{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2015-06-01", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20150601-schlussberi_2015-06-01.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/jfICfkoGAJGW/20150601%20schlussbericht_e-finance_postfinance.pdf", "Checksum": "f49f2ea5037b96bea997f8682b570d44"}, "Scrapedate": "2026-04-05", "Num": ["20150601 schlussbericht_e-finance_postfinance"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 01.06.2015"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 01.06.2015"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 01.06.2015"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Schlussbericht vom 1. Juni 2015 betreffend E-Finance von Postfinance"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:45", "Checksum": "723ebef2246ba516f416bf1eefe2eaea", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 01.06.2015\nRegeste:\nSchlussbericht vom 1. Juni 2015 betreffend E-Finance von Postfinance\n\nAm 22. September 2014 gelangte der EDÖB schriftlich an PostFinance und verlangte von ihr, dass sie\nihren Kunden nach dem 12. Oktober 2014, ungeachtet davon, ob diese die neuen TNB akzeptiert\nhaben, weiterhin Zugang zu E-Finance gewährt, mindestens solange die Abklärungen des EDÖB\nlaufen. Ansonsten er einen Antrag auf vorsorgliche Massnahmen prüfen müsse. Es kam in der Folge\nzu Gesprächen, in deren Rahmen PostFinance sich u.a. bereiterklärte, den bisherigen Kunden eine\nOption zum Abmelden von Bicicletta bereits auf der Zwischenseite nach dem Log-In anzubieten. Auf\ndie Beantragung vorsorglicher Massnahmen wurde verzichtet.\n\nIn weiteren Sitzungen mit PostFinance wurde anfangs April 2015 erreicht, dass PostFinance sich dazu\nbereit erklärt hat, im Sinne von Verbesserungsvorschlägen des EDÖB zwei wesentliche Änderungen\numzusetzen: Einerseits wird bei E-Cockpit die Möglichkeit implementiert werden, dass die Kunden E-\nCockpit deaktivieren können, mit der Folge, dass die kategorisierten Daten gelöscht werden. Andererseits wird bei denjenigen Kunden, welche den neuen TNB E-Finance ohne unmittelbare Wahlmöglichkeiten bezüglich Bicicletta zugestimmt haben, die Einwilligung nochmals eingeholt. In den Ausführungen in Ziff. 6 dieses Schlussberichtes wird auf diese Verbesserungen, wo nötig, eingegangen.\n\nDer vorliegende Schlussbericht umfasst die rechtliche Würdigung des Sachverhaltes, welcher auf der\nbereinigten Sachverhaltsfeststellung vom 11. März 2015 basiert.\n\n4/36\n2. Umfang der Kontrolle\n\nDie Datenschutzkontrolle bezog sich auf die Datenabläufe im Zusammenhang mit E-Cockpit und Bicicletta, soweit diese Funktionen bis zur bereinigten Sachverhaltsfeststellung vom 11. März 2015 bekannt waren. Insbesondere ist Bicicletta noch nicht in Betrieb und vollständig definiert. Bezüglich der\nFrage der Datensicherheit beschränkt sich der Bericht auf die grundsätzliche Umsetzung des DSG, da\neine praktische Risikoanalyse nicht Bestandteil dieser Untersuchung ist. Weitere Applikationen im\nZusammenhang mit E-Finance (z.B. „Apps“ und Mobile Payment) bilden keinen Gegenstand dieser\nSachverhaltsabklärung.\n\n3. Chronologie der Kontrolle\n\n21. August 2014 Ankündigung Sachverhaltsabklärung mit Fragenkatalog und Bitte\num Dokumentationen\n19. September 2014 Eingang der Dokumentationen und Beantwortung der Fragen durch\nPostFinance\n15. Oktober 2014 Augenschein in Zofingen inkl. Demonstration und Beantwortung\noffener Fragen\n10. November 2014 Ergänzungsfragen sowie Einfordern zusätzlicher Unterlagen durch\nEDÖB\n8. Dezember 2014 Beantwortung Ergänzungsfragen vom 10. November 2014 durch\nPostFinance mit Zusendung weiterer Unterlagen\n7. Januar 2015 Zustellung der Sachverhaltsfeststellung des EDÖB an PostFinance\nzur Stellungnahme\n25. Februar 2015 Sitzung mit PostFinance zur Bereinigung der Sachverhaltsfeststellung vom 7. Januar 2015\n11. März 2015 Zustellung der bereinigten Sachverhaltsfeststellung an PostFinance\n26. März 2015 Erhalt der Bestätigung von PostFinance bezüglich der bereinigten\nSachverhaltsfeststellung\n23. März 2015 Zustellung des Schreibens an PostFinance betreffend Verbesserungsvorschläge\n2. April 2015 Erhalt der Bestätigung von PostFinance zur Umsetzung unserer\nVerbesserungsvorschläge bei E-Cockpit und Bicicletta\n13. Mai 2015 Zustellung des zweiten Schreibens an PostFinance betreffend Verbesserungsvorschläge\n18. Mai 2015 Erhalt der zweiten Bestätigung von PostFinance zur Umsetzung\nunserer Verbesserungsvorschläge bei E-Cockpit und Bicicletta\n1. Juni 2015 Zustellung des Schlussberichtes des EDÖB an PostFinance\n\n5/36\n4. Sachverhaltsfeststellung vom 11. März 2015\n\nEs wird vollumfänglich auf die Sachverhaltsfeststellung vom 11. März 2015 verwiesen.\n\n5. Datenschutzrechtliche Beurteilung\n\n5.1 Vorbemerkungen\n\nArt. 12 und 13 DSG legen die Voraussetzungen fest, nach welchen die Bearbeitung von Personendaten durch Private rechtmässig ist. Wer im privaten Bereich Personendaten bearbeitet, darf nach\nArt. 12 Abs. 1 DSG dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen.\nGemäss Art. 12 Abs. 2 DSG darf er insbesondere nicht:\n\na. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten;\nb. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten;\nc. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekannt geben.\n\nIn der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Art. 12 Abs. 3 DSG).\n\n"}