2/20
Inhaltsverzeichnis 1. Einführung ...........................................................................................................................3 1.1. Ausgangslage .......................................................................................................................3 1.2. Chronologie ...........................................................................................................................3 1.3. Gesetzliche Grundlagen .......................................................................................................3 1.4. Berücksichtigte Dokumente ..................................................................................................4 1.5. Umfang der Kontrolle ............................................................................................................4 1.6. Verbliebene Differenzen bei der Sachverhaltsabklärung .....................................................4 2. Sachverhalt ..........................................................................................................................5 2.1. Einleitung ..............................................................................................................................5 2.2. Massnahmen zur Gewährleistung der Richtigkeit, Aktualität und Vollständigkeit der Daten.....................................................................................................................................6 2.2.1. Allgemeines ..........................................................................................................................6 2.2.2. Technische und organisatorische Massnahmen zur korrekten Datenverknüpfung .............6 2.2.3. Matching-Logik ......................................................................................................................6 2.2.4. Kontrollen hinsichtlich Richtigkeit der Datenbankeinträge ....................................................7 2.2.5. Typische Konstellationen von falschen Datenverknüpfungen oder Datenbankeinträgen ....8 2.3. Berichtigung und Löschung von falschen Daten ..................................................................9 2.4. Negative Haushaltstreffer .................................................................................................. 10 3. Datenschutzrechtliche Beurteilung ............................................................................... 12 3.1. Massnahmen zur Gewährleistung der Richtigkeit, Aktualität und Vollständigkeit der Daten.................................................................................................................................. 12 3.1.1. Rechtliche Grundlagen ...................................................................................................... 12 3.1.2. Umgesetzte Massnahmen im Bereich Inkasso ................................................................. 12 3.1.3. Umgesetzte Massnahmen im Bereich Wirtschaftsauskunftei............................................ 13 3.2. Berichtigung und Löschung von falschen Daten ............................................................... 14 3.2.1. Rechtliche Grundlagen ...................................................................................................... 14 3.2.2. Bearbeitung von Berichtigung- und Löschungsbegehren.................................................. 14 3.3. Negative Haushaltstreffer .................................................................................................. 14 3.3.1. Transparenzprinzip nach Art. 4 Abs. 4 DSG ..................................................................... 15 3.3.2. Verhältnismässigkeitsprinzip nach Art. 4 Abs. 2 DSG ....................................................... 15 3.3.2.1. Kein Schutz von Haushaltsmitgliedern mit positiver Bonität.............................................. 15 3.3.2.2. Schutz der Kunden von vor Zahlungsausfällen ...................................................... 16 3.3.2.3. Rechtfertigungsgründe nach Art. 13 DSG ......................................................................... 17 3.3.2.4. Überwiegendes Interesse nach Art. 13 Abs. 2 lit. a DSG .................................................. 17 3.3.2.5. Überwiegendes Interesse nach Art. 13 Abs. 2 lit. c DSG .................................................. 18 3.3.2.6. Private und öffentliche Interessen, Umgehungsgeschäfte präventiv zu verhindern ......... 18 4. Empfehlung ...................................................................................................................... 19 5. Verfahren .......................................................................................................................... 19 5.1. Rechtliches Gehör und weiteres Vorgehen ....................................................................... 19 5.2. Veröffentlichung des Schlussberichts mit Empfehlung ...................................................... 19
4/20
anwendbar. Gemäss Art. 29. Abs. 1 Bst. a DSG klärt der EDÖB von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). Nach Art. 29 Abs. 2 DSG kann er dabei Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen vorführen lassen. 1.4. Berücksichtigte Dokumente 5. Die Sachverhaltsfeststellung des EDÖB basiert auf folgenden Dokumenten und Informationen: - Schreiben vom 29. April 2020 mit den folgenden Beilagen: • Schriftliche Antworten auf Fragenkatalog • Interne Weisung zur Bearbeitung, Berichtigung und Löschung von (Personen-)Daten • Zertifikat Datacenter • ERD und Diagramme der Applikationen • User Access Prozess für • Change Management • Prozess Beschwerdemanagement • IT Security Instruction ( ) • - Schreiben vom 5. November 2021 mit den folgenden Beilagen: • Schriftliche Antworten auf Ergänzungsfragen • Risk Assessment Core Business Prozesse • Service Organization control report (ISAE 3000-Audit) • Security White Paper • Security Concept ReCash • Prozess “Security Incident and Data Breach” vom •
- Mündliche Ausführungen von anlässlich des Gesprächs vom 15. März 2022
- E-Mail vom 6. April 2022 mit ergänzenden Informationen zur Matching-Logik
- Erste Stellungnahme von vom 01. Juli 2022 zur Sachverhaltsfeststellung vom 2. Juni 2022
- Zweite Stellungnahme von vom 31. August 2022 zur ergänzten Sachverhaltsfeststellung vom 2. Juni 2022
1.5. Umfang der Kontrolle 6. Die vorliegende Sachverhaltsabklärung zielt darauf ab zu prüfen, ob und inwiefern bei Mängel hinsichtlich der Richtigkeit ihrer Datenbestände bestehen, wie die Richtigkeit ihres Datenbestandes überprüft und gewährleistet und wie mit nachweislich fehlerhaften Daten bzw. diesbezüglichen Meldungen umgeht. Weiterer Gegenstand dieser Sachverhaltsabklärung sind Fragen zur Datenschutzkonformität von «negativen Haushaltstreffern» im Rahmen von Bonitätsauskünften. Die Abklärungen des EDÖB und die nachfolgenden Feststellungen zum Sachverhalt beschränken sich auf diese Punkte.
1.6. Verbliebene Differenzen bei der Sachverhaltsabklärung 7. hat in ihren Stellungnahmen vom 01. Juli 2022 und vom 31. August 2022 diverse Anmerkungen und Korrekturen zum provisorisch erstellten Sachverhalt vom 02 Juni 2022 bzw. 04. August 2022 geltend gemacht. Der EDÖB hat die Anmerkungen und Korrekturen jeweils
5/20
sorgfältig geprüft und diese, soweit sie aus Sicht des EDÖB korrekt und für den vorliegenden Bericht relevant, übernommen. Die verbliebenen Differenzen haben keine relevanten Auswirkungen auf den rechtserheblichen Sachverhalt.1 Zudem betreffen die geltend gemachten Anmerkungen und Korrekturen die Themenbereiche «Massnahmen zur Gewährleistung der Richtigkeit, Aktualität und Vollständigkeit der Daten» sowie «Berichtigung und Löschung von falschen Daten», in welchen keine Empfehlungen ausgesprochen werden, weshalb auf die weitere Berichtigung oder ausdrückliche Ausweisung der Differenzen verzichtet wurde.
2. Sachverhalt 2.1. Einleitung 8. ist vorrangig in den Bereichen Inkassodienstleistungen und Bonitätsauskünfte tätig und bearbeitet in diesem Rahmen eine grosse Menge Personendaten von einer Vielzahl von Einwohnerinnen und Einwohnern der Schweiz. Pro Geschäftstätigkeit werden zwei unterschiedliche Applikationen betrieben: und .
Im Rahmen der Inkassotätigkeit erhebt folgende Daten: - Name(n); Vorname(n) - Adresse; Adresshistorie - Geburtsdatum - Geschlecht - Telefonnummer; E-Mail-Adresse - Forderungsgrund; Forderungsbetrag; Unterlagen zur Forderung - Interner Score - Informationen über Solvenz - Informationen aus dem Betreibungsregister, der Einwohnerkontrolle; Konkursmeldungen; Handelsregisterinformationen; Beistandschaften Im Bereich Bonitätsauskünfte erhebt folgende Daten: - Name(n); Vorname(n) - Adresse; Adresshistorie - Geburtsdatum - Geschlecht - Nationalität - Kontaktdaten - Zahlungserfahrungen - Inkassofälle - Informationen aus dem Betreibungsregister, der Einwohnerkontrolle; Konkursmeldungen; Handelsregisterinformationen; Beistandschaften (falls aktive Information durch Beistand) Diese Daten stammen sowohl aus externen als auch aus unternehmensinternen Quellen, namentlich: - Adressdatenbank der Schweizerischen Post, Einwohnerregister - Betreibungsämter - Handelsamtsblatt, Handelsregister, UID-Register - Kunden/Gläubiger - Konsumenten/Schuldner - Inkassodaten - Verlustscheine - Zahlungserfahrungen
1 Siehe «Stellungnahme zu den Ergänzungen vom 04.August 2022 der provisorischen Feststellung vom 31.08.2022»
6/20
2.2. Massnahmen zur Gewährleistung der Richtigkeit, Aktualität und Vollständigkeit der Daten 2.2.1. Allgemeines 9. hat eine Reihe von technischen, organisatorischen sowie prozessbezogenen Massnahmen implementiert, damit die bearbeiteten Personendaten bzw. die Datenbankeinträge möglichst korrekt, aktuell und vollständig sind. betont, dass die Richtigkeit und Aktualität der von ihnen bearbeiteten Personendaten für das Unternehmen wesentliche Geschäftsinteresse seien. 10. In personeller Hinsicht ist das Thema Datenqualität bei auf Geschäftsleitungsstufe beim angesiedelt. verfügt zudem über einen sowie eine . Weiter verfügt über eine Abteilung «Complaint Management», welche sich ausschliesslich um die Bearbeitung eingehender Beanstandungen von betroffenen Personen kümmert und sicherstellt, dass allfällige Mängel intern weiterverfolgt und behoben werden. Datenschutzrelevante Fehler werden dabei in Absprache mit der Compliance-Abteilung bzw. mit der datenschutzverantwortlichen Person behandelt. 11. Auf technischer Ebene dient unter anderem eine logisch aufgebaute IT-Struktur dem Zweck, Datenredundanzen bestmöglich zu verhindern und die Datenqualität zu gewährleisten. 12. Auf operativer Ebene gibt es bei weitere prozessbezogene Massnahmen, welche die Datenqualität sicherstellen sollen, so beispielsweise mittels regelmässigen Abgleichens von bestehenden Daten mit neu eingehenden Daten und sonstiger periodischen Bereinigungen der bestehenden Datenbestände (näheres dazu unter Ziff. 30 ff. der Sachverhaltsfeststellung).
2.2.2. Technische und organisatorische Massnahmen zur korrekten Datenverknüpfung 13. Die Verknüpfung der unterschiedlichen Datenquellen basiert auf von definierten Datenfeldern. , . 14. bearbeitet die Daten in relationalen Datenbanken. In der übergeordneten Datenbank, , werden die in der vorangehenden Ziffer erwähnten Personen- und Adressdaten gespeichert, wobei jeder Person eine eindeutige Nummer zugeordnet wird. Anhand dieser Personennummer erfolgt sodann die Verknüpfung zu den Datenbanken des Inkassogeschäfts sowie derjenigen der Bonitätsauskünfte. Die Daten aus den in Ziff. 17 der Sachverhaltsfeststellung genannten Quellen werden in Tabellen innerhalb dieser Datenbanken gespeichert und mittels der eindeutigen Personennummer der betroffenen Person zugeordnet. Auf der Benutzeroberfläche ist dadurch ersichtlich, aus welcher Quelle ein Eintrag stammt. Dies ermöglicht es, dass Daten aus verschiedenen Quellen unabhängig voneinander geprüft und falls nötig korrigiert oder gelöscht werden können.
2.2.3. Matching-Logik 15. Bei der Verknüpfung dieser Personennummer mit den weiteren Daten arbeitet mit sogenannten «Matching-Profilen». Dabei handelt es sich um definierte Regeln, die bestimmen, unter welchen Voraussetzungen davon auszugehen ist, dass mehrere Einträge zur selben Person gehören. Diese werden mit dem Ziel kalibriert, die Richtigkeit der Zuordnung bestmöglich zu gewährleisten, ohne dass das System durch kleinere Abweichungen übermässig irritiert wird, was seinerseits zu Fehlern führen würde. So soll verhindert werden, dass unterschiedliche Personen im System irrtümlich zusammengeführt werden.
. Bei einer allfälligen manuellen Nachkontrolle gelangt sie jedoch nicht zur Anwendung.
9/20
32. Personenverwechslungen können aber auch auf menschliche Fehler von Mitarbeitenden von zurückzuführen sein. Dies beispielsweise dann, wenn bei einer manuellen Kontrolle ein Mitarbeitender irrtümlicherweise davon ausgeht, dass zwei Personeneinträge zusammengeführt werden müssen, weil es sich vermeintlich um dieselbe Person handelt.
. Es handle sich hierbei um seltene, nicht vollständig vermeidbare, aber nicht systembedingte Fehler. 33. Bei rund Millionen durchgeführten Bonitätsabfragen im Jahr 2019 hat gemäss eigenen Angaben nur Begehren zur Berichtigung und/oder Löschung von Daten erhalten. Dies entspricht 0.014 Promille der Fälle. Dabei bezogen sich die Löschungsbegehren regelmässig nicht auf fehlerhafte Daten, sondern stammten von Personen, die prinzipiell nicht in der Datenbank von verzeichnet sein wollten. Im Bereich Inkasso liegt der Anteil an falsch eröffneten Fällen im niedrigen einstelligen Bereich ( ). Zustellungen falscher Zahlungsaufforderungen sind entsprechend selten. Für das erste Halbjahr 2021 hat Kenntnis von Personenverwechslungen. Dies entspricht hochgerechnet 0.127 Promille der Fälle. 34. Für die höhere Fehlerquote bei den Inkassofällen im Vergleich zu den Bonitätsauskünften gibt es folgende Gründe: - Mit gewissen Inkassokunden bestehen vertragliche Vereinbarungen, wonach die vom Kunden angelieferte Daten unverändert übernommen werden müssen. - Im Inkassogeschäft werden teilweise ältere Portfolien übernommen, was die Datenqualität beeinträchtigen kann. 35. Bei einer ungenügenden Datenqualität wird bei einer Bonitätsabfrage in der Regel kein neuer Datensatz angelegt, was eine mögliche Fehlerquelle verhindert (vgl. Ziff.2.2). Wird hingegen ein Inkassofall eröffnet, wird in jedem Fall ein Datensatz angelegt, um den Inkassofall zu bewirtschaften.
2.3. Berichtigung und Löschung von falschen Daten 36. Stellen betroffene Personen fest, dass falsche Daten über sie bearbeitet, können sie sich mit einem Berichtigungsbegehren an wenden. stellt dafür auf der Webseite ein Formular «Berichtigungsbegehren» zur Verfügung.2 Eine Kontaktaufnahme ist auch per E- Mail oder Brief möglich. Zwecks Identitätsnachweises verlangt für die Bearbeitung solcher datenschutzrechtlichen Auskunfts-, Löschungs- oder Berichtigungsbegehren zwingend die Kopie eines amtlichen Ausweises. Die Anfrage wird laut Angaben auf der Webseite innert 30 Tagen kostenlos beantwortet. 37. Sämtliche Auskunfts-, Löschungs- und Berichtigungsbegehren werden manuell bearbeitet. . 38. Die interne Weisung von zur Bearbeitung, Berichtigung und Löschung von (Personen- )Daten sieht vor, dass die betroffene Person, welche eine Datenberichtigung geltend macht, die Unrichtigkeit der Daten nachweisen oder überzeugend glaubhaft machen soll. Weiter wird festgehalten, .3 Auf Nachfrage präzisiert dass sie einen eigentlichen Nachweis der Falschheit von Daten nur dann verlangen, wenn . Es komme wiederholt vor, dass Schuldner berechtigte Forderungen nicht bezahlen würden, obwohl eine Leistung offensichtlich bezogen worden und dies schriftlich dokumentiert sei. müsse deshalb im Zweifelsfalle und zum Schutz ihrer
2 https://www (zuletzt besucht am 31.05.2022). 3 Interne Weisung, Kapitel «Berichtigungsbegehren», S. 4.
11/20
45. Mit dem Instrument des negativen Haushaltstreffers soll verhindert werden, dass Personen mit negativer Bonität Rechnungskäufe auf den Namen eines Haushaltsmitglieds mit guter Bonität tätigen können (sogenannte Umgehungsgeschäfte). Laut dient der negative Haushaltstreffer somit dem Schutz der Händler vor Zahlungsausfällen aber auch dem Haushaltsmitglied mit guter Bonität, welches allenfalls bei einer Bestellung vorgeschoben werden könnte. 46. Die Händler, welche von Bonitätsdaten beziehen, können selbst entscheiden, ob sie die Funktion «Haushaltstreffer» aktivieren wollen oder nicht. 47. Die Verknüpfung der Bonität einer Person mit der negativen Bonität eines Haushaltsmitglieds erfolgt nicht «standardmässig», sondern erst im Rahmen einer automatisierten Abfrage bei einem konkreten Bestellvorgang. Wird die Bonität der betroffenen Person hingegen manuell abgefragt, erfolgt keine Verknüpfung oder Beeinträchtigung ihrer Bonität durch einen allfälligen negativen Haushaltstreffer. erfasst keine Angaben zur Wohnsituation und allfälligen Haushaltsmitgliedern von Personen. 48. Im Falle eines negativen Haushaltstreffers im Rahmen einer Bonitätsabfrage gibt die üblichen alphanumerischen Bonitätsscores ( ) bekannt. Für den entsprechenden Händler ist dabei erkennbar, dass es sich um einen negativen Haushaltstreffer handelt. Er kann in der Folge entscheiden, ob er das Geschäft dennoch tätigen oder den Kauf nur mit einem sicheren Zahlungsmittel anbieten will. 49. Als betroffene Person kann man der Generierung und Mitteilung eines Haushaltstreffers an die Kunden von nicht widersprechen.
. 50. Gemäss könne eine betroffene Person dem Haushaltstreffer deshalb nicht widersprechen, weil dies dem Zweck der Betrugsprävention diametral zuwiderlaufen würde. Widersprüche seien gerade dort zu erwarten, wo effektiv ein Betrugsversuch geplant sei. Die Alternative sei eine Einschränkung der Möglichkeit, auf Rechnung bestellen zu können oder eine Erhöhung der Preise im Online-Handel. Überdies ginge das Interesse an der Mitteilung des Haushaltstreffers vor. 51. Über die potentielle Verknüpfung mit anderen Personen im selben Haushalt informiert die Betroffenen im Rahmen eines «normalen» Auskunftsbegehrens nicht. Dies zum einen deshalb, weil ohne eine entsprechende Bonitätsabfrage durch einen Kunden von gar kein Haushaltstreffer vorliegt (vgl. Ziff. 28 der Sachverhaltsfeststellung). Zum anderen, weil eine entsprechende Information dazu führen würde, dass der anfragenden Person indirekt die Bonität ihrer Haushaltsmitglieder mitgeteilt würde. 52. Über einen negativen Haushaltstreffer wird eine Person nur dann informiert, wenn sie bspw. aufgrund dessen in einem Online-Shop abgelehnt wurde und in der Folge bei um Erläuterung der Bonitätsprüfung ersucht. Für solche Anfragen stellt wiederum ein spezifisches Formular auf der Webseite zur Verfügung.5 Im Rahmen dieser Erläuterungen wird der auskunftsersuchenden Person ausdrücklich mitgeteilt, dass ein negativer Haushaltstreffer zur Ablehnung geführt hat. Aus Datenschutzgründen teilt jedoch wiederum nicht mit, welche Person im Haushalt es konkret betrifft. 53. Im Hinblick auf das neue Datenschutzgesetz und die erweiterten Informationspflichten stellt in Aussicht, dass in der Datenschutzerklärung zusätzliche Informationen und Erklärungen zur Thematik der negativen Haushaltstreffer aufgenommen werden sollen.
5 https://www (zuletzt besucht am 31.05.2022).
12/20
3. Datenschutzrechtliche Beurteilung 3.1. Massnahmen zur Gewährleistung der Richtigkeit, Aktualität und Vollständigkeit der Daten 54. Im Rahmen der Sachverhaltsabklärung wird überprüft, ob hinreichende Massnahmen zur Gewährleistung der Richtigkeit, Aktualität und Vollständigkeit der Daten umsetzt.
3.1.1. Rechtliche Grundlagen 55. Wer Personendaten bearbeitet, hat sich gemäss Art. 5 Abs. 1 DSG über deren Richtigkeit zu vergewissern. Zudem müssen gemäss erwähnter Bestimmung alle angemessenen Massnahmen getroffen werden, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Soweit Personendaten bearbeitet werden, sollen diese richtig sein. Denn die Bearbeitung von unrichtigen Personendaten ist geeignet, die Persönlichkeit und die Grundrechte der Betroffenen zu beeinträchtigen, wenn sie von falschen Tatsachen ausgeht.6 56. Wenn beispielsweise jemand von einem Inkassobüro zu Unrecht bedrängt wird, weil an der gleichen Strasse eine Person mit demselben Namen wohnt, die Inkassostelle aber die falsche Hausnummer notiert hat, wird er dies als äusserst unangenehm empfinden. Richtigkeit im Sinne des DSG bedeutet allerdings nicht nur, dass Daten keine Falschaussagen enthalten dürfen, sondern auch, dass sie, soweit in einem bestimmten Sachzusammenhang erforderlich, nachgeführt und vollständig sein müssen. Beispielsweise führt eine Kreditüberprüfung zu falschen Schlüssen, wenn daraus zwar hervorgeht, dass jemandem in einem Scheidungsurteil Unterhaltszahlungen auferlegt worden sind, jedoch der Hinweis fehlt, dass die Unterstützungspflicht des Betreffenden infolge Wiederverheiratung seines früheren Ehegatten entfallen sei. Geringfügige Fehler können bereits bedeutsame Auswirkungen haben.7 57. Aus Art. 5 Abs. 1 DSG folgt für eine Datenbearbeiterin oder einen Datenbearbeiter eine Vergewisserungspflicht über die Richtigkeit der Daten. Wie weit diese Vergewisserungspflicht geht, hängt vom Einzelfall ab. Je grösser das Potenzial oder das Risiko einer Persönlichkeitsverletzung, desto grössere Anstrengungen werden von einer Datenbearbeiterin oder einem Datenbearbeiter vorausgesetzt, etwa durch geeignete technische und organisatorische Massnahmen.8
3.1.2. Umgesetzte Massnahmen im Bereich Inkasso 58. eröffnet jährlich rund neue Inkassofälle. Das Risiko einer Persönlichkeitsverletzung liegt insbesondere darin, dass Zahlungsaufforderungen aufgrund einer Verwechslung, etwa wegen gleicher Vor- und Nachnamen und ähnlichem Wohnort, an falsche Personen versendet werden. Je nach Inhalt der Forderung können dabei besonders schützenswerte Personendaten einer unberechtigten Drittperson bekanntgegeben werden, etwa bei Forderungen von Gesundheitskosten. Solche Verwechslungen können für die betroffene Person eine gewichtige Persönlichkeitsverletzung darstellen, weil von der Drittperson Rückschlüsse auf den richtigen Schuldner gezogen werden können. Daher gelten für hohe Anforderungen an die Vergewisserung der Richtigkeit der Inkassodaten. 59. Um solche Persönlichkeitsverletzungen in Inkassofällen zu verhindern, setzt eine Reihe von verschiedenen Massnahmen in personeller Hinsicht, auf technischer sowie auf operativer Ebene um.
6 BGer vom 02.05.2001; 1A.6/2001, E. 2a. 7 zum Ganzen Botschaft zum Bundesgesetz über den Datenschutz vom 23. März 1988, S. 450. 8 BSK DSG Maurer-Lambrou/Schönbächler, Art. 5, N 11 f.
13/20
60. verwendet eine relationale Datenbank als übergeordnete Datenbank und ordnet jeder Person eine eindeutige Nummer zu. Mit dieser erfolgt die Verknüpfung zu den Datenbanken des Inkassos sowie derjenigen der Bonitätsauskünfte. Dadurch ist ersichtlich, aus welcher Quelle ein Eintrag stammt weshalb Daten aus verschiedenen Quellen unabhängig voneinander geprüft und falls nötig korrigiert oder gelöscht werden können. 61. Wird die Personennummer mit weiteren Daten angereichert, erfolgt die Verknüpfung mit «Matching-Regeln». Durch diese Regeln soll bei der Zusammenführung von Daten aus unterschiedlichen Quellen sichergestellt werden, dass die zusätzlichen Daten der richtigen Person zugeordnet werden und keine Verwechslungen stattfinden. 62. Um die Aktualität und Vollständigkeit der Inkassodaten zu gewährleisten, führt verschiedene Massnahmen durch. erfolgt ein automatischer Datenabgleich betreffend die Adressdate von und der Referenzdaten der Schweizerischen Post. Dabei werden in der Datenbank von veraltete Adressen bereinigt und aktuelle Adressen aufgenommen. Weiter führt periodische Bereinigungen von veralteten Datenbankeinträgen durch, womit Daten aus veralteten Datenquellen nicht mehr berücksichtigt werden. 63. Bei jährlich rund Inkassofällen besteht ein beträchtliches potentielles Risiko von Persönlichkeitsverletzungen. setzt durch die beschriebenen Massnahmen die Richtigkeit der Inkassodaten so gut wie möglich um. Die von in Hinblick auf die Richtigkeit der Daten umgesetzten technischen und organisatorischen Massnahmen entsprechen damit dem potentiellen Risiko einer Persönlichkeitsverletzung. hat dargelegt, dass die Datenrichtigkeit ein wichtiges Unternehmensinteresse darstellt und die Massnahmen zur Erreichung dieses Zieles stets verbessert werden. Dies zeigt sich auch dadurch, dass dem EDÖB in letzter Zeit keine Meldungen mehr bekannt sind, dass es bei Inkassofällen von zu Persönlichkeitsverletzungen gekommen sei. 64. Aus Sicht des EDÖB sind aus genannten Gründen keine Empfehlungen im Hinblick auf Massnahmen zur Gewährleistung der Richtigkeit, Aktualität und Vollständigkeit von Inkassodaten angezeigt. Bereits die Botschaft zum DSG von 1988 hält fest, dass bereits kleine Fehler in der Datenrichtigkeit im Bereich Inkasso für die Betroffenen unangenehme Folgen haben kann. Diesbezüglich hat sich bis heute nichts geändert. An dieser Stelle sei daran erinnert, dass die Anforderungen an die genannten Massnahmen hoch sind und sowohl von der Gesellschaft wie auch vom EDÖB ein hohes Mass an Genauigkeit erwartet wird. Deshalb wird angehalten, ihre Bemühungen und Massnahmen zur Gewährleistung der Richtigkeit, Aktualität und Vollständigkeit von Inkassodaten stets auf dem neusten Stand der Technik zu halten und gegebenenfalls Korrekturmassnahmen umzusetzen, falls sich zeigen sollte, dass wieder vermehrt Fehler auftreten.
3.1.3. Umgesetzte Massnahmen im Bereich Wirtschaftsauskunftei 65. Im Jahr 2019 wurden durch rund Millionen Bonitätsabfragen durchgeführt. Die potentiellen Persönlichkeitsverletzungen liegen darin, dass Betroffenen unberechtigterweise eine negative Bonität zugewiesen wird und als Folge davon etwa keine Käufe mehr auf Rechnung getätigt werden oder gewisse Verträge nicht abgeschlossen werden können. Für eine betroffene Person kann dies eine erhebliche Persönlichkeitsverletzung darstellen. Insbesondere in Fällen, in welchen ein Vertrag gestützt auf eine unberechtigte negative Bonität abgelehnt wird und deshalb Anstrengungen für die Korrektur der unberechtigten negativen Bonität unternommen werden müssen. Daher gelten für hohe Anforderungen an die Vergewisserung der Richtigkeit der Bonitätsdaten. 66. Bei rund Millionen Bonitätsabfragen pro Jahr besteht auch bei Bonitätsabfragen ein beträchtliches potentielles Risiko für Persönlichkeitsverletzungen. Um Persönlichkeitsverletzungen bei Bonitätsabfragen zu verhindern, setzt - analog wie bei Inkassofällen - eine Reihe von verschiedenen Massnahmen in personeller Hinsicht, auf technischer sowie auf operativer
15/20
3.3.1. Transparenzprinzip nach Art. 4 Abs. 4 DSG 73. Das in Art. 4 Abs. 4 DSG enthaltene Transparenzprinzip besagt, dass die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein muss. 74. Beim Instrument der negativen Haushaltstreffer werden Personendaten von zwei Parteien bearbeitet und an eine Drittperson übermittelt. Will zum Beispiel eine Betroffene A mit einem Händler C einen Vertrag abschliessen, erfolgt eine Verknüpfung von Bonitätsinformationen zwischen der Betroffenen A mit guter Bonität und einem Haushaltsmitglied B mit schlechter Bonität. Für die Betroffene A ist nicht erkennbar, dass trotz ihrer guten Bonität eine negative Bonitätsauskunft erfolgen kann, wenn eine Person mit übereinstimmender Postadresse und Nachnamen eine negative Bonität aufweist. Eine Erkennbarkeit erfolgt erst und nur für die Betroffene A, wenn sie gestützt auf einen negativen Haushaltstreffer beispielsweise eine Verweigerung einer Zahlung auf Rechnung erhält und in der Folge bei um Erläuterung der Bonitätsprüfung ersucht. Für diejenige betroffene Person, von welcher die negative Bonität verknüpft wird (Betroffene B), ist dies nicht erkennbar. Für beide Betroffene ist das Instrument der negativen Haushaltstreffer aus den Umständen auch nicht erkennbar. Somit wird festgehalten, dass für die Betroffenen von negativen Haushaltstreffern das Transparenzprinzip gemäss Art. 4 Abs. 4 DSG verletzt wird. 75. Im Hinblick auf das neue Datenschutzgesetz und die erweiterten Informationspflichten stellt in Aussicht, dass in der Datenschutzerklärung zusätzliche Informationen und Erklärungen zur Thematik der negativen Haushaltstreffer aufgenommen werden. Ob lediglich eine Erklärung zur Datenbearbeitung von negativen Haushaltstreffern in den Datenschutzerklärungen die erweiterten Informationspflichten des neuen Datenschutzgesetzes erfüllt oder ob darüber hinaus eine Informationspflicht gegenüber der betroffenen Person zum Zeitpunkt der Datenbearbeitung erforderlich ist kann vorliegend offengelassen werden, weil der vorliegende Sachverhalt nur unter aktuellem Recht beurteilt wird.
3.3.2. Verhältnismässigkeitsprinzip nach Art. 4 Abs. 2 DSG 76. Die Bearbeitung von Personendaten muss gemäss Art. 4 Abs. 2 DSG verhältnismässig erfolgen. Dieser in Art. 5 Abs. 2 BV verankerte Grundsatz staatlichen Handelns ist im Anwendungsbereich des DSG auch für Private verbindlich. Demnach muss eine private Datenbearbeitung geeignet, erforderlich und zumutbar sein, um einen bestimmten Zweck zu erfüllen. Der Grundsatz besagt, dass eine Grundrechtseinschränkung zur Erreichung des angestrebten Ziels geeignet und erforderlich sein muss und zudem für den Betroffenen zumutbar zu sein hat. Im Rahmen der Zumutbarkeitsprüfung (Verhältnismässigkeit im engeren Sinne) ist vor dem Hintergrund des grundrechtlich geschützten Anspruchs auf informationelle Selbstbestimmung (Art. 13 Abs. 2 BV) zu beurteilen, ob zwischen der Datenbearbeitung und dem damit verbundenen Eingriff in die Privatsphäre ein angemessenes Verhältnis besteht. Diese Prüfung betrifft grundsätzlich konkrete Einzelfälle und läuft im Ergebnis auf eine gesamthafte Abwägung aller betroffenen öffentlichen und privaten Interessen hinaus, wie sie auch in Anwendung von Art. 13 Abs. 1 DSG und Art. 28 Abs. 2 ZGB vorzunehmen ist.9 77. Zu prüfen ist, ob das Instrument der negativen Haushaltstreffer geeignet ist, um verhindern zu können, dass Personen mit negativer Bonität Rechnungskäufe auf den Namen eines Haushaltsmitglieds mit positiver Bonität tätigen (Umgehungsgeschäfte).
3.3.2.1. Kein Schutz von Haushaltsmitgliedern mit positiver Bonität 78. vertritt den Standpunkt, dass das Instrument der negativen Haushaustreffer dem Zweck dient, Haushaltsmitgliedern mit positiver Bonität zu schützen, weil dadurch Haushaltsmitglieder
9 Zum Ganzen BGE 138 II 346, E. 9.2
16/20
mit negativer Bonität keinen Kauf auf Rechnung im Namen des Haushaltsmitglieds mit positiver Bonität tätigen können. 79. Dies kann mit einem negativen Haushaltstreffer in der Tat verhindert werden, stellt aber objektiv keinen Vorteil für vorgeschobene Person mit positiver Bonität dar. Diese kann nämlich rechtlich dafür nicht belangt werden. Sowohl die privatrechtlichen Ansprüche wie auch die strafrechtliche Verfolgung richten sich gegen die Person, welche das Umgehungsgeschäft begeht und nicht gegen die vorgeschobene Person. Somit dient das Instrument aus Sicht des EDÖB – entgegen den Ausführungen von – nicht dem Schutz von Haushaltsmitgliedern mit positiver Bonität. 80. Im Gegenteil wird die Persönlichkeit eines Haushaltsmitglieds mit positiver Bonität verletzt, indem durch eine Verknüpfung von Daten eines Haushaltsmitglieds mit negativer Bonität eine negative Bonitätsauskunft erfolgt. Damit entsteht eine Art «Sippenhaft», weil Personen trotz guter Bonität keine Käufe auf Rechnung mehr tätigen können. Betroffene können sich aufgrund der fehlenden Transparenz nur umständlich dagegen zur Wehr setzen, wodurch auch die informationelle Selbstbestimmung beschnitten wird. Zwar bestünde die Möglichkeit, sich bei einzelnen Unternehmen auf eine «White List» setzen zu lassen, dadurch können Personen trotz einem negativen Haushaltstreffer Käufe auf Rechnung tätigen. Diese Möglichkeit ist aber aus Sicht der Betroffenen undurchsichtig und umständlich. Zumal liegt die Entscheidung, ob die betroffene Person auf eine «White List» gesetzt wird, beim Kunden von so dass die «White List» die «Sippenhaft» nicht aufzuwiegen vermag. Aus dem Gesagten erhellt, dass das Instrument der negativen Haushaltstreffer nicht geeignet ist, Haushaltsmitglieder mit positiver Bonität zu schützen.
3.3.2.2. Schutz der Kunden von vor Zahlungsausfällen 81. Mit dem Instrument der negativen Haushaltstreffer sollen zudem die Kunden von bzw. die Händler vor Zahlungsausfällen geschützt werden. Dies entspricht einem legitimen Interesse, weshalb nachfolgend die Verhältnismässigkeit beurteilt wird. 82. Zuerst wird geprüft, ob das Instrument der negativen Haushaltstreffer ein geeignetes Mittel ist, um Zahlungsausfälle von Kunden von zu verhindern. Personen werden demselben Haushalt zugeordnet, wenn die Postadresse sowie der Nachname übereinstimmen. Fraglich ist, ob der Nachname ein geeignetes Kriterium darstellt. Familien und Wohngemeinschaften leben oft im gleichen Haushalt, ohne dass sie einen übereinstimmenden Nachnamen haben. Gleichzeitig dürfte es regelmässig vorkommen, dass in einer Liegenschaft mit einer grossen Anzahl Wohneinheiten Personen mit demselben, häufig vorkommenden Nachnahmen wohnen, die jedoch in keiner weiteren Verbindung zu einander stehen und insbesondere keinen gemeinsamen Haushalt führen. Wenn eine Person mit negativer Bonität einen Rechnungskauf auf den Namen eines anderen Haushaltsmitglieds tätigt, hat der Nachname im Hinblick auf die Verhinderung von Umgehungsgeschäften keine Bedeutung. Eine Person mit negativer Bonität wird immer die Möglichkeit haben, auf den Namen einer anderen Person mit positiver Bonität einen Rechnungskauf abzuschliessen, sofern sie mit anderen Personen an einer übereinstimmenden Adresse lebt. Diese Fallbeispiele zeigen, wie die von gewählten Kriterien zur Definition eines gemeinsamen Haushalts in der Realität an ihre Grenzen stossen und keine zuverlässigen Schlussfolgerungen mit dem Ziel der Identifizierung und Verhinderung von Umgehungsgeschäften zulassen. Das gilt umso mehr unter der Berücksichtigung, dass das Instrument der negativen Haushaltstreffer für eine Vielzahl von Fällen bzw. als Instrument für Massengeschäfte geeignet sein muss und nicht bloss für einen möglichen Einzelfall. Die von zur Bestimmung eines Haushalts beigezogenen Kriterien erweisen sich damit als nicht hinreichend geeignet, da die Zuordnung eine hohe Fehlerquote aufweist. Das Instrument des negativen Haushaltstreffers ist daher ebenfalls nicht hinreichend geeignet, um die beschriebenen Umgehungsgeschäfte erfolgreich zu verhindern.
17/20
83. Obwohl negative Haushaltstreffer nicht hinreichend geeignet sind, um die beschriebenen Umgehungsgeschäfte erfolgreich zu verhindern, wird vollständigkeitshalber auch die Erforderlichkeit und die Zumutbarkeit geprüft. Ein milderes, aber gleich geeignetes Mittel ist nicht ersichtlich. 84. Weiter wird geprüft, ob das Instrument der negativen Haushaltstreffer zumutbar (Verhältnismässigkeit im engeren Sinn) ist. Das heisst die Frage, ob die Datenbearbeitung bei negativen Haushaltstreffern in einem vernünftigen Verhältnis steht zwischen den Interessen der Kunden von und den Persönlichkeitsrechten der Betroffenen. Die sich gegenüberstehenden Interessen sind einerseits der Schutz der Kunden von vor Umgehungsgeschäften und Zahlungsausfällen. Gegenüber liegen andererseits die Interessen der Betroffenen, dass die Information der negativen Bonität nicht unberechtigten Dritten weitergegeben wird und dass Betroffene gestützt auf das Instrument unberechtigterweise eine negative Bonität zugewiesen werden kann und sie damit ohne Verschulden keine Käufe auf Rechnung mehr tätigen können. 85. Umgehungsgeschäfte und damit Zahlungsausfälle zu verhindern, sind zwar berechtigte Interessen. Die nachfolgenden Ausführungen zeigen jedoch die zahlreichen negativen Auswirkungen, die gestützt auf negative Haushaltstreffer entstehen: 86. Möglich ist die Verletzung der Persönlichkeit einer Person mit negativer Bonität, weil ein Haushaltsmitglied aufgrund eines negativen Haushaltstreffers in Erfahrung bringen kann, dass das andere Haushaltsmitglied eine negative Bonität aufweist. Auch wenn kein Name genannt wird, muss aufgrund der bekannten Verhältnisse davon ausgegangen werden, dass damit eine Bekanntgabe der negativen Bonität an das andere Haushaltsmitglied erfolgt. Auch kann, wie bereits unter Ziff. 3.3.2.1 ausgeführt, die Persönlichkeit eines Haushaltsmitglieds mit positiver Bonität verletzt werden, indem durch eine falsche Verknüpfung von Daten unberechtigterweise eine negative Bonitätsauskunft erfolgt. 87. Im Gegensatz zu einem Zivilprozess handelt der EDÖB in Anwendung von Art. 29. Abs. 3 DSG in einem Rahmen, der über ein reines Zweiparteienverhältnis hinausgeht. Ein Sachverhalt wird demnach seitens EDÖB nur abgeklärt, wenn die Verteidigung einer Vielzahl von Personen bezweckt wird, was im öffentlichen Interesse liegt. Auch kann eine Empfehlung eine indirekte Wirkung auf all jene ausüben, die nach einer ähnlichen Methode vorgehen wie Die genannten Gründe sind bei der Interessenabwägung zu berücksichtigen.10 Vorliegend führen diese Argumente in der Interessenabwägung zu Lasten von Zu berücksichtigen gilt es zudem, dass negative Haushaltstreffer unabhängig vom potentiellen Zahlungsausfall angewendet werden, wodurch wiederum das Verhältnismässigkeitsprinzip verletzt wird. 88. Aus dem gesagten erhellt, dass negative Bonitätsauskünfte gestützt auf negative Haushaltstreffer weder geeignet noch zumutbar sind, um bei Kunden von Zahlungsausfälle zu verhindern, weshalb das Instrument der negativen Haushaltstreffer eine unverhältnismässige Datenbearbeitung und damit eine Verletzung von Art. 4 Abs. 2 DSG darstellt.
3.3.2.3. Rechtfertigungsgründe nach Art. 13 DSG 89. Wie vorgängig erläutert werden beim Instrument der negativen Haushaltstreffer das Transparenzprinzip sowie der Grundsatz der Verhältnismässigkeit verletzt (Art. 4 Abs. 3 und 4 DSG). Damit bleibt zu prüfen, ob ein Rechtfertigungsgrund nach Art. 13 DSG die Persönlichkeitsverletzung rechtfertigt. Eine Einwilligung liegt offensichtlich nicht vor.
3.3.2.4. Überwiegendes Interesse nach Art. 13 Abs. 2 lit. a DSG 90. Ein überwiegendes privates Interesse nach Art. 13 Abs. 2 lit. a DSG ist nicht gegeben, weil sich dieses Interesse auf Informationen über einen Vertragspartner beschränkt. Beim Instrument der negativen Haushaltstreffer handelt es sich um die Bearbeitung von Personendaten,
10 Zum ganzen siehe BGE 136 II 508, E. 6.3.2
18/20
die einem Dritten betreffen, der nicht Vertragspartner von oder eines Kunden von ist.
3.3.2.5. Überwiegendes Interesse nach Art. 13 Abs. 2 lit. c DSG 91. Weiter wird geprüft, ob Art. 13 Abs. 2 lit. c DSG das Instrument der negativen Haushaltstreffer rechtfertigt. Gemäss der genannten Bestimmung fällt ein überwiegendes Interesse von in Betracht, wenn sie zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit dieser Person benötigt. Der Rechtfertigungsgrund der Kreditüberprüfung nach Art. 13 Abs. 2 Bst. c DSG gilt demnach für die Bearbeitung solcher Daten, die zur Identifikation der betroffenen Person und zur Überprüfung ihrer Kreditwürdigkeit geeignet und erforderlich sind, so insbesondere Vorname, Name, Geburtsdatum, Adresse, Betreibungen, Konkurse, Nachlassverfahren sowie entsprechende Gesuche, Verlustscheine, einvernehmliche Schuldensanierungen, abgelehnte Kreditanträge, nicht zurückbezahlte Kredite, Kreditkartensperrungen infolge Verzugs oder Missbrauchs, Zahlungsrückstände und Inkassoverfahren, solange damit nicht Persönlichkeitsprofile bearbeitet werden.11 Beim negativen Haushaltstreffer werden die Information über die Bonität des Dritten (angebliches Haushaltsmitglied mit negativer Bonität) nicht mit dem Profil der betroffenen Person verknüpft. Diese erscheinen auch nicht in einer Auskunft, welche nach Art. 8 DSG erteilt wird. Das sind Anzeichen, dass diese Informationen nicht für die Prüfung der Bonität einer Person bearbeitet werden. Dem Wortlaut von Art. 13 Abs. 2 Bst. c DSG und der Rechtsprechung des Bundesverwaltungsgerichts ist klar zu entnehmen, dass sich der Rechtfertigungsgrund auf die Prüfung der Kreditwürdigkeit der betroffenen Person bezieht – nicht auf die Verhinderung von Umgehungsgeschäften durch Dritte. Somit fällt der Rechtfertigungsgrund nach Art. 13. Abs. 2 lit. c DSG ausser Betracht.
3.3.2.6. Private und öffentliche Interessen, Umgehungsgeschäfte präventiv zu verhindern 92. Die Auflistung von Art. 13 Abs. 2 DSG ist nicht abschliessend. Als überwiegende Bearbeitungsinteressen kommen in erster Linie die Interessen der bearbeitenden Person, aber auch solche von Dritten in Frage. bietet ihren Kunden das Instrument der negativen Haushaltstreffer gegen Entgelt an. Die Kunden von haben ein Interesse, Zahlungsausfälle wegen Umgehungsgeschäften zu verhindern. Sowohl wie auch die Kunden von haben ein berechtigtes wirtschaftliches Interesse, diese Datenbearbeitung durchzuführen. Auch liegt ein öffentliches Interesse vor, dass Zahlungsausfälle verhindert werden. 93. Für die Interessen der Betroffenen und die Persönlichkeitsverletzungen, welche im Rahmen von negativen Haushaltstreffern entstehen können, kann auf die bisherigen Ausführungen verwiesen werden, insbesondere diejenigen zur Zumutbarkeit (siehe Ziffer 3.3.2.2). 94. Schliesslich sei auch noch folgendes festgehalten: Im Hinblick auf die Berücksichtigung von Rechtfertigungsgründen bei der Anwendung von Art. 12 Abs. 2 Bst. a DSG hat das Bundesgericht entschieden, dass eine Rechtfertigung der Bearbeitung von Personendaten entgegen den Grundsätzen von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG zwar nicht generell ausgeschlossen ist, dass Rechtfertigungsgründe im konkreten Fall aber nur mit grosser Zurückhaltung bejaht werden können.12 Überwiegende private oder öffentliche Interessen können also nicht leichthin für eine Rechtfertigung einer Persönlichkeitsverletzung wegen Verletzung der Bear-
11 Zum Ganzen BVGer A-4232/2015 vom 18.04.2017, E. 5.2.3 12 BGE 136 II 508, E. 5.2.4 und BGE 138 II 346, E. 7 2
20/20
102. Gestützt auf die Stellungnahme von wurden bestimmte Abschnitte zum Schutz von Geschäftsgeheimnissen und der Wettbewerbsfähigkeit von angepasst oder geschwärzt. Im Sinne des Persönlichkeitsschutzes wird der für die Publikation vorgesehene Bericht zudem teilweise geschwärzt.
der Beauftragte: der zuständige Jurist:
Adrian Lobsiger Nicolas Winkelmann