Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern www.edoeb.admin.ch
Bern, 06.11.2014
EMPFEHLUNG des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäss Art. 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) betreffend die von itonex AG angebotenen Dienstleistungen unter www.moneyhouse.ch
2/32
I. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest: In seiner Funktion als Aufsichtsbehörde im Bereich des Datenschutzes (Art. 29 des Bundesgesetzes über den Datenschutz, DSG, SR 235.1) hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) im Zeitraum vom 17.05.2013 bis 10.07.2014 bei itonex AG die Datenbearbeitungen im Zusammenhang mit den über www.moneyhouse.ch angebotenen Dienstleistungen auf die Einhaltung der datenschutzrechtlichen Vorschriften hin geprüft. Der EDÖB hält die Resultate dieser Kontrolle in vorliegender Empfehlung fest. Ausgangslage Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) klärt von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. itonex AG, die Betreiberin der Plattform www.moneyhouse.ch, hat 5 Millionen Personeneinträge in der Datensammlung und bietet verschiedenste Dienstleistungen an. Dazu gehören unter anderem die Publikation von Wohnungsinseraten und Unternehmensinformationen oder Angaben betreffend Bonitätsprüfung von natürlichen Personen. Der EDÖB führte im Jahr 2012 eine Sachverhaltsabklärung durch, die die Veröffentlichung von gesperrten Adressen im Internet betraf und erliess am 15. November 2012 eine Empfehlung. itonex AG nahm diese Empfehlung am 12.02.2013 an, und der EDÖB begleitete in der Folge die Umsetzungsarbeiten. Am 12.07.2013 wurde die Sachverhaltsabklärung formell abgeschlossen. Der EDÖB hatte seit Beginn dieser Abklärungsarbeiten festgehalten, dass zu einem späteren Zeitpunkt die anderen, von itonex AG vorgenommenen Datenbearbeitungen ebenfalls untersucht würden. Er bearbeitet stetig Anfragen und Beschwerden zu den von itonex AG unter www.moneyhouse.ch angebotenen Dienstleistungen. Am 17.05. 2013 eröffnete er, gestützt auf Art. 29 DSG, eine zweite Sachverhaltsabklärung. Umfang der Sachverhaltsabklärung itonex AG bietet zum Zeitpunkt der Sachverhaltsabklärung folgende Dienstleistungen an: 1. Firmensuche 2. Firmenadressen 3. Firmengründungen 4. Listen mit Neugründungen, Liquidationen und Konkursen, KMU Nachfolger, Firmen- Jubilare, Familienunternehmen 5. Handelsregisteränderungen 6. Jobsuche 7. Personensuche 8. Bonitätsabonnement 9. Zahlweiseabonnement 10. Details zu Zahlungsstörungen 11. Betreibungsauskunft 12. Steuerauskunft 13. Grundbuchauskunft 14. Betreibungsauskunft plus 15. Wirtschaftsauskunft 16. Wirtschaftsauskunft plus 17. Firmenportrait-Video
3/32
18. Realisierung Firmenportrait 19. Inkasso-Pakete 20. Veröffentlichung von Baugesuchen und Baubewilligungen 21. Publikation von regionalen Amtsblättern (Zürich, Basel, Genf, Lausanne, Bern, Winterthur, Luzern, St. Gallen, Lugano, Biel) Der EDÖB untersuchte die oben aufgeführten Dienstleistungen in folgender Hinsicht: 1. Zweck der Datensammlung von itonex AG 2. Inhalt der Datensammlung von itonex AG 3. Datenquellen 4. Datenbekanntgabe an Dritte, Kunden und Geschäftspartner 5. Personensuche 6. Firmensuche 7. Bonitätsdatenbearbeitung natürliche und juristische Personen 8. Zahlweise-Abonnement 9. Inkasso-Paket 10. Auskunftserteilung 11. Berichtigungsmöglichkeit und Aktualisierung der Datenbestände 12. Datenspeicherung 13. Datensicherheit 14. Löschung der Daten 15. Information der Nutzer 16. Anmeldung der Datensammlung beim EDÖB 17. Moneyhouse international Folgende Dienstleistungen werden nur teilweise in der Sachverhaltsabklärung des EDÖB berücksichtigt und analysiert: 1. Stellenportal 2. Publikation von Baugesuchen und –bewilligungen 3. Firmengründungspaket 4. Handelsregistereintragsunterstützung 5. Steuerauskünfte 6. Grundbuchauskunft 7. Betreibungsregisterauskünfte 8. Firmenportraits
4/32
Chronologie der Sachverhaltsabklärung 17.05.2013 Ankündigung Sachverhaltsabklärung und Zustellung des Fragenkatalogs 13.06.2013 Fristverlängerungsgesuch der itonex AG 17.06.2013 Fristverlängerung gewährt bis am 08.07.2013 09.07.2013 Zustellung der Dokumentation (Antworten auf Fragenkatalog und zusätzlich angeforderte Dokumente) durch itonex AG 22.08.2013 Durchführung des Augenscheins in den Räumlichkeiten von itonex AG 28.03.2014 Versand Sachverhaltsfeststellung 01.05.2014 Fristgerechter Erhalt der Stellungnahme von itonex AG 16.06.2014 Versand der bereinigten Sachverhaltsfeststellung (A20140616-0022) 01.07.2014 Versand Schreiben betreffend gelöschte Personeneinträge 10.07.2014 Stellungnahme itonex AG zur Löschungspraxis Sachverhaltsfeststellung und Ergänzung derselben Es wird auf das Dokument der Sachverhaltsfeststellung vom 16.06.2014 verwiesen. Die Sachverhaltsfeststellung muss hinsichtlich der Löschungspraxis der Daten erweitert werden. Der EDÖB ist der Ansicht, dass Ziffer 10 seiner Empfehlung vom 15.11.2012 durch itonex AG nicht mehr umgesetzt wird1. Da sich der Sachverhalt seit Erlass der Empfehlung zwischenzeitlich änderte, hat der EDÖB sich entschieden, den vorliegenden Sachverhalt entsprechend zu erweitern und die geänderte Löschpraxis in den vorliegenden Schlussbericht zu integrieren. In Ziffer 15 der Sachverhaltsfeststellung vom 16.06.2014 wurde vom EDÖB festgehalten, dass itonex AG auf Gesuch der betroffenen Person und gemäss der Empfehlung vom 15.11.2013 alle Daten, die in der Datensammlung vorhanden sind, löscht. Der EDÖB stellte kurz nach Versand der Sachverhaltsfeststellung vom 16.06.2014 fest, dass gelöschte Adressen innerhalb des Premiumbereichs wieder abrufbar sind. Bei einer Personensuche werden zunächst alle Treffer angezeigt, die auch in einem über das Internet zugänglichen Telefonbuch oder im Handelsregister gefunden werden können. Weitere Adressen können über die Angabe eines Interessensnachweises oder über die erneute Angabe von Vorname, Name und Ort der betreffenden Person im Eingabefeld der Personensuche gefunden werden. Der Premiumbereich ist auch für Abonnenten zugänglich, die kein Bonitätsabonnement abgeschlossen haben. itonex AG stellte sich nach Kontaktnahme zunächst auf den Standpunkt, die Adressen seien nicht bei itonex AG gespeichert, es werde direkt auf die Datenbank der CRIF, dem Partner für die Lieferung von Bonitätsdaten, zugegriffen. Die Abfrage zu Zwecken der Bonität sei unter Einhaltung der Bedingungen von Art. 13 Abs. 2 lit. c DSG zulässig. Der EDÖB machte demgegenüber geltend, dass den Personen, die bisher ihre Einträge löschen liessen, der Rechtfertigungsgrund nicht entgegengehalten worden sei. Diese hätten sich darauf verlassen, dass ihre Adressen nach erfolgter Löschung über die Plattform www.moneyhouse.ch nicht mehr auffindbar seien. itonex AG erklärte sich in der Folge dazu bereit, die von ihr erstellte Sperrliste mit den Namen der Personen, die eine Löschung ihrer Daten durchführen liessen, als Filter zu verwenden. Dieser wird nach dem Eingabefeld der Personensuche zwischengeschaltet, so könnten gelöschte Personeneinträge nicht mehr aufgefunden werden. Der EDÖB hat daraufhin mittels der ihm zugestellten Löschungsbegehren die Praxis von itonex AG getestet. Er hat mehrere Adressen von Personen gefunden, die ihre Angaben ursprünglich löschen liessen.
1itonex AG hatte im Antwortschreiben vom 27.06.2013 den Löschprozess dokumentiert. Das Führen einer Sperrliste war vorgesehen (Zitat aus der Begründung itonex AG):“Dies verhindert, dass die Daten dieser Person nicht erneut aufgeschaltet werden.“
5/32
itonex AG hat in der Folge Stellung2 dazu genommen. Die gelöschten Adressen seien nur für Personen mit Bonitätsabonnement zugänglich. Abonnenten würden vor Abschluss vom Kundendienst überprüft und freigeschaltet. Die Freischaltung erfolge nur für Firmen, die im Rahmen ihrer Tätigkeit regelmässig Bonitätsauskünfte benötigen. Bei der Abfrage müsse zwingend der Wohnort eingegeben werden – ein Zugriff nur über den Namen sei nicht möglich. Somit sei es praktisch nicht möglich, an neue oder zusätzliche Adressen zu gelangen. Die vom EDÖB vorgebrachten Sicherheitsbedenken könne itonex AG nicht teilen. Der EDÖB hat darauf bei einem erneuten Testlauf ungefähr 50 Adressen von Personen gefunden, die ihre Angaben bei itonex AG (teilweise aus Gründen der persönlichen Sicherheit) ursprünglich löschen liessen. Im Abfragefeld Wohnort des Premiumbereichs können dabei beliebige Zeichenkombinationen eingetragen werden, wie der EDÖB beim Testen feststellte. Mit dieser Methode können Nutzer des Premiumbereichs Personendaten finden, die eigentlich nur für Bonitätsabonnenten zugänglich wären, ohne deren Adressen vorher zu kennen. itonex AG macht für diese erweiterte Abfragemöglichkeit Werbung. Für die weiteren, im Rahmen dieser Empfehlung behandelten Sachverhaltsaspekte sei, wie erwähnt, auf die bereinigte Sachverhaltsfeststellung vom 16.06.2014 hingewiesen.
2 Schreiben von itonex AG vom 10.07.2014.
6/32
II. Erwägungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten: Vorbemerkungen Gemäss Artikel 2 Abs. 1 DSG gilt dieses Gesetz für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen. Da itonex AG, wie unter Randziffer 2 erwähnt, fünf Millionen Personeneinträge bearbeitet, ist das DSG für den vorliegenden Sachverhalt anwendbar. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte klärt nach Artikel 29 Abs. 1 lit. a DSG von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). Die Bearbeitungsmethoden von itonex AG sind geeignet, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Der EDÖB ist daher berechtigt, den Sachverhalt näher abzuklären und gemäss Art. 29 Abs. 3 DSG eine Empfehlung zu erlassen. Er kann die Empfehlung gemäss Artikel 29 Abs. 4 DSG – wenn sie abgelehnt worden ist – dem Bundesverwaltungsgericht zum Entscheid vorlegen. Art. 12 und 13 DSG legen die Voraussetzungen fest, nach welchen die Bearbeitung von Personendaten durch Private rechtmässig ist. Wer im privaten Bereich Personendaten bearbeitet, darf dabei nach Art. 12 Abs. 1 DSG die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Gemäss Art. 12 Abs. 2 DSG darf er insbesondere nicht: a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten; b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten; c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekannt geben. In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Art. 12 Abs. 3 DSG). Die nachfolgenden Ausführungen sollen aufzeigen, ob die Datenbearbeitung durch itonex AG, der Inhaberin der Plattform www.moneyhouse.ch, datenschutzkonform erfolgt. Kategorien von bearbeiteten Personendaten Bearbeitung von Personendaten Das DSG findet dort Anwendung, wo Personendaten i.S.v. Art. 3 lit. a DSG bearbeitet werden. Als Personendaten gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare (natürliche oder juristische) Person beziehen. Der hauptsächliche Zweck der Plattform www.moneyhouse.ch besteht darin, verschiedenste Informationen zu juristischen und natürlichen Personen für Nutzer zugänglich zu machen. Die von itonex AG bearbeiteten Daten beziehen sich auf bestimmte oder bestimmbare Personen gemäss Art. 3 lit. a DSG. Damit handelt es sich um Personendaten im Sinne des DSG. Unter Bearbeitung wird gemäss Art. 3 lit. e DSG jeder Umgang mit Personendaten, unabhängig von den angewendeten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten, verstanden. itonex AG bearbeitet demzufolge Personendaten im Sinne des DSG.
7/32
Bearbeitung von Persönlichkeitsprofilen Durch die Auswertungsmöglichkeiten der automatischen Datenverarbeitung und durch die Verknüpfung automatisierter Datenbestände ist die Erstellung von Persönlichkeitsprofilen heutzutage einfacher und häufiger geworden. Das Problem von Persönlichkeitsprofilen liegt darin, dass sie die Vielfalt und Komplexität der menschlichen Persönlichkeit (zu) sehr vereinheitlichen und schematisieren und dabei den betroffenen Personen nicht gerecht werden. Zudem haben betroffene Personen meist keine Kenntnis vom Bestehen eines Persönlichkeitsprofils. Damit können sie dessen Richtigkeit und Verwendung nicht kontrollieren. Einmal erstellt, können Persönlichkeitsprofile betroffene Personen der Freiheit berauben, sich so darzustellen, wie sie es für richtig halten. Damit vermögen Persönlichkeitsprofile die Entfaltung der Persönlichkeit wesentlich zu beeinträchtigen. Deshalb hat der Gesetzgeber festgelegt, dass Persönlichkeitsprofile gleich wie besonders schützenswerte Personendaten zu behandeln sind und nur unter bestimmten Voraussetzungen erstellt und bearbeitet werden dürfen. Über juristische Personen können laut Wortlaut des Gesetzes keine Persönlichkeitsprofile erstellt werden. Nicht jede Kombination von Daten ergibt ein Persönlichkeitsprofil. Gemäss Legaldefinition von Art. 3 lit. d DSG stellt ein Persönlichkeitsprofil eine Zusammenstellung von Daten dar, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Anhaltspunkte, was unter dem Begriff „Persönlichkeitsprofil“ zu verstehen ist, findet man einerseits in der Botschaft zum Bundesgesetz über den Datenschutz vom 23. März 1988 (BBl II 1988 413) und andererseits in der Lehre und Rechtsprechung. Gemäss Botschaft zum DSG (BBl II 1988 446) ist ein Persönlichkeitsprofil eine Zusammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Entscheidend ist, dass die systematische Zusammenstellung von nicht besonders schützenswerten Daten (z.B. über Lesegewohnheiten, Reise- und Freizeitaktivitäten) eine Beurteilung wesentlicher Aspekte der Persönlichkeit zulässt. Nach herrschender Lehre muss die Zusammenstellung der Daten nicht ein Gesamtbild der Persönlichkeit ergeben. Es genügt, wenn von wichtigen Teilaspekten (z.B. Konsumverhalten, Profile von Kreditkartenbenutzern zur Verhinderung von Betrügereien, Eignungstest, Kreditdossiers, etc.) ein Persönlichkeitsbild entsteht (BSK-DSG, Gabor P. Blechta, Art. 3 N 67). Von einem Persönlichkeitsprofil ist jedoch erst dann auszugehen, wenn für die betroffene Person ein Risiko entsteht, dass „sie sich in der Gesellschaft nicht mehr so darstellen kann, wie sie es für richtig hält“ (BSK-DSG, Gabor P. Blechta, Art. 3 N 63). Gemäss Rechtsprechung (VPB 65.48, E. 2.b.) hängt die Erstellung eines Persönlichkeitsprofils von der Menge, dem Inhalt sowie der Zeitdauer der zusammengestellten Daten ab. Demnach sind Personendaten, die über einen längeren Zeitraum zusammengetragen werden (z.B. Daten betreffend Zahlungsfähigkeit über Jahre hinweg) und dadurch gleichsam ein biografisches Bild ergeben, indem sie eine Entwicklung, einen Werdegang, also eine Art „Längsprofil“ der betroffenen Person aufzeigen, eher als Persönlichkeitsprofil zu qualifizieren als Daten, die eine blosse Momentaufnahme, ein „Querprofil“, darstellen. Aber, selbst wenn von einem wesentlichen Teilbild der Persönlichkeit ausgegangen wird, muss letztlich der konkrete Zusammenhang, in dem die Daten verwendet werden, mit entscheidend dafür sein, ob der qualifizierte gesetzliche Schutz, den der Gesetzgeber für die Persönlichkeitsprofile vorgesehen hat, zum Tragen kommen soll oder nicht. Weil itonex AG die unterschiedlichsten Dienstleistungen mit je spezifischen Informationen zu natürlichen Personen zentral über die Plattform www.moneyhouse.ch anbietet, muss im vorliegenden Fall geprüft werden, ob die von itonex AG in ihrer Gesamtheit verbreiteten Informationen Persönlichkeitsprofile i.S.v. Art. 3 lit. d DSG darstellen.
8/32
itonex AG hat auf der Plattform www.moneyhouse.ch unterschiedlich zugängliche Bereiche3 festgelegt. Nicht registrierte Benutzer können die Personensuche auf der Website der Plattform nicht einsetzen. Allerdings sind natürliche Personen indirekt über das Resultat der Google-Suche auffindbar. Dies ist ein grosser Unterschied zu anderen Vertretern der Branche der Auskunfteien, deren Einträge nicht suchmaschinenindexiert sind und damit keine breite Zugänglichkeit einer Personensuche ermöglichen. Registrierte Nutzer (diese bezahlen kein Entgelt für die Nutzung der Plattform, geben aber bei der Registrierung persönliche Informationen bekannt) können die Personensuche eingeschränkt nutzen. Die genaue Adresse von natürlichen, nicht im Handelsregister eingetragenen Personen kann abgefragt werden, wenn die betreffende Person einen Eintrag in einem über das Internet zugänglichen Telefonverzeichnis hat. Zahlende und nach einer Überprüfung freigeschaltete Premium-User können folgende Angaben über natürliche Personen abrufen: Name, Vorname, Wohnort, Postleitzahl, Alter, genaues Geburtsdatum, Beruf, Haushaltsmitglieder und Nachbarn und Angaben zur Wohnsituation. Die Wohnsituation beinhaltet eine Verlinkung auf Luftaufnahmen- und Google Streetviewbilder der Liegenschaft. Zusätzlich werden Angaben zu Gebäudetyp, Anzahl Haushalte im Gebäude, Baukosten, Bauperiode und Anzahl Etagen gemacht. itonex AG gibt damit systematisch verknüpfte Informationen zur privaten Wohn- und Lebenssituation der betroffenen Personen bekannt. Die private Wohn- und Lebenssituation stellt einen wesentlichen Teilaspekt der Persönlichkeit dieser Personen und damit ein Persönlichkeitsprofil dar. Sind natürliche Personen im Handelsregister registriert, so werden dem Premium-User zusätzliche Informationen bekannt gegeben. Neben allen Handelsregisterinformationen ist dies insbesondere auch die Angabe der Nationalität, falls diese eingetragen wurde. Zusätzlich zu oben geschildertem wesentlichem Teilaspekt der privaten Wohn- und Lebenssituation werden von diesen Personen der berufliche Werdegang und das berufliche Netzwerk anhand der im Handelsregister gespeicherten Informationen zugänglich gemacht. Der EDÖB vertritt die Meinung, dass itonex AG Persönlichkeitsprofile von natürlichen Personen mit Handelsregistereintrag bearbeitet. Auf der Zusammenstellung dieser Informationen von natürlichen Personen mit und ohne Handelsregistereintrag wird der Nutzer auf zusätzliche Informationen aufmerksam gemacht, die ein Premium-User über diese einholen kann: Bonitäts- und Grundbuchauskunft und Steuerauszug. Diese Aus-künfte können nicht über jede Person eingeholt werden, da die Einsicht ins Grundbuch und der Steuerauszug kantonal geregelt sind. Der Premium-User wird auf diese Tatsache nicht hingewiesen. All diese Informationen werden laut itonex AG nach Abruf an den Premium-User weitergeleitet, ohne dauerhaft auf der eigenen Datenbank gespeichert zu werden. Der Premium- User kann auf einfache Art und Weise umfassende Persönlichkeitsprofile von gesuchten Personen zusammenstellen. Ebenfalls können Bauherren über die Plattform ermittelt werden. Über diese Personen sind zusätzlich zu den oben aufgeführten Angaben Informationen über ihre gestellten Baugesuche oder ihnen erteilte Baubewilligungen abrufbar. All diese Informationen stellen ebenfalls Persönlichkeitsprofile der betroffenen Personen dar. Die oben gemachten Ausführungen beschränken sich auf die Darstellung eines Ausschnitts von möglichen Verknüpfungen von Personendaten zu Persönlichkeitsprofilen. Es können, je nach Wahl der entsprechenden Dienstleistungen und der in diesem Rahmen abrufbaren Personendaten, eine grosse Zahl von Varianten von Persönlichkeitsprofilen erstellt werden.4
3 Es wird auf die Sachverhaltsfeststellung vom 16.06.2014 verwiesen. 4 Es sprengt den Rahmen dieser Darstellung, alle möglichen Varianten der Erstellung eines Persönlichkeitsprofils zu erläutern.
9/32
Aus diesen Ausführungen ergibt sich betreffend die Bearbeitung von Persönlichkeitsprofilen durch itonex AG folgendes: Die in der Datensammlung von itonex AG gespeicherten Daten sind Persönlichkeitsprofile. Der Premium-User kann mit Hilfe der Dienstleistungen der Plattform www.moneyhouse.ch mehr oder weniger umfassende Persönlichkeitsprofile abrufen oder zusammenstellen. itonex AG vermittelt dabei Zugang zu einzelnen Datensätzen, ohne das übermittelte Gesamtergebnis zu überprüfen oder einzuschränken. Premium-Usern und anderen Nutzern der Plattform wird damit ermöglicht, sich Persönlichkeitsprofile über beliebige Personen zusammenzustellen. Bearbeitung von Personendaten von Kindern Das Gesetz selber sieht keine besondere Kategorie von Kinderdaten vor. Kinder können im Bereich des Persönlichkeitsschutzes ihre Rechte, sofern sie urteilsfähig sind, selber geltend machen. Für urteilsunfähige Kinder können die Eltern im Rahmen ihrer gesetzlichen Vertretungsbefugnis deren Rechte wahrnehmen. Der EDÖB hatte viele Meldungen von Eltern, die sich über die Publikation der Daten ihrer Kinder beschwerten und die Privatsphäre der Familie dadurch verletzt sahen. Aus diesem Grund sieht er sich veranlasst, sich speziell zur Bearbeitung von Kinderdaten durch itonex AG zu äussern. itonex AG bearbeitet Personendaten von Kindern. Premium-User5 können die Daten über Angabe von Name, Vorname und einer beliebigen Zeichenfolge im Wohnortfeld abfragen. Durch diese Abfrage werden Adresse und das genaue Geburtsdatum der Kinder zugänglich gemacht. Diese Abfrage wird direkt auf der Datenbank von CRIF, dem Partner von itonex AG für Bonitätsdaten, gemacht. Im Bereich der Bonitätsauskünfte kann es sinnvoll sein, Personendaten von Kindern zu führen. Anbieter von elektronisch zugänglichen Kaufangeboten können so vor Vertragsschluss überprüfen, ob die betreffende Person überhaupt handlungsfähig6 ist, ebenfalls kann verhindert werden, dass überschuldete Personen Dienstleistungen auf den Namen ihrer Kinder beziehen. Kinder erhalten im Rahmen der von itonex AG angebotenen Bonitätsdienstleistungen grundsätzlich keine positive Bonität. Der EDÖB geht davon aus, dass das eingeschränkte Bonitätsresultat auf die fehlende Handlungsfähigkeit zurückzuführen ist. Ob andere Kriterien das Bonitätsscoring von Kindern ebenfalls beeinflussen, ist ihm nicht bekannt, da das Scoring durch CRIF, einen Partner von itonex AG, berechnet wird. Zudem können im Premiumbereich die Mitglieder des Haushaltes abgefragt werden. Diese Daten hat itonex AG in der eigenen Datensammlung gespeichert. Laut Auskunft von itonex AG ist zu 74% der in der Datenbank enthaltenen Personeneinträge eine Jahrgangsangabe vorhanden. itonex AG entfernt nach eigenen Aussagen Kindereinträge7, soweit diese bekannt sind, und bemüht sich, vorhandene Kindereinträge aufzufinden und zu entfernen. Diese Einträge sind auf den Umstand zurückzuführen, dass Schober AG bei der damaligen Lieferung das Geburtsdatum der Kinder nicht mitgeliefert hat. Gemäss diesen Ausführungen bearbeitet und publiziert itonex AG Daten von Kindern im Rahmen der Bonitätsauskünfte und bei der Darstellung der Haushalte im Premiumbereich. Bearbeitung von Daten von verstorbenen Personen Die Persönlichkeit endet mit dem Tod von natürlichen Personen. Dies schränkt den Anwendungsbereich des DSG entsprechend ein, wobei nahe Angehörige für einen Schutz der den Tod
5 Betreffend die Schilderung der einzelnen Nutzerkategorien der Plattform und die Bekanntgaben an diese Kategorien wird auf die Sachverhaltsfeststellung vom 16.06.2014 verwiesen. 6 Art. 12 ff des Zivilgesetzbuchs. 7 Auf der anderen Seite macht itonex AG mit der Abrufbarkeit von Kinderdaten Werbung, siehe Fussnote 9.
10/32
überdauernden Persönlichkeitsgüter sorgen können, indem sie sich hierfür auf ihr eigenes Persönlichkeitsrecht stützen. Es haben sich mehrere Verwandte von verstorbenen Personen beim EDÖB gemeldet, die deren Einträge in der Datensammlung von itonex AG löschen lassen wollten. Laut Auskunft von itonex AG wird die Datenbank laufend aktualisiert8 und Einträge von verstorbenen Personen werden gelöscht. Unter dem Aspekt der Bonitätsprüfung, aber auch im Hinblick auf die anderen verfolgten Zwecke und erbrachten Dienstleistungen, macht die Führung von verstorbenen Personen in der Datensammlung von itonex AG keinen Sinn. Verwandte, die Einträge von verstorbenen Familienangehörigen löschen lassen wollten, sahen sich in der Folge mit ihrer Meinung nach überhöhten Anforderungen an den Nachweis des Todes derselben konfrontiert. Der EDÖB stellt demzufolge fest, dass itonex AG Daten von verstorbenen Personen bearbeitet und publiziert. Gesamtergebnis Kategorien der bearbeiteten Daten itonex AG bearbeitet Personendaten und Persönlichkeitsprofile von Erwachsenen, Kindern und verstorbenen Personen. Im Folgenden wird geprüft, ob die allgemeinen Bearbeitungsgrundsätze bei der Bearbeitung von Personendaten, Persönlichkeitsprofilen, Daten von Kindern und verstorbenen Personen von itonex AG befolgt werden. Bearbeitungsgrundsätze Das DSG legt in den Artikeln 4, 5 und 7 fest, welche Grundsätze bei der Bearbeitung von Personendaten zu beachten sind. Zweck der Datenbearbeitung Der Dateninhaber legt den Zweck fest, zu dem Daten bearbeitet werden. Der mit der Datenbearbeitung verfolgte Zweck spielt eine Rolle für das Bearbeitungsprinzip der Verhältnismässigkeit (Randziffern 50 ff.) und der Zweckbindung (Randziffern 76 ff.). itonex AG stellt die auf www.moneyhouse.ch zugänglich gemachten Daten zu folgenden Zwecken zur Verfügung: Prüfung der Kreditwürdigkeit Inkasso Verifizierung von Angaben im Allgemeinen Bereinigung von Datenbeständen Abfrage von Wohnungsinseraten Abfrage von Stelleninseraten Abfrage von Bauinformationen Werbung mittels Verkauf von Adresslisten, Unterstützung von Werbekampagnen, Platzierung von Werbung für Drittunternehmen auf der Plattform. Gemäss diesen Erwägungen bearbeitet itonex AG Personendaten zu verschiedensten Zwecken.
8 Dies geschieht mittels Verarbeitung von Todesanzeigen, Nachlasspublikationen im SHAB oder in Amtsblättern und Meldungen von Nutzern.
11/32
Grundsatz der Verhältnismässigkeit nach Artikel 4 Abs. 2 DSG Die Bearbeitung von Personendaten hat sich am Grundsatz der Verhältnismässigkeit auszurichten (Art. 4 Abs. 2 DSG). Verhältnismässigkeit bedeutet, dass ein Datenbearbeiter nur diejenigen Daten bearbeiten darf, die zur Erreichung eines bestimmten Zwecks objektiv geeignet und tatsächlich erforderlich sind, und dass die Nachteile, die mit der Bearbeitung verbunden sind, in einem angemessenen Verhältnis zu den Vorteilen stehen müssen. Die Datenbearbeitung muss für die betroffene Person sowohl hinsichtlich ihres Zwecks als auch hinsichtlich ihrer Mittel (d.h. verhältnismässig in engerem Sinn) zumutbar sein. Dazu muss geprüft werden, ob zwischen dem Bearbeitungszweck und einer im Hinblick darauf nötigen (d.h. durch die Art und Weise der Bearbeitung gegebenenfalls bewirkte) Persönlichkeitsbeeinträchtigung ein vernünftiges Verhältnis besteht (Botschaft DSG BBl 1988 II 450). Es hat also eine Abwägung von Zweck und Wirkung des Eingriffs stattzufinden und es ist zu prüfen, ob nicht ein milderes Mittel ebenso zum Ziel führt. Die Prüfung der Verhältnismässigkeit verlangt eine Gesamtwürdigung aller Umstände. Im Folgenden wird die Verhältnismässigkeit der Datenbearbeitung in inhaltlicher sowie zeitlicher Hinsicht untersucht. Verhältnismässige Datenbearbeitung durch itonex AG in inhaltlicher Hinsicht Eine Datenbearbeitung ist dann verhältnismässig, wenn sie inhaltlich auf das absolut Notwendige beschränkt wird, um ein bestimmtes Ziel zu erreichen. Die Verhältnismässigkeit fordert in inhaltlicher Hinsicht einen möglichst schonenden Umgang mit Personendaten. Dies bedingt auch, dass keine für den verfolgten Zweck unbenötigten Überschussinformationen anfallen dürfen. Ebenso ist es unzulässig, Personendaten auf Vorrat zu erheben, sofern der damit verfolgte Zweck dies nicht unabdingbar erfordert (BGE 125 II 473 E. 4.b S. 476). In einem ersten Schritt muss demzufolge der von itonex AG verfolgte Zweck eruiert werden. itonex AG stellt die auf www.moneyhouse.ch zugänglich gemachten Daten ihren Nutzern zu folgenden Zwecken zur Verfügung: Prüfung der Kreditwürdigkeit Inkasso Verifizierung von Angaben im Allgemeinen Bereinigung von Datenbeständen Abfrage von Wohnungsinseraten Abfrage von Stelleninseraten Abfrage von Bauinformationen Werbung mittels Verkauf von Adresslisten, Unterstützung von Werbekampagnen, Platzierung von Werbung für Drittunternehmen auf der Plattform. itonex AG hat zudem geäussert, dass geplant sei, in Zukunft weitere Dienstleistungen anzubieten und dass der Zweckkatalog in diesem Sinne erweitert werden würde. Die Auflistung all dieser Zwecke ist schon zum heutigen Zeitpunkt mit dem Prinzip der Verhältnismässigkeit in inhaltlicher Hinsicht nicht vereinbar. Die Plattform www.moneyhouse.ch hat sich zu einer allgemeinen Informationsplattform entwickelt. Die vielen damit verfolgten Zwecke beschränken die inhaltliche Bearbeitung von Daten nicht, wie dies bei der Verfolgung nur eines Zweckes beispielsweise der Fall ist. Ein schonender Umgang mit Personendaten kann mit dieser breiten Zweckverfolgung nicht erreicht werden, anfallende Überschussinformationen können dem allgemeinen Zweck „Information“ zugeordnet werden. Die einzelnen Daten, die bekanntgegeben werden, sind unter Ziffer 5.1.-5.3. der Sachverhaltsfeststellung detailliert erläutert worden. Es sprengt den Rahmen dieses Schlussberichtes, alle möglichen Datenbekanntgaben im Einzelnen zu schildern. Um die Problematik der inhaltlichen Verhältnismässigkeit näher zu beschreiben, führt dies der EDÖB an dieser Stelle am Beispiel ei-
12/32
nes Premium-Users aus, der sich anhand eines auf der Plattform www.moneyhouse.ch veröffentlichten Baugesuches über einen Bauherren informieren will. Folgende Personendaten können von ihm über den Bauherren abgerufen werden: Titel des Bauobjekts, genaue Adresse des Bauobjekts, genaue Adresse des Bauherren, Angabe des Architekten, volle Beschreibung des Projekts. (Diese Daten werden über einen Partner von itonex AG zugänglich gemacht.) Über die allgemein zugängliche Personensuche können zudem: Name, Vorname, Strasse, Postleitzahl, Wohnort, Alter, genaues Geburtsdatum, Beruf, Haushalt und Nachbarn, alte Wohnorte, Angaben zur Wohnsituation (Verlinkung auf Luftaufnahmen- und Google Streetviewbilder der bewohnten Liegenschaft, Angaben zu Gebäudetyp, Anzahl Haushalte im Gebäude, Baukosten, Bauperiode und Anzahl Etagen) abgerufen werden. Ist der Bauherr als Inhaber einer Firma im Handelsregister eingetragen, so kann der Premium- User auch die Firmensuche einsetzen. Es werden Angaben über aktuelle und frühere Verwaltungsräte, Zeichnungsberechtigungen, die Revisionsstelle und das geschäftliche Netzwerk bekannt gegeben. Diese Daten können abgerufen werden, ohne damit einen bestimmten Zweck zu verfolgen, was dem Prinzip der Verhältnismässigkeit in inhaltlicher Hinsicht widerspricht. Ist der Premium-User bspw. ein Handwerker, der dem Bauherrn eine Offerte stellen möchte, so kann davon ausgegangen werden, dass er dafür keine detaillierten Informationen über die privaten Lebensumstände des Bauherren benötigt. Handelsregisterangaben, Angaben des Baugesuches und aktuelle Adresse, an die die Offerte gerichtet werden kann, würden das Informationsbedürfnis des Handwerkers abdecken, weitere Datenbekanntgaben entsprechen nicht den Vorgaben der Verhältnismässigkeit in inhaltlicher Hinsicht gemäss Artikel 4 Abs. 2 DSG. Ist die abrufende Person aber ein Journalist, der einen Artikel über die lokalen Bautätigkeiten eines Unternehmers und dessen Verflechtung mit anderen Unternehmen und Behörden schreibt, so könnte die Angabe all dieser Informationen dafür notwendig sein. itonex AG stellt diese Informationen aber allen Premium- Usern, unabhängig eines individuell damit verfolgten Zweckes, zur Verfügung. Die beschriebene Problematik verschärft sich zudem, wenn der Premium-User über die Zusatzdienste Steuerunterlagen, Betreibungsregisterauszüge und Bonitätsauskünfte über den Bauherren verlangt. Gleichermassen können sich auch Vermieter über zukünftige Mieter, Banken über zukünftige Kunden und die Verwaltung über Bürger informieren. Zwar überprüft itonex AG zukünftige Premium-User während des Abschlusses eines Abonnements in gewisser Hinsicht: Das Abonnement wird nur zu geschäftlichen Zwecken nach Überprüfung der hinterlegten Angaben, Akzept der allgemeinen Geschäfts- und Nutzungsbedingungen durch den Abonnenten und nach erfolgter Kontaktnahme durch den Kundendienst von itonex AG, während der nach Angaben von itonex AG auf die einzuhaltenden Nutzungsbedingungen hingewiesen werde, frei geschaltet. Die oben beschriebenen Beispiele von Datenbekanntgaben über die Plattform www.moneyhouse.ch zu unterschiedlichen Zwecken sind aber möglich und gemäss den von itonex AG gestellten Bedingungen und Überprüfungen auch zulässig. Die Datenbearbeitungen von itonex AG verstossen infolgedessen in inhaltlicher Hinsicht gegen das Prinzip der Verhältnismässigkeit nach Artikel 4 Abs. 2 DSG. Verhältnismässige Datenbearbeitung in inhaltlicher Hinsicht durch die Nutzer der Plattform www.moneyhouse.ch Bezüglich der möglichen Datenbekanntgaben an die Nutzer wird auf die Ausführungen unter Randziffern 54 ff. verwiesen. itonex AG informiert den Nutzer und betroffene Personen nicht zentral an einer Stelle über die verschiedenen Daten, die im Rahmen der angebotenen Dienstleistungen bearbeitet und bekannt gegeben werden. Der unregistrierte Nutzer, der über die Google-Suche Informationen über eine
13/32
bestimmte Firma sucht, entdeckt ohne grösseren Aufwand die Plattform www.moneyhouse.ch, die anscheinend über die gesuchten Angaben verfügt. Die Informationen, die er auf der Einstiegsseite zum gesuchten Unternehmen findet, stammen aus dem Handelsregister oder den SHAB (Schweizerisches Handelsamtsblatt) Publikationen. Er wird auf der Einstiegsseite aufmerksam gemacht, dass er noch mehr Informationen erhalten könnte, bspw. die folgende Meldung: „Zahlweise der Firma xy hat sich verändert. Dies geht aus den neuesten Daten hervor, die moneyhouse vorliegen. Die Veränderung kann sowohl positiv als auch negativer Art sein (schnellere oder schlechtere Zahlweise). Mehr erfahren über die Veränderung der Zahlweise bei xy“. Will der unregistrierte Nutzer mehr über die Zahlweise des Unternehmens erfahren und wählt den angegebenen Link, so wird er informiert, dass diese Angaben nur Premium-User erfahren und er sich deshalb erst registrieren muss, um die gewünschte Information zu erhalten. Mit der Registrierung erhält itonex AG genaue Adresse, Telefonnummer und E-Mailadresse des Nutzers. Er wird seinerseits die gewünschten Informationen über die Zahlweise aber erst erfahren, wenn er zusätzlich ein Premium-Abonnement löst. Aus datenschutzrechtlicher Sicht verleitet diese Werbung mit Angaben zu möglichen, zusätzlich abrufbaren Informationen über Unternehmen oder auch über natürliche Personen ohne Handelsregistereintrag9 die Nutzer dazu, weitere Daten abzurufen, die sie zur Erreichung des ursprünglich beabsichtigten Zwecks nicht benötigt hätten und letztlich auch zur Verknüpfung dieser Daten zu Persönlichkeitsprofilen. Aus diesen Erläuterungen folgernd schliesst der EDÖB, dass itonex AG Nutzer veranlasst, gegen das Gebot der verhältnismässigen Datenbearbeitung gemäss Artikel 4 Abs. 2 zu verstossen. Verhältnismässigkeit in zeitlicher Hinsicht Das Erfordernis der Verhältnismässigkeit begrenzt die Datenbearbeitung auch in zeitlicher Hinsicht. Sofern personenbezogene Daten für den verfolgten Zweck nicht mehr gebraucht werden, sind sie zu vernichten oder zu anonymisieren. Dabei ist eine frühest mögliche Löschung oder Anonymisierung der Daten vorzusehen. Im Handelsregister eingetragene Personendaten werden zeitlich unlimitiert gespeichert. Das Handelsregister dient gemäss Artikel 1 der Handelsregisterverordnung (HRegV, SR 221.411) der Konstituierung und der Identifikation von Rechtseinheiten. Es bezweckt die Erfassung und Offenlegung rechtlich relevanter Tatsachen und den Schutz Dritter im Rahmen zwingender Vorschriften des Zivilrechts. Das Bundesverwaltungsgericht hat im Entscheid A-4086/2007 die zeitlich unlimitierte Publikation von Handelsregisterdaten durch itonex AG als datenschutzkonform erachtet, solange die Daten unverändert von einem staatlichen Referenzdatenbestand übernommen und unentgeltlich weiterverbreitet werden. Ein Unterschied, der zwischen dem Handelsregisterdatenangebot von itonex AG und dem über das zentrale Register (www.zefix.ch) der Eidgenossenschaft abrufbaren Daten der kantonalen Handelsregisterämter besteht, betrifft die Voreinstellung der Suchoptionen. Bei zefix.ch wird die standardmässige Voreinstellung der Suchoption auf die aktuell gültigen Einträge beschränkt. Will der Nutzer zudem weitere Informationen betreffend gelöschte Handelsregistereinträge abrufen, muss er diese Option manuell wählen. itonex AG gibt gemäss Voreinstellung der Personen- und der Firmensuche gelöschte und aktuelle Handelsregistereinträge bekannt. Wie das Bundesverwaltungsgericht im erwähnten Entscheid A-4086/2007 ausgeführt hat, nimmt das Interesse des Publikums an Kenntnis von gewissen Handelsregisterpublikationen mit zunehmendem Zeitablauf
9 Beispiel für das Anbieten möglicher weiterer Informationen zu natürlichen Personen ohne Handelsregistereintrag: „Damit Sie wissen, wer mit xy zusammenlebt und ob er/sie Kinder hat, müssen Sie Premiummitglied sein. Jetzt Premiumitglied werden“.
14/32
ab.10 Personen, die Handelsregisterinformationen benötigen, suchen demzufolge in erster Linie nach aktuell gültigen Einträgen. Durch itonex AG bearbeitete Daten zu nicht im Handelsregister eingetragenen natürlichen Personen werden bis zur Löschung aufbewahrt. Diese erfolgt auf Verlangen der betroffenen Person. Die zeitliche Aufbewahrungsdauer dieser Einträge wird durch die breite Festlegung der verschiedenen Bearbeitungszwecke der Plattform www.moneyhouse.ch, wie wir oben unter Randziffer 51 ff. ausgeführt haben, nicht limitiert. Nutzer der Plattform www.moneyhouse.ch suchen in erster Linie aktuell gültige Personendaten, nicht gelöschte. Die Voreinstellung der Personen- und Firmensuche von itonex AG, die standardmässig aktuelle und gelöschte Einträge betrifft, verstösst gegen das Prinzip der Verhältnismässigkeit in zeitlicher Hinsicht. Auffindbarkeit von Personen- und Firmensuchresultaten der Plattform www.moneyhouse.ch durch Internetsuchmaschinen – Diskussion des Gebots der verhältnismässigen Bearbeitung nach Art. 4 Abs. 2 DSG Mit der Publikation von Daten im Internet verliert ein Dateninhaber die Herrschaft über diese Daten. Sie können von anderen Datenbearbeitern kopiert, gespeichert und weiterverbreitet werden. Auch wenn er die Daten auf Begehren der betroffenen Person löscht, ist die Weiterverbreitung der vom Löschungsgesuch betroffenen Daten schon erfolgt. Deshalb muss diese Art der Bekanntgabe auch unter dem Aspekt der Verhältnismässigkeit geprüft werden. Für unregistrierte Nutzer der Plattform www.moneyhouse.ch sind die im Handelsregister eingetragenen Personen und Firmen über Suchmaschinen in den Resultaten auffindbar. Es muss dazu im Suchfeld der verwendeten Internetsuchmaschine nur der Firmen- oder Personenname eingegeben werden. itonex AG bietet betroffenen Personen und Firmen zwar an, diese Auffindbarkeit der in www.moneyhouse.ch enthaltenen Angaben durch Suchmaschinen im Internet zu unterbinden. Bis Firmen oder Personen mit Handelsregistereintrag nicht mehr mittels Internetsuchmaschinen aufgefunden werden können, vergehen aber bis zu sechs Wochen. Die Praxis der Verknüpfung der Einträge der Plattform mit Suchmaschinenresultaten wird von anderen Anbietern dieser Branche nicht gemacht. Das Suchmaschinenresultat leitet die Nutzer auf die Plattform, dort wird ihnen angezeigt, dass noch eine Fülle weiterer Informationen, auch zu den privaten Lebensumständen der im Handelsregister eingetragenen Personen, vorhanden wäre. Das Bundesverwaltungsgericht hat in seinem Entscheid A-4086/2007 diesbezüglich ausgeführt11, dass geprüft werden müsste, welche konkreten Suchmodalitäten in Handelsregisterdatensammlungen mit dem Persönlichkeits- bzw. Datenschutz vereinbar sind. Diese Überlegungen zur Einschränkung der Personensuche müssten sich sowohl auf private wie auch auf die staatlichen Informationsangebote beziehen. Die über die von der Eidgenossenschaft betriebene Informationsplattform www.zefix.ch publizierten kantonalen Handelsregisterinhalte sind für Suchmaschinen nicht auffindbar, wenn im Suchfeld nur ein Firmenname eingegeben wird. Es braucht dazu noch die Eingabe des Plattformnamens zefix, damit eine Liste mit Einträgen gefunden wird, eine direkte Verlinkung zu Personeneinträgen wird nicht gemacht. Über zefix werden zudem keine weiteren Angaben zu den privaten Lebensumständen der eingetragenen Personen publiziert. Die Auffindbarkeit von Einträgen über Suchmaschinen, verbunden mit der auf der verlinkten Einstiegsseite enthaltenen Werbebotschaft, dass noch weitere Informationen die privaten Lebensumstände der im Handelsregister eingetragenen Personen betreffend auffindbar wären, verstösst gegen das Verhältnismässigkeitsprinzip.
10 Erwägung 5.2.5 des Bundesverwaltungsgerichtsentscheids A-4086/2007. 11 Das Bundesverwaltungsgericht konnte diese Frage in der Folge nicht prüfen, da diese nicht durch den Streitgegenstand abgedeckt war.
15/32
Gesamtergebnis Verhältnismässigkeit itonex AG verstösst gemäss diesen Erläuterungen gegen das Bearbeitungsprinzip der Verhältnismässigkeit nach Artikel 4 Abs. 2 DSG und veranlasst Nutzer der Plattform, sich ebenfalls nicht an den Grundsatz zu halten. Zweckbindung der Datenbearbeitung Personendaten dürfen nur für den Zweck bearbeitet werden, welcher bei der Beschaffung angegeben worden ist oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Der Verwendungszweck der Daten muss bereits bei der Datenbeschaffung ersichtlich sein oder sonst feststehen. Ein Sammeln und weiteres Bearbeiten von Daten – quasi auf „Vorrat“ – ohne dass ein bestimmter Zweck feststeht oder angegeben wird, ist unzulässig. Wird vom ursprünglich angegebenen oder aus den Umständen ersichtlichen Zweck abgewichen, sind die betroffenen Personen darüber zu informieren. Die Zweckbindung der Datenbearbeitung ist auch bei Weitergabe der Daten einzuhalten. itonex AG hat Daten von Personen ohne Handelsregistereintrag ursprünglich von Schober AG übernommen. Diese Personendaten (Name, Vorname, Strasse, Wohnort, PLZ, Alter, Geburtsdatum, Beruf, Haushalt und Nachbarn, frühere Wohnorte und Wohnsituation) wurden von Schober AG zu Werbezwecken erhoben. Unter den Begriff „Werbung“ wird die Verbreitung von Informationen in der Öffentlichkeit oder an ausgesuchte Zielgruppen, zwecks Bekanntmachung, Verkaufsförderung oder Imagepflege von meist gewinnorientierten Unternehmen bzw. deren Produkten und Dienstleistungen oder auch für unentgeltliche, nicht gewinnorientierte Dienste oder Informationen, subsumiert. Dieser Zweck wird von itonex AG ebenfalls verfolgt, wobei dies nur einer der vielen Zwecke ist, zu denen Daten im Zusammenhang mit den über die Plattform www.moneyhouse.ch angebotenen Dienstleistungen bearbeitet werden.12 Alle anderen, mit der Veröffentlichung der Daten verfolgten Zwecke stimmen nicht mit dem ursprünglich verfolgten Zweck der von Schober übernommenen Datenfelder überein. Die Daten, die vom Handelsregister oder den SHAB Publikationen übernommen werden, wurden ursprünglich zu Zwecken der Erfassung und Offenlegung rechtlich relevanter Tatsachen und des Schutzes Dritter im Rahmen zwingender Vorschriften des Zivilrechts bearbeitet. Bei der Bearbeitung dieser Daten zu Zwecken der Werbung, der Bonitätsprüfung und des Inkassos findet ebenfalls eine Zweckänderung statt. Die Datenbearbeitungen von itonex AG verstossen folglich gegen das Prinzip der Zweckbindung gemäss Artikel 4 Abs. 3 DSG. Bearbeitung nach Treu und Glauben und transparente Datenbearbeitung Transparenz und Information der betroffenen Personen in Bezug auf die Beschaffung und Verwendung der Daten bilden die eigentlichen Eckpfeiler einer Datenbearbeitung (Botschaft DSG BBl 2003 2126). Die Bearbeitung von Personendaten muss nach Treu und Glauben erfolgen (Art. 4 Abs. 2 DSG). Daten sollen nicht in einer Art erhoben und bearbeitet werden, mit der die betroffene Person aus den Umständen heraus nicht rechnen musste und mit der sie nicht einverstanden gewesen wäre. Gegen diesen Grundsatz verstösst beispielsweise derjenige, der Daten nicht offen bearbeitet, ohne dabei gegen eine Rechtsnorm zu verstossen (Botschaft DSG BBl 1988 II 449). Demzufolge muss eine Datenbearbeitung für die betroffenen Personen transparent erfolgen. Dies bedeutet gemäss Art. 4 Abs. 4 DSG, dass für betroffene Personen die Datenbeschaffung, der Zweck der Datenbearbeitung, die Identität des Datenbearbeiters und – bei einer Datenbekanntgabe an Dritte – die Kategorien von möglichen Datenempfängern erkennbar sein müssen (Botschaft DSG BBl
12 Siehe oben unter Randziffer 48.
16/32
2003 2125). Auch die Beschaffung von Personendaten bei Dritten muss erkennbar sein (Botschaft DSG BBl 2003 2126). Die Anforderungen, welche an die Erkennbarkeit gestellt werden, sind nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen (Botschaft DSG BBl 2003 2125). Unter dem Gesichtspunkt der Verhältnismässigkeit ist zu prüfen, in welchem Mass die betroffene Person auf die wesentlichen Rahmenbedingungen der Beschaffung aufmerksam gemacht werden muss, welche Mittel dem Inhaber der Datensammlung zur Verfügung stehen, um diese Rahmenbedingungen erkennbar zu machen, und in welchem Umfang von ihm erwartet werden kann, dass er diese Mittel auch einsetzt, namentlich unter Berücksichtigung ihrer Kosten und ihrer Wirksamkeit. Zu berücksichtigen sind ferner die in der Branche oder für die betreffende Art von Transaktionen geltenden Usanzen. Für die einfachen Transaktionen des täglichen Lebens, die so geartet sind, dass die Beschaffung und ihr Zweck sowie die Identität des Inhabers der Datensammlung für die betroffene Person auf Anhieb leicht und deutlich erkennbar sind, bringt Art. 4 Abs. 4 DSG keine neue Verpflichtung mit sich. Ist eine Beschaffung auf Grund der Umstände hingegen weniger deutlich erkennbar, muss die betroffene Person umso eher mit angemessenen Mitteln auf die Erhebung und ihre wesentlichen Rahmenbedingungen aufmerksam gemacht werden. Im Internet ist ein Hinweis auf dem Eingangsportal in einer genügend sichtbaren Rubrik, der auf weitere Angaben zur Beschaffung und Verwendung der Daten verweist, in den meisten Fällen ein einfaches und angemessenes Informationsmittel (Botschaft DSG BBl 2003 2126). Der EDÖB hat in seiner Empfehlung vom 15.11.2012 itonex AG empfohlen13, auf der Website transparent über Bearbeitungszwecke und Datenquellen zu informieren. itonex AG hat diese Empfehlung angenommen und anfänglich umgesetzt. Unter dem Punkt „Partner und Datenquellen“ wurde insbesondere über die Datenbeschaffung informiert. Diese Informationen wurden zwischenzeitlich von der Website entfernt, ohne dass der EDÖB vorgängig darüber informiert worden ist. Zum Zeitpunkt der Abfassung dieser Empfehlung sind auf der Website von itonex AG für den Nutzer und betroffene Personen keine zentral abrufbaren Informationen betreffend Datenquellen mehr zu finden. Auf einzelnen abgerufenen Informationen kann die Datenquelle gefunden werden, dies ist aber dem einfachen Nutzer der Plattform, der sich nicht registriert hat und dessen Daten von itonex AG bearbeitet und Dritten bekannt gegeben werden, nicht möglich. Auf die Zwecke, zu denen die Daten bearbeitet werden, kann der Nutzer anhand der auf www.moneyhouse.ch angebotenen Dienstleistungen schliessen. Da das Dienstleistungsangebot laufend erweitert wurde, werden auch die Zwecke, zu denen die Stammdaten der auf der Plattform enthaltenen Personendaten bearbeitet werden, entsprechend erweitert. Für den einfachen Nutzer ist es nicht oder nur unter unverhältnismässigem Aufwand möglich, die gewünschten Informationen betreffend Zweck der Datenbearbeitung und Datenquellen abzurufen. Die Datenbearbeitungen von itonex AG verstossen demzufolge gegen das Prinzip von Treu und Glauben und das Prinzip der transparenten Datenbearbeitung gemäss Artikel 4 Abs. 2 und 4 DSG. Datenrichtigkeit Jeder Datenbearbeiter hat sich über die Richtigkeit der Personendaten zu vergewissern (Art. 5 Abs. 1 DSG). Vergewissern bedeutet, dass die Richtigkeit von Personendaten abzuklären ist. Zudem hat der Datenbearbeiter alle angemessenen Massnahmen zu treffen, damit die Daten be-
13 Die Empfehlung lautete: „4. itonex AG informiert registrierte und unregistrierte Besucher der Website www.moneyhouse.ch gleichermassen vollständig, aktuell und korrekt über: a. Zwecke der vorgenommenen Datenbearbeitungen; b. alle Angebote, für die die Adresse benutzt wird; c. alle Datenquellen, von denen die Daten direkt bezogen werden; d. Auskunfts- und Berichtigungsrecht.“
17/32
richtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Werden unrichtige Daten bearbeitet, so kann dies zu erheblichen Beeinträchtigungen für die betroffenen Personen führen. Dabei können an sich geringfügige Fehler bereits bedeutsame Auswirkungen haben (Botschaft DSG BBl 1988 II 450). Der Umfang dieser Vergewisserungspflicht hängt von den Umständen des Einzelfalles ab, so von der objektiv gegebenen Gefahr einer (teilweisen) Unrichtigkeit von Daten, der mit der Bearbeitung verbundenen Schwere der möglichen Persönlichkeitsverletzung und dem Kreis der Zugangsberechtigung resp. dem Umfang der Bekanntgabe.14 Das Bearbeitungsprinzip der Richtigkeit der Daten ist befolgt, wenn die bearbeiteten Daten auf korrekte, aktuelle und objektive Art und Weise den mit der betroffenen Person verbundenen Sachverhalt wiederspiegeln.15 Bis 2012 beschränkte sich das Dienstleistungsangebot von itonex AG auf juristische Personen. Anschliessend übernahm itonex AG eine Datensammlung mit Personendaten von natürlichen Personen von Schober AG. Dies wurde vom EDÖB im Verlauf der Sachverhaltsabklärung betreffend Veröffentlichung von gesperrten Adressen im Internet festgestellt. Die Datenquellen für die Datensammlung der im Handelsregister eingetragenen Personen und der natürlichen Personen erweisen sich bezüglich Aktualität und Richtigkeit nicht als gleich zuverlässig, deshalb wird der Grundsatz der Datenrichtigkeit bezogen auf die beiden Datenquellen im Folgenden gesondert beurteilt. Datenrichtigkeit der vom Handelsregister oder dem SHAB entnommenen Informationen Dieser Teil der Datensammlung setzt sich aus Angaben des Handelsregisters und der im SHAB- Abonnement bezogenen Informationen zusammen. Die Handelsregisterführer sind von Gesetzes wegen verpflichtet, die Einträge zu prüfen, ebenfalls sind eingetragene Personen zur Meldung von Änderungen verpflichtet. Die Datenqualität bezüglich Richtigkeit war seit Beginn der in diesem Bereich erbrachten Dienstleistungen aufgrund der zuverlässigen Datenquellen hoch. Probleme mit der Datenrichtigkeit ergeben sich in diesem Bereich vor allem mit der Darstellung des Netzwerks von im Handelsregister eingetragenen Personen. Der Duden definiert ein Netzwerk folgendermassen: „Gruppe von Menschen, die durch gemeinsame Ansichten, Interessen oder Ähnliches verbunden sind.“ Es wird weiter ausgeführt, dass allgemein davon ausgegangen wird, dass Mitglieder eines Netzwerkes einander im Bedarfsfall unterstützen.16 Die Darstellung des Netzwerkes von juristischen oder natürlichen Personen mit HR-Eintrag basiert auf den Meldungen im Handelsregister und den SHAB Publikationen. Die einzelnen Informationen sind an und für sich zwar richtig, spiegeln aber nicht die Netzwerke im Sinne der beschriebenen Definition. Es werden auch schon lange gelöste Beziehungen angezeigt. Im Folgenden wird die Problematik beispielhaft erläutert. Verlässt eine unterschriftsberechtigte Person ein Unternehmen A und geht zu einem anderen Unternehmen B, wird dies als Teil des Netzwerks des Unternehmens A angezeigt. Es kann aber der Fall sein, dass sich die Person bspw. aus ethischen Gründen vom ehemaligen Arbeitgeber abgewendet hat und nichts mehr mit Unternehmen A zu tun haben will. Oder Unternehmen A kündigt der Person wegen einer begangenen Straftat. Unternehmen A ist in diesen Fällen nicht als Teil des Netzwerkes des Unternehmens B zu qualifizieren. Vermeintliche Beziehungen bestehen nicht oder willentlich nicht mehr, mit der Anzeige dieser vermeintlichen Beziehungen als Netzwerk wird ein falsches Bild vermittelt. Die zeitlich unbeschränkte Anzeige von Verbindungen zwischen Unternehmen und natürlichen Personen aufgrund von Handelsregistereinträgen kann nicht als Netzwerk in vorher definiertem
14 Datenschutzrecht, Stämpfliverlag, 2011, hier Astrid Epiney in Note 48 zu §9 Allgemeine Grundsätze. 15 Protection des données, Stämpfliverlag, 2011, Philippe Meier in Note 745 zu § 4, Les grands principes. 16 http://www.duden.de/rechtschreibung/Netzwerk#Bedeutung4, zuletzt abgerufen am 14.08.2014.
18/32
Sinne bezeichnet werden, da dies ein falsches Bild vermittelt und widerspricht deshalb dem Prinzip der Datenrichtigkeit. Berichtigung von Daten, die aus dem Handelsregister oder dem SHAB stammen Der Datenbearbeiter hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Wird zu einem Unternehmen eine Abfrage gemacht, so ist auf der erteilten Auskunft unten ein Disclaimer angefügt. itonex AG bietet an dieser Stelle eine Meldemöglichkeit betreffend unrichtige Daten via E-Mail an. Diese Meldungen werden anhand eines vordefinierten Prozesses geprüft. Stimmen die vorgebrachten Berichtigungsbegehren nicht mit dem Handelsregistereintrag überein, macht itonex AG die meldende Person darauf aufmerksam, dass zuerst der Handelsregistereintrag geändert werden muss. Grundsätzlich kann die Berichtigung auch schriftlich per Post abgewickelt werden. Betroffene Personen können falsche, d.h. aktuell nicht gültige Daten, die aus dem Handelsregister oder den SHAB Publikationen stammen gemäss den datenschutzrechtlichen Vorgaben berichtigen lassen. Datenrichtigkeit der von Schober AG übernommenen Daten Betreffend allgemeiner Ausführungen zur Datenrichtigkeit wird auf Randziffern 86-87 verwiesen. Datenquelle für die Datensammlung ist das Unternehmen Schober AG. Im ursprünglichen Vertrag wurde die Haftung für die Richtigkeit der Daten ausdrücklich wegbedungen. Anhand eigener vorgenommener Untersuchungen und eingegangener Meldungen von betroffenen Personen werden bezüglich dieser Daten häufig Unstimmigkeiten festgestellt. Oft existieren mehrere Adressen einer Person (die Wohnorte sind nicht mit einer Person verknüpft, sondern werden einzeln aufgeführt) oder es sind nicht alle Personen eines Haushaltes aufgeführt (bspw. wurden neu gegründete Haushalte nicht korrekt zusammengeführt) oder es sind falsche Altersangaben enthalten, etc. Weiter stellte der EDÖB fest, dass Haushaltsmitglieder manchmal falsch verknüpft werden. Es werden zwar je verschiedene Adressen festgestellt, der Haushalt wird aber an einer Adresse gebildet. Auf Auszügen können auch zwei verschiedene Geburtsdaten zu einer Person erscheinen, da anscheinend kein Abgleich zwischen den Daten der Quelle CRIF und den itonex AG eigenen Daten gemacht wird. Die Verknüpfung von falschen mit richtigen Daten ist aus datenschutzrechtlicher Sicht unzulässig. Der EDÖB hat bei der Erbringung seiner Beratungsdienstleistungen zudem festgestellt, dass einige verstorbene Personen in der Datensammlung geführt werden. Laut Auskunft von itonex AG wird die Datenbank diesbezüglich laufend aktualisiert.17 Zwar endet der Persönlichkeitsschutz in der Regel mit dem Tod der betreffenden Person. Unter dem Aspekt der Bonitätsprüfung macht die Führung von verstorbenen Personen in einer Datensammlung keinen Sinn. Verwandte, die Einträge von verstorbenen Familienangehörigen löschen lassen wollten, sahen sich zudem mit ihrer Meinung nach überhöhten Anforderungen an den Nachweis des Todes konfrontiert. Die Bonität von Kindern wird von CRIF durchgängig als kritisch (orangene Ampel) bewertet. Wie wir auch oben stehend unter Randziffern 39 ff. geschildert haben, ist dies wohl darauf zurückzuführen, dass Kinder nicht als handlungsfähig eingestuft werden, und sie demgemäss ohne Zustimmung der Eltern keine Verträge rechtsgültig abschliessen können. Im Bereich der Bonitätsauskünfte kann es sinnvoll sein, Personendaten von Kindern in einer Datensammlung zu führen. Anbieter von elektronisch zugänglichen Kaufangeboten können bspw. vor Vertragsschluss überprüfen, ob die betreffende Person dazu aus rechtlicher Sicht befugt ist. Ebenso können Anbieter
17 Dies geschieht mittels Verarbeitung von Todesanzeigen, Nachlasspublikationen im SHAB oder in Amtsblättern und Meldungen von Nutzern.
19/32
überprüfen, ob verschuldete Eltern versuchen, Verträge auf den Namen ihrer Kinder abzuschliessen. Der EDÖB vertritt bisher den Standpunkt, dass unter der Berücksichtigung des Bearbeitungsprinzips der Richtigkeit die fehlende Handlungsfähigkeit nicht mit einer schlechteren Einschätzung der Bonität gleich gesetzt werden darf. So liegt auf der Hand, dass Kinder mit grossem Vermögen zwar ein gutes Bonitätsresultat erhalten müssten, deswegen ohne Einwilligung der gesetzlichen Vertreter trotzdem keine Verträge abschliessen können. itonex AG verstösst demzufolge bei der Bearbeitung von Personendaten von natürlichen Personen ohne Handelsregistereintrag, die ursprünglich von Schober AG übernommen wurden, gegen das Prinzip der Richtigkeit gemäss Artikel 5 DSG. Datenberichtigung von nicht im Handelsregister eingetragenen Personendaten Der Datenbearbeiter hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Bei der Einholung einer allgemeinen Personenauskunft erscheint im Gegensatz zum unter Randziffer 94 geschilderten Sachverhalt kein Disclaimer mit Angabe einer Berichtigungsmöglichkeit. Ebenfalls sind unter dem Menupunkt Datenschutz keine entsprechenden Hinweise enthalten, wie falsche Daten von Personen, die nicht im Handelsregister eingetragen sind, berichtigt werden können. itonex AG hat aber intern einen Prozess festgelegt, wie Personendaten geändert werden können. Angesichts der vielen falsch publizierten Personendaten, die bearbeitet werden, und der 300‘000 registrierten Benutzer, die die Plattform www.moneyhouse.ch pro Monat besuchen, ist eine zentral zur Verfügung gestellte Berichtigungsmöglichkeit notwendig. Die bestehenden Berichtigungsmöglichkeiten für nicht im Handelsregister eingetragene Personen sind nicht genügend transparent kommuniziert und sind deshalb für dieselben nicht einfach zugänglich. Gesamtergebnis Datenrichtigkeit Die zeitlich unbeschränkte Anzeige von Verbindungen zwischen Unternehmen und natürlichen Personen aufgrund von Handelsregistereinträgen kann nicht als Netzwerk bezeichnet werden, da dies ein falsches Bild vermittelt und deshalb dem Prinzip der Datenrichtigkeit widerspricht. Betroffene Personen können falsche, d.h. aktuell nicht gültige Daten, die aus dem Handelsregister oder den SHAB Publikationen stammen, gemäss den datenschutzrechtlichen Vorgaben berichtigen lassen. itonex AG verstösst bei der Bearbeitung von Personendaten von nicht im Handelsregister eingetragenen natürlichen Personen gegen das Prinzip der Richtigkeit gemäss Artikel 5 DSG. Die bestehenden Berichtigungsmöglichkeiten für nicht im Handelsregister eingetragene Personen sind nicht genügend transparent kommuniziert und sind deshalb für dieselben nicht einfach zugänglich. Datensicherheit Gemäss Art. 7 Abs. 1 DSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten gesichert werden. Konkretisiert werden diese Anforderungen in Art. 8 ff. der Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 (VDSG; SR 235.11). Zu gewährleisten sind insbesondere die Vertraulichkeit, die Verfügbarkeit sowie die Integrität der Personendaten. Diese Anforderungen sind dann nicht mehr gewährleistet, wenn ein unberechtigter Dritter auf die Daten zugreifen oder diese manipulieren
20/32
könnte. Die Datensicherheit liegt in der Verantwortung derjenigen Stelle, welche die Datenherrschaft über die Personendaten innehat. itonex AG hat dem EDÖB mit Schreiben vom 27. Juni 2013 ein IT-Sicherheitskonzept zugestellt. Dieses trägt die Versionsnummer 1.8 und ist mit „05.07.2013“ datiert. Es stellt eine Erweiterung der Version 1.2 dar, die dem EDÖB im Jahr 2012 unterbreitet wurde. Die im Folgenden erwähnten Punkte basieren hauptsächlich auf den von itonex AG abgegebenen Dokumenten und Aussagen. Die bearbeiteten Daten befinden sich physisch auf Servern am Standort Zürich. Aus Verfügbarkeitsgründen findet eine „Co Location“ (Spiegelung) bei einem externen Dienstleister in Zürich statt. Für die drei Datenbanken MH, MHLOG und SHAB ist je ein Backup-Konzept vorgesehen. Das IT-Sicherheitskonzept enthält einen Gefahrenkatalog mit knapp 100 technischen und organisatorischen Massnahmen. Für die beiden Standorte werden die potenziellen Gefahren aufgelistet, die Eintrittswahrscheinlichkeit (hoch/mittel/niedrig) und die Schadenshöhe (hoch/mittel/niedrig) geschätzt und die getroffenen Massnahmen erwähnt. itonex AG gibt an, den Gefahrenkatalog in regelmässigen Abständen zu aktualisieren und den veränderten Gegebenheiten anzupassen. Sowohl die Büroräumlichkeiten in Rotkreuz als auch diejenigen des externen Dienstleisters in Zürich sind mittels Fingerprint-Scanner gegen unbefugten physischen Zutritt geschützt. Die Server sind zusätzlich mit einem Schliesssystem gesichert. Der Remote Zugriff auf die Server ist rollenbasiert je nach Berechtigung der Mitarbeitenden geregelt. Zugriff auf die Datenbanken selber hat der Systemadministrator, die Entwickler können auf die für Ihre Aufgabenerfüllung notwendigen Angaben in den Datenbanken zugreifen. Beim Abschluss von Abonnementen werden die vom zukünftigen Benutzer gemachten Angaben überprüft. Zahlenmässig missbräuchliche Zugriffe werden unterbunden. Fallen ungewöhnliche Zugriffe auf, wird der Nutzer gebeten, ein Captcha einzugeben. Damit sollen maschinengeführte Zugriffe unterbunden werden. Zudem werden die von den Nutzern getätigten Abfragen geloggt. Die Überprüfung der Datensicherheit ist vorliegend kein Hauptziel der vom EDÖB durchgeführten Sachverhaltsabklärung. itonex AG hat zudem ein grosses Eigeninteresse, die Daten unbefugten Nutzern nicht zugänglich zu machen. Der EDÖB geht gestützt auf die erhaltene Dokumentation und Informationen davon aus, dass die Anforderungen an die Datensicherheit gemäss Artikel 7 DSG von itonex AG eingehalten werden. Gesamtergebnis Bearbeitungsgrundsätze Der EDÖB stellt fest, dass itonex AG Personendaten entgegen den Grundsätzen der Artikel 4 und 5 DSG bearbeitet. Im Folgenden prüft der EDÖB, ob die Persönlichkeit der betroffenen Personen verletzt wird. Persönlichkeitsverletzung gemäss Artikel 12 DSG Wer im privaten Bereich Personendaten bearbeitet, darf nach Art. 12 Abs. 1 DSG die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Gemäss Art. 12 Abs. 2 DSG darf er insbesondere nicht: a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten; b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten; c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekannt geben.
21/32
In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Art. 12 Abs. 3 DSG). Im Folgenden werden die Vorgaben gemäss Art. 12 Abs. 2 lit. a,b,c DSG geprüft. Persönlichkeitsverletzung wegen der Bearbeitung entgegen den Grundsätzen von Artikel 4,5 Abs. 1 und 7 Abs. 1 DSG itonex AG darf Personendaten nicht entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 DSG bearbeiten. In Randziffern 46 ff. hat der EDÖB ausgeführt, dass itonex AG: 1. gegen das Prinzip der Verhältnismässigkeit, der Zweckeinhaltung, von Treu und Glauben und der Transparenz nach Artikel 4 DSG und 2. gegen das Prinzip der Richtigkeit nach Artikel 5 Abs.1 DSG verstösst. itonex AG bearbeitet Personendaten entgegen den Grundsätzen von Artikel 4 und 5 Abs. 1 DSG und verletzt dadurch die Persönlichkeit der betroffenen Personen. Es muss daher weiter geprüft werden, ob dafür Rechtfertigungsgründe bestehen. Persönlichkeitsverletzung wegen der Bearbeitung gegen den ausdrücklichen Willen der betroffenen Person itonex AG darf gemäss Artikel 12. Abs. 2 lit. b DSG Daten einer Person ohne Rechtfertigungsgrund nicht gegen deren ausdrücklichen Willen bearbeiten. Eine betroffene Person kann gestützt auf Artikel 12 Abs. 2 lit. b DSG die gegenwärtige Bearbeitung ihrer Daten und jede weitere zukünftige Bearbeitung verbieten. Der betroffenen Person soll mit dieser Bestimmung ermöglicht werden, die Bearbeitung der sie betreffenden Personendaten zu kontrollieren, auch wenn diese vielleicht noch keine Persönlichkeitsverletzung darstellt. Die Widerspruchserklärung kann formlos und konkludent erfolgen. Sie ist eine Gestaltungserklärung und kann jederzeit und voraussetzungslos abgegeben werden. Untersagt eine betroffene Person gestützt auf Artikel 12 Abs. 2 lit. b DSG die weitere Bearbeitung ihrer Daten, so stellt jede weitere Bearbeitung eine Persönlichkeitsverletzung dar, sofern kein Rechtfertigungsgrund nach Artikel 13 DSG vorliegt. Inwieweit für die Bearbeitung von Handelsregisterdaten gegen den Willen betroffener Personen durch itonex AG Rechtfertigungsgründe geltend gemacht werden können, wird unter Randziffern 130 ff. unten stehend ausgeführt. An dieser Stelle muss zusätzlich das in der Ergänzung des Sachverhaltes in Randziffern 8 ff. beschriebene Problem des Wiederzugänglichmachens von gelöschten Einträgen diskutiert werden. Seit dem Jahr 2012 haben mehrere hundert Personen die Löschung ihrer Daten bei itonex AG beantragt. Der EDÖB hatte in seiner Empfehlung vom 15. November 2012 verlangt, dass itonex AG auf Gesuch der betroffenen Person innerhalb eines Arbeitstages alle Daten, die in der Datensammlung über sie vorhanden sind, löscht. itonex AG hatte diese Empfehlung angenommen und der EDÖB beriet das Unternehmen in der Umsetzung. Dabei erwähnte itonex AG, dass zu einem späteren Zeitpunkt erwogen werde, einen Rechtfertigungsgrund, bspw. das überwiegende Interesse der bearbeitenden Person gemäss Artikel 13 Abs. 2 lit. c DSG, geltend zu machen. Der EDÖB qualifiziert das Stellen eines Gesuches auf Löschung als Widerspruch der betroffenen Person im Sinne von Artikel 12 lit. b DSG. Sollte itonex AG dem Gesuch nicht entsprechen, so muss das Unternehmen der betroffenen Person mitteilen, gestützt auf welchen Rechtfertigungsgrund die Daten gegen den Willen der betroffenen Person bearbeitet werden. Das Unternehmen kann nicht den Löschungsgesuchen ohne Geltendmachung eines Rechtfertigungsgrundes ent-
22/32
sprechen, die Löschung bestätigen und zu einem späteren Zeitpunkt dieselben Daten wieder zugänglich machen. Zudem sind die gelöschten Adressdaten auch für Personen zugänglich, die kein Bonitätsabonnement abgeschlossen haben. itonex AG bearbeitet gemäss diesen Erläuterungen Personendaten gegen den ausdrücklichen Willen von betroffenen Personen und verletzt deren Persönlichkeit. Auch in diesem Fall muss geprüft werden, ob Rechtfertigungsgründe geltend gemacht werden können. Persönlichkeitsverletzung wegen der Bekanntgabe von Persönlichkeitsprofilen an Dritte Der Datenbearbeiter verletzt die Persönlichkeit von betroffenen Personen widerrechtlich, wenn er gemäss Artikel 12 Abs. 2 lit. c DSG ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekannt gibt. Wie unter Randziffern 26 ff. beschrieben worden ist, bearbeitet itonex AG Persönlichkeitsprofile und gibt diese Dritten bekannt. itonex AG verletzt die Persönlichkeit von betroffenen Personen durch die Bekanntgabe von Persönlichkeitsprofilen. Im Folgenden muss geprüft werden, ob Rechtfertigungsgründe für die Persönlichkeitsverletzung vorliegen. Rechtfertigungsgründe gemäss Artikel 13 DSG Rechtfertigungsgründe sind gemäss Artikel 13 DSG die Einwilligung des Verletzten, ein überwiegendes privates oder öffentliches Interesse oder gesetzliche Vorschriften. Das Bundesgericht hat in seinem Entscheid BGE 136 II 508 in E.5.2.4 zu den Rechtfertigungsgründen betreffend Art. 12 Abs. 2 lit. a DSG Folgendes festgehalten: Eine strikt systematische Auslegung, wonach lediglich bei lit. b und c, nicht aber bei lit. a von Art. 12 Abs. 2 DSG das Geltendmachen eines Rechtfertigungsgrunds zulässig sein soll, erweist sich als verfehlt. Art. 12 Abs. 2 lit. a DSG ist daher so auszulegen, dass eine Rechtfertigung der Bearbeitung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG zwar nicht generell ausgeschlossen ist, dass Rechtfertigungsgründe im konkreten Fall aber nur mit grosser Zurückhaltung bejaht werden können. Mit Blick auf diesen Schlussbericht bedeutet dies, dass – falls itonex AG Daten entgegen den Grundsätzen von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG bearbeitet – Rechtfertigungsgründe geprüft werden, deren Vorliegen aber nur mit Zurückhaltung anzunehmen ist. Wie wir oben unter Randziffern 120 ff. und 127 ff. erläutert haben, muss vorliegend ebenfalls analysiert werden, ob Rechtfertigungsgründe für die Bearbeitung von Personendaten gegen den ausdrücklichen Willen der betroffenen Person (Art. 12 Abs. lit. b DSG) und die Bekanntgabe von Persönlichkeitsprofilen an Dritte vorliegen. Der EDÖB prüft im Folgenden das Vorliegen von Rechtfertigungsgründen für die Bearbeitung und Publikation von Handelsregisterdaten, von Bonitätsauskünften und allen anderen Datenbearbeitungen. Rechtfertigungsgründe für die Bearbeitung und Publikation von Handelsregisterdaten Die Publikation von im Handelsregister eingetragenen Daten durch itonex AG wird laut Entscheid A-4086/2007 des Bundesverwaltungsgerichts durch ein öffentliches Interesse an einer möglichst leichten Zugänglichkeit zum Handelsregisterinhalt gerechtfertigt. Das Bundesverwaltungsgericht hat die Voraussetzungen dazu festgelegt, dass die Inhalte des Handelsregisters durch private Anbieter kostenlos und inhaltlich unverändert bekanntgegeben werden müssen.
23/32
Grundsätzlich hat der EDÖB vier datenschutzrechtlich problematische Aspekte bei der Bearbeitung und Publikation von Handelsregister- und SHAB-Daten durch itonex AG festgestellt: itonex AG stellt Daten, die aus dem HR oder SHAB stammen, in einem falschen Bild dar (Bezeichnung von gelöschten Daten als Beziehungen eines Netzwerks), macht Einträge über die Resultate von Suchmaschinen zugänglich, bezieht bei der Einstellung der Firmensuche gelöschte und aktive Einträge mit ein und verknüpft die Einträge mit anderen Daten. itonex AG publiziert, wie unter Randziffern 90 ff. (Richtigkeit) geschildert, gelöschte Handelsregisterdaten unter der Bezeichnung Netzwerk. Damit werden ursprünglich aus dem Handelsregister stammende Daten bildlich in einen anderen Bezug gestellt und dadurch inhaltlich verändert. Die Verbreitung inhaltlich veränderter Daten ist nicht mehr durch das öffentliche Interesse an der Publizität des Handelsregisters gedeckt.18 Zudem macht itonex AG Handelsregisterdaten über das Resultat von Suchmaschinen zugänglich und verletzt damit den Bearbeitungsgrundsatz der Verhältnismässigkeit (siehe Randziffern 70 ff.). Das Bundesverwaltungsgericht hat in Erwägung 5.2.8 des erwähnten Entscheids die Frage der Rechtmässigkeit der Auffindbarkeit über Suchmaschinen aufgeworfen, entsprechende Erwägungen dazu aber aus prozesstechnischen Gründen unterlassen. Die Suchmodalitäten der über das zentrale Register (www.zefix.ch) der Eidgenossenschaft publizierten Inhalte der kantonalen Handelsregisterinhalte im Internet sind eingeschränkter ausgestaltet. In der Abfragemaske von Suchmaschinen muss zusätzlich zur gesuchten Firma der Begriff „zefix“ eingegeben werden und die darauf bekanntgegebenen Suchresultate in Form einer Liste führen nicht direkt zu Einträgen zur gesuchten Person. Mit dieser Gestaltung der Suchmodalitäten wird dem Verhältnismässigkeitsprinzip bei der Publikation der Handelsregisterdaten Rechnung getragen. Ein weiterer Unterschied, der zwischen dem Handelsregisterdatenangebot von itonex AG und zefix besteht, betrifft die Voreinstellung der Suchoptionen auf der Plattform selber. Bei zefix.ch wird die standardmässige Voreinstellung der Suchoption auf die aktuell gültigen Einträge beschränkt. Will der Nutzer zudem weitere Informationen betreffend gelöschte Handelsregistereinträge abrufen, muss er diese Option manuell wählen. itonex AG gibt gemäss Voreinstellung der Personen- und der Firmensuche gelöschte und aktuelle Handelsregistereinträge bekannt. Wie das Bundesverwaltungsgericht im erwähnten Entscheid A-4086/2007 ausgeführt hat, nimmt das Interesse des Publikums an Kenntnis von gewissen Handelsregisterpublikationen mit zunehmendem Zeitablauf ab,19 daher besteht kein Anlass für die standardmässige Voreinstellung der Anzeige auch von gelöschten Inhalten. Letztlich werden die aus dem Handelsregister stammenden Daten mit denjenigen Daten aus der Datensammlung von Schober AG verknüpft. Das Bundesverwaltungsgericht hat in seinem Entscheid A-4086/2007 in Erwägung 5.2.8 Folgendes dazu ausgeführt:“ Je nach Ausgestaltung des Angebots können mittels eigentlicher Personensuchfelder Recherchen über natürliche Personen durchgeführt werden. Auf diese Weise erlaubt eine Personensuche die Verknüpfung von Datensätzen, womit eine natürliche Person in einem bestimmten Zusammenhang gezeigt wird, der über den Informationsgehalt der Ursprungsdaten im Handelsregister – Eintragungen über Rechtseinheiten (E. 5.2.2) – hinausgeht. Daher ist es denkbar, dass solche Suchmöglichkeiten nicht vom handelsregisterlichen Zweck der Publizität und der informationellen Erleichterung des Geschäftsverkehrs gedeckt sind und sie daher dem Gebot der Zweckbindung der Datenbearbeitung widersprechen können.“ Der EDÖB teilt diese Ansicht. Wie unter Randziffern 65 ff. und 89 ff. geschildert, macht itonex AG Handelsregisterdaten über das Resultat von Suchmaschinen zugänglich, bezeichnet gelöschte Daten als Netzwerk, die Einstellung der Firmensuche ist eingangs auf gelöschte und aktuell gültige Einträge eingestellt und verknüpft HR-Daten mit anderen Inhalten. Der EDÖB stellt fest, dass diese Persönlichkeitsverletzungen nicht durch das öffentliche Interesse an einer leichten Zugänglichkeit zum Handelsregis-
18 Erwägung 5.2.8 des Bundesverwaltungsgerichtsentscheids A-4086/2007. 19 Erwägung 5.2.5 des Bundesverwaltungsgerichtsentscheids A-4086/2007.
24/32
terinhalt gerechtfertigt werden. Die Such- und Darstellungsmodalitäten müssen dementsprechend angepasst werden. Rechtfertigungsgründe für die Bearbeitung von Bonitätsdaten Artikel 13 Abs. 2 lit. c DSG lässt in einem bestimmten Umfang die Kreditprüfung und die Bekanntgabe des Prüfungsresultates an Dritte zu. Die Bearbeitung kann gerechtfertigt sein, wenn die bearbeitende Person zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss eines Vertrages benötigen. Aus dem Zweck des Rechtfertigungsgrundes ergibt sich, dass nur solche Daten bearbeitet werden dürfen, die zur Identifikation der betroffenen Person und zur Prüfung derer Kreditwürdigkeit geeignet und erforderlich sind, namentlich Vorname, Name, Geburtsdatum, Adresse, Betreibungen, Konkurse, Nachlassverfahren, sowie entsprechende Gesuche, Verlustscheine, einvernehmliche Schuldensanierungen, abgelehnte Kreditanträge, nicht zurückbezahlte Kredite, Kreditkartensperrungen infolge Verzug oder Missbrauch, Zahlungsrückstände und Inkassoverfahren20. Premium-User können über die Plattform www.moneyhouse.ch auch Bonitätsabonnemente abschliessen. In diesem Bereich arbeitet itonex AG mit CRIF, einer international tätigen Wirtschaftsauskunftei, zusammen. Das inhaltliche Zustandekommen der Bonitätsauskünfte wird in vorliegender Sachverhaltsfeststellung nicht beurteilt, da CRIF diese vornimmt. itonex AG bearbeitet, wie ausgeführt worden ist, Persönlichkeitsprofile. Art. 13 Abs. 2 lit. c DSG schliesst eine Rechtfertigung für Persönlichkeitsverletzungen im Rahmen von Bonitätsauskünften ausdrücklich aus, falls zudem Persönlichkeitsprofile bearbeitet werden. Obwohl das inhaltliche Bearbeiten der Personendaten im Rahmen der Berechnung des Bonitätsscores durch CRIF durchgeführt wird, bearbeitet auch itonex AG Bonitätsdaten: Das Unternehmen vermittelt seinen Nutzern Bonitätsabonnemente, stellt die Abfragemaske bereit und leitet die Anfrage auf die Datenbank von CRIF. Das Resultat der Abfrage wird durch itonex AG ebenfalls wieder an den Nutzer der Plattform übermittelt. Damit itonex AG weiterhin Bonitätsdatenauskünfte bearbeiten kann, muss der Umfang der bearbeiteten Daten so eingeschränkt werden, dass keine Persönlichkeitsprofile mehr bestehen. In der Folge werden die einzelnen Schritte, die zur Abfrage einer Bonität führen, in der Reihenfolge wie sie getätigt werden, besprochen. Premium-User können über die Plattform www.moneyhouse.ch auch Bonitätsabonnemente abschliessen. Der Abonnent dieser Dienstleistung kann über das Resultat der Personensuche direkt auf der Datenbank von CRIF die Bonität der gesuchten Person abfragen. Die dabei zur Verfügung gestellte Abfragemaske zur Personensuche in der Bonitätsdatenbank vereinfacht die Suche in unverhältnismässigem Ausmass. So genügen die Angabe eines Vornamens und Namens und die Angabe eines Phantasieortes, um alle in der Datenbank vorhandenen Personen dieses Namens und Vornamens anzuzeigen. Das Zulassen der Angabe von Phantasieorten in der Abfragemaske ist zur Suche einer real existierenden Person nicht geeignet. Auf einem abgerufenen Bonitätsauszug sind Vorname, Name, aktuelle Adresse, Geburtsdatum, Personenstatus (Informationen über Bevormundung oder Minderjährigkeit) oder Zahlungsstörung und ein Bonitätsampel der Personenabfrage enthalten. Gleichzeitig wird empfohlen, bei grösseren Beträgen eine Betreibungsauskunft einzuholen. Ebenfalls ist ein Nutzungshinweis enthalten, der auf die Vertraulichkeit der erhaltenen Informationen und auf das Zweckeinhaltungsgebot hinweist und Weitergabe- und Haftungsbeschränkungen enthält. Der Abonnent muss im Rahmen der Bonitätsabfrage bestätigen, dass er über den dafür notwendigen Interessensnachweis verfügt. Dazu klickt er auf eine der im Aufklappmenu (Dropdownmenu) von itonex AG angezeigten Möglichkeiten: Kaufvertrag (Bestellung, Rechnung, Mahnung),
20 BSK DSG-Corrado Rampini, Art. 13 N 36.
25/32
Mietvertrag (verbindliche Anmeldung, Vertrag, Mahnung), Eigenauskunft (Einsicht in die eigenen Firmen- oder Personendaten), Darlehens-/Kreditvertrag (Antrag, Rechnung, Mahnung) und Arbeitsvertrag (bestehendes Arbeitsverhältnis). Der Interessensnachweis der Selbstauskunft stuft der EDÖB als systemfremd ein. Die Bonität wird in Artikel 13 Abs. 2 lit c. DSG als „Daten zur Prüfung der Kreditwürdigkeit Dritter“ definiert, die Selbstauskunft ist ein anderes Rechtsinstitut des Datenschutzes. Zudem schreibt Artikel 8 DSG vor, dass die Auskunft über eigene Daten in der Regel kostenlos zu erfolgen hat. In Artikel 2 der Verordnung über den Datenschutz (VDSG, SR 235.11) werden die Ausnahmen zu dieser Regel festgelegt. Ein solcher Ausnahmegrund ist vorliegend nicht ersichtlich. itonex AG ist verpflichtet sicherzustellen, dass die Auskunft allen Nutzern der Plattform, unabhängig vom Abschluss eines Bonitätsabonnementes (d.h. kostenlos) erteilt wird. Die angegebenen Interessensnachweise werden von itonex AG geloggt und bei ungewöhnlichen Abfragemustern wird das Benutzerkonto gesperrt. CRIF gibt das Kontrollkonzept vor, gemäss diesen Vorgaben werden 5-10 Abfragen pro Monat geprüft bei einem Abfragevolumen von mehreren tausend Abfragen. Nach Artikel 7 DSG muss itonex AG angemessene technische und organisatorische Massnahmen treffen, um Personendaten vor unbefugtem Bearbeiten zu schützen. itonex AG hat organisatorische Massnahmen gegen unbefugtes Abrufen der Bonitätsdaten wie die Prüfung des Nutzers bei Abschluss des Bonitätsabonnementes, die Annahme von Nutzungsbedingungen, die geforderte Angabe eines Interessensnachweises und dessen Bestätigung und das Loggen der Abfragen implementiert. itonex AG verlässt sich, davon abgesehen, systematisch auf die Selbstdeklaration der Nutzer, dass ein Interessensnachweis im Moment der Bonitätsabfrage vorliegt. Die nachträgliche Überprüfung der Rechtmässigkeit von 5-10 Abfragen, bei einem Gesamtvolumen von Tausenden von Abfragen pro Monat, erachtet der EDÖB als unverhältnismässig wenig. Dies auch im Hinblick darauf, dass betroffene Personen, deren Daten ohne Vorliegen eines Interessensnachweises bekannt gegeben werden, weder darüber informiert werden noch die Möglichkeit haben, im Rahmen eines Auskunftsgesuches in Erfahrung zu bringen, wer ihre Daten abgerufen hat. itonex AG hat bisher zum Zeitpunkt der Entgegennahme von Löschungsgesuchen keinen Rechtfertigungsgrund gegenüber betroffenen Personen geltend gemacht. Wie in der Ergänzung zur Sachverhaltsfeststellung oben unter Randziffern 8 ff. geschildert worden ist, machte itonex AG Daten von Personen, die einen Löschungsantrag gestellt hatten, im Rahmen des Bonitätsabonnementes zu einem späteren Zeitpunkt wieder zugänglich. Diesen Personen wurde die Löschung, nach der Entgegennahme der Gesuche und der Durchführung derselben, auch bestätigt. Die Personen, die unter diesen Bedingungen ein Löschungsgesuch stellten, durften sich darauf verlassen, dass ihre Daten nach erfolgter Löschung über die Plattform www.moneyhouse.ch nicht mehr auffindbar sind. Zudem werden nur für den Bonitätsbereich zugelassene Adressen auch Premium-Usern ohne Bonitätsabonnement zugänglich gemacht. Diese Datenbekanntgabe ist nicht zulässig. itonex AG erklärte sich in der Folge dazu bereit, die von ihr erstellte Sperrliste mit den Namen der Personen, die eine Löschung ihrer Daten durchführen liessen, als Filter zu verwenden. Dieser wird nach dem Eingabefeld der Personensuche dazwischen geschaltet, somit sollten gelöschte Personeneinträge nicht mehr aufgefunden werden. Dieses Vorgehen bedingt, dass die Sperrliste laufend aktualisiert wird. Der EDÖB hat auch nach Einführen dieser Massnahme gelöschte Adressen in der Datenbank aufgefunden, dies lässt auf eine nicht vollständig nachgeführte Sperrliste schliessen. Die Voraussetzungen, damit die Persönlichkeitsverletzung nach Artikel 13 Abs. 2 lit.c DSG gerechtfertigt wären, sind vorliegend nicht erfüllt, da von denselben Personen auch Persönlichkeitsprofile bearbeitet werden. itonex AG schränkt deshalb die bearbeiteten Daten ein, damit keine Persönlichkeitsprofile mehr bearbeitet werden oder verzichtet auf das Angebot der Dienstleistung der Bonitätsauskünfte über natürliche Personen.
26/32
Falls itonex AG die Datenbearbeitung so einschränkt, dass keine Persönlichkeitsprofile mehr bearbeitet werden und die Bonitätsabfrage trotzdem anbietet, so muss die nachträgliche Kontrolle eines vorbestehenden Interessensnachweises durch itonex AG verbessert werden. Die Anzahl der nachträglichen Kontrollen hat in einem Verhältnis von mind. 5% zu den getätigten Abfragen und in regelmässigen Zeitabständen zu erfolgen. Der Interessensgrund der Selbstauskunft ist als systemfremd zu streichen. Personen, die ein Auskunftsgesuch nach Artikel 8 DSG stellen, muss die Auskunft rechtskonform erteilt werden, was gemäss diesem Aspekt bedeutet, dass sie kostenlos zu erfolgen hat21. Die von itonex AG erstellte Sperrliste wird als Filter für die Bonitätsabfragen verwendet. Das Zulassen eines Phantasieortes zur Suche einer Person in der Bonitätsdatenbank ist nicht rechtskonform. Zusammenfassend stellt der EDÖB fest, dass die auf der Plattform www.moneyhouse.ch durchgeführten Datenbearbeitungen nur teilweise durch das öffentliche Interesse an der Weiterverbreitung von im Handelsregister eingetragenen Daten und den Rechtfertigungsgrund der Bonitätsprüfung gerechtfertigt sind. Nachfolgend soll deshalb geprüft werden, ob die darüber hinausgehenden Datenbearbeitungen anderweitig gerechtfertigt sein könnten. Weitere Rechtfertigungsgründe für Datenbearbeitungen und Datenbekanntgaben Der EDÖB ist in Randziffer 117 zum Schluss gekommen, dass die Bearbeitungsprinzipien gemäss Artikel 4 und 5 DSG durch itonex AG nicht befolgt und die Persönlichkeit von betroffenen Personen dadurch verletzt wird. Nachfolgend wird geprüft, inwieweit Rechtfertigungsgründe dafür vorliegen. Rechtfertigungsgründe sind gemäss Artikel 13 DSG die Einwilligung des Verletzten, ein überwiegendes privates oder öffentliches Interesse oder gesetzliche Vorschriften. Unter den Randziffern 120 ff. und 127 ff. wurde zudem erläutert, dass vorliegend ebenfalls analysiert werden muss, ob Rechtfertigungsgründe für die Bearbeitung von Personendaten gegen den ausdrücklichen Willen der betroffenen Person (Art. 12 Abs. lit. b DSG) und die Bekanntgabe von Persönlichkeitsprofilen an Dritte vorliegen. Für die Bearbeitungen und Datenbekanntgaben kommen in diesen Fällen ein überwiegendes privates Interesse von itonex AG oder die Einwilligung der betroffenen Person als Rechtfertigungsgrund in Frage. Die anderen Rechtfertigungsgründe gemäss Artikel 13 Abs. 1 DSG, wie ein gesetzlich vorgeschriebene Datenbearbeitung oder ein überwiegendes öffentliches Interesse, können für den vorliegenden Sachverhalt nicht geltend gemacht werden. Das überwiegende private Interesse von itonex AG als Rechtfertigungsgrund für Datenbearbeitungen und die Bekanntgabe von Persönlichkeitsprofilen Der Rechtfertigungsgrund des überwiegenden privaten Interesses verlangt eine wertende Abwägung der Interessen im Einzelfall. Eine persönlichkeitsverletzende Datenbearbeitung ist nur dann gerechtfertigt, sofern und soweit die berechtigten Interessen an der Datenbearbeitung überwiegen. Im Folgenden wird geprüft, ob die unter Randziffern 118 ff. dargelegten Persönlichkeitsverletzungen durch ein überwiegendes privates Interesse gerechtfertigt sein könnten. itonex AG hat sich auch selber im Antwortschreiben22 auf den Fragenkatalog auf das übergeordnete wirtschaftliche Interesse berufen, ohne weitere Ausführungen dazu zu machen. Das Geschäftskonzept der Plattform www.moneyhouse.ch beruht darauf, möglichst viele Nutzer anzuziehen und sie dazu zu motivieren, die Dienstleistungen der Partner von itonex AG zu beziehen. Zentraler Ausgangspunkt für dieses Geschäftsmodell ist die Firmen- und Personensuche und die Auffindbarkeit der Resul-
21 Weitere Ausführungen zum Auskunftsrecht unter Randziffern 167ff. 22 Schreiben vom 27.06.2013.
27/32
tate über Suchmaschinen23, die den Nutzern der Plattform zur Verfügung gestellt werden. itonex AG wird für diese Informationsvermittlung von ihren Partnern bezahlt. Im Gegenzug wird die Persönlichkeit der betroffenen Personen, deren Daten von itonex AG bearbeitet und Dritten bekannt gegeben werden, empfindlich verletzt. Schon nur die Publikation von Name, Vorname, Wohnort, Postleitzahl, Alter, genauem Geburtsdatum, Beruf, Haushaltsmitgliedern und Nachbarn und Angaben zur Wohnsituation von natürlichen Personen ist ein schwerwiegender Eingriff in die Privatsphäre. Es reicht für die Einsichtnahme in diese Daten, dass sich der Nutzer der Plattform registriert, die Nutzungsbedingungen akzeptiert und die Einsichtnahme der erwähnten Daten wird ihm ermöglicht. Es haben sich Familien gemeldet, die die Publikation der Daten ihrer Kinder als übermässigen Eingriff in die Privatsphäre hielten. Ebenfalls befürchten ältere Menschen durch die Ausspionierung ihrer privaten Umgebung, dass sie Opfer von strafbaren Delikten wie Enkeltrickbetrug oder Einbrüchen werden könnten. Andere Personen vermuteten einen Verknüpfung zwischen vermehrten Werbeanrufen, die sie als belästigend empfanden, mit der Publikation ihrer Daten auf www.moneyhouse.ch. Wie oben unter Randziffern 21 ff. geschildert, publiziert und bearbeitet itonex AG Persönlichkeitsprofile. Die Geltendmachung des Rechtfertigungsgrundes des überwiegenden privaten Interesses für die Bekanntgabe von Persönlichkeitsprofilen kann nicht nur mit wirtschaftlichen Interessen an einer Datenbekanntgabe begründet werden. Der EDÖB stellt fest, dass das von itonex AG geltend gemachte private Interesse nicht als überwiegend zu qualifizieren ist und die Persönlichkeitsverletzung nicht rechtfertigen kann. Es können deshalb für diese Datenbearbeitungen weder ein überwiegendes öffentliches oder privates Interesse noch ein gesetzlicher Rechtfertigungsgrund gemäss Artikel 13 DSG geltend gemacht werden. Deshalb muss nachfolgend geprüft werden, ob eine von betroffenen Personen rechtskonform erteilte Einwilligung die durch itonex AG begangenen Persönlichkeitsverletzungen rechtfertigt. Die Einwilligung als Rechtfertigungsgrund für Datenbearbeitungen und die Datenbekanntgabe von Persönlichkeitsprofilen Der Rechtfertigungsgrund der Einwilligung kann nur gestützt auf eine gültige, nicht widerrufene Einwilligung angerufen werden.24 Die Einwilligung muss schon vor der betreffenden Datenbearbeitung vorgelegen haben. Um wirksam zu sein, muss die einwilligende Person urteilsfähig und die Einwilligung frei von Willensmängeln sein. Sie hat insbesondere nach angemessener Information freiwillig zu erfolgen.25Nach angemessener Information bedeutet, dass die betroffene Person in den Grundzügen über Gegenstand, Zweck und Umfang der beabsichtigten Datenbearbeitung informiert werden muss, um die Konsequenzen der Einwilligung abschätzen zu können. Wer seine Einwilligung erteilt, ohne zumindest in groben Zügen zu wissen, welche Arten von Daten von wem oder welcher Art von Bearbeitern in welchem Umfang zu welchem Zweck bearbeitet werden, hat keine rechtsgültige Einwilligung erteilt. Freiwilligkeit bedeutet, dass der betroffenen Person eine gleichwertige Alternative als Wahlmöglichkeit zur Verfügung steht. Gemäss Artikel 4 Abs. 5 DSG muss die Einwilligung bei der Bearbeitung von Persönlichkeitsprofilen zudem ausdrücklich erfolgen.
23 Wie mehrmals erwähnt wurde, haben andere Vertreter der Branche auch Suchmöglichkeiten, die Resultate sind aber nicht über Internetsuchmaschinen indexiert, d.h. es wird keine leicht zugängliche Personensuche ermöglicht. 24 Handkommentar zum Datenschutzgesetz, hier Rosenthal in Note 3 zu Artikel 13 Abs.1 DSG. 25 BSK DSG- Corrado Rampini, Art. 13 N 4.
28/32
Der EDÖB hat bei seiner letzten Sachverhaltsabklärung, beschränkt auf die Publikation der Adresse über das Internet, eine Empfehlung abgegeben, welche itonex AG akzeptiert und umgesetzt hat.26 Für die Bearbeitung aller anderen Personendaten wird Folgendes erwogen: Betroffene Personen haben in die Bearbeitung und Publikation ihrer Daten über die Plattform www.moneyhouse.ch nicht eingewilligt. Diese Tatsache wurde in Beschwerden über die Plattform an den EDÖB häufig erwähnt. Betroffene Personen können sich, wie unter Randziffern 80 ff. ausgeführt, auch nicht zentral informieren, welche Daten über die Plattform www.moneyhouse.ch über sie bearbeitet und publiziert werden. Damit eine rechtskonforme Einwilligung überhaupt abgegeben werden kann, wäre eine vorgängige Information aber eine Voraussetzung dazu. Sie müsste zudem freiwillig und explizit erfolgen. Dies bedeutet, dass alle betroffenen Personen über die Bearbeitung ihrer Daten informiert werden müssten, und die Einwilligung dazu nicht global in Allgemeinen Geschäftsbedingungen fiktiv eingeholt werden kann. Betroffene Personen haben keine rechtskonforme (in diesem Fall insbesondere auch keine ausdrückliche) Einwilligung erteilt. itonex AG braucht eine rechtskonform erteilte Einwilligung für die Bearbeitung und Publikation aller Daten, ausgenommen die Handelsregisterdaten, die Adresse (unter Einhaltung der diesbezüglichen Empfehlungen vom 15.11.2012) und die für die Bonitätserteilung absolut notwendigen und geeigneten Daten, damit die Persönlichkeitsverletzungen gerechtfertigt werden können. Wie bisher ausgeführt worden ist, verstösst itonex AG bei der Bearbeitung von Personendaten im Rahmen der über die Plattform angebotenen Dienstleistungen gegen die Bearbeitungsgrundsätze von Artikel 4 und 5 Abs. 1 DSG. Weiter werden Personendaten gegen den ausdrücklichen Willen der betroffenen Personen bearbeitet und Persönlichkeitsprofile Dritten zugänglich gemacht. All dies verletzt die Persönlichkeit der betroffenen Personen, ohne dass dafür in vollem Umfang Rechtfertigungsgründe geltend gemacht werden können. itonex AG verletzt somit die Persönlichkeit von betroffenen Personen widerrechtlich und hat ihre Datenbearbeitungen folglich im Sinne der Erwägungen anzupassen. Im Folgenden wird geprüft, ob neben den Grundsätzen der Datenbearbeitungen das Auskunftsrecht von itonex AG gewährleistet wird und ob die Datensammlung rechtskonform beim EDÖB angemeldet ist. Auskunftsrecht Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Der Inhaber der Datensammlung muss der betroffenen Person mitteilen: alle über sie in der Datensammlung vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten; den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger.
26 Es wurden zwei Empfehlungsinhalte (Ziffer 1 und 3) zum Rechtfertigungsgrund abgegeben: „1. Adressen, welche itonex AG von Schober AG bezogen hat, werden nur noch im Internet über www.moneyhouse.ch publiziert, wenn dafür ein Rechtfertigungsgrund für diese Bearbeitungsform und –zweck vorliegt. Die Einwilligung als Rechtfertigungsgrund, ist nur rechtsgültig erteilt, wenn betroffene Personen darin eingewilligt haben, dass ihre aktuelle Adresse ohne speziellen Interessensnachweis übers Internet abgerufen werden darf. 3. itonex AG sieht für den jetzt bestehenden Adressenbestand, der von Schober AG ursprünglich bezogen worden ist, einen Abgleich mit einem Verzeichnis vor, das über diese Einwilligungserklärungen schon verfügt und den Ansprüchen von Art. 12 Abs. 3 DSG genügt.“
29/32
Lässt der Inhaber der Datensammlung Personendaten durch einen Dritten bearbeiten, so bleibt er auskunftspflichtig. Der Dritte ist auskunftspflichtig, wenn er den Inhaber nicht bekannt gibt oder dieser keinen Wohnsitz in der Schweiz hat. Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen. Gesuche um Auskunft können elektronisch per E-Mail oder schriftlich eingereicht werden. itonex AG hat einen Prozess zur Erteilung der Auskunft festgelegt. In jedem Fall müssen betroffene Personen eine Kopie eines amtlichen Ausweises beilegen und, im Falle der Auskunftserteilung über eine juristische Person, ihre Zeichnungsberechtigung nachweisen. Die Auskunft wird in der Regel schriftlich, innert 30 Tagen und kostenlos erteilt. In der Auskunft für natürliche Personen wird in allgemeiner Form über die Datenquellen informiert und die Stammdaten (Vorname, Name, Geschlecht, aktueller Wohnsitz, Geburtsdatum, Alter, Beruf, Telefonnummer, Haushaltsmitglieder) soweit in der Datensammlung vorhanden, werden aufgeführt. itonex AG scheint registrierten Nutzern keine darüber hinausgehende Auskunft zu geben. Im Handelsregister registrierte Personen erhalten hingegen zudem eine Wirtschaftsauskunft27. Im Begleitschreiben wird erwähnt, dass Angaben zu Baubewilligungen bearbeitet werden. Dass zudem weitere Angaben zu den Gebäuden gemacht werden, wird nicht erwähnt. Über die Bonitätsresultate wird