Ausgangslage
In der cause célèbre „Moneyhouse“ hat das Bundesverwaltungsgericht sein Urteil gefällt. Moneyhouse ist ein Wirtschaftsauskunftsdienst, der für registrierte Nutzer kostenlos begrenzte Informationen über Einzelpersonen und Unternehmen anbietet. Weitergehende Informationen, u.a. Angaben zur Wohnsituation und zu Nachbarn, Bonitätsauskünfte und je nach anwendbarer kantonaler Regelung auch Grundbuchauskünfte und Steuernachweise, sind nur für zahlende Premium-Mitglieder zugänglich. Soweit im Handelsregister eingetragene Personen betroffen sind, werden Einträge von Moneyhouse ferner suchmaschinenindexiert, sind also auch bspw. über Google erschlossen.
Die dem Urteil zugrundeliegende Klage des EDÖB gegen Moneyhouse geht auf die zweite Empfehlung des EDÖB an Moneyhouse (bzw. damals die Itonex AG) vom 6. November 2014 zurück, nachdem eine erste Sachverhaltsabklärung mit der (von Itonex angenommenen) Empfehlung vom 14. November 2012 abgeschlossen worden war (Empfehlung, PDF). In der zweiten Empfehlung hatte sich der EDÖB auf den Standpunkt gestellt, Moneyhouse bearbeite Personendaten auf unverhältnismässige Weise und verletze die Grundsätze der Verhältnismässigkeit, der Zweckbindung, der Transparenz und der Datenrichtigkeit.
Zudem gebe Moneyhouse Dritten Persönlichkeitsprofile bekannt. Dafür fehle ein Rechtfertigungsgrund, weshalb die Bekanntgabe widerrechtlich sei (Art. 12 Abs. 2 lit. c DSG).
Moneyhouse hat die Empfehlung des EDÖB nur teilweise akzeptiert, worauf der EDÖB klageweise (nach Art. 29 Abs. 4 DSG) ans BVGer gelangte.
Erwägungen des BVGer
Verfahrensrechtliche Punkte
Das BVGer hatte zunächst verfahrensrechtliche Fragen zu klären. Die erste dieser Fragen betraf die Zulässigkeit des Feststellungsbegehrens des EDÖB. Der EDÖB hatte die Feststellung verlangt, dass Moneyhouse Persönlichkeitsprofile ohne Rechtfertigungsgrund erstellt und damit die Persönlichkeit vieler Personen verletzt habe. Das BVGer verneint hier das nach Art. 25 BZP erforderliche Feststellungsinteresse, weil die Auswirkungen einer allenfalls widerrechtlichen Datenbearbeitung durch die weiteren Rechtsbegehren des EDÖB beseitigt würden.
Strittig war sodann die erforderliche Bestimmtheit der weiteren klägerischen Rechtsbegehren, etwa des Rechtsbegehrens, Moneyhouse sei zu verpflichten, auf Moneyhouse „sämtliche Verlinkungen zu löschen, die das Erstellen von Persönlichkeitsprofilen von Personen ermöglicht, die darin nicht rechtskonform eingewilligt haben“. Obwohl die verwendeten Rechtsbegriffe inhaltlich nicht klar und teilweise umstritten sind, akzeptiert das BVGer dieses Rechtsbegehren (ohne Hinweis auf die entsprechenden Hinweise im Street View-Entscheid des BVGer), weil es unter Beizug der Klagebegründung ausreichend klar sei und im Falle einer Gutheissung – allenfalls mit gerichtlichen Präzisierungen – zum Urteil erhoben werden können:
Was unter einer rechtsgenügenden Einwilligung im Zusammenhang mit der Erstellung von Persönlichkeitsprofilen zu verstehen ist, ergibt sich sodann aus den gesetzlichen Grundlagen (vgl. Art. 4 Abs. 5 DSG). Betreffend die Qualifizierung einer Datenbearbeitung als Erstellung eines Persönlichkeitsprofils im konkreten Einzelfall kann im Rahmen der materiellen Prüfung auf Literatur, Rechtsprechung und Materialien zurückgegriffen werden.
Materiellrechtliche Punkte
Vorbemerkung
Das BVGer prüft in materieller Hinsicht vor allem die Weitergabe von Persönlichkeitsprofilen an Dritte, die ohne Rechtfertigungsgrund unzulässig ist (Art. 12 Abs. 2 lit. c DSG). Da es diesen Tatbestand bejaht, verzichtet es auf eine Prüfung der weiteren Kritikpunkte des EDÖB und lässt daher offen, ob Moneyhouse die allgemeinen Datenbearbeitungsgrundsätze der Verhältnismässigkeit und der Zweckbindung einhält. Näher zu prüfen waren aber die Suchmaschinenindexierung, die zumutbaren Massnahmen zur Sicherstellung der Datenrichtigkeit (Art. 5 DSG) und bei Datenabfragen die Prüfung, ob die Abfragen wirklich zum Zweck der Bonitätsprüfung erfolgen (Art. 13 Abs. 2 lit. c DSG).
Zum Begriff des Persönlichkeitsprofils
Fraglich war zunächst, ob Moneyhouse registrierten zahlenden Kunden Persönlichkeitsprofile bekannt gebe (Art. 12 Abs. 2 lit. c DSG). Dabei geht es um folgende Datenpunkte:
- Vor- und Nachname
- Wohnort, Postleitzahl
- Geburtsdatum und Alter
- aktueller Beruf und beruflicher Werdegang
- Haushaltsmitglieder und Wohnsituation (mit Verlinkung auf Google Street View-Bilder sowie Nachbarn und alte Adressen/Wohnorte)
Im Ergebnis bejaht das BVGer, dass hier Persönlichkeitsprofile vorliegen:
Die Beklagte gibt registrierten und zahlenden Benutzern nebst den zur Identifizierung benötigten Angaben wie Name, Vorname, aktuelle Adresse und allenfalls Geburtsdatum – sofern die entsprechenden Daten vorhanden sind – systematisch verknüpfte Informationen zur privaten Wohn- und Lebenssituation betroffener natürlicher Personen, d.h. betreffend ihre Haushaltsmitglieder und Nachbarn, und damit zu einem wesentlichen Teilaspekt ihrer Persönlichkeit bekannt. […]
Bei im Handelsregister verzeichneten Personen wird zusätzlich die Nationalität bekanntgegeben sowie ihr beruflicher Werdegang und ihr berufliches Netzwerk, womit ein weiterer Teilbereich der Persönlichkeit betroffen ist.
Man muss das BVGer hier wohl sogar so verstehen, dass zwei voneinander unterscheidbare Profile vorliegen, nämlich einerseits der Datenkomplex „Wohn- und Lebenssituation“ und andererseits der Komplex „Werdegang und berufliches Netzwerk“.
Das Verhältnis von Persönlichkeitsprofil und Bonitätsprüfung
Das BVGer hat dabei zu Recht berücksichtigt, dass der Rechtfertigungsgrund der Prüfung der Kreditwürdigkeit von Art. 13 Abs. 2 lit. c DSG die Bearbeitung von Persönlichkeitsprofilen ausdrücklich ausschliesst und dass im Umkehrschluss Informationen, die zur Prüfung der Bonität notwendig sind, im Normalfall kein Persönlichkeitsprofil darstellen können. Damit fragt sich, welche Angaben zur Prüfung der Bonität sinnvollerweise noch erforderlich und daher kein Persönlichkeitsprofil sind. Die Antwort auf diese Frage kann indes keine eindeutige sein, weil die Prüfung der Bonität keine absolute Grösse ist, sondern ein Vorgang, der durch grössere Datenmengen nur präziser werden kann. Im Ergebnis ist daher abzuwägen zwischen dem öffentlichen und privaten Interesse an der verlässlichen Prüfung der Kreditwürdigkeit einerseits und dem Persönlichkeitsschutz andererseits. Bei dieser Abwägung wäre der Grundsatz der Datenrichtigkeit (Art. 5 DSG) zu berücksichtigen, im Kontext der Bonitätsprüfung also das Anliegen, dass die Identität eines (potentiellen) Schuldners feststeht und seine Kreditwürdigkeit richtig beurteilt wird.
Das BVGer geht allerdings nicht so systematisch vor und berücksichtigt den Grundsatz der Datenrichtigkeit nicht. Die Argumentation des BVGer in diesem Punkt bleibt deshalb auffallend vage und enthält Aussagen, die kaum verallgemeinerbar sind. Das BVGer scheint sogar anzudeuten, die Bonität dürfe nur auf der Grundlage von Daten geprüft werden, die jeweils für sich schon eindeutige Aussagen zur Bonität enthalten:
Tendenziell lassen sich aus derartigen Angaben [sc. Wohn- und Lebenssituation] zwar mit Bezug auf die finanziellen Verhältnisse einer natürlichen Person Schlussfolgerungen ziehen und auch genau deshalb wird damit ein wesentlicher Teilaspekt der Persönlichkeit beleuchtet. Die Angaben können jedoch ebenso zu falschen Annahmen führen und belegen die Kreditwürdigkeit einer natürlichen Person somit nicht zuverlässig.
Das kann nicht richtig sein. Zwar kann die Wohnsituation natürlich zu falschen Annahmen über die Bonität führen (auch in einer Einzimmerwohnung kann ein Millionär leben). Das gilt aber auch für alle anderen von Moneyhouse bearbeiteten Daten, auch für so wesentliche Parameter wie Mahnungen (auch ein Millionär kann ein undisziplinierter Zahler sein). Eine breite Datenbasis dient gerade dazu, unvermeidbare Mängel der Aussagekraft einzelner Datenpunkte durch Aggregierung auszugleichen (deshalb verbietet das deutsche BDSG in § 28b Ziff. 3 Bonitätseinstufungen nur auf Grundlage der Adresse).
Eine ähnliche Bemerkung des BVGer in diesem Zusammenhang:
Weiter lassen sich aufgrund der Verknüpfung der bekanntgegebenen Daten allenfalls Rückschlüsse auf besonders schützenswerte Personendaten i.S.v. Art. 3 Bst. c DSG ziehen, insbesondere auf die sexuelle Gesinnung. Mittels Informationen zu Wohnpartnern und deren Alter lässt sich nämlich allgemein – nicht nur in Bezug auf gleich- geschlechtliche Paare, auf welche der Kläger hinweist – auf die sexuelle Orientierung der betreffenden Personen schliessen oder aber es werden falsche Annahmen getroffen, so wenn Studienkollegen oder gute Freunde zusammen wohnen.
Angaben über die Wohn- und Lebenssituation erlauben sicher Spekulationen über Intimverhältnisse. Sie deshalb schon als besonders schützenswert zu betrachten, ginge aber viel zu weit.
(Mit) ausschlaggebend für diese Aussagen des BVGer war sicher auch die schon im Street-View-Urteil des BGer deutliche Grundhaltung, der technische Fortschritt verlange allgemein eine strenge Anwendung des Datenschutzrechts:
Infolge der technologischen Entwicklung der letzten Jahre haben die Speicherfähigkeit, Durchlässigkeit und Vernetzung von Informationen enorm zugenommen […]. Da mit Hilfe elektronischer Datenverarbeitung personenbezogene Informationen in beliebigem Umfang gespeichert, verknüpft und reproduziert werden können, lassen sich auch an sich harmlose Informationen, die ohne Weiteres der Öffentlichkeitssphäre zuzurechnen wären, zu eigentlich schützenswerten Persönlichkeitsprofilen verdichten […]. Durch diese Speicher- und Auswertungsmöglichkei- ten der automatischen Datenverarbeitung und durch die Verknüpfung automatisierter Datenbestände ist die Erstellung von Persönlichkeitsprofilen leichter und häufiger geworden […]. Die miteinander verknüpften Personendaten erreichen relativ rasch eine Informationsdichte, die Verhaltensmuster und Persönlichkeitsprofile erkennen lassen […]. Die Betroffenen haben oft keine Kenntnis vom Bestehen eines Profils und können so dessen Richtigkeit und Verwendung nicht kontrollieren.
Einen Einfluss hatte wohl auch, dass Moneyhouse das Premium-Angebot mit Fragen wie „Mit wem wohnt die gesuchte Person zusammen? Wohnt sie alleine? Und wer sind ihre Nachbarn? Wem gehört die Immobilie, in der sie wohnt?“ beworben hatte, und wohl auch die Tatsache, dass dies nicht das erste Verfahren von Moneyhouse ist. Im Ergebni