Update: Moneyhouse-Betreiberin akzeptiert datenschutzrechtliche Empfehlungen des EDÖB

Im vergangenen Juli liess der Eidgenössische Datenschutzbeauftragte (EDÖB) der Betreiberin der Webseite www.moneyhouse.ch, der itonex AG, vom Bundesverwaltungsgericht superprovisorisch verbieten, ihre Personensuchfunktion weiterhin anzubieten. Kurze Zeit später hob das Bundesverwaltungsgericht diesen Entscheid allerdings wieder auf und erlaubte die Personensuchfunktion wieder, jedoch mit gewissen Auflagen. Die darauffolgende Sachverhaltsabklärung hat der EDÖB nun teilweise abgeschlossen und 10 Empfehlungen an die itonex AG gerichtet. Er fordert darin unter anderem, dass Adressen nur noch dann veröffentlicht werden dürfen, wenn dafür ein Rechtfertigungsgrund im Sinne des Datenschutzrechts vorliegt. Die Besucher der Website müssen darüber hinaus vollständig und korrekt über die Datenquellen und ihr Auskunfts- und Berichtigungsrecht informiert werden. Laut eigener Aussage akzeptiert die itonex AG die Empfehlungen und hat diese teilweise bereits umgesetzt.


Vorgeschichte

Die itonex AG betreibt seit Jahren die Plattform www.moneyhouse.ch. Sie veröffentlicht darauf insbesondere Handelsregisterdaten. Seit Mitte 2012 veröffentlichte sie daneben aber auch Privatadressen von zahlreichen Personen. Diese Veröffentlichung erfolgte unabhängig davon, ob die betroffenen Personen ihre Einwilligung dazu gegeben hatten oder die Adresse gar sperren liessen. Aufgrund zahlreicher Beschwerden von Privatpersonen leitete der EDÖB eine Sachverhaltsabklärung ein und liess die Personensuche vom Bundesverwaltungsgericht superprovisorisch (ohne Anhörung der itonex AG) verbieten (für weitere Details vgl. BR-News vom 24. Juli 2012).

Das Bundesverwaltungsgericht hat diese superprovisorische Massnahme mit Zwischenverfügung vom 6. August 2012 zwar wieder aufgehoben, verpflichtete die itonex AG aber dazu, allfälligen Löschungsbegehren betroffener Personen an demjenigen Tag zu entsprechen, an dem diese bei ihr eintreffen.

Der EDÖB verzichtete darauf, den Fall an das Bundesgericht weiterzuziehen. Stattdessen unterteilte er die Sachverhaltsabklärung in zwei Teile und verfolgte denjenigen Teil, der sich auf die Veröffentlichung gesperrter Adressdaten bezieht, weiter. Den zweiten Teil, der alle anderen Datenbearbeitungen betrifft, will er gemäss Medienmitteilung demnächst in Angriff nehmen.


Verstösse gegen die Grundsätze des Datenschutzrechts

Die Sachverhaltsabklärung ergab diverse Verstösse gegen die Bearbeitungsgrundsätze des Datenschutzrechts (Art. 4 DSG). Insbesondere wurde beanstandet, dass die itonex AG inhaltlich unvollständig darüber informiere, woher sie ihre Daten bezieht. Weiter sei es unverhältnismässig, dass Adressdaten von Privatpersonen, die nicht im Handelsregister eingetragen und keine öffentlichen Personen sind, ohne Zugangsbeschränkung für jedermann im Internet sichtbar gemacht werden. Die Anzeige der Privatadresse über das Resultat der Google-Suche sei als unverhältnismässige Datenbearbeitung zu qualifizieren.

Darüber hinaus sei das Match-Move-Angebot der Schweizerischen Post in unzulässiger Weise verwendet worden, was das Zweckbindungsgebot verletze. Zum Hintergrund: Match Move ist ein Angebot der Schweizerischen Post zur Adressaktualisierung. Die Post stellt dabei Dritten Adressen zur Aktualisierung zur Verfügung, soweit dies für die Zustellung von Postsendungen zum Zweck der Nachsendung, der Umleitung oder dem Rückbehalt der Sendung notwendig ist. Eine Veröffentlichung dieser Daten ist aber nicht vorgesehen, weshalb die itonex AG mit ihrer Verwendung der von der Post bezogenen Daten gegen das Zweckbindungsprinzip verstossen habe. Besonders gravierend waren die Mängel gemäss den Sachverhaltsschilderungen des EDÖB bei einem Adressdatensatz, der von der Schober Information Group (Schweiz) AG (nachfolgend Schober AG) bezogen wurde. Einige der Empfehlungen beziehen sich deshalb ausdrücklich auf diese Daten.


Die Empfehlungen

Die zahlreichen Verstösse gegen die Datenschutzgrundsätze begründeten Persönlichkeitsverletzungen, für welche die itonex AG nach Ansicht des EDÖB keine Rechtfertigungsgründe hatte (vgl. Art. 13 DSG). Diese Mängel soll die itonex AG nun korrigieren. Der EDÖB hat deshalb die folgenden Empfehlungen an sie gerichtet:

  1. Adressen, welche die itonex AG von der Schober AG bezogen hat, dürfen auf www.moneyhouse.ch nur noch dann veröffentlicht werden, wenn dafür ein Rechtfertigungsgrund vorliegt. Eine Einwilligung ist nur dann rechtsgültig erteilt, wenn die betroffenen Personen eingewilligt haben, dass ihre aktuelle Adresse ohne speziellen Interessensnachweis übers Internet abgerufen werden darf.
  2. Liegt keine Einwilligung, aber ein anderer Rechtfertigungsgrund für die übrigen Bearbeitungen der Adressdaten vor, so muss die itonex AG sicherstellen, dass die Adresse ausschliesslich berechtigten Personen zur Überprüfung der Identität der betroffenen Person dient.
  3. Die itonex AG sieht für den bereits bestehenden Adressenbestand, der ursprünglich von der Schober AG bezogen worden ist, einen Abgleich mit einem Verzeichnis vor, das über diese Einwilligungserklärungen schon verfügt und den Ansprüchen von Art. 12 Abs. 3 DSG genügt.
  4. Die itonex AG muss sowohl registrierte als auch unregistrierte Besucher der Website www.moneyhouse.ch vollständig, aktuell und korrekt informieren über:
    a. die Zwecke der vorgenommenen Datenbearbeitungen
    b. alle Angebote, für die die Adresse benutzt wird
    c. alle Datenquellen, von denen die Daten direkt bezogen werden
    d. das Auskunftsrecht und Berichtigungsrecht
  5. Die itonex AG hat im Antwortschreiben auf ein Auskunftsbegehren korrekt und sofern bekannt alle Datenquellen aufzuführen.
  6. Die itonex AG musst den von der Schober AG gekauften Datenbestand auf seine Richtigkeit überprüfen. Sollte sie in Zukunft auch über andere Quellen Daten beziehen, muss deren Richtigkeit ebenfalls überprüft werden.
  7. Die itonex AG stellt sicher, dass über die Resultate von Suchmaschinen nur die Datenfelder Vorname, Name und Wohnort von Personen ersichtlich sind, deren Adressen rechtmässig im Internet veröffentlicht werden dürfen.
  8. Die Datenbearbeitung muss die itonex AG so organisieren, dass im Cache und in der Webseitenvorschau von Suchmaschinenbetreibern keine vollständigen Adressen mehr enthalten sind.
  9. Die Adress-History von nicht im Handelsregister eingetragenen Personen dürfen weiterhin nur zwei Adressen enthalten.
  10. Löschungsbegehren sind weiterhin gemäss den Vorgaben des Bundesverwaltungsgerichts zu behandeln, d.h. sie müssen am Eingangstag bearbeitet und ausgeführt werden.

Die itonex AG und der EDÖB haben mittlerweile übereinstimmend berichtet, dass die itonex AG die Empfehlungen akzeptiert und entweder bereits umgesetzt hat oder demnächst umsetzen wird. Der EDÖB wird sie dabei beraten und wie erwähnt seine Sachverhaltsabklärung fortsetzen.

 

Weitere Informationen:

 

Ansprechpartner: Lukas Bühlmann & Michael Schüepp