Das BVGer hat eine Beschwerde gegen eine Verfügung des EDÖB abgewiesen und die Anordnung einer Information der betroffenen Personen bestätigt (Urteil A‑3790/2024 vom 8. April 2026). Es rügt die Verfahrensführung des EDÖB aber scharf, indem es schwerwiegende Verletzungen des Anspruchs auf rechtliches Gehör bzw. Verletzung der behördlichen Begründungspflicht erkennt.
In der Sache ging es um die Pflicht, die betroffenen Personen über eine Datensicherheitsverletzung zu informieren (der Blick hat berichtet):
- SkySale Schweiz (hier durch RA Martin Steiger vertreten) betreibt den Onlineshop apfelkiste.ch. Zur Abwicklung von Supportfällen verwendet Apfelkiste kundenspezifische URLs mit einem nicht zu erratenden Hash-Wert (offenbar weil Apfelkiste Gastbestellungen zulässt).
- Diese URLs gelangten in den Index von Suchmaschinen, v.a. Bing. Dadurch wurden Kontaktdaten, Kommunikationsinhalte, Bankdaten (IBAN) und weitere Daten offengelegt. Während rund 8 Monaten waren mindestens 19’000 Fälle betroffen.
- Nach dem Hinweis einer Drittperson meldete Apfelkiste den Vorfall dem EDÖB und traf Massnahmen, u.a. eine Blockade des Bing-Crawlers und eine Umleitung der betroffenen URLs auf eine andere Landing Page.
Auf eine Information der Betroffenen hatte Apfelkiste verzichtet. Nach einer Untersuchung hatte der EDÖB die Information der Betroffenen verfügt. Weil er sich in der Verfügung auch zu Ausnahmen bzw. die öffentliche Bekanntmachung geäussert hatte, blieb allerdings unklar, was von Apfelkiste konkret verlangt wurde. Das BVGer hat die Beschwerde von Apfelkiste dennoch abgewiesen, wenn auch mit offensichtlichem Bauchgrimmen.
Anordnung der Information der Betroffenen
Eine Information der betroffenen Kundschaft nahm Apfelkiste nach entsprechender Korrespondenz mit dem EDÖB nicht vor, worauf der EDÖB eine solche Information verfügungsweise angeordnet hatte:
[…] teilte die SkySale Schweiz GmbH dem EDÖB mit, sie halte eine Information der betroffenen Personen für nicht erforderlich. Die von ihr ergriffenen Massnahmen seien wirksam gewesen. Es sei nicht ersichtlich, welche zusätzlichen Massnahmen den betroffenen Personen über die von ihr selbst ergriffenen Massnahmen hinaus zur Minderung der Risiken […] offenstehen würden. Zudem sei eine Information der betroffenen Personen nicht möglich beziehungsweise nur mit unverhältnismässigem Aufwand umsetzbar.
Das Dispositiv der Verfügung gibt das BVGer wie folgt wieder:
Mit Verfügung vom 28. Mai 2024 verpflichtete der EDÖB die SkySale Schweiz GmbH die von der […] Datensicherheitsverletzung betroffenen Personen innert 10 Tagen ab Rechtskraft der Verfügung zu informieren (Ziffer 1). Der EDÖB wies darauf hin, dass sich die Art und der Inhalt der Information nach den Vorgaben der Datenschutzgesetzgebung zu richten habe (Ziffer 2). Zudem wurden die für die Einhaltung der Verfügung verantwortlichen natürlichen Personen […] ausdrücklich darauf hingewiesen, dass die Verfügung unter Androhung einer Geldbusse nach Datenschutzgesetz ergehe (Ziffer 3). Schliesslich wurde der SkySale Schweiz GmbH eine Gebühr in der Höhe von insgesamt Fr. 2’850.– auferlegt (Ziffer 4).
Verfahrensfragen
Diese Verfügung wurde nach einer entsprechenden Untersuchung erlassen (was die Regel darstellen dürfte, aber nach str. Meinung nicht immer zwingend ist). Die Information der betroffenen Personen wurde aber nicht vorsorglich angeordnet, was grundsätzlich möglich gewesen wäre (Art. 55 Abs. 2 VwVG):
Mit Verfügung vom 28. Mai 2024 verpflichtete der EDÖB die SkySale Schweiz GmbH die […] Datensicher heitsverletzung betroffenen Personen innert 10 Tagen ab Rechtskraft der Verfügung zu informieren […]. Der EDÖB wies darauf hin, dass sich die Art und der Inhalt der Information nach den Vorgaben der Datenschutzgesetzgebung zu richten habe (Ziffer 2). […]
Gerügt wurde auch eine unzureichende Feststellung des Sachverhalts. Die Verfügung selbst ist bislang soweit ersichtlich nicht öffentlich verfügbar, was keine Selbstverständlichkeit ist: Der EDÖB hat bedauerlicherweise eine überaus grosszügige Auffassung der nach Art. 57 Abs. 2 DSG erlaubten Information der Öffentlichkeit. Entsprechend lassen sich die Sachverhaltsrügen von Apfelkiste nicht verifizieren – dass der Sachverhalt in Verfügungen nur lückenhaft oder unpräzise aufgearbeitet wird, entspricht aber jedenfalls einer gewissen Erfahrung. Das BVGer kann und muss den Sachverhalt aber jedenfalls selbst erheben:
Das Bundesverwaltungsgericht entscheidet grundsätzlich mit uneingeschränkter Kognition; es überprüft die angefochtene Verfügung auf Rechtsverletzungen – einschliesslich der unrichtigen und unvollständigen Feststellung des rechtserheblichen Sachverhalts und von Rechtsfehlern bei der Ausübung des Ermessens – sowie auf Angemessenheit hin (Art. 49 VwVG). Das Bundesverwaltungsgericht stellt sodann den rechtserheblichen Sachverhalt unter Vorbehalt der Mitwirkungspflichten der Parteien von Amtes wegen fest […]
Aus dem Anspruch auf rechtliches Gehör folgt zudem ein Anspruch der Parteien, dass ihre Vorbringen berücksichtigt werden. Ob dies hier erfolgt war, war vor BVGer strittig, weil eine Stellungnahme in der Verfügung nicht oder jedenfalls nicht ausdrücklich erwähnt worden war. Das muss der EDÖB laut BVGer aber auch nicht – es reicht, wenn Stellungnahmen zu den Akten genommen werden, zumindest dann, wenn sich im Verfahrensverlauf erkennen lässt, dass und wie die Stellungnahme berücksichtigt worden war (hier durch eine Anpassung der Verfügung).
Auch die Anforderungen an die Begründungstiefe der Verfügung setzt das BVGer hier recht niedrig an: Dass der EDÖB Phishing als Gefahr für die betroffenen Personen eingestuft hatte, musste er nicht näher begründen. In einem Punkt verwirft das BVGer aber die Begründung in der Verfügung – der EDÖB hat den Anspruch von Apfelkiste auf eine nachvollziehbare Begründung “schwerwiegend” verletzt.
Dieses Urteil muss in diesem Punkt Signalcharakter haben. Man kann konstatieren, dass früher Sachverhaltsabklärungen und heute Untersuchungen zuweilen sehr liberal mit dem Sachverhalt umgehen und die Begründungen des EDÖB sehr knapp, holzschnittartig, etwas luftig oder auch widersprüchlich ausfallen können.
Also, “schwerwiegend”, und zwar sowohl in der Begründung als auch im Dispositiv:
Die Vorinstanz hält in der angefochtenen Verfügung einerseits fest, eine Information der betroffenen Personen sei nicht unmöglich, jedoch unverhältnismässig. Gleichzeitig weist sie darauf hin, dass in der vorliegenden Konstellation Art. 24 Abs. 5 Bst. c DSG respektive die öffentliche Bekanntmachung zur Anwendung gelangen könne. Weitergehende Ausführungen enthält die angefochtene Verfügung nicht. Eine Auseinandersetzung mit der öffentlichen Bekanntmachung fehlt gänzlich. Andererseits führt sie auf, es seien keine Gründe nachgewiesen worden, die eine Einschränkung der Information der Betroffenen rechtfertigen würden. Im Dispositiv verpflichtet die Vorinstanz die Beschwerdeführerin sodann zur Information der betroffenen Personen, ohne dies zu präzisieren. Indem sie die individuelle Information als unverhältnismässig qualifiziert, gleichzeitig jedoch ohne klare Differenzierung respektive ohne Erklärung die Pflicht zur Information der betroffenen Personen verfügt, ist die angefochtene Verfügung nicht nachvollziehbar und mithin unzureichend begründet. Die Vorinstanz hat folglich den Anspruch der Beschwerdeführerin auf eine nachvollziehbare und schlüssige Begründung der Verfügung in schwerwiegender Weise verletzt.
Zudem hat der EDÖB weitere Ausführungen von Apfelkiste zum Sachverhalt “nicht respektive nur teilweise berücksichtigt” – dabei ging es um technische Details der betroffenen URLs und ihrer Indexierung, die natürlich gerade keine Details waren, sondern wesentlich bei der Beurteilung der Risiken für die Betroffenen:
Zusammenfassend kann festgehalten werden, dass die Vorinstanz die Ausführungen der Beschwerdeführerin zum Sachverhalt in der angefochtenen Verfügung nicht respektive nur teilweise berücksichtigt hat.
Ferner waren dem EDÖB mehrere unpräzise Aussagen vorzuwerfen. – Die Bundesverwaltungsrichter*innen müssen sich bei ihrer Lektüre der Verfügung am Kopf gekratzt haben. Dennoch verzichtet das BVGer auf eine Aufhebung der Verfügung. Zwar ist der Anspruch auf das rechtliche Gehör formeller Natur. Weil das BVGer mit voller Kognition entscheidet und eine Rückweisung ein Leerlauf wäre, entscheidet es selbst. Aber immerhin: Es auferlegt dem EDÖB trotz seines Obsiegens eine Parteientschädigung von CHF 500 und reduziert die Gerichtskosten, weil der EDÖB den Anspruch auf rechtliches Gehör und die behördliche Begründungspflicht verletzt hat.
Verletzung der Datensicherheit
Das BVGer bestätigt zunächst, dass eine Verletzung der Datensicherheit i.S.v. Art. 5 Bst. h DSG vorlag. Es umschreibt den Begriff der Datensicherheitsverletzung folgendermassen:
Die Verletzung der Datensicherheit lässt sich auch als «planwidrigen Vorfall mit Sicherheitsrelevanz» beschreiben, der zur Beeinträchtigung eines oder mehrerer Schutzziele der Datensicherheit führt. Dabei sind drei Schutzziele massgebend: Vertraulichkeit (die Daten sind nur Berechtigten zugänglich), Verfügbarkeit (die Daten sind verfügbar, wenn sie benötigt werden) und Integrität (die Daten werden nicht unberechtigt oder unbeabsichtigt verändert). Eine Verletzung der Datensicherheit liegt mit anderen Worten vor, wenn mindestens einer dieser drei Aspekte unbeabsichtigt oder widerrechtlich beeinträchtigt wird. Grundsätzlich muss es effektiv zu einer solchen Beeinträchtigung kommen beziehungsweise gekommen sein. Die Vertraulichkeit gilt ohnehin schon als beeinträchtigt, sobald die blosse Möglichkeit besteht, dass Personendaten für Unbefugte zugänglich sind; ob ein entsprechender Zugriff tatsächlich stattfindet beziehungsweise stattgefunden hat, ist irrelevant. Eine Verletzung der Datensicherheit kann unter anderem mit einer dauerhaften Beeinträchtigung sowie einer eigentlichen Persönlichkeitsverletzung einhergehen, indem die betroffene Person etwa die Kontrolle über ihre Daten verliert oder indem die Daten missbraucht beziehungsweise Unbefugten offengelegt werden. Ob sich eine Verletzung der Datensicherheit ereignet hat, ist unabhängig davon zu beurteilen, ob diese schuldhaft oder widerrechtlich herbeigeführt wurde. Unbeachtlich sind in diesem Zusammenhang auch die mit der Verletzung verbundenen Risiken. Die Verletzung der Datensicherheit kann sowohl durch Dritte als auch durch den Verantwortlichen beziehungsweise Auftragsbearbeiter selbst verursacht werden […]
Das ist sicher eine zutreffende Definition. Ob ein Zugriff erfolgt ist, ist nicht massgebend für den Begriff der Sicherheitsverletzung, aber sehr wohl für die Risikoeinschätzung.
Dass die Sicherheit von Personendaten hier verletzt war, war klar und soweit ersichtlich auch nicht im Grundsatz bestritten:
Aus den Akten ergibt sich, dass RMA-URLs von Supportfällen der Beschwerdegegnerin in den Index der Suchmaschine Bing von Microsoft gelangten und damit seit ungefähr Juni 2023 Kundendaten respektive Personendaten nach Art. 5 Bst. a DSG, nämlich Kontaktdaten (Namen, E- Mail-Adressen, Postadressen), Kommunikationsinhalte (des Austausches zwischen der Kundschaft und «apfelkiste.ch» zum Supportfall), Bankdaten (IBAN) sowie Bilddaten (Fotos der gekauften Produkte) und Gutscheincodes Unbefugten offengelegt/zugänglich gemacht wurden respektive die Möglichkeit bestand, dass Personendaten für Unbefugte zugänglich sind. Damit wurde das Schutzziel der Vertraulichkeit beeinträchtigt, ungeachtet dessen, ob ein entsprechender Zugriff tat- sächlich stattgefunden hat.
Zur Risikobeurteilung
Bemerkenswert und richtig ist die Feststellung des BVGer, dass die Anzahl betroffener Personen grundsätzlich keine Rolle spielt für die Frage, ob eine Sicherheitsverletzung einen “Schutzbedarf” der Betroffenen auslöst, d.h. das Bedürfnis nach risikosenkenden Massnahmen:
An der Beurteilung, ob ein Schutzbedarf besteht, vermögen die Umstände, dass lediglich ein kleiner Teil der RMA-URLs betroffen und höchstens und nicht mindestens 19’000 URLs respektive Kundinnen und Kunden betroffen sind, nichts zu ändern. Der Schutzbedarf bezieht sich auf die einzelne von der Datenschutzverletzung betroffene Kundschaft und besteht darin, die Massnahmen ergreifen zu können, um die Risiken für deren Persönlichkeit oder Grundrechte zu reduzieren. Diese zu ergreifenden Massnahmen hängen damit nicht von der Anzahl der betroffenen RMA-URLs respektive Kundschaft ab.
Richtig ist dies deshalb, weil der Anspruch auf Persönlichkeits- oder Grundrechtsschutz ein Individualrecht darstellt und Einzelne nicht schlechter geschützt sein können, nur weil die Zahl der weiteren Betroffenen niedrig ist. Die Anzahl Betroffener kann aber die Eintretenswahrscheinlichkeit schädlicher Ereignisse erhöhen, was bei einer Risikobeurteilung berücksichtigt werden darf oder muss. Auch dies folgt aus dem Urteil des BVGer:
Selbst wenn das Missbrauchsrisiko grundsätzlich mit steigender Anzahl Personen, die (unbefugt) Zugriff auf die Personendaten haben, steigt, so handelt es sich vorliegend beim Kundenkreis um einen nicht unbedeutenden Empfängerkreis (rund 19’000 Personen). Ein Datenmissbrauch kann nicht ausgeschlossen werden; vielmehr besteht ein relevantes Risiko für die Persönlichkeit und die Grundrechte der betroffenen Personen.
Apfelkiste hatte nach Kenntnisnahme von der Verletzung Massnahmen getroffen, die einen Zugriff durch Unbefugte erschwerten oder verunmöglichten. Das war aber nicht ausreichend, weil zu spät:
Zudem ist nicht ausgeschlossen, dass die zuvor offengelegten Daten bereits zur Kenntnis genommen, gespeichert oder weiterverarbeitet worden sind. Entsprechend besteht auch nach der nachträglichen Zugriffsbeschränkung weiterhin ein relevantes Risiko eines Datenmissbrauchs, weshalb der Schutzbedarf der betroffenen Personen fortbesteht.
Das mag sein; hier macht es sich das BVGer aber zu einfach. Es spiele für die Risikobeurteilung keine Rolle, ob sich Betroffene gemeldet haben oder negative Folgen bekannt sind:
Die Begründung der Beschwerdeführerin, wonach keine Anzeichen dafür bestanden hätten, dass sich mögliche Folgen für die betroffene Kundschaft tatsächlich manifestiert hätten, vermag nicht zu überzeugen. Dasselbe gilt betreffend den Einwand, es habe weder eine relevante Eintrittswahrscheinlichkeit bestanden noch habe sich eine solche – entgegen den anfänglichen Erwartungen – als gering erwiesen, […] […]
Der Umstand, dass – soweit bekannt – bisher keine konkreten Folgen eingetreten sind, erlaubt keinen Schluss darauf, dass das Risiko als gering einzustufen wäre. Ebenso kann der Beschwerdeführerin nicht gefolgt werden, wenn sie die Eintrittswahrscheinlichkeit eines Schadens davon abhängig macht, ob sich die betroffene Kundschaft gemeldet hat oder nicht.
Das ist insofern falsch, als es den bekannten Folgen jede Relevanz abspricht. Bei einer grossen Zahl Betroffener und einer längeren Dauer lässt der Umstand, dass sich niemand gemeldet hat und augenscheinlich keine negativen Folgen eingetreten sind, durchaus den Schluss zu, dass die Eintretenswahrscheinlichkeit negativer Folgen etwas niedriger ist, als sie sonst anzunehmen wäre. Anscheinend wurden die hier betroffenen Daten nicht systematisch abgegriffen, im Darknet verkauft und zu einer Phishing-Kampagne eingesetzt – das ist nicht irrelevant, auch wenn es natürlich kein Nullrisiko beweist.
Zur Mitteilungspflicht gegenüber den Betroffenen
Der EDÖB hatte die Pflicht zur Mitteilung der Verletzung gegenüber den Betroffenen offenbar recht pauschal damit begründet, es könne zu Phishing kommen:
Die Information [gemäss EDÖB] den betroffenen Personen ermöglichen, die Kontrolle über die Nutzung ihrer Daten auszuüben. Sie führt aus, die Beschwerdeführerin habe in ihrer Meldung vom 16. Februar 2024 den Identitätsdiebstahl und einen finanziellen Schaden als mögliche Konsequenz für die be- troffenen Personen aufgeführt. Oftmals würden Datensätze aus Datensicherheitsverletzungen für die in der angefochtenen Verfügung beschriebenen Phishing-Attacken verwendet. Die Vorinstanz moniert zudem, dass die Beschwerdeführerin geltend mache, dass eine risikomindernde Wirkung aufgrund des Zeitablaufs nicht mehr erwartet werden könne, obwohl sie eine Verzögerung der Information selbst herbeigeführt habe. Mit diesem Argument werde die Informationspflicht ausgehöhlt.
Fraglich war vor BVGer, ob durch die Information der betroffenen Personen Risiken verhindert oder reduziert werden konnten, was insbesondere der Fall ist, wenn die betroffene Person selbst in der Lage ist, bestimmte Massnahmen zu ihrem Schutz zu treffen. Das BVGer sagt hier beiläufig etwas Willkommenes:
Der EDÖB darf die Information auch nur anfordern, wenn es zum Schutz der betroffenen Person erforderlich ist
Der EDÖB selbst hatte in seinem Leitfaden zu Sicherheitsverletzungen behauptet, er könne eine Information der Betroffenen auch anordnen, weil es die Leute gerne lesen:
[…] auch verlangen, weil nach seinem Dafürhalten wegen der grossen Anzahl von Betroffenen oder einer medialen Berichterstattung ein öffentliches Interesse daran besteht, dass die Verantwortlichen die hohe Anzahl von Betroffenen und damit indirekt auch eine breite Öffentlichkeit in geeigneter Weise mit näheren Informationen zu den Folgen einer Datensicherheitsverletzung versorgen.
Das dürfte damit vom Tisch sein.
Das BVGer bejaht hier aber eine Pflicht, die Betroffenen über den Vorfall zu informieren, weil das Risiko von Phishing, Social Engineering, Identitätsdiebstahl oder Geldabzug bestehe und von den Betroffenen reduziert werden könne:
Von der Datensicherheitsverletzung sind vorliegend diverse Personendaten betroffen. In Kombination mit der IBAN, dem Namen und der Adresse einer Per- son kann insbesondere Identitäts- oder Social-Engineering-Betrug begangen werden. Auch könnte zum Beispiel mittels eines Lastschriftverfahrens Geld bezogen werden. Als Massnahmen, welche die betroffene Person selbst ergreifen kann, kommen beispielsweise die Änderung vonZugangsdaten beziehungsweise Passwörtern zu Benutzerkonten, die Prüfung von Kontoauszügen, die kritische Prüfung von Nachrichten und Anfragen, welche möglicherweise mit widerrechtlich beschafften (besonders vertraulichen) Personendaten fabriziert wurden und Phishing-Zwecken dienen könnten, in Betracht […] Die betroffene Person könnte beispielsweise diese Massnahmen ergreifen oder die Information der eigenen Bank und das Einschränken oder Sperren des Lastschriftverfahrens vornehmen. Ein Schutzbedarf der betroffenen Personen liegt entsprechend vor, weshalb sich die Information der betroffenen Personen als notwendig erweist
Dass seit der Verletzung einige Zeit vergangen war, änderte daran nichts – generell scheint der Zeitablauf bei Verletzungen wie hier keine Rolle zu spielen:
Das von der Beschwerdeführerin vorgebrachte Argument, wonach aufgrund des Zeitablaufs eine risikomindernde Wirkung nicht mehr zu erwarten sei, verfängt nicht. Die seit der Datenschutzverletzung verstrichene Zeit schliesst einen Missbrauch der betroffenen Daten nicht aus. Personendaten können nach einer unbefugten Offenlegung jederzeit gespeichert, kopiert und zu einem späteren Zeitpunkt weiterverwendet oder weitergegeben werden. Ein Missbrauch kann demnach auch lange nach der unbefugten Offenlegung respektive der Datenschutzverletzung erfolgen. Der Zeitablauf lässt daher keinen verlässlichen Schluss zu, dass die betroffenen Daten nicht (mehr) missbräuchlich verwendet werden und eine risikomindernde Wirkung nicht mehr zu erwarten wäre. Entsprechend bleibt das Risiko eines Datenmissbrauchs – und damit der Schutzbedarf der betroffenen Personen – ungeachtet der seit der Datenschutzverletzung vergangenen Zeit bestehen.
Ausnahmen von der Informationspflicht
Nach Art. 24 Abs. 5 DSG kann der Verantwortliche die Information an die betroffene Person u.a. dann einschränken, aufschieben oder darauf verzichten, wenn die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert.
“Unmöglich” heisst aber nicht “schwierig” und auch nicht “ich weiss nicht, welcher Teil meiner Kunden betroffen ist”:
Weiter kommt eine Einschränkung der Meldung an die betroffene Person gemäss Art. 24 Abs. 5 Bst. b DSG zunächst dann in Betracht, wenn eine Information unmöglich ist. Dies trifft insbesondere auf Fälle zu, in denen der Verantwortliche gar nicht weiss, welche Personen von der Verletzung der Datensicherheit betroffen sind, was zum Beispiel darauf zurückzuführen sein kann, dass die Logfiles, aus denen dies ersichtlich wäre, nicht mehr vorhanden sind. Unmöglich ist die Information sodann, wenn sich zwar die betroffenen Personen eruieren lassen, deren Kontaktangaben aber nicht bekannt sind. Allerdings kann sich der Verantwortliche nicht mit dem Argument, er wisse nicht genau, von welchen Personen seiner Kundschaft die Daten gestohlen wurden, der Meldepflicht entziehen. In solchen Konstellationen drängt sich eine «überschiessende» Meldung auf, indem der Verantwortliche auch Personen informiert (und diese beispielsweise zur Änderung von Passwörtern auffordert), die möglicherweise gar nicht von der Verletzung der Datensicherheit betroffen sind. […]
Vorliegend war eine Information aber anscheinend effektiv unmöglich, weil Apfelkiste als Schutzmassnahme alle möglicherweise betroffenen URLs bei Bing blockieren liess. Das verunmögliche technisch eine Information der betroffenen Kundschaft. Ob dem effektiv so ist, wird aus dem Urteil nicht restlos klar, anscheinend auch dem BVGer nicht, aber es spielte auch keine Rolle:
Eine Einschränkung nach Art. 24 Abs. 5 Bst. b DSG ist auch möglich, wenn die Information einen unverhältnismässigen Aufwand erfordert. Von einem solchen ist zum Beispiel auszugehen, wenn eine grosse Anzahl betroffener Personen individuell informiert werden müsste, wobei die dadurch entstehenden Kosten im Verhältnis zum Informationsgewinn für die einzelnen Personen unverhältnismässig wären. Zu denken ist weiter an den Fall, in dem die Kontaktdaten einer grossen Anzahl betroffener Personen nur schwer ermittelbar sind beziehungsweise hierfür langwierige Abklärungen erforderlich wären, so dass die Meldung erst zu einem Zeitpunkt erfolgen könnte, in welchem es zur Vornahme von Gegenmassnahmen durch die betroffenen Personen bereits zu spät ist, namentlich weil sich das Risiko zwischenzeitlich verwirklicht hat […].
Vorliegend ist eine Identifikation der betroffenen Personen aufgrund der von der Beschwerdeführerin getroffenen Massnahmen nicht mehr möglich. Doch selbst wenn eine solche möglich wäre, so würde die Einschränkung nach Art. 24 Abs. 5 Bst. b DSG zur Anwendung gelangen, da die Information der betroffenen 19’000 Kundinnen und Kunden einen unverhältnismässigen Aufwand bedeuten würde.
Information durch öffentliche Bekanntmachung
Interessanterweise schreibt Art. 24 DSG eine Bekanntmachung gar nicht expressis verbis vor, sondern nur die Ausnahme von der Pflicht zur Information der Betroffenen von einer solchen Möglichkeit abhängig macht, weshalb der EDÖB eine solche Bekanntmachung nicht anordnen kann – er verfügt durch das Instrument der eigenen Information der Öffentlichkeit aber über ein Druckmittel:
[…] Allerdings statuiert das DSG keine (ausdrückliche) Pflicht, in solchen Fällen eine öffentliche Bekanntmachung vorzunehmen. Dies erscheint insoweit vertretbar, als in Konstellationen, in denen nur vereinzelte betroffene Personen nicht individuell informiert werden können, weil z. B. deren E‑Mail-Adressen unbekannt sind, eine öffentliche Bekanntmachung unverhältnismässig erschiene. Allerdings sind in Einzelfällen auch stossende Ergebnisse denkbar: Sind etwa zahlreiche Personen von einer Verletzung der Datensicher- heit betroffen und würde deren individuelle Information einen unverhältnismässigen Aufwand erfordern, ist eine öffentliche Bekanntmachung nach dem Gesetzeswortlaut im Prinzip selbst dann nicht erforderlich, wenn dadurch den aus der Verletzung herrührenden Risiken wirksam begegnet werden könnte. Auch fehlt es dem EDÖB in solchen Fällen an der Kompetenz, vom Verantwortlichen (formell) die Vornahme einer öffentlichen Bekanntmachung zu verlangen, weil der EDÖB im Rahmen einer verwaltungsrechtlichen Massnahme grundsätzlich nur ein Verhalten einfordern kann, zu dem der Verantwortliche bereits von Gesetzes wegen verpflichtet ist. Immerhin könnte der EDÖB unter gegebenen Voraussetzungen von sich aus die Öffentlichkeit «über seine Feststellungen und Verfügungen» informieren (Art. 57 Abs. 2 DSG). Um einer solchen Massnahme zuvorzukommen, dürfte dem Verantwortlichen faktisch trotz fehlender (ausdrücklicher) Pflicht regelmässig geraten sein, von sich aus eine öffentliche Bekanntmachung vorzunehmen, soweit dies zum Schutz der betroffenen Personen sinnvoll und im Sinne einer Gesamtbetrachtung verhältnismässig erscheint […].
Die öffentliche Information ist aber nur eine Alternative, wenn sie einer individuellen Information äquivalent ist (“die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist”). Das war hier fraglich. Immerhin, ganz wirkungslos wäre die Information nicht:
Mit einer öffentlichen Bekanntmachung zum Beispiel auf der Internetseite der Beschwerdeführerin würde ein Informationskanal gewählt, bei dem damit gerechnet werden darf, dass er zumindest von einem Teil der betroffenen Kundschaft erreicht wird und diese Informationen über diverse Kanäle (mündliche Weitergabe, Information über Medien usw.) wei- tergetragen werden, sodass schliesslich auch jene betroffene Kundschaft davon Kenntnis erhält, die nicht aus erster Hand von der Information im Rahmen der öffentlichen Bekanntmachung erfährt. Inhaltlich wäre derselbe Informationsgehalt mitzuteilen wie im Rahmen einer individuellen Information. Nach dem Gesagten erweist sich eine öffentliche Bekanntmachung grundsätzlich als möglich.
Eine Bekanntmachung wäre zudem auch geeignet, betroffene Personen zu erreichen (unabhängig davon, ob auch weitere Personen informiert werden). Weil eine individuelle Information nicht möglich oder unverhältnismässig wäre, ist die Bekanntmachung zugleich das mildeste Mittel und daher auch erforderlich. Sie ist schliesslich auch zumutbar und damit verhältnismässig, u.a. weil Apfelkiste an einem möglichen Reputationsschaden selber schuld ist:
Angesichts des bestehenden Schutzbedürfnisses kommt diesem Interesse erhebliches Gewicht zu. Demgegenüber steht das Interesse der Beschwerdeführerin nicht öffentlich zu informieren, um keinen Reputationsschaden zu erleiden und nicht betroffene oder potenzielle Kundschaft nicht unnötig zu verunsichern. Das Interesse am Schutz des geschäftlichen Rufs ist grundsätzlich anzuerkennen. Zu berücksichtigen ist jedoch, dass der allfällige Reputationsschaden seine Ursache in einer von der Beschwerdeführerin selbst zu verantwortenden Datenschutzverletzung hat. Es widerspräche dem Schutzzweck des Datenschutzrechts, wenn sich eine (juristische) Person unter Hinweis auf mögliche Reputationsschäden der Information der Betroffenen entziehen könnte. Dass auch nicht betroffene oder potenzielle Kundschaft Kenntnis von einer Datenschutzverletzung erlangt, stellt keine unverhältnismässige Zusatzbelastung dar, zumal die Mitteilung sachlich erfolgen und auf das Notwendige beschränkt werden kann. Insgesamt überwiegt das Interesse der betroffenen Person am Schutz ihrer Persönlichkeit das Interesse der Beschwerdeführerin an der Vermeidung einer öffentlichen Information; die Massnahme erweist sich demnach auch als zumutbar.
Wie gesagt: Der EDÖB darf die öffentliche Bekanntmachung nicht anordnen, weil sie das DSG – in der Lesart des BVGer – nicht ausdrücklich vorschreibt. Das kann man sicher bestreiten; der Wortlaut sieht eine solche Pflicht nicht vor, aber der Gesetzeszweck ist sonnenklar. Der EDÖB hatte eine solche Bekanntmachung aber auch gar nicht angeordnet – er hatte nur befohlen, die Betroffenen zu informieren.
Das BVGer schützt dieses Dispositiv und hält die öffentliche Bekanntmachung für verhältnismässig. So weit so gut – es hält zugleich aber fest, dass die Information unmöglich oder mindestens unverhältnismässig sei und das DSG die öffentliche Bekanntmachung nicht wirklich anordne. Also quid? Am Ende kann man dem BVGer wohl nur dieselbe Verletzung der Begründungspflicht vorwerfen, die es dem EDÖB attestiert. Die Verhältnismässigkeit ist jedenfalls keine datenschutzrechtliche Grundlage für eine Pflicht zur öffentlichen Bekanntmachung. Weshalb das BVGer eine solche Pflicht nicht einfach in Art. 24 Abs. 5 hineingelesen hat, bleibt unklar. Jedenfalls kann eine Nichtbeachtung der Verfügung unter diesen Umständen unmöglich zur Ungehorsamsstrafe führen.