- heitsmassnahmen. Neben der Überprüfung der Massnahmen selbst ist zu klären, ob sie noch dem Stand der Technik entsprechen und, ob die getroffenen Massnahmen tatsächlich ihren Zweck erfüllen. Dabei ist es sinnvoll, die technischen Massnahmen einer Kontrolle zu unter- ziehen, um zu prüfen, ob sie das System wirksam vor möglichen Angriffen schützen können. In diesem Zusammenhang soll der Inhaber der Datensammlung Schwachstellentests (Vulne- rability Scans) durchführen, um das System auf Sicherheitslücken zu überprüfen. 134. Die Once Dating AG führt aktuell interne Schwachstellentests durch, und bei der Im- plementierung neuer Funktionen in der App werden diese von einer zweiten Person des Teams vorgängig überprüft und analysiert, bevor die App wieder produktiv gesetzt wird. Au- dits oder Penetrationstests durch externe Prüfer wurden bisher jedoch noch nicht durchge- führt. 135. Bei der Definition der angemessenen Schutzmassnahmen sind auch die Mittel, die dem Inhaber der Datensammlung zur Verfügung stehen, von Bedeutung. Die Once Dating AG ist zwar ein kleines Startup Unternehmen, wurde jedoch im Januar 2021 für 18 Million Dollar durch die Dating Group aufgekauft. Ihr Team soll auch von 4 auf 12 Mitarbeitenden vergrössert werden. In diesem Zusammenhang gehen wir davon aus, dass die Once Dating AG über die notwendigen Mittel verfügt, periodisch ihre Sicherheitsmassnahmen zu überprü- fen und neben den internen Schwachstellentests auch Schwachstellentests durch externe Prüfer durchzuführen zu lassen, um ihre Systeme auf Sicherheitslücken zu überprüfen. 3.5.1.3. Schlussfolgerung 136. Was die Gewährleistung der Datensicherheit betrifft, so stellen wir fest, dass die Once Dating AG ihre Sicherheitsmassnahmen nicht durch Externe prüft, was angesichts der Sensibilität der durch die App bearbeiteten Daten eine angemessene Sicherheitsmassnahme zum Schutz von Personendaten vor unbefugter Bearbeitung wäre. Dies ist eine Verletzung der Pflicht des Verantwortlichen, angemessene Schutzmassnahmen zur Gewährleistung der Datensicherheit zu treffen. 3.6. Persönlichkeitsverletzungen 137. Wie oben ausgeführt, hat die Once Dating AG die Persönlichkeit ihrer Nutzerinnen und Nutzer verletzt, indem sie Datenbearbeitungen entgegen den Datenschutzgrundsätzen gemäss Art. 4 und Art. 7 DSG durchgeführt hat (siehe Schlussfolgerungen 3.2.3.5, 3.3.1.5, und 3.4.3) und, in Verletzung von Art. 10a DSG, Personendaten an Dritte bekanntgegeben hat (siehe Schlussfolgerung 3.4.3). Im Folgenden ist zu prüfen, ob die Persönlichkeitsverlet- zungen gerechtfertigt werden können.
38/44
3.6.1. Rechtfertigung 138. Eine Persönlichkeitsverletzung ist nicht widerrechtlich, wenn sie durch eine Rechts- grundlage, die Einwilligung der Betroffenen oder durch ein überwiegendes privates oder öf- fentliches Interesse gerechtfertigt werden kann. Vorliegend würden insbesondere die Einwilli- gung der betroffenen Person und ein überwiegendes privates Interesse im Betracht kommen. Da für die Datenbearbeitungen der Once Dating AG keine gesetzliche Grundlage besteht, fällt diese als Rechtfertigungsgrund ausser Betracht und wird im Folgenden nicht mehr weiter geprüft. 3.6.2. Einwilligung der betroffenen Person 139. Die Once Dating AG hält in ihren Ausführungen fest, dass sie Personendaten der Nut- zerinnen und Nutzer gestützt auf deren Einwilligung bearbeitet. Folgend wird geprüft, ob die Einwilligung der Nutzenden, welche zum Zeitpunkt der Registrierung eingeholt wird, die fest- gestellten Persönlichkeitsverletzungen zu rechtfertigen vermag. 3.6.2.1. Anforderungen an einer gütigen Einwilligung 140. Gemäss Art. 4 Abs. 5 DSG ist eine Einwilligung erst gültig, wenn sie nach angemes- sener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Per- sonendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen. 141. In der Rechtsprechung zu Helsana+ führt das Bundesverwaltungsgericht ausserdem aus, dass es nicht genügt, wenn die Einwilligung breit und ohne Einschränkungen formuliert ist, weil dadurch der Inhaber der Datensammlung eine über den notwendigen Zweck der Da- tenbearbeitung hinausgehende Einwilligung einholen würde. Zudem würde eine Einwilligung, die auf mehrere Bestimmungen verteilt ist (z.B. Nutzungsbedingungen und Datenschutzerklä- rung), welche die Nutzerinnen und Nutzer durch Anklicken einer Schaltfläche genehmigen würden, den Voraussetzungen einer angemessenen Information für die Gültigkeit einer Ein- willigung nach Art. 4 Abs. 5 DSG nicht entsprechen. Dies, weil dieses Vorgehen es den be- troffenen Personen erschwert zu erkennen, in welche Datenbearbeitungen sie einwilligen (BVerG, Urteil vom 19. März 2019, A-3548/2018, E. 4.8.4). In diesem Zusammenhang wird eine Information über die Datenkategorien und die Bearbeitungszwecke, welche gestützt auf die Einwilligung der betroffenen Personen erfolgen, vorausgesetzt. 3.6.2.2. Erteilte Einwilligung 142. Die Einwilligung der Nutzer holt die Once Dating AG im Rahmen der Registrierung ein, indem die Nutzer das Kästchens neben der Aussage: «Ich akzeptiere, dass Once einige meiner personenbezogenen Daten sammelt und weiterverarbeitet, um ihren Dienst bereitzu- stellen» ankreuzen (siehe Ziff. 59). Dies erfordert eine aktive Handlung der Nutzer. Dabei be- zieht sich die Einwilligung auf die Nutzungsbedingungen und die Datenschutzrichtlinie. 3.6.2.3. Grenzen der erteilten Einwilligung 143. Die Einwilligung kann nur die Datenbearbeitungen rechtfertigen, über welche die Nut- zenden vor der Erteilung der Einwilligung angemessen informiert werden. Die Once Dating AG hat den Transparenzgrundsatz hinsichtlich gewisser Bearbeitungszwecke der Once Da- ting AG (siehe Ziff. 3.2.3.5) und Datenbekanntgabe an Dritte (siehe Ziff. 3.4.2.2) verletzt, weil sie die betroffenen Nutzerinnen und Nutzer über diese Aspekte nicht angemessen in ihrer Datenschutzrichtlinie bzw. Nutzungsbedingungen informiert. Daraus folgt, dass die von den Nutzenden bei der Registrierung erteilte Zustimmung die Persönlichkeitsverletzung nicht rechtfertigen kann, die aus einem Verstoss gegen den Grundsatz der Transparenz resultiert.
39/44
144. Die Einwilligung im Sinne von Art. 6 Abs. 2 lit. b DSG kann eine Datenübermittlung in Drittländer ohne hinreichende Garantien grundsätzlich rechtfertigen. Allerdings betrifft diese Bestimmung gemäss der Botschaft eine konkrete ausservertragliche Situation. Das heisst, dass die Einwilligung nur im konkreten Einzelfall für Übermittlungen ins Ausland herangezo- gen werden kann. Hinzukommt, dass aus den Informationen, die den Nutzenden bereitge- stellt werden, nicht abgeleitet werden kann, dass die Once Dating AG ihre Datenübermittlung ins Ausland auf der Grundlage der Einwilligung der betroffenen Nutzer vornimmt, sodass nicht davon ausgegangen werden kann, dass die Nutzenden akzeptieren, dass ihre Daten in Drittländer ohne hinreichende Garantien übermittelt werden. Folgend kann die Einwilligung der betroffenen Personen die festgestellte Verletzung von Art. 6 nicht rechtfertigen (siehe Ziff. 3.2.3.4). 145. Ebenfalls kann die Verletzung der Rechtmässigkeits- und Verhältnismässigkeitsgrund- sätze sowie des Grundsatzes der Treu und Glauben in Zusammenhang mit der Bearbeitung von Löschbegehren und von Personendaten inaktiver Nutzenden (siehe Ziff. 3.3.1) nicht durch die Einwilligung der betroffenen Person gerechtfertigt werden. Die Personen, welche zum Zeitpunkt der Registrierung ihre Zustimmung zu der Bearbeitung ihrer Personendaten durch die Once Dating AG erteilt haben, haben diese durch das Einreichen eines Löschbe- gehrens implizit zurückgezogen. Die Tatsache, dass die Once Dating AG die Bearbeitung ge- wisser Personendaten an ihre Auftragnehmer delegiert hat, so dass diese nicht unter ihrer direkten Kontrolle stehen, ändert nichts an ihrer Verpflichtung, diese Daten unverzüglich zu löschen. In Bezug auf die Bearbeitung von Personendaten von inaktiven Nutzenden stellen wir ausserdem fest, dass aus der Datenschutzrichtlinie nicht abgeleitet werden kann, dass die Personendaten der Nutzer für immer aufbewahrt werden, auch wenn die Profile inaktiv werden. Vielmehr wird durch folgende Aussage den Eindruck erweckt, dass sie gemäss ei- nem Löschkonzept gelöscht werden, wenn sie nicht mehr gebraucht werden: «Die personen- bezogenen Daten werden nicht länger als die für die Zwecke, für die sie erhoben und verar- beitet werden, erforderliche Dauer aufbewahrt. 146. Die festgestellte Verletzung des Datensicherheitsgrundsatzes (siehe Ziff. 3.5.1.3) kann ebensowenig durch die erteilte Einwilligung gerechtfertigt werden, denn in der Daten- schutzrichtlinie wird ausgeführt, dass die Once Dating AG «sämtliche zweckmäßigen Vorkeh- rungen [trifft], um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten und insbe- sondere ihre Verfälschung und Beschädigung oder den unbefugten Zugriff durch Dritte zu verhindern.». 3.6.2.4. Schlussfolgerung 147. Aus den oben genannten Gründen können die festgestellten Persönlichkeitsverletzun- gen nicht durch die Einwilligung der betroffenen Nutzenden gerechtfertigt werden. 3.6.3. Überwiegendes privates Interesse 3.6.3.1. Vertrag zwischen Nutzenden und der Once Dating AG 148. Eine Verletzung der Persönlichkeit ist ebenfalls nicht widerrechtlich, wenn sie durch ein überwiegendes privates Interesse gerechtfertigt ist. Gemäss Art. 13 Abs. 2 lit. a DSG fällt ein überwiegendes Interesse des Verantwortlichen insbesondere in Betracht, wenn dieser in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags Per- sonendaten über seinen Vertragspartner bearbeitet. 149. In den Nutzungsbedingungen der App Once wird Folgendes ausgeführt: «Bei der Be- stätigung seiner Anmeldung für die App und/oder auf der Website hat der Nutzer die Daten- schutzrichtlinie von ONCE zur Kenntnis zu nehmen: Die Verarbeitung persönlicher Daten durch ONCE ist zur Erfüllung eines Vertrags, bei dem das Mitglied Vertragspartei ist, erfor- derlich.». In der Datenschutzrichtlinie der Once Dating AG steht ausserdem: «Once erhebt,
40/44
verarbeitet und verwendet Ihre personenbezogenen Daten, um: Ihnen die Verwendung der App und die Nutzung der Dienste zu erlauben; per E-Mail, SMS oder auf dem Postweg mit Ihnen zu kommunizieren; unseren Service zu verbessern (nämlich: Analyse von Daten, For- schung und Entwicklung, Aufdeckung betrügerischer Verhaltensweisen; wobei alleine auf der Grundlage einer automatisierten Verarbeitung keine Entscheidung eines Eingreifens getrof- fen wird). Diese von Once durchgeführte Verarbeitung personenbezogener Daten ist für die Erfüllung eines Vertrages, von dem das Mitglied Vertragspartei ist, notwendig». 150. Daraus folgt, dass die Once Dating AG möglicherweise die festgestellten Persönlich- keitsverletzungen durch ein überwiegendes privates Interesse, nämlich die Bearbeitung von Personendaten über ihre Nutzer (Vertragspartner) in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung des Vertrags, welchen diese durch die Annahme der Nut- zungsbedingungen der Once Dating AG abschliessen, rechtfertigen könnte. Dies soll im Fol- genden geprüft werden. Darüber hinaus sehen wir kein weitergehendes Interesse der Once Dating AG, das im vorliegenden Fall das Interesse der betroffenen Personen überwiegen könnte, um die festgestellten Persönlichkeitsverletzungen zu rechtfertigen. 151. In unmittelbarem Zusammenhang mit dem Abschluss oder Abwicklung eines Vertrags sind alle Bearbeitungen zu verstehen, die aus technischer oder wirtschaftlicher Sicht notwen- dig sind, so dass der Vertrag erfüllt werden kann. Die Notwendigkeit muss objektiv und im Hinblick auf den Grundsatz der Verhältnismässigkeit gemessen werden. Vorliegend kann die Once Dating AG diesen Rechtfertigungsgrund geltend machen, um Datenbearbeitungen zu rechtfertigen, ohne welche sie die App Once technisch oder wirtschaftlich nicht betreiben kann. 152. Nach der Rechtsprechung des Bundesgerichts i.S. Logistep (BGE 136 II 508 E. 5.2.4), kann eine Rechtfertigung der Bearbeitung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG im konkreten Fall nur mit grosser Zurückhaltung bejaht werden. Von den im Rahmen dieser Sachverhaltsabklärung festgestellten Persönlich- keitsverletzungen sind alle, ausser die Persönlichkeitsverletzung beim Verstoss gegen Art. 10a DSG (siehe Ziff. 3.4.2.2), Persönlichkeitsverletzungen, welche aufgrund einer Bearbei- tung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG herbeigeführt werden. 153. Die Once Dating AG hat den Transparenzgrundsatz hinsichtlich gewisser Bearbei- tungszwecke der Once Dating AG (siehe Ziff. 3.2.3.5) und der Weitergabe von Personenda- ten an Dritte, welche diese im eigenen Interesse bearbeiten (siehe Ziff. 3.4.2.2) verletzt. An- gesichts der Tatsache, dass angemessene Information über die durchgeführten Datenbear- beitungen eine Grundbedingung des informationellen Selbstbestimmungsrechts ist, kann die- ses Interesse dem Interesse der betroffenen Personen nicht überwiegen. Somit kann die Once Dating AG die Verletzung des Transparenzgrundsatzes nicht durch ein überwiegendes Interesse im Sinne von Art. 13 Abs. 2 lit. a DSG rechtfertigen. 154. Die Datenweitergabe an Dritte selbst könnte theoretisch gerechtfertigt werden, wenn die Once Dating AG darlegen könnte, dass sie an die Dienstleistung durch diese Dritte unter den von ihnen festgelegten Konditionen angewiesen wäre, um die App wirtschaftlich zu be- treiben. Ohne eine Abklärung bezüglich der Notwendigkeit dieser Datenbekanntgabe an Dritte können wir jedoch nicht davon ausgehen, dass diese durch ein überwiegendes Inte- resse der Once Dating AG gerechtfertigt werden. Somit erachten wir diese Persönlichkeits- verletzungen als widerrechtlich. 155. Die Weiterbearbeitung von Personendaten von Nutzenden, welche ein Löschbegeh- ren eingereicht haben, aber die bei Auftragnehmer der Once Dating AG bearbeitet werden und von Personendaten inaktiver Nutzenden stellt einen Verstoss gegen den Bearbeitungs- grundsätze der Rechtmässigkeit und der Verhältnismässigkeit sowie der Bearbeitung nach Treu und Glauben dar (siehe Ziff. 3.3.1). Diese Weiterbearbeitung kann nicht durch das
41/44
überwiegende private Interesse der Once Dating AG gerechtfertigt werden, weil diese Daten nicht benötigt werden, um die App technisch oder wirtschaftlich zu betreiben. 156. Die festgestellte Verletzung des Datensicherheitsgrundsatzes (siehe Ziff. 3.5.1.3) kann ebenfalls nicht durch ein überwiegendes Interesse der Once Dating AG gerechtfertigt werden, denn in Art. 7 Abs. 1 DSG ist eine Angemessenheitsprüfung bereits integriert. Bei der Prüfung der Angemessenheit der getroffenen Schutzmassnahmen wurden die Interessen der Once Da- ting AG bereits berücksichtigt. Somit kann diese Persönlichkeitsverletzung nicht durch ein überwiegendes privates Interesse gerechtfertigt werden. 3.6.3.2. Schlussfolgerung 157. Die Once Dating AG kann die festgestellten Persönlichkeitsverletzungen nicht durch ein überwiegendes privates Interesse rechtfertigen, womit diese als widerrechtlich zu beurtei- len sind und daher behoben bzw. vermieden werden müssen. 3.7. Empfehlungen 158. Gestützt auf Art. 29 Abs. 3 DSG erlässt der EDÖB gegenüber der Once Dating AG die folgenden Empfehlungen. 159. In Bezug auf die festgestellten Mängel betreffend die Transparenzanforderungen bzw. die Qualität der Informationen, die den Nutzenden zur Verfügung gestellt werden, und welche eine widerrechtliche Persönlichkeitsverletzung herbeiführen (siehe Ziff. 3.2.3.5), macht der EDÖB gegenüber der Once Dating AG folgende Empfehlungen:
Die Once Dating AG passt ihre Datenschutzrichtlinie, AGB und FAQ dergestalt an, dass:
1. die Nutzerinnen und Nutzer eindeutig und in verständlicher Sprache über Datenbearbeitungen der Once Dating AG informiert werden. Dabei muss klar darüber informiert werden, welche Daten für welche Bearbeitungszwecke bearbeitet werden und an welche Datenempfänger sie weitergegeben werden. Die Qualität der Informationen hinsichtlich der Bearbeitung zu Marke- tingzwecken, in Zusammenhang mit den Re-Engagement-Diensten und bezüglich Drittemp- fängern ist zu verbessern;
2. die Informationen der Datenschutzrichtlinie, der AGB und der FAQ übereinstimmen und Klar- heit über die Geltung des DSG geschaffen wird;
3. die Datenschutzrichtlinie von jeder Seite der Webseite www.getonce.com aus mit einem Klick aufgerufen werden kann;
4. differenziert und unmissverständlich informiert wird, welche Bearbeitungsvorgänge gestützt auf die Einwilligung der betroffenen Personen oder in direkter Beziehung mit dem Vertrag er- folgen;
5. hinsichtlich der neuen Pflichten gemäss nDSG, korrekt und vollständig über die verwendeten Garantien für die Datenübermittlung ins Ausland informiert wird (inkl. Link zu den vertraglichen
42/44
Garantien im Falle einer Verwendung von SCC).
160. In Bezug auf die festgestellten Mängel betreffend die Bearbeitung von Löschbegehren und die Bearbeitung von Personendaten von inaktiven Nutzenden, welche eine widerrechtli- che Persönlichkeitsverletzung herbeiführen (siehe Ziff. 3.3.1), macht der EDÖB gegenüber der Once Dating AG folgende Empfehlungen:
Die Once Dating AG passt ihre Datenschutzrichtlinie, AGB und FAQ dergestalt an, dass:
1. über alle verfügbaren Löschungsmöglichkeiten der Nutzer klar, zentral und einheitlich infor- miert wird;
2. folgender Satz aus der Datenschutzrichtlinie gestrichen oder angepasst wird, so dass er keine unzulässige Hürden für die Ausübung von Betroffenenrechten darstellt: «[s]ollten sich die An- fragen eines Mitglieds als deutlich unbegründet oder über das Maß hinausgehend herausstel- len (insbesondere aufgrund ihres sich wiederholenden Charakters), ist Once berechtigt, i) an- gemessene Aufwendungen geltend zu machen, die den Verwaltungskosten für die Bereitstel- lung der Informationen, den Kommunikationsaufbau oder das Ergreifen der angefragten Maß- nahmen Rechnung tragen, oder ii) sich weigern, diesen Anträgen Folge zu leisten.»;
Die Once Dating AG passt das Design der App Once wie folgt an:
3. Eine eigenständige Option «Mein Konto löschen» analog zur bestehenden Option «mein Konto deaktivieren» wird unter Einstellungen eingebaut, um diese in der App auffindbar zu machen.
Die Once Dating AG ändert ihren Löschprozess wie folgt und informiert darüber in den AGB oder FAQ:
4. Anstatt inaktive Nutzenden nur im «Matchmaking» zu depriorisieren, deaktiviert die Once Da- ting AG von sich aus die Konten nach 30 Tagen von Inaktivität und informiert die betroffenen Nutzenden per E-Mail, dass sie ihr Konto reaktivieren können, wenn sie sich innerhalb von einem Jahr bei der Anwendung wieder anmelden. Dabei weist die Once Dating AG auch auf die Möglichkeit hin, die Löschung der eigenen Personendaten jederzeit zu verlangen. Nach einem Jahr ohne Aktivität löscht die Once Dating AG von sich aus das bereits deaktivierte Konto endgültig;
5. Die Once Dating AG führt einen Prozess ein, um im Falle eines Löschbegehrens die Lö- schung oder die Anonymisierung der Daten, die durch Auftragnehmer bearbeitet werden, si- cherzustellen.
43/44
161. In Bezug auf die festgestellten Mängel in Zusammenhang mit der Auslagerung von Personendatenbearbeitungen durch die Once Dating AG an Dritte (siehe Ziff. 3.4.2.2), macht der EDÖB gegenüber der Once Dating AG folgende Empfehlungen:
Die Once Dating AG prüft ihre Verträge mit ihren Dienstleistern und trifft Massnahmen, um sicher- zustellen, dass:
1. die Dienstleister die Anforderungen an einer Datenübermittlung ins Ausland gemäss Art. 6 DSG einhalten;
2. die Dienstleister keine Daten ohne Rechtfertigungsgrund für eigene Zwecke bearbeiten.
162. In Bezug auf die festgestellten Mängel in Zusammenhang mit der Gewährleistung der Datensicherheit durch die Once Dating AG (siehe Ziff. 3.5.1.3) macht der EDÖB gegenüber der Once Dating AG folgende Empfehlungen:
1. Die Once Dating AG prüft regelmässig ihre Sicherheitsmassnahmen und Verifikationsverfah- ren, um sicherzustellen, dass diese geeignet bleiben, um ihre Schutzziele zu erreichen;
2. Die Once Dating AG lässt regelmässig Penetrationstests durch externe Auditoren ausführen, insbesondere, wenn neue Features in die App Once eingebaut werden.
3.8. Stellungnahme der Once Dating AG
163. Mit Schreiben vom 3. März 2023 wurde der Once Dating AG der Bericht zu einer abschliessen- den Stellungnahme unterbreitet. Die Stellungnahme der Once Dating AG (vgl. Ziff. 165) wird im Rahmen der Schlussredaktion an dieser Stelle eingefügt.
164. Im Rahmen der Stellungnahme hat die Once Dating AG den EDÖB informiert, dass aufgrund von Umstrukturierungen die Webseite und die App zwischenzeitlich abgeschaltet wurden. Die Inakti- ven Nutzerinnen und Nutzer seien gelöscht wurden, aktive Nutzerinnen und Nutzer wurden auf das neue System transferiert, welches von Xeanco Limited mit Sitz in Hong Kong übernommen wurde und die Empfehlungen umsetzt. 3.9. Verfahren 3.9.1. Rechtliches Gehör und weiteres Vorgehen
165. Der EDÖB hat der Once Dating AG den vorliegenden Schlussbericht mit Empfehlungen zur Prü- fung und Stellungnahme vorgelegt. Die Once Dating AG wurde aufgefordert innerhalb von 30 Ta- gen nach Erhalt zum Bericht Stellung zu nehmen und mitzuteilen, ob sie die Empfehlungen ak- zeptiert oder andere für die betroffenen Personen gleichwertigen Massnahmen trifft.
44/44
166. Die Once Dating AG hat die Empfehlungen angenommen und gleichzeitig mitgeteilt, dass sie die Empfehlungen bereits umgesetzt hat oder diese bis Ende 2023 umsetzen wird. 3.9.2. Veröffentlichung des Schlussberichts mit Empfehlungen
167. Es besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für die vorliegende Art der Da- tenbearbeitung zu sensibilisieren und sie über seine Feststellungen und die Ergebnisse seiner Abklärung zu informieren, Gestützt auf Art. 30 Abs. 2 DSG wird der EDÖB deshalb den vorliegen- den Schlussbericht in angepasster Form auf seiner Website (www.edoeb.admin.ch) veröffentli- chen.
168. Die Veröffentlichung des vollständigen Berichts inklusive Empfehlungen steht unter dem Vorbe- halt, dass aus Sicht der Once Dating AG keine vertraulichen Daten offengelegt werden, welche Geschäftsgeheimnisse preisgeben oder die Wettbewerbsfähigkeit beeinflussen könnten. Die Once Dating AG wurde deshalb aufgefordert, den Bericht auf solche vertraulichen Inhalte zu prü- fen und gegenüber dem EDÖB innert derselben Frist schriftlich Stellung zu nehmen.
169. Die Once Dating AG hat keine Geschäftsgeheimnisse geltend gemacht. Im Sinne des Persönlich- keitsschutzes wurden deshalb nur einzelne Namen für die Publikation geschwärzt.
Der Beauftragte: Die zuständige Juristin:
Adrian Lobsiger
Fabiane Midori Sousa Nakagawa
Erwägungen (40 Absätze)
E. 11 Die Once Dating AG hat ihre Änderungs- und Ergänzungsvorschläge zur Sachverhaltsfest- stellung vom 23. Juni 2021 mit Stellungnahme vom 21. Juli 2021 mitgeteilt. Diese wurden bei der Verfassung dieses Schlussberichts berücksichtigt. 2.2. Funktionsweise der App 2.2.1. Datenflussmodellierung
E. 12 Das erhaltene Datenflussdiagramm ist in die drei Schichten Mobile App Functional Architec- ture, Backend Functional Architecture und Once Backend Technical Architecture gegliedert.
E. 13 In Abbildung 1 wird die Benutzeroberfläche (UX Modules) dargestellt. Diese bezieht sich auf alle Dinge, auf die der Once App Nutzer zugreift, um Anforderungen zu senden oder andere Aufgaben in der Cloud auszuführen. Synchron erfolgen im Weiteren das Logging etc. mittels den dargestellten Tech and UX monitoring modules. Abbildung 1: Ansicht der Mobile App Functional Architecture
7/44
E. 14 Die in Abbildung 2 dargestellte Funktionsschicht Backend Functional Architecture beschreibt die Administrationsoberfläche der App Once. Also primär alle Operationen, die im Hinter- grund vorgenommen werden (bspw. das Aussehen und die Funktionen im Frontend verän- dern). Abbildung 2: Übersicht zur Backend Functional Architecture.
E. 15 Die vorgängig abgebildete Datenflussmodellierung wird in Abbildung 3 zerlegt und auf einer detaillierteren Ebene genauer beschrieben, wie folgende Abbildung schematisch zeigt. Abbildung 3: Illustration der Once Backend Technical Architecture.
8/44
E. 16 Die Backend-Architektur in der Cloud unterstützt die Frontend-Architektur. Sie besteht aus Hardware und Speicher und befindet sich auf einem Remote-Server. Der Cloud-Provider (AWS) steuert und verwaltet diese Backend Technical Architecture. 2.2.2. Registrierungsverfahren
E. 17 Die App Once kann über den Google Play Store und über den Apple App Store heruntergela- den werden. Um die App zu nutzen, muss sich die Nutzerin oder der Nutzer registrieren. Ge- mäss Angaben der Once Dating AG kann die Anmeldung aktuell über 3 Methoden erfolgen: per Telefon, via Facebook-Connect oder via Apple-ID2, wobei die letzte Methode nur für Nut- zer verfügbar ist, die die App auf einem Apple Gerät installiert haben. Gemäss der Daten- schutzrichtlinie sollte eine Anmeldung per E-Mail auch möglich sein, womit offenbar das Lo- gin via Apple-ID gemeint ist.3
E. 18 Für jede der drei Methoden ist ein unterschiedliches Verifizierungsverfahren vorgesehen, mit dem Ziel sicherzustellen, dass die Profile von Menschen und nicht von Robotern erstellt wer- den. Wer sich mit einer Handynummer anmeldet, wird mittels eines SMS-Verifizierungspro- zesses verifiziert. Dabei erhält die Person einen Code per SMS, welchen sie in ihrem Profil eingeben muss. Bei einer Anmeldung über Facebook-Connect4 wird die Identität der Nutzer verifiziert, indem die Nutzerin oder der Nutzer der Once Dating AG Zugriff auf Daten ihres oder seines Facebook Profils gewährt. Diese seien gemäss Once Dating AG der Nutzer- name, das Geburtsdatum, die Nutzerfotos und die Nutzer-E-Mail von Facebook. Dadurch wird das Profil des Nutzers bei Once mit seinem Facebook-Account verknüpft. Die Once Da- ting AG hat hierzu Folgendes klargestellt: Obwohl in der Datenschutzrichtlinie aufgeführt wird, dass bei einer Anmeldung über Facebook darüber hinaus die «Freundesliste, Fotos und Inte- ressen sowie Likes entsprechend den Facebook-Posts» an die Once Dating AG übermittelt werden, die Once Dating AG diese zusätzlichen Informationen nicht erhält.5 Wenn man sich für die Verifizierung per Apple ID entscheidet, erhält die Once Dating AG die E-Mail-Adresse oder einen Proxy der E-Mail-Adresse, je nach den Einstellungen der Nutzerin oder des Nut- zers. 6
E. 19 Nutzer müssen ausserdem mindestens 18 Jahre alt sein. Um dies zu prüfen, fordert Once ihre Nutzerinnen und Nutzer auf, einige Angaben über sich zu machen, wenn sie sich als Mit- glied registrieren. Pflichtangaben sind: Vorname, Bild(er), Alter, Land/Standort sowie sexuelle Orientierung.7 Die Once Dating AG prüft das Alter und die Echtheit des Profils anhand der Bilder, welche die Nutzerin oder der Nutzer in die App hochlädt. Alle Profile werden mithilfe des Bildmoderationstools Sightengine halbautomatisch moderiert. Wenn die Nutzerin oder der Nutzer Bilder hochlädt, auf denen keine Person erkennbar ist bzw. nur eine Illustration auf dem Foto zu sehen ist, oder falls auf dem Foto mit hoher Wahrscheinlichkeit ein Promi- nenter oder ein Minderjähriger erkannt wird, wird das Profil gesperrt und manuell moderiert.
2 Vgl. Antwort zur Frage 14.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26 f.) 3 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 4 Mehr Informationen zum Facebook Tool «Facebook Login» unter Ziff. 31 5 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 6 Vgl. Antwort zur Frage 14.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26 f.) 7 Vgl. Antwort zur Frage 4.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 4 bzw. 20 f.) und Datenschutzrichtli- nie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://ge- tonce.com/de/terms#privacy [aufgerufen am 21.04.2021]
9/44
Die entsprechenden Bilder werden entfernt und die Nutzerin oder der Nutzer wird entweder gesperrt oder benachrichtigt, die Bilder zu ändern.8 2.2.3. Matchmaking
E. 20 Neben den Pflichtangaben können die Nutzer der App die folgenden Angaben freiwillig ma- chen: Beschreibung; Bildung; Grösse; Job & Arbeitgeber; Kekse (Fragen zur Persönlichkeit); Hobbys; Reisen; Kinder/ keine Kinder; Religion; Politik; Vorlieben beim Trinken und Vorlieben beim Rauchen. Diese Informationen sowie die Pflichtangaben werden von der KI ausgewer- tet, um eine Partnerin oder einen Partner zu vermitteln, sind aber durch die anderen Nutzer nicht einsehbar (siehe Ziff. 27).
E. 21 Der «Matchmaking-Algorithmus» wählt potentielle Partner basierend auf den Informationen in den Profilen der Nutzer und aufgrund ihrer täglichen Bewertungen von Profilen anderer Nut- zer. Er ist eine selbstlernende KI, die Rückschlüsse über die Partnerpräferenzen der Nutzer aus diesen Bewertungen zieht. Sie passt sich dementsprechend an, um die vermuteten Prä- ferenzen der Nutzer bei künftigen Vorschlägen zu berücksichtigen. Je mehr die Nutzer an- dere Profile bewerten, desto besser weiss die KI über deren Vorlieben Bescheid und kann dementsprechend bessere Matchs machen. Der Algorithmus lernt auch dadurch, dass er über die Kompatibilität zwischen den Nutzern lernt.9 2.2.4. Bearbeitungszwecke
E. 22 Alle Informationen der Nutzer werden gemäss Angaben der Once Dating AG ausschliesslich für das Matchmaking verwendet. Die Once Dating AG führt in diesem Zusammenhang aus, dass sie «im Gegensatz zu vielen ihrer Konkurrenten, die Daten der Nutzer nicht verkauft und die persönlichen Daten der Nutzer nicht über In-App-Werbung monetarisiert»10 und, dass sie «keine persönlichen Daten für Werbung [verwendet], (…) die Nutzer nicht für Werbung [mo- netarisiert] und (…) nicht mit Affiliates [arbeitet]».11
E. 23 Gemäss der Once Dating AG bedeutet die Aussage, dass sie keine persönlichen Daten für Werbung verwende, dass keine Anzeigen innerhalb der App Once platziert sind (Interstitials, Banner, etc.), welche Personendaten der Nutzer verwenden, um ihnen Werbung anzuzeigen. Mit der Aussage «wir monetarisieren unsere Nutzer nicht für Werbung» meint Once Dating AG, dass sie keine Nutzerdaten gegen irgendeine Art von Entgelt weitergeben.12
E. 24 Die Once Dating AG bearbeitet Nutzerdaten für folgende Zwecke:
a. Bereitstellung des täglichen Matches;
b. Um passende Nutzer in der App vorzustellen z.B. auf dem Bewertungsbildschirm;
c. Um Produktinformationen an die Nutzer zu senden z.B. Benachrichtigungen von erhaltener Nachrichten etc;
8 Ausserdem werden die Bilder moderiert, wenn der Algorithmus Nacktheit, Waffen oder rassistische Elemente mit hoher Wahrscheinlichkeit auf den Fotos erkennt. Vgl. Antwort zur Frage 14.1 (Anhang 1 des Schreibens vom
9. April 2021, S. 10 f. bzw. 26 f.) 9 Vgl. Antwort zur Frage 2.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 3 f. bzw. 19 f.) 10 Vgl. Schreiben vom 9. April 2021, S. 1 f. 11 Vgl. Antwort zur Frage 6 (Anhang 1 des Schreibens vom 9. April 2021, S. 7 bzw. 23) 12 Vgl. Antwort zur Zusatzfrage 2 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021).
10/44
d. Um Marketingkommunikation zuzustellen z.B. Nutzerumfragen und Werbeaktio- nen;
e. Weitergabe an Dritte zu Marketingzwecken. 13 2.2.5. Weitere Massnahmen zur Missbrauchsbekämpfung
E. 25 Neben der Verifizierung bei der Registrierung und der halbautomatisierten Bildermoderation implementiert die Once Dating AG auch die folgenden Massnahmen und bearbeitet dabei Personendaten der Nutzer, um Fake-Profile und andere Nutzermissbräuche zu erkennen und zu bekämpfen:
a. Nutzerberichten: An 3 Endpunkten in der App haben die Nutzer die Möglichkeit, «bösartiges Verhalten» anderer Nutzer zu melden.
b. Regelmässige IP-Prüfungen (und evtl. Blockierung): IP-Adressen aus bestimmten Ländern, die als besonders riskant eingeschätzt werden, die bereits von anderen bekannten betrügerischen Nutzern verwendet worden sind oder die zu Dritten ge- hören, die VPN anbieten und als betrügerisch bekannt sind, können blockiert wer- den.
c. Punkte im Bewertungssystem: auf Basis von Nutzerberichten wurde ein Bewer- tungssystem implementiert, welches betrügerische Profile gemäss den folgenden Kriterien erkennt: Nutzerberichte, Wahrscheinlichkeit, dass es sich um eine betrü- gerische Telefonnummer handelt, letzte bekannte IP-Adressen, Bewertungsver- halten (Geschwindigkeit und Bewertung), Grösse der Beschreibung.
d. Manuelle Moderation: Die Once Dating AG führt täglich eine manuelle Moderation durch, um andere Probleme zu beheben und um Scammer-Muster zu entdecken.
e. Kundenbetreuung: die Nutzer können sich an den Kundendienst wenden, um Probleme (inkl. gefälschte Profile) zu melden. Die Once Dating AG hat ein Team von 2 Personen, die, unter der Aufsicht des CPO, Tickets in 4 Sprachen verwal- ten.14 2.2.6. Bekanntgabe von Personendaten der Nutzer an Dritte
E. 26 Gemäss der Datenschutzrichtlinie von der Once Dating AG können Personendaten der Nut- zer an die folgenden Dritten übermittelt werden: andere Nutzer von Once und «Dritten, die auf Rechnung von Once bestimmte Leistungen erbringen».15 2.2.7. Bekanntgabe von Personendaten an andere Nutzer der App
E. 27 Mit Ausnahme der Fotos, die im «Bewertungsbildschirm» von anderen Nutzern eingesehen werden können, sind die Profilinformationen eines Nutzers oder einer Nutzerin nur für diejeni- gen Personen zugänglich, die vom Algorithmus als «Match des Tages» ausgewählt wurden.16
13 Vgl. Antworten zu Fragen 25.3 und 28.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 f. bzw. 32 f.) 14 Vgl. Antwort zur Frage 14.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 11 f. bzw. 27 f.) 15 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 4 «Weitergabe Ihrer personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 16 Vgl. Antwort zur Frage 4.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 4 bzw. 20 f.)
11/44
E. 28 Nicht registrierte Nutzer haben keine Möglichkeit, auf Personendaten registrierter Nutzer zu- zugreifen.17 2.2.8. Bekanntgabe von Personendaten an Dienstleister/Partner
E. 29 Gemäss der Datenschutzrichtlinie von Once Dating AG, können Personendaten der Nutzer «mit Dritten ausgetauscht werden, «die auf Rechnung von Once bestimmte Leistungen er- bringen, wie zum Beispiel externen Dienstleistern insbesondere für Hosting und Pflege der Daten, Analysen, Kundendienst, Zahlungsabwicklung und Sicherheitsmaßnahmen.».18 «Aus- tausch» soll hier gemäss der Once Dating AG als «Bekanntgabe» verstanden werden, weil die Once Dating AG keine personenbezogenen Daten von Nutzern von Dritten erhält, abge- sehen von den Daten, die mit dem Facebook SDK beim Facebook-Login übertragen wer- den.19
E. 30 Diese Datenbekanntgaben erfolgen im Zusammenhang mit folgenden Bearbeitungszwecken: Kundensupport, Zahlungsabwicklung und Sicherheitsoperationen sowie Analysen für Marke- tingzwecke. Die Once Dating AG verlässt sich auf externe Partner oder Dienstleister in die- sen Bereichen, um einen sicheren und hochwertigen Service zu betreiben, weil sie nicht alle Kompetenzen oder technischen Bausteine im Haus hat.20
E. 31 Die nachfolgenden Partner erhalten Zugriff auf folgende Daten:21: Dienstleister Dienst Kategorien der im Auftrag bear- beiteten Daten Facebook App-Analytik22: Messung und Visualisie- rung aller In-App-Ereignisse, Funnels, Kohorten, etc. App-Ereignisse, Telefonumgebung (Plattform, OS, App-Version), ano- nymisierte Benutzerinformationen (Geschlecht, Plattform, Land), u- did23 Facebook Login Facebook-Konto Google Ana- lytics und Firebase App-Analytik: Messung und Visualisie- rung aller In-App-Ereignisse, Funnels, Kohorten, etc. App-Ereignisse, Telefonumgebung (Plattform, OS, App-Version, udid), anonymisierte Benutzerinformatio- nen (Geschlecht, Plattform, Land, IP-Adresse)
17 Vgl. Antwort zur Frage 4.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 5 bzw. 21 f.) 18 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfüg- bar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 19 Vgl. Antwort zur Frage 5.3 (Anhang 1 des Schreibens vom 9. April 2021, S. 7 bzw. 23) 20 Vgl. Antworten zur Fragen 5.1 und 5.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 5 f. bzw. 21 f.) 21 Vgl. Antworten zur Fragen 5.1 und 5.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 5 f. bzw. 21 f.), Antwort zur Zusatzfrage 1 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021) und Änderungsvorschlag 1 (Anhang 1 des Schreibens vom 21. Juli 2021, S. 2 bzw. 3) 22 Das Tool Facebook Analytics wird am 30. Juni 2021 von Facebook eingestellt. Vgl. Facebook, Facebook Analy- tics wird eingestellt, verfügbar unter https://www.facebook.com/business/help/ 966883707418907 [aufgerufen am 26.04.2021]. 23 Udid ist ein Akronym für «Unique Device Identifier». Dies ist eine eindeutige Kennung für jedes Apple-Gerät.
12/44
Batch Reengagement-Dienste: ermöglicht das Senden von Push-Benachrichtigungen an Benutzer, basierend auf Ereignissen und Auslösern. App-Ereignisse, Telefonumgebung (Plattform, Betriebssystem, App- Version), Benutzerinformationen (Geschlecht, Plattform, Alter, Land, Standort, Trinkvorlieben, Grösse, Politik, Religion, Sexualität) Adjust Analytik und Werkzeug zur Attributions- erkennung Anonyme Benutzerkennung, App- Sitzungen (von Adjust SDK abgeru- fen), Umsatz, udid Paypal Online Bezahldienst. Anonyme Benutzerkennung Stripe Online Bezahldienst. Anonyme Benutzerkennungen, Kre- ditkartennummer, E-Mail-Adresse Sightengine Bildanalyse zur Moderation Anonyme Benutzerkennungen und Bilder Telesign Überprüft die Telefonnummer, die für die Benutzerauthentifizierung bei der An- meldung verwendet wird. Sendet einen 6-stelligen Code zur Verifizierung, damit sich der Benutzer anmelden kann. Rufnummer Logentries24 Werkzeug zur Verwaltung von Protokol- len Anonyme Benutzerkennung
Airbrake Crash-Reporting-Werkzeug Anonyme Benutzerkennung Sendgrid Reengagement-Dienste: ermöglicht das Senden von E-Mails an Benutzer, basie- rend auf Ereignissen und Auslösern E-Mail-Adresse Looker Visualisiert die wichtigsten Daten, um sie zu analysieren, Berichte zu erstellen und Entscheidungen zu treffen. Anonyme Benutzerkennungen, Pro- duktereignisse, Geschlecht, Be- triebssystem, Alter Zendesk Cloudbasierte Kundensupport-Plattform. Anonyme Benutzerkennung, E- Mail-Adresse und Konversationen mit unserem Kundensupport Vonage Videochats zwischen Nutzern, nachdem die Zustimmung eingeholt wurde. Anonyme Benutzerkennung und Vi- deo Apple Apple Sign-In E-Mail-Adresse für Apple-Anmel- dung Tabelle 1
E. 32 Grösstenteils erfolgen diese Datenbekanntgaben an Dienstleister/Partner über Programmier- schnittstellen (API), welche durch das Einbauen von vorgefertigten Code-Bausteinen (SDK)
24 Dieser wird gemäss der Once Dating AG derzeit entfernt.
13/44
der Dienstleister in den Code der App Once ausgelöst werden. Durch die Integration dieser SDK werden viele Funktionen der App durch Algorithmen, welche von Dritten entwickelt wer- den, ausgeführt.
E. 33 Einige dieser Algorithmen von Dritten führen eine Trackingfunktion aus. Dabei werden Perso- nendaten der Nutzer durch Ditte bearbeitet, um das Nutzerverhalten zu verfolgen: Facebook Analytics, Google Analytics, Batch, Firebase,25 Adjust26, Telesign27, Sendgrid28, Looker29, Vo- nage30 und Airbrake31.
E. 34 Die Werbe-ID der Nutzer (IDFA für iOS, GPS-ADID für Google) wird an den Dienstleister Ad- just übermittelt, der seinerseits die Werbe-ID an Dritte (insbesondere Facebook und Google) für Werbezwecke weitergibt. Die Once Dating AG speichert jedoch die IDFA oder GPS-ADID der Nutzer nicht auf ihren Servern und verknüpft keine Daten der Nutzer zu deren Werbe- ID.32
25 Vgl. Antwort zur Fragen 27, 27.1 und 27.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 bzw. 33) 26 Adjust wurde zwar nicht in der Antwort von Once Dating AG zur Frage 27.1 erwähnt, wird aber gemäss ihrer Antwort zur Frage 23 hier auch aufgeführt. (Anhang 1 des Schreibens vom 9. April 2021, S. 15 bzw. 32) 27 Telesign wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der ge- mäss der Privacy Notice erhobenen Daten hier aufgeführt. Vgl. Privacy Notice von Telesign, verfügbar unter: https://www.telesign.com/privacy-notice [aufgerufen am 18.05.2021]. 28 Sendgrid wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der ge- mäss dem Privacy Statement von Twilio möglicherweise erhobenen Daten hier aufgeführt. Vgl. Twilio Privacy Statement, verfügbar unter: https://www.twilio.com/legal/privacy#how-twilio-processes-your-end-users-personal- information [aufgerufen am 18.05.2021] 29 Looker wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der ge- mäss der Privacy Policy von Looker möglicherweise erhobenen Daten hier aufgeführt. Vgl. Ziff. 2 der Privacy Po- licy, verfügbar unter https://looker.com/trust-center/privacy/policy [aufgerufen am 18.05.2021] 30 Vonage wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der ge- mäss der Privacy Policy von Vonage möglicherweise erhobenen Daten hier aufgeführt. Vgl. https://www.vo- nage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy [aufgerufen am 18.05.2021] 31 Airbrake wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird hier aber aufgeführt, weil gemäss der Airbrake Privacy Notice Drittdienste wie bspw. Google Analytics Daten von Airbrake Nutzern er- heben können. Vgl. https://airbrake.io/privacy#information-collected [aufgerufen am 18.05.2021]. 32 Vgl. Antworten zur Fragen 22 bis 25 (Anhang 1 des Schreibens vom 9. April 2021, S. 15 f. bzw. 32)
14/44
E. 35 Gewisse Dienstleister behalten sich das Recht vor, die ihnen durch Once Dating AG bereitge- stellten Daten im eigenen Interesse zu nutzen. Diese sind: Facebook, Google,33 Sendgrid34, Looker35, Vonage36 und Paypal37.38 2.2.9. Bekanntgabe von Personendaten ins Ausland
E. 36 Gemäss der Datenschutzrichtlinie der Once Dating AG erfolgt manchmal eine Datenbekannt- gabe ins Ausland, wenn Daten an Dritte weitergegeben werden. Für die Übermittlung von Da- ten in Länder, die kein angemessenes Datenschutzniveau aufweisen, wie zum Beispiel die USA, beruft sich die Once Dating AG auf EU-Standardvertragsklauseln oder «andere geeig- nete Schutzklauseln, um diesen Datenübertragungen einen festen Rahmen zu verleihen und die Geheimhaltung und Sicherheit Ihrer Daten abzusichern.».39
E. 37 Paypal wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss der Privacy Policy von Paypal hier aufgeführt. Vgl. Privacy Policy, verfügbar unter: https://www.paypal.com/ch/webapps/mpp/ua/privacy-full?locale.x=en_CH#7 [aufgerufen am 18.05.2021]
E. 38 Zwischen der Zustellung der Sachverhaltsfeststellung und der Erarbeitung des Schlussberichts wurde die Pri- vacy Notice von TeleSign überarbeitet. Gemäss den neuen Bestimmungen behält sich die TeleSign nicht mehr vor, Daten, die sie im Auftrag erhält, für eigene Zwecke zu bearbeiten. «In den meisten Fällen sind wir ein "Daten- verarbeiter", d.h. wir verarbeiten Persönliche Daten, die wir von Organisationen (TeleSigns "Kunden") für die Er- bringung unserer Dienstleistungen erhalten. […] Als Datenverarbeiter erheben und verwenden wir Ihre personen- bezogenen Daten in Übereinstimmung mit den vertraglichen Verpflichtungen, die wir mit unseren Kunden ha- ben.». Deshalb wird TeleSign in dieser Auflistung nicht mehr aufgeführt. Vgl. Hinweis zum Datenschutz, verfügbar unter: https://www.telesign.com/privacy-notice [aufgerufen am 15.02.2022]
E. 39 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 5 «Übertragung von personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021]
E. 40 Vgl. Antworten zur Fragen 15.1 und 15.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 12 bzw. 28 f.)
15/44
38. Die gemäss Once Dating AG als Schutzklausel einschlägige AWS Kundenvereinbarung hält zum Datenschutz Folgendes fest: «3.2 Datenschutz. Sie können die AWS Regionen benennen, in denen Ihre Inhalte gespeichert werden. Sie stimmen der Speicherung Ihrer Inhalte in den von Ihnen gewählten AWS Regionen sowie deren Über- tragung in diese AWS Regionen zu. Wir werden nicht auf Ihre Inhalte zugreifen oder diese nutzen, es sei denn, dies ist notwendig, um die Serviceangebote zu warten oder anzubieten oder erforderlich, um die Gesetze einzuhalten oder einer verbindlichen Anordnung einer staatlichen Stelle nachzukommen. Wir werden Ihre Inhalte (a) nicht an staatliche Stellen oder Dritte weitergeben oder (b) Ihre Inhalte, vorbehalt- lich Ziffer 3.3, nicht in andere als die von Ihnen gewählten AWS-Regionen verlagern, es sei denn, dies ist im Einzelfall erforderlich, um Gesetze einzuhalten oder einer verbindlichen Anordnung einer staatlichen Stelle nachzukommen. Wir werden Sie über eine rechtliche Verpflichtung oder Anordnung im Sinne dieser Ziffer 3.2 informieren, es sei denn, dies ist uns gesetzlich oder durch die Anordnung einer staatlichen Stelle untersagt. Wir werden Ihre Account Informationen nur der Datenschutzerklärung entsprechend verwen- den, und Sie stimmen hiermit einer solchen Nutzung zu. Die Datenschutzerklärung ist auf Ihre Inhalte nicht anwendbar.» 41
39. Wir stellen aber aus der von der Once Dating AG bereitgestellten Partnerliste fest, dass ver- schiedene Dienstleister, mit denen die Once Dating AG zusammenarbeitet, in ihren Daten- schutzerklärungen bzw. Nutzungsbedingungen ankündigen, dass sie Personendaten von Endkunden in Drittländer (z.B. USA) übermitteln. Ein angemessener Schutz der Daten in dem Zielland werde gemäss den Partnern durch EU-Standardvertragsklausel oder eine Zertifizie- rung unter dem Privacy Shield Framework gewährleistet. Diese sind: Google (Google Analy- tics, Firebase und Looker42), Facebook43, Adjust44; Paypal45; Stripe46; Sightengine47;
E. 41 Vgl. AWS Kundenvereinbarung, verfügbar unter https://d1.awsstatic.com/legal/aws-customer-agree- ment/AWS_Customer_Agreement-German_2020-11-30.pdf [aufgerufen am 28.04.2021]
E. 42 Vgl. Rechtliche Rahmenbedingungen für Datenübermittlungen, verfügbar unter https://policies.google.com/pri- vacy/frameworks?hl=de und Ziff. 10 der Data Processing and Security Terms for Looker Services (Customers), verfügbar unter https://looker.com/trust-center/legal/customers/dpst [aufgerufen am 28.04.2021]
E. 43 Vgl. Informationen für Unternehmen, verfügbar unter https://www.facebook.com/business/gdpr [aufgerufen am 28.04.2021]
E. 44 Vgl. Annex “General Terms and Conditions for Data Processing”, verfügbar unter https://www.ad- just.com/terms/general-terms-and-conditions/?entity=rest-of-world [aufgerufen am 28.04.2021]
E. 45 Vgl. Ziff. 7 der Datenschutzerklärung, verfügbar unter https://www.paypal.com/ch/webapps/mpp/ua/privacy- full?locale.x=en_CH#7 [aufgerufen am 28.04.2021]
E. 46 Vgl. Ziff. 7 der «Global Privacy Policy – World», verfügbar unter https://stripe.com/gb/privacy#international- data-transfers [aufgerufen am 28.04.2021]
E. 47 Vgl. Data Processing Addendum, verfügbar unter https://s3-eu-west-1.amazonaws.com/static.sighten- gine.com/legal/20191212-dpa.pdf und Liste von Sub-Processors, verfügbar unter https://sightengine.com/poli- cies/subprocessors [aufgerufen am 28.04.2021]
16/44
Telesign48; Rapid749; Airbreak50; Twilio (Sendgrid)51; Zendesk52 und Vonage53. Also alle aus- ser Batch54.
40. Gemäss den «Internen Datenschutz-Policies», welche die Once Dating AG im Hinblick auf das neue DSG erarbeitet und gemäss ihrer Anwältin Fr. noch als «Work in Progress» zu betrachten sind, dürften Auftragnehmer der Once Dating AG keine Personendaten in Dritt- ländern ohne die Zustimmung der Once Dating AG übermitteln. Sollte die Once Dating AG dies jedoch erlauben, dann würde sie als Auftraggeberin in der Regel sicherstellen, dass sich die fraglichen Datenübermittlungen auf die von der EU genehmigten Standardvertragsklau- seln für die Übertragung persönlicher Daten stützen.55 2.3. Aufbewahrung und Löschung von Personendaten 2.3.1. Deaktivierung von Konten auf Verlangen
41. Nutzer können ihr Konto jederzeit selbst in der App deaktivieren, indem sie unter den Einstel- lungen die Option «Mein Konto deaktivieren» wählen. Wenn eine Nutzerin oder Nutzer dies tut, wird ihr oder sein Profil für andere Mitglieder unsichtbar gemacht. Eine Reaktivierung ist innerhalb eines Jahres möglich, weil die Informationen des Kontos für 1 (ein) Jahr nach dem Deaktivierungsdatum aufbewahrt werden.56 2.3.2. Löschung von Konten bzw. Personendaten der Nutzer auf Verlangen
42. Man findet zwar keine eigenständige In-App Option unter den Einstellungen («Paramètres») für das Löschen des Kontos mit entsprechenden Personendaten, aber es besteht seit 2017 die Möglichkeit, einen Löschungsantrag durch das Auswählen der Option «ich will mein
E. 48 Vgl. Privacy Notice von Telesign, verfügbar unter: https://www.telesign.com/privacy-notice [aufgerufen am 15.05.2022]
E. 49 Vgl. Rapid7 Privacy Policy, verfügbar unter: https://www.rapid7.com/de/privacy-policy/ [aufgerufen am 28.04.2021]
E. 50 Die neuen internen Policies der Once Dating AG beinhalten die folgende Vorgabe zur Lö- schung von Personendaten, die durch Dritte bearbeitet werden: “Each employee who works with personal data shall take all reasonable measures for the destruction and deletion from all systems of all personal data which is not necessary anymore and in compliance with the
60 Vgl. Antwort FAQ von Once, verfügbar unter https://getonce.com/de/faq#wie-kann-ich-mein-konto-endgultig- anstatt-es-nur-zu [aufgerufen am 21.04.2021] 61 Vgl. Antwort zur Zusatzfrage 3 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021) 62 Vgl. Antwort zur Frage 3.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 4 bzw. 20) 63 Vgl. Antwort zur Frage 21 (Anhang 1 des Schreibens vom 9. April 2021, S. 14 f. bzw. 31 f.)
19/44
rules and keeping policies of Once – this may include the obligation third parties to be required to delete these personal data.”64 2.4. Datensicherheit 2.4.1. Entwicklung der App
51. Gemäss der Once Dating AG wurde die App Once nicht nach einem besonderen Standard hinsichtlich Datenspeicherung und Datenschutz (OWASP; ISO, NIST etc.) entwickelt, aber die Datenschutzkonformität wurde dadurch gewährleistet, dass die Once Dating AG die Ent- wicklung der Datenschutzvorschriften verfolgt hat und den Rat ihrer Rechtsberater in Bezug auf den Datenschutz bei der Entwicklung der App berücksichtigt hat. Die Once Dating AG ist der Auffassung, dass die Sicherheit der Daten dadurch gewährleistet wird, dass die Entwick- lung der Anwendung von Senior Ingenieuren durchgeführt wird, die Erfahrung mit ähnlichen Anwendungen und in einem hochkritischen Kontext gesammelt haben (z. B. Militär, Amadeus, etc.), die Datenspeicherung gemäss den best practices der AWS-Sicherheit erfolgt und die Infrastruktur über Sicherheitsgruppen und IP-Filterung in mehrere Bereiche mit einge- schränktem Zugriff aufgeteilt wird. 2.4.2. Schwachstellentests
52. Die Once Dating AG bearbeitet aufgrund des Zwecks Partnervermittlung sensible Daten der Nutzer, unter anderem auch besonders schützenswerten Daten. Auch wenn diese - auf der Netzwerkebene geschützt - auf einem anderen System liegen, sind sie doch über die App er- reichbar. Es wurden bisher weder Audits noch Penetrations-Tests durchgeführt, um die Si- cherheit der App durch externe Schwachstellentests überprüfen zu lassen. Im Moment wer- den nur interne Schwachstellentests durchgeführt. Änderungen werden von einer zweiten Person des Teams auf mehrere Aspekte hin, inkl. die Implikationen der Änderungen aus Sicht des Datenschutzes, überprüft und analysiert, bevor sie aufgeschaltet werden. 65 2.4.3. Monitoring und Patchen
53. Das Monitoring bei Once erfolgt mittels Alarmierung bei Verbindungen zu kritischen Maschi- nen. Das regelmässige Patchen wird sichergestellt, indem die App typischerweise alle 2 Wo- chen gepatcht wird. Dies erfolgt durch vollständige Bereitstellungen der API-Infrastruktur.66 2.4.4. Verschlüsselung
54. Die Datenübertragungen zwischen dem Endgerät der Nutzer und den Servern von Once (AWS) erfolgen über verschlüsselte HTTPS-Verbindungen (HTTP over TLS). In der Cloud angekommen, werden die Daten aber wieder vollständig entschlüsselt. Damit hat der Cloud- Anbieter ungehindert Zugriff auf die Daten, da diese im Ruhezustand (Data at Rest) weder pseudonymisiert noch verschlüsselt werden.67 2.4.5. Zugriffskontrollen
64 Vgl. Ziff. 9 der Internal General Data Protection Guidance (Beilage 1 zum Schreiben vom 9. April 2021, S. 18 f.) 65 Vgl. Antworten zur Fragen 8, 11 und 12 (Anhang 1 des Schreibens vom 9. April 2021, S. 9 f. bzw. 25 f.) 66 Vgl. Antwort zur Frage 12 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26) 67 Vgl. Antworten zu Fragen 9 und 10 (Anhang 1 des Schreibens vom 9. April 2021, S. 9 bzw. 25)
20/44
55. Der Zugriff auf Nutzerdaten wird einerseits durch VPN und IP-Beschränkungen und anderer- seits durch Zugriffsberechtigungen eingeschränkt. Ergänzend sind Ratenbegrenzung auf IP- Adressen für die Administration und für die öffentliche API implementiert mit dem Ziel, einen brute force Angriff auf Authentifizierungstoken zu verhindern. Die Administration ist über ein VPN mit persönlichem Zugriff nur für Teammitglieder erreichbar. Das Verwaltungstool ist mit persönlichen Anmeldeinformationen eingeschränkt, wonach jeder Nutzer nur auf diejenigen Daten zugreifen kann, die er benötigt. Ausserdem werden die Daten gemäss den Sicherheits- massnahmen von AWS gespeichert.68 Logdaten und Protokolle sind durch persönliche Zu- gangsdaten geschützt, die nur an Personen weitergegeben werden, die Zugang zu den Pro- tokollen benötigen.69
56. Gemäss der uns von der Once Dating AG zugestellten AWS Kundenvereinbarung ist die Once Dating AG «für die ordnungsgemäße Konfiguration und Nutzung der Serviceangebote verantwortlich» und muss «angemessene Maßnahmen ergreifen zur Sicherung, zum Schutz und zum Backup Ihrer Accounts und Ihrer Inhalte, wozu die Nutzung von Verschlüsselungs- technologie zum Schutz Ihrer Inhalte vor unberechtigtem Zugriff sowie eine regelmäßige Ar- chivierung gehören können.». AWS ergreift ihrerseits «zumutbare und angemessene Maß- nahmen», um der Once Dating AG «zu helfen, Ihre Inhalte gegen zufällige oder rechtswidrige Verluste, Zugriffe oder Offenlegung zu schützen».70
57. In den neuen internen Datenschutz-Policies werden die technischen und organisatorischen Massnahmen zum Schutz der Daten allgemein unter Ziff. 10.1 des Dokuments «Internal Ge- neral Data Protection Guidance»71 sowie in Details im Dokument «Technical and Organisatio- nal Measures (TOMS)»72 umschrieben. Diese Massnahmen sind ein «Work-in-Progress» und wurden noch nicht implementiert. 2.5. Logging
58. Gemäss der Datenschutzrichtlinie der Once Dating AG werden Daten über die Nutzung der Webseite und der App Once erfasst, wobei alle über die Website und die App realisierten Ak- tionen sowie die Verbindungen, Verbindungszeiten und die gesamten Interaktionen der Nut- zer mit den anderen Nutzern protokolliert werden. Gemäss Angaben der Once Dating AG werden Logdaten aggregiert und ausschliesslich zur Analyse der Applikationsperformance ausgewertet. Logdaten werden für 1 Monat aufbewahrt. 73 2.6. Einwilligung und Datenschutzeinstellungen der App
59. Die Once Dating AG rechtfertigt die Bearbeitung aller Daten, die sie von Nutzern erhebt, auf der Grundlage der Einwilligung der betroffenen Personen (Nutzerin oder Nutzer). Gemäss der Once Dating AG erteilen die Nutzer im Rahmen der Anmeldung74 eine Einwilligung zur Bearbeitung von «Daten, die während des Anmeldevorgangs gesammelt werden, sowie auf
68 Vgl. Antworten zu Fragen 13 und 13.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26) 69 Vgl. Antworten zur Frage 26.3 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 bzw. 33) 70 Vgl. Ziff. 3.1 und 4.3 der AWS Kundenvereinbarung, verfügbar unter https://d1.awsstatic.com/legal/aws-custo- mer-agreement/AWS_Customer_Agreement-German_2020-11-30.pdf [aufgerufen am 28.04.2021] 71 Beilage 1 zum Schreiben vom 9. April 2021, S. 19 f. 72 Beilage 1 zum Schreiben vom 9. April 2021, S. 26 f. 73 Vgl. Antworten zu Fragen 26, 26.1 und 26.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 bzw. 33) 74 Durch Ankreuzen des Kästchens neben der Aussage: «Ich akzeptiere, dass Once einige meiner personenbe- zogenen Daten sammelt und weiterverarbeitet, um ihren Dienst bereitzustellen».
21/44
die Profilinformationen, die zu jedem Zeitpunkt der App-Nutzung vom Nutzer gesammelt wer- den können.».75
60. Es ist nicht möglich, die Datenbearbeitungen in der App Once durch Datenschutzeinstellun- gen einzuschränken. Nutzer müssen allen Datenbearbeitungen inkl. Weitergabe an Dritte zu Marketingzwecke zustimmen, wenn sie Once nutzen wollen. Wenn sie dies nicht wünschen, können sie ihr Konto deaktivieren oder löschen.76
3. Datenschutzrechtliche Beurteilung
61. Nachfolgend werden auf der Basis des verbindlich festgestellten Sachverhalts diejenigen As- pekte behandelt, deren Datenschutzkonformität in Rahmen dieser Sachverhaltsabklärung zu prüfen waren. 3.1. Bearbeitung von Personendaten
62. Das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) ist auf das Be- arbeiten von sog. Personendaten durch private Personen anwendbar (Art. 2 Abs. 1 lit. a DSG). Unter «Bearbeiten» wird jeder Umgang mit Personendaten, unabhängig von den an- gewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten verstanden (Art. 3 lit. e DSG). Entscheidend für die Anwendbarkeit des DSG ist vor diesem Hintergrund die Qualifi- zierung der bearbeitenden Daten als Personendaten.
63. Gemäss Art. 3 lit. a DSG gelten als Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare (natürliche oder juristische) Person beziehen. Die gesetzliche Definition des Begriffs «Personendaten» erfasst demnach alle Informationen, die mit einer natürlichen oder juristischen Person in Verbindung gebracht werden können. Diese Verbindung zu einer Person kann anhand der Daten selbst eindeutig sein. In diesem Fall ist die Person bestimmt. Es ist aber auch möglich, dass die Person, zu der sich die Information bezieht, zwar nicht al- lein anhand dieses Datums identifiziert werden kann, aber anhand der Umstände auf sie ge- schlossen werden kann. In letzterem Fall spricht man von einer Person, die identifizierbar ist. (Botschaft DSG, BBl 1988 II 413, S. 444).
64. Vorliegend ist unbestritten, dass die Once Dating AG für und bei der Bereitstellung der App Once verschiedene Daten, die einen Bezug zu der Person des Nutzers oder der Nutzerin ha- ben, zu diversen Zwecken (siehe dazu Rz. 24) bearbeitet: diese Daten sind einerseits die An- gaben, welche die Nutzer über sich selbst in ihren Profilen und bei der Registrierung machen und andererseits Informationen, die bei der Nutzung der App entstehen (Bewertung von Pro- filen, Kontakt mit anderen Nutzern, Reaktion auf Benachrichtigung, Informationen über die Aktivität der Nutzer in der App etc.). Diese Datenbearbeitungen unterliegen dem DSG und müssen deshalb in Einklang mit den Bearbeitungsgrundsätzen gemäss Art. 4, 5 und 7 DSG erfolgen. 3.1.1. Bearbeitung von besonders schützenswerten Daten
65. Gemäss Art. 3 lit. c DSG gelten als besonders schützenswerte Daten solche über die religiö- sen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, sowie administrative oder strafrechtliche Verfolgungen und Sanktionen.
75 Vgl. Antworten zu Fragen 28.1 und 30 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 f. bzw. 33 f.) 76 Vgl. Antworten zur Frage 29 (Anhang 1 des Schreibens vom 9. April 2021, S. 18 f. bzw. 35)
22/44
66. Die Datenbearbeitungen der Once Dating AG umfassen zum Teil besonders schützenswerte Daten der Kategorie «Daten über die Intimsphäre». Dazu gehört die sexuelle Orientierung der Nutzer, die sie angeben müssen, damit ihnen ein geeigneter Partner oder eine geeignete Partnerin ausgesucht werden kann (siehe Ziff. 19), wie man aus der Datenschutzrichtlinie entnehmen kann: «Von Once erhobene personenbezogene Pflichtangaben (bei Nichtbereit- stellung dieser Daten werden Sie die Dienste nicht nutzen können) […] Sensible Daten: sexu- elle Orientierung (heterosexuell, homosexuell, bisexuell).». Ausserdem kann die Information, dass eine Person ein aktives Profil bei einer Dating App hat, unter Umstände Rückschlüsse über ihre Intimsphäre liefern, weil diese Information darauf hindeutet, dass der Nutzer aktiv nach einem Partner oder Partnerin sucht.
67. Zudem können die Datenbearbeitungen der Once Dating AG auch besonders schützens- werte Daten der Kategorien «Daten über religiösen, weltanschaulichen, politischen oder ge- werkschaftlichen Ansichten» sowie Gesundheitsdaten und Daten über die Rassenzugehörig- keit erfassen, je nach den Angaben, welche die Nutzer freiwillig in ihren Profilen machen (siehe Ziff. 20).
68. In diesem Sinne ist unbestritten, dass die Once Dating AG besonders schützenswerte Perso- nendaten bearbeitet, Die Einhaltung der erhöhten Anforderungen, die das Gesetz an die Be- arbeitung besonders schützenswerter Daten stellt, wird im Folgenden in den einzelnen The- menbereichen untersucht. 3.1.2. Bearbeitung von Persönlichkeitsprofilen
69. Persönlichkeitsprofile werden in Art. 3 lit. d DSG als «eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt» definiert. Anhaltspunkte, was unter diesem Begriff zu verstehen ist, findet man in der Bot- schaft zum Bundesgesetz über den Datenschutz vom 23. März 1988 (BBl II 1988 413) und in der Rechtsprechung. Gemäss der Botschaft zum DSG ist ein Persönlichkeitsprofil eine Zu- sammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die berufli- chen Fähigkeiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkei- ten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Ent- scheidend ist, dass die systematische Zusammenstellung von an sich nicht besonders schüt- zenswerten Daten (z.B. über Lesegewohnheiten, Reise- und Freizeitaktivitäten) eine Beurtei- lung wesentlicher Aspekte der Persönlichkeit zulässt (BBl II 1988 447).
70. Die ehemalige Eidgenössische Datenschutzkommission hielt fest, dass der Begriff des Per- sönlichkeitsprofils nicht generell definiert werden kann, sondern das Vorliegen eines Persön- lichkeitsprofils im Einzelfall auf Grund der konkreten Umstände zu bejahen oder zu verneinen ist. (Urteil der EDSK vom 27. Januar 2000, VPB 65.48, E. 2). Mithin muss eine Prüfung vor- genommen werden, ob die Once Dating AG Personendaten der Nutzer so zusammenstellt, dass eine Beurteilung wesentlicher Aspekte deren Persönlichkeit ermöglicht wird (BVerG A- 4232/2015 Urteil vom 18. April 2017, E. 5.2.1). Dabei ist eine Darstellung der Gesamtpersön- lichkeit nicht erforderlich. Es genügt, wenn aus wichtigen Eigenschafts- und Verhaltensaspek- ten ein Persönlichkeitsbild erstellt werden kann. In diesem Sinne entsteht ein Persönlichkeits- profil auch anhand der Zusammenstellung einer Anzahl von Daten etwa über die Persönlich- keitsstruktur sowie über berufliche und private Aktivitäten, die ein wesentliches Teilbild einer betroffenen Person ergeben (Vgl. Basler Kommentar DSG, Art. 3 Bst. d, Rz. 66 f.).
71. Wenn sich eine Person bei der App Once registriert, muss sie gewisse Angaben über sich machen, damit sie mit anderen in der App registrierten Person in Verbindung gesetzt werden kann (siehe Ziff. 19). Beim Match-Making-Prozess zielt die Once Dating AG darauf ab, zwei Personen zusammen zu bringen, die gemäss den Einschätzungen von Once zusammenpas- sen würden. Diese Einschätzung basiert auf den Angaben, die die Nutzer über sich machen, sowie auf ihren Präferenzen (siehe Ziff. 21). Basierend auf diesen Personendaten erstellt die Once Dating AG ein Persönlichkeitsbild der Nutzer und zieht Schlussfolgerungen über die
23/44
Vorlieben (in Bezug auf potentielle Partner) der betroffenen Person. Dieses Persönlichkeits- bild lässt die Beurteilung wesentlicher Aspekte der betroffenen Personen zu und zielt gera- dezu darauf ab. Dementsprechend ist es als Persönlichkeitsprofil zu qualifizieren.
72. Daraus folgt, dass die Once Dating sowohl gewisse besonders schützenswerten Daten als auch Persönlichkeitsprofile bearbeitet. Die Einhaltung der erhöhten Anforderungen, die das Gesetz an die Bearbeitung von Persönlichkeitsprofilen knüpft, wird folgend in den einzelnen Themenbereichen geprüft. 3.2. Transparenz und Qualität der Informationen an die Nutzer der App Once 3.2.1. Grundsatz der Transparenz nach Art. 4 Abs. 4 DSG
73. Die Bearbeitung von Personendaten muss gemäss den Bearbeitungsgrundsätzen von Art. 4, 5 Abs. 1 und 7 Abs. 1 erfolgen. Eine Verletzung dieser Bearbeitungsgrundsätze stellt eine Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG dar. Art. 4 Abs. 4 DSG sieht den Transparenzgrundsatz vor, wonach die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein müssen.
74. Der Grundsatz der Transparenz dient dazu, den betroffenen Personen zu ermöglichen, be- wusste Entscheidungen über ihr informationelles Selbstbestimmungsrecht zu treffen. Wenn die Bearbeitungszwecke nicht präzis genug bestimmt werden oder nicht in einer klaren und eindeutigen Form beschrieben werden, kann eine betroffene Person weder die durchgeführ- ten Datenbearbeitungen kontrollieren, noch ihre datenschutzrechtlichen Ansprüche vernünftig ausüben. So die Botschaft: «Die in Artikel 4 Absatz 4 verlangte Transparenz (…) verleiht dem Recht, die Bearbeitung zu untersagen (Art. 12 Abs. 2 Bst. b DSG), ebenfalls eine neue Di- mension. Das Recht, sich der Bearbeitung zu widersetzen, muss so lange blosse Theorie bleiben, als die betroffenen Personen sich über eine Datenbeschaffung und ihre wesentlichen Rahmenbedingungen gar nicht im Klaren sind. Die Transparenz der Beschaffung und die In- formation der betroffenen Person bilden somit den eigentlichen Eckpfeiler des ganzen Daten- schutzsystems.» (BBl 2003 2101, S. 2126)
75. Vor diesem Hintergrund sind die Informationen, welche der Inhaber der Datensammlung in einer konkreten Situation der betroffenen Person erteilen muss, damit die Datenbeschaffung sowie die Rahmenbedingungen der Datenbearbeitung erkennbar sind, nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen (Art. 4 Abs. 2 DSG).
76. Wenn die Datenbeschaffung und ihr Zweck aus den Umständen klar erkennbar sind, muss keine besondere Information erfolgen. Wenn eine Beschaffung auf Grund der Umstände hin- gegen weniger deutlich erkennbar ist, muss die betroffene Person umso eher in geeigneter Art und Weise auf die Erhebung und ihre wesentlichen Rahmenbedingungen aufmerksam gemacht werden. Wenn eine Information erforderlich ist, setzen die Grundsätze der Verhält- nismässigkeit und von Treu und Glauben voraus, dass diese aus der Perspektive einer zum Zielpublikum der App gehörenden, verständigen Durchschnittsperson nach Treu und Glau- ben hinreichend sind, um ihnen eine zumutbare Möglichkeit zu gewähren, davon Kenntnis zu nehmen. 3.2.2. Informationspflicht nach Art. 14 DSG
77. Die Once Dating AG bearbeitet in Zusammenhang mit der Bereitstellung der App Once so- wohl besonders schützenswerte Personendaten (siehe Ziff. 3.1.1) als auch Persönlichkeits- profile (siehe Ziff. 3.1.2). Somit untersteht die Once Dating AG der Informationspflicht nach Art. 14 DSG.
24/44
78. Die Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen nach Art. 14 DSG ergänzt den Grundsatz der Transparenz und setzt eine ausdrückliche Information durch den Verantwortlichen über Folgendes voraus: die Be- schaffung der Daten, den Zweck ihrer Bearbeitung, die Identität des Inhabers der Daten- sammlung sowie die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorge- sehen ist (nicht aber die Identität jedes einzelnen Datenempfängers). Gemäss der Botschaft ist es aber möglich, dass unter Umstände weitere Angaben gemacht werden müssen: «Erfor- dert es der Grundsatz von Treu und Glauben, muss der Inhaber der Datensammlung indes- sen noch weitere Informationen liefern, beispielsweise darüber, ob die Beantwortung der ge- stellten Fragen freiwillig oder obligatorisch ist und über die Folgen einer Verweigerung der verlangten Angaben» (BBl 2131). Um seiner Informationspflicht nachzukommen muss der Verantwortliche alles unternehmen, was von ihm nach den Umständen vernünftigerweise ver- langt werden kann. (BBl 2003 2101, S. 2132). 3.2.3. Einhaltung des Transparenzgrundsatzes (Art. 4 Abs. 4 DSG) und der Informati- onspflicht (Art. 14 DSG)
79. Folgende Anforderungen müssen erfüllt werden, um den Transparenzgrundsatz einzuhalten:
1) Die Erhebung von Personendaten muss erkennbar sein und dabei muss es der betroffe- nen Person klar sein, wofür welche Daten über sie bearbeitet werden; 2) wenn dies aus den Umständen nicht ersichtlich ist, müssen die Bearbeitungszwecke und Rahmenbedingungen durch den Verantwortlichen in Form einer Information angegeben werden; 3) die Angemes- senheit der Informationen wird daran gemessen, ob eine betroffene Person auf Grundlage dieser eine bewusste Entscheidung über ihr Recht auf informationelle Selbstbestimmung tref- fen kann (z. B. ihre Einwilligung geben). In diesem Sinne müssen die Informationen, die be- reitgestellt werden, umfassend, korrekt und für den Nutzer eindeutig und klar sein.
80. Die Informationspflicht nach Art. 14 setzt ausserdem voraus, dass die Information ausdrück- lich bereitgestellt wird und dass der Inhaber der Datensammlung der betroffenen Person alle Informationen zukommen lässt, die für eine Bearbeitung nach dem Grundsatz von Treu und Glauben und der Verhältnismässigkeit erforderlich sind, insbesondere die Identität des Inha- bers der Datensammlung, den Zweck des Bearbeitens und die Kategorien allfälliger Daten- empfänger. 3.2.3.1. Erkennbarkeit der Datenerhebungen bei der App Once
81. Vorliegend werden die Nutzer der App Once bei der Registrierung aufgefordert, gewisse An- gaben über sich zu machen und zu bestätigen, dass sie die Datenschutzrichtlinie und die AGB der Once Dating AG zur Kenntnis genommen haben (dabei werden beide Dokumente verlinkt), sowie folgenden Aussage zuzustimmen: «Ich akzeptiere, dass Once einige meiner personenbezogenen Daten sammelt und weiterverarbeitet, um ihren Dienst bereitzustellen». In diesem Sinne ist es für die betroffenen Personen erkennbar, dass die Once Dating AG Personendaten erhebt.
82. Dass die Nutzer bei der Registrierung aufgefordert werden, Kenntnis von der Datenschutz- richtlinie und den AGB zu nehmen, kann als Zeichen einer aktiven Information der Nutzer be- treffend die im Zusammenhang mit der App Once durchgeführten Datenbearbeitungen ange- sehen werden, was mit Blick auf Art. 14 DSG und zu begrüssen ist. Es gibt jedoch keinen di- rekten Link auf die Datenschutzrichtlinie im Footer der Webseite getonce.com.77
77 Um darauf zu gelangen, muss man zuerst auf «Bedingungen» klicken, um den Link auf die «Daten- schutzbedingungen», d.h. die Datenschutzrichtlinie der Once Dating AG, zu finden.
25/44
83. Die Einhaltung des Transparenzgebots und der Informationspflicht gemäss Art. 14 DSG kann allerdings nur abschliessend bejaht werden, wenn die Informationen, die durch den Verant- wortlichen geliefert werden, angemessen sind (siehe Ziff. 79). Dies bedeutet vorliegend, dass in den Datenschutzrichtlinien und AGB der Once Dating AG angemessene Informationen über die durch die Once Dating AG durchgeführte Datenbearbeitungen inkl. Bearbeitung von besonders schützenswerten Daten und Persönlichkeitsprofilen zu finden sein müssen. Insbe- sondere müsste ersichtlich sein: welche Daten für welche Zwecke und unter welchen Bedin- gungen bearbeitet werden. In Bezug auf besonders schützenswerte Daten und Persönlich- keitsprofilen müsste ausserdem ausgeführt werden, ob und inwieweit diese bearbeitet wer- den, für welche Zwecke, durch wen und ob eine Datenbekanntgabe an Dritte stattfindet. 3.2.3.2. Erkennbarkeit der Bearbeitungszwecke und der Rahmenbedingungen der Datenbearbeitung
84. Gemäss den Nutzungsbedingungen legen diese die Hauptregeln für die Nutzung der Mobile App fest und werden «durch zusätzliche Richtlinien, die Datenschutzrichtlinie, die Cookie- Richtlinie und die häufig gestellten Fragen (FAQ) ergänzt». Die AGB beinhalten auch eine Vorrangregel, wonach im Falle eines Konflikts zwischen den verschiedenen Richtlinien der zu einer mangelnden Zugänglichkeit, Verständlichkeit und/oder Vorhersehbarkeit der Regeln führt, die AGB Vorrang vor der Datenschutzrichtlinie, der Cookie-Richtlinie und den FAQ ha- ben. Gemäss Ziff. 6 der AGB erfolgen die Datenbearbeitungen, welche die Once Dating AG in Zusammenhang mit der App Once durchführt, «zur Erfüllung eines Vertrags, bei dem das Mitglied Vertragspartei ist» und sind dazu «erforderlich». Dabei wird auf die Datenschutzricht- linie verwiesen.78
85. In der Datenschutzrichtlinie der Once Dating AG werden zuerst gewisse Bearbeitungszwecke unter Ziff. 1 («Zwecke und Rechtsgrundlage der Verarbeitungen») ohne weitere Informatio- nen über die bearbeitenden Daten angegeben: «Verwaltung und Verwendung der App und der Website», «Newsletter» und «Verwaltung der Bewerbungen». Der Zweck «Verwaltung und Verwendung der App und der Website» wird dabei mit folgenden Informationen weiter konkretisiert: 1) Den Nutzern die Verwendung der App und die Nutzung der Dienste zu erlau- ben; 2) Mit den Nutzern per E-Mail, SMS oder auf dem Postweg zu kommunizieren; 3) Die Verbesserung der Services der Once Dating AG (mit folgenden Beispielen: «Analyse von Da- ten, Forschung und Entwicklung, Aufdeckung betrügerischer Verhaltensweisen; wobei alleine auf der Grundlage einer automatisierten Verarbeitung keine Entscheidung eines Eingreifens getroffen wird».). Dabei erklärt die Once Dating AG, dass die in diesem Zusammenhang durchgeführten Datenbearbeitungen «für die Erfüllung eines Vertrages, von dem das Mitglied Vertragspartei ist, notwendig» seien. Dabei wird auch informiert, dass die Once Dating AG in Zusammenhang mit der «Verwaltung und Verwendung der App und der Website» auch «so- genannte „sensible“ Daten» bearbeitet79. Diese Datenbearbeitung erfolge aber nicht zur Erfül- lung des Vertrags, sondern mit der ausdrücklichen Einwilligung der Nutzer, «die durch Ihre Anmeldung zustande kommt.». Diese Unterscheidung oder Präzisierung wird in den AGB nicht gemacht (siehe Ziff. 84).
86. Gemäss der Once Dating AG gibt sie Daten an Dritte weiter, damit diese gewisse Datenbear- beitungen (siehe Tabelle 1) mit folgenden Bearbeitungszwecken im Auftrag der Once Dating AG durchführen: Kundensupport, Zahlungsabwicklung, Sicherheitsoperationen und Analysen für Marketingzwecke (siehe Ziff. 30 ff.). Diese Zwecke werden zwar nicht explizit in der Da- tenschutzrichtlinie angegeben, aber können, mit Ausnahme der Analysen für
78 Gemäss Ziff. 6 der AGB 79 Für genauere Informationen wird auf Ziff. 2 verwiesen «(sexuelle Ausrichtung etc. - siehe unten „Ar- ten von erhobenen personenbezogenen Daten“)».
26/44
Marketingzwecke, den allgemeinen Zwecken, welche unter Ziff. 1 der Datenschutzrichtlinie angegeben werden, subsumiert werden (siehe Tabelle 2). Somit lassen sich diese Bearbei- tungszwecke mit Ausnahme der Analysen für Marketingzwecke aus den Informationen der Datenschutzrichtlinie ableiten. Der Zweck «Analysen für Marketingzwecke» ist hingegen nicht erkennbar.
87. Die Mehrheit der durchgeführten Datenbearbeitungen stehen in engem Zusammenhang mit der Erfüllung der durch die Once Dating AG angegebenen Bearbeitungszwecke (gemäss Ziff. 30 ff.), aber nicht alle. Die Dienste der Anbieter Vonage, Airbrake und Looker scheinen zwar in Zusammenhang mit der Erfüllung von Bearbeitungszwecken zu stehen, die in der Daten- schutzrichtlinie angegeben werden, aber nicht mit den Zwecken Kundensupport, Zahlungsab- wicklung, Sicherheitsoperationen oder Analysen für Marketingzwecke. Die Reengagement- Dienste, welche durch Batch bereitgestellt werden, können hingegen unter keinen der er- wähnten Zwecken subsumiert werden (siehe Tabelle 2). Dienst (Datenbearbeiter) Bearbeitungszweck gemäss Angaben der Once Dating AG Zweck gemäss Daten- schutzrichtlinie Cloudbasierte Kundensupport- Plattform (Zendesk)
Kundensupport «Um per E-Mail, SMS oder auf dem Postweg mit Ihnen (den Nutzern) zu kommunizie- ren» Reengagement-Dienste (Batch)
Keine Subsumtion möglich. Keine Subsumtion möglich, denn die Kommunikation mit den Kunden erfolgt nicht per E-Mail, SMS oder Postweg, sondern mittels Handybenach- richtigung. Online Bezahldienst (Paypal, Stipe) Zahlungsabwicklung «Um die Verwendung der App und die Nutzung der Dienste zu erlauben» Videochats zwischen Nutzern (Vonage) - «Um die Verwendung der App und die Nutzung der Dienste zu erlauben» Bildanalyse zur Moderation (Sightengine) Sicherheitsoperationen «Um unseren Service zu verbessern (nämlich: Analyse von Daten, Forschung und Entwicklung, Aufdeckung be- trügerischer Verhaltenswei- sen); wobei alleine auf der Grundlage einer automatisier- ten Verarbeitung keine Ent- scheidung eines Eingreifens getroffen wird» Überprüfung von Rufnummern (Telesign) Werkzeug zur Verwaltung von Protokollen (Logentries)
27/44
Crash-Reporting-Werkzeug (Airbrake)
- «Um unseren Service zu verbessern (nämlich: Ana- lyse von Daten, Forschung und Entwicklung, Aufde- ckung betrügerischer Verhal- tensweisen); wobei alleine auf der Grundlage einer automati- sierten Verarbeitung keine Entscheidung eines Eingrei- fens getroffen wird» Visualisiert die wichtigsten Da- ten, um sie zu analysieren, Be- richte zu erstellen und Ent- scheidungen zu treffen (Loo- ker) App-Analytik (Google Analytics und Firebase; Facebook) Analysen für Marketingzwecke Keine Subsumtion möglich, denn die Analyse steht nicht im Zusammenhang mit der Verbesserung der Services, sondern dient Marketingzwe- cken. Analytik und Werkzeug zur At- tributionserkennung (Adjust) Tabelle 2
88. Unter Ziff. 2 der Datenschutzrichtlinie («Arten von erhobenen personenbezogenen Daten») wird präzisiert, welche Daten im Zusammenhang mit den bereits unter Ziff. 1 ausgeführten Zwecken bearbeitet werden. Im Zusammenhang mit der «Verwaltung und Verwendung der App und der Website» wird zwischen Daten, die durch die Nutzer bereitgestellt werden müs- sen, um die App nutzen zu können (Pflichtangaben), und Daten, welche freiwillig durch die Nutzer bereitgestellt werden, differenziert. Unter den Pflichtangaben wird die sexuelle Orien- tierung als «sensibel» (besonders schützenswertes Datum) gekennzeichnet. Unter den frei- willigen Angaben werden die Informationen «über ethnische Herkunft, Religion, ethnische/re- ligiöse Vorlieben beim Dating, politische Einstellung» als sensibel gekennzeichnet.
Abbildung 5: Auszug aus der Datenschutzrichtlinie
28/44
89. Die verwendete Struktur des Absatzes mit Aufzählungszeichen gibt zu verstehen, dass alle Angaben, welche nach dem Satz «Von Once erhobene freiwillige personenbezogene Anga- ben» aufgeführt sind, mit freiwilliger Zustimmung der Nutzerinnen und Nutzer von der Once Dating AG erhoben werden (siehe Abbildung 5). Allerdings gehört zumindest ein Teil davon zu den erforderlichen Angaben. In diesem Zusammenhang wird erläutert, dass die Once Da- ting AG Informationen bei ihren Interaktionen mit Kunden im Rahmen der Kundenbetreuung sammelt und diese zu Trainingszwecken und Qualitätssicherung überwacht oder aufzeichnet. Auch in diesem Zusammenhang wird mitgeteilt, dass die Once Dating AG Daten über die Ak- tivität der Nutzer auf der Website und der App erfasst. Diese Datenbearbeitung betreffe alle durch die Nutzer via Website oder App realisierten Aktionen, Verbindungen, Verbindungszei- ten sowie die gesamten Interaktionen mit anderen Nutzern. Dabei wird allerdings nicht präzi- siert, für welche Zwecke diese Informationen verwendet werden, sondern lediglich mitgeteilt, dass sie erhoben werden.
90. Ausserdem wird dabei informiert, dass die Once Dating AG Daten über die Endgeräte der Nutzer erhebt. Als Angaben, die im Zusammenhang mit den Endgeräten der Nutzer erhoben werden, werden die Modelle sowie Version des Betriebssystems erwähnt, und als Zweck für deren Bearbeitung wird die Verbesserung der mobilen Anwendungen angegeben. Wie wir allerdings feststellen konnten, bearbeitet die Once Dating AG neben diesen Informationen auch die u-id (siehe Ziff. 31) für verschiedene Zwecke und gibt die Werbe-ID der Nutzer (IDFA für iOS, GPS-ADID für Android) an Dritte bekannt, welche diese wiederum an weitere Dritte weitergeben, welche sie für Werbezwecke bearbeiten (siehe Ziff. 34). Auch dabei wird angedeutet, dass die Once Dating AG Daten im Rahmen von Markterhebungen sammelt, ohne allerdings anzugeben, welche Daten dabei bearbeitet werden.
91. Im Zusammenhang mit dem Bearbeitungszweck «Newsletter» wird Folgendes erläutert: «Da- mit wir Ihnen unsere Newsletter zukommen lassen können, wird von Once die von Ihnen mit- geteilte E-Mail-Adresse erfasst und verarbeitet. Dem Nutzer steht es frei, diese nicht bekannt zu geben. Die Mitteilung Ihrer E-Mail-Adresse ist zwingend erforderlich, wenn Sie die Newsletter von Once erhalten möchten.» Diese Information widerspricht zum Teil dem Inhalt der AGB, wonach die Nutzer bei der Anmeldung eine Einwilligung zum Versand von Newslet- tern erteilen: «Newsletter: Bei der Anmeldung für die App stimmt das Mitglied dem Empfang eines Newsletters von ONCE zu. Per Klick auf den Abmeldelink unten in jeder E-Mail von ONCE können die Mitglieder jederzeit von ihrem Widerspruchsrecht Gebrauch machen und den Newsletter abbestellen.». In diesem Zusammenhang stellen wir fest, dass die Nutzer nicht angemessen informiert werden, dass mit der Registrierung eine Einwilligung zum Ver- sand des Newsletters erteilt wird.80
92. Aus den oben genannten Gründen erlaubt die Struktur des Textes der Datenschutzrichtlinie und zum Teil auch der Inhalt ihrer einzelnen Punkte den Nutzern nicht, sich einen Überblick über die tatsächlich durchgeführten Datenbearbeitungen zu verschaffen. Darum erachten wir die Informationen in der Datenschutzrichtlinie als ungenügend hinsichtlich des Transparenz- gebots nach Art. 4 Abs. 4 DSG. In Bezug auf die Bearbeitungsbedingungen wird die Kennt- nisnahme der datenschutzrelevanten Informationen erschwert durch die Tatsache, dass ei- nige Informationen in den AGB nicht mit der Datenschutzrichtlinie (siehe z.B. Ziff. 84 und 91) oder den FAQ (siehe Ziff. 45) übereinstimmen. Darüber hinaus wird die Kenntnisnahme auch dadurch erschwert, dass in den AGB und in der Datenschutzrichtlinie auf unterschiedliche
80 Unter Ziff. 2 wird auch erläutert, inwieweit die Once Dating AG Daten in Zusammenhang mit Bewer- bungen bearbeitet. Da diese Datenbearbeitung nicht die Nutzer der App Once betrifft, sondern den Anstellungsprozess, ist diese nicht Gegenstand unserer Sachverhaltsabklärung.
29/44
Gesetze verwiesen wird81, jedoch nicht auf das DSG, obschon es auf die Datenbearbeitun- gen der Once Dating AG anwendbar ist. Eine unmissverständliche Information über die für die Anbieterin geltende Datenschutzgesetzgebung ist unerlässlich, um den Nutzern zu er- möglichen, ihre Rechtsansprüche zu kennen und durchzusetzen. 3.2.3.3. Information über die Kategorien der Datenempfänger
93. Unter Umständen gehört die Information über die Datenempfänger zu den minimalen Anga- ben, welche erforderlich sind, um einer Datenbearbeitung Transparenz zu gewähren. Wenn es um die Datenbekanntgabe von besonders schützenswerten Personendaten oder Persön- lichkeitsprofilgen geht, ist die Kategorie der Empfänger sogar eine Pflichtangabe gemäss Art. 14a DSG.
94. Die Datenschutzrichtlinie der Once Dating AG enthält Informationen zu den Kategorien von Datenempfängern, ohne die übermittelten Daten näher zu erläutern. Unter Ziff. 4 der Daten- schutzrichtlinie wird angegeben, dass grundsätzlich die «Mitglieder von Once», also die re- gistrierten Nutzer, sowie «Dienstleister der Once Dating AG», die Empfänger der Daten sind, welche die Once Dating AG bearbeitet. Im Fall einer Fusion, Verkauf, Auflösung usw. erklärt die Once Dating AG ausserdem, dass Daten an andere Gesellschaften weitergegeben könn- ten. Zudem behält sich die Once Dating AG das Recht vor, Personendaten bekanntzugeben, wenn dies gesetzlich, gerichtlich oder behördlich vorgeschrieben ist, oder wenn dies zum Nachweis oder zur Ausübung der Rechte der Once Dating AG, ihrer Mitarbeitenden oder sonstiger Personen erforderlich scheint.
95. Gemäss unserer Abklärung behalten sich einige Dienstleister der Once Dating AG das Recht vor, die ihnen durch die Once Dating AG bereitgestellten Daten zu eigenen Zwecken zu nut- zen. Diese sind: Facebook, Google, Sendgrid, Looker, Vonage und Paypal. (siehe Ziff. 35). Dies bedeutet, dass die Once Dating AG Daten an Dritte bekanntgibt, die diese nicht nur in ihrem Auftrag bearbeiten, sondern zum Teil auch in eigener Verantwortung.
96. Aufgrund der Tatsache, dass diese Empfänger die Daten nicht ausschliesslich im Auftrag der Once Dating AG bearbeiten, ist der Begriff «Dienstleister der Once» nicht zutreffend, um diese Kategorie von Datenempfängern zu beschreiben. Immer wenn die Empfänger Perso- nendaten in eigener Verantwortung bearbeiten, gelten diese als Dritte, nicht aber als reine Dienstleister bzw. Auftragnehmer.
97. Da die Informationen in der Datenschutzrichtlinie keine Hinweise über die Bekanntgabe von Personendaten an Dritte, die Personendaten im eigenen Interesse und unter eigener Verant- wortung bearbeiten, enthalten, erachten wir diese als unvollständig. Dies stellt einen Mangel hinsichtlich der Informationspflicht der Once Dating AG gegenüber ihren Nutzern dar. In der Datenschutzrichtlinie müsste diese Datenbekanntgabe an Dritte inkl. Bearbeitungszweck er- läutert werden. 3.2.3.4. Erkennbarkeit der verwendeten Garantien für die Übermittlung von Daten ins Ausland
98. Da uns die Once Dating AG am 9. April 2021 mitteilte, dass sie die Kanzlei
beauftragt hat, ihre Datenbearbeitungsaktivitäten zu analysieren und ihre
81 In den AGB wird auf das Gesetz Nr. 78-17 vom 6. Januar 1978 in der durch das französische Datenschutzge- setz Nr. 2004-801 vom 6. August 2004 abgeänderten Fassung verwiesen; in der Datenschutzrichtlinie wird auf die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten Nr. 2016/679 vom 27. April 2016 («DSGVO») verwiesen.
30/44
Datenschutz-Policies gemäss dem revidierten DSG anzupassen, gehen wir davon aus, dass die Datenschutzrichtlinie der Once Dating AG im Hinblick auf die Ausweitung der Informati- onspflicht gemäss dem neuen Gesetz überarbeitet werden soll. In diesem Zusammenhang weisen wir darauf hin, dass die Informationspflicht gemäss Art. 19 nDSG auch die Information über die verwendeten Garantien für die Datenübermittlung ins Ausland umfasst und eine all- gemeine Aussage zu der Verwendung von Standardvertragsklauseln oder anderen «geeigne- ten Schutzklausen» nicht genügt, um diese zu erfüllen. Gemäss dem Erwägungsgrund 4 der neuen europäischen Standardvertragsklauseln «muss diese Information einen Verweis auf die angemessenen Garantien und die Möglichkeiten, wie eine Kopie von ihnen eingeholt wer- den kann, oder wo sie verfügbar sind, umfassen.»82. 3.2.3.5. Schlussfolgerung
99. Zusammenfassend lässt sich feststellen, dass die Informationen, welche die Once Dating AG ihren Nutzern zur Verfügung stellt, nicht angemessen sind. Die Reengagement-Dienste, wel- che durch Batch bereitgestellt werden, können unter keinen der in der Datenschutzrichtlinie dargestellten Zwecke subsumiert werden, und der Zweck «Analysen für Marketingzwecke» ist in dieser auch nicht erkennbar. Ausserdem geht aus der missverständlichen Struktur und zum Teil aus dem Inhalt der einzelnen Punkte nicht klar hervor, was die tatsächlich durchge- führten Datenbearbeitungen sind. Hinsichtlich der Datenbearbeitung in Zusammenhang mit dem Newsletter wird die Kenntnisnahme der datenschutzrelevanten Informationen erschwert durch die Tatsache, dass einige Informationen in den AGB nicht mit der Datenschutzrichtlinie übereinstimmen. Darüber hinaus wird die Kenntnisnahme auch dadurch erschwert, dass in den AGB und in der Datenschutzrichtlinie auf unterschiedliche Gesetze verwiesen wird und das DSG gänzlich unerwähnt bleibt, obschon es für die Datenbearbeitungen der Once Dating AG eigentlich gilt. Ausserdem enthält die Datenschutzrichtlinie keine Informationen über die Datenbekanntgabe an Dritte, die nicht als Dienstleister der Once Dating AG handeln, sondern Personendaten für eigene Zwecke bearbeiten. 100. Dies stellt eine Verletzung des Transparenzgrundsatzes (Art. 4 Abs. 4 DSG) dar, die zu einer Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG führt. Wenn kein Recht- fertigungsgrund vorliegt, ist diese Persönlichkeitsverletzung widerrechtlich. 3.3. Löschkonzept und Löschmöglichkeiten der Nutzer 3.3.1. Grundsatz der Rechtmässigkeit (Art. 4 Abs. 1), von Treu und Glauben und der Ver- hältnismässigkeit (Art. 4 Abs. 2 DSG) 3.3.1.1. Möglichkeit Personendaten auf Verlangen zu löschen (Art. 12 Abs. 2 lit. b DSG) 101. Angesichts der Sensibilität der auf der App Once bearbeitenden Daten sowie der Tat- sache, dass die Daten gemäss der Datenschutzrichtlinie und den Angaben der Once Dating AG in dieser Sachverhaltsabklärung gestützt auf die Einwilligung der betroffenen Person be- arbeitet werden, ist es unabdingbar, dass die Nutzer der App Once eindeutig auf ihre Löschmöglichkeiten hingewiesen werden und jederzeit die umgehende Löschung ihrer Per- sonendaten bzw. ihres Profils verlangen können. Aufgrund des Grundsatzes von Treu und
82 Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäi- schen Parlaments und des Rates
31/44
Glauben soll jeder Nutzer und Nutzerin dies auf einfacher Weise verlangen können. Das heisst, es darf nicht schwieriger sein, eine Einwilligung zurückzuziehen und die Löschung der eigenen Daten zu verlangen, als eine Einwilligung abzugeben und ein Konto bei Once Dating AG zu erstellen. Gemäss Art. 12 Abs. 2 lit. b DSG darf die Once Dating AG ausserdem keine Personendaten bearbeiten ohne Rechtfertigungsgrund, wenn die betroffene Person aus- drücklichen Widerspruch zur Datenbearbeitung eingelegt hat. 102. Gemäss der Once Dating AG haben die Nutzer der App Once die Möglichkeiten, die in Ziff. 2.3.2 der Sachverhaltsfeststellung erläutert werden, um die Löschung ihrer Daten zu verlangen: ein Löschbegehren per E-Mail, per Brief oder über den in-App Kontaktkanal einzu- reichen. Die Löschbegehren erfolgen gemäss Löschprozess in automatisierter Form grund- sätzlich innert 24 Stunden nach dem Eingang des Löschbegehrens, mit Ausnahme des Fal- les, dass ein Nutzer mit betrügerischem Verhalten auf der App identifiziert und bereits blo- ckiert wurde. 103. Aus den oben genannten Gründen ist es zu begrüssen, dass die Nutzer die Löschung ihrer Daten verlangen können und dass die Once Dating AG einen Prozess hat, um Löschbe- gehren umgehend zu bearbeiten. Es ist auch positiv, dass den Nutzern verschiedene Kom- munikationskanäle zur Verfügung stehen, um ihr Löschbegehren einzureichen (per E-Mail, per Brief oder über den in-App Kontaktkanal), wobei die Zugänglichkeit der in-App Löschmöglichkeit (siehe Ziff. 42) verbessert werden könnte. 3.3.1.2. Information über die verfügbaren Löschmöglichkeiten 104. Ein weiterer wichtiger Punkt ist die Information über die verfügbaren Löschmöglichkei- ten, die den Nutzern bereitgestellt werden. Insgesamt lässt sich nach unserer Abklärung fest- stellen, dass die Nutzer der Once App nicht angemessen über ihre Löschungsmöglichkeiten durch die Once Dating AG informiert werden. Einerseits, weil die den Nutzern zur Verfügung gestellten Informationen diesbezüglich erhebliche Ungenauigkeiten aufweisen und anderer- seits, weil diese nicht oder nicht genügend die verfügbaren Löschmöglichkeiten erläutern. 105. Erstens stimmen die Informationen auf der Datenschutzrichtlinie betreffend die Bear- beitung von Löschbegehren mit der aktuellen Praxis der Once Dating AG nicht überein: ge- mäss der Datenschutzrichtlinie müssen Löschbegehren per E-Mail an die Adresse dpo@ge- tonce.com mit einer Kopie des Ausweises eingereicht werden. Diese sollten durch die Once Dating AG anschliessend innerhalb von 2 Monaten bearbeitet werden, es sei denn, die An- frage stellt sich «als deutlich unbegründet oder über das Maß hinausgehend» heraus. Zwei- tens werden die Möglichkeiten, das Löschbegehren per Brief oder über den im App-Kontakt- kanal einzureichen, in der Datenschutzrichtlinie nicht erläutert. Die Möglichkeit, das Löschbe- gehren per Brief einzureichen, wird lediglich in den AGB erwähnt. Die Möglichkeit, ein Lösch- begehren über den Kontaktkanal in der App einzureichen, wird weder in den AGB noch in der Datenschutzrichtlinie der Once Dating AG erwähnt, und die FAQ klärt darüber auch nicht wei- ter auf. Diese Diskrepanzen zwischen den verschiedenen Dokumenten macht die Information zu den gewährten Löschmöglichkeiten derart unübersichtlich, dass es einem durchschnittli- chen Nutzer nicht möglich ist, Kenntnis von den verfügbaren Löschungsoptionen zu nehmen. 106. Ausserdem enthält die Datenschutzrichtlinie folgenden Satz, welcher unter dem Ge- sichtspunkt von Treu und Glauben problematisch ist, da er die Nutzerinnen und Nutzer von der Ausübung deren Rechte möglicherweise abhalten könnte: «[s]ollten sich die Anfragen ei- nes Mitglieds als deutlich unbegründet oder über das Maß hinausgehend herausstellen (ins- besondere aufgrund ihres sich wiederholenden Charakters), ist Once berechtigt, i) angemes- sene Aufwendungen geltend zu machen, die den Verwaltungskosten für die Bereitstellung der Informationen, den Kommunikationsaufbau oder das Ergreifen der angefragten Maßnah- men Rechnung tragen, oder ii) sich weigern, diesen Anträgen Folge zu leisten.». (Siehe Ziff. 44).
32/44
107. Zu möglichen Kostenfolgen eines Begehrens muss zwischen dem Auskunftsrecht und anderen Betroffenenrechten differenziert werden. Das Gesetz sieht zwar die Möglichkeit ei- ner Erhebung von Kosten für die Bereitstellung von Auskünften gemäss Art. 8 DSG vor, um unverhältnismässige Aufwände auszugleichen, nicht aber für die Bearbeitung anderer Daten- schutzbegehren. Zudem erlaubt auch Art. 8 DSG nicht ohne Weiteres, dass sich ein Verant- wortlicher weigert, einem Datenschutzbegehren Folge zu leisten. Ausserdem muss ein Löschbegehren immer berücksichtigt werden, wenn die Weiterbearbeitung der Daten ohne Rechtfertigungsgrund erfolgen würde. Daher ist ein genereller Hinweis, wonach Begehren nicht berücksichtigt werden, unter diesem Aspekt nicht zulässig. 108. Angesichts der Tatsache, dass sich die Datenbearbeitungen der Once Dating AG auf die Einwilligung der Nutzer stützen, stellt dieser Mangel an Übersichtlichkeit der Informatio- nen über die verfügbaren Löschmöglichkeiten und der oben erwähnte Hinweis auf die Mög- lichkeit, dass die Once Dating AG «angemessene Aufwendungen geltend zu machen» könnte, einen Verstoss gegen den Grundsatz der Treu und Glauben dar. 3.3.1.3. Automatische Löschung von Personendaten bei Inaktivität 109. Das Ziel der App Once ist es, mittels Matching-Algorithmus Menschen zu verbinden, die eine Beziehung mit einer anderen Person eingehen möchten. Mit dieser Erwartung ver- trauen die Nutzerinnen und Nutzer der App Once der Once Dating AG die Bearbeitung ihrer persönlichen Daten an. Im Hinblick auf den Grundsatz der Datenbearbeitung nach Treu und Glauben und den Grundsatz der Datenrichtigkeit ist die Once Dating AG verpflichtet, ange- messene Massnahmen zu treffen, um sich darüber zu vergewissern, dass die Personenda- ten, die sie in diesem Zusammenhang erhebt und bearbeitet, Personen betreffen, die tat- sächlich eine Beziehung mit einer anderen Person eingehen möchten. Im Rahmen der Part- nervermittlung folgt daraus, dass die Once Dating AG nicht nur eine Pflicht hat, die registrie- renden Nutzer zu prüfen und betrügerisches Verhalten von aktiven Nutzern regelmässig zu kontrollieren, sondern auch zumutbare Massnahmen zu treffen, um sicherzustellen, dass der Datenbestand möglichst aktuell bleibt. 110. Die Once Dating AG implementiert Massnahmen zur Verifikation der registrierten Nut- zerinnen und Nutzer und zur Identifikation und Bekämpfung von auffälligem Missbrauch (mehr dazu unter 3.5.1.1). Ausserdem führt sie beim Matchmaking eine De-Priorisierung der Profile von Nutzenden durch, die für eine lange Zeit die App nicht mehr genutzt haben. Nut- zende, die seit mehr als 30 Tagen die App nicht genutzt haben, werden in der Datenbank der Once Dating AG inaktiv. Dies entspricht aber nicht einer Deaktivierung des Kontos (siehe Ziff. 41), sondern hat lediglich zur Folge, dass die Nutzerinnen und Nutzer keine Kommunikation (E-Mail, Benachrichtigungen) mehr von der Once Dating AG erhalten, aus ihrer Mailingliste gelöscht und nicht mehr für User Experience Umfragen und Fokusgruppen ausgewählt wer- den (siehe Ziff. 48). Die inaktiven Nutzerinnen und Nutzer bleiben jedoch in der Datenbank der Once Dating AG gespeichert und können theoretisch weiterhin von anderen Nutzenden angesehen werden, bis sie aktiv die Deaktivierung oder die Löschung der Daten verlangen. 111. Die Once Dating AG weiss, welche Nutzerinnen und Nutzer aktiv oder inaktiv sind und kann deshalb nicht in gutem Glauben deren persönliche Daten auf unbestimmte Zeit bearbei- ten. Die De-Priorisierung ist zwar eine wichtige Massnahme, um die Bearbeitung von Daten von inaktiven Nutzerinnen und Nutzern zu minimieren. Angesichts der Sensibilität der Daten, und da allein die Information, dass eine Person ein Konto bei einer Dating-Anwendung hat, Rückschlüsse auf die Intimsphäre einer Person zulässt, erachten wir als notwendig, dass die Once Dating AG weitergehende Massnahmen ergreift, um sich zu vergewissern, dass sie die Personendaten von inaktiven Nutzerinnen und Nutzern nach Treu und Glaube weiterhin bear- beiten darf. 112. Bei längerer Inaktivität der Nutzerinnen und Nutzer kann nicht mehr davon ausgegan- gen werden, dass diese noch an der Vermittlung eines Partners oder eine Partnerin
33/44
interessiert sind, weshalb eine Weiterbearbeitung zu diesem Zweck unverhältnismässig ist. Aufgrund der fehlenden Übersichtlichkeit der Optionen für die Einreichung eines Löschbegeh- rens kann ausserdem nicht ausgeschlossen werden, dass Personen ihr Konto einzig aus dem Grund nicht löschen, dass sie nicht wissen, wie sie diese Löschung veranlassen kön- nen, die App aber tatsächlich nicht mehr nutzen und deshalb als inaktive Nutzenden gelten. 113. Der Grundsatz der Verhältnismässigkeit verlangt von der Once Dating AG, dass sie keine Personendaten bearbeitet, welche zur Erreichung der Bearbeitungszwecke nicht mehr notwendig sind. Auch wenn die Once Dating AG die Daten von inaktiven Nutzenden nicht mehr aktiv für die Partnervermittlung bearbeitet, speichert sie die Daten weiter, obwohl sie diese nicht mehr benötigt. Diese zeitlich unbeschränkte Bearbeitung der Daten von inaktiven Nutzern durch die Once Dating AG verletzt deshalb den Grundsatz der Treu und Glauben und der Verhältnismässigkeit. 3.3.1.4. Löschung von Personendaten, deren Bearbeitung ausgelagert wurde 114. Der Löschprozess der Once Dating AG, welcher in Ziff. 46 beschrieben wird, beinhal- tet nicht die Daten, welche durch Auftragnehmer bearbeitet werden. Dies bedeutet, dass die Once Dating AG bei einem Löschbegehren zwar diejenigen Daten löscht, die bei ihr gespei- chert sind, aber nicht unbedingt diejenigen, deren Bearbeitung an Datenbearbeiter ausgela- gert wurde. Diesbezüglich hat sie keinen proaktiven Prozess. Folglich bleiben gewisse Perso- nendaten bei den Auftragsbearbeitern der Once Dating AG gespeichert. 115. Art. 10a Abs. 1 lit. a DSG sieht aber vor, dass der Auftragnehmer die Daten nur so be- arbeiten darf, wie der Auftraggeber selbst es tun dürfte. Dies bedeutet, dass dieser keine Da- ten weiterbearbeiten darf, die eine Person betreffen, welche die Löschung ihrer Daten beim Inhaber der Datensammlung verlangt hat. Die Once Dating AG ist aufgrund des Bearbei- tungsgrundsatzes der Rechtmässigkeit und der Verhältnismässigkeit verpflichtet, für die Lö- schung dieser Daten zu sorgen, auch wenn sie Dritte (Auftragsdatenbearbeiter) mit deren Be- arbeitung beauftragt hat. Zum Beispiel, indem sie das Begehren an den Dritten zur Erledi- gung weiterleitet, wenn sie nicht selbst in der Lage ist, die Löschung zu veranlassen. 116. Es verstösst gegen die Grundsätze der Rechtmässigkeit und der Verhältnismässig- keit, wenn die Auftragnehmer der Once Dating AG in ihrem Auftrag Daten, deren Löschung der Nutzer oder die Nutzerin ausdrücklich verlangt hat bzw. die nicht mehr benötigt werden, weiterbearbeiten. 3.3.1.5. Schlussfolgerung 117. Das Verfahren zur Bearbeitung von Löschbegehren ist insofern mit dem Grundsatz der Verhältnismässigkeit, Rechtmässigkeit und Treu und Glauben zu vereinbaren, als die Once Dating AG Löschbegehren und über verschiedenen unkomplizierten Kanälen erhält und diese in kurzer Zeit (24 Stunden) bearbeitet. Hingegen wird dem Grundsatz von Treu und Glauben nicht genügend getan hinsichtlich der Qualität der Informationen über die Löschmöglichkeiten, die den Nutzerinnen und Nutzern bereitgestellt werden sowie der Zu- gänglichkeit der In-App Kontaktoption, die u.E. nicht ausreichend erkennbar ist. Aufgrund der fehlenden Übersichtlichkeit der Optionen für die Einreichung eines Löschbegehrens ist nicht auszuschliessen, dass Personen, die ihr Konto löschen wollten, aber nicht wissen, wie genau dies verlangt werden kann, kein Löschbegehren einreichen, aber die App nicht mehr nutzen und als inaktive Nutzenden gelten. Die Once Dating AG bearbeitet deren Daten nicht mehr aktiv, aber speichert sie weiter, obwohl sie diese nicht mehr benötigt, was einen Verstoss ge- gen den Grundsatz der Verhältnismässigkeit darstellt. In diesem Sinne und vor dem Hinter- grund, dass die Information, dass eine Person ein Profil in einer Dating-App hat, unter Um- ständen auch Rückschlüsse über ihre Intimsphäre erlaubt, müsste die Once Dating AG auch eine maximale Aufbewahrungsfrist für inaktive Konten festlegen.
34/44
118. Angesichts der Tatsache, dass die Once Dating AG keinen aktiven Prozess hat, um sicherzustellen, dass die Daten, die von den Löschbegehren betroffen sind, aber von Auf- tragsbearbeitern der Once Dating AG bearbeitet werden, ebenfalls gelöscht werden, erfolgt die weitere Bearbeitung dieser Daten unter Missachtung des Grundsatzes der Rechtmässig- keit, der Verhältnismässigkeit und der Treu und Glaube. Ausserdem ist es nicht auszuschlies- sen, dass die Daten, die gelöscht werden sollten, die aber durch Auftragnehmer bearbeitet werden, weiterhin bei diesen vorhanden sind. Dies stellt einen Verstoss gegen den Grund- satz der Rechtmässigkeit, der Treu und Glaube und der Verhältnismässigkeit dar. Dies führt zu einer Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG. Dementsprechend muss die Once Dating AG die Personendaten von inaktiven Konten in ihren Löschungsprozess in- tegrieren, um diese von sich aus zu löschen, soweit eine Weiterbearbeitung nicht zu anderen Zwecken notwendig ist oder eine Weiterbearbeitung aus anderen Gründen nicht gerechtfer- tigt werden könnte. 3.4. Datenweitergabe an «Dienstleister» 3.4.1. Anforderungen an einer Auftragsdatenbearbeitung (Art. 10a DSG) 119. Gemäss Art. 10a DSG darf ein Verantwortlicher die Bearbeitung von Personendaten einem Dritten (Auftragnehmer) übertragen. Eine Auftragsbearbeitung i.S.v. Art. 10a DSG setzt die Erfüllung bestimmter Anforderungen voraus: Der Dritte darf die Daten nur so verar- beitet, wie es der Verantwortliche selbst tun dürfte, es gibt keine gesetzlichen oder vertragli- chen Geheimhaltungspflichten, die einer Auslagerung dieser Datenbearbeitung entgegenste- hen, und der Verantwortliche stellt sicher, dass der Dritte die Sicherheit der Daten gewähr- leistet. 120. Wer einem Dritten den Auftrag zur Datenbearbeitung gibt, muss dafür sorgen, dass dieser die datenschutzrechtlichen Schranken in gleicher Weise beachtet, wie er es selbst tun müsste. Dies gilt für jegliche Bearbeitungsart, von der Erhebung bis zur allfälligen Weitergabe der Daten. Bei der Übertragung der Bearbeitung an einen Dritten muss der Auftraggeber in Analogie zu Art. 55 des Bundesgesetzes über das Obligationenrecht alle gebotene Sorgfalt aufwenden, um Verstösse gegen das Datenschutzgesetz zu verhindern. Das betrifft insbe- sondere die Einhaltung der allgemeinen Grundsätze, der Regeln betreffend die Datensicher- heit, sowie der Regeln betreffend die Bekanntgabe ins Ausland. Er ist daher verpflichtet, sei- nen Auftragsbearbeiter sorgfältig auszuwählen, ihn angemessen zu instruieren und soweit als nötig zu überwachen (BBl 1988 II 413, S. 463). 121. Die Aufführung von Art. 12 Abs. 2 DSG ist nicht abschliessend, sondern nur exempla- risch. Eine Persönlichkeitsverletzung kann demnach auch vorliegen, wenn andere Daten- schutzvorgaben nicht eingehalten werden. So ist beispielsweise von einer widerrechtlichen Persönlichkeitsverletzung auszugehen, wenn die Anforderungen an einer Auftragsbearbei- tung von Art. 10a DSG nicht eingehalten werden. Sind diese Bedingungen nicht gegeben, dann darf der Verantwortliche die dafür geltende Privilegierung für Auftragsbearbeitungen nicht für sich in Anspruch nehmen. Dies bedeutet, die Datenbekanntgabe an den Dritten muss gemäss Art. 13 DSG gerechtfertigt werden, sonst wird die Persönlichkeit der betroffe- nen Personen widerrechtlich verletzt. 3.4.2. Einhaltung der Anforderungen nach Art. 10a DSG 122. Die Dienstleister, die in der Datenschutzrichtlinie der Once Dating AG als Datenemp- fänger erwähnt werden, sind in erster Linie Auftragnehmer der Once Dating AG, denn sie übertragt ihnen gewisse Personendaten, damit sie diesen für die von ihr festgelegten Zwecke bearbeiten. In diesem Sinne ist die Once Dating AG gemäss Art. 10a DSG verpflichtet, ihre Dienstleister sorgfältig auszuwählen und so zu instruieren und zu überwachen, dass sie die
35/44
Daten nur weisungsgemäss bearbeiten und auch die Datenschutzbestimmungen insbeson- dere hinsichtlich Datensicherheit und Übermittlung ins Ausland einhalten. Werden die Anfor- derungen von Art. 10a DSG nicht eingehalten, gilt diese Übertragung als eine Datenbekannt- gabe an Dritte, für die der Verantwortliche die für Auftragsbearbeitung geltende Privilegierung nicht für sich in Anspruch nehmen kann, so dass sie gerechtfertigt werden muss. Kann sie nicht gerechtfertigt werden, wird die Persönlichkeit der betroffenen Personen widerrechtlich verletzt. 123. Die Verträge bzw. Vereinbarungen zwischen der Once Dating AG und ihren Dienst- leistern sind nicht Gegenstand der vorliegenden Abklärung. Darum verzichten wir darauf zu prüfen, ob diese tatsächlich den Anforderungen an einer Auftragsdatenbearbeitung nach Art. 10a DSG genügen. Wir konnten allerdings im Rahmen unserer Abklärung zwei Mängel in Zu- sammenhang mit der Auslagerung von Personendaten durch die Once Dating AG an ihren Dienstleister feststellen. 3.4.2.1. Übermittlung ins Ausland 124. Erstens konnten wir feststellen, dass alle Auftragsdatenbearbeiter der Once Dating AG Daten in Drittländern bearbeiten und nicht nur AWS, wie die Once Dating AG in ihrer Ant- wort auf unsere Fragen angegeben hat (siehe Ziff. 36 ff.). Die Einhaltung der Vorgaben von Art. 6 DSG durch die Auftragnehmer der Once Dating AG steht ausserhalb des Rahmens die- ser Abklärung. Wie bereits unter Ziff. 119 ausgeführt, ist die Once Dating AG als Auftragge- berin aber verpflichtet, sorgfältig zu prüfen, ob ihre Auftragnehmer die Datenschutzvorgaben einhalten und trägt die Verantwortung für die Einhaltung der Regeln betreffend Datenüber- mittlung ins Ausland, wenn diese Datenbekanntgabe in Rahmen einer Auftragsdatenbearbei- tung erfolgt. 125. Unabhängig von der Frage, ob die von den Dienstleistern in ihren jeweiligen Daten- schutzerklärungen im Zusammenhang mit der Datenübermittlung ins Ausland erwähnten Si- cherheitsvorkehrungen (siehe Ziff. 39) die Anforderungen von Art. 6 DSG tatsächlich erfüllen, kommen wir aufgrund der Tatsache, dass die Once Dating AG in ihrer Antwort nur AWS er- wähnt hat, zu dem Schluss, dass sie ihre Dienstleister in dieser Hinsicht nicht angemessen überprüft und keine besonderen Vorkehrungen getroffen hat um sicherzustellen, dass die von ihren Dienstleistern in Drittländer übermittelten Daten angemessen geschützt bleiben. In die- sem Sinne ist davon auszugehen, dass die Once Dating AG nicht genügend getan hat, um sicherzustellen, dass ihre Auftragnehmer die Regeln betreffend Datenübermittlung ins Aus- land einhalten. Somit hat sie die Anforderungen von Art. 10a DSG nicht eingehalten und könnte zugleich selbst Art. 6 DSG verletzt haben. 3.4.2.2. Bearbeitung von Personendaten für Zwecke Dritter 126. Zweitens stellten wir fest, dass einige Dienstleister der Once Dating AG Personenda- ten nicht nur nach der Weisung der Auftraggeberin Once Dating AG, sondern auch für eigene Zwecke bearbeiten. Dies verstösst gegen den Grundsatz der Zweckbindung und steht der Natur einer Auftragsdatenbearbeitung entgegen. Immer, wenn Datenbearbeiter Personenda- ten, die sie von Auftraggeber erhalten, für eigene Zwecke bearbeiten, gilt dies als eine Daten- bekanntgabe an Dritte, für die der Verantwortliche die für Auftragsbearbeitung geltende Privi- legierung nicht für sich in Anspruch nehmen kann, so dass sie gerechtfertigt werden muss. 3.4.3. Schlussfolgerung 127. Gemäss unserer Abklärung bearbeiten alle Auftragnehmer entgegen ihrer Angaben Personendaten in Drittländern ohne angemessenes Datenschutzniveau und manche bearbei- ten Personendaten für eigene Zwecke. Die Once Dating AG hat nicht sichergestellt, dass ihre Auftragnehmer die Daten nur weisungsgemäss bearbeiten. Da die Anforderungen an einer
36/44
Auftragsbearbeitung von Art. 10a DSG nicht eingehalten werden, muss die Once Dating AG diese Datenbekanntgabe an Dritte gemäss Art. 13 DSG rechtfertigen, sonst wird die Persön- lichkeit der betroffenen Personen gemäss Art. 12 Abs. 1 DSG widerrechtlich verletzt. Sie trägt ausserdem die Verantwortung für die Einhaltung von Art. 6 DSG, wenn die Datenübermittlung ins Ausland in Rahmen einer Auftragsdatenbearbeitung erfolgt. 3.5. Einhaltung der Anforderungen an die Datensicherheit 3.5.1. Schutz des Systems gegen datenschutzrechtlich relevante Risiken 128. Gemäss Art. 7 DSG i.V.m. Art. 8 VDSG ist eine Privatperson, die Personendaten be- arbeitet, verpflichtet, den Grundsatz der Datensicherheit einzuhalten. Das heisst, sie hat für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten zu sorgen, um einen ange- messenen Datenschutz zu gewährleisten. Dabei muss sie vor allem die Systeme gegen fol- gende Risiken schützen: unbefugte oder zufällige Vernichtung; zufälligen Verlust; technische Fehler; Fälschung, Diebstahl oder widerrechtliche Verwendung der Daten; unbefugtes Än- dern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen. Die Massnahmen müssen dem Zweck der Datenbearbeitung, der Art und dem Umfang der Datenbearbeitung, den mög- lichen Risiken für die betroffenen Personen und dem gegenwärtigen Stand der Technik ange- messen sein. 129. Das Gesetz verzichtet darauf, die Sicherheitsmassnahmen im Detail zu regeln. Es verfolgt aber einen risikobasierten Ansatz. Das Risiko, das mit einer Bearbeitung einhergeht, muss in Beziehung gesetzt werden zu den technischen Möglichkeiten, um dieses zu verrin- gern. Je höher das Risiko, je grösser die Eintrittswahrscheinlichkeit und je umfangreicher die Datenbearbeitung ist, umso höher sind die Anforderungen an die technischen Vorkehren, da- mit sie als angemessen gelten können. Es liegt in der Verantwortung des Inhabers der Da- tensammlung, die Sicherheitsbedürfnisse für seine Datenbearbeitungen zu definieren und die nötigen Sicherheitsmassnahmen anzuordnen. 3.5.1.1. Schutz gegen unbefugte Datenbearbeitung 130. Gemäss der Once Dating AG sollen grundsätzlich nur registrierte Nutzer und berech- tigte Dritte auf Personendaten der registrierten Nutzerinnen und Nutzer zugreifen können. Um zu verhindern, dass Unbefugte mittels Bots auf die Daten zugreifen, führt die Once Da- ting AG bei der Registrierung neuer Nutzer eine Verifikation durch. Das Verifikationsverfahren dient nicht einer Verifizierung der echten Identität einer Person, sondern der Vermeidung von computergenerierten Anmeldungen. Wer sich mit einer Handynummer anmeldet, wird mittels eines SMS-Verifizierungsprozesses verifiziert. Bei einer Anmeldung über Facebook-Connect wird die Identität der Nutzender verifiziert, indem das Nutzerprofil bei Once mit einem beste- henden Facebook-Profil verknüpft wird. Wenn man sich für die Verifizierung per Apple ID ent- scheidet, erhält die Once Dating AG, je nach den gewählten Einstellungen, die E-Mail-Ad- resse oder einen Proxy der E-Mail-Adresse der Nutzerin oder des Nutzers. Zudem hat die Once Dating AG verschiedene Massnahmen ergriffen, um offensichtliche Fake-Profilen zu erkennen und zu blockieren. 131. Die registrierenden Personen zu verifizieren ist wichtig, um die Datensicherheit im System zu gewährleisten. Nutzende einer Dating App, die aufgefordert werden, echte Anga- ben über sich zu machen, um eine passende Partnerin oder Partner vom Algorithmus vermit- telt zu bekommen, können erwarten, dass ihre Profile nur durch echte Personen eingesehen werden. In diesem Zusammenhang müssen wir feststellen, dass die Verifizierung über Face- book sowie über die Telefonnummer die Erstellung von Profilen durch Bots nicht vollständig verhindern können, sie erschweren aber das Erstellen von Fake-Profile und stellen die übli- chen Verifikationsverfahren im elektronischen Bereich dar.
37/44
132. Ausserdem ist niemand dazu verpflichtet, sich ein Konto bei Facebook anzulegen, um sich bei der App Once zu registrieren, es bestehen Alternativen zu diesem Verifizierungpro- zess. Insgesamt erscheint das Verifizierungsverfahren der Once Dating AG nach heutigem Stand der Technik als angemessen, um zusammen mit den weiteren Massnahmen zur Miss- brauchsbekämpfung die App gegen Bots zu schützen. Die Once Dating AG bleibt aber in der Pflicht stets zu prüfen, ob diese Massnahme auch in der Zukunft geeignet bleiben und dem aktuellen Stand der Technik weiterhin entsprechen, um den diesbezüglichen Anforderungen der Datensicherheit zu genügen und diese ggf. durch sichere Login-Möglichkeiten zu ersetz- ten. 3.5.1.2. Periodische Evaluation der Sicherheitsmassnahmen und Durchführung von Schwachstellentests 133. Eine wichtige organisatorische Massnahme ist die periodische Evaluation der Sicher- heitsmassnahmen. Neben der Überprüfung der Massnahmen selbst ist zu klären, ob sie noch dem Stand der Technik entsprechen und, ob die getroffenen Massnahmen tatsächlich ihren Zweck erfüllen. Dabei ist es sinnvoll, die technischen Massnahmen einer Kontrolle zu unter- ziehen, um zu prüfen, ob sie das System wirksam vor möglichen Angriffen schützen können. In diesem Zusammenhang soll der Inhaber der Datensammlung Schwachstellentests (Vulne- rability Scans) durchführen, um das System auf Sicherheitslücken zu überprüfen. 134. Die Once Dating AG führt aktuell interne Schwachstellentests durch, und bei der Im- plementierung neuer Funktionen in der App werden diese von einer zweiten Person des Teams vorgängig überprüft und analysiert, bevor die App wieder produktiv gesetzt wird. Au- dits oder Penetrationstests durch externe Prüfer wurden bisher jedoch noch nicht durchge- führt. 135. Bei der Definition der angemessenen Schutzmassnahmen sind auch die Mittel, die dem Inhaber der Datensammlung zur Verfügung stehen, von Bedeutung. Die Once Dating AG ist zwar ein kleines Startup Unternehmen, wurde jedoch im Januar 2021 für 18 Million Dollar durch die Dating Group aufgekauft. Ihr Team soll auch von 4 auf 12 Mitarbeitenden vergrössert werden. In diesem Zusammenhang gehen wir davon aus, dass die Once Dating AG über die notwendigen Mittel verfügt, periodisch ihre Sicherheitsmassnahmen zu überprü- fen und neben den internen Schwachstellentests auch Schwachstellentests durch externe Prüfer durchzuführen zu lassen, um ihre Systeme auf Sicherheitslücken zu überprüfen. 3.5.1.3. Schlussfolgerung 136. Was die Gewährleistung der Datensicherheit betrifft, so stellen wir fest, dass die Once Dating AG ihre Sicherheitsmassnahmen nicht durch Externe prüft, was angesichts der Sensibilität der durch die App bearbeiteten Daten eine angemessene Sicherheitsmassnahme zum Schutz von Personendaten vor unbefugter Bearbeitung wäre. Dies ist eine Verletzung der Pflicht des Verantwortlichen, angemessene Schutzmassnahmen zur Gewährleistung der Datensicherheit zu treffen. 3.6. Persönlichkeitsverletzungen 137. Wie oben ausgeführt, hat die Once Dating AG die Persönlichkeit ihrer Nutzerinnen und Nutzer verletzt, indem sie Datenbearbeitungen entgegen den Datenschutzgrundsätzen gemäss Art. 4 und Art. 7 DSG durchgeführt hat (siehe Schlussfolgerungen 3.2.3.5, 3.3.1.5, und 3.4.3) und, in Verletzung von Art. 10a DSG, Personendaten an Dritte bekanntgegeben hat (siehe Schlussfolgerung 3.4.3). Im Folgenden ist zu prüfen, ob die Persönlichkeitsverlet- zungen gerechtfertigt werden können.
38/44
3.6.1. Rechtfertigung 138. Eine Persönlichkeitsverletzung ist nicht widerrechtlich, wenn sie durch eine Rechts- grundlage, die Einwilligung der Betroffenen oder durch ein überwiegendes privates oder öf- fentliches Interesse gerechtfertigt werden kann. Vorliegend würden insbesondere die Einwilli- gung der betroffenen Person und ein überwiegendes privates Interesse im Betracht kommen. Da für die Datenbearbeitungen der Once Dating AG keine gesetzliche Grundlage besteht, fällt diese als Rechtfertigungsgrund ausser Betracht und wird im Folgenden nicht mehr weiter geprüft. 3.6.2. Einwilligung der betroffenen Person 139. Die Once Dating AG hält in ihren Ausführungen fest, dass sie Personendaten der Nut- zerinnen und Nutzer gestützt auf deren Einwilligung bearbeitet. Folgend wird geprüft, ob die Einwilligung der Nutzenden, welche zum Zeitpunkt der Registrierung eingeholt wird, die fest- gestellten Persönlichkeitsverletzungen zu rechtfertigen vermag. 3.6.2.1. Anforderungen an einer gütigen Einwilligung 140. Gemäss Art. 4 Abs. 5 DSG ist eine Einwilligung erst gültig, wenn sie nach angemes- sener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Per- sonendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen. 141. In der Rechtsprechung zu Helsana+ führt das Bundesverwaltungsgericht ausserdem aus, dass es nicht genügt, wenn die Einwilligung breit und ohne Einschränkungen formuliert ist, weil dadurch der Inhaber der Datensammlung eine über den notwendigen Zweck der Da- tenbearbeitung hinausgehende Einwilligung einholen würde. Zudem würde eine Einwilligung, die auf mehrere Bestimmungen verteilt ist (z.B. Nutzungsbedingungen und Datenschutzerklä- rung), welche die Nutzerinnen und Nutzer durch Anklicken einer Schaltfläche genehmigen würden, den Voraussetzungen einer angemessenen Information für die Gültigkeit einer Ein- willigung nach Art. 4 Abs. 5 DSG nicht entsprechen. Dies, weil dieses Vorgehen es den be- troffenen Personen erschwert zu erkennen, in welche Datenbearbeitungen sie einwilligen (BVerG, Urteil vom 19. März 2019, A-3548/2018, E. 4.8.4). In diesem Zusammenhang wird eine Information über die Datenkategorien und die Bearbeitungszwecke, welche gestützt auf die Einwilligung der betroffenen Personen erfolgen, vorausgesetzt. 3.6.2.2. Erteilte Einwilligung 142. Die Einwilligung der Nutzer holt die Once Dating AG im Rahmen der Registrierung ein, indem die Nutzer das Kästchens neben der Aussage: «Ich akzeptiere, dass Once einige meiner personenbezogenen Daten sammelt und weiterverarbeitet, um ihren Dienst bereitzu- stellen» ankreuzen (siehe Ziff. 59). Dies erfordert eine aktive Handlung der Nutzer. Dabei be- zieht sich die Einwilligung auf die Nutzungsbedingungen und die Datenschutzrichtlinie. 3.6.2.3. Grenzen der erteilten Einwilligung 143. Die Einwilligung kann nur die Datenbearbeitungen rechtfertigen, über welche die Nut- zenden vor der Erteilung der Einwilligung angemessen informiert werden. Die Once Dating AG hat den Transparenzgrundsatz hinsichtlich gewisser Bearbeitungszwecke der Once Da- ting AG (siehe Ziff. 3.2.3.5) und Datenbekanntgabe an Dritte (siehe Ziff. 3.4.2.2) verletzt, weil sie die betroffenen Nutzerinnen und Nutzer über diese Aspekte nicht angemessen in ihrer Datenschutzrichtlinie bzw. Nutzungsbedingungen informiert. Daraus folgt, dass die von den Nutzenden bei der Registrierung erteilte Zustimmung die Persönlichkeitsverletzung nicht rechtfertigen kann, die aus einem Verstoss gegen den Grundsatz der Transparenz resultiert.
39/44
144. Die Einwilligung im Sinne von Art. 6 Abs. 2 lit. b DSG kann eine Datenübermittlung in Drittländer ohne hinreichende Garantien grundsätzlich rechtfertigen. Allerdings betrifft diese Bestimmung gemäss der Botschaft eine konkrete ausservertragliche Situation. Das heisst, dass die Einwilligung nur im konkreten Einzelfall für Übermittlungen ins Ausland herangezo- gen werden kann. Hinzukommt, dass aus den Informationen, die den Nutzenden bereitge- stellt werden, nicht abgeleitet werden kann, dass die Once Dating AG ihre Datenübermittlung ins Ausland auf der Grundlage der Einwilligung der betroffenen Nutzer vornimmt, sodass nicht davon ausgegangen werden kann, dass die Nutzenden akzeptieren, dass ihre Daten in Drittländer ohne hinreichende Garantien übermittelt werden. Folgend kann die Einwilligung der betroffenen Personen die festgestellte Verletzung von Art. 6 nicht rechtfertigen (siehe Ziff. 3.2.3.4). 145. Ebenfalls kann die Verletzung der Rechtmässigkeits- und Verhältnismässigkeitsgrund- sätze sowie des Grundsatzes der Treu und Glauben in Zusammenhang mit der Bearbeitung von Löschbegehren und von Personendaten inaktiver Nutzenden (siehe Ziff. 3.3.1) nicht durch die Einwilligung der betroffenen Person gerechtfertigt werden. Die Personen, welche zum Zeitpunkt der Registrierung ihre Zustimmung zu der Bearbeitung ihrer Personendaten durch die Once Dating AG erteilt haben, haben diese durch das Einreichen eines Löschbe- gehrens implizit zurückgezogen. Die Tatsache, dass die Once Dating AG die Bearbeitung ge- wisser Personendaten an ihre Auftragnehmer delegiert hat, so dass diese nicht unter ihrer direkten Kontrolle stehen, ändert nichts an ihrer Verpflichtung, diese Daten unverzüglich zu löschen. In Bezug auf die Bearbeitung von Personendaten von inaktiven Nutzenden stellen wir ausserdem fest, dass aus der Datenschutzrichtlinie nicht abgeleitet werden kann, dass die Personendaten der Nutzer für immer aufbewahrt werden, auch wenn die Profile inaktiv werden. Vielmehr wird durch folgende Aussage den Eindruck erweckt, dass sie gemäss ei- nem Löschkonzept gelöscht werden, wenn sie nicht mehr gebraucht werden: «Die personen- bezogenen Daten werden nicht länger als die für die Zwecke, für die sie erhoben und verar- beitet werden, erforderliche Dauer aufbewahrt. 146. Die festgestellte Verletzung des Datensicherheitsgrundsatzes (siehe Ziff. 3.5.1.3) kann ebensowenig durch die erteilte Einwilligung gerechtfertigt werden, denn in der Daten- schutzrichtlinie wird ausgeführt, dass die Once Dating AG «sämtliche zweckmäßigen Vorkeh- rungen [trifft], um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten und insbe- sondere ihre Verfälschung und Beschädigung oder den unbefugten Zugriff durch Dritte zu verhindern.». 3.6.2.4. Schlussfolgerung 147. Aus den oben genannten Gründen können die festgestellten Persönlichkeitsverletzun- gen nicht durch die Einwilligung der betroffenen Nutzenden gerechtfertigt werden. 3.6.3. Überwiegendes privates Interesse 3.6.3.1. Vertrag zwischen Nutzenden und der Once Dating AG 148. Eine Verletzung der Persönlichkeit ist ebenfalls nicht widerrechtlich, wenn sie durch ein überwiegendes privates Interesse gerechtfertigt ist. Gemäss Art. 13 Abs. 2 lit. a DSG fällt ein überwiegendes Interesse des Verantwortlichen insbesondere in Betracht, wenn dieser in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags Per- sonendaten über seinen Vertragspartner bearbeitet. 149. In den Nutzungsbedingungen der App Once wird Folgendes ausgeführt: «Bei der Be- stätigung seiner Anmeldung für die App und/oder auf der Website hat der Nutzer die Daten- schutzrichtlinie von ONCE zur Kenntnis zu nehmen: Die Verarbeitung persönlicher Daten durch ONCE ist zur Erfüllung eines Vertrags, bei dem das Mitglied Vertragspartei ist, erfor- derlich.». In der Datenschutzrichtlinie der Once Dating AG steht ausserdem: «Once erhebt,
40/44
verarbeitet und verwendet Ihre personenbezogenen Daten, um: Ihnen die Verwendung der App und die Nutzung der Dienste zu erlauben; per E-Mail, SMS oder auf dem Postweg mit Ihnen zu kommunizieren; unseren Service zu verbessern (nämlich: Analyse von Daten, For- schung und Entwicklung, Aufdeckung betrügerischer Verhaltensweisen; wobei alleine auf der Grundlage einer automatisierten Verarbeitung keine Entscheidung eines Eingreifens getrof- fen wird). Diese von Once durchgeführte Verarbeitung personenbezogener Daten ist für die Erfüllung eines Vertrages, von dem das Mitglied Vertragspartei ist, notwendig». 150. Daraus folgt, dass die Once Dating AG möglicherweise die festgestellten Persönlich- keitsverletzungen durch ein überwiegendes privates Interesse, nämlich die Bearbeitung von Personendaten über ihre Nutzer (Vertragspartner) in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung des Vertrags, welchen diese durch die Annahme der Nut- zungsbedingungen der Once Dating AG abschliessen, rechtfertigen könnte. Dies soll im Fol- genden geprüft werden. Darüber hinaus sehen wir kein weitergehendes Interesse der Once Dating AG, das im vorliegenden Fall das Interesse der betroffenen Personen überwiegen könnte, um die festgestellten Persönlichkeitsverletzungen zu rechtfertigen. 151. In unmittelbarem Zusammenhang mit dem Abschluss oder Abwicklung eines Vertrags sind alle Bearbeitungen zu verstehen, die aus technischer oder wirtschaftlicher Sicht notwen- dig sind, so dass der Vertrag erfüllt werden kann. Die Notwendigkeit muss objektiv und im Hinblick auf den Grundsatz der Verhältnismässigkeit gemessen werden. Vorliegend kann die Once Dating AG diesen Rechtfertigungsgrund geltend machen, um Datenbearbeitungen zu rechtfertigen, ohne welche sie die App Once technisch oder wirtschaftlich nicht betreiben kann. 152. Nach der Rechtsprechung des Bundesgerichts i.S. Logistep (BGE 136 II 508 E. 5.2.4), kann eine Rechtfertigung der Bearbeitung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG im konkreten Fall nur mit grosser Zurückhaltung bejaht werden. Von den im Rahmen dieser Sachverhaltsabklärung festgestellten Persönlich- keitsverletzungen sind alle, ausser die Persönlichkeitsverletzung beim Verstoss gegen Art. 10a DSG (siehe Ziff. 3.4.2.2), Persönlichkeitsverletzungen, welche aufgrund einer Bearbei- tung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG herbeigeführt werden. 153. Die Once Dating AG hat den Transparenzgrundsatz hinsichtlich gewisser Bearbei- tungszwecke der Once Dating AG (siehe Ziff. 3.2.3.5) und der Weitergabe von Personenda- ten an Dritte, welche diese im eigenen Interesse bearbeiten (siehe Ziff. 3.4.2.2) verletzt. An- gesichts der Tatsache, dass angemessene Information über die durchgeführten Datenbear- beitungen eine Grundbedingung des informationellen Selbstbestimmungsrechts ist, kann die- ses Interesse dem Interesse der betroffenen Personen nicht überwiegen. Somit kann die Once Dating AG die Verletzung des Transparenzgrundsatzes nicht durch ein überwiegendes Interesse im Sinne von Art. 13 Abs. 2 lit. a DSG rechtfertigen. 154. Die Datenweitergabe an Dritte selbst könnte theoretisch gerechtfertigt werden, wenn die Once Dating AG darlegen könnte, dass sie an die Dienstleistung durch diese Dritte unter den von ihnen festgelegten Konditionen angewiesen wäre, um die App wirtschaftlich zu be- treiben. Ohne eine Abklärung bezüglich der Notwendigkeit dieser Datenbekanntgabe an Dritte können wir jedoch nicht davon ausgehen, dass diese durch ein überwiegendes Inte- resse der Once Dating AG gerechtfertigt werden. Somit erachten wir diese Persönlichkeits- verletzungen als widerrechtlich. 155. Die Weiterbearbeitung von Personendaten von Nutzenden, welche ein Löschbegeh- ren eingereicht haben, aber die bei Auftragnehmer der Once Dating AG bearbeitet werden und von Personendaten inaktiver Nutzenden stellt einen Verstoss gegen den Bearbeitungs- grundsätze der Rechtmässigkeit und der Verhältnismässigkeit sowie der Bearbeitung nach Treu und Glauben dar (siehe Ziff. 3.3.1). Diese Weiterbearbeitung kann nicht durch das
41/44
überwiegende private Interesse der Once Dating AG gerechtfertigt werden, weil diese Daten nicht benötigt werden, um die App technisch oder wirtschaftlich zu betreiben. 156. Die festgestellte Verletzung des Datensicherheitsgrundsatzes (siehe Ziff. 3.5.1.3) kann ebenfalls nicht durch ein überwiegendes Interesse der Once Dating AG gerechtfertigt werden, denn in Art. 7 Abs. 1 DSG ist eine Angemessenheitsprüfung bereits integriert. Bei der Prüfung der Angemessenheit der getroffenen Schutzmassnahmen wurden die Interessen der Once Da- ting AG bereits berücksichtigt. Somit kann diese Persönlichkeitsverletzung nicht durch ein überwiegendes privates Interesse gerechtfertigt werden. 3.6.3.2. Schlussfolgerung 157. Die Once Dating AG kann die festgestellten Persönlichkeitsverletzungen nicht durch ein überwiegendes privates Interesse rechtfertigen, womit diese als widerrechtlich zu beurtei- len sind und daher behoben bzw. vermieden werden müssen. 3.7. Empfehlungen 158. Gestützt auf Art. 29 Abs. 3 DSG erlässt der EDÖB gegenüber der Once Dating AG die folgenden Empfehlungen. 159. In Bezug auf die festgestellten Mängel betreffend die Transparenzanforderungen bzw. die Qualität der Informationen, die den Nutzenden zur Verfügung gestellt werden, und welche eine widerrechtliche Persönlichkeitsverletzung herbeiführen (siehe Ziff. 3.2.3.5), macht der EDÖB gegenüber der Once Dating AG folgende Empfehlungen:
Die Once Dating AG passt ihre Datenschutzrichtlinie, AGB und FAQ dergestalt an, dass:
1. die Nutzerinnen und Nutzer eindeutig und in verständlicher Sprache über Datenbearbeitungen der Once Dating AG informiert werden. Dabei muss klar darüber informiert werden, welche Daten für welche Bearbeitungszwecke bearbeitet werden und an welche Datenempfänger sie weitergegeben werden. Die Qualität der Informationen hinsichtlich der Bearbeitung zu Marke- tingzwecken, in Zusammenhang mit den Re-Engagement-Diensten und bezüglich Drittemp- fängern ist zu verbessern;
2. die Informationen der Datenschutzrichtlinie, der AGB und der FAQ übereinstimmen und Klar- heit über die Geltung des DSG geschaffen wird;
3. die Datenschutzrichtlinie von jeder Seite der Webseite www.getonce.com aus mit einem Klick aufgerufen werden kann;
4. differenziert und unmissverständlich informiert wird, welche Bearbeitungsvorgänge gestützt auf die Einwilligung der betroffenen Personen oder in direkter Beziehung mit dem Vertrag er- folgen;
5. hinsichtlich der neuen Pflichten gemäss nDSG, korrekt und vollständig über die verwendeten Garantien für die Datenübermittlung ins Ausland informiert wird (inkl. Link zu den vertraglichen
42/44
Garantien im Falle einer Verwendung von SCC).
160. In Bezug auf die festgestellten Mängel betreffend die Bearbeitung von Löschbegehren und die Bearbeitung von Personendaten von inaktiven Nutzenden, welche eine widerrechtli- che Persönlichkeitsverletzung herbeiführen (siehe Ziff. 3.3.1), macht der EDÖB gegenüber der Once Dating AG folgende Empfehlungen:
Die Once Dating AG passt ihre Datenschutzrichtlinie, AGB und FAQ dergestalt an, dass:
1. über alle verfügbaren Löschungsmöglichkeiten der Nutzer klar, zentral und einheitlich infor- miert wird;
2. folgender Satz aus der Datenschutzrichtlinie gestrichen oder angepasst wird, so dass er keine unzulässige Hürden für die Ausübung von Betroffenenrechten darstellt: «[s]ollten sich die An- fragen eines Mitglieds als deutlich unbegründet oder über das Maß hinausgehend herausstel- len (insbesondere aufgrund ihres sich wiederholenden Charakters), ist Once berechtigt, i) an- gemessene Aufwendungen geltend zu machen, die den Verwaltungskosten für die Bereitstel- lung der Informationen, den Kommunikationsaufbau oder das Ergreifen der angefragten Maß- nahmen Rechnung tragen, oder ii) sich weigern, diesen Anträgen Folge zu leisten.»;
Die Once Dating AG passt das Design der App Once wie folgt an:
3. Eine eigenständige Option «Mein Konto löschen» analog zur bestehenden Option «mein Konto deaktivieren» wird unter Einstellungen eingebaut, um diese in der App auffindbar zu machen.
Die Once Dating AG ändert ihren Löschprozess wie folgt und informiert darüber in den AGB oder FAQ:
4. Anstatt inaktive Nutzenden nur im «Matchmaking» zu depriorisieren, deaktiviert die Once Da- ting AG von sich aus die Konten nach 30 Tagen von Inaktivität und informiert die betroffenen Nutzenden per E-Mail, dass sie ihr Konto reaktivieren können, wenn sie sich innerhalb von einem Jahr bei der Anwendung wieder anmelden. Dabei weist die Once Dating AG auch auf die Möglichkeit hin, die Löschung der eigenen Personendaten jederzeit zu verlangen. Nach einem Jahr ohne Aktivität löscht die Once Dating AG von sich aus das bereits deaktivierte Konto endgültig;
5. Die Once Dating AG führt einen Prozess ein, um im Falle eines Löschbegehrens die Lö- schung oder die Anonymisierung der Daten, die durch Auftragnehmer bearbeitet werden, si- cherzustellen.
43/44
161. In Bezug auf die festgestellten Mängel in Zusammenhang mit der Auslagerung von Personendatenbearbeitungen durch die Once Dating AG an Dritte (siehe Ziff. 3.4.2.2), macht der EDÖB gegenüber der Once Dating AG folgende Empfehlungen:
Die Once Dating AG prüft ihre Verträge mit ihren Dienstleistern und trifft Massnahmen, um sicher- zustellen, dass:
1. die Dienstleister die Anforderungen an einer Datenübermittlung ins Ausland gemäss Art. 6 DSG einhalten;
2. die Dienstleister keine Daten ohne Rechtfertigungsgrund für eigene Zwecke bearbeiten.
162. In Bezug auf die festgestellten Mängel in Zusammenhang mit der Gewährleistung der Datensicherheit durch die Once Dating AG (siehe Ziff. 3.5.1.3) macht der EDÖB gegenüber der Once Dating AG folgende Empfehlungen:
1. Die Once Dating AG prüft regelmässig ihre Sicherheitsmassnahmen und Verifikationsverfah- ren, um sicherzustellen, dass diese geeignet bleiben, um ihre Schutzziele zu erreichen;
2. Die Once Dating AG lässt regelmässig Penetrationstests durch externe Auditoren ausführen, insbesondere, wenn neue Features in die App Once eingebaut werden.
3.8. Stellungnahme der Once Dating AG
163. Mit Schreiben vom 3. März 2023 wurde der Once Dating AG der Bericht zu einer abschliessen- den Stellungnahme unterbreitet. Die Stellungnahme der Once Dating AG (vgl. Ziff. 165) wird im Rahmen der Schlussredaktion an dieser Stelle eingefügt.
164. Im Rahmen der Stellungnahme hat die Once Dating AG den EDÖB informiert, dass aufgrund von Umstrukturierungen die Webseite und die App zwischenzeitlich abgeschaltet wurden. Die Inakti- ven Nutzerinnen und Nutzer seien gelöscht wurden, aktive Nutzerinnen und Nutzer wurden auf das neue System transferiert, welches von Xeanco Limited mit Sitz in Hong Kong übernommen wurde und die Empfehlungen umsetzt. 3.9. Verfahren 3.9.1. Rechtliches Gehör und weiteres Vorgehen
165. Der EDÖB hat der Once Dating AG den vorliegenden Schlussbericht mit Empfehlungen zur Prü- fung und Stellungnahme vorgelegt. Die Once Dating AG wurde aufgefordert innerhalb von 30 Ta- gen nach Erhalt zum Bericht Stellung zu nehmen und mitzuteilen, ob sie die Empfehlungen ak- zeptiert oder andere für die betroffenen Personen gleichwertigen Massnahmen trifft.
44/44
166. Die Once Dating AG hat die Empfehlungen angenommen und gleichzeitig mitgeteilt, dass sie die Empfehlungen bereits umgesetzt hat oder diese bis Ende 2023 umsetzen wird. 3.9.2. Veröffentlichung des Schlussberichts mit Empfehlungen
167. Es besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für die vorliegende Art der Da- tenbearbeitung zu sensibilisieren und sie über seine Feststellungen und die Ergebnisse seiner Abklärung zu informieren, Gestützt auf Art. 30 Abs. 2 DSG wird der EDÖB deshalb den vorliegen- den Schlussbericht in angepasster Form auf seiner Website (www.edoeb.admin.ch) veröffentli- chen.
168. Die Veröffentlichung des vollständigen Berichts inklusive Empfehlungen steht unter dem Vorbe- halt, dass aus Sicht der Once Dating AG keine vertraulichen Daten offengelegt werden, welche Geschäftsgeheimnisse preisgeben oder die Wettbewerbsfähigkeit beeinflussen könnten. Die Once Dating AG wurde deshalb aufgefordert, den Bericht auf solche vertraulichen Inhalte zu prü- fen und gegenüber dem EDÖB innert derselben Frist schriftlich Stellung zu nehmen.
169. Die Once Dating AG hat keine Geschäftsgeheimnisse geltend gemacht. Im Sinne des Persönlich- keitsschutzes wurden deshalb nur einzelne Namen für die Publikation geschwärzt.
Der Beauftragte: Die zuständige Juristin:
Adrian Lobsiger
Fabiane Midori Sousa Nakagawa
Volltext (verifizierbarer Originaltext)
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch
EDÖB-A-72643401/2 / F. Nakagawa
Schlussbericht und Empfehlungen
vom 3. März 2023 mit Ergänzungen vom 17. Mai 2023
betreffend die Sachverhaltsabklärung des
Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
in Sachen Once Dating AG
gemäss Artikel 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1)
2/44
Inhaltsverzeichnis
1. Einführung ........................................................................................................................................ 4 1.1. Ausgangslage .......................................................................................................................... 4 1.2. Chronologie ............................................................................................................................. 5 1.3. Gesetzliche Grundlage ............................................................................................................ 5 1.4. Umfang der Sachverhaltsabklärung ........................................................................................ 5 1.5. Berücksichtigte Dokumente ..................................................................................................... 5 2. Sachverhalt ...................................................................................................................................... 6 2.1. Differenzen bei der Sachverhaltsfeststellung und dem Schlussbericht .................................. 6 2.2. Funktionsweise der App .......................................................................................................... 6 2.2.1. Datenflussmodellierung ................................................................................................... 6 2.2.2. Registrierungsverfahren .................................................................................................. 8 2.2.3. Matchmaking ................................................................................................................... 9 2.2.4. Bearbeitungszwecke ....................................................................................................... 9 2.2.5. Weitere Massnahmen zur Missbrauchsbekämpfung .................................................... 10 2.2.6. Bekanntgabe von Personendaten der Nutzer an Dritte ................................................ 10 2.2.7. Bekanntgabe von Personendaten an andere Nutzer der App ...................................... 10 2.2.8. Bekanntgabe von Personendaten an Dienstleister/Partner .......................................... 11 2.2.9. Bekanntgabe von Personendaten ins Ausland ............................................................. 14 2.3. Aufbewahrung und Löschung von Personendaten ............................................................... 16 2.3.1. Deaktivierung von Konten auf Verlangen ...................................................................... 16 2.3.2. Löschung von Konten bzw. Personendaten der Nutzer auf Verlangen ........................ 16 2.3.3. Deaktivierung und Löschung von Konten von inaktiven Nutzern .................................. 18 2.3.4. Löschung von Personendaten bei Dritten ..................................................................... 18 2.4. Datensicherheit ...................................................................................................................... 19 2.4.1. Entwicklung der App ...................................................................................................... 19 2.4.2. Schwachstellentests ...................................................................................................... 19 2.4.3. Monitoring und Patchen................................................................................................. 19 2.4.4. Verschlüsselung ............................................................................................................ 19 2.4.5. Zugriffskontrollen ........................................................................................................... 19 2.5. Logging .................................................................................................................................. 20 2.6. Einwilligung und Datenschutzeinstellungen der App ............................................................ 20 3. Datenschutzrechtliche Beurteilung ................................................................................................ 21 3.1. Bearbeitung von Personendaten ........................................................................................... 21 3.1.1. Bearbeitung von besonders schützenswerten Daten .................................................... 21 3.1.2. Bearbeitung von Persönlichkeitsprofilen ....................................................................... 22 3.2. Transparenz und Qualität der Informationen an die Nutzer der App Once........................... 23 3.2.1. Grundsatz der Transparenz nach Art. 4 Abs. 4 DSG .................................................... 23 3.2.2. Informationspflicht nach Art. 14 DSG ............................................................................ 23 3.2.3. Einhaltung des Transparenzgrundsatzes (Art. 4 Abs. 4 DSG) und der Informationspflicht (Art. 14 DSG) ................................................................................................... 24 3.2.3.1. Erkennbarkeit der Datenerhebungen bei der App Once ............................................... 24 3.2.3.2. Erkennbarkeit der Bearbeitungszwecke und der Rahmenbedingungen der Datenbearbeitung ........................................................................................................................... 25 3.2.3.3. Information über die Kategorien der Datenempfänger .................................................. 29 3.2.3.4. Erkennbarkeit der verwendeten Garantien für die Übermittlung von Daten ins Ausland
29
3/44
3.2.3.5. Schlussfolgerung ........................................................................................................... 30 3.3. Löschkonzept und Löschmöglichkeiten der Nutzer ............................................................... 30 3.3.1. Grundsatz der Rechtmässigkeit (Art. 4 Abs. 1), von Treu und Glauben und der Verhältnismässigkeit (Art. 4 Abs. 2 DSG) ...................................................................................... 30 3.3.1.1. Möglichkeit Personendaten auf Verlangen zu löschen (Art. 12 Abs. 2 lit. b DSG) ....... 30 3.3.1.2. Information über die verfügbaren Löschmöglichkeiten ................................................. 31 3.3.1.3. Automatische Löschung von Personendaten bei Inaktivität ......................................... 32 3.3.1.4. Löschung von Personendaten, deren Bearbeitung ausgelagert wurde ........................ 33 3.3.1.5. Schlussfolgerung ........................................................................................................... 33 3.4. Datenweitergabe an «Dienstleister» ..................................................................................... 34 3.4.1. Anforderungen an einer Auftragsdatenbearbeitung (Art. 10a DSG) ............................. 34 3.4.2. Einhaltung der Anforderungen nach Art. 10a DSG ....................................................... 34 3.4.2.1. Übermittlung ins Ausland............................................................................................... 35 3.4.2.2. Bearbeitung von Personendaten für Zwecke Dritter ..................................................... 35 3.4.3. Schlussfolgerung ........................................................................................................... 35 3.5. Einhaltung der Anforderungen an die Datensicherheit ......................................................... 36 3.5.1. Schutz des Systems gegen datenschutzrechtlich relevante Risiken ............................ 36 3.5.1.1. Schutz gegen unbefugte Datenbearbeitung .................................................................. 36 3.5.1.2. Periodische Evaluation der Sicherheitsmassnahmen und Durchführung von Schwachstellentests ....................................................................................................................... 37 3.5.1.3. Schlussfolgerung ........................................................................................................... 37 3.6. Persönlichkeitsverletzungen .................................................................................................. 37 3.6.1. Rechtfertigung ............................................................................................................... 38 3.6.2. Einwilligung der betroffenen Person .............................................................................. 38 3.6.2.1. Anforderungen an einer gütigen Einwilligung ................................................................ 38 3.6.2.2. Erteilte Einwilligung ....................................................................................................... 38 3.6.2.3. Grenzen der erteilten Einwilligung ................................................................................. 38 3.6.2.4. Schlussfolgerung ........................................................................................................... 39 3.6.3. Überwiegendes privates Interesse ................................................................................ 39 3.6.3.1. Vertrag zwischen Nutzenden und der Once Dating AG ................................................ 39 3.6.3.2. Schlussfolgerung ........................................................................................................... 41 3.7. Empfehlungen ....................................................................................................................... 41 3.8. Stellungnahme der Once Dating AG ..................................................................................... 43 3.9. Verfahren ............................................................................................................................... 43 3.9.1. Rechtliches Gehör und weiteres Vorgehen ................................................................... 43 3.9.2. Veröffentlichung des Schlussberichts mit Empfehlungen ............................................. 44
Abbildungsverzeichnis
Abbildung 1: Ansicht der Mobile App Functional Architecture .............................................................. 6 Abbildung 2: Übersicht zur Backend Functional Architecture. .............................................................. 7 Abbildung 3: Illustration der Once Backend Technical Architecture. .................................................... 7 Abbildung 3: Screenshot des Kontaktkanals in der App Once («Nous contacter») ............................ 17 Abbildung 6: Auszug aus der Datenschutzrichtlinie ............................................................................ 27
4/44
1. Einführung 1.1. Ausgangslage
1. Dating-Apps und -Webseiten spielen bei der Partnersuche eine zunehmend bedeutsame Rolle in der Schweiz: 19,7% der Paare, die in den letzten 5 Jahren in eine Beziehung getre- ten sind, haben sich gemäss Angaben des Bundesamts für Statistik online über eine Partner- börse, eine Dating-App oder ein soziales Netzwerk1 kennen gelernt. Solche Dating-Apps und -Webseiten unterscheiden sich von klassischen Vermittlungsagenturen, welche vergleichs- weise klein und noch mehrheitlich «analog» tätig sind, indem sie Personendaten (unter ande- rem auch besonders schützenswerte Daten) von einer Mehrzahl von Kunden über ein Inter- netportal oder eine App für Mobilgeräte erheben und diese teil- oder vollautomatisch bearbei- ten, um einen geeigneten Partner zu vermitteln.
2. Im Dezember 2020 wurde der EDÖB darauf aufmerksam gemacht, dass die Nutzer der Da- ting-App Once keine Möglichkeit hätten, ein Konto über die Applikation zu löschen, und dass der Betreiber dieser App, die Once Dating AG, angeblich nicht auf Löschbegehren reagieren würde.
3. Die Once Dating AG ist ein privates Unternehmen mit Sitz in Pfäffikon im Kanton Schwyz, welches im Bereich Online-Dating tätig ist. Mit der App «Once» bietet die Once Dating AG einen Partnervermittlungsdienst an, welcher auf das Konzept des Slow-Datings setzt. Die Nutzung der App setzt eine Registrierung voraus. Dabei muss die Nutzerin oder der Nutzer verschiedene Angaben über sich machen oder Daten aus ihrem/seinem Facebook-Profil im- portieren. Zudem können auf freiwilliger Basis weitere Angaben zur Person gemacht werden.
4. Mithilfe von Künstlicher Intelligenz (KI) werden Personendaten ausgewertet, um den Nutzern einmal am Tag ein passendes Profil vorzustellen («Match»). Da die Nutzer der App aufgefor- dert werden, echte Angaben über sich zu machen, erfolgt sowohl bei der Datenerhebung bei den Nutzern als auch bei der Vermittlung von passenden Dating-Partnern eine Bearbeitung von Personendaten.
5. Auf der Grundlage von Art. 29 des Bundesgesetzes über den Datenschutz (DSG) leitete der EDÖB mit Schreiben vom 15. Februar 2021 eine Sachverhaltsabklärung bei der Once Dating AG ein, um einerseits ihre Löschungsprozesse zu prüfen und andererseits zu klären, ob die Bearbeitungen der Once Dating AG die Anforderungen des Datenschutzes an Datensicher- heit und Transparenz einhalten.
6. Am 9. April beantwortete die Once Dating AG, vertreten durch Frau Rechtsanwältin die Fragen des EDÖB und teilte mit, dass kein Testzugang zu der App ge- währt werden könne. Ausserdem erklärte RA dass die Once Dating AG die Kanzlei beauftragt habe, ihre Datenbearbeitungsaktivitäten zu analysieren und die aktuellen Datenschutz-Policies dem revidierten DSG in den nächsten Monaten ent- sprechend anzupassen. Die neuen internen Datenschutz-Policies wurden als "Work in Pro- gress" als Beilage geschickt. Mit E-Mail vom 19. April 2021 stellte der EDÖB der Once Dating AG verschiedene Zusatzfragen, zu welchen diese fristgerecht mit Schreiben vom 10. Mai 2021 Stellung nahm.
7. Am 23. Juni 2021 stellte der EDÖB der Once Dating AG seine Sachverhaltsfeststellung vom selben Datum zu. Diese basiert ausschliesslich auf den von der Once Dating AG gelieferten
1 Bundesamt für Statistik (Hg.): Erhebung zu Familien und Generationen 2018. Erste Ergebnisse. Neuchâtel 2019, 9 S., verfügbar unter: https://www.bfs.admin.ch/bfs/de/home/statistiken/bevoelkerung/erhebungen/efg.as- setdetail.10467788.html [aufgerufen am 14.04.2020]
5/44
Antworten und Dokumenten (Vgl. Ziff. 1.5) sowie aus öffentlich zugänglichen Informationen auf der Webseite der Once Dating AG (Datenschutzrichtilinien, FAQ, Medienmitteilungen etc.) sowie Informationen im Apple Store und Google Play Store. Der EDÖB hat aufgrund der ausreichenden Dokumentation auf eine Sitzung mit Vertretern der Once Dating AG wie auch auf einen Augenschein vor Ort verzichtet. Mit Schreiben vom 21. Juli 2021 nahm die Once Dating AG fristgerecht Stellung zur Sachverhaltsfeststellung. Der vorliegende Schlussbericht des EDÖB basiert auf diese Sachverhaltsfeststellung und beinhaltet die rechtliche Würdigung des EDÖB des Sachverhalts sowie seine Empfehlungen im Sinne des Datenschutzes. 1.2. Chronologie 15.02.2021: Eröffnung Sachverhaltsabklärung durch den EDÖB und Zustellung eines Fragenkata- loges an Once Dating AG 19.03.2021: Mitteilung der Vertretung durch und Fristerstreckungsgesuch 09.04.2021: Beantwortung Fragenkatalog 19.04.2021: Stellung Zusatzfragen 10.05.2021: Beantwortung Zusatzfragen 23.06.2021: Versand Sachverhaltsfeststellung an Once Dating AG 21.07.2021: Änderungsvorschläge der Once Dating AG zur Sachverhaltsfeststellung 03.03.2023: Versand Schlussbericht, inklusive Empfehlungen, an Once Dating AG zur Stellungnahme 30.03.2023: Gewährung der mit Schreiben vom 28. März 2023 beantragten Fristverlängerung 02.05.2023: Annahme der Empfehlungen durch Once Dating AG 17.05.2023: Versand Schlussbericht mit Ergänzungen, an Once Dating AG
1.3. Gesetzliche Grundlage
8. Art. 1 bis 15 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) und Art. 1 bis 12 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Daten- schutz sind auf das Bearbeiten von Personendaten durch private Personen anwendbar. Ge- mäss Art. 29 Abs. 1 lit. a DSG kann der EDÖB von sich aus oder auf Meldung Dritter hin ei- nen Sachverhalt näher abklären, wenn Bearbeitungsmethoden geeignet sind, die Persönlich- keit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). Gemäss Art. 29 Abs. 2 DSG kann er dabei Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitun- gen vorführen lassen. 1.4. Umfang der Sachverhaltsabklärung
9. Die vorliegende Sachverhaltsabklärung zielt darauf ab zu prüfen, ob und inwiefern Mängel hinsichtlich der Konformität mit dem DSG bei der Bearbeitung von Löschbegehren, bei der Erhebung und Weitergabe von Personendaten der Nutzer an Dritte und bei der Einhaltung des Bearbeitungsgrundsatzes der Transparenz und der Datensicherheit bestehen. 1.5. Berücksichtigte Dokumente
10. Die Sachverhaltsfeststellungen des EDÖB stützen sich auf folgende Dokumente ab:
- Schreiben vom 9. April 2021 (vorab per E-Mail) mit folgenden Beilagen: o Datenflussdiagramm
6/44
o Interne Datenschutz-Policies als "Work in Progress" aufgrund der Integration in die Dating Group und Anpassungen ans revidierte Schweizer DSG
- Schreiben vom 10. Mai 2021 inkl. Anhang 1 – Antworten zu Zusatzfragen
- Schreiben vom 21. Juli 2021 inkl. Anhang 1 – Änderungsvorschläge zur Sachverhaltsfeststel- lung
2. Sachverhalt 2.1. Differenzen bei der Sachverhaltsfeststellung und dem Schlussbericht
11. Die Once Dating AG hat ihre Änderungs- und Ergänzungsvorschläge zur Sachverhaltsfest- stellung vom 23. Juni 2021 mit Stellungnahme vom 21. Juli 2021 mitgeteilt. Diese wurden bei der Verfassung dieses Schlussberichts berücksichtigt. 2.2. Funktionsweise der App 2.2.1. Datenflussmodellierung
12. Das erhaltene Datenflussdiagramm ist in die drei Schichten Mobile App Functional Architec- ture, Backend Functional Architecture und Once Backend Technical Architecture gegliedert.
13. In Abbildung 1 wird die Benutzeroberfläche (UX Modules) dargestellt. Diese bezieht sich auf alle Dinge, auf die der Once App Nutzer zugreift, um Anforderungen zu senden oder andere Aufgaben in der Cloud auszuführen. Synchron erfolgen im Weiteren das Logging etc. mittels den dargestellten Tech and UX monitoring modules. Abbildung 1: Ansicht der Mobile App Functional Architecture
7/44
14. Die in Abbildung 2 dargestellte Funktionsschicht Backend Functional Architecture beschreibt die Administrationsoberfläche der App Once. Also primär alle Operationen, die im Hinter- grund vorgenommen werden (bspw. das Aussehen und die Funktionen im Frontend verän- dern). Abbildung 2: Übersicht zur Backend Functional Architecture.
15. Die vorgängig abgebildete Datenflussmodellierung wird in Abbildung 3 zerlegt und auf einer detaillierteren Ebene genauer beschrieben, wie folgende Abbildung schematisch zeigt. Abbildung 3: Illustration der Once Backend Technical Architecture.
8/44
16. Die Backend-Architektur in der Cloud unterstützt die Frontend-Architektur. Sie besteht aus Hardware und Speicher und befindet sich auf einem Remote-Server. Der Cloud-Provider (AWS) steuert und verwaltet diese Backend Technical Architecture. 2.2.2. Registrierungsverfahren
17. Die App Once kann über den Google Play Store und über den Apple App Store heruntergela- den werden. Um die App zu nutzen, muss sich die Nutzerin oder der Nutzer registrieren. Ge- mäss Angaben der Once Dating AG kann die Anmeldung aktuell über 3 Methoden erfolgen: per Telefon, via Facebook-Connect oder via Apple-ID2, wobei die letzte Methode nur für Nut- zer verfügbar ist, die die App auf einem Apple Gerät installiert haben. Gemäss der Daten- schutzrichtlinie sollte eine Anmeldung per E-Mail auch möglich sein, womit offenbar das Lo- gin via Apple-ID gemeint ist.3
18. Für jede der drei Methoden ist ein unterschiedliches Verifizierungsverfahren vorgesehen, mit dem Ziel sicherzustellen, dass die Profile von Menschen und nicht von Robotern erstellt wer- den. Wer sich mit einer Handynummer anmeldet, wird mittels eines SMS-Verifizierungspro- zesses verifiziert. Dabei erhält die Person einen Code per SMS, welchen sie in ihrem Profil eingeben muss. Bei einer Anmeldung über Facebook-Connect4 wird die Identität der Nutzer verifiziert, indem die Nutzerin oder der Nutzer der Once Dating AG Zugriff auf Daten ihres oder seines Facebook Profils gewährt. Diese seien gemäss Once Dating AG der Nutzer- name, das Geburtsdatum, die Nutzerfotos und die Nutzer-E-Mail von Facebook. Dadurch wird das Profil des Nutzers bei Once mit seinem Facebook-Account verknüpft. Die Once Da- ting AG hat hierzu Folgendes klargestellt: Obwohl in der Datenschutzrichtlinie aufgeführt wird, dass bei einer Anmeldung über Facebook darüber hinaus die «Freundesliste, Fotos und Inte- ressen sowie Likes entsprechend den Facebook-Posts» an die Once Dating AG übermittelt werden, die Once Dating AG diese zusätzlichen Informationen nicht erhält.5 Wenn man sich für die Verifizierung per Apple ID entscheidet, erhält die Once Dating AG die E-Mail-Adresse oder einen Proxy der E-Mail-Adresse, je nach den Einstellungen der Nutzerin oder des Nut- zers. 6
19. Nutzer müssen ausserdem mindestens 18 Jahre alt sein. Um dies zu prüfen, fordert Once ihre Nutzerinnen und Nutzer auf, einige Angaben über sich zu machen, wenn sie sich als Mit- glied registrieren. Pflichtangaben sind: Vorname, Bild(er), Alter, Land/Standort sowie sexuelle Orientierung.7 Die Once Dating AG prüft das Alter und die Echtheit des Profils anhand der Bilder, welche die Nutzerin oder der Nutzer in die App hochlädt. Alle Profile werden mithilfe des Bildmoderationstools Sightengine halbautomatisch moderiert. Wenn die Nutzerin oder der Nutzer Bilder hochlädt, auf denen keine Person erkennbar ist bzw. nur eine Illustration auf dem Foto zu sehen ist, oder falls auf dem Foto mit hoher Wahrscheinlichkeit ein Promi- nenter oder ein Minderjähriger erkannt wird, wird das Profil gesperrt und manuell moderiert.
2 Vgl. Antwort zur Frage 14.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26 f.) 3 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 4 Mehr Informationen zum Facebook Tool «Facebook Login» unter Ziff. 31 5 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 6 Vgl. Antwort zur Frage 14.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26 f.) 7 Vgl. Antwort zur Frage 4.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 4 bzw. 20 f.) und Datenschutzrichtli- nie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://ge- tonce.com/de/terms#privacy [aufgerufen am 21.04.2021]
9/44
Die entsprechenden Bilder werden entfernt und die Nutzerin oder der Nutzer wird entweder gesperrt oder benachrichtigt, die Bilder zu ändern.8 2.2.3. Matchmaking
20. Neben den Pflichtangaben können die Nutzer der App die folgenden Angaben freiwillig ma- chen: Beschreibung; Bildung; Grösse; Job & Arbeitgeber; Kekse (Fragen zur Persönlichkeit); Hobbys; Reisen; Kinder/ keine Kinder; Religion; Politik; Vorlieben beim Trinken und Vorlieben beim Rauchen. Diese Informationen sowie die Pflichtangaben werden von der KI ausgewer- tet, um eine Partnerin oder einen Partner zu vermitteln, sind aber durch die anderen Nutzer nicht einsehbar (siehe Ziff. 27).
21. Der «Matchmaking-Algorithmus» wählt potentielle Partner basierend auf den Informationen in den Profilen der Nutzer und aufgrund ihrer täglichen Bewertungen von Profilen anderer Nut- zer. Er ist eine selbstlernende KI, die Rückschlüsse über die Partnerpräferenzen der Nutzer aus diesen Bewertungen zieht. Sie passt sich dementsprechend an, um die vermuteten Prä- ferenzen der Nutzer bei künftigen Vorschlägen zu berücksichtigen. Je mehr die Nutzer an- dere Profile bewerten, desto besser weiss die KI über deren Vorlieben Bescheid und kann dementsprechend bessere Matchs machen. Der Algorithmus lernt auch dadurch, dass er über die Kompatibilität zwischen den Nutzern lernt.9 2.2.4. Bearbeitungszwecke
22. Alle Informationen der Nutzer werden gemäss Angaben der Once Dating AG ausschliesslich für das Matchmaking verwendet. Die Once Dating AG führt in diesem Zusammenhang aus, dass sie «im Gegensatz zu vielen ihrer Konkurrenten, die Daten der Nutzer nicht verkauft und die persönlichen Daten der Nutzer nicht über In-App-Werbung monetarisiert»10 und, dass sie «keine persönlichen Daten für Werbung [verwendet], (…) die Nutzer nicht für Werbung [mo- netarisiert] und (…) nicht mit Affiliates [arbeitet]».11
23. Gemäss der Once Dating AG bedeutet die Aussage, dass sie keine persönlichen Daten für Werbung verwende, dass keine Anzeigen innerhalb der App Once platziert sind (Interstitials, Banner, etc.), welche Personendaten der Nutzer verwenden, um ihnen Werbung anzuzeigen. Mit der Aussage «wir monetarisieren unsere Nutzer nicht für Werbung» meint Once Dating AG, dass sie keine Nutzerdaten gegen irgendeine Art von Entgelt weitergeben.12
24. Die Once Dating AG bearbeitet Nutzerdaten für folgende Zwecke:
a. Bereitstellung des täglichen Matches;
b. Um passende Nutzer in der App vorzustellen z.B. auf dem Bewertungsbildschirm;
c. Um Produktinformationen an die Nutzer zu senden z.B. Benachrichtigungen von erhaltener Nachrichten etc;
8 Ausserdem werden die Bilder moderiert, wenn der Algorithmus Nacktheit, Waffen oder rassistische Elemente mit hoher Wahrscheinlichkeit auf den Fotos erkennt. Vgl. Antwort zur Frage 14.1 (Anhang 1 des Schreibens vom
9. April 2021, S. 10 f. bzw. 26 f.) 9 Vgl. Antwort zur Frage 2.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 3 f. bzw. 19 f.) 10 Vgl. Schreiben vom 9. April 2021, S. 1 f. 11 Vgl. Antwort zur Frage 6 (Anhang 1 des Schreibens vom 9. April 2021, S. 7 bzw. 23) 12 Vgl. Antwort zur Zusatzfrage 2 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021).
10/44
d. Um Marketingkommunikation zuzustellen z.B. Nutzerumfragen und Werbeaktio- nen;
e. Weitergabe an Dritte zu Marketingzwecken. 13 2.2.5. Weitere Massnahmen zur Missbrauchsbekämpfung
25. Neben der Verifizierung bei der Registrierung und der halbautomatisierten Bildermoderation implementiert die Once Dating AG auch die folgenden Massnahmen und bearbeitet dabei Personendaten der Nutzer, um Fake-Profile und andere Nutzermissbräuche zu erkennen und zu bekämpfen:
a. Nutzerberichten: An 3 Endpunkten in der App haben die Nutzer die Möglichkeit, «bösartiges Verhalten» anderer Nutzer zu melden.
b. Regelmässige IP-Prüfungen (und evtl. Blockierung): IP-Adressen aus bestimmten Ländern, die als besonders riskant eingeschätzt werden, die bereits von anderen bekannten betrügerischen Nutzern verwendet worden sind oder die zu Dritten ge- hören, die VPN anbieten und als betrügerisch bekannt sind, können blockiert wer- den.
c. Punkte im Bewertungssystem: auf Basis von Nutzerberichten wurde ein Bewer- tungssystem implementiert, welches betrügerische Profile gemäss den folgenden Kriterien erkennt: Nutzerberichte, Wahrscheinlichkeit, dass es sich um eine betrü- gerische Telefonnummer handelt, letzte bekannte IP-Adressen, Bewertungsver- halten (Geschwindigkeit und Bewertung), Grösse der Beschreibung.
d. Manuelle Moderation: Die Once Dating AG führt täglich eine manuelle Moderation durch, um andere Probleme zu beheben und um Scammer-Muster zu entdecken.
e. Kundenbetreuung: die Nutzer können sich an den Kundendienst wenden, um Probleme (inkl. gefälschte Profile) zu melden. Die Once Dating AG hat ein Team von 2 Personen, die, unter der Aufsicht des CPO, Tickets in 4 Sprachen verwal- ten.14 2.2.6. Bekanntgabe von Personendaten der Nutzer an Dritte
26. Gemäss der Datenschutzrichtlinie von der Once Dating AG können Personendaten der Nut- zer an die folgenden Dritten übermittelt werden: andere Nutzer von Once und «Dritten, die auf Rechnung von Once bestimmte Leistungen erbringen».15 2.2.7. Bekanntgabe von Personendaten an andere Nutzer der App
27. Mit Ausnahme der Fotos, die im «Bewertungsbildschirm» von anderen Nutzern eingesehen werden können, sind die Profilinformationen eines Nutzers oder einer Nutzerin nur für diejeni- gen Personen zugänglich, die vom Algorithmus als «Match des Tages» ausgewählt wurden.16
13 Vgl. Antworten zu Fragen 25.3 und 28.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 f. bzw. 32 f.) 14 Vgl. Antwort zur Frage 14.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 11 f. bzw. 27 f.) 15 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 4 «Weitergabe Ihrer personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 16 Vgl. Antwort zur Frage 4.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 4 bzw. 20 f.)
11/44
28. Nicht registrierte Nutzer haben keine Möglichkeit, auf Personendaten registrierter Nutzer zu- zugreifen.17 2.2.8. Bekanntgabe von Personendaten an Dienstleister/Partner
29. Gemäss der Datenschutzrichtlinie von Once Dating AG, können Personendaten der Nutzer «mit Dritten ausgetauscht werden, «die auf Rechnung von Once bestimmte Leistungen er- bringen, wie zum Beispiel externen Dienstleistern insbesondere für Hosting und Pflege der Daten, Analysen, Kundendienst, Zahlungsabwicklung und Sicherheitsmaßnahmen.».18 «Aus- tausch» soll hier gemäss der Once Dating AG als «Bekanntgabe» verstanden werden, weil die Once Dating AG keine personenbezogenen Daten von Nutzern von Dritten erhält, abge- sehen von den Daten, die mit dem Facebook SDK beim Facebook-Login übertragen wer- den.19
30. Diese Datenbekanntgaben erfolgen im Zusammenhang mit folgenden Bearbeitungszwecken: Kundensupport, Zahlungsabwicklung und Sicherheitsoperationen sowie Analysen für Marke- tingzwecke. Die Once Dating AG verlässt sich auf externe Partner oder Dienstleister in die- sen Bereichen, um einen sicheren und hochwertigen Service zu betreiben, weil sie nicht alle Kompetenzen oder technischen Bausteine im Haus hat.20
31. Die nachfolgenden Partner erhalten Zugriff auf folgende Daten:21: Dienstleister Dienst Kategorien der im Auftrag bear- beiteten Daten Facebook App-Analytik22: Messung und Visualisie- rung aller In-App-Ereignisse, Funnels, Kohorten, etc. App-Ereignisse, Telefonumgebung (Plattform, OS, App-Version), ano- nymisierte Benutzerinformationen (Geschlecht, Plattform, Land), u- did23 Facebook Login Facebook-Konto Google Ana- lytics und Firebase App-Analytik: Messung und Visualisie- rung aller In-App-Ereignisse, Funnels, Kohorten, etc. App-Ereignisse, Telefonumgebung (Plattform, OS, App-Version, udid), anonymisierte Benutzerinformatio- nen (Geschlecht, Plattform, Land, IP-Adresse)
17 Vgl. Antwort zur Frage 4.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 5 bzw. 21 f.) 18 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfüg- bar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 19 Vgl. Antwort zur Frage 5.3 (Anhang 1 des Schreibens vom 9. April 2021, S. 7 bzw. 23) 20 Vgl. Antworten zur Fragen 5.1 und 5.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 5 f. bzw. 21 f.) 21 Vgl. Antworten zur Fragen 5.1 und 5.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 5 f. bzw. 21 f.), Antwort zur Zusatzfrage 1 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021) und Änderungsvorschlag 1 (Anhang 1 des Schreibens vom 21. Juli 2021, S. 2 bzw. 3) 22 Das Tool Facebook Analytics wird am 30. Juni 2021 von Facebook eingestellt. Vgl. Facebook, Facebook Analy- tics wird eingestellt, verfügbar unter https://www.facebook.com/business/help/ 966883707418907 [aufgerufen am 26.04.2021]. 23 Udid ist ein Akronym für «Unique Device Identifier». Dies ist eine eindeutige Kennung für jedes Apple-Gerät.
12/44
Batch Reengagement-Dienste: ermöglicht das Senden von Push-Benachrichtigungen an Benutzer, basierend auf Ereignissen und Auslösern. App-Ereignisse, Telefonumgebung (Plattform, Betriebssystem, App- Version), Benutzerinformationen (Geschlecht, Plattform, Alter, Land, Standort, Trinkvorlieben, Grösse, Politik, Religion, Sexualität) Adjust Analytik und Werkzeug zur Attributions- erkennung Anonyme Benutzerkennung, App- Sitzungen (von Adjust SDK abgeru- fen), Umsatz, udid Paypal Online Bezahldienst. Anonyme Benutzerkennung Stripe Online Bezahldienst. Anonyme Benutzerkennungen, Kre- ditkartennummer, E-Mail-Adresse Sightengine Bildanalyse zur Moderation Anonyme Benutzerkennungen und Bilder Telesign Überprüft die Telefonnummer, die für die Benutzerauthentifizierung bei der An- meldung verwendet wird. Sendet einen 6-stelligen Code zur Verifizierung, damit sich der Benutzer anmelden kann. Rufnummer Logentries24 Werkzeug zur Verwaltung von Protokol- len Anonyme Benutzerkennung
Airbrake Crash-Reporting-Werkzeug Anonyme Benutzerkennung Sendgrid Reengagement-Dienste: ermöglicht das Senden von E-Mails an Benutzer, basie- rend auf Ereignissen und Auslösern E-Mail-Adresse Looker Visualisiert die wichtigsten Daten, um sie zu analysieren, Berichte zu erstellen und Entscheidungen zu treffen. Anonyme Benutzerkennungen, Pro- duktereignisse, Geschlecht, Be- triebssystem, Alter Zendesk Cloudbasierte Kundensupport-Plattform. Anonyme Benutzerkennung, E- Mail-Adresse und Konversationen mit unserem Kundensupport Vonage Videochats zwischen Nutzern, nachdem die Zustimmung eingeholt wurde. Anonyme Benutzerkennung und Vi- deo Apple Apple Sign-In E-Mail-Adresse für Apple-Anmel- dung Tabelle 1
32. Grösstenteils erfolgen diese Datenbekanntgaben an Dienstleister/Partner über Programmier- schnittstellen (API), welche durch das Einbauen von vorgefertigten Code-Bausteinen (SDK)
24 Dieser wird gemäss der Once Dating AG derzeit entfernt.
13/44
der Dienstleister in den Code der App Once ausgelöst werden. Durch die Integration dieser SDK werden viele Funktionen der App durch Algorithmen, welche von Dritten entwickelt wer- den, ausgeführt.
33. Einige dieser Algorithmen von Dritten führen eine Trackingfunktion aus. Dabei werden Perso- nendaten der Nutzer durch Ditte bearbeitet, um das Nutzerverhalten zu verfolgen: Facebook Analytics, Google Analytics, Batch, Firebase,25 Adjust26, Telesign27, Sendgrid28, Looker29, Vo- nage30 und Airbrake31.
34. Die Werbe-ID der Nutzer (IDFA für iOS, GPS-ADID für Google) wird an den Dienstleister Ad- just übermittelt, der seinerseits die Werbe-ID an Dritte (insbesondere Facebook und Google) für Werbezwecke weitergibt. Die Once Dating AG speichert jedoch die IDFA oder GPS-ADID der Nutzer nicht auf ihren Servern und verknüpft keine Daten der Nutzer zu deren Werbe- ID.32
25 Vgl. Antwort zur Fragen 27, 27.1 und 27.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 bzw. 33) 26 Adjust wurde zwar nicht in der Antwort von Once Dating AG zur Frage 27.1 erwähnt, wird aber gemäss ihrer Antwort zur Frage 23 hier auch aufgeführt. (Anhang 1 des Schreibens vom 9. April 2021, S. 15 bzw. 32) 27 Telesign wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der ge- mäss der Privacy Notice erhobenen Daten hier aufgeführt. Vgl. Privacy Notice von Telesign, verfügbar unter: https://www.telesign.com/privacy-notice [aufgerufen am 18.05.2021]. 28 Sendgrid wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der ge- mäss dem Privacy Statement von Twilio möglicherweise erhobenen Daten hier aufgeführt. Vgl. Twilio Privacy Statement, verfügbar unter: https://www.twilio.com/legal/privacy#how-twilio-processes-your-end-users-personal- information [aufgerufen am 18.05.2021] 29 Looker wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der ge- mäss der Privacy Policy von Looker möglicherweise erhobenen Daten hier aufgeführt. Vgl. Ziff. 2 der Privacy Po- licy, verfügbar unter https://looker.com/trust-center/privacy/policy [aufgerufen am 18.05.2021] 30 Vonage wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der ge- mäss der Privacy Policy von Vonage möglicherweise erhobenen Daten hier aufgeführt. Vgl. https://www.vo- nage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy [aufgerufen am 18.05.2021] 31 Airbrake wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird hier aber aufgeführt, weil gemäss der Airbrake Privacy Notice Drittdienste wie bspw. Google Analytics Daten von Airbrake Nutzern er- heben können. Vgl. https://airbrake.io/privacy#information-collected [aufgerufen am 18.05.2021]. 32 Vgl. Antworten zur Fragen 22 bis 25 (Anhang 1 des Schreibens vom 9. April 2021, S. 15 f. bzw. 32)
14/44
35. Gewisse Dienstleister behalten sich das Recht vor, die ihnen durch Once Dating AG bereitge- stellten Daten im eigenen Interesse zu nutzen. Diese sind: Facebook, Google,33 Sendgrid34, Looker35, Vonage36 und Paypal37.38 2.2.9. Bekanntgabe von Personendaten ins Ausland
36. Gemäss der Datenschutzrichtlinie der Once Dating AG erfolgt manchmal eine Datenbekannt- gabe ins Ausland, wenn Daten an Dritte weitergegeben werden. Für die Übermittlung von Da- ten in Länder, die kein angemessenes Datenschutzniveau aufweisen, wie zum Beispiel die USA, beruft sich die Once Dating AG auf EU-Standardvertragsklauseln oder «andere geeig- nete Schutzklauseln, um diesen Datenübertragungen einen festen Rahmen zu verleihen und die Geheimhaltung und Sicherheit Ihrer Daten abzusichern.».39
37. Auf die Frage, in welchem Rahmen eine Datenübertragung in Länder ohne angemessenes Datenschutzniveau erfolgt und welche Personendaten davon betroffen sind, gab die Once Dating AG lediglich den Cloud-Anbieter Amazon Web Services an, welche die Daten von der App Once hostet, wobei alle Daten in der EU (Irland) gespeichert werden, ausser den Fotos der Nutzer, die in einer AWS-Instanz in den USA gespeichert werden40.
33 Vgl. Antwort zur Zusatzfrage 1 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021). 34 Sendgrid wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss dem Privacy Statement von Twilio hier aufgeführt. «When we process Customer Usage Data, we act as a proces- sor in many respects, but we may act as a controller in others. For example, we may need to use certain Cus- tomer Usage Data for the legitimate interests of billing, reconciling invoices with telecommunications carriers, and in the context of troubleshooting and detecting problems with the network. (…) » Vgl. Twilio Privacy Statement, verfügbar unter: https://www.twilio.com/legal/privacy#how-twilio-processes-your-personal-information [aufgerufen am 18.05.2021] 35 Looker wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss der Privacy Policy von Looker hier aufgeführt. Vgl. Privacy Policy von Looker, verfügbar unter: https://loo- ker.com/trust-center/privacy/policy [aufgerufen am 18.05.2021] 36 Vonage wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss der Privacy Policy von Vonage hier aufgeführt. Vgl. Vonage Privacy Policy, verfügbar unter: https://www.vo- nage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy [aufgerufen am 18.05.2021] 37 Paypal wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss der Privacy Policy von Paypal hier aufgeführt. Vgl. Privacy Policy, verfügbar unter: https://www.paypal.com/ch/webapps/mpp/ua/privacy-full?locale.x=en_CH#7 [aufgerufen am 18.05.2021] 38 Zwischen der Zustellung der Sachverhaltsfeststellung und der Erarbeitung des Schlussberichts wurde die Pri- vacy Notice von TeleSign überarbeitet. Gemäss den neuen Bestimmungen behält sich die TeleSign nicht mehr vor, Daten, die sie im Auftrag erhält, für eigene Zwecke zu bearbeiten. «In den meisten Fällen sind wir ein "Daten- verarbeiter", d.h. wir verarbeiten Persönliche Daten, die wir von Organisationen (TeleSigns "Kunden") für die Er- bringung unserer Dienstleistungen erhalten. […] Als Datenverarbeiter erheben und verwenden wir Ihre personen- bezogenen Daten in Übereinstimmung mit den vertraglichen Verpflichtungen, die wir mit unseren Kunden ha- ben.». Deshalb wird TeleSign in dieser Auflistung nicht mehr aufgeführt. Vgl. Hinweis zum Datenschutz, verfügbar unter: https://www.telesign.com/privacy-notice [aufgerufen am 15.02.2022] 39 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 5 «Übertragung von personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 40 Vgl. Antworten zur Fragen 15.1 und 15.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 12 bzw. 28 f.)
15/44
38. Die gemäss Once Dating AG als Schutzklausel einschlägige AWS Kundenvereinbarung hält zum Datenschutz Folgendes fest: «3.2 Datenschutz. Sie können die AWS Regionen benennen, in denen Ihre Inhalte gespeichert werden. Sie stimmen der Speicherung Ihrer Inhalte in den von Ihnen gewählten AWS Regionen sowie deren Über- tragung in diese AWS Regionen zu. Wir werden nicht auf Ihre Inhalte zugreifen oder diese nutzen, es sei denn, dies ist notwendig, um die Serviceangebote zu warten oder anzubieten oder erforderlich, um die Gesetze einzuhalten oder einer verbindlichen Anordnung einer staatlichen Stelle nachzukommen. Wir werden Ihre Inhalte (a) nicht an staatliche Stellen oder Dritte weitergeben oder (b) Ihre Inhalte, vorbehalt- lich Ziffer 3.3, nicht in andere als die von Ihnen gewählten AWS-Regionen verlagern, es sei denn, dies ist im Einzelfall erforderlich, um Gesetze einzuhalten oder einer verbindlichen Anordnung einer staatlichen Stelle nachzukommen. Wir werden Sie über eine rechtliche Verpflichtung oder Anordnung im Sinne dieser Ziffer 3.2 informieren, es sei denn, dies ist uns gesetzlich oder durch die Anordnung einer staatlichen Stelle untersagt. Wir werden Ihre Account Informationen nur der Datenschutzerklärung entsprechend verwen- den, und Sie stimmen hiermit einer solchen Nutzung zu. Die Datenschutzerklärung ist auf Ihre Inhalte nicht anwendbar.» 41
39. Wir stellen aber aus der von der Once Dating AG bereitgestellten Partnerliste fest, dass ver- schiedene Dienstleister, mit denen die Once Dating AG zusammenarbeitet, in ihren Daten- schutzerklärungen bzw. Nutzungsbedingungen ankündigen, dass sie Personendaten von Endkunden in Drittländer (z.B. USA) übermitteln. Ein angemessener Schutz der Daten in dem Zielland werde gemäss den Partnern durch EU-Standardvertragsklausel oder eine Zertifizie- rung unter dem Privacy Shield Framework gewährleistet. Diese sind: Google (Google Analy- tics, Firebase und Looker42), Facebook43, Adjust44; Paypal45; Stripe46; Sightengine47;
41 Vgl. AWS Kundenvereinbarung, verfügbar unter https://d1.awsstatic.com/legal/aws-customer-agree- ment/AWS_Customer_Agreement-German_2020-11-30.pdf [aufgerufen am 28.04.2021] 42 Vgl. Rechtliche Rahmenbedingungen für Datenübermittlungen, verfügbar unter https://policies.google.com/pri- vacy/frameworks?hl=de und Ziff. 10 der Data Processing and Security Terms for Looker Services (Customers), verfügbar unter https://looker.com/trust-center/legal/customers/dpst [aufgerufen am 28.04.2021] 43 Vgl. Informationen für Unternehmen, verfügbar unter https://www.facebook.com/business/gdpr [aufgerufen am 28.04.2021] 44 Vgl. Annex “General Terms and Conditions for Data Processing”, verfügbar unter https://www.ad- just.com/terms/general-terms-and-conditions/?entity=rest-of-world [aufgerufen am 28.04.2021] 45 Vgl. Ziff. 7 der Datenschutzerklärung, verfügbar unter https://www.paypal.com/ch/webapps/mpp/ua/privacy- full?locale.x=en_CH#7 [aufgerufen am 28.04.2021] 46 Vgl. Ziff. 7 der «Global Privacy Policy – World», verfügbar unter https://stripe.com/gb/privacy#international- data-transfers [aufgerufen am 28.04.2021] 47 Vgl. Data Processing Addendum, verfügbar unter https://s3-eu-west-1.amazonaws.com/static.sighten- gine.com/legal/20191212-dpa.pdf und Liste von Sub-Processors, verfügbar unter https://sightengine.com/poli- cies/subprocessors [aufgerufen am 28.04.2021]
16/44
Telesign48; Rapid749; Airbreak50; Twilio (Sendgrid)51; Zendesk52 und Vonage53. Also alle aus- ser Batch54.
40. Gemäss den «Internen Datenschutz-Policies», welche die Once Dating AG im Hinblick auf das neue DSG erarbeitet und gemäss ihrer Anwältin Fr. noch als «Work in Progress» zu betrachten sind, dürften Auftragnehmer der Once Dating AG keine Personendaten in Dritt- ländern ohne die Zustimmung der Once Dating AG übermitteln. Sollte die Once Dating AG dies jedoch erlauben, dann würde sie als Auftraggeberin in der Regel sicherstellen, dass sich die fraglichen Datenübermittlungen auf die von der EU genehmigten Standardvertragsklau- seln für die Übertragung persönlicher Daten stützen.55 2.3. Aufbewahrung und Löschung von Personendaten 2.3.1. Deaktivierung von Konten auf Verlangen
41. Nutzer können ihr Konto jederzeit selbst in der App deaktivieren, indem sie unter den Einstel- lungen die Option «Mein Konto deaktivieren» wählen. Wenn eine Nutzerin oder Nutzer dies tut, wird ihr oder sein Profil für andere Mitglieder unsichtbar gemacht. Eine Reaktivierung ist innerhalb eines Jahres möglich, weil die Informationen des Kontos für 1 (ein) Jahr nach dem Deaktivierungsdatum aufbewahrt werden.56 2.3.2. Löschung von Konten bzw. Personendaten der Nutzer auf Verlangen
42. Man findet zwar keine eigenständige In-App Option unter den Einstellungen («Paramètres») für das Löschen des Kontos mit entsprechenden Personendaten, aber es besteht seit 2017 die Möglichkeit, einen Löschungsantrag durch das Auswählen der Option «ich will mein
48 Vgl. Privacy Notice von Telesign, verfügbar unter: https://www.telesign.com/privacy-notice [aufgerufen am 15.05.2022] 49 Vgl. Rapid7 Privacy Policy, verfügbar unter: https://www.rapid7.com/de/privacy-policy/ [aufgerufen am 28.04.2021] 50 Vgl. Airbreak Privacy Policy, verfügbar unter: https://airbrake.io/privacy [aufgerufen am 28.04.2021] 51 Vgl. Twilio Privacy Statement, verfügbar unter: https://www.twilio.com/legal/privacy#transfers-of-personal-infor- mation-out-of-the-eea-and-switzerland [aufgerufen am 28.04.2021] 52 Vgl. Ziff. 8 der «Privacy Policy von Zendesk», verfügbar unter: https://www.zendesk.com/company/customers- partners/privacy-policy/#international-transfer-of-personal-information [aufgerufen am 28.04.2021] 53 Vgl. Privacy Policy von Vonage, verfügbar unter: https://www.vonage.com/legal/privacy-policy/?icmp=footer_le- galpolicy_privacy [aufgerufen am 28.04.2021] 54 Vgl. Ziff. 2.8 des Data Processing Agreements - Batch und Once Dating, verfügbar unter: https://drive.google.com/file/d/1UU8BbAPK5KaKVGzBkW6O_k_xawhQ3a31/view [aufgerufen am 28.04.2021] 55 Vgl. Ziff. 11 des Data Processing Addendums (Beilage 1 zum Schreiben vom 9. April 2021, S. 11) 56 Vgl. Antwort zur Frage 16.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 12 f. bzw. 29) und FAQ von Once, verfügbar unter https://getonce.com/de/faq#wie-deaktiviere-ich-mein [aufgerufen am 21.04.2021]
17/44
Konto löschen» über den In-App Kontaktkanal («Nous contacter») einzureichen, wie folgende Abbildung zeigt:57
43. Somit können Löschbegehren entweder per Brief an die Adresse der Once Dating AG in Pfäf- fikon SZ, per E-Mail an hello@getonce.com oder über den Kontaktkanal in der App einge- reicht werden. Die Bearbeitungszeit von Löschbegehren beträgt gemäss Angaben der Once Dating AG 24 Stunden und erfolgt seit Mai 2021 in automatisierter Form mithilfe eines Lö- schungs-Skripts, welches täglich ausgeführt wird.58
44. Gemäss der Datenschutzrichtlinie der Once Dating AG sollen Datenschutzbegehren jedoch an die E-Mail-Adresse dpo@getonce.com gerichtet werden, wo sie in der Regel innerhalb von zwei Monaten nach Eingang von der Once Dating AG bearbeitet werden. In der Daten- schutzrichtlinie wird ausserdem ausgeführt, dass der Anfrage eine Kopie eines mit der Unter- schrift des Inhabers versehenen Ausweisdokuments beizufügen ist. Darüber hinaus werden die Betroffenen darauf hingewiesen, dass falls «sich die Anfragen eines Mitglieds als deutlich unbegründet oder über das Maß hinausgehend herausstellen (insbesondere aufgrund ihres sich wiederholenden Charakters), ist Once [Dating AG] berechtigt, i) angemessene Aufwen- dungen geltend zu machen, die den Verwaltungskosten für die Bereitstellung der Informatio- nen, den Kommunikationsaufbau oder das Ergreifen der angefragten Maßnahmen Rechnung tragen, oder ii) sich weigern, diesen Anträgen Folge zu leisten.».59
45. In der FAQ zu Once wird die Frage «Wie kann ich mein Konto endgültig löschen, anstatt es nur zu deaktivieren?» wie folgt beantwortet: «Wenn du dein Konto dauerhaft löschen
57 Vgl. Änderungsvorschlag 3 (Anhang 1 des Schreibens vom 21. Juli 2021, S. 2 bzw. 3) 58 Vgl. Antwort zur Frage 18 (Anhang 1 des Schreibens vom 9. April 2021, S. 14 bzw. 30) 59 Datenschutzrichtlinie vom 26.05.2020, Ziff. 9 «Ihre Rechte», verfügbar unter https://getonce.com/de/terms#pri- vacy [aufgerufen am 21.04.2021] Abbildung 4: Screenshot des Kontaktkanals in der App Once («Nous contacter»)
18/44
möchtest, sende uns eine Nachricht mit deiner Telefonnummer, deiner E-Mail-Adresse oder deiner Facebook-E-Mail-Adresse, damit wir dein Profil finden können. Bitte bedenke, dass alle Vorschläge und alle Profildaten dabei verloren gehen und diese Aktion nicht rückgängig gemacht werden kann.». Es wird jedoch nicht präzisiert, wie bzw. über welchen Kommunika- tionskanal man diese «Nachricht» der Once Dating AG senden kann.60
46. Die Once Dating AG hat in ihrer Antwort zu unserer Frage Nr. 19 ausgeführt, dass sämtliche Personendaten der Nutzer gelöscht werden, wenn diese es verlangen; in ihrer Antwort zu un- serer Frage Nr. 16.1 jedoch festgehalten:«…identifizierenden Daten des Mitglieds werden für 1 (ein) Jahr nach diesem Datum aufbewahrt, für den Fall, dass betrügerisches Verhalten ge- meldet wird oder Beschwerden von einem anderen Mitglied gegen das Mitglied vorgebracht werden».
47. Once Dating AG hat hierzu klargestellt, dass in der Regel alle personenbezogenen Daten von Nutzern innert 24 Stunden nach dem Eingang eines Löschbegehrens automatisch gelöscht werden, mit Ausnahme des Falles, dass ein Nutzer mit betrügerischem Verhalten auf der App identifiziert wurde und bereits blockiert wurde. Nur in diesem Fall würden die Daten, die die Nutzerin oder der Nutzer bei der Anmeldung angegeben hat, sowie alle In-App-Aktivitätsda- ten der Nutzerin oder des Nutzers für 1 (ein) Jahr nach dem Datum der Blockierung aufbe- wahrt bevor sie endgültig gelöscht werden.61 2.3.3. Deaktivierung und Löschung von Konten von inaktiven Nutzern
48. Die App Once führt weder eine automatisierte Löschung noch eine Deaktivierung von inakti- ven Konten durch. Gemäss Angaben der Once Dating AG werden jedoch die Profile von Nut- zern, die für eine lange Zeit die App nicht mehr genutzt haben, «in verschiedenen Dimensio- nen depriorisiert». Zuerst erfolgt eine De-Priorisierung der inaktiven Nutzer in dem Match-Ma- king-Prozess, wenn sie die App seit mehr als 2 Wochen nicht genutzt haben. Nutzen sie die App seit mehr als 30 Tagen nicht, werden sie in der Datenbank von Once inaktiv. Dies hat zur Folge, dass sie keine Kommunikation (E-Mail, Benachrichtigungen) mehr von der Once Dating AG erhalten, aus ihrer Mailingliste gelöscht werden und nicht mehr für User Experi- ence Umfragen und Fokusgruppen ausgewählt werden.62 2.3.4. Löschung von Personendaten bei Dritten
49. Auf unsere Frage, wie die Datenlöschung bei der Inanspruchnahme von Diensten Dritter si- chergestellt wird, teilte uns die Once Dating AG mit, dass sie sich auf Dritte verlasse, um die Daten von gelöschten Nutzern zu löschen. Sie habe allerdings aktuell keinen proaktiven Pro- zess, um eine sofortige Löschung von Daten, die durch Dritte im Auftrag bearbeitet werden, zu beantragen, obwohl die Vereinbarungen, die sie mit diesen Dienstleistern geschlossen ha- ben, die Möglichkeit vorsehen, dass sie auf Anfrage der Once Dating AG die Nutzerdaten lö- schen.63
50. Die neuen internen Policies der Once Dating AG beinhalten die folgende Vorgabe zur Lö- schung von Personendaten, die durch Dritte bearbeitet werden: “Each employee who works with personal data shall take all reasonable measures for the destruction and deletion from all systems of all personal data which is not necessary anymore and in compliance with the
60 Vgl. Antwort FAQ von Once, verfügbar unter https://getonce.com/de/faq#wie-kann-ich-mein-konto-endgultig- anstatt-es-nur-zu [aufgerufen am 21.04.2021] 61 Vgl. Antwort zur Zusatzfrage 3 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021) 62 Vgl. Antwort zur Frage 3.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 4 bzw. 20) 63 Vgl. Antwort zur Frage 21 (Anhang 1 des Schreibens vom 9. April 2021, S. 14 f. bzw. 31 f.)
19/44
rules and keeping policies of Once – this may include the obligation third parties to be required to delete these personal data.”64 2.4. Datensicherheit 2.4.1. Entwicklung der App
51. Gemäss der Once Dating AG wurde die App Once nicht nach einem besonderen Standard hinsichtlich Datenspeicherung und Datenschutz (OWASP; ISO, NIST etc.) entwickelt, aber die Datenschutzkonformität wurde dadurch gewährleistet, dass die Once Dating AG die Ent- wicklung der Datenschutzvorschriften verfolgt hat und den Rat ihrer Rechtsberater in Bezug auf den Datenschutz bei der Entwicklung der App berücksichtigt hat. Die Once Dating AG ist der Auffassung, dass die Sicherheit der Daten dadurch gewährleistet wird, dass die Entwick- lung der Anwendung von Senior Ingenieuren durchgeführt wird, die Erfahrung mit ähnlichen Anwendungen und in einem hochkritischen Kontext gesammelt haben (z. B. Militär, Amadeus, etc.), die Datenspeicherung gemäss den best practices der AWS-Sicherheit erfolgt und die Infrastruktur über Sicherheitsgruppen und IP-Filterung in mehrere Bereiche mit einge- schränktem Zugriff aufgeteilt wird. 2.4.2. Schwachstellentests
52. Die Once Dating AG bearbeitet aufgrund des Zwecks Partnervermittlung sensible Daten der Nutzer, unter anderem auch besonders schützenswerten Daten. Auch wenn diese - auf der Netzwerkebene geschützt - auf einem anderen System liegen, sind sie doch über die App er- reichbar. Es wurden bisher weder Audits noch Penetrations-Tests durchgeführt, um die Si- cherheit der App durch externe Schwachstellentests überprüfen zu lassen. Im Moment wer- den nur interne Schwachstellentests durchgeführt. Änderungen werden von einer zweiten Person des Teams auf mehrere Aspekte hin, inkl. die Implikationen der Änderungen aus Sicht des Datenschutzes, überprüft und analysiert, bevor sie aufgeschaltet werden. 65 2.4.3. Monitoring und Patchen
53. Das Monitoring bei Once erfolgt mittels Alarmierung bei Verbindungen zu kritischen Maschi- nen. Das regelmässige Patchen wird sichergestellt, indem die App typischerweise alle 2 Wo- chen gepatcht wird. Dies erfolgt durch vollständige Bereitstellungen der API-Infrastruktur.66 2.4.4. Verschlüsselung
54. Die Datenübertragungen zwischen dem Endgerät der Nutzer und den Servern von Once (AWS) erfolgen über verschlüsselte HTTPS-Verbindungen (HTTP over TLS). In der Cloud angekommen, werden die Daten aber wieder vollständig entschlüsselt. Damit hat der Cloud- Anbieter ungehindert Zugriff auf die Daten, da diese im Ruhezustand (Data at Rest) weder pseudonymisiert noch verschlüsselt werden.67 2.4.5. Zugriffskontrollen
64 Vgl. Ziff. 9 der Internal General Data Protection Guidance (Beilage 1 zum Schreiben vom 9. April 2021, S. 18 f.) 65 Vgl. Antworten zur Fragen 8, 11 und 12 (Anhang 1 des Schreibens vom 9. April 2021, S. 9 f. bzw. 25 f.) 66 Vgl. Antwort zur Frage 12 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26) 67 Vgl. Antworten zu Fragen 9 und 10 (Anhang 1 des Schreibens vom 9. April 2021, S. 9 bzw. 25)
20/44
55. Der Zugriff auf Nutzerdaten wird einerseits durch VPN und IP-Beschränkungen und anderer- seits durch Zugriffsberechtigungen eingeschränkt. Ergänzend sind Ratenbegrenzung auf IP- Adressen für die Administration und für die öffentliche API implementiert mit dem Ziel, einen brute force Angriff auf Authentifizierungstoken zu verhindern. Die Administration ist über ein VPN mit persönlichem Zugriff nur für Teammitglieder erreichbar. Das Verwaltungstool ist mit persönlichen Anmeldeinformationen eingeschränkt, wonach jeder Nutzer nur auf diejenigen Daten zugreifen kann, die er benötigt. Ausserdem werden die Daten gemäss den Sicherheits- massnahmen von AWS gespeichert.68 Logdaten und Protokolle sind durch persönliche Zu- gangsdaten geschützt, die nur an Personen weitergegeben werden, die Zugang zu den Pro- tokollen benötigen.69
56. Gemäss der uns von der Once Dating AG zugestellten AWS Kundenvereinbarung ist die Once Dating AG «für die ordnungsgemäße Konfiguration und Nutzung der Serviceangebote verantwortlich» und muss «angemessene Maßnahmen ergreifen zur Sicherung, zum Schutz und zum Backup Ihrer Accounts und Ihrer Inhalte, wozu die Nutzung von Verschlüsselungs- technologie zum Schutz Ihrer Inhalte vor unberechtigtem Zugriff sowie eine regelmäßige Ar- chivierung gehören können.». AWS ergreift ihrerseits «zumutbare und angemessene Maß- nahmen», um der Once Dating AG «zu helfen, Ihre Inhalte gegen zufällige oder rechtswidrige Verluste, Zugriffe oder Offenlegung zu schützen».70
57. In den neuen internen Datenschutz-Policies werden die technischen und organisatorischen Massnahmen zum Schutz der Daten allgemein unter Ziff. 10.1 des Dokuments «Internal Ge- neral Data Protection Guidance»71 sowie in Details im Dokument «Technical and Organisatio- nal Measures (TOMS)»72 umschrieben. Diese Massnahmen sind ein «Work-in-Progress» und wurden noch nicht implementiert. 2.5. Logging
58. Gemäss der Datenschutzrichtlinie der Once Dating AG werden Daten über die Nutzung der Webseite und der App Once erfasst, wobei alle über die Website und die App realisierten Ak- tionen sowie die Verbindungen, Verbindungszeiten und die gesamten Interaktionen der Nut- zer mit den anderen Nutzern protokolliert werden. Gemäss Angaben der Once Dating AG werden Logdaten aggregiert und ausschliesslich zur Analyse der Applikationsperformance ausgewertet. Logdaten werden für 1 Monat aufbewahrt. 73 2.6. Einwilligung und Datenschutzeinstellungen der App
59. Die Once Dating AG rechtfertigt die Bearbeitung aller Daten, die sie von Nutzern erhebt, auf der Grundlage der Einwilligung der betroffenen Personen (Nutzerin oder Nutzer). Gemäss der Once Dating AG erteilen die Nutzer im Rahmen der Anmeldung74 eine Einwilligung zur Bearbeitung von «Daten, die während des Anmeldevorgangs gesammelt werden, sowie auf
68 Vgl. Antworten zu Fragen 13 und 13.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26) 69 Vgl. Antworten zur Frage 26.3 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 bzw. 33) 70 Vgl. Ziff. 3.1 und 4.3 der AWS Kundenvereinbarung, verfügbar unter https://d1.awsstatic.com/legal/aws-custo- mer-agreement/AWS_Customer_Agreement-German_2020-11-30.pdf [aufgerufen am 28.04.2021] 71 Beilage 1 zum Schreiben vom 9. April 2021, S. 19 f. 72 Beilage 1 zum Schreiben vom 9. April 2021, S. 26 f. 73 Vgl. Antworten zu Fragen 26, 26.1 und 26.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 bzw. 33) 74 Durch Ankreuzen des Kästchens neben der Aussage: «Ich akzeptiere, dass Once einige meiner personenbe- zogenen Daten sammelt und weiterverarbeitet, um ihren Dienst bereitzustellen».
21/44
die Profilinformationen, die zu jedem Zeitpunkt der App-Nutzung vom Nutzer gesammelt wer- den können.».75
60. Es ist nicht möglich, die Datenbearbeitungen in der App Once durch Datenschutzeinstellun- gen einzuschränken. Nutzer müssen allen Datenbearbeitungen inkl. Weitergabe an Dritte zu Marketingzwecke zustimmen, wenn sie Once nutzen wollen. Wenn sie dies nicht wünschen, können sie ihr Konto deaktivieren oder löschen.76
3. Datenschutzrechtliche Beurteilung
61. Nachfolgend werden auf der Basis des verbindlich festgestellten Sachverhalts diejenigen As- pekte behandelt, deren Datenschutzkonformität in Rahmen dieser Sachverhaltsabklärung zu prüfen waren. 3.1. Bearbeitung von Personendaten
62. Das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) ist auf das Be- arbeiten von sog. Personendaten durch private Personen anwendbar (Art. 2 Abs. 1 lit. a DSG). Unter «Bearbeiten» wird jeder Umgang mit Personendaten, unabhängig von den an- gewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten verstanden (Art. 3 lit. e DSG). Entscheidend für die Anwendbarkeit des DSG ist vor diesem Hintergrund die Qualifi- zierung der bearbeitenden Daten als Personendaten.
63. Gemäss Art. 3 lit. a DSG gelten als Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare (natürliche oder juristische) Person beziehen. Die gesetzliche Definition des Begriffs «Personendaten» erfasst demnach alle Informationen, die mit einer natürlichen oder juristischen Person in Verbindung gebracht werden können. Diese Verbindung zu einer Person kann anhand der Daten selbst eindeutig sein. In diesem Fall ist die Person bestimmt. Es ist aber auch möglich, dass die Person, zu der sich die Information bezieht, zwar nicht al- lein anhand dieses Datums identifiziert werden kann, aber anhand der Umstände auf sie ge- schlossen werden kann. In letzterem Fall spricht man von einer Person, die identifizierbar ist. (Botschaft DSG, BBl 1988 II 413, S. 444).
64. Vorliegend ist unbestritten, dass die Once Dating AG für und bei der Bereitstellung der App Once verschiedene Daten, die einen Bezug zu der Person des Nutzers oder der Nutzerin ha- ben, zu diversen Zwecken (siehe dazu Rz. 24) bearbeitet: diese Daten sind einerseits die An- gaben, welche die Nutzer über sich selbst in ihren Profilen und bei der Registrierung machen und andererseits Informationen, die bei der Nutzung der App entstehen (Bewertung von Pro- filen, Kontakt mit anderen Nutzern, Reaktion auf Benachrichtigung, Informationen über die Aktivität der Nutzer in der App etc.). Diese Datenbearbeitungen unterliegen dem DSG und müssen deshalb in Einklang mit den Bearbeitungsgrundsätzen gemäss Art. 4, 5 und 7 DSG erfolgen. 3.1.1. Bearbeitung von besonders schützenswerten Daten
65. Gemäss Art. 3 lit. c DSG gelten als besonders schützenswerte Daten solche über die religiö- sen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, sowie administrative oder strafrechtliche Verfolgungen und Sanktionen.
75 Vgl. Antworten zu Fragen 28.1 und 30 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 f. bzw. 33 f.) 76 Vgl. Antworten zur Frage 29 (Anhang 1 des Schreibens vom 9. April 2021, S. 18 f. bzw. 35)
22/44
66. Die Datenbearbeitungen der Once Dating AG umfassen zum Teil besonders schützenswerte Daten der Kategorie «Daten über die Intimsphäre». Dazu gehört die sexuelle Orientierung der Nutzer, die sie angeben müssen, damit ihnen ein geeigneter Partner oder eine geeignete Partnerin ausgesucht werden kann (siehe Ziff. 19), wie man aus der Datenschutzrichtlinie entnehmen kann: «Von Once erhobene personenbezogene Pflichtangaben (bei Nichtbereit- stellung dieser Daten werden Sie die Dienste nicht nutzen können) […] Sensible Daten: sexu- elle Orientierung (heterosexuell, homosexuell, bisexuell).». Ausserdem kann die Information, dass eine Person ein aktives Profil bei einer Dating App hat, unter Umstände Rückschlüsse über ihre Intimsphäre liefern, weil diese Information darauf hindeutet, dass der Nutzer aktiv nach einem Partner oder Partnerin sucht.
67. Zudem können die Datenbearbeitungen der Once Dating AG auch besonders schützens- werte Daten der Kategorien «Daten über religiösen, weltanschaulichen, politischen oder ge- werkschaftlichen Ansichten» sowie Gesundheitsdaten und Daten über die Rassenzugehörig- keit erfassen, je nach den Angaben, welche die Nutzer freiwillig in ihren Profilen machen (siehe Ziff. 20).
68. In diesem Sinne ist unbestritten, dass die Once Dating AG besonders schützenswerte Perso- nendaten bearbeitet, Die Einhaltung der erhöhten Anforderungen, die das Gesetz an die Be- arbeitung besonders schützenswerter Daten stellt, wird im Folgenden in den einzelnen The- menbereichen untersucht. 3.1.2. Bearbeitung von Persönlichkeitsprofilen
69. Persönlichkeitsprofile werden in Art. 3 lit. d DSG als «eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt» definiert. Anhaltspunkte, was unter diesem Begriff zu verstehen ist, findet man in der Bot- schaft zum Bundesgesetz über den Datenschutz vom 23. März 1988 (BBl II 1988 413) und in der Rechtsprechung. Gemäss der Botschaft zum DSG ist ein Persönlichkeitsprofil eine Zu- sammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die berufli- chen Fähigkeiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkei- ten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Ent- scheidend ist, dass die systematische Zusammenstellung von an sich nicht besonders schüt- zenswerten Daten (z.B. über Lesegewohnheiten, Reise- und Freizeitaktivitäten) eine Beurtei- lung wesentlicher Aspekte der Persönlichkeit zulässt (BBl II 1988 447).
70. Die ehemalige Eidgenössische Datenschutzkommission hielt fest, dass der Begriff des Per- sönlichkeitsprofils nicht generell definiert werden kann, sondern das Vorliegen eines Persön- lichkeitsprofils im Einzelfall auf Grund der konkreten Umstände zu bejahen oder zu verneinen ist. (Urteil der EDSK vom 27. Januar 2000, VPB 65.48, E. 2). Mithin muss eine Prüfung vor- genommen werden, ob die Once Dating AG Personendaten der Nutzer so zusammenstellt, dass eine Beurteilung wesentlicher Aspekte deren Persönlichkeit ermöglicht wird (BVerG A- 4232/2015 Urteil vom 18. April 2017, E. 5.2.1). Dabei ist eine Darstellung der Gesamtpersön- lichkeit nicht erforderlich. Es genügt, wenn aus wichtigen Eigenschafts- und Verhaltensaspek- ten ein Persönlichkeitsbild erstellt werden kann. In diesem Sinne entsteht ein Persönlichkeits- profil auch anhand der Zusammenstellung einer Anzahl von Daten etwa über die Persönlich- keitsstruktur sowie über berufliche und private Aktivitäten, die ein wesentliches Teilbild einer betroffenen Person ergeben (Vgl. Basler Kommentar DSG, Art. 3 Bst. d, Rz. 66 f.).
71. Wenn sich eine Person bei der App Once registriert, muss sie gewisse Angaben über sich machen, damit sie mit anderen in der App registrierten Person in Verbindung gesetzt werden kann (siehe Ziff. 19). Beim Match-Making-Prozess zielt die Once Dating AG darauf ab, zwei Personen zusammen zu bringen, die gemäss den Einschätzungen von Once zusammenpas- sen würden. Diese Einschätzung basiert auf den Angaben, die die Nutzer über sich machen, sowie auf ihren Präferenzen (siehe Ziff. 21). Basierend auf diesen Personendaten erstellt die Once Dating AG ein Persönlichkeitsbild der Nutzer und zieht Schlussfolgerungen über die
23/44
Vorlieben (in Bezug auf potentielle Partner) der betroffenen Person. Dieses Persönlichkeits- bild lässt die Beurteilung wesentlicher Aspekte der betroffenen Personen zu und zielt gera- dezu darauf ab. Dementsprechend ist es als Persönlichkeitsprofil zu qualifizieren.
72. Daraus folgt, dass die Once Dating sowohl gewisse besonders schützenswerten Daten als auch Persönlichkeitsprofile bearbeitet. Die Einhaltung der erhöhten Anforderungen, die das Gesetz an die Bearbeitung von Persönlichkeitsprofilen knüpft, wird folgend in den einzelnen Themenbereichen geprüft. 3.2. Transparenz und Qualität der Informationen an die Nutzer der App Once 3.2.1. Grundsatz der Transparenz nach Art. 4 Abs. 4 DSG
73. Die Bearbeitung von Personendaten muss gemäss den Bearbeitungsgrundsätzen von Art. 4, 5 Abs. 1 und 7 Abs. 1 erfolgen. Eine Verletzung dieser Bearbeitungsgrundsätze stellt eine Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG dar. Art. 4 Abs. 4 DSG sieht den Transparenzgrundsatz vor, wonach die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein müssen.
74. Der Grundsatz der Transparenz dient dazu, den betroffenen Personen zu ermöglichen, be- wusste Entscheidungen über ihr informationelles Selbstbestimmungsrecht zu treffen. Wenn die Bearbeitungszwecke nicht präzis genug bestimmt werden oder nicht in einer klaren und eindeutigen Form beschrieben werden, kann eine betroffene Person weder die durchgeführ- ten Datenbearbeitungen kontrollieren, noch ihre datenschutzrechtlichen Ansprüche vernünftig ausüben. So die Botschaft: «Die in Artikel 4 Absatz 4 verlangte Transparenz (…) verleiht dem Recht, die Bearbeitung zu untersagen (Art. 12 Abs. 2 Bst. b DSG), ebenfalls eine neue Di- mension. Das Recht, sich der Bearbeitung zu widersetzen, muss so lange blosse Theorie bleiben, als die betroffenen Personen sich über eine Datenbeschaffung und ihre wesentlichen Rahmenbedingungen gar nicht im Klaren sind. Die Transparenz der Beschaffung und die In- formation der betroffenen Person bilden somit den eigentlichen Eckpfeiler des ganzen Daten- schutzsystems.» (BBl 2003 2101, S. 2126)
75. Vor diesem Hintergrund sind die Informationen, welche der Inhaber der Datensammlung in einer konkreten Situation der betroffenen Person erteilen muss, damit die Datenbeschaffung sowie die Rahmenbedingungen der Datenbearbeitung erkennbar sind, nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen (Art. 4 Abs. 2 DSG).
76. Wenn die Datenbeschaffung und ihr Zweck aus den Umständen klar erkennbar sind, muss keine besondere Information erfolgen. Wenn eine Beschaffung auf Grund der Umstände hin- gegen weniger deutlich erkennbar ist, muss die betroffene Person umso eher in geeigneter Art und Weise auf die Erhebung und ihre wesentlichen Rahmenbedingungen aufmerksam gemacht werden. Wenn eine Information erforderlich ist, setzen die Grundsätze der Verhält- nismässigkeit und von Treu und Glauben voraus, dass diese aus der Perspektive einer zum Zielpublikum der App gehörenden, verständigen Durchschnittsperson nach Treu und Glau- ben hinreichend sind, um ihnen eine zumutbare Möglichkeit zu gewähren, davon Kenntnis zu nehmen. 3.2.2. Informationspflicht nach Art. 14 DSG
77. Die Once Dating AG bearbeitet in Zusammenhang mit der Bereitstellung der App Once so- wohl besonders schützenswerte Personendaten (siehe Ziff. 3.1.1) als auch Persönlichkeits- profile (siehe Ziff. 3.1.2). Somit untersteht die Once Dating AG der Informationspflicht nach Art. 14 DSG.
24/44
78. Die Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen nach Art. 14 DSG ergänzt den Grundsatz der Transparenz und setzt eine ausdrückliche Information durch den Verantwortlichen über Folgendes voraus: die Be- schaffung der Daten, den Zweck ihrer Bearbeitung, die Identität des Inhabers der Daten- sammlung sowie die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorge- sehen ist (nicht aber die Identität jedes einzelnen Datenempfängers). Gemäss der Botschaft ist es aber möglich, dass unter Umstände weitere Angaben gemacht werden müssen: «Erfor- dert es der Grundsatz von Treu und Glauben, muss der Inhaber der Datensammlung indes- sen noch weitere Informationen liefern, beispielsweise darüber, ob die Beantwortung der ge- stellten Fragen freiwillig oder obligatorisch ist und über die Folgen einer Verweigerung der verlangten Angaben» (BBl 2131). Um seiner Informationspflicht nachzukommen muss der Verantwortliche alles unternehmen, was von ihm nach den Umständen vernünftigerweise ver- langt werden kann. (BBl 2003 2101, S. 2132). 3.2.3. Einhaltung des Transparenzgrundsatzes (Art. 4 Abs. 4 DSG) und der Informati- onspflicht (Art. 14 DSG)
79. Folgende Anforderungen müssen erfüllt werden, um den Transparenzgrundsatz einzuhalten:
1) Die Erhebung von Personendaten muss erkennbar sein und dabei muss es der betroffe- nen Person klar sein, wofür welche Daten über sie bearbeitet werden; 2) wenn dies aus den Umständen nicht ersichtlich ist, müssen die Bearbeitungszwecke und Rahmenbedingungen durch den Verantwortlichen in Form einer Information angegeben werden; 3) die Angemes- senheit der Informationen wird daran gemessen, ob eine betroffene Person auf Grundlage dieser eine bewusste Entscheidung über ihr Recht auf informationelle Selbstbestimmung tref- fen kann (z. B. ihre Einwilligung geben). In diesem Sinne müssen die Informationen, die be- reitgestellt werden, umfassend, korrekt und für den Nutzer eindeutig und klar sein.
80. Die Informationspflicht nach Art. 14 setzt ausserdem voraus, dass die Information ausdrück- lich bereitgestellt wird und dass der Inhaber der Datensammlung der betroffenen Person alle Informationen zukommen lässt, die für eine Bearbeitung nach dem Grundsatz von Treu und Glauben und der Verhältnismässigkeit erforderlich sind, insbesondere die Identität des Inha- bers der Datensammlung, den Zweck des Bearbeitens und die Kategorien allfälliger Daten- empfänger. 3.2.3.1. Erkennbarkeit der Datenerhebungen bei der App Once
81. Vorliegend werden die Nutzer der App Once bei der Registrierung aufgefordert, gewisse An- gaben über sich zu machen und zu bestätigen, dass sie die Datenschutzrichtlinie und die AGB der Once Dating AG zur Kenntnis genommen haben (dabei werden beide Dokumente verlinkt), sowie folgenden Aussage zuzustimmen: «Ich akzeptiere, dass Once einige meiner personenbezogenen Daten sammelt und weiterverarbeitet, um ihren Dienst bereitzustellen». In diesem Sinne ist es für die betroffenen Personen erkennbar, dass die Once Dating AG Personendaten erhebt.
82. Dass die Nutzer bei der Registrierung aufgefordert werden, Kenntnis von der Datenschutz- richtlinie und den AGB zu nehmen, kann als Zeichen einer aktiven Information der Nutzer be- treffend die im Zusammenhang mit der App Once durchgeführten Datenbearbeitungen ange- sehen werden, was mit Blick auf Art. 14 DSG und zu begrüssen ist. Es gibt jedoch keinen di- rekten Link auf die Datenschutzrichtlinie im Footer der Webseite getonce.com.77
77 Um darauf zu gelangen, muss man zuerst auf «Bedingungen» klicken, um den Link auf die «Daten- schutzbedingungen», d.h. die Datenschutzrichtlinie der Once Dating AG, zu finden.
25/44
83. Die Einhaltung des Transparenzgebots und der Informationspflicht gemäss Art. 14 DSG kann allerdings nur abschliessend bejaht werden, wenn die Informationen, die durch den Verant- wortlichen geliefert werden, angemessen sind (siehe Ziff. 79). Dies bedeutet vorliegend, dass in den Datenschutzrichtlinien und AGB der Once Dating AG angemessene Informationen über die durch die Once Dating AG durchgeführte Datenbearbeitungen inkl. Bearbeitung von besonders schützenswerten Daten und Persönlichkeitsprofilen zu finden sein müssen. Insbe- sondere müsste ersichtlich sein: welche Daten für welche Zwecke und unter welchen Bedin- gungen bearbeitet werden. In Bezug auf besonders schützenswerte Daten und Persönlich- keitsprofilen müsste ausserdem ausgeführt werden, ob und inwieweit diese bearbeitet wer- den, für welche Zwecke, durch wen und ob eine Datenbekanntgabe an Dritte stattfindet. 3.2.3.2. Erkennbarkeit der Bearbeitungszwecke und der Rahmenbedingungen der Datenbearbeitung
84. Gemäss den Nutzungsbedingungen legen diese die Hauptregeln für die Nutzung der Mobile App fest und werden «durch zusätzliche Richtlinien, die Datenschutzrichtlinie, die Cookie- Richtlinie und die häufig gestellten Fragen (FAQ) ergänzt». Die AGB beinhalten auch eine Vorrangregel, wonach im Falle eines Konflikts zwischen den verschiedenen Richtlinien der zu einer mangelnden Zugänglichkeit, Verständlichkeit und/oder Vorhersehbarkeit der Regeln führt, die AGB Vorrang vor der Datenschutzrichtlinie, der Cookie-Richtlinie und den FAQ ha- ben. Gemäss Ziff. 6 der AGB erfolgen die Datenbearbeitungen, welche die Once Dating AG in Zusammenhang mit der App Once durchführt, «zur Erfüllung eines Vertrags, bei dem das Mitglied Vertragspartei ist» und sind dazu «erforderlich». Dabei wird auf die Datenschutzricht- linie verwiesen.78
85. In der Datenschutzrichtlinie der Once Dating AG werden zuerst gewisse Bearbeitungszwecke unter Ziff. 1 («Zwecke und Rechtsgrundlage der Verarbeitungen») ohne weitere Informatio- nen über die bearbeitenden Daten angegeben: «Verwaltung und Verwendung der App und der Website», «Newsletter» und «Verwaltung der Bewerbungen». Der Zweck «Verwaltung und Verwendung der App und der Website» wird dabei mit folgenden Informationen weiter konkretisiert: 1) Den Nutzern die Verwendung der App und die Nutzung der Dienste zu erlau- ben; 2) Mit den Nutzern per E-Mail, SMS oder auf dem Postweg zu kommunizieren; 3) Die Verbesserung der Services der Once Dating AG (mit folgenden Beispielen: «Analyse von Da- ten, Forschung und Entwicklung, Aufdeckung betrügerischer Verhaltensweisen; wobei alleine auf der Grundlage einer automatisierten Verarbeitung keine Entscheidung eines Eingreifens getroffen wird».). Dabei erklärt die Once Dating AG, dass die in diesem Zusammenhang durchgeführten Datenbearbeitungen «für die Erfüllung eines Vertrages, von dem das Mitglied Vertragspartei ist, notwendig» seien. Dabei wird auch informiert, dass die Once Dating AG in Zusammenhang mit der «Verwaltung und Verwendung der App und der Website» auch «so- genannte „sensible“ Daten» bearbeitet79. Diese Datenbearbeitung erfolge aber nicht zur Erfül- lung des Vertrags, sondern mit der ausdrücklichen Einwilligung der Nutzer, «die durch Ihre Anmeldung zustande kommt.». Diese Unterscheidung oder Präzisierung wird in den AGB nicht gemacht (siehe Ziff. 84).
86. Gemäss der Once Dating AG gibt sie Daten an Dritte weiter, damit diese gewisse Datenbear- beitungen (siehe Tabelle 1) mit folgenden Bearbeitungszwecken im Auftrag der Once Dating AG durchführen: Kundensupport, Zahlungsabwicklung, Sicherheitsoperationen und Analysen für Marketingzwecke (siehe Ziff. 30 ff.). Diese Zwecke werden zwar nicht explizit in der Da- tenschutzrichtlinie angegeben, aber können, mit Ausnahme der Analysen für
78 Gemäss Ziff. 6 der AGB 79 Für genauere Informationen wird auf Ziff. 2 verwiesen «(sexuelle Ausrichtung etc. - siehe unten „Ar- ten von erhobenen personenbezogenen Daten“)».
26/44
Marketingzwecke, den allgemeinen Zwecken, welche unter Ziff. 1 der Datenschutzrichtlinie angegeben werden, subsumiert werden (siehe Tabelle 2). Somit lassen sich diese Bearbei- tungszwecke mit Ausnahme der Analysen für Marketingzwecke aus den Informationen der Datenschutzrichtlinie ableiten. Der Zweck «Analysen für Marketingzwecke» ist hingegen nicht erkennbar.
87. Die Mehrheit der durchgeführten Datenbearbeitungen stehen in engem Zusammenhang mit der Erfüllung der durch die Once Dating AG angegebenen Bearbeitungszwecke (gemäss Ziff. 30 ff.), aber nicht alle. Die Dienste der Anbieter Vonage, Airbrake und Looker scheinen zwar in Zusammenhang mit der Erfüllung von Bearbeitungszwecken zu stehen, die in der Daten- schutzrichtlinie angegeben werden, aber nicht mit den Zwecken Kundensupport, Zahlungsab- wicklung, Sicherheitsoperationen oder Analysen für Marketingzwecke. Die Reengagement- Dienste, welche durch Batch bereitgestellt werden, können hingegen unter keinen der er- wähnten Zwecken subsumiert werden (siehe Tabelle 2). Dienst (Datenbearbeiter) Bearbeitungszweck gemäss Angaben der Once Dating AG Zweck gemäss Daten- schutzrichtlinie Cloudbasierte Kundensupport- Plattform (Zendesk)
Kundensupport «Um per E-Mail, SMS oder auf dem Postweg mit Ihnen (den Nutzern) zu kommunizie- ren» Reengagement-Dienste (Batch)
Keine Subsumtion möglich. Keine Subsumtion möglich, denn die Kommunikation mit den Kunden erfolgt nicht per E-Mail, SMS oder Postweg, sondern mittels Handybenach- richtigung. Online Bezahldienst (Paypal, Stipe) Zahlungsabwicklung «Um die Verwendung der App und die Nutzung der Dienste zu erlauben» Videochats zwischen Nutzern (Vonage) - «Um die Verwendung der App und die Nutzung der Dienste zu erlauben» Bildanalyse zur Moderation (Sightengine) Sicherheitsoperationen «Um unseren Service zu verbessern (nämlich: Analyse von Daten, Forschung und Entwicklung, Aufdeckung be- trügerischer Verhaltenswei- sen); wobei alleine auf der Grundlage einer automatisier- ten Verarbeitung keine Ent- scheidung eines Eingreifens getroffen wird» Überprüfung von Rufnummern (Telesign) Werkzeug zur Verwaltung von Protokollen (Logentries)
27/44
Crash-Reporting-Werkzeug (Airbrake)
- «Um unseren Service zu verbessern (nämlich: Ana- lyse von Daten, Forschung und Entwicklung, Aufde- ckung betrügerischer Verhal- tensweisen); wobei alleine auf der Grundlage einer automati- sierten Verarbeitung keine Entscheidung eines Eingrei- fens getroffen wird» Visualisiert die wichtigsten Da- ten, um sie zu analysieren, Be- richte zu erstellen und Ent- scheidungen zu treffen (Loo- ker) App-Analytik (Google Analytics und Firebase; Facebook) Analysen für Marketingzwecke Keine Subsumtion möglich, denn die Analyse steht nicht im Zusammenhang mit der Verbesserung der Services, sondern dient Marketingzwe- cken. Analytik und Werkzeug zur At- tributionserkennung (Adjust) Tabelle 2
88. Unter Ziff. 2 der Datenschutzrichtlinie («Arten von erhobenen personenbezogenen Daten») wird präzisiert, welche Daten im Zusammenhang mit den bereits unter Ziff. 1 ausgeführten Zwecken bearbeitet werden. Im Zusammenhang mit der «Verwaltung und Verwendung der App und der Website» wird zwischen Daten, die durch die Nutzer bereitgestellt werden müs- sen, um die App nutzen zu können (Pflichtangaben), und Daten, welche freiwillig durch die Nutzer bereitgestellt werden, differenziert. Unter den Pflichtangaben wird die sexuelle Orien- tierung als «sensibel» (besonders schützenswertes Datum) gekennzeichnet. Unter den frei- willigen Angaben werden die Informationen «über ethnische Herkunft, Religion, ethnische/re- ligiöse Vorlieben beim Dating, politische Einstellung» als sensibel gekennzeichnet.
Abbildung 5: Auszug aus der Datenschutzrichtlinie
28/44
89. Die verwendete Struktur des Absatzes mit Aufzählungszeichen gibt zu verstehen, dass alle Angaben, welche nach dem Satz «Von Once erhobene freiwillige personenbezogene Anga- ben» aufgeführt sind, mit freiwilliger Zustimmung der Nutzerinnen und Nutzer von der Once Dating AG erhoben werden (siehe Abbildung 5). Allerdings gehört zumindest ein Teil davon zu den erforderlichen Angaben. In diesem Zusammenhang wird erläutert, dass die Once Da- ting AG Informationen bei ihren Interaktionen mit Kunden im Rahmen der Kundenbetreuung sammelt und diese zu Trainingszwecken und Qualitätssicherung überwacht oder aufzeichnet. Auch in diesem Zusammenhang wird mitgeteilt, dass die Once Dating AG Daten über die Ak- tivität der Nutzer auf der Website und der App erfasst. Diese Datenbearbeitung betreffe alle durch die Nutzer via Website oder App realisierten Aktionen, Verbindungen, Verbindungszei- ten sowie die gesamten Interaktionen mit anderen Nutzern. Dabei wird allerdings nicht präzi- siert, für welche Zwecke diese Informationen verwendet werden, sondern lediglich mitgeteilt, dass sie erhoben werden.
90. Ausserdem wird dabei informiert, dass die Once Dating AG Daten über die Endgeräte der Nutzer erhebt. Als Angaben, die im Zusammenhang mit den Endgeräten der Nutzer erhoben werden, werden die Modelle sowie Version des Betriebssystems erwähnt, und als Zweck für deren Bearbeitung wird die Verbesserung der mobilen Anwendungen angegeben. Wie wir allerdings feststellen konnten, bearbeitet die Once Dating AG neben diesen Informationen auch die u-id (siehe Ziff. 31) für verschiedene Zwecke und gibt die Werbe-ID der Nutzer (IDFA für iOS, GPS-ADID für Android) an Dritte bekannt, welche diese wiederum an weitere Dritte weitergeben, welche sie für Werbezwecke bearbeiten (siehe Ziff. 34). Auch dabei wird angedeutet, dass die Once Dating AG Daten im Rahmen von Markterhebungen sammelt, ohne allerdings anzugeben, welche Daten dabei bearbeitet werden.
91. Im Zusammenhang mit dem Bearbeitungszweck «Newsletter» wird Folgendes erläutert: «Da- mit wir Ihnen unsere Newsletter zukommen lassen können, wird von Once die von Ihnen mit- geteilte E-Mail-Adresse erfasst und verarbeitet. Dem Nutzer steht es frei, diese nicht bekannt zu geben. Die Mitteilung Ihrer E-Mail-Adresse ist zwingend erforderlich, wenn Sie die Newsletter von Once erhalten möchten.» Diese Information widerspricht zum Teil dem Inhalt der AGB, wonach die Nutzer bei der Anmeldung eine Einwilligung zum Versand von Newslet- tern erteilen: «Newsletter: Bei der Anmeldung für die App stimmt das Mitglied dem Empfang eines Newsletters von ONCE zu. Per Klick auf den Abmeldelink unten in jeder E-Mail von ONCE können die Mitglieder jederzeit von ihrem Widerspruchsrecht Gebrauch machen und den Newsletter abbestellen.». In diesem Zusammenhang stellen wir fest, dass die Nutzer nicht angemessen informiert werden, dass mit der Registrierung eine Einwilligung zum Ver- sand des Newsletters erteilt wird.80
92. Aus den oben genannten Gründen erlaubt die Struktur des Textes der Datenschutzrichtlinie und zum Teil auch der Inhalt ihrer einzelnen Punkte den Nutzern nicht, sich einen Überblick über die tatsächlich durchgeführten Datenbearbeitungen zu verschaffen. Darum erachten wir die Informationen in der Datenschutzrichtlinie als ungenügend hinsichtlich des Transparenz- gebots nach Art. 4 Abs. 4 DSG. In Bezug auf die Bearbeitungsbedingungen wird die Kennt- nisnahme der datenschutzrelevanten Informationen erschwert durch die Tatsache, dass ei- nige Informationen in den AGB nicht mit der Datenschutzrichtlinie (siehe z.B. Ziff. 84 und 91) oder den FAQ (siehe Ziff. 45) übereinstimmen. Darüber hinaus wird die Kenntnisnahme auch dadurch erschwert, dass in den AGB und in der Datenschutzrichtlinie auf unterschiedliche
80 Unter Ziff. 2 wird auch erläutert, inwieweit die Once Dating AG Daten in Zusammenhang mit Bewer- bungen bearbeitet. Da diese Datenbearbeitung nicht die Nutzer der App Once betrifft, sondern den Anstellungsprozess, ist diese nicht Gegenstand unserer Sachverhaltsabklärung.
29/44
Gesetze verwiesen wird81, jedoch nicht auf das DSG, obschon es auf die Datenbearbeitun- gen der Once Dating AG anwendbar ist. Eine unmissverständliche Information über die für die Anbieterin geltende Datenschutzgesetzgebung ist unerlässlich, um den Nutzern zu er- möglichen, ihre Rechtsansprüche zu kennen und durchzusetzen. 3.2.3.3. Information über die Kategorien der Datenempfänger
93. Unter Umständen gehört die Information über die Datenempfänger zu den minimalen Anga- ben, welche erforderlich sind, um einer Datenbearbeitung Transparenz zu gewähren. Wenn es um die Datenbekanntgabe von besonders schützenswerten Personendaten oder Persön- lichkeitsprofilgen geht, ist die Kategorie der Empfänger sogar eine Pflichtangabe gemäss Art. 14a DSG.
94. Die Datenschutzrichtlinie der Once Dating AG enthält Informationen zu den Kategorien von Datenempfängern, ohne die übermittelten Daten näher zu erläutern. Unter Ziff. 4 der Daten- schutzrichtlinie wird angegeben, dass grundsätzlich die «Mitglieder von Once», also die re- gistrierten Nutzer, sowie «Dienstleister der Once Dating AG», die Empfänger der Daten sind, welche die Once Dating AG bearbeitet. Im Fall einer Fusion, Verkauf, Auflösung usw. erklärt die Once Dating AG ausserdem, dass Daten an andere Gesellschaften weitergegeben könn- ten. Zudem behält sich die Once Dating AG das Recht vor, Personendaten bekanntzugeben, wenn dies gesetzlich, gerichtlich oder behördlich vorgeschrieben ist, oder wenn dies zum Nachweis oder zur Ausübung der Rechte der Once Dating AG, ihrer Mitarbeitenden oder sonstiger Personen erforderlich scheint.
95. Gemäss unserer Abklärung behalten sich einige Dienstleister der Once Dating AG das Recht vor, die ihnen durch die Once Dating AG bereitgestellten Daten zu eigenen Zwecken zu nut- zen. Diese sind: Facebook, Google, Sendgrid, Looker, Vonage und Paypal. (siehe Ziff. 35). Dies bedeutet, dass die Once Dating AG Daten an Dritte bekanntgibt, die diese nicht nur in ihrem Auftrag bearbeiten, sondern zum Teil auch in eigener Verantwortung.
96. Aufgrund der Tatsache, dass diese Empfänger die Daten nicht ausschliesslich im Auftrag der Once Dating AG bearbeiten, ist der Begriff «Dienstleister der Once» nicht zutreffend, um diese Kategorie von Datenempfängern zu beschreiben. Immer wenn die Empfänger Perso- nendaten in eigener Verantwortung bearbeiten, gelten diese als Dritte, nicht aber als reine Dienstleister bzw. Auftragnehmer.
97. Da die Informationen in der Datenschutzrichtlinie keine Hinweise über die Bekanntgabe von Personendaten an Dritte, die Personendaten im eigenen Interesse und unter eigener Verant- wortung bearbeiten, enthalten, erachten wir diese als unvollständig. Dies stellt einen Mangel hinsichtlich der Informationspflicht der Once Dating AG gegenüber ihren Nutzern dar. In der Datenschutzrichtlinie müsste diese Datenbekanntgabe an Dritte inkl. Bearbeitungszweck er- läutert werden. 3.2.3.4. Erkennbarkeit der verwendeten Garantien für die Übermittlung von Daten ins Ausland
98. Da uns die Once Dating AG am 9. April 2021 mitteilte, dass sie die Kanzlei
beauftragt hat, ihre Datenbearbeitungsaktivitäten zu analysieren und ihre
81 In den AGB wird auf das Gesetz Nr. 78-17 vom 6. Januar 1978 in der durch das französische Datenschutzge- setz Nr. 2004-801 vom 6. August 2004 abgeänderten Fassung verwiesen; in der Datenschutzrichtlinie wird auf die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten Nr. 2016/679 vom 27. April 2016 («DSGVO») verwiesen.
30/44
Datenschutz-Policies gemäss dem revidierten DSG anzupassen, gehen wir davon aus, dass die Datenschutzrichtlinie der Once Dating AG im Hinblick auf die Ausweitung der Informati- onspflicht gemäss dem neuen Gesetz überarbeitet werden soll. In diesem Zusammenhang weisen wir darauf hin, dass die Informationspflicht gemäss Art. 19 nDSG auch die Information über die verwendeten Garantien für die Datenübermittlung ins Ausland umfasst und eine all- gemeine Aussage zu der Verwendung von Standardvertragsklauseln oder anderen «geeigne- ten Schutzklausen» nicht genügt, um diese zu erfüllen. Gemäss dem Erwägungsgrund 4 der neuen europäischen Standardvertragsklauseln «muss diese Information einen Verweis auf die angemessenen Garantien und die Möglichkeiten, wie eine Kopie von ihnen eingeholt wer- den kann, oder wo sie verfügbar sind, umfassen.»82. 3.2.3.5. Schlussfolgerung
99. Zusammenfassend lässt sich feststellen, dass die Informationen, welche die Once Dating AG ihren Nutzern zur Verfügung stellt, nicht angemessen sind. Die Reengagement-Dienste, wel- che durch Batch bereitgestellt werden, können unter keinen der in der Datenschutzrichtlinie dargestellten Zwecke subsumiert werden, und der Zweck «Analysen für Marketingzwecke» ist in dieser auch nicht erkennbar. Ausserdem geht aus der missverständlichen Struktur und zum Teil aus dem Inhalt der einzelnen Punkte nicht klar hervor, was die tatsächlich durchge- führten Datenbearbeitungen sind. Hinsichtlich der Datenbearbeitung in Zusammenhang mit dem Newsletter wird die Kenntnisnahme der datenschutzrelevanten Informationen erschwert durch die Tatsache, dass einige Informationen in den AGB nicht mit der Datenschutzrichtlinie übereinstimmen. Darüber hinaus wird die Kenntnisnahme auch dadurch erschwert, dass in den AGB und in der Datenschutzrichtlinie auf unterschiedliche Gesetze verwiesen wird und das DSG gänzlich unerwähnt bleibt, obschon es für die Datenbearbeitungen der Once Dating AG eigentlich gilt. Ausserdem enthält die Datenschutzrichtlinie keine Informationen über die Datenbekanntgabe an Dritte, die nicht als Dienstleister der Once Dating AG handeln, sondern Personendaten für eigene Zwecke bearbeiten. 100. Dies stellt eine Verletzung des Transparenzgrundsatzes (Art. 4 Abs. 4 DSG) dar, die zu einer Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG führt. Wenn kein Recht- fertigungsgrund vorliegt, ist diese Persönlichkeitsverletzung widerrechtlich. 3.3. Löschkonzept und Löschmöglichkeiten der Nutzer 3.3.1. Grundsatz der Rechtmässigkeit (Art. 4 Abs. 1), von Treu und Glauben und der Ver- hältnismässigkeit (Art. 4 Abs. 2 DSG) 3.3.1.1. Möglichkeit Personendaten auf Verlangen zu löschen (Art. 12 Abs. 2 lit. b DSG) 101. Angesichts der Sensibilität der auf der App Once bearbeitenden Daten sowie der Tat- sache, dass die Daten gemäss der Datenschutzrichtlinie und den Angaben der Once Dating AG in dieser Sachverhaltsabklärung gestützt auf die Einwilligung der betroffenen Person be- arbeitet werden, ist es unabdingbar, dass die Nutzer der App Once eindeutig auf ihre Löschmöglichkeiten hingewiesen werden und jederzeit die umgehende Löschung ihrer Per- sonendaten bzw. ihres Profils verlangen können. Aufgrund des Grundsatzes von Treu und
82 Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäi- schen Parlaments und des Rates
31/44
Glauben soll jeder Nutzer und Nutzerin dies auf einfacher Weise verlangen können. Das heisst, es darf nicht schwieriger sein, eine Einwilligung zurückzuziehen und die Löschung der eigenen Daten zu verlangen, als eine Einwilligung abzugeben und ein Konto bei Once Dating AG zu erstellen. Gemäss Art. 12 Abs. 2 lit. b DSG darf die Once Dating AG ausserdem keine Personendaten bearbeiten ohne Rechtfertigungsgrund, wenn die betroffene Person aus- drücklichen Widerspruch zur Datenbearbeitung eingelegt hat. 102. Gemäss der Once Dating AG haben die Nutzer der App Once die Möglichkeiten, die in Ziff. 2.3.2 der Sachverhaltsfeststellung erläutert werden, um die Löschung ihrer Daten zu verlangen: ein Löschbegehren per E-Mail, per Brief oder über den in-App Kontaktkanal einzu- reichen. Die Löschbegehren erfolgen gemäss Löschprozess in automatisierter Form grund- sätzlich innert 24 Stunden nach dem Eingang des Löschbegehrens, mit Ausnahme des Fal- les, dass ein Nutzer mit betrügerischem Verhalten auf der App identifiziert und bereits blo- ckiert wurde. 103. Aus den oben genannten Gründen ist es zu begrüssen, dass die Nutzer die Löschung ihrer Daten verlangen können und dass die Once Dating AG einen Prozess hat, um Löschbe- gehren umgehend zu bearbeiten. Es ist auch positiv, dass den Nutzern verschiedene Kom- munikationskanäle zur Verfügung stehen, um ihr Löschbegehren einzureichen (per E-Mail, per Brief oder über den in-App Kontaktkanal), wobei die Zugänglichkeit der in-App Löschmöglichkeit (siehe Ziff. 42) verbessert werden könnte. 3.3.1.2. Information über die verfügbaren Löschmöglichkeiten 104. Ein weiterer wichtiger Punkt ist die Information über die verfügbaren Löschmöglichkei- ten, die den Nutzern bereitgestellt werden. Insgesamt lässt sich nach unserer Abklärung fest- stellen, dass die Nutzer der Once App nicht angemessen über ihre Löschungsmöglichkeiten durch die Once Dating AG informiert werden. Einerseits, weil die den Nutzern zur Verfügung gestellten Informationen diesbezüglich erhebliche Ungenauigkeiten aufweisen und anderer- seits, weil diese nicht oder nicht genügend die verfügbaren Löschmöglichkeiten erläutern. 105. Erstens stimmen die Informationen auf der Datenschutzrichtlinie betreffend die Bear- beitung von Löschbegehren mit der aktuellen Praxis der Once Dating AG nicht überein: ge- mäss der Datenschutzrichtlinie müssen Löschbegehren per E-Mail an die Adresse dpo@ge- tonce.com mit einer Kopie des Ausweises eingereicht werden. Diese sollten durch die Once Dating AG anschliessend innerhalb von 2 Monaten bearbeitet werden, es sei denn, die An- frage stellt sich «als deutlich unbegründet oder über das Maß hinausgehend» heraus. Zwei- tens werden die Möglichkeiten, das Löschbegehren per Brief oder über den im App-Kontakt- kanal einzureichen, in der Datenschutzrichtlinie nicht erläutert. Die Möglichkeit, das Löschbe- gehren per Brief einzureichen, wird lediglich in den AGB erwähnt. Die Möglichkeit, ein Lösch- begehren über den Kontaktkanal in der App einzureichen, wird weder in den AGB noch in der Datenschutzrichtlinie der Once Dating AG erwähnt, und die FAQ klärt darüber auch nicht wei- ter auf. Diese Diskrepanzen zwischen den verschiedenen Dokumenten macht die Information zu den gewährten Löschmöglichkeiten derart unübersichtlich, dass es einem durchschnittli- chen Nutzer nicht möglich ist, Kenntnis von den verfügbaren Löschungsoptionen zu nehmen. 106. Ausserdem enthält die Datenschutzrichtlinie folgenden Satz, welcher unter dem Ge- sichtspunkt von Treu und Glauben problematisch ist, da er die Nutzerinnen und Nutzer von der Ausübung deren Rechte möglicherweise abhalten könnte: «[s]ollten sich die Anfragen ei- nes Mitglieds als deutlich unbegründet oder über das Maß hinausgehend herausstellen (ins- besondere aufgrund ihres sich wiederholenden Charakters), ist Once berechtigt, i) angemes- sene Aufwendungen geltend zu machen, die den Verwaltungskosten für die Bereitstellung der Informationen, den Kommunikationsaufbau oder das Ergreifen der angefragten Maßnah- men Rechnung tragen, oder ii) sich weigern, diesen Anträgen Folge zu leisten.». (Siehe Ziff. 44).
32/44
107. Zu möglichen Kostenfolgen eines Begehrens muss zwischen dem Auskunftsrecht und anderen Betroffenenrechten differenziert werden. Das Gesetz sieht zwar die Möglichkeit ei- ner Erhebung von Kosten für die Bereitstellung von Auskünften gemäss Art. 8 DSG vor, um unverhältnismässige Aufwände auszugleichen, nicht aber für die Bearbeitung anderer Daten- schutzbegehren. Zudem erlaubt auch Art. 8 DSG nicht ohne Weiteres, dass sich ein Verant- wortlicher weigert, einem Datenschutzbegehren Folge zu leisten. Ausserdem muss ein Löschbegehren immer berücksichtigt werden, wenn die Weiterbearbeitung der Daten ohne Rechtfertigungsgrund erfolgen würde. Daher ist ein genereller Hinweis, wonach Begehren nicht berücksichtigt werden, unter diesem Aspekt nicht zulässig. 108. Angesichts der Tatsache, dass sich die Datenbearbeitungen der Once Dating AG auf die Einwilligung der Nutzer stützen, stellt dieser Mangel an Übersichtlichkeit der Informatio- nen über die verfügbaren Löschmöglichkeiten und der oben erwähnte Hinweis auf die Mög- lichkeit, dass die Once Dating AG «angemessene Aufwendungen geltend zu machen» könnte, einen Verstoss gegen den Grundsatz der Treu und Glauben dar. 3.3.1.3. Automatische Löschung von Personendaten bei Inaktivität 109. Das Ziel der App Once ist es, mittels Matching-Algorithmus Menschen zu verbinden, die eine Beziehung mit einer anderen Person eingehen möchten. Mit dieser Erwartung ver- trauen die Nutzerinnen und Nutzer der App Once der Once Dating AG die Bearbeitung ihrer persönlichen Daten an. Im Hinblick auf den Grundsatz der Datenbearbeitung nach Treu und Glauben und den Grundsatz der Datenrichtigkeit ist die Once Dating AG verpflichtet, ange- messene Massnahmen zu treffen, um sich darüber zu vergewissern, dass die Personenda- ten, die sie in diesem Zusammenhang erhebt und bearbeitet, Personen betreffen, die tat- sächlich eine Beziehung mit einer anderen Person eingehen möchten. Im Rahmen der Part- nervermittlung folgt daraus, dass die Once Dating AG nicht nur eine Pflicht hat, die registrie- renden Nutzer zu prüfen und betrügerisches Verhalten von aktiven Nutzern regelmässig zu kontrollieren, sondern auch zumutbare Massnahmen zu treffen, um sicherzustellen, dass der Datenbestand möglichst aktuell bleibt. 110. Die Once Dating AG implementiert Massnahmen zur Verifikation der registrierten Nut- zerinnen und Nutzer und zur Identifikation und Bekämpfung von auffälligem Missbrauch (mehr dazu unter 3.5.1.1). Ausserdem führt sie beim Matchmaking eine De-Priorisierung der Profile von Nutzenden durch, die für eine lange Zeit die App nicht mehr genutzt haben. Nut- zende, die seit mehr als 30 Tagen die App nicht genutzt haben, werden in der Datenbank der Once Dating AG inaktiv. Dies entspricht aber nicht einer Deaktivierung des Kontos (siehe Ziff. 41), sondern hat lediglich zur Folge, dass die Nutzerinnen und Nutzer keine Kommunikation (E-Mail, Benachrichtigungen) mehr von der Once Dating AG erhalten, aus ihrer Mailingliste gelöscht und nicht mehr für User Experience Umfragen und Fokusgruppen ausgewählt wer- den (siehe Ziff. 48). Die inaktiven Nutzerinnen und Nutzer bleiben jedoch in der Datenbank der Once Dating AG gespeichert und können theoretisch weiterhin von anderen Nutzenden angesehen werden, bis sie aktiv die Deaktivierung oder die Löschung der Daten verlangen. 111. Die Once Dating AG weiss, welche Nutzerinnen und Nutzer aktiv oder inaktiv sind und kann deshalb nicht in gutem Glauben deren persönliche Daten auf unbestimmte Zeit bearbei- ten. Die De-Priorisierung ist zwar eine wichtige Massnahme, um die Bearbeitung von Daten von inaktiven Nutzerinnen und Nutzern zu minimieren. Angesichts der Sensibilität der Daten, und da allein die Information, dass eine Person ein Konto bei einer Dating-Anwendung hat, Rückschlüsse auf die Intimsphäre einer Person zulässt, erachten wir als notwendig, dass die Once Dating AG weitergehende Massnahmen ergreift, um sich zu vergewissern, dass sie die Personendaten von inaktiven Nutzerinnen und Nutzern nach Treu und Glaube weiterhin bear- beiten darf. 112. Bei längerer Inaktivität der Nutzerinnen und Nutzer kann nicht mehr davon ausgegan- gen werden, dass diese noch an der Vermittlung eines Partners oder eine Partnerin
33/44
interessiert sind, weshalb eine Weiterbearbeitung zu diesem Zweck unverhältnismässig ist. Aufgrund der fehlenden Übersichtlichkeit der Optionen für die Einreichung eines Löschbegeh- rens kann ausserdem nicht ausgeschlossen werden, dass Personen ihr Konto einzig aus dem Grund nicht löschen, dass sie nicht wissen, wie sie diese Löschung veranlassen kön- nen, die App aber tatsächlich nicht mehr nutzen und deshalb als inaktive Nutzenden gelten. 113. Der Grundsatz der Verhältnismässigkeit verlangt von der Once Dating AG, dass sie keine Personendaten bearbeitet, welche zur Erreichung der Bearbeitungszwecke nicht mehr notwendig sind. Auch wenn die Once Dating AG die Daten von inaktiven Nutzenden nicht mehr aktiv für die Partnervermittlung bearbeitet, speichert sie die Daten weiter, obwohl sie diese nicht mehr benötigt. Diese zeitlich unbeschränkte Bearbeitung der Daten von inaktiven Nutzern durch die Once Dating AG verletzt deshalb den Grundsatz der Treu und Glauben und der Verhältnismässigkeit. 3.3.1.4. Löschung von Personendaten, deren Bearbeitung ausgelagert wurde 114. Der Löschprozess der Once Dating AG, welcher in Ziff. 46 beschrieben wird, beinhal- tet nicht die Daten, welche durch Auftragnehmer bearbeitet werden. Dies bedeutet, dass die Once Dating AG bei einem Löschbegehren zwar diejenigen Daten löscht, die bei ihr gespei- chert sind, aber nicht unbedingt diejenigen, deren Bearbeitung an Datenbearbeiter ausgela- gert wurde. Diesbezüglich hat sie keinen proaktiven Prozess. Folglich bleiben gewisse Perso- nendaten bei den Auftragsbearbeitern der Once Dating AG gespeichert. 115. Art. 10a Abs. 1 lit. a DSG sieht aber vor, dass der Auftragnehmer die Daten nur so be- arbeiten darf, wie der Auftraggeber selbst es tun dürfte. Dies bedeutet, dass dieser keine Da- ten weiterbearbeiten darf, die eine Person betreffen, welche die Löschung ihrer Daten beim Inhaber der Datensammlung verlangt hat. Die Once Dating AG ist aufgrund des Bearbei- tungsgrundsatzes der Rechtmässigkeit und der Verhältnismässigkeit verpflichtet, für die Lö- schung dieser Daten zu sorgen, auch wenn sie Dritte (Auftragsdatenbearbeiter) mit deren Be- arbeitung beauftragt hat. Zum Beispiel, indem sie das Begehren an den Dritten zur Erledi- gung weiterleitet, wenn sie nicht selbst in der Lage ist, die Löschung zu veranlassen. 116. Es verstösst gegen die Grundsätze der Rechtmässigkeit und der Verhältnismässig- keit, wenn die Auftragnehmer der Once Dating AG in ihrem Auftrag Daten, deren Löschung der Nutzer oder die Nutzerin ausdrücklich verlangt hat bzw. die nicht mehr benötigt werden, weiterbearbeiten. 3.3.1.5. Schlussfolgerung 117. Das Verfahren zur Bearbeitung von Löschbegehren ist insofern mit dem Grundsatz der Verhältnismässigkeit, Rechtmässigkeit und Treu und Glauben zu vereinbaren, als die Once Dating AG Löschbegehren und über verschiedenen unkomplizierten Kanälen erhält und diese in kurzer Zeit (24 Stunden) bearbeitet. Hingegen wird dem Grundsatz von Treu und Glauben nicht genügend getan hinsichtlich der Qualität der Informationen über die Löschmöglichkeiten, die den Nutzerinnen und Nutzern bereitgestellt werden sowie der Zu- gänglichkeit der In-App Kontaktoption, die u.E. nicht ausreichend erkennbar ist. Aufgrund der fehlenden Übersichtlichkeit der Optionen für die Einreichung eines Löschbegehrens ist nicht auszuschliessen, dass Personen, die ihr Konto löschen wollten, aber nicht wissen, wie genau dies verlangt werden kann, kein Löschbegehren einreichen, aber die App nicht mehr nutzen und als inaktive Nutzenden gelten. Die Once Dating AG bearbeitet deren Daten nicht mehr aktiv, aber speichert sie weiter, obwohl sie diese nicht mehr benötigt, was einen Verstoss ge- gen den Grundsatz der Verhältnismässigkeit darstellt. In diesem Sinne und vor dem Hinter- grund, dass die Information, dass eine Person ein Profil in einer Dating-App hat, unter Um- ständen auch Rückschlüsse über ihre Intimsphäre erlaubt, müsste die Once Dating AG auch eine maximale Aufbewahrungsfrist für inaktive Konten festlegen.
34/44
118. Angesichts der Tatsache, dass die Once Dating AG keinen aktiven Prozess hat, um sicherzustellen, dass die Daten, die von den Löschbegehren betroffen sind, aber von Auf- tragsbearbeitern der Once Dating AG bearbeitet werden, ebenfalls gelöscht werden, erfolgt die weitere Bearbeitung dieser Daten unter Missachtung des Grundsatzes der Rechtmässig- keit, der Verhältnismässigkeit und der Treu und Glaube. Ausserdem ist es nicht auszuschlies- sen, dass die Daten, die gelöscht werden sollten, die aber durch Auftragnehmer bearbeitet werden, weiterhin bei diesen vorhanden sind. Dies stellt einen Verstoss gegen den Grund- satz der Rechtmässigkeit, der Treu und Glaube und der Verhältnismässigkeit dar. Dies führt zu einer Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG. Dementsprechend muss die Once Dating AG die Personendaten von inaktiven Konten in ihren Löschungsprozess in- tegrieren, um diese von sich aus zu löschen, soweit eine Weiterbearbeitung nicht zu anderen Zwecken notwendig ist oder eine Weiterbearbeitung aus anderen Gründen nicht gerechtfer- tigt werden könnte. 3.4. Datenweitergabe an «Dienstleister» 3.4.1. Anforderungen an einer Auftragsdatenbearbeitung (Art. 10a DSG) 119. Gemäss Art. 10a DSG darf ein Verantwortlicher die Bearbeitung von Personendaten einem Dritten (Auftragnehmer) übertragen. Eine Auftragsbearbeitung i.S.v. Art. 10a DSG setzt die Erfüllung bestimmter Anforderungen voraus: Der Dritte darf die Daten nur so verar- beitet, wie es der Verantwortliche selbst tun dürfte, es gibt keine gesetzlichen oder vertragli- chen Geheimhaltungspflichten, die einer Auslagerung dieser Datenbearbeitung entgegenste- hen, und der Verantwortliche stellt sicher, dass der Dritte die Sicherheit der Daten gewähr- leistet. 120. Wer einem Dritten den Auftrag zur Datenbearbeitung gibt, muss dafür sorgen, dass dieser die datenschutzrechtlichen Schranken in gleicher Weise beachtet, wie er es selbst tun müsste. Dies gilt für jegliche Bearbeitungsart, von der Erhebung bis zur allfälligen Weitergabe der Daten. Bei der Übertragung der Bearbeitung an einen Dritten muss der Auftraggeber in Analogie zu Art. 55 des Bundesgesetzes über das Obligationenrecht alle gebotene Sorgfalt aufwenden, um Verstösse gegen das Datenschutzgesetz zu verhindern. Das betrifft insbe- sondere die Einhaltung der allgemeinen Grundsätze, der Regeln betreffend die Datensicher- heit, sowie der Regeln betreffend die Bekanntgabe ins Ausland. Er ist daher verpflichtet, sei- nen Auftragsbearbeiter sorgfältig auszuwählen, ihn angemessen zu instruieren und soweit als nötig zu überwachen (BBl 1988 II 413, S. 463). 121. Die Aufführung von Art. 12 Abs. 2 DSG ist nicht abschliessend, sondern nur exempla- risch. Eine Persönlichkeitsverletzung kann demnach auch vorliegen, wenn andere Daten- schutzvorgaben nicht eingehalten werden. So ist beispielsweise von einer widerrechtlichen Persönlichkeitsverletzung auszugehen, wenn die Anforderungen an einer Auftragsbearbei- tung von Art. 10a DSG nicht eingehalten werden. Sind diese Bedingungen nicht gegeben, dann darf der Verantwortliche die dafür geltende Privilegierung für Auftragsbearbeitungen nicht für sich in Anspruch nehmen. Dies bedeutet, die Datenbekanntgabe an den Dritten muss gemäss Art. 13 DSG gerechtfertigt werden, sonst wird die Persönlichkeit der betroffe- nen Personen widerrechtlich verletzt. 3.4.2. Einhaltung der Anforderungen nach Art. 10a DSG 122. Die Dienstleister, die in der Datenschutzrichtlinie der Once Dating AG als Datenemp- fänger erwähnt werden, sind in erster Linie Auftragnehmer der Once Dating AG, denn sie übertragt ihnen gewisse Personendaten, damit sie diesen für die von ihr festgelegten Zwecke bearbeiten. In diesem Sinne ist die Once Dating AG gemäss Art. 10a DSG verpflichtet, ihre Dienstleister sorgfältig auszuwählen und so zu instruieren und zu überwachen, dass sie die
35/44
Daten nur weisungsgemäss bearbeiten und auch die Datenschutzbestimmungen insbeson- dere hinsichtlich Datensicherheit und Übermittlung ins Ausland einhalten. Werden die Anfor- derungen von Art. 10a DSG nicht eingehalten, gilt diese Übertragung als eine Datenbekannt- gabe an Dritte, für die der Verantwortliche die für Auftragsbearbeitung geltende Privilegierung nicht für sich in Anspruch nehmen kann, so dass sie gerechtfertigt werden muss. Kann sie nicht gerechtfertigt werden, wird die Persönlichkeit der betroffenen Personen widerrechtlich verletzt. 123. Die Verträge bzw. Vereinbarungen zwischen der Once Dating AG und ihren Dienst- leistern sind nicht Gegenstand der vorliegenden Abklärung. Darum verzichten wir darauf zu prüfen, ob diese tatsächlich den Anforderungen an einer Auftragsdatenbearbeitung nach Art. 10a DSG genügen. Wir konnten allerdings im Rahmen unserer Abklärung zwei Mängel in Zu- sammenhang mit der Auslagerung von Personendaten durch die Once Dating AG an ihren Dienstleister feststellen. 3.4.2.1. Übermittlung ins Ausland 124. Erstens konnten wir feststellen, dass alle Auftragsdatenbearbeiter der Once Dating AG Daten in Drittländern bearbeiten und nicht nur AWS, wie die Once Dating AG in ihrer Ant- wort auf unsere Fragen angegeben hat (siehe Ziff. 36 ff.). Die Einhaltung der Vorgaben von Art. 6 DSG durch die Auftragnehmer der Once Dating AG steht ausserhalb des Rahmens die- ser Abklärung. Wie bereits unter Ziff. 119 ausgeführt, ist die Once Dating AG als Auftragge- berin aber verpflichtet, sorgfältig zu prüfen, ob ihre Auftragnehmer die Datenschutzvorgaben einhalten und trägt die Verantwortung für die Einhaltung der Regeln betreffend Datenüber- mittlung ins Ausland, wenn diese Datenbekanntgabe in Rahmen einer Auftragsdatenbearbei- tung erfolgt. 125. Unabhängig von der Frage, ob die von den Dienstleistern in ihren jeweiligen Daten- schutzerklärungen im Zusammenhang mit der Datenübermittlung ins Ausland erwähnten Si- cherheitsvorkehrungen (siehe Ziff. 39) die Anforderungen von Art. 6 DSG tatsächlich erfüllen, kommen wir aufgrund der Tatsache, dass die Once Dating AG in ihrer Antwort nur AWS er- wähnt hat, zu dem Schluss, dass sie ihre Dienstleister in dieser Hinsicht nicht angemessen überprüft und keine besonderen Vorkehrungen getroffen hat um sicherzustellen, dass die von ihren Dienstleistern in Drittländer übermittelten Daten angemessen geschützt bleiben. In die- sem Sinne ist davon auszugehen, dass die Once Dating AG nicht genügend getan hat, um sicherzustellen, dass ihre Auftragnehmer die Regeln betreffend Datenübermittlung ins Aus- land einhalten. Somit hat sie die Anforderungen von Art. 10a DSG nicht eingehalten und könnte zugleich selbst Art. 6 DSG verletzt haben. 3.4.2.2. Bearbeitung von Personendaten für Zwecke Dritter 126. Zweitens stellten wir fest, dass einige Dienstleister der Once Dating AG Personenda- ten nicht nur nach der Weisung der Auftraggeberin Once Dating AG, sondern auch für eigene Zwecke bearbeiten. Dies verstösst gegen den Grundsatz der Zweckbindung und steht der Natur einer Auftragsdatenbearbeitung entgegen. Immer, wenn Datenbearbeiter Personenda- ten, die sie von Auftraggeber erhalten, für eigene Zwecke bearbeiten, gilt dies als eine Daten- bekanntgabe an Dritte, für die der Verantwortliche die für Auftragsbearbeitung geltende Privi- legierung nicht für sich in Anspruch nehmen kann, so dass sie gerechtfertigt werden muss. 3.4.3. Schlussfolgerung 127. Gemäss unserer Abklärung bearbeiten alle Auftragnehmer entgegen ihrer Angaben Personendaten in Drittländern ohne angemessenes Datenschutzniveau und manche bearbei- ten Personendaten für eigene Zwecke. Die Once Dating AG hat nicht sichergestellt, dass ihre Auftragnehmer die Daten nur weisungsgemäss bearbeiten. Da die Anforderungen an einer
36/44
Auftragsbearbeitung von Art. 10a DSG nicht eingehalten werden, muss die Once Dating AG diese Datenbekanntgabe an Dritte gemäss Art. 13 DSG rechtfertigen, sonst wird die Persön- lichkeit der betroffenen Personen gemäss Art. 12 Abs. 1 DSG widerrechtlich verletzt. Sie trägt ausserdem die Verantwortung für die Einhaltung von Art. 6 DSG, wenn die Datenübermittlung ins Ausland in Rahmen einer Auftragsdatenbearbeitung erfolgt. 3.5. Einhaltung der Anforderungen an die Datensicherheit 3.5.1. Schutz des Systems gegen datenschutzrechtlich relevante Risiken 128. Gemäss Art. 7 DSG i.V.m. Art. 8 VDSG ist eine Privatperson, die Personendaten be- arbeitet, verpflichtet, den Grundsatz der Datensicherheit einzuhalten. Das heisst, sie hat für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten zu sorgen, um einen ange- messenen Datenschutz zu gewährleisten. Dabei muss sie vor allem die Systeme gegen fol- gende Risiken schützen: unbefugte oder zufällige Vernichtung; zufälligen Verlust; technische Fehler; Fälschung, Diebstahl oder widerrechtliche Verwendung der Daten; unbefugtes Än- dern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen. Die Massnahmen müssen dem Zweck der Datenbearbeitung, der Art und dem Umfang der Datenbearbeitung, den mög- lichen Risiken für die betroffenen Personen und dem gegenwärtigen Stand der Technik ange- messen sein. 129. Das Gesetz verzichtet darauf, die Sicherheitsmassnahmen im Detail zu regeln. Es verfolgt aber einen risikobasierten Ansatz. Das Risiko, das mit einer Bearbeitung einhergeht, muss in Beziehung gesetzt werden zu den technischen Möglichkeiten, um dieses zu verrin- gern. Je höher das Risiko, je grösser die Eintrittswahrscheinlichkeit und je umfangreicher die Datenbearbeitung ist, umso höher sind die Anforderungen an die technischen Vorkehren, da- mit sie als angemessen gelten können. Es liegt in der Verantwortung des Inhabers der Da- tensammlung, die Sicherheitsbedürfnisse für seine Datenbearbeitungen zu definieren und die nötigen Sicherheitsmassnahmen anzuordnen. 3.5.1.1. Schutz gegen unbefugte Datenbearbeitung 130. Gemäss der Once Dating AG sollen grundsätzlich nur registrierte Nutzer und berech- tigte Dritte auf Personendaten der registrierten Nutzerinnen und Nutzer zugreifen können. Um zu verhindern, dass Unbefugte mittels Bots auf die Daten zugreifen, führt die Once Da- ting AG bei der Registrierung neuer Nutzer eine Verifikation durch. Das Verifikationsverfahren dient nicht einer Verifizierung der echten Identität einer Person, sondern der Vermeidung von computergenerierten Anmeldungen. Wer sich mit einer Handynummer anmeldet, wird mittels eines SMS-Verifizierungsprozesses verifiziert. Bei einer Anmeldung über Facebook-Connect wird die Identität der Nutzender verifiziert, indem das Nutzerprofil bei Once mit einem beste- henden Facebook-Profil verknüpft wird. Wenn man sich für die Verifizierung per Apple ID ent- scheidet, erhält die Once Dating AG, je nach den gewählten Einstellungen, die E-Mail-Ad- resse oder einen Proxy der E-Mail-Adresse der Nutzerin oder des Nutzers. Zudem hat die Once Dating AG verschiedene Massnahmen ergriffen, um offensichtliche Fake-Profilen zu erkennen und zu blockieren. 131. Die registrierenden Personen zu verifizieren ist wichtig, um die Datensicherheit im System zu gewährleisten. Nutzende einer Dating App, die aufgefordert werden, echte Anga- ben über sich zu machen, um eine passende Partnerin oder Partner vom Algorithmus vermit- telt zu bekommen, können erwarten, dass ihre Profile nur durch echte Personen eingesehen werden. In diesem Zusammenhang müssen wir feststellen, dass die Verifizierung über Face- book sowie über die Telefonnummer die Erstellung von Profilen durch Bots nicht vollständig verhindern können, sie erschweren aber das Erstellen von Fake-Profile und stellen die übli- chen Verifikationsverfahren im elektronischen Bereich dar.
37/44
132. Ausserdem ist niemand dazu verpflichtet, sich ein Konto bei Facebook anzulegen, um sich bei der App Once zu registrieren, es bestehen Alternativen zu diesem Verifizierungpro- zess. Insgesamt erscheint das Verifizierungsverfahren der Once Dating AG nach heutigem Stand der Technik als angemessen, um zusammen mit den weiteren Massnahmen zur Miss- brauchsbekämpfung die App gegen Bots zu schützen. Die Once Dating AG bleibt aber in der Pflicht stets zu prüfen, ob diese Massnahme auch in der Zukunft geeignet bleiben und dem aktuellen Stand der Technik weiterhin entsprechen, um den diesbezüglichen Anforderungen der Datensicherheit zu genügen und diese ggf. durch sichere Login-Möglichkeiten zu ersetz- ten. 3.5.1.2. Periodische Evaluation der Sicherheitsmassnahmen und Durchführung von Schwachstellentests 133. Eine wichtige organisatorische Massnahme ist die periodische Evaluation der Sicher- heitsmassnahmen. Neben der Überprüfung der Massnahmen selbst ist zu klären, ob sie noch dem Stand der Technik entsprechen und, ob die getroffenen Massnahmen tatsächlich ihren Zweck erfüllen. Dabei ist es sinnvoll, die technischen Massnahmen einer Kontrolle zu unter- ziehen, um zu prüfen, ob sie das System wirksam vor möglichen Angriffen schützen können. In diesem Zusammenhang soll der Inhaber der Datensammlung Schwachstellentests (Vulne- rability Scans) durchführen, um das System auf Sicherheitslücken zu überprüfen. 134. Die Once Dating AG führt aktuell interne Schwachstellentests durch, und bei der Im- plementierung neuer Funktionen in der App werden diese von einer zweiten Person des Teams vorgängig überprüft und analysiert, bevor die App wieder produktiv gesetzt wird. Au- dits oder Penetrationstests durch externe Prüfer wurden bisher jedoch noch nicht durchge- führt. 135. Bei der Definition der angemessenen Schutzmassnahmen sind auch die Mittel, die dem Inhaber der Datensammlung zur Verfügung stehen, von Bedeutung. Die Once Dating AG ist zwar ein kleines Startup Unternehmen, wurde jedoch im Januar 2021 für 18 Million Dollar durch die Dating Group aufgekauft. Ihr Team soll auch von 4 auf 12 Mitarbeitenden vergrössert werden. In diesem Zusammenhang gehen wir davon aus, dass die Once Dating AG über die notwendigen Mittel verfügt, periodisch ihre Sicherheitsmassnahmen zu überprü- fen und neben den internen Schwachstellentests auch Schwachstellentests durch externe Prüfer durchzuführen zu lassen, um ihre Systeme auf Sicherheitslücken zu überprüfen. 3.5.1.3. Schlussfolgerung 136. Was die Gewährleistung der Datensicherheit betrifft, so stellen wir fest, dass die Once Dating AG ihre Sicherheitsmassnahmen nicht durch Externe prüft, was angesichts der Sensibilität der durch die App bearbeiteten Daten eine angemessene Sicherheitsmassnahme zum Schutz von Personendaten vor unbefugter Bearbeitung wäre. Dies ist eine Verletzung der Pflicht des Verantwortlichen, angemessene Schutzmassnahmen zur Gewährleistung der Datensicherheit zu treffen. 3.6. Persönlichkeitsverletzungen 137. Wie oben ausgeführt, hat die Once Dating AG die Persönlichkeit ihrer Nutzerinnen und Nutzer verletzt, indem sie Datenbearbeitungen entgegen den Datenschutzgrundsätzen gemäss Art. 4 und Art. 7 DSG durchgeführt hat (siehe Schlussfolgerungen 3.2.3.5, 3.3.1.5, und 3.4.3) und, in Verletzung von Art. 10a DSG, Personendaten an Dritte bekanntgegeben hat (siehe Schlussfolgerung 3.4.3). Im Folgenden ist zu prüfen, ob die Persönlichkeitsverlet- zungen gerechtfertigt werden können.
38/44
3.6.1. Rechtfertigung 138. Eine Persönlichkeitsverletzung ist nicht widerrechtlich, wenn sie durch eine Rechts- grundlage, die Einwilligung der Betroffenen oder durch ein überwiegendes privates oder öf- fentliches Interesse gerechtfertigt werden kann. Vorliegend würden insbesondere die Einwilli- gung der betroffenen Person und ein überwiegendes privates Interesse im Betracht kommen. Da für die Datenbearbeitungen der Once Dating AG keine gesetzliche Grundlage besteht, fällt diese als Rechtfertigungsgrund ausser Betracht und wird im Folgenden nicht mehr weiter geprüft. 3.6.2. Einwilligung der betroffenen Person 139. Die Once Dating AG hält in ihren Ausführungen fest, dass sie Personendaten der Nut- zerinnen und Nutzer gestützt auf deren Einwilligung bearbeitet. Folgend wird geprüft, ob die Einwilligung der Nutzenden, welche zum Zeitpunkt der Registrierung eingeholt wird, die fest- gestellten Persönlichkeitsverletzungen zu rechtfertigen vermag. 3.6.2.1. Anforderungen an einer gütigen Einwilligung 140. Gemäss Art. 4 Abs. 5 DSG ist eine Einwilligung erst gültig, wenn sie nach angemes- sener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Per- sonendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen. 141. In der Rechtsprechung zu Helsana+ führt das Bundesverwaltungsgericht ausserdem aus, dass es nicht genügt, wenn die Einwilligung breit und ohne Einschränkungen formuliert ist, weil dadurch der Inhaber der Datensammlung eine über den notwendigen Zweck der Da- tenbearbeitung hinausgehende Einwilligung einholen würde. Zudem würde eine Einwilligung, die auf mehrere Bestimmungen verteilt ist (z.B. Nutzungsbedingungen und Datenschutzerklä- rung), welche die Nutzerinnen und Nutzer durch Anklicken einer Schaltfläche genehmigen würden, den Voraussetzungen einer angemessenen Information für die Gültigkeit einer Ein- willigung nach Art. 4 Abs. 5 DSG nicht entsprechen. Dies, weil dieses Vorgehen es den be- troffenen Personen erschwert zu erkennen, in welche Datenbearbeitungen sie einwilligen (BVerG, Urteil vom 19. März 2019, A-3548/2018, E. 4.8.4). In diesem Zusammenhang wird eine Information über die Datenkategorien und die Bearbeitungszwecke, welche gestützt auf die Einwilligung der betroffenen Personen erfolgen, vorausgesetzt. 3.6.2.2. Erteilte Einwilligung 142. Die Einwilligung der Nutzer holt die Once Dating AG im Rahmen der Registrierung ein, indem die Nutzer das Kästchens neben der Aussage: «Ich akzeptiere, dass Once einige meiner personenbezogenen Daten sammelt und weiterverarbeitet, um ihren Dienst bereitzu- stellen» ankreuzen (siehe Ziff. 59). Dies erfordert eine aktive Handlung der Nutzer. Dabei be- zieht sich die Einwilligung auf die Nutzungsbedingungen und die Datenschutzrichtlinie. 3.6.2.3. Grenzen der erteilten Einwilligung 143. Die Einwilligung kann nur die Datenbearbeitungen rechtfertigen, über welche die Nut- zenden vor der Erteilung der Einwilligung angemessen informiert werden. Die Once Dating AG hat den Transparenzgrundsatz hinsichtlich gewisser Bearbeitungszwecke der Once Da- ting AG (siehe Ziff. 3.2.3.5) und Datenbekanntgabe an Dritte (siehe Ziff. 3.4.2.2) verletzt, weil sie die betroffenen Nutzerinnen und Nutzer über diese Aspekte nicht angemessen in ihrer Datenschutzrichtlinie bzw. Nutzungsbedingungen informiert. Daraus folgt, dass die von den Nutzenden bei der Registrierung erteilte Zustimmung die Persönlichkeitsverletzung nicht rechtfertigen kann, die aus einem Verstoss gegen den Grundsatz der Transparenz resultiert.
39/44
144. Die Einwilligung im Sinne von Art. 6 Abs. 2 lit. b DSG kann eine Datenübermittlung in Drittländer ohne hinreichende Garantien grundsätzlich rechtfertigen. Allerdings betrifft diese Bestimmung gemäss der Botschaft eine konkrete ausservertragliche Situation. Das heisst, dass die Einwilligung nur im konkreten Einzelfall für Übermittlungen ins Ausland herangezo- gen werden kann. Hinzukommt, dass aus den Informationen, die den Nutzenden bereitge- stellt werden, nicht abgeleitet werden kann, dass die Once Dating AG ihre Datenübermittlung ins Ausland auf der Grundlage der Einwilligung der betroffenen Nutzer vornimmt, sodass nicht davon ausgegangen werden kann, dass die Nutzenden akzeptieren, dass ihre Daten in Drittländer ohne hinreichende Garantien übermittelt werden. Folgend kann die Einwilligung der betroffenen Personen die festgestellte Verletzung von Art. 6 nicht rechtfertigen (siehe Ziff. 3.2.3.4). 145. Ebenfalls kann die Verletzung der Rechtmässigkeits- und Verhältnismässigkeitsgrund- sätze sowie des Grundsatzes der Treu und Glauben in Zusammenhang mit der Bearbeitung von Löschbegehren und von Personendaten inaktiver Nutzenden (siehe Ziff. 3.3.1) nicht durch die Einwilligung der betroffenen Person gerechtfertigt werden. Die Personen, welche zum Zeitpunkt der Registrierung ihre Zustimmung zu der Bearbeitung ihrer Personendaten durch die Once Dating AG erteilt haben, haben diese durch das Einreichen eines Löschbe- gehrens implizit zurückgezogen. Die Tatsache, dass die Once Dating AG die Bearbeitung ge- wisser Personendaten an ihre Auftragnehmer delegiert hat, so dass diese nicht unter ihrer direkten Kontrolle stehen, ändert nichts an ihrer Verpflichtung, diese Daten unverzüglich zu löschen. In Bezug auf die Bearbeitung von Personendaten von inaktiven Nutzenden stellen wir ausserdem fest, dass aus der Datenschutzrichtlinie nicht abgeleitet werden kann, dass die Personendaten der Nutzer für immer aufbewahrt werden, auch wenn die Profile inaktiv werden. Vielmehr wird durch folgende Aussage den Eindruck erweckt, dass sie gemäss ei- nem Löschkonzept gelöscht werden, wenn sie nicht mehr gebraucht werden: «Die personen- bezogenen Daten werden nicht länger als die für die Zwecke, für die sie erhoben und verar- beitet werden, erforderliche Dauer aufbewahrt. 146. Die festgestellte Verletzung des Datensicherheitsgrundsatzes (siehe Ziff. 3.5.1.3) kann ebensowenig durch die erteilte Einwilligung gerechtfertigt werden, denn in der Daten- schutzrichtlinie wird ausgeführt, dass die Once Dating AG «sämtliche zweckmäßigen Vorkeh- rungen [trifft], um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten und insbe- sondere ihre Verfälschung und Beschädigung oder den unbefugten Zugriff durch Dritte zu verhindern.». 3.6.2.4. Schlussfolgerung 147. Aus den oben genannten Gründen können die festgestellten Persönlichkeitsverletzun- gen nicht durch die Einwilligung der betroffenen Nutzenden gerechtfertigt werden. 3.6.3. Überwiegendes privates Interesse 3.6.3.1. Vertrag zwischen Nutzenden und der Once Dating AG 148. Eine Verletzung der Persönlichkeit ist ebenfalls nicht widerrechtlich, wenn sie durch ein überwiegendes privates Interesse gerechtfertigt ist. Gemäss Art. 13 Abs. 2 lit. a DSG fällt ein überwiegendes Interesse des Verantwortlichen insbesondere in Betracht, wenn dieser in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags Per- sonendaten über seinen Vertragspartner bearbeitet. 149. In den Nutzungsbedingungen der App Once wird Folgendes ausgeführt: «Bei der Be- stätigung seiner Anmeldung für die App und/oder auf der Website hat der Nutzer die Daten- schutzrichtlinie von ONCE zur Kenntnis zu nehmen: Die Verarbeitung persönlicher Daten durch ONCE ist zur Erfüllung eines Vertrags, bei dem das Mitglied Vertragspartei ist, erfor- derlich.». In der Datenschutzrichtlinie der Once Dating AG steht ausserdem: «Once erhebt,
40/44
verarbeitet und verwendet Ihre personenbezogenen Daten, um: Ihnen die Verwendung der App und die Nutzung der Dienste zu erlauben; per E-Mail, SMS oder auf dem Postweg mit Ihnen zu kommunizieren; unseren Service zu verbessern (nämlich: Analyse von Daten, For- schung und Entwicklung, Aufdeckung betrügerischer Verhaltensweisen; wobei alleine auf der Grundlage einer automatisierten Verarbeitung keine Entscheidung eines Eingreifens getrof- fen wird). Diese von Once durchgeführte Verarbeitung personenbezogener Daten ist für die Erfüllung eines Vertrages, von dem das Mitglied Vertragspartei ist, notwendig». 150. Daraus folgt, dass die Once Dating AG möglicherweise die festgestellten Persönlich- keitsverletzungen durch ein überwiegendes privates Interesse, nämlich die Bearbeitung von Personendaten über ihre Nutzer (Vertragspartner) in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung des Vertrags, welchen diese durch die Annahme der Nut- zungsbedingungen der Once Dating AG abschliessen, rechtfertigen könnte. Dies soll im Fol- genden geprüft werden. Darüber hinaus sehen wir kein weitergehendes Interesse der Once Dating AG, das im vorliegenden Fall das Interesse der betroffenen Personen überwiegen könnte, um die festgestellten Persönlichkeitsverletzungen zu rechtfertigen. 151. In unmittelbarem Zusammenhang mit dem Abschluss oder Abwicklung eines Vertrags sind alle Bearbeitungen zu verstehen, die aus technischer oder wirtschaftlicher Sicht notwen- dig sind, so dass der Vertrag erfüllt werden kann. Die Notwendigkeit muss objektiv und im Hinblick auf den Grundsatz der Verhältnismässigkeit gemessen werden. Vorliegend kann die Once Dating AG diesen Rechtfertigungsgrund geltend machen, um Datenbearbeitungen zu rechtfertigen, ohne welche sie die App Once technisch oder wirtschaftlich nicht betreiben kann. 152. Nach der Rechtsprechung des Bundesgerichts i.S. Logistep (BGE 136 II 508 E. 5.2.4), kann eine Rechtfertigung der Bearbeitung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG im konkreten Fall nur mit grosser Zurückhaltung bejaht werden. Von den im Rahmen dieser Sachverhaltsabklärung festgestellten Persönlich- keitsverletzungen sind alle, ausser die Persönlichkeitsverletzung beim Verstoss gegen Art. 10a DSG (siehe Ziff. 3.4.2.2), Persönlichkeitsverletzungen, welche aufgrund einer Bearbei- tung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG herbeigeführt werden. 153. Die Once Dating AG hat den Transparenzgrundsatz hinsichtlich gewisser Bearbei- tungszwecke der Once Dating AG (siehe Ziff. 3.2.3.5) und der Weitergabe von Personenda- ten an Dritte, welche diese im eigenen Interesse bearbeiten (siehe Ziff. 3.4.2.2) verletzt. An- gesichts der Tatsache, dass angemessene Information über die durchgeführten Datenbear- beitungen eine Grundbedingung des informationellen Selbstbestimmungsrechts ist, kann die- ses Interesse dem Interesse der betroffenen Personen nicht überwiegen. Somit kann die Once Dating AG die Verletzung des Transparenzgrundsatzes nicht durch ein überwiegendes Interesse im Sinne von Art. 13 Abs. 2 lit. a DSG rechtfertigen. 154. Die Datenweitergabe an Dritte selbst könnte theoretisch gerechtfertigt werden, wenn die Once Dating AG darlegen könnte, dass sie an die Dienstleistung durch diese Dritte unter den von ihnen festgelegten Konditionen angewiesen wäre, um die App wirtschaftlich zu be- treiben. Ohne eine Abklärung bezüglich der Notwendigkeit dieser Datenbekanntgabe an Dritte können wir jedoch nicht davon ausgehen, dass diese durch ein überwiegendes Inte- resse der Once Dating AG gerechtfertigt werden. Somit erachten wir diese Persönlichkeits- verletzungen als widerrechtlich. 155. Die Weiterbearbeitung von Personendaten von Nutzenden, welche ein Löschbegeh- ren eingereicht haben, aber die bei Auftragnehmer der Once Dating AG bearbeitet werden und von Personendaten inaktiver Nutzenden stellt einen Verstoss gegen den Bearbeitungs- grundsätze der Rechtmässigkeit und der Verhältnismässigkeit sowie der Bearbeitung nach Treu und Glauben dar (siehe Ziff. 3.3.1). Diese Weiterbearbeitung kann nicht durch das
41/44
überwiegende private Interesse der Once Dating AG gerechtfertigt werden, weil diese Daten nicht benötigt werden, um die App technisch oder wirtschaftlich zu betreiben. 156. Die festgestellte Verletzung des Datensicherheitsgrundsatzes (siehe Ziff. 3.5.1.3) kann ebenfalls nicht durch ein überwiegendes Interesse der Once Dating AG gerechtfertigt werden, denn in Art. 7 Abs. 1 DSG ist eine Angemessenheitsprüfung bereits integriert. Bei der Prüfung der Angemessenheit der getroffenen Schutzmassnahmen wurden die Interessen der Once Da- ting AG bereits berücksichtigt. Somit kann diese Persönlichkeitsverletzung nicht durch ein überwiegendes privates Interesse gerechtfertigt werden. 3.6.3.2. Schlussfolgerung 157. Die Once Dating AG kann die festgestellten Persönlichkeitsverletzungen nicht durch ein überwiegendes privates Interesse rechtfertigen, womit diese als widerrechtlich zu beurtei- len sind und daher behoben bzw. vermieden werden müssen. 3.7. Empfehlungen 158. Gestützt auf Art. 29 Abs. 3 DSG erlässt der EDÖB gegenüber der Once Dating AG die folgenden Empfehlungen. 159. In Bezug auf die festgestellten Mängel betreffend die Transparenzanforderungen bzw. die Qualität der Informationen, die den Nutzenden zur Verfügung gestellt werden, und welche eine widerrechtliche Persönlichkeitsverletzung herbeiführen (siehe Ziff. 3.2.3.5), macht der EDÖB gegenüber der Once Dating AG folgende Empfehlungen:
Die Once Dating AG passt ihre Datenschutzrichtlinie, AGB und FAQ dergestalt an, dass:
1. die Nutzerinnen und Nutzer eindeutig und in verständlicher Sprache über Datenbearbeitungen der Once Dating AG informiert werden. Dabei muss klar darüber informiert werden, welche Daten für welche Bearbeitungszwecke bearbeitet werden und an welche Datenempfänger sie weitergegeben werden. Die Qualität der Informationen hinsichtlich der Bearbeitung zu Marke- tingzwecken, in Zusammenhang mit den Re-Engagement-Diensten und bezüglich Drittemp- fängern ist zu verbessern;
2. die Informationen der Datenschutzrichtlinie, der AGB und der FAQ übereinstimmen und Klar- heit über die Geltung des DSG geschaffen wird;
3. die Datenschutzrichtlinie von jeder Seite der Webseite www.getonce.com aus mit einem Klick aufgerufen werden kann;
4. differenziert und unmissverständlich informiert wird, welche Bearbeitungsvorgänge gestützt auf die Einwilligung der betroffenen Personen oder in direkter Beziehung mit dem Vertrag er- folgen;
5. hinsichtlich der neuen Pflichten gemäss nDSG, korrekt und vollständig über die verwendeten Garantien für die Datenübermittlung ins Ausland informiert wird (inkl. Link zu den vertraglichen
42/44
Garantien im Falle einer Verwendung von SCC).
160. In Bezug auf die festgestellten Mängel betreffend die Bearbeitung von Löschbegehren und die Bearbeitung von Personendaten von inaktiven Nutzenden, welche eine widerrechtli- che Persönlichkeitsverletzung herbeiführen (siehe Ziff. 3.3.1), macht der EDÖB gegenüber der Once Dating AG folgende Empfehlungen:
Die Once Dating AG passt ihre Datenschutzrichtlinie, AGB und FAQ dergestalt an, dass:
1. über alle verfügbaren Löschungsmöglichkeiten der Nutzer klar, zentral und einheitlich infor- miert wird;
2. folgender Satz aus der Datenschutzrichtlinie gestrichen oder angepasst wird, so dass er keine unzulässige Hürden für die Ausübung von Betroffenenrechten darstellt: «[s]ollten sich die An- fragen eines Mitglieds als deutlich unbegründet oder über das Maß hinausgehend herausstel- len (insbesondere aufgrund ihres sich wiederholenden Charakters), ist Once berechtigt, i) an- gemessene Aufwendungen geltend zu machen, die den Verwaltungskosten für die Bereitstel- lung der Informationen, den Kommunikationsaufbau oder das Ergreifen der angefragten Maß- nahmen Rechnung tragen, oder ii) sich weigern, diesen Anträgen Folge zu leisten.»;
Die Once Dating AG passt das Design der App Once wie folgt an:
3. Eine eigenständige Option «Mein Konto löschen» analog zur bestehenden Option «mein Konto deaktivieren» wird unter Einstellungen eingebaut, um diese in der App auffindbar zu machen.
Die Once Dating AG ändert ihren Löschprozess wie folgt und informiert darüber in den AGB oder FAQ:
4. Anstatt inaktive Nutzenden nur im «Matchmaking» zu depriorisieren, deaktiviert die Once Da- ting AG von sich aus die Konten nach 30 Tagen von Inaktivität und informiert die betroffenen Nutzenden per E-Mail, dass sie ihr Konto reaktivieren können, wenn sie sich innerhalb von einem Jahr bei der Anwendung wieder anmelden. Dabei weist die Once Dating AG auch auf die Möglichkeit hin, die Löschung der eigenen Personendaten jederzeit zu verlangen. Nach einem Jahr ohne Aktivität löscht die Once Dating AG von sich aus das bereits deaktivierte Konto endgültig;
5. Die Once Dating AG führt einen Prozess ein, um im Falle eines Löschbegehrens die Lö- schung oder die Anonymisierung der Daten, die durch Auftragnehmer bearbeitet werden, si- cherzustellen.
43/44
161. In Bezug auf die festgestellten Mängel in Zusammenhang mit der Auslagerung von Personendatenbearbeitungen durch die Once Dating AG an Dritte (siehe Ziff. 3.4.2.2), macht der EDÖB gegenüber der Once Dating AG folgende Empfehlungen:
Die Once Dating AG prüft ihre Verträge mit ihren Dienstleistern und trifft Massnahmen, um sicher- zustellen, dass:
1. die Dienstleister die Anforderungen an einer Datenübermittlung ins Ausland gemäss Art. 6 DSG einhalten;
2. die Dienstleister keine Daten ohne Rechtfertigungsgrund für eigene Zwecke bearbeiten.
162. In Bezug auf die festgestellten Mängel in Zusammenhang mit der Gewährleistung der Datensicherheit durch die Once Dating AG (siehe Ziff. 3.5.1.3) macht der EDÖB gegenüber der Once Dating AG folgende Empfehlungen:
1. Die Once Dating AG prüft regelmässig ihre Sicherheitsmassnahmen und Verifikationsverfah- ren, um sicherzustellen, dass diese geeignet bleiben, um ihre Schutzziele zu erreichen;
2. Die Once Dating AG lässt regelmässig Penetrationstests durch externe Auditoren ausführen, insbesondere, wenn neue Features in die App Once eingebaut werden.
3.8. Stellungnahme der Once Dating AG
163. Mit Schreiben vom 3. März 2023 wurde der Once Dating AG der Bericht zu einer abschliessen- den Stellungnahme unterbreitet. Die Stellungnahme der Once Dating AG (vgl. Ziff. 165) wird im Rahmen der Schlussredaktion an dieser Stelle eingefügt.
164. Im Rahmen der Stellungnahme hat die Once Dating AG den EDÖB informiert, dass aufgrund von Umstrukturierungen die Webseite und die App zwischenzeitlich abgeschaltet wurden. Die Inakti- ven Nutzerinnen und Nutzer seien gelöscht wurden, aktive Nutzerinnen und Nutzer wurden auf das neue System transferiert, welches von Xeanco Limited mit Sitz in Hong Kong übernommen wurde und die Empfehlungen umsetzt. 3.9. Verfahren 3.9.1. Rechtliches Gehör und weiteres Vorgehen
165. Der EDÖB hat der Once Dating AG den vorliegenden Schlussbericht mit Empfehlungen zur Prü- fung und Stellungnahme vorgelegt. Die Once Dating AG wurde aufgefordert innerhalb von 30 Ta- gen nach Erhalt zum Bericht Stellung zu nehmen und mitzuteilen, ob sie die Empfehlungen ak- zeptiert oder andere für die betroffenen Personen gleichwertigen Massnahmen trifft.
44/44
166. Die Once Dating AG hat die Empfehlungen angenommen und gleichzeitig mitgeteilt, dass sie die Empfehlungen bereits umgesetzt hat oder diese bis Ende 2023 umsetzen wird. 3.9.2. Veröffentlichung des Schlussberichts mit Empfehlungen
167. Es besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für die vorliegende Art der Da- tenbearbeitung zu sensibilisieren und sie über seine Feststellungen und die Ergebnisse seiner Abklärung zu informieren, Gestützt auf Art. 30 Abs. 2 DSG wird der EDÖB deshalb den vorliegen- den Schlussbericht in angepasster Form auf seiner Website (www.edoeb.admin.ch) veröffentli- chen.
168. Die Veröffentlichung des vollständigen Berichts inklusive Empfehlungen steht unter dem Vorbe- halt, dass aus Sicht der Once Dating AG keine vertraulichen Daten offengelegt werden, welche Geschäftsgeheimnisse preisgeben oder die Wettbewerbsfähigkeit beeinflussen könnten. Die Once Dating AG wurde deshalb aufgefordert, den Bericht auf solche vertraulichen Inhalte zu prü- fen und gegenüber dem EDÖB innert derselben Frist schriftlich Stellung zu nehmen.
169. Die Once Dating AG hat keine Geschäftsgeheimnisse geltend gemacht. Im Sinne des Persönlich- keitsschutzes wurden deshalb nur einzelne Namen für die Publikation geschwärzt.
Der Beauftragte: Die zuständige Juristin:
Adrian Lobsiger
Fabiane Midori Sousa Nakagawa