DSB-D123.822/0005-DSB/2019 – Datenschutzbehörde Entscheidung
Text
GZ: DSB-D123.822/0005-DSB/2019 vom 23.7.2019
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Bernhard A*** (Beschwerdeführer) vom 24. November 2018 gegen die N*** Gesellschaft m.b.H. (Beschwerdegegnerin), vertreten durch die F*** Rechtsanwälte GmbH, wegen Verletzung im Recht auf Löschung und im Recht auf Widerspruch wie folgt:
- Die Beschwerde wird als unbegründet abgewiesen .
Rechtsgrundlagen : Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 lit. a, Art. 7 Abs. 3, Art. 12 Abs. 4, Art. 16, Art. 21, Art. 24 Abs. 1, Art. 25 Abs. 1, Art. 57 Abs. 1 lit. f und Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 vom 4.5.2016, S. 1; § 24 Abs. 1 und 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit Eingabe vom 24. November 2018 behauptete der Beschwerdeführer eine Verletzung im Recht auf Löschung und im Recht auf Widerspruch. Zusammengefasst sei er Kunde des N***-Stammkundenklubs und habe mit Schreiben vom 20. August 2018 die partielle Löschung von Detaildaten seiner Einkäufe bei der Beschwerdegegnerin beantragt. Mit Schreiben vom 21. August 2018 habe die Beschwerdegegnerin mitgeteilt, dem Löschbegehren nicht zu entsprechen, da eine partielle Löschung einzelner Datenfelder aus ihrem Systemen nicht möglich sei. Mit Schreiben vom 21. August 2018 habe er die Verarbeitung personenbezogener Daten zur personalisierten Datenauswertung (Profiling), die Verarbeitung personenbezogener Daten „im Rahmen der Werbung“ sowie die Verarbeitung personenbezogener Daten zur personalisierten Datenauswertung „widerrufen“.
2. Mit Schreiben vom 20. Dezember 2018 (ha. eingelangt am 21. Dezember 2018) brachte die Beschwerdegegnerin zusammengefasst vor, dass sie in ganz Österreich ein Kundenbindungsprogramm, den N***-Stammkundenklub, betreibe. Als Leistung würden Rabatte, Gutschriften und Aktionen auf den Einkauf gewährt werden, wenn vor dem Zahlungsvorgang die Kundenkarte vorgezeigt werde. Dafür sei erforderlich, dass sich ein Kunde für die N***-Stammkundenklubkarte registriere. Dem Beschwerdeführer sei angeboten worden, seine Daten zu löschen, jedoch habe der Beschwerdeführer auch in der weiterführenden Korrespondenz lediglich die Löschung einzelner Datenfelder ins Treffen geführt. Der DSGVO sei jedoch kein Recht auf teilweise Löschung und kein Recht auf einen teilweisen Widerruf der Verarbeitung zu entnehmen. Ferner sei eine Löschung von einzelnen Datenfeldern technisch nicht möglich.
3. Mit Schreiben vom 7. Jänner 2019 übermittelte der Beschwerdeführer , wie von der Datenschutzbehörde aufgetragen, die seitens der Beschwerdegegnerin an diesen erteilte Auskunft vom 4. Juli 2018. Am 21. August 2018 habe er die Zustimmung zu allen Verarbeitungstätigkeiten, mit Ausnahme von „Punkt 3 – Verarbeitung personenbezogener Daten im Rahmen des Kundenkontos“ und „Punkt 4 – Verarbeitung personenbezogener Daten im Rahmen der Online-Nutzung des Kundenkontos“ widerrufen. Daher entfalle die Rechtsgrundlage für die Verarbeitung des Kaufverhaltens und die Verarbeitung nach „Punkt 5 – Verarbeitung personenbezogener Daten im Rahmen der Werbung“ und „Punkt 6 – Verarbeitung personenbezogener Daten zur personalisierten Datenauswertung“. Für die Gewährung der Vorteile und Rabatte sei das detaillierte Kaufverhalten auch nicht notwendig.
4. Mit Schreiben vom 25. Jänner 2019 forderte die Datenschutzbehörde die Beschwerdegegnerin auf, darzulegen, weshalb die Löschung einzelner Datenfelder technisch nicht möglich sei. Dazu brachte die Beschwerdegegnerin mit Schreiben vom 20. März 2019 zusammengefasst vor, dass die jeweils zum einzelnen Kunden verarbeiteten Informationen in einheitlich definierten Datenfeldern in einer relationalen Datenbank gespeichert seien, die aus vielen zusammenhängenden Tabellen bestehen würden. Dabei würden jeweils objektbezogene Informationen, wie etwa Artikelinformation, Warengruppen, Kundeninformation und Mailings in Tabellen gespeichert und einzelne Attribute dieser Tabellen (Datenfelder und Spalten) hierbei in Beziehung gestellt und verbunden werden. Auf dieser Datenbank seien wiederum mehrere Applikationen basierend, wie auch die Kundendatenbank, das Buchhaltungssystem und das Warenwirtschaftssystem. Letzteres ermögliche eine exaktere Planung bei Filialzuteilungen (welche Filiale bekommt wann welchen Artikel in welcher Stückzahl) und bei Rabatten, die sich entweder auf Filiale, Rayon oder Bundesland beschränken, oder sich über das gesamte Bundesgebiet erstrecken würden. Möglichst genau voraussagen zu können, wo welche Abnahmestückzahlen zu erwarten sind, sei unabdingbare Voraussetzung für eine funktionierende zeitgemäße Lieferkette.
Es sei der Beschwerdegegnerin technisch nicht möglich, für jeden Kunden einzeln einzustellen, welche Daten im Rahmen des Bezahlprozesses erhoben werden würden. Eine Änderung dieser Prozesse hätte schwerwiegende technische und rechtliche Auswirkungen, weil diese „Kassa-Daten“ etwa auch für das sogenannte „elektronische Journal“ der Beschwerdegegnerin herangezogen und gespeichert werden würden, welches gemäß gesetzlicher Vorgaben der BAO und der RKSV die zweite Kassarolle ersetze. Die Speicherdauer von zwei Jahren im Hinblick auf Datum, Uhrzeit und Filiale sei notwendig und angemessen, um Missbrauch nachweisen zu können. Auch sei der Beschwerdeführer über die zweijährige Aufbewahrungsdauer in der Datenschutzerklärung informiert worden und habe sich dennoch für den N***-Stammkundenklub registriert.
Um eine datenschutzkonforme Ausgestaltung des IT-Systems und des Kundenbindungsprogramms zu gewährleisten, habe die Beschwerdegegnerin technisch ein „Sperrkennzeichen“ im System implementiert. Wenn dieses aktiviert ist, würden die Kundendaten nicht mehr für personalisierte Rabatte herangezogen. Ein Kunde des N***-Stammkundenklubs erhalte jedoch weiter nicht-personalisierte, allgemeine Zusendungen mit nicht-personalisierten Rabatten. Auch solche allgemeinen Zusendungen würden bei widerrufener Einwilligung nicht mehr versendet werden. Um den Interessen des Beschwerdeführers Rechnung zu tragen, habe die Beschwerdegegnerin den Widerspruch des Beschwerdeführers betreffend die Profiling-Tätigkeit der Beschwerdegegnerin für die Zwecke der Zusendung personalisierter Rabatten bereits durch Setzung des technisch im System implementierten Sperrkennzeichens umgesetzt. Es werde weiterhin angeboten, alle Daten des Beschwerdeführers im N***-Stammkundenklub zu löschen.
5. Der Beschwerdeführer replizierte darauf – nach Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens – in seiner Stellungnahme vom 1. April 2019 zusammengefasst, dass die seitens der Beschwerdegegnerin ins Treffen geführte „technische Komplexität“ kein Freibrief sein könne, sich nicht um Datenschutz zu kümmern. Einzelne Datenfelder seien eventuell nicht löschbar, allerdings könne man diese überschreiben und daher anonymisieren; einzig die referentielle Integrität (Primär- und Fremdschlüssel) müsse sichergestellt sein.
B. Beschwerdegegenstand
Ausgehend vom Vorbringen des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Löschung und im Recht auf Widerspruch verletzt hat, indem sie seinem Antrag vom 20. August 2018 auf Löschung sowie seinem Antrag auf Widerspruch vom 21. August 2018 nicht entsprochen hat.
C. Sachverhaltsfeststellungen
1. Die Beschwerdegegnerin betreibt ein Einzelhandelsunternehmen mit Filialen in ganz Österreich. In dieser Eigenschaft betreibt sie weiters ein Kundenbindungsprogramm, den N***-Stammkundenklub.
2. Für die Teilnahme am Kundenbindungsprogramm ist es erforderlich, dass sich ein Kunde für die N***-Stammkundenklubkarte registriert und der Datenschutzerklärung zustimmt. Die Datenschutzerklärung der Beschwerdegegnerin lautet mit Stand 21. August 2018 auszugsweise wie folgt (Formatierung nicht 1:1 wiedergegeben):
„[…]
2. Leistungsumfang bei der N*** Stammkundenklubkarte
Im Folgenden beschreiben wir den Leistungsumfang unserer N*** Stammkundenklubkarte.
2.1. Rabatte, Gutschriften und Aktionen
Als Leistung in Ihrem Kundenkonto gewähren wir Ihnen Rabatte, Gutschriften und Aktionen auf Ihren Einkauf. Diese können sich auf einzelne Artikel, bestimmte
Sortimente oder den gesamten Einkauf beziehen und können allen oder nur einer bestimmten Personengruppe zur Verfügung gestellt werden. Erforderlich dafür
ist, dass Sie vor dem Zahlungsvorgang Ihre Kundenkarte vorzeigen, die von unseren Mitarbeitern digital erfasst wird. Informationen dazu erhalten Sie aus unserer
Werbung oder in der Filiale. Die nationalen oder regionalen Aktionen sind zeitlich begrenzt und können in Abhängigkeit zum Wert Ihres Einkaufs stehen.
2.2. Werbung
Werbung ist jede Maßnahme, die auf die Absatzförderung (fremder) Produkte zielt. Bei entsprechender Zustimmung übermitteln wir Werbung für Produkte, Waren
oder Dienstleistungen per E-Mail, Post oder am Kassabon. Sollten Sie sich für die E-Mail als Kommunikationskanal entschieden haben, erhalten Sie nach der
Verarbeitung Ihrer Daten von uns nochmals eine gesonderte Bestätigungs-E-Mail. Erst nach Anklicken auf den darin enthaltenen Link erhalten Sie Werbe-E-Mails.
[…]
2.6. Personalisierte Datenauswertung (Profiling)
Anhand der personalisierten Datenauswertung sind wir in der Lage, Ihr Kaufverhalten automatisiert zu verarbeiten. Durch die Bewertung Ihrer Kundendaten wie etwa der Postleitzahl können wir unsere Leistungen zielgerichteter und spezifischer anbieten.
[…]
5. Verarbeitung personenbezogener Daten im Rahmen der Werbung
Durch Ihre Einwilligungserklärung in den Empfang von Werbung möchten wir Sie über aktuelle Produkte, Services, Gewinnspiele und Aktionen benachrichtigen.
Profiling: Um Ihnen zielgerichtete und spezifische Informationen und Werbung über aktuelle Produkte, Services, Gewinnspiele, Kundenbefragungen und Aktionen zukommen zu lassen, die Ihrem Kaufverhalten entsprechen, analysieren wir Ihre Einkaufsdaten, Ihre Teilnahme an unseren Werbeaktionen und Ihr
Nutzungsverhalten unserer elektronischen Medien. Dazu werten wir folgende Daten aus:
Stammdaten: Name, Wohnort, Alter, Geschlecht.
Kaufverhalten: Kaufort (Filiale), Produkt und Produktkategorie, Nutzung von Angeboten und Aktionen beim Kauf der Waren/Produkte, Teilnahmedauer/Häufigkeit und Ähnlichkeitsfeststellung mit anderen unserer Kunden.
Sollten Sie sich für eine postalische Benachrichtigung entschieden haben, verarbeiten wir Ihren Namen, Vornamen, Ihre Anschrift sowie Ihr Geburtsdatum.
Sollten Sie sich für eine Benachrichtigung per E-Mail entschieden haben, verarbeiten wir Ihre zuvor verifizierte E-Mail-Adresse sowie Ihr Geburtsdatum, sofern angegeben. Ihr Geburtsdatum verarbeiten wir um Ihnen einen Geburtstagsvorteil zukommen lassen zu können bzw. weil wir Sie über die Verfügbarkeit eines solchen Geburtstagsgeschenkes informieren möchten.
Diese Datenverarbeitung beruht auf Art 6 Abs 1 lit a DSGVO und Art 7 DSGVO und dient dem Empfang von Werbung.
6. Verarbeitung personenbezogener Daten zur personalisierten Datenauswertung
Sofern Sie sich nicht vom Profiling abgemeldet haben, werden wir Ihr online Nutzerverhalten durch automatisierte Verarbeitung Ihrer personenbezogenen Daten zu Ihrem Kaufverhalten bewerten. Wir speichern Ihre Informationen in Bezug auf Ihr Kaufverhalten. Durch diese Datenverarbeitung möchten wir unsere Leistungen verbessern. Dazu werten wir folgende Daten aus:
Stammdaten: Name, Wohnort, Alter, Geschlecht.
Kaufverhalten: Kaufort (Filiale), Produkt und Produktkategorie, Nutzung von Angeboten und Aktionen beim Kauf der Waren/Produkte, Teilnahmedauer/Häufigkeit und Ähnlichkeitsfeststellung mit anderen unserer Kunden.
Diese Datenverarbeitung beruht auf Art 22 Abs 2 lit c, 6 Abs 1 lit a, 7 DSGVO und dient der personalisierten Datenauswertung.
[…]
8. Dauer der Speicherung
Ihre Daten zum Kaufverhalten werden zwei Jahre, die daraus gewonnenen Profiling-Daten fünf Jahre und Ihre Jahresumsätze werden sieben Jahre gespeichert. Wir löschen alle Ihre personenbezogenen Daten grundsätzlich nach dem Austritt aus dem Kundenprogramm (Ende der Vertragsbeziehung), spätestens nach Erlöschen aller gesetzlichen Aufbewahrungspflichten.“
2. Der Beschwerdeführer hat sich für eine Teilnahme am N***-Stammkundenklub registriert und die oben genannte Datenschutzerklärung der Beschwerdegegnerin akzeptiert.
3. In weiterer Folge hat der Beschwerdeführer am 20. August 2018 die Löschung gewisser Daten bei der Beschwerdegegnerin beantragt. Der genannte Antrag lautet auszugsweise wie folgt (Formatierung nicht 1:1 wiedergegeben):
„[…]
Sehr geehrtes N*** Team.
Vielen Dank für die Bereitstellung der Auskunft meiner verarbeiteten Daten, gemäß Artikel 15 DSGVO.
Gedruckt auf Papier ist die Menge der Daten selbst für IT Laien greifbar und regt natürlich zum Denken an.
Ich bitte sie hiermit die Detaildaten (Filiale, Einkaufszeit, Artikelbezeichnung, …) meiner Einkäufe bei D*** zu löschen (Details unten) und in Zukunft nicht mehr für einen längeren Zeitraum als den Einkauf und zu Verrechnungszwecken zu speichern.
Sie können weiter aggregierte Daten erfassen wie Einkaufsumme (pro Einkauf), Summe pro Monat und Jahr, etc.
Ich bitte sie jedoch keine Details länger zu erfassen als für die Durchführung der eigentlichen Dienstleistung = Einkauf notwendig. Mir ist bewusst und ich nehme zur Kenntnis, dass sie mir dadurch keine detaillierten artikelbezogenen Gutscheine (welche nebenbei angemerkt selten passend sind) und Aktionen mehr anbieten können, für die allgemeinen Aktionen wie zB. ***punktesammler reichen jedoch auch aggregierte Daten (zB Einkaufssumme pro Monat) aus.
Detailauflistung der zu löschenden Daten nach Kategorien:
Einkaufsinformation je Einkauf
Bitte löschen sie:
· Spalte Einkaufsdatum die Uhrzeit
· Spalte Filale die Filiale (sie können gerne weiter das Bundesland speichern, daher zB statt 3023
3XXX).
Einkaufsinformationen im Details
Bitte löschen sie:
· Spalte Einkaufsdatum: die Uhrzeit
· Spalte Filale: die Filiale (Bundesland genügt, daher zB statt 3023 3XXX).
· Spalte Artikelbezeichnung: Artikelbezeichnung
Briefsendungen
Bitte löschen sie sämtliche Informationen über Briefsendungen
Warengruppen des Gesamtumsatzes
Bitte löschen sie die Daten, oder zumindest den Text oder den Anteil.
Ebenso bitte ich sie in Zukunft diese Daten pro Kategorie nicht mehr zu erfassen.
Im Idealfall bieten sie ihren Kunden in Zukunft an über ihren Webauftritt selbst konfigurieren zu können, welche Daten für einen längeren Zeitraum verarbeitet werden.
[…]“
4. Darüber hinaus hat der Beschwerdeführer mit einem weiteren Schreiben vom 21. August 2018 folgendes bei der Beschwerdegegnerin beantragt (Formatierung nicht 1:1 wiedergegeben):
„[…] Ich gehe davon aus, dass es sich um eine Standardantwort handelt, denn technisch gibt es keinen validen Grund warum man Datensätze in Datenbanken nicht selektiv löschen (anonymisieren) kann.
Wie auch immer, mir geht es um die detaillierten Einkaufsinformationen über jeden Einkauf, im Speziellen genaue Uhrzeit des Einkaufs, Filiale und Artikelbezeichnung.
Soweit ich das verstehe fällt die Erhebung lt. https://www.n***.at/Footer_Nav_Seiten/***Datenschutz/dd_bi_***page.aspx des detaillierten Einkaufsverhaltens (genaue Uhrzeit des Einkaufs, Filiale und Artikel) unter:
2.6. Personalisierte Datenauswertung (Profiling)
5. Verarbeitung personenbezogener Daten im Rahmen der Werbung, sowie
6. Verarbeitung personenbezogener Daten zur personalisierten Datenauswertung
Daher wenn ich meine Zustimmung zu:
2.6. Personalisierte Datenauswertung (Profiling)
5. Verarbeitung personenbezogener Daten im Rahmen der Werbung, sowie
6. Verarbeitung personenbezogener Daten zur personalisierten Datenauswertung
widerrufe werden die folgenden Daten nicht mehr gespeichert bzw. die aktuell gespeicherten gelöscht
(Datum/Uhrzeit, Artikelbezeichnung und Filiale).
Falls dem so ist, widerrufe ich hiermit die Verarbeitung meiner personenbezogenen Daten zur
2.6. Personalisierte Datenauswertung (Profiling)
5. Verarbeitung personenbezogener Daten im Rahmen der Werbung, sowie
6. Verarbeitung personenbezogener Daten zur personalisierten Datenauswertung
Anmerkung zur Werbung. Sie können mir gerne Werbung zusenden, kein Problem, allerdings sehe ich
keinen Grund weshalb sie Kaufort (Filiale), Produkt und Produktkategorie dafür unbedingt benötigen.
Selbst mit einer Statistik über das Einkaufsverhalten im Bezirk können sie schon sehr zielgerichtete Werbung zusenden.
[…]“
4. Mit Schreiben vom 21. August 2018 hat die Beschwerdegegnerin dem Beschwerdeführer darüber unterrichtet, dem partiellen Antrag auf Löschung und dem partiellen Antrag auf Widerspruch nicht zu entsprechen. Als Begründung wurde angeführt, dass eine partielle Löschung einzelner Datenfelder nicht möglich sei. Die Beschwerdegegnerin biete jedoch an, alle Daten des Beschwerdeführers im N***-Stammkundenklub zu löschen.
5. Die Beschwerdegegnerin hat in ihrem mit dem Bonusprogramm im Zusammenhang stehenden System ein „Sperrkennzeichen“ implementiert. Wird dieses im Hinblick auf einen konkreten Datensatz eines Kunden aktiviert, so werden die Daten des Kunden nicht mehr für personalisierte Rabatte herangezogen. Dieses Sperrkennzeichen wurde beim Beschwerdeführer gesetzt.
Beweiswürdigung : Die getroffenen Feststellungen beruhen auf der Eingabe des Beschwerdeführers vom 24. November 2018 sowie der vorgelegten Korrespondenz zwischen Beschwerdeführer und Beschwerdegegnerin, die dem Beschwerdeverfahren vor der Datenschutzbehörde voranging, und der vorgelegten Kopie der Datenschutzerklärung der Beschwerdegegnerin mit Stand 21. August 2018.
D. In rechtlicher Hinsicht folgt daraus:
1. Zur partiellen Ausübung von Betroffenenrechten nach Kapitel III DSGVO
Das in § 1 Abs. 3 Z 2 DSG verankerte, verfassungsgesetzlich gewährleistete Recht auf Löschung unzulässigerweise verarbeiteter Daten richtet sich nunmehr nach den in Art. 17 DSGVO, das nicht begründungsbedürftige Recht auf Widerspruch gegen Direktwerbung nach den in Art. 21 Abs. 2 DSGVO postulierten Vorgaben.
Das Recht auf Widerspruch steht insofern mit dem Recht auf Löschung in Verbindung, als ein (erfolgreicher) Widerspruch gemäß Art. 17 Abs. 1 lit. c DSGVO den Verantwortlichen zur unverzüglichen Löschung verpflichtet. Weiters führt auch der partielle Widerruf der Einwilligung iSv Art. 4 Z 11 DSGVO, den der Beschwerdeführer offenbar an die Beschwerdegegnerin gerichtet hat, gemäß Art. 17 Abs. 1 lit. b zu einer entsprechenden Pflicht zur Löschung.
Die Durchsetzung der genannten Rechte ist in Art. 12 Abs. 3 DSGVO in der Weise geregelt, dass die Löschung (ggf. anlässlich des Widerspruchs) – auf Antrag – innerhalb von einem Monat vorzunehmen und der betroffenen Person darüber eine entsprechende Mitteilung zu machen ist, oder die betroffene Person innerhalb dieser Frist gemäß Art. 12 Abs. 4 DSGVO darüber zu unterrichten ist, warum keine (vollständige) Löschung stattfindet. Der Verantwortliche hat dabei die Überprüfung der Datenbestände im Hinblick auf den Antrag auf Löschung bzw. Widerspruch durchzuführen; dieser Vorgang unterliegt der Kontrolle durch die Datenschutzbehörde.
Im vorliegenden Fall hat die Beschwerdegegnerin ins Treffen geführt, dass der DSGVO kein Recht auf partielle Löschung und kein Recht auf partiellen Widerspruch zu entnehmen sei.
Die Datenschutzbehörde hat sich bereits mit der Frage, ob Betroffenenrechte partiell, d.h. bloß im Hinblick auf gewisse personenbezogene Daten, ausgeübt werden können, mit Bescheid vom 5. Dezember 2018 zur GZ DSB-D123.211/0004-DSB/2018 auseinandergesetzt und Folgendes festgehalten:
„Es steht außer Zweifel, dass es dem Betroffenen bei einem antragsbezogenen Recht – wie jenem nach § 27 Abs. 1 Z 2 DSG 2000 – freistehen muss, als „Minus“ auch die Löschung bloß eines Teiles der Daten zu begehren ( partielles Löschungsrecht ). Dies ergibt sich einerseits aus der oben zitierten Entscheidung des OGH („Wenngleich § 28 Abs. 2 DSG [2000] nur von einem Widerspruch gegen die Aufnahme in eine Datei spricht, steht es dem Betroffenen frei, als bloßes Minus die Löschung bloß eines Teils der Eintragung zu begehren“) aber auch daraus, dass bestimmte personenbezogene Daten (also auch Teile eines Datensatzes) eines Betroffenen nicht mehr dem Anspruch der Richtigkeit oder Aktualität entsprechen können, während dies für andere Datenteile noch der Fall sein kann. In diesem Fall muss es möglich sein, auch nur Teile des Datensatzes zu löschen, um den Grundsätzen des § 6 DSG 2000 weiterhin zu entsprechen.
Ist ein Auftraggeber/Verantwortlicher der Ansicht, dass einem partiellen Löschungsbegehren nicht entsprochen werden kann, so sind die dafür maßgeblichen Gründe – innerhalb der hiefür vorgesehen Frist – dem Betroffenen mitzuteilen, und zwar in einer Art und Weise, dass für den Betroffenen selbst, jedoch auch für die Datenschutzbehörde, welche (nunmehr nach Art. 77 DSGVO) angerufen werden kann, nachvollziehbar ist, weshalb dem Begehren nicht (vollständig) entsprochen wurde (vgl. dazu in Bezug auf das Recht auf Auskunft den Bescheid der Datenschutzbehörde vom 27. Oktober 2014, GZ DSB-D122.215/0004-DSB/2014).“
Vor dem Hintergrund der Überlegung, dass es die mehrmals erklärte Absicht des europäischen Gesetzgebers war, die Betroffenenrechte zu stärken (vgl. das Erkenntnis des BvwG vom 27. September 2018, GZ W214 2127449-1), ist kein Grund ersichtlich, diese Rsp nicht auf die neue Rechtslage zu übertragen. Die Datenschutzbehörde geht somit auch nach nunmehriger Rechtslage davon aus, dass Betroffenenrechte grundsätzlich auch partiell, d.h. bloß im Hinblick auf gewisse personenbezogene Daten, ausgeübt werden können
2. Zur Rechenschaftspflicht eines Verantwortlichen
Anders als bei dem im zitierten Bescheid der Datenschutzbehörde vom 5. Dezember 2018 zugrundeliegenden Sachverhalt hat die Beschwerdegegnerin im gegenständlichen Fall jedoch weiters ins Treffen geführt, dass die Umsetzung eines partiellen Widerspruchs bzw. einer partiellen Löschung von personenbezogenen Daten in ihrem System technisch nicht umsetzbar sei.
In diesem Zusammenhang ist zunächst auf die in der DSGVO verankerte Rechenschaftspflicht eines Verantwortlichen hinzuweisen:
Nach Art. 5 Abs. 2 DSGVO ist ein Verantwortlicher für die Einhaltung der DSGVO inhärenten Grundsätze, u.a. auch des Grundsatzes der Verarbeitung nach Treu und Glauben gemäß Abs. 1 lit. a leg. cit., verantwortlich und muss deren Einhaltung nachweisen können.
In weiterer Folge normiert Art. 24 Abs. 1 DSGVO in ähnlicher Weise, dass ein Verantwortlicher unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umzusetzen hat, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.
Aspekte der Rechenschaftspflicht finden sich ferner im in Art. 25 Abs. 1 DSGVO verankerten Grundsatz „Datenschutz durch Technik“, wonach die Mittel zur Verarbeitung, d.h. Produkte, Dienstleistungen und Anwendungen , sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung derart zu wählen sind, dass die Anforderungen der DSGVO erfüllt werden können (vgl. Baumgartner in Ehmann/Selmayr (Hrsg.), DS-GVO 2 [2018] Art. 25 Rz 2; siehe auch Hötzendorfer in Gantschacher/Jelinek/Schmidl/Spanberger (Hrsg.), Kommentar zur Datenschutz-Grundverordnung [2017] Art. 25 Anm. 3).
Ausgehend von dieser Rechenschaftspflicht ist allgemein festzuhalten, dass sich ein Verantwortlicher der Einhaltung seiner durch die DSGVO auferlegten Pflichten nicht dadurch entziehen kann, indem er derart ungeeignete technische und organisatorische Maßnahmen trifft, die es ihm u.a. verunmöglichen, den Anträgen von betroffenen Personen zu entsprechen.
3. Zum Bonusprogramm (N***-Stammkundenklub)
Im gegenständlichen Fall hat die Beschwerdegegnerin zwar angeboten, alle Daten des Beschwerdeführers im N***-Stammkundenklub zu löschen. Dennoch ist zu überprüfen, ob sie auch dazu verpflichtet ist, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken der gegenständlichen Verarbeitung technische und organisatorische Maßnahmen zu treffen, um den partiellen Anträgen des Beschwerdeführers entsprechen zu können.
Im obig zitierten Bescheid vom 5. Dezember 2018 ging die Datenschutzbehörde davon aus, dass eine Kreditauskunftei, welche die partielle Löschung gewisser Informationen verweigert und überschießend sämtliche personenbezogene Daten löscht, gegen den Grundsatz der Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 lit. a DSGVO handelt. Maßgebliche Überlegung dabei war, dass das wirtschaftliche Fortkommen einer betroffenen Person, welche bloß die vollständige Löschung oder Berichtigung ihrer Informationen aus einer Bonitätsdatenbank begehren kann, erschwert oder verhindert wird, da Unternehmen regelmäßig die Geschäftsentscheidungen von der Identifikation einer Person in einer Bonitätsdatenbank abhängig machen.
Ein derartiges Risiko ist gegenständlich jedoch nicht erkennbar:
Die Folge einer vollständigen Löschung, welche die Beschwerdegegnerin auch angeboten hat, wäre keine Erschwernis oder Verhinderung des wirtschaftlichen Fortkommens, sondern lediglich, dass der Beschwerdeführer nicht mehr am N***-Kundenclub teilnehmen und die damit verbundenen Vergünstigungen in Anspruch nehmen kann ; solche Vergünstigungen stellen nach derzeitiger allgemeiner Lebenserfahrung auch keinen derartigen wirtschaftlichen Vorteil dar, dass von einer Benachteiligung jener Kunden auszugehen wäre, die nicht am N***-Kundenclub teilnehmen.
Die Datenschutzbehörde ist der Ansicht, dass das Grundrecht auf Schutz personenbezogener Daten gemäß Art. 8 Abs. 1 EU-GRC, welches in der DSGVO konkretisiert wird, nicht bloß als Abwehrrecht verstanden werden kann, sondern dass eine betroffene Person im Rahmen ihrer informationellen Selbstbestimmung auch eigenständig – freilich innerhalb gewisser Grenzen – über den Umgang mit ihren personenbezogenen Daten verfügen kann (vgl. den Bescheid der DSB vom 7. März 2019, GZ DSB-D130.033/0003-DSB/2019 sowie vom 30. November 2018, GZ DSB-D122.931/0003-DSB/2018).
Davon ausgehend ist die Datenschutzbehörde weiters der Ansicht, dass eine betroffene Person eine Einwilligung im Hinblick auf die Teilnahme an Bonusprogrammen, denen es inhärent ist, dass gewisse Informationen von Teilnehmern gesammelt und im Gegenzug dafür Rabatte, Gutschriften und Aktionen zur Verfügung gestellt werden, unter den in der DSGVO genannten Voraussetzungen abgeben kann.
Eine wesentliche Voraussetzung einer solchen Einwilligung ist ein ausreichender Grad an Informiertheit (vgl. ErwGr 32 erster Satz DSGVO) und sind ausreichende Garantien (vgl. Art. 24 Abs. 1 DSGVO) zum Schutz der Rechte und Freiheiten einer betroffenen Person.
Dies wurde von der Beschwerdegegnerin zunächst durch eine entsprechende Datenschutzerklärung gewährleistet, die dem Beschwerdeführer vor Registrierung beim N***-Stammkundenklub unbestritten zur Kenntnisnahme verfügbar war. In dieser Datenschutzerklärung wird u.a. auch darüber informiert, dass die Daten „Kaufverhalten: Kaufort (Filiale), Produkt und Produktkategorie, Nutzung von Angeboten und Aktionen beim Kauf der Waren/Produkte, Teilnahmedauer/Häufigkeit und Ähnlichkeitsfeststellung mit anderen unserer Kunden“ verarbeitet werden; ebenso wurde ausdrücklich über die die entsprechende Speicherdauer informiert. Eine Irreführung oder Täuschung durch die Beschwerdegegnerin im Hinblick auf der Verarbeitung personenbezogenen Daten liegt daher nicht vor .
Ferner hat die Beschwerdegegnerin in ihrem mit dem Bonusprogramm im Zusammenhang stehenden System ein „Sperrkennzeichen“ implementiert, um einem allfälligen Widerspruch einer betroffenen Person gegen Profiling-Tätigkeiten umsetzen zu können.
Weiters liegen auch keine Anhaltspunkte dafür vor, dass die erhobenen personenbezogenen Daten des Beschwerdeführers unzlässig (weiter-) verwendet werden, oder dass anderweitige durch die DSGVO auferlegte Pflichten, wie insbesondere die Pflicht zur Gewährleitung der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO, verletzt werden würden; allerdings ist darauf hinzuweisen, dass eine etwaige Verletzung dieser Pflichten seitens des Beschwerdeführers auch nicht moniert wurde und deshalb auch nicht Gegenstand des Ermittlungsverfahrens war.
Letztlich ist zu beachten, dass die DSGVO nach Art. 1 Abs. 2 iVm ErwGr. 4 zweiter Satz nicht bloß dem Schutz personenbezogener Daten dient, sondern ein angemessener Ausgleich mit den weiteren im europäischen Rechtsraum anerkannten Rechten und Freiheiten geschaffen werden soll. Eine partielle Löschung, wie vom Beschwerdeführer begehrt, würde im vorliegenden Fall jedoch dazu führen, dass die Beschwerdegegnerin ihr Bonusprogramm, deren Ausgestaltung ihr im Rahmen der Privatautonomie und im Rahmen ihrer Erwerbsfreiheit grundsätzlich vorbehalten ist, nicht betreiben kann.
4. Ergebnis
Unter Berücksichtigung all dieser Überlegungen ist dem Beschwerdeführer im konkreten Fall kein Recht zuzugestehen, am N***-Kundenclub unter einseitiger Festlegung der zu verarbeitenden Datenkategorien teilzunehmen und ist daher von keiner Verletzung des Grundsatzes der Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 lit. a DSGVO sowie der Rechenschaftspflicht gemäß Art. 24 Abs. 1 DSGVO und in Folge auch von keiner Verletzung im Recht auf Löschung nach Art. 17 DSGVO sowie im Recht auf Widerspruch nach Art. 21 DSGVO auszugehen.
Die Beschwerdeführerin hat im Ergebnis dem partiellen Antrag auf Löschung und dem partiellen Antrag auf Widerspruch zurecht nicht entsprochen und war auch nicht gehalten , entsprechende technische und organisatorische Maßnahmen zu treffen, um dies zu ermöglichen.
Es war daher spruchgemäß zu entscheiden.