Ihre Kontakte
Das Bundesverwaltungsgericht (BVGer) verpflichtet die Online-Auskunftei Moneyhouse zur Anpassung ihrer Datenbearbeitungspraxis. Das Gericht gelangt in einem aktuellen Urteil zum Schluss, dass Moneyhouse bei der Verknüpfung von Basisdaten einer Person mit weiteren Informationen, wie zur Lebens- und Wohnsituation und zum beruflichen Werdegang, Persönlichkeitsprofile bearbeitet und den Premium-Nutzern zur Weiterbearbeitung zur Verfügung stellt. Da hierbei die Interessen der Betroffenen überwiegen, seien diese Bearbeitungen nur bei Vorliegen von ausdrücklichen Einwilligungen erlaubt. Davon ausgenommen ist jedoch die Bearbeitung von Daten, die für die Erteilung von Bonitätsauskünften erforderlich sind, wobei die Grenzziehung des Gerichts nicht überzeugt und letztlich unklar bleibt. Moneyhouse wurde sodann nicht dazu verpflichtet, die Suchmaschinen-Indexierung von Angaben über im Handelsregister eingetragene Personen einzuschränken. Gutgeheissen wurde demgegenüber die Forderung, dass Moneyhouse die Richtigkeit ihres Datenbestands regelmässig überprüft und dies im Verhältnis von 5% zu den auf der Plattform getätigten Abfragen.
Vorgeschichte: Untersuchungen und Empfehlungen des EDÖB
Die Moneyhouse AG (ehemals itonex AG) betreibt seit Jahren die Plattform www.moneyhouse.ch. Sie veröffentlicht darauf insbesondere Handelsregisterdaten. Das aktuelle Urteil geht auf eine Untersuchung des Eidg. Datenschutzbeauftragte (EDÖB) zurück. Es handelt sich dabei allerdings nicht um die erste Auseinandersetzung zwischen dem EDÖB und Moneyhouse.
Bereits 2007 erliess der EDÖB im Rahmen einer Untersuchung Empfehlungen hinsichtlich der Datenbearbeitungspraxis, welche Moneyhouse nicht befolgen wollte. Die in der Folge erhobene Klage des EDÖB wies das Bundesverwaltungsgericht 2008 ab, da die Datenbearbeitungen von Moneyhouse durch den Zweck der Öffentlichkeit des Handelsregisters gerechtfertigt sei (vgl. dazu MLL-News vom 24.7.2012).
Seit Mitte 2012 wurden auf der Plattform allerdings auch Daten zu Personen, die nicht im Handelsregister eingetragen sind, veröffentlicht und ferner auch Handelsregisterdaten mit weiteren Daten verknüpft. Dies führte zu einer weiteren Untersuchung des EDÖB. Nachdem das Bundesverwaltungsgericht superprovisorische Massnahmen des EDÖB bestätigte (vgl. MLL-News vom 24.7.2012), erzielten die Parteien eine Einigung und Moneyhouse akzeptierte die Empfehlungen des EDÖB (vgl. MLL-News 27.2.2013).
Hinsichtlich des zweiten Teils der „mehrstufigen“ Untersuchung des EDÖB erliess er im November 2014 wiederum Empfehlungen an die Adresse von Moneyhouse. Da nicht sämtliche Empfehlungen akzeptiert wurden, erhob der EDÖB Klage vor Bundesverwaltungsgericht.
Einhaltung der Datenbearbeitungsgrundsätze offen gelassen
Im aktuellen Urteil des Bundesverwaltungsgerichts (A-4232/15) wird die Klage nun mehrheitlich gutgeheissen. Ob Moneyhouse bei der Bearbeitung der Vielzahl von unterschiedlichen Personendaten aus den verschiedensten Quellen die Datenbearbeitungsgrundsätze (Art. 4 Abs. 2-4 DSG) einhält, was nach Ansicht des EDÖB nicht der Fall ist, musste im vorliegenden Fall nicht geprüft werden. Denn zum einen waren die Rechtsbegehren des EDÖB nicht darauf ausgerichtet. Zum anderen ging das Gericht davon aus, dass Moneyhouse Dritten Persönlichkeitsprofile bekannt gibt und somit bereits aus diesem Grund eine persönlichkeitsverletzende Datenbearbeitung vorlag (vgl. Art. 12 Abs. 2 lit. c DSG).
Die fehlende Auseinandersetzung mit den Datenbearbeitungsgrundsätzen ist angesichts der spärlichen Rechtsprechung zu bedauern. Dies gilt umso mehr, als diese – anders als die Regelung zu den Persönlichkeitsprofilen – voraussichtlich auch im Rahmen der Totalrevision des Datenschutzrechts beibehalten werden (vgl. dazu MLL-News vom 14.2.2017).
Moneyhouse bearbeitet Persönlichkeitsprofile
Einer der zentralsten Streitpunkte betraf somit die Frage, ob es sich bei den von Moneyhouse bearbeiteten Daten um Persönlichkeitsprofile im Sinne des Schweizer Datenschutzgesetzes (DSG) handelt und somit die qualifizierten gesetzlichen Vorgaben einzuhalten sind. Das Gesetz versteht unter einem Persönlichkeitsprofil „eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt“ (Art. 3 lit. d DSG).
Aufgrund der vom EDÖB gestellten Rechtsbegehren beschränkte sich die Beurteilung auf diejenigen Daten, die Moneyhouse gegenüber registrierten Nutzern bekannt gibt, die ein entgeltliches Premiumabonnement abgeschlossen haben. Diesen stehen, sofern vorhanden, folgende Angaben über eine Person zur Verfügung:
- Vorname und Name,
- Strasse, Wohnort und Postleitzahl,
- Geburtsdatum und damit Alter,
- aktueller Beruf, beruflicher Werdegang und berufliches Netzwerk,
- Nationalität,
- Haushaltsmitglieder und Wohnsituation mit Verlinkung auf Google-Street-View sowie Nachbarn und
- alte Adressen bzw. Wohnorte.
Zusätzlich werden Angaben zum Gebäudetyp, zu den Anzahl Haushalten im Gebäude, zur Bauperiode, zu den Baukosten und zur Anzahl Etagen gemacht.
Vor diesem Hintergrund gelangte das Bundesverwaltungsgericht zum Schluss, dass Moneyhouse ihren Premium-Nutzern systematisch verknüpfte Informationen zur privaten Wohn- und Lebenssituation sowie zum beruflichen Werdegang und Netzwerk natürlicher Personen und damit Daten zu zwei wesentlichen Teilaspekten der Persönlichkeit bekannt gibt. Die Premium User könnten ferner auf die von Moneyhouse angebotenen Dienstleistungen wie Bonitäts-, Steuer- und Grundbuchauskünften zurückgreifen und dadurch selbst relativ simpel Persönlichkeitsprofile gesuchter Personen erstellen oder weiterbearbeiten (Erwägung 5.2.5.2).
Persönlichkeitsprofil liegt auch bei Zusammenstellung öffentlich zugänglicher Daten vor
In der Begründung dieser Schlussfolgerung hält das Bundesverwaltungsgericht fest, dass die Herkunft der einzelnen Daten für das Vorliegen von Persönlichkeitsprofilen irrelevant sei. Daher sei es in diesem Zusammenhang unerheblich, ob die strittigen Daten bereits allgemein zugänglich gemacht worden sind oder nicht. Bei Daten aus öffentlichen Quellen wie dem Handels- oder Steuerregister, aus Amtsblättern oder dem Grundbuch sei es den betroffenen Personen zudem aufgrund der entsprechenden gesetzlichen Verpflichtungen nicht möglich, deren Art und Umfang zu bestimmen.
Keine Rechtfertigung durch Prüfung der Kreditwürdigkeit
In der Folge war somit zu beurteilen, ob sich Moneyhouse für die Bearbeitung der Persönlichkeitsprofile auf einen Rechtfertigungsgrund berufen kann. Untersucht wurde dabei zunächst die Rechtfertigung durch die Prüfung der Kreditwürdigkeit im Sinne von Art. 13 Abs. 2 DSG.
Dieser Rechtfertigungsgrund setzt allerdings gerade voraus, dass keine Persönlichkeitsprofile bearbeitet werden. Die Tatsache, dass der Gesetzgeber mit dieser Bestimmung den Betrieb von Auskunfteien ermöglichen wollte, veranlasst das Gericht jedoch zu folgenden Schlussfolgerungen:
- Diejenigen Daten, die eine Auskunftei im Rahmen ihres zweckmässigen Betriebs bearbeiten muss, können noch kein Persönlichkeitsprofil darstellen.
- Entscheidend ist somit, welche Daten zur Erteilung von Bonitätsauskünften notwendig sind.
Aus dem Urteil (Erwägung 5.2.5.1) geht sodann hervor, dass das Gericht hierfür namentlich Daten über die Wohnsituation als nicht notwendig betrachtet. Moneyhouse argumentierte, dass sich aufgrund der Wohn- und Lebenssituation einer Person allenfalls Rückschlüsse auf weitere finanzielle Verpflichtungen ehe- und familienrechtlicher Art und auf deren Bonität im Allgemeinen ziehen lassen. Das Gericht hält dem Folgendes entgegen:
„Tendenziell lassen sich aus derartigen Angaben zwar mit Bezug auf die finanziellen Verhältnisse einer natürlichen Person Schlussfolgerungen ziehen und auch genau deshalb wird damit ein wesentlicher Teilaspekt der Persönlichkeit beleuchtet. Die Angaben können jedoch ebenso zu falschen Annahmen führen und belegen die Kreditwürdigkeit einer natürlichen Person somit nicht zuverlässig.“
Diese Argumentation vernachlässigt insbesondere, dass auch andere Angaben, wie bspw. das Vorliegen einer Betreibung, die ungerechtfertigt oder gar missbräuchlich erfolgt sein kann, zu falschen Schlussfolgerungen über die Kreditwürdigkeit führen können. Die Eingrenzung des Gerichts der für die Bonitätsprüfung erforderlichen Daten ist insofern wenig geglückt und bleibt letztlich unklar.
Keine Rechtfertigung durch Einwilligung
In der Folge beurteilt das Bundesverwaltungsgericht, ob sich Moneyhouse auf ausdrückliche Einwilligungen der Betroffenen berufen kann (vgl. Art. 4 Abs. 5 DSG). Hierfür ist erforderlich, dass diese Personen über Gegenstand, Zweck und Umfang der beabsichtigten Datenbearbeitungen aufgeklärt wurden. Unabhängig davon sieht das Gesetz bei der Bearbeitung von Persönlichkeitsprofilen auch eine aktive Informationspflicht vor (Art. 14 DSG). Das Gericht weist ferner darauf hin, dass diese Pflicht selbst dann gilt, wenn die betroffene Person ihre Daten selber veröffentlicht hat. In diesem Falle, also wenn die Daten nicht bei der Betroffenen selbst erhoben werden, hat die Information spätestens bei der Speicherung der Daten zu erfolgen (Art. 14 Abs. 3 DSG).
Im vorliegenden Fall waren diese Anforderungen nach Ansicht des Gerichts jedoch nicht erfüllt (Erwägung 5.4.1). So genüge insbesondere die Tatsache nicht, dass die Website von Moneyhouse suchmaschinen-indexiert sei und die Betroffenen deshalb anhand einer Google-Suche leicht erkennen könnten, ob Daten über sie bearbeitet werden oder nicht. Erforderlich ist nach Ansicht des Gerichts eine aktive, zeitgerechte Information der Betroffenen.
Darüber hinaus brachte Moneyhouse vor, dass die Betroffenen gegenüber der Post im Rahmen eines Nachsendeauftrags/Wohnungswechsels der Adressweitergabe unter anderem für Wirtschaftsauskunfteien zugestimmt hätten. Das Gericht hält dem entgegen, dass die Betroffenen damit aber nicht gegenüber Moneyhouse in die Erstellung eines Persönlichkeitsprofils eingewilligt hätten. Hier scheint das Gericht jedoch unzutreffend davon auszugehen, dass nicht nur der Beschaffer von Personendaten über eine hinreichende Einwilligung verfügen muss, sondern auch gegenüber jedem späteren Empfänger und Weiterbearbeiter der Daten eine Einwilligung zu erteilen ist. An dieser Stelle wäre zumindest eine Auseinandersetzung mit der Frage angezeigt gewesen, ob eine Einwilligung sich nicht auch auf die Art von Datenbearbeitern (z.B. Auskunfteien) beziehen kann, an welche die Daten nach der Beschaffung weitergegeben werden. Diese Frage ist im Grundsatz zu bejahen, wobei gerade bei der Bearbeitung und Verknüpfung einer Vielzahl von unterschiedlichen Personendaten aus verschiedenen Quellen entscheidend ist, dass auch hierüber konkret informiert wird.
Vorliegend hatten die betroffenen Personen laut Bundesverwaltungsgericht jedenfalls regelmässig keine Kenntnis davon, dass und zu welchem Zweck Daten über sie bearbeitet werden. Das Vorliegen von expliziten Einwilligungen der Betroffen sei von Moneyhouse somit nicht belegt worden.
In diesem Zusammenhang ging das Gericht auch davon aus, dass die Sonderregelung für allgemein zugänglich gemachte Daten vorliegend nicht greift (vgl. Art. 12 Abs. 3 DSG). Hierfür wäre erforderlich, dass die betroffene Person ihre Daten mit Wissen und Willen allgemein zugänglich gemacht hat oder durch einen Dritten zugänglich machen liess. Bei den Handelsregisterdaten oder Daten auf anderen Plattformen wie local.ch sei dies jedoch nicht der Fall. Blosses Dulden der Handlung eines Dritten, ohne etwas zum Zugänglichmachen beizutragen, genüge nicht. Die strittigen Daten würden somit nicht von den betroffenen Personen selber im Sinne der Sonderregelung wissentlich und willentlich auf der Plattform von Moneyhouse allgemein zugänglich gemacht.
Interessen der Betroffenen überwiegen diejenigen auf der Seite von Moneyhouse
Schliesslich verneinte das Bundesverwaltungsgericht auch die Rechtfertigung durch überwiegende Interessen von Moneyhouse. Bereits einleitend hält das Gericht hierzu fest, dass der Geheimhaltung von Persönlichkeitsprofilen nach Lehre und Rechtsprechung ein erhebliches Gewicht zukomme und die Güterabwägung in der Regel zugunsten der betroffenen Personen ausfallen dürfte. Namentlich unter Hinweis auf den bundesgerichtlichen Leitentscheid in Sachen Google Street View (vgl. dazu MLL-News vom 16.7.2012) wird sodann Folgendes festgehalten (Erwägung 5.4.2.2):
„Gewinnstrebige Interessen der Beklagten sind wie erwähnt zu berücksichtigen, sowie grundsätzlich auch das Informationsinteresse des Publikums, d.h. die Interessen Dritter, welche durch die erleichterte Informationsbeschaffung und -verwendung aus der Plattform www.moneyhouse.ch einen Nutzen ziehen […]. Letztere erleichtert einem erheblichen Teil der Bevölkerung die Suche nach Wirtschafts- und anderen Informationen. […] Das Dienstleistungsangebot der Beklagten im Bereich der Premiumabonnemente dehnt das staatliche Informationsangebot jedoch quantitativ aus, indem nicht nur bereits veröffentliche (Handelsregister)Daten weitergegeben werden. […] Bei der darüber hinausgehenden Verknüpfung von öffentlich und nicht öffentlich zugänglichen Daten zu einem Persönlichkeitsprofil verfängt das öffentliche Interesse des Gläubigerschutzes bzw. an der Verbreitung von Wirtschaftsinformationen nicht: Für die Überprüfung der Bonität eines potentiellen Vertragspartners oder im Rahmen einer Kreditvergabe können mit dessen Einwilligung im Einzelfall Auskünfte betreffend Einkommen, Betreibungen etc. eingeholt werden, was ausreichend zur Befriedigung des vorgenannten Interesses ist; dazu bedarf es keiner Erstellung eines Persönlichkeitsprofils. Zudem ist zu berücksichtigen, dass die Lebens- und Wohnsituation der betroffenen Personen deren Kreditwürdigkeit wenn überhaupt, so sicherlich nicht zuverlässig zu belegen vermag.“
Vor diesem Hintergrund kann sich Moneyhouse nach Ansicht des Bundesverwaltungsgerichts – ausser die Handelsregisterdaten betreffend – nur auf eigene wirtschaftliche und somit vor allem finanzielle Interessen berufen, welchen aber gegenüber denjenigen der Betroffenen weniger Gewicht zukommt. Die vom EDÖB in diesem Zusammenhang gestellten Rechtsbegehren wurden deshalb im Wesentlichen gutgeheissen. Moneyhouse muss deshalb:
- von den natürlichen Personen ohne Handelsregistereintrag eine ausdrückliche Einwilligung für Datenbearbeitungen einholen, die nicht für die Erteilung von Bonitätsauskünften erforderlich sind;
- bei fehlender Einwilligung: die Daten dieser Personen ausschliesslich im Rahmen der Erteilung von Bonitätsauskünften bearbeiten und die hierfür nicht benötigten Daten vollständig löschen sowie Verlinkung entfernen, die das Erstellen von Persönlichkeitsprofilen ermöglichen.
Suchmaschinen-Indexierung nicht zu unterbinden
Ein weiteres Rechtsbegehren des EDÖB betraf sodann die Suchmaschinen-Indexierung der Daten auf der Website von Moneyhouse. Damit verlangt er letztlich, beschränkt auf Personen, die im Handelsregister eingetragen sind, dass bei einer Personensuche über Suchmaschinen die Einträge auf Moneyhouse nur in den Suchresultaten angezeigt werden, wenn zusätzlich der Begriff „Moneyhouse“ eingegeben wird. Ferner sollen in den angezeigten Suchresultaten keine weiteren Informationen über private Lebensumstände enthalten sein.
Wer in diesem Zusammenhang nun Ausführungen zur technischen Umsetzung dieses Begehrens mit Mitteln wie robots.txt-Dateien oder No-Index-Meta-Tags erwartet, wird allerdings enttäuscht. Denn zum einen hält das Gericht (Erwägung 6.1) hierzu bloss undifferenziert fest, dass die Indexierungen und Querverlinkungen ausserhalb des Herrschaftsbereichs von Moneyhouse liegen würden. Da Moneyhouse nicht Betreiberin der Suchmaschinen sei, bestünden keine oder nur begrenzte Einflussmöglichkeiten. Deshalb erwiese sich schon die faktische technische Umsetzung des Begehrens als schwierig. Zum anderen wird das Begehren aber auch deshalb abgewiesen, weil die Datenbearbeitungen von Moneyhouse bei Umsetzung der anderen gutgeheissenen Rechtsbegehren rechtskonform seien und es deshalb datenschutzrechtlich keinen Unterschied mache, inwiefern sich auf der Plattform eingetragene Personen über Suchmaschinen auffinden lassen.
Datenrichtigkeit muss im Verhältnis von 5% der getätigten Abfragen überprüft werden
Der EDÖB verlangt weiter, dass Moneyhouse „ihren Datenbestand betreffend Richtigkeit in einem gerichtlich festzulegenden, angemessenen Prozentsatz zu den getätigten Abfragen auf ihrer Plattform www.moneyhouse.ch“ überprüft. Gesetzlich ist die Pflicht zur Überprüfung der Datenrichtigkeit namentlich in Art. 5 Abs. 1 DSG geregelt. Datenbearbeiter haben danach alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind.
Wie weit die jeweilige Überprüfung gehen muss, hängt laut Bundesverwaltungsgericht von den Rahmenbedingungen der Datenbearbeitung, also dem Zweck der Datensammlung ab, sowie davon inwieweit eine Datenbekanntgabe erfolgt und wie sensitiv diese sei. Die Anforderungen stünden deshalb im Zusammenhang zu einer möglichen Persönlichkeitsverletzung: je grösser das Risiko einer Verletzung sei, desto höhere Anforderungen seien zu stellen.
Für den vorliegenden Fall gelangte das Gericht zum Schluss, dass die Überprüfung des Datenbestands im Verhältnis von 5% zu den auf Moneyhouse getätigten Abfragen als angemessen erscheine. Ausschlaggebend hierfür waren folgende Faktoren:
- die grosse Anzahl der von den Datenbearbeitungen betroffenen Personen und
- die Bedeutung der Richtigkeit, Vollständigkeit und Aktualität der Daten sowohl bei der mit Einwilligung durchgeführten, sensitiven Bearbeitung von Persönlichkeitsprofilen als auch im Bereich von Bonitätsauskünften.
Bei der Wahl der Massnahmen zur Sicherstellung der Datenqualität sei Moneyhouse grundsätzlich frei. Allerdings müssten die Massnahmen angemessen sein, d.h. die getroffene Datenauswahl muss aussagekräftig und die gewählte Überprüfungsmethode effektiv sein.
Weitere Begehren
Der EDÖB stellte schliesslich zwei weitere Begehren, welche vom Gericht beide gutgeheissen wurden. So wird Moneyhouse verpflichtet, Auskunftsgesuche im Sinne von Art. 8 DSG, die sie nicht beantworten kann, umgehend und kostenlos an ihre zuständigen Vertragspartner weiterzuleiten. Hintergrund dieses Begehrens war der Umstand, dass Moneyhouse Personen, die um eine Auskunft hinsichtlich der sie betreffenden Bonitätsresultate ersuchten, an ein anderes Unternehmen verwies, von welchem die Handelsregisterdaten bezogen werden. Moneyhouse bestritt, dass sie Inhaberin der der „Bonitätsampel“ zugrunde liegenden Datensammlung sei. Das Gericht hält hierzu fest, dass die massgeblichen Daten von Dritten gekauft werden und die Daten mit dem Erwerb zur Datensammlung von Moneyhouse gehören. Sie entscheide als Inhaberin der Sammlung über die Verwendung der Daten auf der Plattform. Ferner könne das Auskunftsrecht selbst bei einer Mit-Entscheidung der Lieferanten, also einer gemeinsam geführten Datensammlung, bei jedem Inhaber geltend gemacht werden, sofern nicht einer von ihnen für die Behandlung aller Auskunftsbegehren verantwortlich sei. Wenn der adressierte Inhaber nicht zur Auskunftserteilung ermächtigt sei, habe er das Begehren an den Zuständigen weiterzuleiten.
Schliesslich forderte der EDÖB, dass Moneyhouse im Rahmen von Bonitätsauskünften das Vorhandensein eines Interessennachweises (z.B. Abschluss/Abwicklung eines Kaufvertrags) zum Zeitpunkt der Abfrage vermehrt prüfen muss. Das Gericht bemängelte dabei, dass sich Moneyhouse aktuell hauptsächlich auf die Selbstdeklaration der Nutzer verlasse. Namentlich mit Blick auf das hoch zu gewichtende Interesse der grossen Anzahl von der Datenbearbeitung betroffenen Personen betrachtete das Gericht eine regelmässige Überprüfung der Interessennachweise im Verhältnis von 3 % zu den auf der Plattform getätigten Abfragen als zumutbar.
Anmerkungen
Das vorliegende Urteil verdeutlicht, welche datenschutzrechtlichen Herausforderungen Unternehmen angesichts der technischen Möglichkeiten bei der Verarbeitung und Verknüpfung einer Vielzahl von Daten aus unterschiedlichen Quellen zu bewältigen haben. Zugleich veranschaulicht das 48-seitige Urteil aber auch, dass es in der Schweiz nach wie vor an einer hinreichend gefestigten Rechtsprechung zu grundlegenden datenschutzrechtlichen Fragestellungen fehlt. Unter anderem darauf ist wohl auch zurückzuführen, dass die Argumentation des Gerichts an verschiedenen Stellen vage und nicht überzeugend erscheint. Deshalb und auch aufgrund der Besonderheiten der von Moneyhouse angebotenen Dienstleistungen lässt sich das Urteil nur in sehr beschränktem Umfang auf andere Fälle übertragen. Für die Zukunft, d.h. nach Abschluss der laufenden Totalrevision des Datenschutzrechts und insbesondere angesichts des geplanten Ausbaus der Durchsetzungs- und Sanktionsmöglichkeiten, ist aber auch in der Schweiz mit einer erheblichen Zunahme von Gerichtsurteilen und damit der Herausbildung einer gefestigten Praxis zu rechnen, die den betroffenen Unternehmen klarere Leitplanken vorgibt.
Weitere Informationen: