Hin­weis zur vor­lie­gen­den Zusam­men­fas­sung: Ver­tre­ten war Money­hou­se in die­ser Sache durch Wal­der Wyss, der Kanz­lei, bei der auch der Autor die­ses Bei­trags tätig ist.

Ausgangslage

In der cau­se célèb­re „Money­hou­se“ hat das Bun­des­ver­wal­tungs­ge­richt sein (noch nicht rechts­kräf­ti­ges) Urteil gefällt. Money­hou­se ist ein Wirt­schafts­aus­kunfts­dienst, der für regi­strier­te Nut­zer kosten­los begrenz­te Infor­ma­tio­nen über Ein­zel­per­so­nen und Unter­neh­men anbie­tet. Wei­ter­ge­hen­de Infor­ma­tio­nen, u.a. Anga­ben zur Wohn­si­tua­ti­on und zu Nach­barn, Boni­täts­aus­künf­te und je nach anwend­ba­rer kan­to­na­ler Rege­lung auch Grund­buch­aus­künf­te und Steu­er­nach­wei­se, sind nur für zah­len­de Pre­mi­um-Mit­glie­der zugäng­lich. Soweit im Han­dels­re­gi­ster ein­ge­tra­ge­ne Per­so­nen betrof­fen sind, wer­den Ein­trä­ge von Money­hou­se fer­ner such­ma­schi­nen­in­de­xiert, sind also auch bspw. über Goog­le erschlos­sen.

Die dem Urteil zugrun­de­lie­gen­de Kla­ge des EDÖB gegen Money­hou­se geht auf die zwei­te Emp­feh­lung des EDÖB an Money­hou­se (bzw. damals die Itonex AG) vom 6. Novem­ber 2014 zurück, nach­dem eine erste Sach­ver­halts­ab­klä­rung mit der (von Itonex ange­nom­me­nen) Emp­feh­lung vom 14. Novem­ber 2012 abge­schlos­sen wor­den war (Emp­feh­lung, PDF). In der zwei­ten Emp­feh­lung hat­te sich der EDÖB auf den Stand­punkt gestellt, Money­hou­se bear­bei­te Per­so­nen­da­ten auf unver­hält­nis­mä­ssi­ge Wei­se und ver­let­ze die Grund­sät­ze der Ver­hält­nis­mä­ssig­keit, der Zweck­bin­dung, der Trans­pa­renz und der Daten­rich­tig­keit.

Zudem gebe Money­hou­se Drit­ten Per­sön­lich­keits­pro­fi­le bekannt. Dafür feh­le ein Recht­fer­ti­gungs­grund, wes­halb die Bekannt­ga­be wider­recht­lich sei (Art. 12 Abs. 2 lit. c DSG).

Money­hou­se hat die Emp­feh­lung des EDÖB nur teil­wei­se akzep­tiert, wor­auf der EDÖB kla­ge­wei­se (nach Art. 29 Abs. 4 DSG) ans BVGer gelang­te.

Erwägungen des BVGer

Verfahrensrechtliche Punkte

Das BVGer hat­te zunächst ver­fah­rens­recht­li­che Fra­gen zu klä­ren. Die erste die­ser Fra­gen betraf die Zuläs­sig­keit des Fest­stel­lungs­be­geh­rens des EDÖB. Der EDÖB hat­te die Fest­stel­lung ver­langt, dass Money­hou­se Per­sön­lich­keits­pro­fi­le ohne Recht­fer­ti­gungs­grund erstellt und damit die Per­sön­lich­keit vie­ler Per­so­nen ver­letzt habe. Das BVGer ver­neint hier das nach Art. 25 BZP erfor­der­li­che Fest­stel­lungs­in­ter­es­se, weil die Aus­wir­kun­gen einer allen­falls wider­recht­li­chen Daten­be­ar­bei­tung durch die wei­te­ren Rechts­be­geh­ren des EDÖB besei­tigt wür­den.

Strit­tig war sodann die erfor­der­li­che Bestimmt­heit der wei­te­ren klä­ge­ri­schen Rechts­be­geh­ren, etwa des Rechts­be­geh­rens, Money­hou­se sei zu ver­pflich­ten, auf Money­hou­se „sämt­li­che Ver­lin­kun­gen zu löschen, die das Erstel­len von Per­sön­lich­keits­pro­fi­len von Per­so­nen ermög­licht, die dar­in nicht rechts­kon­form ein­ge­wil­ligt haben“. Obwohl die ver­wen­de­ten Rechts­be­grif­fe inhalt­lich nicht klar und teil­wei­se umstrit­ten sind, akzep­tiert das BVGer die­ses Rechts­be­geh­ren (ohne Hin­weis auf die ent­spre­chen­den Hin­wei­se im Street View-Ent­scheid des BVGer), weil es unter Bei­zug der Kla­ge­be­grün­dung aus­rei­chend klar sei und im Fal­le einer Gut­hei­ssung – allen­falls mit gericht­li­chen Prä­zi­sie­run­gen – zum Urteil erho­ben wer­den kön­nen:

Was unter einer rechts­ge­nü­gen­den Ein­wil­li­gung im Zusam­men­hang mit der Erstel­lung von Per­sön­lich­keits­pro­fi­len zu ver­ste­hen ist, ergibt sich sodann aus den gesetz­li­chen Grund­la­gen (vgl. Art. 4 Abs. 5 DSG). Betref­fend die Qua­li­fi­zie­rung einer Daten­be­ar­bei­tung als Erstel­lung eines Per­sön­lich­keits­pro­fils im kon­kre­ten Ein­zel­fall kann im Rah­men der mate­ri­el­len Prü­fung auf Lite­ra­tur, Recht­spre­chung und Mate­ria­li­en zurück­ge­grif­fen wer­den.

Materiellrechtliche Punkte

Vor­be­mer­kung

Das BVGer prüft in mate­ri­el­ler Hin­sicht vor allem die Wei­ter­ga­be von Per­sön­lich­keits­pro­fi­len an Drit­te, die ohne Recht­fer­ti­gungs­grund unzu­läs­sig ist (Art. 12 Abs. 2 lit. c DSG). Da es die­sen Tat­be­stand bejaht, ver­zich­tet es auf eine Prü­fung der wei­te­ren Kri­tik­punk­te des EDÖB und lässt daher offen, ob Money­hou­se die all­ge­mei­nen Daten­be­ar­bei­tungs­grund­sät­ze der Ver­hält­nis­mä­ssig­keit und der Zweck­bin­dung ein­hält. Näher zu prü­fen waren aber die Such­ma­schi­nen­in­de­xie­rung, die zumut­ba­ren Mass­nah­men zur Sicher­stel­lung der Daten­rich­tig­keit (Art. 5 DSG) und bei Daten­ab­fra­gen die Prü­fung, ob die Abfra­gen wirk­lich zum Zweck der Boni­täts­prü­fung erfol­gen (Art. 13 Abs. 2 lit. c DSG).

Zum Begriff des Per­sön­lich­keits­pro­fils

Frag­lich war zunächst, ob Money­hou­se regi­strier­ten zah­len­den Kun­den Per­sön­lich­keits­pro­fi­le bekannt gebe (Art. 12 Abs. 2 lit. c DSG). Dabei geht es um fol­gen­de Daten­punk­te:

  • Vor- und Nach­na­me
  • Wohn­ort, Post­leit­zahl
  • Geburts­da­tum und Alter
  • aktu­el­ler Beruf und beruf­li­cher Wer­de­gang
  • Haus­halts­mit­glie­der und Wohn­si­tua­ti­on (mit Ver­lin­kung auf Goog­le Street View-Bil­der sowie Nach­barn und alte Adressen/Wohnorte)

Im Ergeb­nis bejaht das BVGer, dass hier Per­sön­lich­keits­pro­fi­le vor­lie­gen:

Die Beklag­te gibt regi­strier­ten und zah­len­den Benut­zern nebst den zur Iden­ti­fi­zie­rung benö­tig­ten Anga­ben wie Name, Vor­na­me, aktu­el­le Adres­se und allen­falls Geburts­da­tum – sofern die ent­spre­chen­den Daten vor­han­den sind – syste­ma­tisch ver­knüpf­te Infor­ma­tio­nen zur pri­va­ten Wohn- und Lebens­si­tua­ti­on betrof­fe­ner natür­li­cher Per­so­nen, d.h. betref­fend ihre Haus­halts­mit­glie­der und Nach­barn, und damit zu einem wesent­li­chen Teil­as­pekt ihrer Per­sön­lich­keit bekannt. […]

Bei im Han­dels­re­gi­ster ver­zeich­ne­ten Per­so­nen wird zusätz­lich die Natio­na­li­tät bekannt­ge­ge­ben sowie ihr beruf­li­cher Wer­de­gang und ihr beruf­li­ches Netz­werk, womit ein wei­te­rer Teil­be­reich der Per­sön­lich­keit betrof­fen ist.

Man muss das BVGer hier wohl sogar so ver­ste­hen, dass zwei von­ein­an­der unter­scheid­ba­re Pro­fi­le vor­lie­gen, näm­lich einer­seits der Daten­kom­plex „Wohn- und Lebens­si­tua­ti­on“ und ande­rer­seits der Kom­plex „Wer­de­gang und beruf­li­ches Netz­werk“.

Das Ver­hält­nis von Per­sön­lich­keits­pro­fil und Boni­täts­prü­fung

Das BVGer hat dabei zu Recht berück­sich­tigt, dass der Recht­fer­ti­gungs­grund der Prü­fung der Kre­dit­wür­dig­keit von Art. 13 Abs. 2 lit. c DSG die Bear­bei­tung von Per­sön­lich­keits­pro­fi­len aus­drück­lich aus­schliesst und dass im Umkehr­schluss Infor­ma­tio­nen, die zur Prü­fung der Boni­tät not­wen­dig sind, im Nor­mal­fall kein Per­sön­lich­keits­pro­fil dar­stel­len kön­nen. Damit fragt sich, wel­che Anga­ben zur Prü­fung der Boni­tät sinn­vol­ler­wei­se noch erfor­der­lich und daher kein Per­sön­lich­keits­pro­fil sind. Die Ant­wort auf die­se Fra­ge kann indes kei­ne ein­deu­ti­ge sein, weil die Prü­fung der Boni­tät kei­ne abso­lu­te Grö­sse ist, son­dern ein Vor­gang, der durch grö­sse­re Daten­men­gen nur prä­zi­ser wer­den kann. Im Ergeb­nis ist daher abzu­wä­gen zwi­schen dem öffent­li­chen und pri­va­ten Inter­es­se an der ver­läss­li­chen Prü­fung der Kre­dit­wür­dig­keit einer­seits und dem Per­sön­lich­keits­schutz ande­rer­seits. Bei die­ser Abwä­gung wäre der Grund­satz der Daten­rich­tig­keit (Art. 5 DSG) zu berück­sich­ti­gen, im Kon­text der Boni­täts­prü­fung also das Anlie­gen, dass die Iden­ti­tät eines (poten­ti­el­len) Schuld­ners fest­steht und sei­ne Kre­dit­wür­dig­keit rich­tig beur­teilt wird.

Das BVGer geht aller­dings nicht so syste­ma­tisch vor und berück­sich­tigt den Grund­satz der Daten­rich­tig­keit nicht. Die Argu­men­ta­ti­on des BVGer in die­sem Punkt bleibt des­halb auf­fal­lend vage und ent­hält Aus­sa­gen, die kaum ver­all­ge­mei­ner­bar sind. Das BVGer scheint sogar anzu­deu­ten, die Boni­tät dür­fe nur auf der Grund­la­ge von Daten geprüft wer­den, die jeweils für sich schon ein­deu­ti­ge Aus­sa­gen zur Boni­tät ent­hal­ten:

Ten­den­zi­ell las­sen sich aus der­ar­ti­gen Anga­ben [sc. Wohn- und Lebens­si­tua­ti­on] zwar mit Bezug auf die finan­zi­el­len Ver­hält­nis­se einer natür­li­chen Per­son Schluss­fol­ge­run­gen zie­hen und auch genau des­halb wird damit ein wesent­li­cher Teil­as­pekt der Per­sön­lich­keit beleuch­tet. Die Anga­ben kön­nen jedoch eben­so zu fal­schen Annah­men füh­ren und bele­gen die Kre­dit­wür­dig­keit einer natür­li­chen Per­son somit nicht zuver­läs­sig.

Das kann nicht rich­tig sein. Zwar kann die Wohn­si­tua­ti­on natür­lich zu fal­schen Annah­men über die Boni­tät füh­ren (auch in einer Ein­zim­mer­woh­nung kann ein Mil­lio­när leben). Das gilt aber auch für alle ande­ren von Money­hou­se bear­bei­te­ten Daten, auch für so wesent­li­che Para­me­ter wie Mah­nun­gen (auch ein Mil­lio­när kann ein undis­zi­pli­nier­ter Zah­ler sein). Eine brei­te Daten­ba­sis dient gera­de dazu, unver­meid­ba­re Män­gel der Aus­sa­ge­kraft ein­zel­ner Daten­punk­te durch Aggre­gie­rung aus­zu­glei­chen (des­halb ver­bie­tet das deut­sche BDSG in § 28b Ziff. 3 Boni­täts­ein­stu­fun­gen nur auf Grund­la­ge der Adres­se).

Eine ähn­li­che Bemer­kung des BVGer in die­sem Zusam­men­hang:

Wei­ter las­sen sich auf­grund der Ver­knüp­fung der bekannt­ge­ge­be­nen Daten allen­falls Rück­schlüs­se auf beson­ders schüt­zens­wer­te Per­so­nen­da­ten i.S.v. Art. 3 Bst. c DSG zie­hen, ins­be­son­de­re auf die sexu­el­le Gesin­nung. Mit­tels Infor­ma­tio­nen zu Wohn­part­nern und deren Alter lässt sich näm­lich all­ge­mein – nicht nur in Bezug auf gleich- geschlecht­li­che Paa­re, auf wel­che der Klä­ger hin­weist – auf die sexu­el­le Ori­en­tie­rung der betref­fen­den Per­so­nen schlie­ssen oder aber es wer­den fal­sche Annah­men getrof­fen, so wenn Stu­di­en­kol­le­gen oder gute Freun­de zusam­men woh­nen.

Anga­ben über die Wohn- und Lebens­si­tua­ti­on erlau­ben sicher Spe­ku­la­tio­nen über Intim­ver­hält­nis­se. Sie des­halb schon als beson­ders schüt­zens­wert zu betrach­ten, gin­ge aber viel zu weit.

(Mit) aus­schlag­ge­bend für die­se Aus­sa­gen des BVGer war sicher auch die schon im Street-View-Urteil des BGer deut­li­che Grund­hal­tung, der tech­ni­sche Fort­schritt ver­lan­ge all­ge­mein eine stren­ge Anwen­dung des Daten­schutz­rechts:

Infol­ge der tech­no­lo­gi­schen Ent­wick­lung der letz­ten Jah­re haben die Spei­cher­fä­hig­keit, Durch­läs­sig­keit und Ver­net­zung von Infor­ma­tio­nen enorm zuge­nom­men […]. Da mit Hil­fe elek­tro­ni­scher Daten­ver­ar­bei­tung per­so­nen­be­zo­ge­ne Infor­ma­tio­nen in belie­bi­gem Umfang gespei­chert, ver­knüpft und repro­du­ziert wer­den kön­nen, las­sen sich auch an sich harm­lo­se Infor­ma­tio­nen, die ohne Wei­te­res der Öffent­lich­keits­sphä­re zuzu­rech­nen wären, zu eigent­lich schüt­zens­wer­ten Per­sön­lich­keits­pro­fi­len ver­dich­ten […]. Durch die­se Spei­cher- und Aus­wer­tungs­mög­lich­kei- ten der auto­ma­ti­schen Daten­ver­ar­bei­tung und durch die Ver­knüp­fung auto­ma­ti­sier­ter Daten­be­stän­de ist die Erstel­lung von Per­sön­lich­keits­pro­fi­len leich­ter und häu­fi­ger gewor­den […]. Die mit­ein­an­der ver­knüpf­ten Per­so­nen­da­ten errei­chen rela­tiv rasch eine Infor­ma­ti­ons­dich­te, die Ver­hal­tens­mu­ster und Per­sön­lich­keits­pro­fi­le erken­nen las­sen […]. Die Betrof­fe­nen haben oft kei­ne Kennt­nis vom Bestehen eines Pro­fils und kön­nen so des­sen Rich­tig­keit und Ver­wen­dung nicht kon­trol­lie­ren.

Einen Ein­fluss hat­te wohl auch, dass Money­hou­se das Pre­mi­um-Ange­bot mit Fra­gen wie „Mit wem wohnt die gesuch­te Per­son zusam­men? Wohnt sie allei­ne? Und wer sind ihre Nach­barn? Wem gehört die Immo­bi­lie, in der sie wohnt?“ bewor­ben hat­te, und wohl auch die Tat­sa­che, dass dies nicht das erste Ver­fah­ren von Money­hou­se ist. Im Ergeb­nis kann das Urteil daher kaum ver­all­ge­mei­nert wer­den.

Abschlie­ssend hält das BVGer fest, dass der Begriff des Per­sön­lich­keits­pro­fils davon unab­hän­gig sei, ob die ein­zel­nen dazu ver­wen­de­ten Daten öffent­lich ver­füg­bar sei­en:

Für die Qua­li­fi­ka­ti­on einer Zusam­men­stel­lung von Per­so­nen­da­ten als Per­sön­lich­keits­pro­fil ist mit dem Klä­ger einig zu gehen, dass die Her­kunft der Daten bzw. die Art der Daten­quel­le uner­heb­lich ist. […] Bei Daten aus öffent­li­chen Quel­len wie dem Han­dels- oder Steu­er­re­gi­ster, aus Amts­blät­tern oder dem Grund­buch konn­ten die betrof­fe­nen Per­so­nen zudem auf­grund der ent­spre­chen­den gesetz­li­chen Ver­pflich­tun­gen zur Daten­be­kannt­ga­be deren Art und Umfang nicht bestim­men. Rele­vant ist vor­lie­gend ein­zig, ob die Ver­knüp­fung von Infor­ma­tio­nen – auch von sol­chen, wel­che der Öffent­lich­keit bereits zugäng­lich oder wel­che nicht beson­ders schüt­zens­wert i.S. des DSG sind – Auf­schluss über einen oder meh­re­re wesent­li­che Aspek­te der Per­sön­lich­keit gibt (vgl. vor­ne E. 5.2.1).

Recht­fer­ti­gung der Daten­wei­ter­ga­be?

Da das BVGer damit von einer Wei­ter­ga­be von Per­sön­lich­keits­pro­fi­le an Drit­te aus­ging, waren Recht­fer­ti­gungs­grün­de (Art. 13 Abs. 1 DSG) zu prü­fen. Eine Recht­fer­ti­gung durch Gesetz kam dabei offen­bar nicht in Fra­ge.

Eine Ein­wil­li­gung lag eben­falls nicht vor, ins­be­son­de­re weil Money­hou­se Daten von ande­ren Unter­neh­men erwirbt und aus öffent­li­chen Quel­len bezieht, so dass die Betrof­fe­nen kei­ne Kennt­nis von der Bear­bei­tung durch Money­hou­se haben:

Die­se Argu­men­ta­ti­on ist daher eben­so unbe­hel­flich wie die­je­ni­ge, wonach eine aus­drück­li­che Ein­wil­li­gung der Betrof­fe­nen erfolgt sei, indem die­se gegen­über der Post AG mit Bezug auf einen Nachsendeauftrag/Woh- nungs­wech­sel der Adress­wei­ter­ga­be u.a. für Wirt­schafts­aus­kunf­tei­en zuge­stimmt hät­ten. Damit haben die betrof­fe­nen Per­so­nen näm­lich nicht gegen­über der Beklag­ten in die Erstel­lung eines Per­sön­lich­keits­pro­fils ein­ge­wil­ligt.

Das BVGer hät­te sich hier eigent­lich fra­gen müs­sen, ob eine Ein­wil­li­gung wirk­lich eine emp­fangs­be­dürf­ti­ge Wil­lens­er­klä­rung dar­stellt und nur gegen­über ihrer Adres­sa­tin wirk­sam ist oder ob sie mit ihrer Abga­be nicht gegen­über allen Bear­bei­tern wir­ken muss. Mit Blick auf die heu­ti­gen arbeits­tei­li­gen Bear­bei­tungs­vor­gän­ge, aber auch mit Blick auf den daten­schutz­recht­li­chen Zweck der Ein­wil­li­gung wird man von letz­te­rem aus­ge­hen müs­sen. Eine wirk­sa­me Ein­wil­li­gung muss sich jeweils auf die daten­schutz­recht­lich rele­van­ten Para­me­ter bezie­hen, d.h. die­je­ni­gen Punk­te, die auch erkenn­bar sein müs­sen. Häu­fig (und wohl auch hier) genügt es daher, wenn sich die Ein­wil­li­gung auf Kate­go­ri­en von Bear­bei­tern bezieht. Eine aus­drück­lich auf Money­hou­se bezo­ge­ne Ein­wil­li­gung war hier daher kaum erfor­der­lich.

Im Ergeb­nis war aller­dings eher mass­ge­bend, dass Money­hou­se von ande­ren Unter­neh­men und aus öffent­li­chen Quel­len Daten bezieht und die Betrof­fe­nen daher nicht unbe­dingt Kennt­nis davon haben, dass Daten über sie zum Zweck der Boni­täts­prü­fung bear­bei­tet wer­den. Aus die­sem Grund war auch Art. 12 Abs. 3 DSG nicht erfüllt.

Im Rah­men einer gesamt­haf­ten Inter­es­sen­ab­wä­gung (Art. 13 Abs. 1 DSG) ergab sodann, dass das Inter­es­se der Betrof­fe­nen am Unter­blei­ben der Daten­be­ar­bei­tung durch Money­hou­se über­wog. Das BVGer aner­kann­te zwar ein öffent­li­ches Inter­es­se an der Platt­form Money­hou­se. Soweit eine Daten­be­ar­bei­tung aber nicht boni­täts­re­le­vant ist, was für Per­sön­lich­keits­pro­fi­le zutref­fe (s. oben), feh­le ein sol­ches Inter­es­se. Es blei­be des­halb beim rein finan­zi­el­len Inter­es­se von Money­hou­se. Die­ses kön­ne das Inter­es­se der Betrof­fe­nen nicht über­wie­gen, zumal der Betrieb der Platt­form auch unter Ein­hal­tung des Daten­schutz­rechts mög­lich sei.

Erschlie­ssung durch Such­ma­schi­nen

Der EDÖB hat­te fer­ner ver­langt, Money­hou­se müs­se die Such­ma­schi­nen­in­de­xie­rung von Anga­ben über Per­so­nen, die im Han­dels­re­gi­ster ein­ge­tra­gen sind, anpas­sen. Sol­che Ein­trä­ge von Money­hou­se dürf­ten nur dann bei Goog­le ange­zeigt wer­den, wenn nicht nur mit dem Namen der betref­fen­den Per­son gesucht wird, son­dern zusätz­lich mit dem Begriff „money­hou­se“, so wie heu­te bei Zefix. Die­ses Rechts­be­geh­ren weist das BVGer ab: Zum einen habe Money­hou­se kei­ne oder nur begrenz­te Ein­fluss­mög­lich­kei­ten auf die Publi­ka­ti­on von Such­re­sul­ta­ten. Schon die Umset­zung des Begeh­rens wäre daher schwie­rig. Zum ande­ren sei die Daten­be­ar­bei­tung mit Umset­zung der gut­ge­hei­sse­nen Rechts­be­geh­ren als rechts­kon­form. Es mache des­halb in daten­schutz­recht­li­cher Hin­sicht kei­nen Unter­schied, wenn recht­mä­ssi­ge Ein­trä­ge auch über Such­ma­schi­nen auf­find­bar sei­en.

Im Gegen­teil:

[…] die Auf­find­bar­keit von Daten über Such­ma­schi­nen in daten­schutz­recht­li­cher Hin­sicht inso­fern posi­tiv zu wer­ten ist, als Trans­pa­renz betref­fend die Daten­be­ar­bei­tung geschaf­fen wird, was die effek­ti­ve Wahr­neh­mung der Ansprü­che auf Ein­sicht, Berich­ti­gung und Löschung eige­ner Daten ermög­licht.

Das BVGer aner­kennt Such­ma­schi­nen damit im Ergeb­nis als trans­pa­renz­för­dernd, was über die­sen Fall hin­aus von Bedeu­tung sein dürf­te. Ganz über­ra­schend ist die­ses Ergeb­nis aller­dings nicht: Sogar der EDÖB hat Anga­ben auf Inter­net­sei­ten als erkenn­bar i.S.v. Art. 4 Abs. DSG aner­kannt (aus­ge­rech­net in sei­ner ersten Emp­feh­lung in Sachen Money­hou­se vom 15. Novem­ber 2012; PDF; Ziff. 8).

Schliess­lich sei Money­hou­se nicht ver­pflich­tet, betrof­fe­ne Per­so­nen bei Löschungs­be­geh­ren dahin­ge­hend zu unter­stüt­zen, die ent­spre­chen­den Resul­ta­te bei Such­ma­schi­nen rascher ent­fer­nen zu las­sen. Die Löschung im eige­nen Herr­schafts­be­reich genü­ge.

Über­prü­fung der Daten­rich­tig­keit

Der EDÖB hat­te schliess­lich ver­langt, Money­hou­se müs­se die Rich­tig­keit ihres Daten­be­stands in einem gericht­lich fest­zu­le­gen­den, ange­mes­se­nen Pro­zent­satz zu den getä­tig­ten Abfra­gen über­prü­fen. Das BVGer folg­te die­sem Begeh­ren. Art. 5 Abs. 1 DSG ver­langt von Bear­bei­tern, sich über die Rich­tig­keit bear­bei­te­ter Per­so­nen­da­ten durch ange­mes­se­ne Mass­nah­men zu ver­ge­wis­sern.

Laut BVGer sind die erfor­der­li­chen Mass­nah­men auf ver­hält­nis­mä­ssig­mä­ssi­ge Wei­se und mit Blick auf die Daten­schutz­ri­si­ken zu bestim­men. Im Ergeb­nis sei­en die Daten im Ver­hält­nis von 5% der getä­tig­ten Abfra­gen zu über­prü­fen:

In Anbe­tracht der gro­ssen Anzahl der von der Daten­be­ar­bei­tung der Beklag­ten betrof­fe­nen Per­so­nen und der Bedeut­sam­keit der Rich­tig­keit, Voll­stän­dig­keit und Aktua­li­tät von Daten sowohl im Rah­men einer zuläs­si­ger­wei­se nach erfolg­ter Ein­wil­li­gung der Betrof­fe­nen durch­ge­führ­ten, sen­si­ti­ven Bear­bei­tung von Per­sön­lich­keits­pro­fi­len als auch im Bereich von Boni­täts­aus­künf­ten erscheint eine Über­prü­fung des Daten­be­stands der Beklag­ten auf sei­ne Rich­tig­keit hin im Ver­hält­nis von 5% zu den auf ihrer Platt­form getä­tig­ten Abfra­gen als ange­mes­sen.

Wes­halb die Gren­ze gera­de bei 5% lie­gen soll, bleibt im Urteil aller­dings offen. Bei die­ser Über­prü­fung han­delt es sich aber um eine orga­ni­sa­to­ri­sche Mass­nah­me der Daten­si­cher­heit i.S.v. Art. 7 DSG. Auch wenn das BGer nicht so argu­men­tiert, gilt damit Art. 8 Abs. 2 VDSG, wonach Sicher­heits­mass­nah­men vom Zweck der Daten­be­ar­bei­tung, von Art und Umfang der Daten­be­ar­bei­tung, von der Risi­ko­ein­schät­zung und dem Stand der Tech­nik abhän­gig sind. Dar­aus ist im Ein­zel­fall in einer Gesamt­wür­di­gung zu bestim­men, was kon­kret als ange­mes­sen erscheint, wobei für den Daten­be­ar­bei­ter Ermes­sens­spiel­raum besteht. Die 5%-Grenze des BVGer ist schon des­halb nicht unbe­se­hen auf ande­re Fäl­le zu über­tra­gen.

Prü­fung des Bear­bei­tungs­zwecks bei Abfra­gen (Art. 13 Abs. 2 lit. c DSG)

Bei der Bekannt­ga­be von Boni­täts­aus­künf­ten an Drit­te muss der Bear­bei­ter prü­fen, ob die Vor­aus­set­zun­gen für eine Bekannt­ga­be vor­lie­gen, d.h. ob die Abfra­ge zum Zweck der Boni­täts­prü­fung erfolgt. Der EDÖB ver­lang­te eine ent­spre­chen­de Prü­fung bei 5% der Abfra­gen. Das BVGer erach­tet eine Prü­fung von 3% als ange­mes­sen:

Eine Inten­si­vie­rung der manu­el­len Kon­trol­le führt zwar zu einem Mehr­auf­wand sei­tens der Beklag­ten, letzt­lich liegt es jedoch auch in ihrem eige­nen Inter­es­se, dass die von ihr bear­bei­te­ten Per­so­nen­da­ten von Drit­ten nicht zweck­wid­rig ver­wen­det wer­den. Zudem ist gemäss ihren Anga­ben seit län­ge­rem ein auto­ma­ti­sier­tes Prüf­sy­stem in Pla­nung, was den Kon­trollauf­wand mini­mie­ren dürf­te. Die­se Tat­sa­chen und das hoch zu gewich­ten­de Inter­es­se der gro­ssen Anzahl der von der Daten­be­ar­bei­tung der Beklag­ten betrof­fe­nen Per­so­nen am Schutz ihrer Daten, ins­be­son­de­re auch mit Blick auf eine allen­falls erfol­gen­de, recht­mä­ssi­ge Bear­bei­tung von sen­si­ti­ven Per­sön­lich­keits­pro­fi­len las­sen eine regel­mä­ssi­ge Über­prü­fung der Inter­es­sens­nach­wei­se im Zeit­punkt der Boni­täts­ab­fra­ge im Ver­hält­nis von 3 % zu den auf der Platt­form der Beklag­ten getä­tig­ten Abfra­gen als zumut­bar erschei­nen.

Dabei bleibt letzt­lich offen, wie das BGer die 3%-Anforderung begrün­det. Das mag bis zu einem gewis­sen Grad in der Natur der Sache lie­gen – Gren­zen wie die­se sind immer bis zu einem gewis­sen Grad will­kür­lich. Auf­fal­lend ist aber der gro­sse, im Urteil des BVGer nicht begrün­de­te Unter­schied zur Rechts­la­ge in Deutsch­land. Nach § 29 Abs. 2 BDSG hat „die über­mit­teln­de Stel­le […] Stich­pro­ben­ver­fah­ren nach § 10 Abs. 4 Satz 3 durch­zu­füh­ren und dabei auch das Vor­lie­gen eines berech­tig­ten Inter­es­ses ein­zel­fall­be­zo­gen fest­zu­stel­len und zu über­prü­fen.“ Die Häu­fig­keit der Stich­pro­ben legt das Gesetz aber nicht fest. Nach der Lite­ra­tur (Hei­nemann, ZD 2014, 294) gilt fol­gen­des:

Im Gesetz feh­len star­re Vor­ga­ben für eine Min­dest­men­ge der nach § 10 Abs. 4 Satz 3 BDSG zu neh­men­den Pro­ben daher zu Recht. Die Fest­le­gung der Kon­troll­quo­te ist statt­des­sen eine Fra­ge der Ein­zel­fall­be­ur­tei­lung. Dabei ist zunächst die Gestal­tung des jewei­li­gen Abruf­ver­fah­rens mit sei­ner indi­vi­du­el­len Gefähr­dungs­la­ge zu berück­sich­ti­gen. Wenig schutz­wür­di­ge Daten recht­fer­ti­gen wenig Auf­wand bei Stich­pro­ben – und umge­kehrt. Des Wei­te­ren ist die Qua­li­tät des ange­wand­ten sta­ti­sti­schen Ver­fah­rens in die Rech­nung ein­zu­stel­len. Stimmt die Metho­de, kön­nen weni­ge Pro­ben genü­gen, urn sich vom Gan­zen ein zutref­fen­des Bild zu machen. Und schließ­lich kön­nen auch Zumut­bar­keits­er­wä­gun­gen für die ver­pflich­te­te Stel­le nicht außer Betracht blei­ben. Beson­ders bei Mas­sen­ver­fah­ren kön­nen schon Stich­pro­ben­pflich­ten im Bereich gerin­ger Pro­mil­le­wer­te zu erheb­li­chen orga­ni­sa­to­ri­schen und finan­zi­el­len Her­aus­for­de­run­gen füh­ren […]. Ange­sichts der Tat­sa­che, dass es sich „nur“ um eine daten­schutz­recht­li­che Neben­pflicht und nicht um das Kern­ge­schäft des Unter­neh­mens han­delt, muss sicher­ge­stellt sein, dass die han­deln­de Stel­le durch den Stich­pro­ben­auf­wand nicht lahm­ge­legt wird.

Auch wenn die Stich­pro­ben­häu­fig­keit eine Fra­ge der Risi­ko­ab­wä­gung und der Zumut­bar­keit im Ein­zel­fall ist, erscheint der Wert von 3% als sehr hoch. Der Düs­sel­dor­fer Kreis, ein Gre­mi­um der deut­schen Daten­schutz­auf­sichts­be­hör­den, scheint eine Über­prü­fungs­quo­te von 2‰ als aus­rei­chend zu erach­ten, also rund 150-mal weni­ger als die vom BVGer ver­lang­te Quo­te. Das Urteil des BVGer dürf­te daher auch in die­sem Punkt kaum ver­all­ge­mei­ner­bar sein. Ins­be­son­de­re hat das BVGer nicht eine gene­rel­le, über den beur­teil­ten Fall hin­aus gel­ten­de Über­prü­fungs­quo­te von 3% fest­ge­setzt (s. dazu oben betr. Prü­fung der Rich­tig­keit).

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.