Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 031 322 43 95, Fax 031 325 99 96 www.edoeb.admin.ch
Bern, den 16.12.2008
Empfehlung
gemäss
Art. 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG)
betreffend
die Dienstleistung „Auskunftservice A“ der Firma X
I. Sachverhalt
1. Die Firma X und ihre Dienstleistung „Auskunftservice A“ 1 Die Firma X ist eine Tochtergesellschaft der Firma Y. Im Rahmen ihrer Tätigkeit als Wirtschaftsauskunftei sammelt und speichert sie Daten, um sie Dritten zur Bonitätsprüfung ihrer Kunden und Geschäftspartnern zur Verfügung zu stellen.
2 Die Firma X bietet die in ihrer Datenbank gespeicherten Daten zielgruppenspezifisch über die Internetplattform als Dienstleistung „Auskunftservice A“ an. Der „Auskunftservice A“ ist eine Applikation, mit welcher die gespeicherten Daten automatisiert aufbereitet und ausgewertet werden können. Diese Auswertung kann über die Plattform X-Online im Abrufverfahren bezogen werden. Damit können zugangsberechtigte Personen über Suchmasken Bonitäts- und Wirtschaftsinformationen der betroffenen Personen abfragen, um Mieterangaben zu prüfen und Mietzinsausfälle zu vermeiden. Ausserdem können ergänzende Informationen, wie Betreibungsauskünfte, Arbeitgeber- und Vermieter-Referenzen, eingeholt bzw. angefordert werden.
2. Chronologischer Ablauf der Sachverhaltsabklärung 3 Der EDÖB wurde erstmals am 01.04.2008 durch eine Mitteilung einer betroffenen Person auf die Existenz des „Auskunftservice A“ aufmerksam gemacht, woraufhin er am 08.04.2008 zwecks Sachverhaltsabklärung mit der Firma X Kontakt aufnahm.
4 Parallel hierzu bereitete das Schweizer Fernsehen einen Beitrag zum „Auskunftservice A“ vor. In einer Sendung wurde dann der „Auskunftservice A“ thematisiert. Auch wurde ein vorher aufge-
2/17
zeichnetes Interview mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Hanspeter Thür ausgestrahlt.
5 Am 04.06.2008 nahmen Vertreter des EDÖB die Datenbearbeitung der Firma X betreffend „Auskunftservice A“ vor Ort in Augenschein. Die Ergebnisse der Sitzung wurden in einem SitzungsprotokollN zusammengefasst, welches durch die Firma X mit einigen ErgänzungenO gutgeheissen wurde.
3. Umfang der Sachverhaltsabklärung 6 Zwischen der ersten Kontaktaufnahme am 08.04.2008 und der Augenscheinnahme des „Auskunftservice A“ durch den EDÖB hat die Firma X verschiedene Anpassungen und Änderungen der Dienstleistung vorgenommen. Demzufolge wird vor diesem Hintergrund auf die ursprüngliche, von den Medien aufgegriffene Version des „Auskunftservice A“ in den Erwägungen des EDÖB nur insoweit eingegangen, als dies notwendig ist.
7 Obwohl die Praxis der Firma X hinsichtlich der Gewährung des Auskunfts- und Löschungsrechtes bereits im Jahr 2006 vom EDÖB überprüft wurde, nahm der EDÖB die Sachverhaltsabklärung zum „Auskunftservice A“ zum Anlass, diese vor dem Hintergrund des geänderten und erweiterten Dienstleistungsangebots erneut abzuklären. Dies war vorwiegend deshalb notwendig, da die Firma X im Rahmen des „Auskunftservice A“ ihren Kunden nicht nur wie bisher die von ihr gespeicherten Daten anbietet, sondern zudem speziell aufbereitete, miteinander verknüpfte und mit einem Rating versehene Daten zur Verfügung stellt.
8 Diese Sachverhaltsabklärung ist keine Bewertung der gesamten Tätigkeit der Firma X, sondern sie bezieht sich nur auf die Beurteilung des „Auskunftservice A“.
4. „Auskunftservice A“ 4.1 „Auskunftservice A“ in der ursprünglichen Form 9 In der ursprünglichen Form präsentierte sich der „Auskunftservice A“ dem EDÖB aufgrund der von verschiedenen Personen eingereichten Unterlagen, der von der Firma X zugesandten Unterlagen, der vom EDÖB selbst recherchierten Unterlagen sowie der Informationen aus der Sendung des Schweizer Fernsehens.
10 Die Firma X stellt auf ihrer Webseite ein WebinterfaceP zur Verfügung, mit welchem man über eine Suchmaske nach bei ihr gespeicherten Personen suchen kann. Dadurch können die folgenden Profil- bzw. Bewertungsdaten einer gespeicherten Person abgerufen werden: Entscheidung, Entscheidungsmatrix, Score, Zahlungserfahrungen, bekannte Adressen, gleicher Haushalt (gleicher Name oder gleiche Telefonnummer), Firmenbeziehungen, Umfeld und Ähnlichkeitstreffer. Die einzelnen Profildaten werden in der nachfolgenden Tabelle 1 kurz erläutert:
11 Tabelle 1 Kategorien Beschreibung Entscheidung Aus den bei der Firma X zu einer betroffenen Person gesammelten Daten wird ein Bonitätsrating in Form einer Ampel mit den nachfolgenden Ausprägungen berechnet:
N Beilage 1, Sitzungsprotokoll. O Beilage 2, Schreiben vom 17.07.2008. P Beilage 3, Factsheet vom 08.04.2008.
3/17
rot (Handlungsanweisung: Vertrag nicht abschliessen), gelb (Handlungsanweisung: Zusatzabklärungen treffen) und grün (Handlungsanweisung: Vertrag abschliessen).
Entscheidmatrix In der Entscheidmatrix werden die einzelnen zur Berechnung des Entscheidfeldes herangezogenen Daten mit einer Ampel (rot, gelb, grün) bewertet. Im Einzelnen sind dies die Felder: Score, Trefferart, Status, Firmenbeziehung mit negativen Daten, durchschnittliche Wohndauer an einer Adresse, Blacklistenprüfung, weitere Familienmitglieder, Bonität Familienmitglieder und Ähnlichkeitstreffer. Zusammengefasst werden die jeweiligen Einzelergebnisse unter der Kategorie Entscheidung. Zudem werden unter der Kategorie Entscheidungsgrund, die entscheidungsrelevanten Daten der Entscheidmatrix inklusive deren Wert aufgeführt.
Score Der Score ist ein numerischer Wert, welcher aus den Datenfeldern Zahlungserfahrungen einer Person, Umfeld, Mobilität sowie Soziodemographie berechnet wird und liegt zwischen 250 und 700 Punkten. Er wird graphisch auf einer dreifarbigen (rot, gelb, grün) waagrechten Achse dargestellt.
Zahlungserfahrungen Hier werden die der Firma X bekannten und gespeicherten bonitätsrelevanten Ereignisse aufgeführt. Diese sind Anzahl Zahlungserfahrungen, aktuellster Fall, Forderungssumme und offener Betrag Forderungsstatus (Konkurs, Betreibung), Auskünfte (Betreibungsregister) sowie Inkassomeldungen.
Bekannte Adressen Aufgeführt werden die aktuelle Adresse und sämtliche der X bekannten Adressen inklusive Wohndauer sowie die durchschnittliche Wohndauer.
Im gleichen Haushalt lebende Personen In dieser Rubrik werden Daten von denjenigen Personen aufgelistet, die den gleichen Telefonanschluss nutzen (gleiche Telefonnummer) oder die den gleichen Namen an derselben Adresse tragen mit Angabe des Jahrganges, inklusive deren Informationen über allfällige Negativeinträge.
Firmenbeziehungen Beziehungen zwischen gesuchter Person und Firmen werden bewertet. Angezeigt werden Handelsregistereinträge zu der jeweiligen Person sowie sonstige der Firma X bekannte negative Firmeneinträge.
Umfeldanalyse Hierbei wird ein prozentualer Wert im Vergleich mit dem Umfeld aufgrund des Nachnamens, des Hauses, der Strasse, des Ortes und des Landes errechnet.
Ähnlichkeitstreffer Anzeige von Personen mit ähnlichem Namen inkl. Geburtsdatum.
4/17
Ausserdem haben die Nutzer des „Auskunftservice A“ die Möglichkeit, zusätzlich Betreibungsregisterauskünfte online zu bestellen.
4.2 „Auskunftservice A“ in der angepassten bzw. aktuellen Form 12 Bis zur Sachverhaltsabklärung hat die Firma den „Auskunftservice A“ so modifiziert, dass dieser sich wesentlich von der früheren Version unterscheidetQ. Nachfolgend werden die Eigenschaften des „Auskunftservice A“ in der angepassten Form vorgestellt:
13 Tabelle 2 Kategorien Beschreibung Entscheidung Aus den bei der Firma X zu einer betroffenen Person gesammelten Daten wird ein Bonitätsrating in Form einer Ampel mit den nachfolgenden Ausprägungen berechnet: rot (hohe Risiken vorhanden), gelb (sorgfältige Prüfung empfohlen. Der Entscheid impliziert nicht, dass eine verschlechterte Bonität vorliegt) und grün (keine Risiken gefunden).
Entscheidmatrix In der Entscheidmatrix werden die einzelnen zur Berechnung des Entscheidfeldes herangezogenen Daten mit einer Ampel (rot, gelb, grün) bewertet. Im Einzelnen sind es folgende Felder: Score, Trefferart, Status, Firmenbeziehung mit negativen Daten, durchschnittliche Wohndauer an einer Adresse, weitere Familienmitglieder, Bonität Familienmitglieder und Ähnlichkeitstreffer. Zusammengefasst werden die jeweiligen Einzelergebnisse unter der Kategorie Entscheidung. Zudem werden unter der Kategorie Entscheidungsgrund, die entscheidungsrelevanten Daten der Entscheidmatrix inklusive deren Wert aufgeführt. Zudem wird bei den Bewertungen ein Hilfetext eingeblendet, sofern die Ampel gelb oder rot anzeigt.
Zahlungserfahrungen Hier werden die bei der Firma X bekannten und gespeicherten bonitätsrelevanten Ereignisse aufgeführt. Diese sind: Anzahl Zahlungserfahrungen, aktuellster Fall, Forderungssumme und offener Betrag, Forderungsstatus (Konkurs, Betreibung), Auskünfte (Betreibungsregister) sowie Inkassomeldungen.
Alte Adresse(n) [Bekannte Adressen] Aufgeführt werden die aktuelle Adresse und sämtliche der Firma X alten (bekannten) Adressen inklusive Umzugsmeldung sowie die so errechnete durchschnittliche Wohndauer angezeigt.
Gleicher Haushalt (gleicher Name oder gleiche Telefonnummer) In dieser Rubrik werden die Daten von denjenigen Personen angegeben, welche den gleichen Telefonanschluss nutzen (gleiche Telefonnummer) oder den gleichen Namen an der Adresse tragen mit Angabe des Jahrganges.
Firmenbeziehungen Beziehungen zwischen gesuchter Person und Firmen werden bewertet. Angezeigt werden Handelsregistereinträge zu der jeweiligen
Q Beilage 4, Factsheet vom 04.06.2008; Beilage 5, Blatt „Infoboxen Auskunftservice A in Decisionmatrix“.
5/17
Person sowie sonstige der Firma X bekannte negative Firmeneinträge.
Ähnlichkeitstreffer (Verwechslungsgefahr) Anzeige von Personen mit ähnlichem Namen inkl. Geburtsdatum.
14 Insgesamt wurden die nachfolgend aufgeführten Änderungen am „Auskunftservice A“ durchgeführt:
a Die Erklärungen zum Ampelsystem in der Kategorie Entscheidung wurden, wie in der Tabelle 2 aufgeführt, geändert. Zudem wird die Ampel nur noch dann rot, wenn über die betroffene Person negative Zahlungserfahrungen vorhanden sind oder wenn der Personenstatus (minderjährig, bevormundet, verstorben) einem rechtsgültigen Vertragsabschluss entgegensteht. b Das Ampelsystem in der Kategorie Entscheidmatrix wurde mit Erklärungen versehen, so dass zu jeder Bewertung und deren Zustandekommen ein kleiner Erläuterungstext eingeblendet wirdR. c Entfernt wurden die Kategorien Score und Umfeld sowie das Feld Blacklistenprüfung in der Kategorie Entscheidungsmatrix. d Die Zahlungserfahrungen werden neu mit den Buchstaben A, B, C und D wie folgt bewertet: i. A „nichts bekannt“; ii. B „geringfügige Fälle bekannt“; iii. C „erhebliche Fälle bekannt“ und iv. D „schwerwiegende Fälle bekannt“. Nach Auskunft der Firma X beruhen diese Zahlungsbewertungen einzig aufgrund der vorliegenden Zahlungserfahrungen der gesuchten Person. Bei diesem Rating wird die Aktualität der Zahlungserfahrungen (aktuelle wiegen schwerer als frühere), die Gewichtigkeit des Zahlungsereignisses (ein Konkurs wiegt schwerer als ein Inkassofall) und die Anzahl der Zahlungserfahrungen (viele negative wiegen schwerer als einzelne) berücksichtigtS.
II. Erwägungen
1. Anwendbarkeit des Datenschutzgesetzes und Zuständigkeit des EDÖB 15 Gemäss Art. 2 Abs. 1 Ziffer a des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) gilt das DSG für das Bearbeiten von Daten natürlicher oder juristischer Personen durch private Personen. Gemäss Art. 3 lit. e DSG wird unter „Bearbeiten“ jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren und Vernichten von Daten verstanden. Als Personendaten gelten gemäss Art. 3 lit. a DSG alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Im Rahmen ihrer Tätigkeit als Wirtschaftsauskunftei bearbeitet die Firma X Adress- und Bonitätsdaten von natürlichen und juristischen Personen und
R Beilage 4; Beilage 5. S Beilage 1, S. 4; Beilage 2, S. 3 Schreiben Firma X vom 17.07.2008; Beilage 4; Beilage 5.
6/17
gibt diese an Dritte bekannt (Art. 3 Ziff. f DSG). Deshalb ist das DSG auf den vorliegenden Sachverhalt anwendbar (Art. 2 in Verbindung mit Art. 3 Ziff. a, e und f DSG).
16 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat gemäss Art. 29 DSG die Aufsicht über die Bearbeitung von Personendaten durch Private: Er kann insbesondere nach Art. 29 Abs. 1 lit a DSG von sich aus oder auf Meldung Dritter den Sachverhalt abklären, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). Stellt er aufgrund einer Sachverhaltsabklärung fest, dass eine Datenbearbeitung gegen das Datenschutzgesetz verstösst, kann er empfehlen, die Datenbearbeitung zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG).
17 Durch Meldung verschiedener Personen wurde der EDÖB auf den „Auskunftservice A“ aufmerksam gemacht. Aufgrund der Vielzahl der potenziell betroffenen Personen (zwei Drittel der Bewohnerinnen und Bewohner in der Schweiz leben zur MieteT) ist die Datenbearbeitung durch die Firma X geeignet, die Persönlichkeit einer Vielzahl von natürlichen und juristischen Personen zu verletzen. Aus diesem Grund ist der EDÖB im vorliegenden Fall berechtigt, aufgrund seiner Abklärungen eine Empfehlung im Sinne von Art. 29 Abs. 3 DSG zu erlassen.
2. Datenbearbeitung im Rahmen der Dienstleistung „Auskunftservice A“ 2.1 Vorbemerkungen 18 Der EDÖB geht im Rahmen seiner Erwägungen lediglich auf den „Auskunftservice A“ in seiner angepassten Form ein. Auf ihrer Website verweist die Firma X allerdings nach wie vor auf den „Auskunftservice A“ in seiner ursprünglichen Form. So erscheinen in den Beschreibungen immer noch Hinweise auf die Elemente Score sowie BlacklistenprüfungU. Die Hinweise auf der Website „Integration der eigenen Blacklist verhindert Ausfälle“ und „Score (professionelle Berechnung der Ausfallwahrscheinlichkeit)“ sollten entfernt werden.
2.2 Zulässigkeit der Datenbearbeitung zum Zwecke von Mietauskünften
Allgemeines 19 Wer Personendaten bearbeitet darf gemäss Art. 12 Abs. 1 DSG die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzen. Insbesondere darf er nach Art. 12 Abs. 2 DSG Personendaten nicht entgegen den allgemeinen Datenschutzgrundsätzen (Art. 4, 5 und 7 Abs. 1 DSG) bearbeiten, nicht ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten und nicht ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekannt geben. In der Regel liegt dann keine Persönlichkeitsverletzung vor, wenn die betroffene Person ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Art. 12 Abs. 3 DSG). Keine widerrechtliche Persönlichkeitsverletzung ist gemäss Art. 13 Abs. 1 DSG gegeben, wenn sie durch Einwilligung, überwiegendes öffentliches und privates Interesse oder Gesetz gerechtfertigt ist. Auch wenn sich der Dateninhaber grundsätzlich auf einen Rechtfertigungsgrund berufen kann, sind die allgemeinen Datenschutzgrundsätze zu beachten.
Rechtfertigungsgründe
T Bundesamt für Wohnungswesen (BWO), Briefing Mietrecht: http://www.bwo.admin.ch/dokumentation/00101/00184/index.html?lang=de U www.Firma X, besucht am 3.11.2008.
7/17
20 Als Rechtfertigungsgrund gemäss Art. 13 Abs. 1 DSG kommt für Mietauskünfte neben der Einwilligung der betroffenen Person ein überwiegendes privates Interesse der bearbeitenden Person in Frage, wenn zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gegeben werden, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen (Art. 13 Abs. 2 Bst. c DSG). Unter diesen Bedingungen ist für die Kreditprüfung durch Dritte (Auskunfteien) und die Bekanntgabe eine Speicherung der Daten auf „Vorrat“ zulässig. Gemäss Zweckmässigkeitsprinzip dürfen allerdings nur die Daten bearbeitet werden, die zur Prüfung der Kreditwürdigkeit erforderlich sindV.
21 Ein weiterer Rechtfertigungsgrund nach Art. 13 Abs. 2 Bst. a DSG ist jener des Vertragsabschlusses. Demnach kann ein überwiegendes privates Interesse die Bearbeitung von Daten rechtfertigen, wenn diese die Verminderung des Risikos bei einem Vertragsabschluss bezweckt. Dieser Rechtfertigungsgrund kann bei allen Vertragsformen angerufen werdenNM. Auch wenn die Kreditauskunftei auf „Vorrat“ Daten rechtmässig bearbeiten darf, ist die Bekanntgabe an Dritten nur an bestehende oder unmittelbar werdende Vertragspartner der betroffenen Person erlaubt. Hierbei obliegt es der Person, welche Daten bekannt gibt, zu prüfen, ob der Dritte ein tatsächliches Interesse an diesen Daten geltend machen kann. Die Anforderungen an den Interessenausweis sind nach dem Verhältnismässigkeitsprinzip je nach Sensitivität der Daten anzupassen.
Grundsätze der Datenbearbeitung
22 Nach Art. 4 Abs. 2 DSG haben die Datenbearbeitungen nach Treu und Glauben zu erfolgen. Gegen diesen Grundsatz verstösst beispielsweise derjenige, der Daten nicht offen bearbeitet, ohne dabei gegen eine Rechtsnorm zu verstossenNN. Demzufolge muss eine Datenbearbeitung transparent sein. Nach dem Erkennbarkeitsprinzip muss die Beschaffung von Personendaten und insbesondere der Zweck der Bearbeitung für die betroffene Person erkennbar sein (Art. 4 Abs. 4 DSG). Die Anforderungen, die dabei an die Erkennbarkeit gestellt werden, sind nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilenNO. Ist die Beschaffung aufgrund der Umstände für die betroffene Person weniger deutlich erkennbar, muss die betroffene Person umso eher mit angemessenen Mitteln auf die Erhebung und ihre wesentlichen Rahmenbedingungen aufmerksam gemacht werdenNP.
23 Nach dem Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG) darf ein Datenbearbeiter nur diejenigen Daten bearbeiten, die er für einen bestimmten Zweck tatsächlich benötigt und die im Hinblick auf den Bearbeitungszweck und die Persönlichkeitsbeeinträchtigung in einem vernünftigen Verhältnis stehenNQ. Wenn die Datenbearbeitung das angestrebte Ziel erreicht (Zwecktauglichkeit) und die privaten Interessen der Betroffenen schont (geringstmöglicher Eingriff) ist das Prinzip der Verhältnismässigkeit eingehalten.
24 Nach dem Grundsatz der Zweckmässigkeit (Art. 4 Abs. 3 DSG) dürfen Daten nur für den objektiven Zweck bearbeitet werden, der bei der Beschaffung angegeben worden ist oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Die betroffene Person muss es nicht hinnehmen, dass über sie Daten ohne nähere Zweckbestimmung auf „Vorrat“ erhoben werdenNR.
V Basler Kommentar zum Datenschutzgesetz (BSK-DSG), Corrado Rampini, Art. 13 N 36. NM BSK-DSG, Corrado Rampini, Art. 13 N 30 f. NN BSK-DSG, Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 7 und BBl 1988 II 449. NO BBl 2003 2125. NP BBl 2003 2126. NQ BSK DSG Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 11. NR BSK DSG Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 14; BGE 125 II 473 E. 4.
8/17
Mieterauskünfte 25 Der Zweck von Mieterauskünften, wie sie der „Auskunftservice A“ bereitstellt, ist die Verhinderung von Mietzinsausfällen. Der „Auskunftservice A“ soll dem Bedürfnis der Bonitätsprüfung für die Mieterselektion dienenNS. Auf der Website wird als Zweck die Überprüfung von Mieterinformationen erwähnt. Als Kreditauskunftei stützt sich die Firma X bei ihrer Datenbearbeitung auf ein überwiegendes privates Interesse, namentlich auf den Rechtfertigungsgrund der Bonitätsprüfung gemäss Art. 13 Abs. 2 Bst. c DSG. Diesbezüglich ist auch ein Datenaustausch entgegen dem Willen der betroffenen Person zum Zweck der Prüfung der Kreditwürdigkeit der betroffenen Person möglich.
26 In diesem Zusammenhang ist zu prüfen, ob die Datenbearbeitung den allgemeinen Datenschutzgrundsätzen entspricht. Die damalige Eidgenössische Datenschutzkommission (EDSK) hat die Datenbearbeitung im Rahmen von Mietverhältnissen in zwei Entscheiden im Zusammenhang mit der Ausgestaltung von Mietformularen konkretisiertNT. Demnach dürfen nur Daten verwendet werden, die der Vermieter aus objektiven Gründen für die Mieterevaluation tatsächlich benötigt. Zudem darf der Vermieter bestimmte Unterlagen und Bestätigungen von Angaben (Betreibungsregisterauszüge) erst dann verlangen, wenn er mit dem Interessenten definitiv einen Mietvertrag abschliessen willNU.
27 Der EDÖB kommt daher zum Schluss, dass Mieterauskünfte, wie der „Auskunftservice A“, aus datenschutzrechtlicher Sicht grundsätzlich möglich sind, solange die Grundsätze der Datenbearbeitung (Art. 4, 5 Abs. 1 und 7 Abs. 1 DSG) eingehalten werden und diese ausschliesslich dazu verwendet werden, Bonitätsdaten auszutauschen. Werden hingegen weitere Daten (die nicht direkt bonitätsrelevant sind) zum Zweck der Mieterevaluation ausgetauscht, kann sich der Anbieter einer solchen Dienstleistung nicht auf ein überwiegendes privates Interesse gemäss Art. 13 Abs. 2 lit. c DSG berufen und benötigt hierfür einen anderen Rechtfertigungsgrund.
3. Datenschutzrechtliche Prüfung des „Auskunftservice A“ 3.1 Informationen rund um den „Auskunftservice A“ 28 Die Firma X informiert in ihrem Merkblatt „Datenschutzrechtliche Aspekte der Firma X Datenbank“, dass ihre Datensammlung beim EDÖB angemeldet seiNV. Zudem weist die Firma X auch in ihren Antwortschreiben an Auskunftsersuchende daraufhin, dass die Datenbank dem DSG entspreche und beim eidgenössischen Datenschutzbeauftragten angemeldet seiOM. In den Allgemeinen Geschäftsbedingungen (AGB) wird weiterhin erklärt, dass die Firma X sich verpflichte, alle Datenschutzanforderungen einzuhalten. Dazu gehöre unter anderem die Registrierung in Bern als Auskunftei, die Verschlüsselung der Kommunikation über https und der Schutz der Daten vor unberechtigtem ZugriffON. Auf dem Merkblatt „Häufig gestellte Fragen“ schreibt die Firma X als Antwort, warum der Kunde nicht darüber informiert worden sei, dass er in eine Datenbank eingetragen wurde: „Datenbanken, die beim eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten angemeldet sind, brauchen die betroffenen Personen nicht zu informieren, wenn sie jemanden in die Datenbank aufnehmen“OO.
NS Beilage 6. NT VPB 62.42B und VPB 68.153; diese Beurteilungen sind in das Merkblatt Mietwohnungen des EDSB (EDÖB) eingeflossen. NU BSK DSG Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 25. NV Beilage 9, Merkblatt „ Datenschutzrechtliche Aspekte der Firma X Datenbank“. OM Beilage 7, Firma X Antwortschreiben Auskunftsbegehren. ON Beilage 8, Allgemeine Geschäftsbedingungen (AGB), Ziff. 5.4 und 6.2. OO Beilage 10, Merkblatt „Häufig gestellte Fragen“.
9/17
29 Nach Art. 11a DSG sind Datensammlungen von Privatpersonen beim EDÖB anzumelden, wenn diese regelmässig besonders schützenswerte Personendaten an Dritte bekanntgeben. Nach revidiertem Datenschutzgesetz ist das auch dann der Fall, wenn die betroffene Person Kenntnis von der Datenbearbeitung hat. Allerdings muss für die betroffene Person gemäss Art. 4 Abs. 4 DSG immer erkennbar sein, dass Daten über sie bearbeitet werden.
30 Der Text der Firma X kann den Eindruck erwecken, dass ihre Tätigkeit vom EDÖB bewilligt worden ist. Die Anmeldung nach Art. 11c DSG ist lediglich eine formelle Pflicht. Es bedeutet nicht, dass der EDÖB eine Bewilligung erteilt und die Tätigkeit der Firma X überprüft und genehmigt hat (ausserdem hat der EDÖB von Gesetzes wegen keine Bewilligungskompetenz). Demzufolge entsprechen die Ausführungen der Firma X in dem Merkblatt „Datenschutzrechtliche Aspekte der Firma X Datenbank“ und dem Merkblatt „Häufig gestellte Fragen“ nicht den aktuellen gesetzlichen Gegebenheiten.
31 Daher sind die Merkblätter „Datenschutzrechtliche Aspekte der Firma X Datenbank“ und „Häufig gestellte Fragen“ an das geltende Recht anzupassen.
3.2 Zahlungserfahrungen (Bonitätsscoring) 32 Die Firma X bewertet die Zahlungserfahrung anhand einer Skala von A bis D, wobei betroffene Personen in die Kategorie A eingestuft werden, wenn keine Zahlungsstörungen bekannt sind, in Kategorie B, wenn geringfügige Fälle bekannt sind, in Kategorie C, wenn erhebliche Fälle bekannt sind und in Kategorie D, wenn schwerwiegende Fälle bekannt sind. Hierbei wissen die betroffenen Personen nicht in welche Kategorie sie eingestuft werden. Zudem wissen weder sie noch die Kunden des „Auskunftservice A“, wie die Fälle eingestuft werden und welche Informationen für die Einteilung der Kategorien herangezogen werden. Nach Aussagen der Firma X wird die Kategorisierung mathematisch aus den nachfolgenden Daten berechnet: Schwere der Zahlungsstörung (ein Konkurs wiegt schwerer als ein Inkassofall), Alter des Ereignisses (aktuellere wiegen schwerer als frühere) und Anzahl der Zahlungsstörungen (viele wiegen schwerer als einzelne)=OP. Indem die Firma X nicht zu erkennen gibt, welche Daten sie zur Kategorisierung der Zahlungserfahrungen heranzieht und wie sie die Betroffene einstuft, verletzt sie den Grundsatz der Erkennbarkeit gemäss Art. 4 Abs. 4 DSG.
33 Demzufolge sind die Bewertung der Zahlungserfahrungen in A, B, C und D, die Kriterien der Berechnung, die einzelnen Zahlungserfahrungen sowie die Ampelbewertung für die betroffenen Personen und die Kunden der Firma X transparent zu gestalten.
3.3 Status einer Person 34 Die Firma X führt auf, dass der Personenstatus dazu dient, eine minderjährige, bevormundete oder verstorbene Person zu erkennenOQ. 35 Es ist nicht ersichtlich, warum es notwendig sein sollte, das Merkmal „minderjährige bzw. verstorbene Person“ in der Datenbank zu führen, zumal der Vermieter mit seinem Interessennachweis über die erforderlichen Informationen verfügt. Da dieses Merkmal eng mit der Suchfunktionalität zusammenhängt, wird auf die Erwägungen hinsichtlich der Suchfunktionalitäten (nachfolgend Rz 63 ff.) verwiesen.
OP Beilage 1, S. 4; Beilage 2, S. 3; Beilage 4 (Kategorie Entscheidungsmatrix); Beilage 5. OQ Beilage 4 (Kategorie Entscheidungsmatrix).
10/17
3.4 Firmenbeziehungen mit negativen Daten 36 Die Firma X prüft, ob die betroffene Person in einer Beziehung zu Firmen mit Zahlungsstörungen steht. Hierbei muss, ihren Angaben zufolge, ein Status „gelb“ keine verschlechterte Bonität implizieren. Die Firma X bittet ihre Kunden daher zu prüfen, ob die Art der Zahlungsstörung im Zusammenhang mit der Rechtsform, der Art und Grösse der Firma geeignet ist, die Bonität der Person zu beeinflussenOR.
37 Die Beziehung einer Person zu einer Firma kann nur unter ganz speziellen Umständen einen Einfluss auf die Bonität des Mietinteressenten haben. Zu denken ist hierbei insbesondere an Fälle, in denen die betroffene Person unbeschränkt haftender Gesellschafter an einer Kollektiv- oder Kommanditgesellschaft ist oder Inhaber einer Kapitalgesellschaft ist, deren Grundkapital noch nicht vollständig liberiert wurde. Im „Auskunftservice A“ ist jedoch nicht ersichtlich, welcher Art die Beziehung einer Person zu einer Firma ist, welche Rechtsform die betreffende Firma hat und inwiefern sich die Beziehung zwischen der Person und der Firma gegenseitig bonitätsrelevant beeinflussen können. Deshalb ist der Grundsatz der Erkennbarkeit verletzt (Art. 4 Abs. 4 DSG). Zudem steht ein solcher Bonitätshinweis nur im Einklang mit dem DSG, wenn dieser tatsächlich geeignet ist, die Bonität der betroffenen Person zu beeinflussen. Nicht jede Verknüpfung einer betroffenen Person, mit einer Firma, welche Negativeinträge bei der Firma X aufweist, ist geeignet, Rückschlüsse auf die Bonität der betroffenen Person zu ziehen. Eine generelle Verknüpfung zwischen betroffenen Personen und Unternehmen verstösst gegen das Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG).
38 Deshalb sind die Beziehungen einer betroffenen Person zu einer Firma und die Bewertung der Bonität auf diejenigen Fälle zu beschränken, in welchen die durch die Verknüpfung gewonnen Informationen tatsächlich bonitätsrelevant sind. Zudem müssen die Verknüpfungsarten für die betroffenen Personen und die Kunden der Firma X erkennbar sein.
3.5 Durchschnittlichen Wohndauer an einer Adresse 39 Die Firma X führt die durchschnittliche Wohndauer im „Auskunftservice A“, um ihren Kunden häufige Umzüge anzuzeigen. Ihrer Meinung nach können häufige Umzüge in kurzen Abständen Hinweise darauf geben, dass Zahlungsstörungen bei Betreibungsämtern bekannt sein könnten. In einem solchen Fall rät die Firma X Betreibungsauskünfte der früheren Wohnorte zu verlangenOS.
40 Für einen Vermieter kann es grundsätzlich von Vorteil sein, wenn dieser weiss, wie lange ein potentieller Mieter an einem Wohnort im Durchschnitt verweilt. Wie allerdings die EDSK im vorerwähnten EntscheidOT festhält, hängt die Dauer eines Mietverhältnisses von verschiedenen Faktoren, wie Arbeit des Mieters inklusive der Familienmitglieder, Lebensumfeld, Geschmack des Mieters oder seiner Familie ab. Die EDSK hat die Frage nach der Länge des laufenden Mietverhältnisses als unverhältnismässig eingestuft. Neben der Tatsache, dass es sich bei der durchschnittlichen Wohndauer nicht um ein bonitätsrelevantes Datum im Sinne von Art. 13 Abs. 2 lit. c DSG handelt, ist diese zudem völlig ungeeignet, um hieraus Rückschlüsse auf einen potentiellen „Mietnomaden“ zu ziehen.
41 Der EDÖB gibt zudem zu bedenken, dass die Aufstellung sämtlicher Wohnsitzwechsel ein Persönlichkeitsprofil gemäss Art. 3 lit. d DSG darstellt. Diesbezüglich ist ein überwiegendes privates Interesse der bearbeitenden Person gemäss Art. 13 Abs. 2 lit. c DSG explizit ausgeschlossen. Ob ein Persönlichkeitsprofil vorliegt, ist im Einzelfall aufgrund der konkreten Umstände zu beur-
OR Beilage 4 (Kategorie Entscheidungsmatrix); Beilage 5. OS Beilage 3 (Kategorie Entscheidungsmatrix und alte Adresse(n)); Informationen Website. OT VPB 68.153, Erw. 13.
11/17
teilen. Angaben zu Wohnsitzwechseln über einen Zeitraum von mehreren Jahren sind als Persönlichkeitsprofil zu wertenOU.
42 Daher sind das Feld „Durchschnittliche Wohndauer an einer Adresse“ und der Hinweis auf der Webseite „komplette Schuldner-Historie aller uns bekannter Wohnorte“ unverhältnismässig und zu entfernen.
3.6 Bonität von Haushaltsmitgliedern 43 Im „Auskunftservice A“ erhalten die Kunden der Firma X Daten mutmassliche Haushaltsmitglieder der gesuchten Person angezeigt, bei denen Zahlungsstörungen vorliegen. Die Firma X führt hierzu aus, dass eine gelbe Ampel hierbei keine verschlechterte Bonität implizieren muss, sondern empfiehlt die Bonität dieser Haushaltsmitglieder (bei Vorliegen eines Interessensnachweises) zu verifizierenOV.
44 Die Bonität von Haushaltsmitgliedern kann beim Abschluss eines Mietvertrages dann eine Rolle spielen, wenn der Mietvertrag von solidarisch haftenden Personen unterschrieben werden soll. In diesem Fall kann auch jeweils ein Interessenachweis vorgelegt und die betreffende Person ihrerseits separat mit Namen und Geburtsdatum im „Auskunftservice A“ abgerufen werden. Daher ist die Notwendigkeit einer solchen Verknüpfung der Daten nicht ersichtlich. Nach der RechtsprechungPM dürfen in einem Mietformular Name, Vorname, Geburtsdatum, Beruf und Arbeitgeber nur von Personen erfragt werden, die den Mietvertrag mit unterzeichnen. Da die Bonität der Haushaltsmitglieder nur dann eine Rolle spielt, wenn der Mietvertrag von diesen Personen unterzeichnet wird, ist die Verknüpfung von Bonitätsdaten der im selben Haushalt lebenden Personen als unverhältnismässig gemäss Art. 4 Abs. 2 DSG einzustufen. Zudem sind Bonitätsdaten über Haushaltsmitglieder grundsätzlich nicht dazu geeignet, Rückschlüsse auf die Kreditwürdigkeit der betroffenen Person zu ziehen, weshalb sich die Firma X hierfür nicht auf den Rechtfertigungsgrund gemäss Art. 13 Abs. 2 Bst. c DSG berufen kann. Die Anzeige der Bonitätsdaten von Hausmitgliedern stellt daher eine widerrechtliche Persönlichkeitsverletzung der betroffenen Person gemäss Art. 12 DSG dar, weshalb das Feld „Haushaltmitglieder Bonität“ zu entfernen ist.
3.7 Datenbearbeitung zu weiteren Haushaltsmitgliedern 45 Die Firma X zeigt im „Auskunftservice A“ an, ob im gleichen Haushalt möglicherweise Ehe- oder Konkubinatspartner wohnhaft sein könnten. Hierzu wird anhand einer gleichen Telefonnummer oder einem übereinstimmenden Namen an einer identischen Wohnadresse automatisiert auf eine solche Partnerschaft geschlossen und der Status der betroffenen Person als gelb bewertet. Die Firma X merkt zudem an, dass der Status gelb in dieser Kategorie noch keine verminderte Bonität implizieren mussPN.
46 Die Angabe, dass mehrere Personen die gleiche Telefonnummer nutzen oder mehrere Personen mit gleichem oder verschiedenem Namen an der gleichen Adresse wohnhaft sind, reicht nicht aus, um hieraus auf bonitätsrelevante Informationen schliessen zu können. Nach derzeitiger RechtsprechungPO dürfen in einem Mietformular Name, Vorname und Geburtsdatum nur von Personen erfragt werden, die den Mietvertrag mit unterzeichnen. Da die Bonität der Haushaltsmitglieder nur dann eine Rolle spielt, wenn sie den Mietvertrag unterzeichnen, ist die Datenbearbei-
OU BSK DSG Urs Belser, Art. 3 N 22. OV Beilage 4, Kategorie Entscheidungsmatrix ; Beilage 5. PM VPB 68.153 und VPB 62.42A. PN Beilage 4, Kategorie Entscheidungsmatrix; Beilage 5. PO VPB 68.153 und VPB 62.42A.
12/17
tung weiterer Personen, die den Mietvertrag nicht unterschreiben, unverhältnismässig (Art. 4 Abs. 2 DSG). Ausserdem wissen die im gleichen Haushalt lebenden Personen nicht, dass ihre Identifikationsdaten miteinander in einer Datenbank verknüpft werden. Daher verstösst eine solche Datenbearbeitung zudem gegen das Erkennbarkeitsprinzip gemäss Art. 4 Abs. 4 DSG, weshalb das Feld „Weitere Haushaltsmitglieder“ zu entfernen ist.
3.8 Ähnlichkeitstreffer 47 Von Seiten der Firma X werden bei jeder Personenauskunft Ähnlichkeitstreffer angegeben, wenn Personen den gleichen Namen oder dasselbe Geburtsdatum haben. Ziel ist es, nach Angaben der Firma X, das Verwechslungsrisiko zu minimierenPP.
48 Grundsätzlich sollte bereits die Suchfunktionalität nach Name, Vorname, Adresse und Geburtsdatum genügen, um eine betroffene Person eindeutig zu identifizieren, so dass die Notwendigkeit von Ähnlichkeitstreffern nicht gegeben ist. Zudem sind Ähnlichkeitstreffer in keinem Fall geeignet, um Rückschlüsse auf die Bonität der betroffenen Person zu ziehen, weshalb die Firma X diesbezüglich kein überwiegendes privates Interesse geltend machen kann (Art. 13 Abs. 2 lit. c DSG). Daher ist diese Information als unverhältnismässig gemäss Art. 4 Abs. 2 DSG zu qualifizieren und demzufolge ist das Feld „ Ähnlichkeitstreffer“ zu entfernen.
4. Zur Gewährung des Zugangs zum „Auskunftservice A“ 49 Als Bedingung für den Zugang prüft die Firma X, ob ein Antragssteller als professioneller Wohnungsvermieter qualifiziert werden kann und ob die vom Antragssteller genannte Firma tatsächlich existiert. In den AGB verpflichten sich die Vertragpartner (auch für den Testzugang), für jede getätigte Nachfrage einen Interessennachweis aufzubewahren und der Firma X diesen auf Ersuchen hin vorzulegen (Stichprobenkontrolle). Der Interessennachweis entspricht nach Auskunft der Firma X demjenigen für Betreibungsauskünfte nach SchKG (SR 281.1)PQ. Während die Firma X vor der Sitzung mit dem EDÖB grundsätzlich jedem Vermieter einen Zugang zum „Auskunftservice A“ gewährte, wird diese Dienstleistung nur noch Firmen (professionelle Wohnungsvermieter) angebotenPR. Inzwischen ist dem EDÖB allerdings bekannt geworden, dass auch Versicherungen, die Mietkautionsversicherungen anbieten, den „Auskunftservice A“ nutzen können.
50 Bonitätsdaten dürfen gemäss Art. 12 Abs. 2 lit. c DSG nur zum Zweck der Prüfung der Kreditwürdigkeit im Rahmen des Abschluss und der Abwicklung eines Vertrages mit der betroffenen Person bearbeitet werden.
51 Obwohl der „Auskunftservice A“ grundsätzlich von jedem Vermieter genutzt werden könnte, ist die Missbrauchsgefahr gross, wenn jeder beliebige Vermieter hierauf Zugriff hätte. Daher begrüsst der EDÖB die Beschränkung des Nutzerkreises. Eine Nutzung dieses Services durch eine Mieterkautionsversicherung ist dementsprechend nur dann möglich, wenn sich die Datenweitergabe nur auf Bonitätsdaten beschränkt. Weitergehende Informationen sind für die jeweilige Versicherung zwar für die Risikoabschätzung der betroffenen Person nützlich, werden allerdings nicht zum Abschluss oder zur Abwicklung einer solchen Versicherung benötigt.
52 Für die Überprüfung, ob die via „Auskunftservice A“ bezogene Daten tatsächlich für den Abschluss eines Mietvertrages verwendet werden, ist datenschutzrechtlich einzig die Firma X verantwortlich, da sie den Zugang erteilt.
PP Beilage 4, Kategorie Entscheidungsmatrix; Beilage 5. PQ Beilage 1, S, 5. PR Beilage 2, S. 3.
13/17
53 Der Zugriff auf den „Auskunftservice A“ erfolgt, nachdem ein Vertrag mit der Firma X abgeschlossen wird. Wenn die Firma X die Interessennachweise der Zugangsberechtigten nur stichprobenhaft herausverlangt, übernimmt sie datenschutzrechtlich das Risiko, dass die Datenbekanntgabe an Kunden erfolgen kann, die im Einzelfall keinen Interessennachweis vorlegen können. Steht im Nachhinein fest, dass der betreffende Kunde keinen Interessennachweis erbringen kann, hat die Datenschutzverletzung bereits stattgefunden. Die Firma X kann in einem solchen Fall für entstandene Schäden haftbar gemacht werden.
54 Wenn die Kunden der Firma X gleichzeitig einen Betreibungsregisterauszug bestellen, der via Tochtergesellschaft Firma A eingeholt wird, muss vorgängig ein Interessennachweis von der Firma X bzw. der Firma A eingeholt werden, denn ohne diesen Nachweis wäre die Bestellung eines aktuellen Betreibungsregisterauszuges auch nicht möglich. In diesen Zusammenhang ist zu vermerken, dass gemäss EDSK Entscheid, ein Betreibungsregisterauszug im Zusammenhang eines Mietvertrages immer erst dann eingeholt werden darf, wenn mit dem Mieter definitiv ein Mietvertrag abgeschlossen werden soll. Diesbezüglich ist die Firma X datenschutzrechtlich dafür verantwortlich, dass ein Betreibungsregisterauszug erst dann verlangt und die in der Datenbank der Firma X entsprechend gespeicherten Daten erst dann abgerufen werden dürfen, wenn mit dem Mieter definitiv der Vertrag abgeschlossen werden soll.
55 Der Zugang zum „Auskunftservice A“ ist für Mietkautionsversicherungen so einzuschränken, dass nur noch die für den Abschluss und die Abwicklung eines Vertrages relevanten Bonitätsdaten übermittelt werden. Die Firma X hat organisatorisch und technisch dafür zu sorgen, dass möglichst keine unberechtigten Abfragen im „Auskunftservice A“ vorgenommen werden können.
5. Datensicherheit 56 Der Zugang zum „Auskunftservice A“ erfolgt via Internet über einen passwortgeschützten und verschlüsselten (128 Bit SSL) Bereich. Vertraglich lässt sich die Firma X zudem in Ziff. 6.1 der AGB zusichern, dass das Passwort nur von den berechtigten Personen genutzt werden darf und eine Weitergabe an Dritte untersagt ist. Ausserdem trägt der Benutzer die Verantwortung, dass das Passwort in regelmässigen Abständen geändert wird und jeden Monat eine Bewegungsstatistik erstellt wird. Nach Aussage der Firma X wird jedoch eine Passwortänderung nach einer gewissen Frist (30 - 60Tage) erzwungen=PS.
57 Die Firma X protokolliert sämtliche Zugriffe auf die Datenbank. Nach eigenen Angaben, deaktiviert sie den Zugang umgehend, wenn sie einen Missbrauch feststelltPT. In einem dem EDÖB bekannten Fall wurde in Vorbereitung einer Sendung des Schweizer Fernsehens der Zugang missbräuchlich genutzt. Die Firma X hat zwar zunächst den Zugang korrekterweise gesperrt, diesen aber wieder frei geschaltet und damit in Kauf genommen, dass ohne Interessennachweis Abfragen möglich wurden.
58 Nach Art. 7 DSG müssen Personendaten gegen unbefugtes Bearbeiten durch angemessene technische und organisatorische Massnahmen geschützt werden. Insbesondere muss der Datenbearbeiter gemäss Art. 8 Abs. 1 der Verordnung zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11) für die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten sorgen. Die Bekanntgabekontrolle (Art. 9 Abs. 1 Bst. d VDSG) gewährleistet die Firma X insofern, als sie die Zugriffe protokolliert und den Benutzern die Daten lediglich über einen verschlüsselten und passwortgesicherten Bereich zugänglich machtPU.
PS Beilage 1, S. 5. PT Beilage 1, S. 5. PU BSK-DSG, Kurt Pauli, Art. 7 N 13.
14/17
59 Diesbezüglich sorgt die Firma X aus technischer Sicht in ausreichendem Masse für die Datensicherheit. Aus organisatorischer Sicht wurde mindestens bei der Zugangserteilung an den Kassensturz die Datensicherheit gemäss Art. 7 DSG nicht gewährleistet.
60 Ein Ausschluss der Haftung und eine Delegation der datenschutzrechtlichen Verantwortung an die Benutzer betreffend der Datensicherheit sind vertraglich nicht möglich und verstossen gegen Art. 7 DSG, weshalb die AGB entsprechend anzupassen sind. Demzufolge hat die Firma X organisatorische Massnahmen zu treffen, damit ein unberechtigter Zugriff frühzeitig erkannt wird und der entsprechende Zugang zu ihrer Datenbank gesperrt wird und solange gesperrt bleibt, bis ein Missbrauch ausgeschlossen werden kann. Auch sind die AGB hinsichtlich der Pflicht des Datenbearbeiters bei der Datensicherheit gemäss Art. 7 DSG anzupassen.
6. Datenrichtigkeit 61 In Ziffer 7.1 ihrer AGB schliesst die Firma X jede Haftung hinsichtlich Vollständigkeit und Richtigkeit der Daten ausdrücklich aus. 62 Gemäss Art. 5 Abs. 1 DSG hat derjenige, der Personendaten bearbeitet, sich über deren Richtigkeit zu vergewissern. Indem die Firma X jede Haftung hinsichtlich Vollständigkeit und Richtigkeit der Daten gemäss Ziff. 7.1 AGB ausschliesst, verstösst sie gegen Art. 5 Abs. 1 DSG. Ein solcher Ausschluss der Haftung und eine Delegation der datenschutzrechtlichen Verantwortung an die Benutzer sind vertraglich nicht möglich, weshalb die AGB hinsichtlich der Pflicht des Datenbearbeiters bei der Datenrichtigkeit gemäss Art. 5 Abs. 1 DSG anzupassen sind.
7. Suchfunktionalitäten 63 Die Suchfunktionalitäten im „Auskunftservice A“ sind so ausgestaltet, dass allein aufgrund eines Attributmerkmals (Name, Strasse etc.) eine Suche ausgelöst werden kann, die zu Treffern führt. Die Suchergebnisse sind auf eine Liste von ca. 50 Namen begrenztPV.
64 Mit der jetzigen Ausgestaltung der Suchfunktionalität können Zugangsberechtigte mehr Daten einsehen als notwendig. In den AGB legt die Firma X fest, dass der Zugangsberechtigte nur auf die tatsächlich benötigten Daten zugreifen darf, für die er einen Interessensnachweis erbringen kannQM.
65 Diesbezüglich hat einerseits der Kunde die datenschutzrechtliche Verantwortung, nur die Daten von Personen abzufragen, für die ein Interessennachweis vorhanden ist. Andererseits hat aber auch die Firma X eine datenschutzrechtliche Verantwortung. Sie muss nach dem Grundsatz der Verhältnismässigkeit gemäss Art. 4 Abs. 2 DSG und dem Grundsatz der Datensicherheit gemäss Art. 7 DSG dafür sorgen, dass nur tatsächlich benötigte Daten abgefragt werden können. Die Firma X muss also auch technische Massnahmen ergreifen, damit eine einschränkende Suche möglich ist. Demzufolge sind die Suchfunktionalitäten so auszugestalten, dass die Firma X stufenweise von den Kunden die Eingabe von Kriterien verlangt, die jeweils von der Anzahl der gelieferten Suchtreffer abhängig ist. Die Suchkriterien wären in der erweiterten Suche zunächst Name und Vorname, dann Geburtsdatum, weiter Wohnort und schliesslich Adresse. Da der Kunde über die notwendigen Informationen verfügt, ist eine solche Suche für ihn möglich. Dadurch werden keine Ähnlichkeitstreffer mehr angezeigt, da die Suche fortlaufend mittels Aufforderung erweitert werden kann, bis schliesslich die gesuchte Person angezeigt wird.
PV Beilage 1, S. 5. QM Beilage 8, Ziff. 6.1 AGB.
15/17
66 Mit einer solchen Lösung könnte im Einklang mit Art. 9 Abs. 1 Bst. g VDSG technisch und organisatorisch besser gewährleistet werden, dass Zugangsberechtigte nur auf tatsächlich benötigte Daten zugreifen können.
67 Demzufolge sind die Suchfunktionalitäten zwingend so zu auszugestalten, dass der Kunde bei der Suche nach einer Person stufenweise Kriterien eingeben muss, die jeweils von der Anzahl Suchtreffern abhängig sind.
8. Auskunfts- und Löschungsbegehren 68 Nach eigenen Angaben erledigt die Firma X Auskunfts- und Löschungsbegehren betreffend „Auskunftservice A“ innerhalb von 2 bis 3 Tagen. Die Überprüfung der Identität des Auskunftsersuchenden erfolgt aufgrund der Kopie eines amtlichen Ausweises wie Pass, Identitätskarte oder FührerausweisQN. Die Auskunft wird in der Regel in einem StandardbriefQO und einem Auszug aus der Datenbank der Firma X erteilt, der folgende Daten enthält:
• Info über die Person (Status) mit Adresse, Telefonnummer, Faxnummer, Email, Geburtsdatum, Geschlecht und Geburtsort; • Publikationen; • Zahlungserfahrungen (Anzahl Zahlungserfahrungen, Aktuellster Fall, Forderungssumme, offener Betrag und Forderungsstatus); • Auskünfte und Inkassomeldungen.
69 Im Standardantwortbrief wird mitgeteilt, dass die Datenbank der Firma X Personendaten enthält, die von den Kunden der Firma X zur Prüfung der Kreditwürdigkeit im Zusammenhang mit dem Abschluss eines Vertrages benötigt werden und ob über den Kunden negative Bonitätsdaten bekannt sind. Zudem wird auf das Merkblatt „Datenschutzrechtliche Aspekte der Firma X Datenbank“ sowie das Blatt „Häufig gestellte Fragen“ verwiesen. Diese Merkblätter sowie Hinweise auf Auskunfts- und Löschungsrechte werden von der Firma X nicht auf ihrer Webseite veröffentlicht.
70 Im Rahmen des Auskunftsersuchens erhält die betroffene Person von der lediglich ihre in der Datensammlung gespeicherten PersonendatenQP. Hingegen erhält die betroffene Person keinerlei Auskunft über Daten, welche die Firma X anhand der in ihrer Datensammlung vorhanden Daten berechnet (z.B. Scorings, Kennzahlen, etc.) oder verknüpft und welche sie Dritten bekannt gibt.
71 Nach Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden und ob der Dateninhaber sich auf einen Rechtfertigungsgrund für die Datenbearbeitung berufen kann. Die Gewährung des Auskunftsrechts ist die Voraussetzung, um zu erkennen, welche Daten über eine betroffene Person bearbeitet werden und um weitere (Datenschutz-) Rechte, wie beispielsweise das Löschungs- und Berichtigungsrecht, erst geltend machen zu können.
72 Das Auskunftsrecht bezieht sich hierbei auf alle Daten über eine Person in einer Datensammlung, die ihr zugeordnet werden können. Es erstreckt sich auf jede Art von Information, die auf die Vermittlung oder die Aufbewahrung von Kenntnissen ausgerichtet ist, ungeachtet, ob es sich dabei um eine Tatsachenfeststellung oder um ein Werturteil handelt und ob diese Information in einer Datenbank abgespeichert oder nur zur Ansicht jeweils berechnet wird. Entscheidend für die Qualifikation als Personendaten, die vom Auskunftsrecht erfasst sind, ist, dass sich die Angaben einer oder mehreren Personen zuordnen lassen. Wie der Bezug zur betroffenen Person herge-
QN Beilage 1, S. 6. QO Beilage 11, Firma X Standardantwortbrief Auskunftsbegehren. QP Beilage 11.
16/17
stellt wird, ist hierbei ohne Bedeutung. Wesentlich ist, dass die Zuordnung ohne unverhältnismässigen Aufwand möglich istQQ. Auskunft zu erteilen ist über alle Daten, die sich auf die auskunftsersuchende Person beziehen (Art. 3 Bst. a DSG) und die ihr zugeordnet werden können (Art. 3 Bst. g DSG). Wird die Auskunft verweigert, eingeschränkt oder aufgeschoben, muss nach Art. 9 Abs. 4 DSG hierfür ein Grund angegeben werden.
73 Gegenüber ihren Kunden bietet die Firma X neben den bei ihr gespeicherten Daten segmentspezifische Ratings (z.B. in Form von Ampeln) der betroffenen Personen an. Im Rahmen der Wahrnehmung ihres Auskunftsrechts erhalten hingegen die betroffenen Personen lediglich einen Auszug über die von der Firma X gespeicherten Adress- und Bonitätsdaten. Die Merkblätter „Häufig gestellte Fragen“ und „Datenschutzrechtliche Aspekte der Firma X Datenbank“ erwähnen nirgends, dass diese Daten der betroffenen Person weiterbearbeitet werden (z.B. in Form von Ratings oder dem Ampelsystem).
74 Zugangsberechtigte ersehen beim „Auskunftservice A“ einen grösseren Datensatz als der betroffenen Person im Rahmen ihrer Auskunftsbegehren mitgeteilt werden. Somit ist für die betroffenen Personen nicht erkennbar, welche Daten über sie von der Firma X bearbeitet werden (Art. 4 Abs. 4 DSG). Gerade aus diesem Grund können die betroffenen Personen auch nicht ausreichend von ihrem Recht auf Datenberichtigung gemäss Art. 5 Abs. 2 DSG Gebrauch machen. Damit liegt eine widerrechtliche Persönlichkeitsverletzung vor. Indem Firma X in Auskunftsbegehren nicht alle objektiv erschliessbaren Daten den betroffenen Personen mitteilt, bzw. eine Einschränkung des Auskunftsrechts begründet, verletzt sie die Pflichten nach Art. 8 und 9 DSG. Es wird darauf hingewiesen, dass betroffene Personen gemäss Art. 15 DSG eine Klage beim Zivilrichter einreichen können. Zudem kann bei vorsätzlicher Verletzung der Auskunftspflicht auch eine Strafklage erhoben werden (Art. 34 Abs. 1 DSG).
75 Demzufolge sind den betroffenen Personen auf Auskunftsersuchen hin sämtliche Informationen auszuhändigen, welche von der Firma X bearbeitet werden (unabhängig davon, ob diese in deren Datensammlung gespeichert sind oder bei Bedarf aus dem Datenbestand berechnet werden) und die ersuchende Person betreffen (auch wenn es sich hierbei um Daten handelt, welche nicht im Datensatz der betroffenen Person gespeichert sondern nur verknüpft werden).
III. Empfehlungen
Aufgrund dieser Erwägungen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)
1. Das Merkblatt „Datenschutzrechtliche Aspekte der Firma X Datenbank“ sowie das Merkblatt „Häufig gestellte Fragen“ sind an das geltende Recht anzupassen.
2. Die Bewertung der Zahlungserfahrungen in A, B, C und D, die Kriterien der Berechnung, die einzelnen Zahlungserfahrungen sowie die Ampelbewertung sind transparent zu gestalten.
3. Die Beziehungen einer betroffenen Person zu einer Firma und die Bewertung der Bonität sind auf die Fälle zu beschränken, in welchen die durch die Verknüpfung gewonnenen Informationen tatsächlich bonitätsrelevant sind. Zudem müssen die Verknüpfungen für die betroffene Person und die Kunden der Firma X erkennbar sein.
QQ BSK DSG Urs Belser, Art. 3 N 5, VBP 62.57, E 4.
17/17
4. Das Feld „Durchschnittliche Wohndauer an einer Adresse“, der Hinweis auf der Website „komplette Schuldnerhistorie aller uns bekannter Wohnorte“ sowie die Felder „Haushaltmitglieder Bonität“, „Weitere Haushaltsmitglieder“ und „ Ähnlichkeitstreffer“ sind zu entfernen.
5. Der Zugang zum „Auskunftservice A“ ist für Mieterkautionsversicherungen so einzuschränken, dass nur noch die für den Abschluss und die Abwicklung des Vertrages relevanten Bonitätsdaten übermittelt werden.
6. Die Firma X hat organisatorische Massnahmen zu treffen, damit ein unberechtigter Zugriff frühzeitig erkannt wird und der entsprechende Zugang zu ihrer Datenbank gesperrt wird und solange gesperrt bleibt, bis ein Missbrauch ausgeschlossen werden kann.
7. Die AGB sind hinsichtlich der Pflicht des Datenbearbeiters bei der Datensicherheit gemäss Art. 7 DSG und sowie seiner Pflicht bei der Datenrichtigkeit gemäss Art. 5 Abs. 1 DSG anzupassen.
8. Die Suchfunktionalität ist zwingend so zu auszugestalten, dass der Kunde bei der Suche nach einer Person stufenweise Kriterien eingeben muss, die jeweils von der Anzahl Suchtreffern abhängig ist.
9. Den betroffenen Personen ist laut Auskunftsersuchen hin sämtliche Informationen auszuhändigen, welche von der Firma X bearbeitet werden (unabhängig davon, ob diese in deren Datensammlung gespeichert sind oder bei Bedarf aus dem Datenbestand berechnet werden) und die ersuchende Person betreffen (auch wenn es sich hierbei um Daten handelt, welche nicht im Datensatz der betroffenen Person gespeichert, sondern verknüpft werden).
Die Firma X teilt dem EDÖB innerhalb von 30 Tagen ab Erhalt dieser Empfehlung mit, ob sie die Empfehlung annimmt oder ablehnt. Wird diese Empfehlung nicht befolgt oder abgelehnt, so kann der EDÖB die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).
Bei Annahme der Empfehlung gilt der Firstablauf (30 Tage) gleichzeitig als Fristbeginn für die Umsetzung der genannten Massnahme. Die vorliegende Empfehlung wird in Anwendung von Art. 30 Abs. 2 DSG in anonymisierter Form publiziert.
EIDGENÖSSISCHER DATENSCHUTZ- UND ÖFFENTLICHKEITSBEAUFTRAGTER
Hanspeter Thür