{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2015-06-01", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20150601-schlussberi_2015-06-01.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/jfICfkoGAJGW/20150601%20schlussbericht_e-finance_postfinance.pdf", "Checksum": "f49f2ea5037b96bea997f8682b570d44"}, "Scrapedate": "2026-04-05", "Num": ["20150601 schlussbericht_e-finance_postfinance"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 01.06.2015"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 01.06.2015"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 01.06.2015"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Schlussbericht vom 1. Juni 2015 betreffend E-Finance von Postfinance"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:45", "Checksum": "723ebef2246ba516f416bf1eefe2eaea", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 01.06.2015\nRegeste:\nSchlussbericht vom 1. Juni 2015 betreffend E-Finance von Postfinance\n\nGemäss PostFinance werden den Geschäftskunden in Bicicletta zu keinem Zeitpunkt Kundendaten\nangezeigt, welche Rückschlüsse auf einen bestimmten Kunden ermöglichen würden. Der Geschäftskunde könne auch zu keinem Zeitpunkt erkennen, an welchen Privatkunden eine Gutschrift für ein\neingelöstes Angebot erfolgt sei (vgl. dazu und zu weiteren Details des Verfahrens Ziff. 9.7 der Sachverhaltsfeststellung vom 11. März 2015). PostFinance will bis zum Start von Bicicletta noch weitere\nSicherheitsüberlegungen in die Applikation miteinfliessen lassen, um Rückschlüsse auf konkrete Personen zu verhindern. So soll es in der vom Geschäftskunden gewählten Branche und der ausgewählten geografischen Eingrenzung genügend Konkurrenten geben. Auch soll die Mindestanzahl der Kunden, welche den Selektionskriterien entsprechen, genügend hoch sein (je nach Branche). PostFinance wird diese Standards nach der ersten Testphase von Bicicletta definieren und bis zur Einführung umgesetzt haben. Der EDÖB stellt fest, dass nach heutiger Beurteilung von Bicicletta keine Bekanntgabe von Personendaten i.S.v. Art. 3 lit. f DSG stattfindet.\n\nSowohl bei E-Cockpit als auch bei Bicicletta findet keine Bekanntgabe von Personendaten an\nDritte i.S.v. Art. 3 lit. f DSG statt.\n\n5.13 Anmeldung der Datensammlung\n5.13.1 Ausgangslage\n\nNach Art. 11a Abs. 3 DSG müssen private Personen Datensammlungen anmelden, wenn:\na. Regelmässig besonders schützenswerte Personendaten bearbeitet werden; oder\nb. Regelmässig Personendaten an Dritte bekannt gegeben werden.\n\n28/36\nAusnahmen von der Anmeldepflicht von Datensammlungen finden sich in Art. 11a Abs. 5 DSG.\n\nPostFinance gibt im Rahmen von E-Cockpit und Bicicletta aus heutiger Sicht keine Personendaten an\nDritte bekannt (vgl. Ziff. 5.12 dieses Schlussberichtes). Da in Bicicletta Persönlichkeitsprofile bearbeitet werden, wird nachfolgend geprüft, ob die Datenbank von Bicicletta angemeldet werden muss.\n\n5.13.2 Beurteilung aus Sicht des EDÖB\n\nEine Datensammlung ist gemäss Art. 3 lit. g DSG jeder Bestand von Personendaten, der so aufgebaut\nist, dass die Daten nach betroffenen Personen erschliessbar sind. Die Resultate aus den Berechnungen werden in die PAS-Datenbank übermittelt, ebenso die Stammdaten der Privatkunden zur demografischen Selektion. Die PAS-Datenbank ist somit eine Datensammlung gemäss Art. 3 lit. g DSG, da\nsie einen Bestand von Personendaten enthält, der nach betroffenen Personen erschliessbar ist. Diese\nDatensammlung enthält Persönlichkeitsprofile i.S.v. Art. 3 lit. d DSG (vgl. Ziff. 5.4.3 dieses Schlussberichtes). Nach Art. 11a Abs. 3 DSG ist die Datenbank im Zusammenhang mit Bicicletta daher grundsätzlich anzumelden. PostFinance hat jedoch eine datenschutzverantwortliche Person i.S.v. Art. 11a\nAbs. 5 lit. e DSG bezeichnet, weshalb eine Anmeldepflicht entfällt.\n\nDa einerseits keine Daten im Zusammenhang mit E-Cockpit und Bicicletta an Dritte weitergegeben werden und PostFinance eine datenschutzverantwortliche Person i.S.v. Art. 11a Abs. 5\nlit. e DSG bezeichnet hat, entfällt die Anmeldepflicht nach Art. 11a Abs. 3 DSG.\n\n6. Ergebnisse\n\nAufgrund der Auswertung der eingereichten Unterlagen und Dokumente sowie gestützt auf die durchgeführte Kontrolle von PostFinance gemäss Art. 29 DSG gelangt der EDÖB zu einer kritischen Gesamtbeurteilung von E-Cockpit und Bicicletta. Die Datenschutzkontrolle hat gezeigt, dass die in diesem Zusammenhang vorgenommenen Datenbearbeitungen nicht in allen Aspekten datenschutzkonform verlaufen. Der EDÖB ist in seiner Kontrolle auf Sachverhalte gestossen, welche aus datenschutzrechtlicher Sicht einer Verbesserung resp. Änderung bedürfen.\n\nAn einer Sitzung zwischen der PostFinance und dem EDÖB und mit Schreiben vom 25. März und\nvom 13. Mai 2015 noch vor Abschluss dieses Schlussberichtes hat Letzterer seine datenschutzrechtlichen Bedenken erläutert. PostFinance hat daraufhin mit Schreiben vom 2. April und vom 18. Mai 2015\neinige Verbesserungsvorschläge gemacht und deren Umsetzung zugesichert. In den nachfolgenden\nAusführungen wird auf diese, wo nötig, detaillierter eingegangen.\n\nAusgehend von diesem Gesamtbild erlässt der EDÖB zuhanden von PostFinance seine Gesamtbeurteilun. Bezugnehmend auf die jeweiligen rechtlichen Beurteilungen wird im Folgenden dargelegt, in\nwelchen Punkten die durch die PostFinance im Rahmen von E-Cockpit und Bicicletta durchgeführten\n29/36\nDatenbearbeitungen verbesserungsbedürftig sind und welche Änderungen vorgenommen werden\nmüssen. Die von PostFinance zugesicherten Änderungsvorschläge wurden anschliessend bereits\naufgenommen.\n\n6.1 Daten als Personendaten\n\nSowohl bei E-Cockpit als auch bei Bicicletta werden\nder Privatkunden von E-Finance bearbeitet. Diese Daten sind bestimmten Personen zugeordnet und als solche als Personendaten i.S.v. Art. 3 lit. a DSG zu verstehen.\n\n6.2 Daten als besonders schützenswerte Personendaten\n\n"}