Sachverhalt:
A.
A.a
Die Moneyhouse AG bezieht Daten in elektronischer Form von diversen Quellen wie der A._______ AG betreffend
natürliche Personen, der B._______ AG betreffend Handelsregisterdaten, welche diese über die
Online-Publikation des Schweizerischen Handelsamtsblatts (www.shab.ch, vgl. zur Suche nach Firmen und
Namen aktueller und gelöschter juristischer Personen auch den zentralen Firmenindex, publiziert
unter www.zefix.ch) erhältlich macht, der C._______ AG, von Betreibungsämtern und via Online-Suchmaschinen
wie Google, www.local.ch, www.search.ch, www.jobs.nzz.ch und Google Maps. Diese verwendet sie, um verschiedene
Dienstleistungen anzubieten, insbesondere eine Firmen- und Personensuche und ein Stellenportal. Sie publiziert
diese Daten auf www.moneyhouse.ch. Dieser Dienst ist für das Publikum nach erfolgter Registrierung
kostenlos. Zusätzlich werden zahlungspflichtig für sog. Premium User Bonitäts- und Zahlweiseabonnemente,
Details zu Zahlungsstörungen, Betreibungs-, Grundbuch-, Wirtschafts- und Steuerauskünfte und
Dienstleistungen betreffend Firmenportraits angeboten. Für Zusatzangebote und um auf Daten natürlicher
Personen, die nicht im Handelsregister oder in einem elektronischen Telefonverzeichnis eingetragen sind,
zuzugreifen, müssen Interessensnachweise erbracht werden.
A.b
Die Datensammlung der Moneyhouse AG besteht aus Einträgen von ca. (...) Personen und umfasste
bei Klageeinreichung inhaltlich die Datenbanken MH, MHLOG und SHAB. Erstere enthält die Daten natürlicher
Personen, die nicht im Handelsregister registriert sind sowie die auf einer Sperrliste registrierten
natürlichen Personen, welche eine Löschung ihrer Daten im Handelsregister verlangt haben. Gespeichert
werden die folgenden Daten: Name, Vorname, Strasse und Strassennummer, Wohnort, Postleitzahl, Geburtsdatum
und somit Alter, Beruf, Haushalt und Nachbarn, Wohnsituation. In der Datenbank MHLOG werden die geloggten
Interessensnachweise gespeichert, die Kunden der Moneyhouse AG erbringen müssen, um Einblick in
Informationen über eine Privatperson zu erhalten, deren Adresse weder in einem elektronischen Telefonverzeichnis
noch im Handelsregister verzeichnet ist. Ebenfalls registriert werden die Interessensnachweise, die erbracht
werden müssen, um ein Zusatzangebot zu buchen. Diese Datenbank enthält einen Identifikator
des Premium Users, die IP-Adresse des abfragenden Geräts, die abgefragten Inhalte des Angebots und
den bei der Abfrage angegebenen Interessensnachweis. In der Datenbank SHAB werden sodann alle Daten,
die im Handelsregister publiziert sind oder waren sowie Kundendaten und deren Bestellungen, gespeichert.
Damit gemeint sind die folgenden Daten: Name, Firmenadresse, Inhaber, Beteiligungen, Status, Kapital,
Mitarbeiter- und Umsatzzahlen, Sitz der Firma, Eintrag im Handelsregister und die entsprechende Nummer,
Angaben zum Handelsregisteramt, Zweck des Unternehmens, aktuelle und frühere Verwaltungsräte,
Zeichnungsberechtigte, Revisionsstelle, Netzwerk, Kontaktdaten und Stellen.
A.c
Zum Urteilszeitpunkt ist diese bisherige Plattform nach wie vor in Betrieb, während sich auf der
sich im Aufbau befindlichen Plattform die Datensammlung der Moneyhouse AG in die beiden Datenbanken MYSQL
und "Elastic Search" unterteilt. In Ersterer sind bislang nur die Handelsregisterdaten, d.h.
die Daten der ehemaligen Datenbank SHAB gespeichert. Die übrigen Daten befinden sich immer noch
auf der bisherigen Plattform. Die Datenbank "Elastic Search" ist auf Suchvorgänge spezialisiert
und spiegelt die Daten der übrigen Datenbanken, um die Suche anhand der Sucheingaben für die
Benutzer möglichst effizient zu gestalten.
B.
Der
Eidgenössische Datenschutzbeauftragte (EDÖB) erliess nach Durchführung eines Schriftenwechsels
am 6. November 2014 eine Empfehlung an die Adresse der damaligen itonex AG und heutigen Moneyhouse AG
(vgl. bezüglich Umfirmierung den die Beklagte betreffenden Handelsregisterauszug vom 3. Februar
2017) betreffend die unter www.moneyhouse.ch angebotenen Dienstleistungen. Er empfahl insbesondere Folgendes:
"a.
(...)
b.
Die Empfehlungsadressatin stellt sicher, dass bei Personen, die nicht
im Handelsregister eingetragen sind, eine rechtsgültige explizite Einwilligung für Datenbearbeitungen,
die über das für eine Bonitätsprüfung notwendige hinausgehen, vorliegt.
c.
Daten von Personen, die nicht im Handelsregister eingetragen sind
und deren explizite Einwilligung nicht vorliegt, dürfen in allen über die Bonitätsprüfung
hinausgehenden Diensten nicht angezeigt werden.
d.
Die Empfehlungsadressatin löscht bei Personen, die nicht im
Handelsregister eingetragen sind und deren explizite Einwilligung nicht vorliegt, alle für die Bonitätsprüfung
nicht zwingend notwendigen Daten.
e.
Die Empfehlungsadressatin entfernt Verlinkungen, die das Erstellen
von Persönlichkeitsprofilen durch die Nutzer der Plattform www.moneyhouse.ch ermöglichen.
f.
(...)
g.
Die Auffindbarkeit von im Handelsregister eingetragenen Personen
über Suchmaschinen wird entsprechend der Praxis von www.zefix.ch angepasst.
h.- j. (...)
k.
Die Empfehlungsadressatin überprüft den Datenbestand betreffend
Richtigkeit in einem Umfang, der in einem angemessenen prozentualen Verhältnis zu den gemachten
Abfragen steht.
l.-n. (...)
o.
Die Bonitätsabfrage wird rechtskonform ermöglicht. Die
Anzahl der nachträglichen Kontrollen eines zum Zeitpunkt der Bonitätsabfrage bestehenden Interessensnachweises
hat in regelmässigen Zeitabständen und in einem Verhältnis von mindestens 5 % zu
den getätigten Abfragen zu erfolgen. (...).
p.
Die Auskunft wird allen Nutzern gleich und rechtskonform gemäss
den Vorgaben von Art. 8 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1),
insbesondere kostenlos und unter namentlicher Nennung aller Datenlieferanten, erteilt. Auskunftsgesuche
werden gemäss Art. 1 Abs. 6 der Verordnung vom 14. Juni 1993 zum DSG (VDSG, SR 235.11) an die Partner
der Empfehlungsadressatin, welche ebenfalls Personendaten bearbeiten, weitergeleitet.
q. und r. (...)."
C.
Die
Beklagte liess in ihrer Stellungnahme vom 23. März 2015 zu den Empfehlungen b-e des Klägers
Folgendes verlauten: Im Rahmen der Nutzung ihrer Plattform würden keine Persönlichkeitsprofile
generiert. Den Bedenken des Klägers würden jedoch im Rahmen des Redesigns der Plattform Rechnung
getragen mittels Aufteilung des Angebots in getrennte Datenbanken je nach Nutzungsprofil. Betreffend
die Empfehlung g erklärte sie, die angebotenen Suchmodalitäten und die Auffindbarkeit von im
Handelsregister eingetragenen Personen über Suchmaschinen sei datenschutzrechtlich zulässig,
insbesondere verhältnismässig. Mit Bezug auf die Empfehlung o akzeptierte sie risikogewichtete
Kontrollen im Verhältnis von 0.2 %, d.h. Kontrollen bei Kunden, bei denen besonders viele Abfragen
getätigt wurden oder bei ungewöhnlichen Abfragemustern. Was die Empfehlung p anbelangt, blieb
die Weiterleitung von Auskunftsgesuchen an Partner umstritten. Die Beklagte machte diesbezüglich
geltend, sie sei nicht Inhaberin der Partnerdatenbanken und daher weder auskunftspflichtig noch zur Weiterleitung
der entsprechenden Angaben verpflichtet. Die übrigen Empfehlungen akzeptierte sie.
D.
Nachdem
die Moneyhouse AG (nachfolgend: Beklagte) mit Schreiben vom 23. März 2015 einige Inhalte der vorgenannten
Empfehlung akzeptierte, legt der EDÖB (nachfolgend: Kläger) die Angelegenheit mit Bezug auf
die strittig gebliebenen Inhalte mit Klageschrift vom 7. Juli 2015 dem Bundesverwaltungsgericht zum Entscheid
vor. Er beantragt Folgendes:
"1. Es
sei festzustellen, dass die Beklagte bei der Erbringung ihrer Dienstleistungen über die Plattform
www.moneyhouse.ch Persönlichkeitsprofile von Personen ohne einen rechtsgenügenden Rechtfertigungsgrund
bearbeitet und bekannt gibt und demzufolge die Persönlichkeit von vielen Personen verletzt.
2.
Die Beklagte sei zu verpflichten, bei natürlichen Personen ohne
Handelsregistereintrag vorgängig eine rechtsgültige, explizite Einwilligung für diejenigen
Datenbearbeitungen einzuholen, die nicht für die Erteilung von Bonitätsauskünften benötigt
werden.
3.
Die Beklagte sei zu verpflichten, Daten von Personen ohne Handelsregistereintrag,
die vorgängig nicht rechtsgültig und explizit in die Bekanntgabe ihrer Daten eingewilligt haben,
ausschliesslich im Rahmen der Erteilung von Bonitätsauskünften zu bearbeiten und bekannt zu
geben.
4.
Die Beklagte sei zu verpflichten, sämtliche Daten natürlicher
Personen ohne Handelsregistereintrag, die nicht rechtsgültig in die Datenbearbeitung eingewilligt
haben, soweit sie nicht für die Erteilung von Bonitätsauskünften benötigt werden,
vollständig und unwiederbringlich zu löschen und dem Kläger die Löschung schriftlich
zu bestätigen.
5.
Die Beklagte sei zu verpflichten, auf der Website www.moneyhouse.ch
sämtliche Verlinkungen zu löschen, die das Erstellen von Persönlichkeitsprofilen von Personen
ermöglichen, die darin nicht rechtskonform eingewilligt haben.
6.
Die Beklagte sei zu verpflichten, die Auffindbarkeit von im Handelsregister
eingetragenen Personen so anzupassen, dass sie der vom Eidgenössischen Amt für das Handelsregister
mit der Website www.zefix.ch aktuell verfolgten Praxis entspricht.
7.
Die Beklagte sei zu verpflichten, den Datenbestand betreffend Richtigkeit
in einem durch das Gericht festzulegenden angemessenen Prozentsatz zu den getätigten Abfragen auf
der Plattform www.moneyhouse.ch zu überprüfen.
8.
Die Beklagte sei zu verpflichten, Auskunftsgesuche gestützt
auf Art. 8 DSG, die sie von Personen betreffend die von ihr auf der Plattform www.moneyhouse.ch angebotenen
Dienstleistungen erhält, wenn sie diese nicht selber beantworten kann, umgehend und ohne Kostenfolgen
an die jeweiligen Partner der Plattform weiterzuleiten.
9.
Die Beklagte sei zu verpflichten, im Rahmen der Bonitätsprüfung
nur die dafür notwendigen Daten zu bearbeiten und in regelmässigen Zeitabständen das Vorhandensein
von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage in einem Verhältnis von mindestens
5 % zu den getätigten Abfragen zu kontrollieren."
E.
Mit
Klageantwort vom 9. September 2015 beantragt die Beklagte, die Klage vom 7. Juli 2015 sei vollumfänglich
abzuweisen, soweit darauf einzutreten sei.
F.
Der
Kläger hält mit Replik vom 19. November 2015 unverändert an seinen Anträgen gemäss
Klageschrift vom 7. Juli 2015 fest.
G.
Gegen
die Editionsverfügung des Bundesverwaltungsgerichts vom 7. Dezember 2015 erhebt die Beklagte Beschwerde
ans Bundesgericht, auf welche mit Urteil 1C_41/2016 vom 22. März 2016 nicht eingetreten wird.
H.
Mit
Duplik vom 6. Juni 2016 hält die Beklagte ebenfalls an ihrem mit Klageantwort vom 9. September 2015
gestellten Begehren fest.
I.
Die
Beklagte aktualisiert auf Anfrage den Sachverhalt mit Eingabe vom 24. Oktober 2016. Betreffend die
Umsetzung der klägerischen Empfehlungen vertritt sie mit Bezug auf die strittig gebliebenen Punkte
weiterhin die Ansicht, im Rahmen der Nutzung ihrer Plattform würden keine Persönlichkeitsprofile
generiert. Zu Bst. b der klägerischen Empfehlung hält sie fest, sich gegenüber dem Kläger
bereit erklärt zu haben, ihr Angebot nach Nutzungsarten zu unterteilen. Der Kläger sei darauf
nicht eingegangen und so habe sie aufgrund des laufenden Klageverfahrens ihre Dienstleistungen nicht
weiter angepasst. Betreffend Bst. d der klägerischen Empfehlung erklärt sie, dass Daten von
natürlichen Personen, welche nicht im Handelsregister eingetragen seien, auf deren Wunsch hin gelöscht
würden. Nutzer mit einem Bonitätsabonnement könnten bonitätsrelevante Daten jedoch
auch diesfalls weiterhin abrufen. Mit Bezug auf Bst. g der klägerischen Empfehlung stellt sich die
Beklagte auf den Standpunkt, die von ihr angebotenen Suchmodalitäten und die Auffindbarkeit von
im Handelsregister eingetragenen Personen über Suchmaschinen sei datenschutzrechtlich zulässig,
insbesondere verhältnismässig. Mittlerweile habe sie jedoch die Auffindbarkeit von im Handelsregister
eingetragenen Personen über Suchmaschinen in dem Sinne leicht angepasst und sich damit der klägerischen
Forderung angenähert, dass nur noch Personen, die aktiv im Handelsregister eingetragen seien, indexiert
würden. Die übrigen Personen seien nach einer bestimmten Zeit nur noch über die Suche
nach Firmennamen auffindbar. Eine weitere Einschränkung der Auffindbarkeit von im Handelsregister
eingetragenen Personen erachte sie als unverhältnismässig. Bst. k der klägerischen
Empfehlung habe sie akzeptiert und umgesetzt, d.h. sie überprüfe regelmässig die Richtigkeit
ihrer Datenbestände und nehme nötigenfalls Korrekturen vor. Die Verknüpfung eigener Daten
mit derjenigen Dritter funktioniere grundsätzlich korrekt. Zudem seien die Handelsregisterdaten
im März 2016 mit einem neuen Datensatz der B._______ AG vollständig neu eingelesen worden und
würden seither monatlich aktualisiert. Zusätzlich sei die manuelle Prüfung der Datenrichtigkeit
seit Erlass der klägerischen Empfehlung intensiviert worden. In diesem Zusammenhang weist die Beklagte
sodann darauf hin, dass die betroffenen Personen jederzeit die rasche Löschung oder Korrektur ihrer
Daten verlangen könnten, sofern sie sich im Einzelfall als unrichtig erwiesen. Der Kläger habe
diesen Sachverhalt dem Bundesverwaltungsgericht dennoch unzulässiger- und unbegründeterweise
mit Rechtsbegehren 7 zum Entscheid vorgelegt. Bst. o der klägerischen Empfehlung habe sie grundsätzlich
akzeptiert. Strittig sei einzig die Höhe des prozentualen Anteils der zu tätigenden Kontrollabfragen
der im Zeitpunkt der Bonitätsabfrage zu erbringenden Interessensnachweise. Das seitens des Klägers
geforderte Verhältnis von 5 % zu den getätigten Abfragen sei eklatant zu hoch und nicht
praktikabel. Sie erachte entsprechend der deutschen Praxis einen Kontrollanteil von 0.02 % als üblich
und angebracht. Mit Bezug auf Bst. p der klägerischen Empfehlung sei lediglich umstritten, ob sie
verpflichtet sei, Auskunftsgesuche an ihre Vertragspartner weiterzuleiten.
J.
Die
A._______ AG kündigt den Vertrag mit der Beklagten vom 15. Februar 2016 mit Schreiben vom 9. November
2016 per 28. Februar 2017.
K.
Das
Bundesverwaltungsgericht lädt die Parteien mit Instruktionsverfügung vom 10. November 2016
zur Vorbereitungsverhandlung und zur Hauptverhandlung vor.
L.
Mit
Eingabe vom 24. November 2016 ersucht die Beklagte um Verschiebung der beiden Termine um mindestens 30
Tage mit der Begründung, die neue Geschäftsführerin werde ihre Tätigkeit am 1. Dezember
2016 aufnehmen und benötige Zeit, um sich ins laufende Verfahren einzuarbeiten.
M.
Die
Verschiebungsgesuche der Beklagten werden mit Verfügung vom 28. November 2017 abgewiesen.
N.
Am
12. Dezember 2016 findet die Vorbereitungsverhandlung i.S.v. Art. 44 Abs. 1 des Verwaltungsgerichtsgesetzes
vom 17. Juni 2005 (VGG, SR 173.32) i.V.m. Art. 35 Bundesgesetz vom 4. Dezember 1947 über
den Bundeszivilprozess (BZP, SR 273) statt.
O.
Die
A._______ AG gibt mit Eingabe vom 19. Dezember 2016 Auskunft über den ursprünglichen Bearbeitungszweck
der an die Beklagte weitergegebenen Daten und inwiefern sie die davon betroffenen Personen im Zeitpunkt
der Datenerhebung betreffend ihre Verwendungszwecke informiert hat.
P.
Mit
Eingabe vom 6. Januar 2017 reicht die Beklagte eine aktuelle Übersicht über die insgesamt gelösten
Bonitätsabonnemente von Juni bis November 2016 und die Anzahl monatlich getätigter Abfragen
im selben Zeitraum sowie über die Anzahl eingegangener Löschungsbegehren und deren Behandlungsdauer
ein. Zudem reicht sie ihr aktuelles IT-Sicherheitskonzept gemäss Ziff. 15 ihres Bearbeitungsreglements,
ihr aktuelles Datenschutzkonzept, ihr aktuelles Strategiepapier sowie die Dokumentation der Prozesse
im Kundendienst und bei der Überprüfung der Bonitätsabonnemente als konkrete Umsetzungen
der konzeptuellen Vorgaben ein. Weiter gibt sie den Anhang 1 zum Vertrag zwischen ihr, der D._______
AG und der A._______ AG betreffend die von Letzterer erhaltenen Datenkategorien zu den Akten.
Gleichzeitig nimmt die Beklagte zum Protokoll der Vorbereitungsverhandlung
vom 12. Dezember 2016
Stellung.
Q.
Die
öffentliche Hauptverhandlung i.S.v. Art. 44 Abs. 1 VGG i.V.m. Art. 66 ff. BZP findet am 23. Januar
2017 statt. Anlässlich seiner Replik passt der Kläger Rechtsbegehren 9 insofern an, als er
den festzulegenden Prozentsatz der Kontrolldichte von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage
ins Ermessen des Gerichts stellt.
R.
Mit
abschliessender Stellungnahme vom 9. Februar 2017 hält die Beklagte an ihren Rechtsbegehren und
bisherigen Ausführungen fest. Der Kläger verzichtet mit Eingabe vom 7. Februar 2017 auf eine
Stellungnahme.
S.
Auf
weitere Sachverhaltselemente und Parteivorbringen sowie sich bei den Akten befindliche Dokumente wird
- soweit entscheidrelevant - im Rahmen der nachfolgenden Erwägungen eingegangen.
Das
Bundesverwaltungsgericht zieht in Erwägung:
1.
Der
EDÖB klärt von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher ab, wenn
Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen
zu verletzen (sog. Systemfehler, Art. 29 Abs. 1 Bst. a DSG). Aufgrund seiner Abklärungen kann er
empfehlen, eine Datenbearbeitung zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG). Wird eine
solche Empfehlung nicht befolgt oder (teilweise) abgelehnt, kann er die Angelegenheit dem Bundesverwaltungsgericht
als erster Instanz auf dem Klageweg zum Entscheid vorlegen (Art. 29 Abs. 4 DSG i.V.m. Art. 35 Bst. b
VGG).
2.
2.1
Das Verfahren vor dem Bundesverwaltungsgericht richtet sich gemäss Art. 44 Abs. 1 VGG grundsätzlich
nach den Art. 3-73 sowie Art. 79-85 BZP.
2.2
Gegenstand des vorliegenden Verfahrens kann nur sein, was bereits vom EDÖB im Rahmen des Erlasses
seiner Empfehlung geprüft wurde und in diese Eingang gefunden hat (Urteil des BVGer A-7040/2009
vom 30. März 2011 E. 2.3 mit weiteren Hinweisen und David Rosenthal
in: Handkommentar zum DSG, 2008, Art. 29 Rz. 46 mit weiteren Hinweisen). Seit Klageeinreichung zusätzlich
angebotene Dienstleistungen wie "KMU Ratgeber" und "Bonität international"
und allgemein seither neu angebotene Dienstleistungen der Beklagten sind daher nicht Gegenstand der gestellten
Anträge, weshalb darüber auch nicht zu entscheiden ist. Überlegungen zu diesen Themen
können aber in die Erwägungen einfliessen, sofern dies für den Entscheid in der vorliegenden
Sache relevant ist.
2.3
Art. 3 Abs. 2 BZP bestimmt, dass das Gericht nicht über die Rechtsbegehren der Parteien hinausgehen
darf. In einem Klageverfahren wie dem vorliegenden hat die Dispositionsmaxime somit grössere Bedeutung
als im Beschwerdeverfahren vor Bundesverwaltungsgericht: Einer Partei darf nicht mehr oder nichts anderes
zugesprochen werden, als sie beantragt hat (statt vieler BVGE 2008/16 E. 2.2 und Urteil des BVGer A-7040/2009
vom 30. März 2011 E. 2.2 mit weiteren Hinweisen, Moser/Beusch/Kneubühler,
Prozessieren vor dem Bundesverwaltungsgericht, 2. Aufl. Basel 2013, Rz. 5.14 mit weiteren Hinweisen).
Obwohl im Bundeszivilprozess das Gericht sein Urteil somit grundsätzlich nur auf Tatsachen gründen
darf, die im Verfahren geltend gemacht worden sind, gilt vor Bundesverwaltungsgericht infolge der spezialgesetzlichen
Bestimmung von Art. 44 Abs. 2 VGG der Grundsatz der Sachverhaltsabklärung von Amtes wegen.
2.3.1
Die Beklagte stellt sich auf den Standpunkt, das vom Kläger gestellte Rechtsbegehren 1 sei unzulässig,
weil es auf Feststellung und nicht auf Änderung oder Unterlassung einer Datenbearbeitung gerichtet
sei. Weiter macht sie betreffend die Rechtsbegehren 2-4 geltend, auf die Beschwerde sei nicht einzutreten,
weil die klägerischen Begehren zu unbestimmt und unklar seien, da sie interpretationsbedürftige
Begriffe enthielten, so z.B. unbestimmte Rechtsbegriffe wie "rechtsgenügend" oder "Persönlichkeitsprofile".
Welche Verlinkungen - wie mit Rechtsbegehren 5 beantragt - zu löschen seien, die das
Erstellen von Persönlichkeitsprofilen ermöglichten, sei ebenfalls unklar. Nicht präzisiert
werde in Rechtsbegehren 6 sodann, was unter der aktuell verfolgten Praxis des Eidgenössischen
Handelsregisteramts zu verstehen sei. Rechtsbegehren 7 sei unzulässig, weil der Kläger dem
Gericht die Aufgabe übertrage, einen angemessenen Prozentsatz der getätigten Abfragen festzulegen,
anhand dessen der Datenbestand bezüglich Richtigkeit zu überprüfen sei. Ohne Bezifferung
sei ein Rechtsbegehren zu unbestimmt und daher nicht vollstreckbar
Zudem fehle es an einer klar formulierten Darstellung der seitens des Klägers behaupteten Tatsachen.
So führe dieser z.B. aus, "häufig" Unstimmigkeiten festgestellt zu haben oder dass
sich bei "fast allen" Abfragen Fehler ergeben hätten. Nicht dargelegt werde weiter,
welche konkreten Datenverknüpfungen unter Umständen zur Erstellung eines Persönlichkeitsprofils
führten. Der Kläger habe weiter zu wenig bestimmt ausgeführt, welche Daten nicht für
die Erteilung von Bonitätsauskünften benötigt würden. Er habe es sodann unterlassen,
seine Tatsachenbehauptungen mit konkreten Beweismitteln zu untermauern. Stattdessen finde sich in Fussnoten
wiederholt der Hinweis "siehe alle aufgeführten Beweise" oder es werde auf die Sachverhaltsfeststellung
vom 16. Juni 2014 verwiesen, welche sie nicht akzeptiert habe.
2.3.2
2.3.2.1
Gemäss Art. 23 BZP hat die Klageschrift u.a. das Rechtsbegehren des Klägers (Bst. b) zu enthalten.
Die Anforderungen an das Rechtsbegehren werden gesetzlich nicht umschrieben. Gemäss allgemeiner
Lehre zum Zivilprozess kann es auf Leistung, Gestaltung oder Feststellung lauten. Der Kläger hat
darin die Rechtsfolge festzulegen, die er beurteilt wissen will. Es gilt der Grundsatz, dass das Rechtsbegehren
so bestimmt und präzis abgefasst sein muss, dass sich mit hinreichender Deutlichkeit erkennen lässt,
was die klagende Partei anstrebt, und dass das Rechtsbegehren bei Gutheissung der Klage ohne Weiteres
zum gerichtlichen Urteil erhoben werden kann (Frei/Willisegger in: Basler
Kommentar zur schweizerischen Zivilprozessordnung, 2010, Art. 221 ZPO Rz. 4 ff.). Ist ein Rechtsbegehren
unklar, widersprüchlich, unvollständig oder unbestimmt, so unterliegt es der Auslegung nach
Treu und Glauben. Dabei darf auch die Klagebegründung herangezogen werden (Frei/Willisegger,
a.a.O., Art. 221 ZPO Rz. 9). Zudem können Sinn und Zweck der Rechtsbegehren bei Unklarheiten durch
Fragen seitens des Gerichts eruiert werden (Frei/Willisegger, a.a.O., Art.
221 ZPO Rz. 9). Demnach sind auch im Rahmen der Dispositionsmaxime gerichtliche Präzisierungen der
klägerischen Rechtsbegehren möglich und zulässig (zum Ganzen Urteil des BVGer A-7040/2009
vom 30. März 2011 E. 3.2 mit weiteren Hinweisen). Des Weiteren muss der Kläger die Tatsachen
zur Begründung der Rechtsbegehren klar darlegen und entsprechende Beweismittel nennen (Art. 23 Bst.
d und Bst. e BZP).
2.3.2.2
Auf Feststellung des Bestehens oder Nichtbestehens eines Rechtsverhältnisses kann gemäss Art.
25 BZP geklagt werden, wenn der Kläger ein rechtliches Interesse an sofortiger Feststellung hat.
Entsprechend dem Inhalt anderer Prozessgesetze sowie gemäss der herrschenden Lehre muss das Rechtsbegehren
also den Bestand oder Inhalt und den Umfang von Rechten oder Pflichten betreffen, die durch das Urteil
festgelegt oder abgegrenzt werden sollen. Dagegen kann nicht eine blosse Rechtsfrage ohne die an sie
zu knüpfende Rechtsfolge zum Gegenstand einer gerichtlichen Entscheidung gemacht werden. Denn damit
wäre eben noch nicht über Rechte und Pflichten entschieden, also kein materiellrechtliches
(Feststellungs-)Urteil gefällt (BGE 80 II 362 E. 3 mit weiteren Hinweisen).
Im Datenschutzrecht ist ein Feststellungsurteil v.a. aufgrund seiner präventiven Wirkung von
Bedeutung, indem es verbindlich klarstellt, dass künftig eine derartige Datenbearbeitung nicht mehr
erfolgen darf. Ein Feststellungsinteresse ist daher namentlich zu bejahen, wenn eine Persönlichkeitsverletzung
weiterhin störende Auswirkungen nach sich zieht und einzig die Feststellung deren Widerrechtlichkeit
geeignet ist, diese Folge zu beseitigen (Belser/Epiney/Waldmann, Datenschutzrecht,
2011, § 12 Rz. 177 mit weiteren Hinweisen bezüglich der Ansprüche einer betroffenen
Person nach Art. 25 DSG, wobei derjenige auf Feststellung der Widerrechtlichkeit einer Datenbearbeitung
subsidiär zu denjenigen auf Unterlassung und Beseitigung ist).
2.3.3
2.3.3.1
Im vorliegenden Falle beantragt der Kläger mit Rechtsbegehren 1 die Feststellung, dass die Beklagte
im Rahmen der Erbringung ihrer Dienstleistungen über ihre Plattform Persönlichkeitsprofile
ohne genügenden Rechtfertigungsgrund erstellt und damit die Persönlichkeit vieler Personen
verletzt, also letztlich widerrechtlich Daten bearbeitet, und stellt damit eine Rechtsfrage unabhängig
von der an sie anknüpfenden Rechtsfolge zur Debatte.
Es ist dem Kläger zuzustimmen, dass sein Rechtsbegehren zwar inhaltlich auf Bst. b-e seiner
Empfehlung gründet und somit grundsätzlich im Rahmen des Streitgegenstands liegt (vgl. dazu
auch vorangehende E. 2.2). Soweit er jedoch damit - wie geltend gemacht - bezweckt,
weitere persönlichkeitsverletzende Datenbearbeitungen durch die Beklagte zu verhindern, ist dieses
Rechtsbegehren materiell bereits in den Rechtsbegehren 2-5 enthalten, die auf Änderung oder Unterlassung
dieser Datenbearbeitung - nämlich der ungerechtfertigten Erstellung von Persönlichkeitsprofilen
- lauten. Sofern eine derartige Persönlichkeitsverletzung zu bejahen ist, was Gegenstand der
nachfolgenden materiellen Prüfung sein wird (vgl. dazu gesamte E. 5), werden deren Auswirkungen
mit Gutheissung der Rechtsbegehren 2-5 beseitigt, weshalb die Feststellung deren Widerrechtlichkeit sich
erübrigt und ein entsprechendes Feststellungsinteresse zu verneinen ist (vgl. auch Art. 29 Abs.
3 DSG, wonach die Empfehlung des EDÖB auf Änderung oder Unterlassung einer Datenbearbeitung
lauten soll). Demnach ist auf das klägerische Rechtsbegehren 1 nicht einzutreten.
2.3.3.2
Was die Rügen der Beklagten betreffend die Bestimmtheit der übrigen Rechtsbegehren betrifft,
bleibt Folgendes festzuhalten:
Mit Bezug auf die in Rechtsbegehren 5 erwähnten Verlinkungen ergibt sich aus Rz. 75 der klägerischen
Begründung, dass z.B. die Verlinkung von Luftaufnahmen- und Google Streetviewbildern mit der Wohnsituation
betroffener natürlicher Personen gemeint ist und weshalb nach Ansicht des Klägers damit konkret
Persönlichkeitsprofile erstellt würden. Weiter wird in Rz. 105 der Klageschrift festgehalten,
dass Verlinkungen gemeint sind, welche es den Nutzern der Plattform der Beklagten vereinfachen, an weitere
Informationen zu gelangen. Welche konkreten Datenverknüpfungen nach Ansicht des Klägers zur
Erstellung eines Persönlichkeitsprofils führen, wird insbesondere in Rz. 75-77 der Begründung
dargelegt. Rz. 148 f. der Klageschrift definieren sodann exakt, welche Daten im Rahmen von Bonitätsauskünften
bearbeitet werden sollen; e contrario sind die übrigen Datenbearbeitungen nach Ansicht des
Klägers hierfür nicht notwendig.
Was unter einer rechtsgenügenden Einwilligung im Zusammenhang mit der Erstellung von Persönlichkeitsprofilen
zu verstehen ist, ergibt sich sodann aus den gesetzlichen Grundlagen (vgl. Art. 4 Abs. 5 DSG). Betreffend
die Qualifizierung einer Datenbearbeitung als Erstellung eines Persönlichkeitsprofils im konkreten
Einzelfall kann im Rahmen der materiellen Prüfung auf Literatur, Rechtsprechung und Materialien
zurückgegriffen werden. Weshalb die Rechtsbegehren 2-5 aufgrund der Verwendung dieser unbestimmten
Rechtsbegriffe unklar sein sollen, ist nicht ersichtlich.
Worauf der Kläger mit Rechtsbegehren 6 hinaus will, ergibt sich aus Rz. 111 der Klagebegründung,
wonach bei der Personensuche auf www.zefix.ch nur ein Eintrag als Google-Suchresultat erscheint, wenn
der Name und Zefix in die Suchmaschine eingegeben wird, die Eingabe des Namens alleine also nicht ausreichend
ist bzw. keine direkte Verlinkung zu Personeneinträgen erfolgt und keine weiteren Angaben über
private Lebensumstände der eingetragenen Person publiziert werden. Mit Bezug auf Rechtsbegehren
7 und das angepasste Rechtsbegehren 9 (vgl. Sachverhalt Q.) bleibt festzuhalten, dass diese Begehren,
sofern sie im Dispositiv des Entscheids beziffert werden, vollstreckbar sind.
Der pauschale klägerische Hinweis auf die Sachverhaltsfeststellung vom 16. Juni 2014 und in
den Fussnoten auf alle aufgeführten Beweise erscheint unter dem Aspekt der Substantiierungspflicht
in einem reinen Zivilprozess in der Tat mangelhaft. Vorliegend gilt jedoch abweichend davon wie erwähnt
der Grundsatz der Sachverhaltsabklärung von Amtes wegen (Art. 44 Abs. 2 VGG) Zudem verweist der
Kläger des Öfteren auf Beweise zu gewissen Randziffern, welche dort konkret offeriert werden.
2.3.4
Die Rechtsbegehren 2-9 des Klägers sind demnach gemäss den anwendbaren Verfahrensgrundsätzen
unter Beizug der Klagebegründung als hinreichend klar und bestimmt zu bezeichnen und lassen sich
im Falle einer Gutheissung - allenfalls mit gerichtlichen Präzisierungen - zum Urteil
erheben. Die Dispositionsmaxime führt demnach nicht dazu, dass die Rechtsbegehren des Klägers
nicht zugelassen werden könnten. Da der Kläger auch die Tatsachen zur Begründung dargelegt
und die entsprechenden Beweismittel genannt hat, erweist sich die Klage insofern als zulässig.
3.
3.1
Aus dem Gebot der Gewährung des rechtlichen Gehörs folgt der Anspruch auf Abnahme der von einer
Partei angebotenen Beweise, soweit diese rechtserhebliche Tatsachen betreffen und nicht offensichtlich
beweisuntauglich sind (BGE 127 I 54 E. 2b mit Hinweisen). Keine Verletzung des rechtlichen Gehörs
liegt vor, wenn eine Behörde auf die Abnahme beantragter Beweismittel verzichtet, weil die antizipierte
Beweiswürdigung ergibt, dass die betreffende Tatsache aus den Akten bereits genügend ersichtlich
ist und angenommen werden kann, dass die Durchführung des Beweises im Ergebnis nichts ändern
wird (statt vieler Urteil des BGer 2C_712/2011 vom 19. Januar 2012 E. 2.2 mit Hinweisen; BVGE 2012/15
E. 1.2.2 mit Hinweisen).
3.2
Die Beklagte hat u.a. diverse Mitarbeitende als Zeugen aufgeführt, um zu beweisen, dass ein grosser
Teil der auf ihrer Plattform verfügbaren Daten bereits öffentlich zugänglich sei, keine
besonders schützenswerten Daten bearbeitet würden, Daten ausschliesslich im Rahmen der Kundenbeziehung
verwendet und nicht verknüpft würden sowie um den Ablauf des Abrufs von Informationen mittels
Interessensnachweis und ihre Kontrolltätigkeit bezüglich missbräuchlicher Nutzung ihrer
Dienstleistungen und bezüglich Richtigkeit der publizierten Daten darzulegen.
Da diese Tatsachen jedoch bereits aufgrund eines Augenscheins der Plattform mit
den seitens der Beklagten
gewährten Zugangsdaten sowie aus dem eingereichten Bearbeitungsreglement und Datenschutzkonzept
sowie aus der sich ebenfalls bei den Akten befindlichen Dokumentation der Prozesse im Kundendienst und
bei der Überprüfung der Bonitätsabonnemente ersichtlich sind, kann in antizipierter Beweiswürdigung
auf die Einvernahme der aufgeführten Zeugen verzichtet werden. Dass die Beklagte keine besonders
schützenswerten Personendaten i.S.v. Art. 3 Bst. c DSG bearbeitet, wird im Übrigen vom Kläger
nicht bestritten, weshalb darüber ohnehin kein Beweis zu erheben ist.
4.
Das
DSG ist auf den vorliegenden Sachverhalt ungeachtet einer allfälligen Qualifikation des Handelsregisters
als öffentliches Register i.S.v. Art. 2 Abs. 2 Bst. d DSG anwendbar, da die Beklagte eine
private Datenplattform betreibt (vgl. dazu ausführlich Urteil des BVGer A-4086/2007 vom 26. Februar
2008 gesamte E. 3.1 mit weiteren Hinweisen).
Bei den Daten, die auf www.moneyhouse.ch veröffentlicht werden, handelt es sich um Personendaten
i.S.v. Art. 3 Bst. a DSG, weil sie Angaben über bestimmte oder bestimmbare juristische und
natürliche Personen beinhalten (vgl. zum Begriff der Personendaten statt vieler BGE 138 II 346 E.
6.1 mit weiteren Hinweisen). Sodann umfasst die Tätigkeit der Beklagten das Bearbeiten, insbesondere
das Bekanntgeben von Personendaten gemäss Art. 3 Bst. e und f DSG. Der über Internet
zugängliche Bestand dieser Personendaten mit ca. (...) Einträgen stellt eine Datensammlung
gemäss Art. 3 Bst. g DSG dar. Die seitens der Beklagten praktizierte Weitergabe von Informationen
über die Plattform www.moneyhouse.ch ist sodann geeignet, die Persönlichkeit einer grösseren
Anzahl von Personen zu verletzen und gilt in diesem Sinne als Systemfehler gemäss Art. 29 Abs. 1
Bst. a DSG (vgl. zu diesem Begriff ausführlich Urteil des BVGer A-7040/2009 vom 30. März
2011 E. 1.1 mit weiteren Hinweisen und auch vorne E. 1). Aus diesem Grund ist der Kläger zur Abgabe
einer Empfehlung an die im privatrechtlichen Bereich handelnde Beklagte berechtigt (vgl. zum Ganzen Urteil
des BVGer A-4086/2007 vom 26. Februar 2008 E. 3.2 mit Bezug auf die Weitergabe von Handelsregisterinformationen).
5.
Wer
Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich
verletzen (Art. 12 Abs. 1 DSG). Insbesondere dürfen Personendaten nicht entgegen den Grundsätzen
von Art. 4 DSG bearbeitet (Art. 12 Abs. 2 Bst. a DSG) oder ohne Rechtfertigungsgrund besonders schützenswerte
Personendaten oder Persönlichkeitsprofile Dritten bekanntgeben werden (Art. 12 Abs. 2 Bst. c DSG).
Dass es sich bei den auf der Plattform der Beklagten bekanntgegebenen Daten nicht
um besonders schützenswerte
Personendaten i.S.v. Art. 3 Bst. c DSG handelt, ist unbestritten (vgl. auch vorne E. 3.2). Den Rechtsbegehren
2-5 liegt jedoch die Rechtsfrage zugrunde, ob dieselben, gesetzlich vorgesehenen verstärkten Schutzmechanismen
greifen, weil die Beklagte im Rahmen der Erbringung ihrer Dienstleistungen Persönlichkeitsprofile
i.S.v. Art. 3 Bst. d DSG bearbeitet. Fraglich ist mithin also, ob ihre Datenzusammenstellung eine Beurteilung
wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt (der legaldefinierte
Begriff der Bearbeitung von Persönlichkeitsprofilen bezieht sich nur auf natürliche, mithin
also nicht auf juristische Personen; vgl. statt vieler Gabor P. Blechta in:
Basler Kommentar zum DSG und BGÖ, 3. Aufl. 2014, Art. 3 DSG Rz. 69).
5.1
Der Kläger macht geltend, die Beklagte bearbeite Persönlichkeitsprofile und gebe sie Dritten
bekannt, ohne sich dafür auf einen rechtsgenügenden Rechtfertigungsgrund zu stützen.
Die Beklagte hingegen erklärt, keine Persönlichkeitsprofile zu bearbeiten. Die von ihr
bearbeiteten Daten seien nicht geeignet, Rückschlüsse auf wesentliche Aspekte der Persönlichkeit
zuzulassen. Zudem handle es sich dabei vornehmlich um Daten, die bereits veröffentlicht seien und
nach gesetzgeberischem Willen transparent gemacht werden sollten. Diese würden zur Bonitätsprüfung
erhoben und sich lediglich auf wirtschaftliche Aspekte betroffener Personen beziehen und liessen somit
keine Bewertung wesentlicher Persönlichkeitsaspekte zu. Zudem dürften ihr ohnehin lediglich
diejenigen Nutzungen verboten werden, welche effektiv zur Erstellung von Persönlichkeitsprofilen
führten. Sämtliche vom Kläger genannten Informationen seien nur betreffend wenige Personen
abrufbar. Die klägerischen Rechtsbegehren in diesem Zusammenhang seien unverhältnismässig,
da sie nicht nur Premium User, sondern sämtliche Benutzer ihrer Plattform betreffen würden.
Die Beklagte erklärt, die Zusatzangaben seien zum Schutz von Gläubigern und Schuldnern bekanntzugeben.
Würde nur ein Datenausschnitt angeboten, könnte dieser für sich alleine betrachtet im
Rahmen des jeweiligen konkreten Zwecks - insbesondere bei der Beurteilung der Kreditwürdigkeit
- ein falsches Bild einer juristischen oder natürlichen Person vermitteln. Informationen betreffend
Haushalt und Wohnsituation dienten lediglich der klaren Identifikation der gesuchten Person und liessen
Rückschlüsse auf die wirtschaftliche Leistungsfähigkeit und bestehende wirtschaftliche
Verpflichtungen der betreffenden Person zu und seien daher ebenso bonitätsrelevant. Eine Einschränkung
der Datenbekanntgabe auf blosse Identifikationsinformationen sei im Übrigen im Hinblick auf die
ihrerseits angebotene Dienstleistung der Bonitätsprüfung unverhältnismässig. Zudem
definiere der Kläger diejenigen Daten, welche zur eindeutigen Identifikation einer Person notwendig
seien, zu eng.
Weiter erklärt die Beklagte, auch Premium User könnten all diese Daten von natürlichen
Personen nur abrufen, wenn die betroffene Person diese z.B. in einem elektronischen Telefonbuch offengelegt
oder auf andere Weise zugänglich gemacht habe bzw. wenn sie aus einem amtlichen Register stammten.
Angaben wie Anzahl Haushalte im Gebäude, Bauperiode und Anzahl Etagen seien auf die Immobilie bezogen
und stellten keine persönlichkeitsrelevanten Daten dar. Schliesslich erklärt die Beklagte,
die Informationen betreffend Baugesuche und -bewilligungen nicht mit den übrigen, auf ihrer Plattform
abrufbaren Informationen zu verknüpfen. Der Zugriff auf diese Daten sei sodann auf 14 Tage ab deren
Publikation beschränkt.
5.2
5.2.1
Nicht jede Datenkombination lässt die Beurteilung wesentlicher Aspekte der Persönlichkeit zu
und stellt somit ein Persönlichkeitsprofil dar. Mit der Einführung dieses Begriffs wollte der
Gesetzgeber dem Umstand Rechnung tragen, dass eine Vielzahl an sich nicht besonders schützenswerter
Daten zu einem spezifischen Bild über die betroffenen Personen verdichtet werden können, das
als solches ein erhöhtes Risiko für die Persönlichkeit generiert (Blechta,
a.a.O., Art. 3 DSG Rz. 62 ff., vgl. auch Urteil des BVGer A-8073/2015 vom 13. Juli 2016 E.
6.1.3 mit weiteren Hinweisen).
Ein Persönlichkeitsprofil ist eine Zusammenstellung einer grösseren Zahl von Daten über
die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Aktivitäten oder auch die
ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild
der betreffenden Person ergibt. Persönlichkeitsprofile können zum Beispiel bei Sicherheitsüberprüfungen
oder im Rahmen eines Anstellungsverhältnisses entstehen. Aber auch Datensammlungen über das
Konsumverhalten oder über schulische und berufliche Qualifikationen sind geeignet, mindestens ein
Teilbild der betroffenen Personen zu ergeben. Entscheidend ist, dass auch durch die systematische Zusammenstellung
von an sich nicht besonders schützenswerten Daten (z. B. über Lesegewohnheiten, Reise- und
Freizeitaktivitäten) sensitive Bereiche einer Person, z. B. ihre Weltanschauung, erschlossen werden
können. Infolge der technologischen Entwicklung der letzten Jahre haben die Speicherfähigkeit,
Durchlässigkeit und Vernetzung von Informationen enorm zugenommen (vgl. Schweizer/Bischof,
Der Begriff der Personendaten, digma 11/2011, S. 156 f. und BGE 138 II 346 E. 10.6.2). Da mit Hilfe elektronischer
Datenverarbeitung personenbezogene Informationen in beliebigem Umfang gespeichert, verknüpft und
reproduziert werden können, lassen sich auch an sich harmlose Informationen, die ohne Weiteres der
Öffentlichkeitssphäre zuzurechnen wären, zu eigentlich schützenswerten Persönlichkeitsprofilen
verdichten (BGE 138 II 346 E. 8.2; zur sog. Sphärentheorie, welche die Lebensbereiche des Menschen
dreiteilt vgl. Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 3.3.3 mit weiteren Hinweisen).
Durch diese Speicher- und Auswertungsmöglichkeiten der automatischen Datenverarbeitung und durch
die Verknüpfung automatisierter Datenbestände ist die Erstellung von Persönlichkeitsprofilen
leichter und häufiger geworden (vgl. auch Thomas Probst, Die Verknüpfung
von Personendaten und deren rechtliche Tragweite in: Datenverknüpfung, Problematik und rechtlicher
Rahmen, 2011, S. 3, der davon spricht, dass durch den technischen Fortschritt auf dem Gebiet der elektronischen
Kommunikation und Datenverarbeitung das natürliche Phänomen der Datenverknüpfung zu einem
rechtlichen Grundproblem geworden ist). Die miteinander verknüpften Personendaten erreichen relativ
rasch eine Informationsdichte, die Verhaltensmuster und Persönlichkeitsprofile erkennen lassen (Probst,
a.a.O., S. 30). Die Betroffenen haben oft keine Kenntnis vom Bestehen eines Profils und können so
dessen Richtigkeit und Verwendung nicht kontrollieren. Einmal erstellt, können aber Persönlichkeitsprofile
den Betroffenen der Freiheit berauben, sich so darzustellen, wie er will. Sie vermögen mithin die
Entfaltung der Persönlichkeit wesentlich zu beeinträchtigen. Deshalb sollen sie, gleich wie
besonders schützenswerte Daten, nur unter bestimmten Voraussetzungen erstellt und bearbeitet werden
dürfen (zum Ganzen Botschaft vom 23. März 1988 zum DSG, BBl 1988 II 413 ff., 446 f. und Blechta,
a.a.O., Art. 3 DSG Rz. 63; vgl. auch VPB 65.48 E. 2.a).
Für die Frage, ob eine Zusammenstellung mehrerer Daten einer bestimmten Person ein Persönlichkeitsprofil
ergibt, kommt es zum einen auf die Menge und den Inhalt der personenbezogenen Informationen an, mit anderen
Worten ob und inwiefern diese Werturteile über die betroffene Person erlauben. Man muss überdies
nach der zeitlichen Dimension der Informationen differenzieren. Personendaten, die über einen längeren
Zeitraum zusammengetragen werden und dadurch gleichsam ein biografisches Bild ergeben, indem sie eine
Entwicklung, einen Werdegang der betroffenen Person aufzeigen, sind eher als Persönlichkeitsprofil
zu qualifizieren als Daten, die eine blosse Momentaufnahme darstellen. Im Weiteren wird unter Umständen
der konkrete Zusammenhang, in dem die Daten verwendet werden, mit entscheidend dafür sein, ob der
qualifizierte gesetzliche Schutz zum Tragen kommen soll oder nicht. Der Begriff des Persönlichkeitsprofils
kann somit nicht generell definiert werden, vielmehr ist das Vorliegen eines Persönlichkeitsprofils
im Einzelfall aufgrund der konkreten Umstände zu bejahen oder zu verneinen (VPB 65.48 E. 2.b).
Ein Gesamtbild der betroffenen Person zu ergeben vermögen nach bundesgerichtlicher Rechtsprechung
z.B. die in einem Einbürgerungsverfahren zu machenden detaillierten Angaben über Herkunft,
Einkommen, Vermögen, Ausbildung, Tätigkeit, Sprachkenntnisse, Familienverhältnisse, Freizeitgestaltung,
Leumund etc. (BGE 129 I 232 E. 4.3.2). Als Beispiel einer möglichen Bearbeitung von Persönlichkeitsprofilen
gelten neben der Aufzeichnung von Kundengewohnheiten und -präferenzen, der personalisierten Auswertung
von Kreditkartentransaktionen, der Bearbeitung von Angaben über Charaktereigenschaften, Sozialverhalten
und weiteren persönlichen Informationen von Mitarbeitenden durch die Arbeitgebenden auch Bonitätsprüfungen,
die sachwidrige Kriterien - wie etwa den Wohnsitz - infolge ihrer statistischen Relevanz
zur Bonitätsbeurteilung heranziehen (Blechta, a.a.O., Art. 3 DSG Rz.
67).
Im Übrigen reicht die einzelne Bekanntgabe eines Persönlichkeitsprofils; eine regelmässige
Bekanntgabe oder das - vorliegend ohnehin zu bejahende - Führen einer Datensammlung
ist nicht erforderlich (Rosenthal, a.a.O., Art. 12 Abs. 2, Rz. 46).
5.2.2
Im vorliegenden Fall ist zwischen folgenden Sachverhalten zu unterscheiden:
Nicht registrierte Besucher der Plattform können die Suchfunktion nach Privatpersonen auf www.moneyhouse.ch
nicht einsetzen, sondern lediglich auf die ebenfalls im Handelsregister ersichtlichen Daten zugreifen
oder aber insbesondere natürliche Personen indirekt suchmaschinenindexiert, z.B. via Google-Suche
auffinden. Auch der Wohnort und die Nationalität von im Handelsregister eingetragenen natürlichen
Personen können - sofern dort aufgeführt - ermittelt werden. Ebenfalls zugänglich
sind Jobangebote, Baugesuche und -bewilligungen, Miet- und Kaufangebote von Immobilien, ein Branchenverzeichnis
sowie eine Auflistung von Konkursen und Gesellschaftsgründungen. Die Beklagte sammelt von nicht
registrierten Besuchern ihrer Plattform Informationen betreffend den verwendeten Internet-Browser, die
Anzahl Besuche, die durchschnittlicher Verweilzeit und die aufgerufenen Seiten. Weiter werden sog. Cookies
eingesetzt, welche die besuchte Website über den Browser im Rechner des Besuchers platziert und
die so Informationen über jeden neuen Besuch der Website senden. Monatlich sollen (...) nicht
registrierte Nutzer die Plattform besuchen.
Registrierten Nutzern werden zusätzliche Daten bekannt gegeben. Der Zugang erfolgt passwortgeschützt
und nachdem die Nutzungsbedingungen akzeptiert wurden. Der Abruf von Informationen erfolgt unentgeltlich.
Kostenlos registrierte Nutzer können von der Firmensuche Gebrauch machen und so Angaben von natürlichen
Personen abrufen, die im Handelsregister eingetragen sind, wie z.B. Informationen über aktuelle
und frühere Verwaltungsratsmitglieder, Zeichnungsberechtigte und Revisionsstellen. Die Suchfunktion
betreffend natürliche Privatpersonen können sie eingeschränkt benutzen: Es kann die genaue
Adresse einer natürlichen, nicht im Handelsregister eingetragenen Person abgefragt sowie deren Telefonnummer,
wenn diese in einem über das Internet zugänglichen Telefonverzeichnis wie www.local.ch eingetragen
ist. Mit der Anzeige der gesuchten Person macht die Beklagte registrierte Nutzer darauf aufmerksam, welche
zusätzlichen Informationen als sog. Premium User abrufbar wären. Dabei wird der entsprechende
Link zum Abschluss eines solchen Abonnements eingeblendet. Weiter können kostenlos registrierte
Nutzer zwei juristische Personen überwachen lassen und einen Handelsregisterauszug bestellen. Die
Beklagte meldet dem betreffenden Nutzer diesfalls alle Änderungen der Daten der überwachten
juristischen Person. Monatlich sollen durchschnittlich (...) registrierte Nutzer die Website der
Beklagten besuchen.
Bei spezifischer Suche nach natürlichen, nicht im Handelsregister verzeichneten Personen gibt
die Beklagte auf ihrer Plattform registrierten Nutzern, die ein entgeltliches Premiumabonnement abgeschlossen
haben, nebst Vor- und Nachnamen teilweise weitere Hintergrundinformationen betreffend die gesuchte Person
bekannt, wie z.B. Wohnort, Postleitzahl, Geburtsdatum und damit Alter, aktueller Beruf und beruflicher
Werdegang, Haushaltsmitglieder und Wohnsituation mit Verlinkung auf Google Street View-Bilder sowie Nachbarn
und alte Adressen/Wohnorte. Zusätzlich werden Angaben zum Gebäudetyp, zu den Anzahl Haushalten
im Gebäude, zur Bauperiode, zu den Baukosten und zur Anzahl Etagen gemacht. Konkret bestehen diverse
Verlinkungen, nebst "Finanzielles" auch "Privates" (Wohnsituation, Haushalt und
Nachbarn, Wohnorte) "Wer wohnt im gleichen Haushalt?" und "Nachbarn". Unter dem
Link "Haushalt und Nachbarn" zur gesuchten Person bestehen Fragen wie "Mit wem wohnt
die gesuchte Person zusammen? Wohnt sie alleine? Und wer sind ihre Nachbarn? Wem gehört die Immobilie,
in der sie wohnt?" "Nachfolgend erfahren Sie, welche Personen an derselben Strasse wohnhaft
sind und welche Firmen an dieser Strasse ihren Sitz haben." Unter dem Link "Wohnorte"
zur gesuchten Person finden sich Fragen wie "Wo lebt sie aktuell und wo hat sie früher gewohnt?
Wie lebte sie früher? In einem Einfamilienhaus oder in einer Wohnung?". Zu Haushaltmitgliedern
und Nachbarn sind teilweise Angaben wie Name und Vorname, Geburtsdatum/Alter sowie Beruf ersichtlich
und es ist mit Bezug auf diese Personen ebenfalls eine Bonitätsabfrage möglich. Unter der Wohnsituation
zur gesuchten Person stehen Fragen wie "Wie wohnt sie? Wohnt sie zur Miete oder hat sie die Immobilie
gekauft?". Im Rahmen der Suche nach juristischen Personen können die sog. Premium User
zusätzlich Informationen betreffend den Inhaber eines Unternehmens sowie Beteiligungen einer juristischen
Person und eine detaillierte Darstellung ihres Netzwerks abrufen. Ebenfalls möglich ist diesfalls
die unlimitierte Überwachung von juristischen Personen. Weiter können Bonitätsauskünfte
und Informationen betreffend die Zahlungsmoral von juristischen und natürlichen Personen eingeholt
werden. Im Rahmen von Bonitätsabfragen werden Details zur gesuchten Person wie Vorname, Name, Geburtsdatum/Alter,
Adressen und Adress- und Personenstatus (passiv
oder aktiv, wobei Letzteres bedeutet,
dass die Person weder bevormundet noch minderjährig noch verstorben ist), zu Zahlungsstörungen,
sowie eine Gesamtbeurteilung mittels einer Bonitätsampel (rote, gelbe oder grüne Anzeige) bekannt
gegeben.
5.2.3
Die Rechtsbegehren 2-5 des Klägers beschränken sich implizit auf die Datenbekanntgabe gegenüber
registrierten Nutzern, die ein entgeltliches Premiumabonnement abgeschlossen haben, da die übrigen
Benutzer keinen Zugang zu anderen als bonitätsrelevanten und der Identifizierung dienenden Daten
erhalten. Unter Bonitätsdaten sind hierbei Informationen, welche die Kreditwürdigkeit -
also die Zahlungsfähigkeit und -willigkeit (Rosenthal, a.a.O., Art.
13 Rz. 49) - der betroffenen Person positiv oder negativ beeinflussen, zu verstehen (vgl. Marc
Frédéric Schäfer, Aktuelle Fälle aus der Praxis des EDÖB - Kreditauskunfteien
und die Bearbeitung von Bonitätsdaten in: Datenverknüpfung, Problematik und rechtlicher Rahmen,
2011, S. 62). Daten zur Identifizierung einer Person wie z.B. Name, Vorname, Geburtsdatum und Adresse
sind keine Bonitätsdaten im eigentlichen Sinn. Sofern solche Daten jedoch öffentlich zugänglich
sind, dürfen sie von Kreditauskunfteien grundsätzlich bearbeitet, d.h. insbesondere gespeichert,
werden (Schäfer, S. 63). Der Rechtfertigungsgrund der Kreditüberprüfung
nach Art. 13 Abs. 2 Bst. c DSG gilt demnach für die Bearbeitung solcher Daten, die zur Identifikation
der betroffenen Person und zur Überprüfung ihrer Kreditwürdigkeit geeignet und erforderlich
sind, so insbesondere Vorname, Name, Geburtsdatum, Adresse, Betreibungen, Konkurse, Nachlassverfahren
sowie entsprechende Gesuche, Verlustscheine, einvernehmliche Schuldensanierungen, abgelehnte Kreditanträge,
nicht zurückbezahlte Kredite, Kreditkartensperrungen infolge Verzugs oder Missbrauchs, Zahlungsrückstände
und Inkassoverfahren, solange damit nicht Persönlichkeitsprofile bearbeitet werden (Rampini,
a.a.O., Art. 13 DSG Rz. 36). Da die Beklagte die Bonitätsprüfung nicht selber durchführt,
benötigt sie nach Ansicht des Klägers für die Erteilung der Bonitätsauskünfte
lediglich die zur zweifelsfreien Identifizierung notwendigen Daten wie Vorname, Name, aktuelle Adresse,
zwei bisherige Adressen und das Geburtsdatum (Rz. 148 der Klageschrift).
5.2.4
Betreffend die aus dem Handelsregister ersichtlichen Daten ist eine Datenbearbeitung an sich gerechtfertigt,
solange diese Daten unverändert übernommen werden (Urteil des BVGer A-4086/2007 vom 26. Februar
2008 E. 5.2.8 f. sowie E. 5.3 f.). Die vorliegende, davon zu unterscheidende Frage ist, wie es sich in
rechtlicher Hinsicht verhält, wenn diese Daten mit weiteren verknüpft werden. Die von der Beklagten
angebotenen Recherchemöglichkeiten betreffend natürliche Privatpersonen basieren nämlich
auf der Verknüpfung von Datensätzen bzw. erlauben eine solche, womit eine natürliche Person
in einem bestimmten Zusammenhang gezeigt wird, der über den Informationsgehalt der Ursprungsdaten
im Handelsregister hinausgeht (vgl. auch Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 5.2.8).
Für die Qualifikation einer Zusammenstellung von Personendaten als Persönlichkeitsprofil
ist mit dem Kläger einig zu gehen, dass die Herkunft der Daten bzw. die Art der Datenquelle unerheblich
ist. Vielmehr entscheidend sind Menge und Inhalt der verknüpften Daten (VPB
65.48 E. 2b und vorne E. 5.2.1). Daher ist es in diesem Zusammenhang unerheblich, ob die
strittigen Daten bereits zugänglich gemacht worden sind oder nicht. Bei Daten aus öffentlichen
Quellen wie dem Handels- oder Steuerregister, aus Amtsblättern oder dem Grundbuch konnten die betroffenen
Personen zudem aufgrund der entsprechenden gesetzlichen Verpflichtungen zur Datenbekanntgabe deren Art
und Umfang nicht bestimmen. Relevant ist vorliegend einzig, ob die Verknüpfung von Informationen
- auch von solchen, welche der Öffentlichkeit bereits zugänglich oder welche nicht besonders
schützenswert i.S. des DSG sind - Aufschluss über einen oder mehrere wesentliche Aspekte
der Persönlichkeit gibt (vgl. vorne E. 5.2.1). Auch wenn es sich also bei sämtlichen bekanntgegebenen
Daten nur um solche handeln würde, die bereits öffentlich zugänglich wären, so stünde
diese Tatsache einer Qualifikation der praktizierten Datenverknüpfung als Persönlichkeitsprofil
nicht entgegen.
5.2.5
Die Tatsache, dass der Gesetzgeber den Betrieb von Auskunfteien mit Art. 13 Abs. 2 Bst. c DSG ermöglichen
wollte, legt den Umkehrschluss nahe, dass diejenigen Daten, die eine Auskunftei im Rahmen ihres zweckmässigen
Betriebs bearbeiten muss, noch nicht ein Persönlichkeitsprofil generieren (Christoph
Hofer, Datenschutz im Handel mit Bonitätsdaten in: Datenschutzrecht, Beraten in der Privatwirtschaft
und öffentlicher Verwaltung, 2015, Rz. 16.41). Fraglich ist also, ob die bearbeiteten Daten zur
Erteilung von Bonitätsauskünften notwendig sind.
5.2.5.1
Premium Usern werden im Rahmen der Privatpersonensuche wie erwähnt (vgl. vorne E. 5.2.2) sofern
verfügbar folgende Daten natürlicher Personen bekanntgegeben: Name, Vorname, Strasse, Wohnort,
Postleitzahl, Alter, Geburtsdatum, Beruf, Haushalt und Nachbarn, Wohnsituation und frühere Wohnorte.
Falls die natürliche Person in einem Handelsregistereintrag erwähnt ist, werden die entsprechenden
Informationen ebenfalls bekannt gegeben, d.h. die Funktion, Zeichnungsberechtigung und wenn vorhanden
die Nationalität. Premium User können also in Erfahrung bringen, wie eine natürliche Person
lebt, wo und wie sie wohnt - alleine oder mit wem zusammen - und wer ihre Nachbarn sind.
Zu Haushaltmitgliedern und Nachbarn sind Angaben wie Name/Vorname, Geburtsdatum/Alter, Beruf ersichtlich
und es ist diesbezüglich ebenfalls eine Bonitätsabfrage möglich. Damit wird zumindest
die Privatsphäre der betroffenen Personen tangiert, auch wenn es sich dabei nicht um besonders schützenswerte,
der Intimsphäre zuzuordnende Daten i.S.v. Art. 3 Bst. c DSG handelt (zur sog. Sphärentheorie,
welche die Lebensbereiche des Menschen dreiteilt vgl. Urteil des BVGer A-7040/2009 vom 30. März
2011 E. 3.3.3 mit weiteren Hinweisen).
Wer beispielsweise einen Betreibungsregisterauszug einholen möchte, benötigt nebst Name
und Vorname auch den aktuellen Wohnort und allenfalls vorherige Adressen der betreffenden Person. Zur
zweifelsfreien Identifizierung einer Person beanstandet der Kläger weiter nicht, dass das Geburtsdatum
dieser Person bekannt gegeben wird. Inwiefern jedoch Geburtsdaten bzw. das Alter von Familienmitgliedern,
deren Namen und vor allem auch die entsprechenden persönlichen Angaben zur Nachbarschaft, teilweise
inklusive beruflicher Tätigkeit, systematisch bonitätsrelevant sein sollen, ist nicht nachvollziehbar.
Grundsätzlich stellen auf eine Immobilie bezogene Informationen zwar keine persönlichkeitsrelevanten
Daten dar, aber die damit verbundene Bekanntgabe der privaten Wohn- und Lebenssituation geht über
die für eine zweifelsfreie Identifikation und Beurteilung der Kreditwürdigkeit einer natürlichen
Person notwendige Verknüpfung von Handelsregisterinformationen mit deren Daten, z.B. betreffend
Verbindungen zu Gesellschaften, hinaus (zu dieser Verknüpfung vgl. Hofer,
a.a.O., Rz. 16.1 ff., Rz. 16.55; vgl. auch vorne E. 5.2.1 i.f. zur Heranziehung des Wohnsitzes
als sachwidriges Kriterium zur Beurteilung der Bonität). Diese Informationen zu privaten, beruflichen
und wirtschaftlichen Lebensumständen lassen persönlichkeitsrelevante Schlüsse zu.
Die Beklagte argumentiert, aufgrund der Wohn- und Lebenssituation einer Person
liessen sich allenfalls
Rückschlüsse auf weitere finanzielle Verpflichtungen ehe- und familienrechtlicher Art und auf
deren Bonität im Allgemeinen ziehen. So mache es beispielsweise einen Unterschied, ob jemand in
einer Villa am See oder in einer "Mietskaserne" wohne, kinderlos sei oder acht Kinder habe
(vgl. Protokoll zur Hauptverhandlung vom 23. Januar 2017, S. 3 und S. 5). Tendenziell lassen sich
aus derartigen Angaben zwar mit Bezug auf die finanziellen Verhältnisse einer natürlichen Person
Schlussfolgerungen ziehen und auch genau deshalb wird damit ein wesentlicher Teilaspekt der Persönlichkeit
beleuchtet. Die Angaben können jedoch ebenso zu falschen Annahmen führen und belegen die Kreditwürdigkeit
einer natürlichen Person somit nicht zuverlässig. So kann jemand, der in einer Villa mit Seeanstoss
wohnt, verschuldet sein oder eine vermögende, sparsame Person in einer kleinen Wohnung leben oder
acht Kinder und keine finanziellen Probleme haben oder im umgekehrten Fall kinderlos sein und Schulden
haben. Weiter lassen sich aufgrund der Verknüpfung der bekanntgegebenen Daten allenfalls Rückschlüsse
auf besonders schützenswerte Personendaten i.S.v. Art. 3 Bst. c DSG ziehen, insbesondere auf die
sexuelle Gesinnung. Mittels Informationen zu Wohnpartnern und deren Alter lässt sich nämlich
allgemein - nicht nur in Bezug auf gleichgeschlechtliche Paare, auf welche der Kläger hinweist
- auf die sexuelle Orientierung der betreffenden Personen schliessen oder aber es werden falsche
Annahmen getroffen, so wenn Studienkollegen oder gute Freunde zusammen wohnen. Ebenso sind unter Umständen
Rückschlüsse auf den gesundheitlichen Zustand einer Person möglich, z.B. wenn als Wohnadresse
ein Pflege- oder Altersheim vermerkt ist, oder auf die religiöse Zugehörigkeit: Bei einer Stiftungsratspräsidentin
einer christlichen Wohngemeinschaft liegt nämlich - wie der Kläger darlegt - in
der Tat der Schluss nahe, dass sie selbst Christin ist.
5.2.5.2
Die Bearbeitung von Persönlichkeitsprofilen mittels der von der Beklagten praktizierten Bekanntgabe
der gesammelten Daten ist somit im folgenden Fall zu bejahen: Die Beklagte gibt registrierten und zahlenden
Benutzern nebst den zur Identifizierung benötigten Angaben wie Name, Vorname, aktuelle Adresse und
allenfalls Geburtsdatum - sofern die entsprechenden Daten vorhanden sind - systematisch verknüpfte
Informationen zur privaten Wohn- und Lebenssituation betroffener natürlicher Personen, d.h. betreffend
ihre Haushaltsmitglieder und Nachbarn, und damit zu einem wesentlichen Teilaspekt ihrer Persönlichkeit
bekannt. Bei im Handelsregister verzeichneten Personen wird zusätzlich die Nationalität bekanntgegeben
sowie ihr beruflicher Werdegang und ihr berufliches Netzwerk, womit ein weiterer Teilbereich der Persönlichkeit
betroffen ist. Premium User können sodann mit Hilfe der von der Beklagten angebotenen Dienstleistungen
wie Bonitäts-, Steuer- und Grundbuchauskünften selbst relativ simpel Persönlichkeitsprofile
gesuchter Personen erstellen oder weiterbearbeiten.
Die Argumentation der Beklagten, wenn sie nur ein Datenausschnitt anbieten würde, könnte
dieser für sich alleine betrachtet im Rahmen der Beurteilung der Kreditwürdigkeit ein falsches
Bild einer juristischen oder natürlichen Person vermitteln, mag zutreffen, ändert jedoch mit
Bezug auf natürliche Personen nichts daran, dass mit der im Rahmen eines Premiumabonnements bearbeiteten
Daten unter den vorgenannten Umständen ein Persönlichkeitsprofil erstellt wird.
Selbst wenn die systematische Bonitätsrelevanz von Daten betreffend die private Wohn- und Lebenssituation
bejaht würde, würde dies die seitens der Beklagten praktizierte Datenbekanntgabe nicht rechtfertigen,
da die Erstellung eines Persönlichkeitsprofils wie erwähnt zu bejahen ist.
Fraglich ist sodann, ob auch in Bezug auf diejenigen Haushaltsmitglieder und
Nachbarn von betroffenen
Personen, die namentlich erwähnt und von denen ebenfalls die Wohnverhältnisse und teilweise
das Alter und die berufliche Tätigkeit bekannt gegeben werden, die Bearbeitung eines Persönlichkeitsprofils
zu bejahen wäre, womit ebenfalls deren diesbezügliche explizite Einwilligung benötigt
würde. Da die klägerischen Rechtsbegehren sich auf die Bearbeitung von Persönlichkeitsprofilen
mit Bezug auf Personen, über die Bonitätsauskünfte eingeholt werden, beschränken,
hat diese Frage vorliegend offen zu bleiben (vgl. auch vorne E. 2.2.1).
5.3
Als Zwischenfazit bleibt festzuhalten, dass mit Bezug auf diejenigen Datenverknüpfungen, wie sie
teilweise im Rahmen von Premiumabonnementen vorgenommen werden, ein biografisches Bild erstellt wird,
sofern nebst Name und Vorname sowie Geburtsdatum auch die Lebens- und Wohnsituation in Form von ebenfalls
persönlichkeitsrelevanten Angaben betreffend die Haushaltsmitglieder und Nachbarn einer natürlichen
Person bekannt gegeben werden. Dies muss umso mehr gelten, wenn zusätzlich frühere Wohnorte
bekannt gegeben und Angaben zu beruflichen Tätigkeiten gemacht werden. Die bekannt gegebenen Angaben
über Leumund, Familienverhältnisse, Ausbildung bzw. berufliche Tätigkeit und Wohnverhältnisse
vermögen ein Teilbild der betroffenen Person zu ergeben, womit die Bearbeitung eines Persönlichkeitsprofils
zu bejahen ist. Die Beklagte ermöglicht Premium Usern zudem mittels entsprechender Verlinkungen
auf ihrer Plattform, welche diese Informationen miteinander verknüpfen, die Weiterbearbeitung von
Persönlichkeitsprofilen.
5.4
Die Bekanntgabe von Persönlichkeitsprofilen stellt eine qualifizierte Form der Datenbearbeitung
dar, die ein erhöhtes Risiko einer Persönlichkeitsverletzung aufweist, da nicht nur die Berechtigung
der bearbeitenden, sondern auch jene der empfangenden Person zu hinterfragen ist (Amédéo
Wermelinger in: Stämpflis Handkommentar zum DSG, 2015, Art. 12 Rz. 8). Die Rechtmässigkeit
der Weitergabe von Persönlichkeitsprofilen an Dritte hängt vom Vorliegen eines Rechtfertigungsgrunds,
d.h. der expliziten Einwilligung der betroffenen Person oder einer gesetzlichen Grundlage, ab. Zudem
sind insbesondere die Prinzipien der Verhältnismässigkeit und der Zweckbindung zu beachten.
Die Weitergabe einer Datensammlung kann grundsätzlich ohne Rechtfertigungsgrund zulässig sein,
sofern nicht - wie vorliegend - einzelne Persönlichkeitsprofile darin enthalten sind,
welche eben gemäss Art.12 Abs. 2 Bst. c DSG nach einem Rechtfertigungsgrund verlangen (Corrado
Rampini in: Basler Kommentar zum DSG und BGÖ, a.a.O., Art. 12 DSG Rz. 14 mit weiteren
Hinweisen). Mit Bezug auf den Rechtfertigungsgrund der überwiegenden öffentlichen und privaten
Interessen gilt es zu berücksichtigen, ob nur vereinzelt, zufällig oder ausnahmsweise Persönlichkeitsprofile
generiert werden oder nicht. Die Schwere der Persönlichkeitsverletzung der betroffenen Person beurteilt
sich im Fall der konkreten Bekanntgabe nach objektiven Kriterien. Es ist danach zu fragen, welches tatsächliche
Interesse eine vernünftige Person in der Situation der betroffenen Person nachvollziehbarerweise
daran hat, dass das sie betreffende Persönlichkeitsprofil nicht wie vorgesehen bekannt gegeben wird
(Rosenthal, a.a.O., Art. 12 Abs. 2, Rz. 48).
Zu prüfen bleibt also in einem zweiten Schritt, ob die Beklagte sich für die vorangehend
bejahte Bearbeitung von Persönlichkeitsprofilen auf einen -anderen als den vorliegend nicht
einschlägigen Art. 13 Abs. 2 Bst. c DSG (vgl. dazu vorne E. 5.2.3) - Rechtfertigungsgrund
nach Art. 13 Abs. 1 DSG stützen kann.
5.4.1
Eine entsprechende gesetzliche Grundlage ist nicht ersichtlich. Zur rechtmässigen Bearbeitung von
Persönlichkeitsprofilen ist nach Art. 4 Abs. 5 zweiter Satz DSG eine explizite Einwilligung
der betroffenen Person notwendig. Die Einwilligung erfordert, dass die betroffene Person in den Grundzügen
über Gegenstand, Zweck und Umfang der beabsichtigten Datenbearbeitung aufgeklärt sein muss,
damit sie die Konsequenzen der Einwilligung abschätzen kann (Rampini,
a.a.O., Art. 13 DSG Rz. 3 ff.).
Das Auskunftsrecht nach Art. 8 DSG, wonach jede Person vom Inhaber einer Datensammlung
Auskunft darüber
verlangen kann, ob Daten über sie bearbeitet werden, hat zwar auch Präventivfunktion (vgl. dazu
Schäfer in Datenverknüpfung, S. 69), aber faktisch setzt dessen
Wahrnehmung eine entsprechende vorgängige Aufklärung über die Datenbearbeitung voraus.
Im Fall der Beschaffung von Persönlichkeitsprofilen statuiert Art. 14 DSG zudem eine aktive Informationspflicht
des Inhabers einer Datensammlung und zwar ungeachtet der Tatsache, aus welchen Quellen die Daten beschafft
werden; d.h. diese Pflicht gilt sogar, wenn die betroffene Person ihre Daten selbst veröffentlicht
hat (Rampini/Fuchs in: Basler Kommentar zum DSG und BGÖ, a.a.O., Art. 14
DSG Rz. 6 f). Werden die Daten nicht bei der betroffenen Person beschafft, so hat deren Information spätestens
bei der Speicherung der Daten oder, wenn die Daten nicht gespeichert werden, mit ihrer ersten Bekanntgabe
an Dritte zu erfolgen (Art. 14 Abs. 3 DSG).
Die diesbezügliche Argumentation der Beklagten, aufgrund der Tatsache, dass ihre Auskunftei
suchmaschinenindexiert sei, könnten Betroffene z.B. anhand von Google-Suchresultaten leicht erkennen,
ob Daten über sie bearbeitet würden und entsprechend - wohlbemerkt nachträglich
- die Löschung verlangen, verfängt nicht. Ihre Praxis vermag den gesetzlichen Anforderungen
an eine aktive, zeitgerechte Information der Betroffenen nicht zu genügen.
Auf ihrer Website erklärt die Beklagte sodann, die Daten registrierter Nutzer weder an Dritte
weiterzugeben noch sie dazu zu nutzen, die dort publizierten Daten zu ändern oder ergänzen.
Sie macht in diesem Zusammenhang geltend, nur ihr begrenzter Kundenkreis erhalte die Daten und bezahle
dafür sogar teilweise, so dass von einem öffentlichen Zugänglichmachen nicht die Rede
sein könne. Dennoch handelt es sich dabei um eine Datenbekanntgabe gegenüber Dritten und wie
festgestellt im Rahmen von Premiumabonnementen um die Bearbeitung von Persönlichkeitsprofilen. Diese
Argumentation ist daher ebenso unbehelflich wie diejenige, wonach eine ausdrückliche Einwilligung
der Betroffenen erfolgt sei, indem diese gegenüber der Post AG mit Bezug auf einen Nachsendeauftrag/Wohnungswechsel
der Adressweitergabe u.a. für Wirtschaftsauskunfteien zugestimmt hätten. Damit haben die betroffenen
Personen nämlich nicht gegenüber der Beklagten in die Erstellung eines Persönlichkeitsprofils
eingewilligt. Im Unterschied zu Anstellungs- oder Einbürgerungsverfahren oder zu Erhebungen zum
Konsumverhalten mittels Kundenkarten, bei welchen die Betroffenen vorgängig ihre Einwilligung zu
einem bestimmten Datenbearbeitungszweck geben, haben die betroffenen natürlichen Personen vorliegend
aufgrund der Tatsache, dass die Beklagte Daten von anderen Unternehmen erwirbt oder sie aus öffentlichen
Quellen erhältlich macht, regelmässig keine Kenntnis davon, dass und zu welchem Zweck Daten
über sie bearbeitet werden. Daran ändert auch nichts, dass die Beklagte sämtliche nicht
im Handelsregister eingetragenen Kunden kontaktiert und fragt, weshalb sie die Bonitätsauskünfte
benötigen würden, bevor das entsprechende Premium-Abonnement freigeschaltet wird (vgl. Beklagtenbeilage
43, S. 5-7). Weder die persönliche Benutzererkennung noch die Angabe eines Interessensnachweises
vermögen die Einwilligung der betroffenen Person zu substituieren.
Die explizite Einwilligung der Betroffenen in die Erstellung eines Persönlichkeitsprofils nach
rechtzeitiger Information - wie Art. 4 Abs. 5 DSG dies fordert (vgl. dazu statt vieler Maurer-Lambrou/Steiner
in: Basler Kommentar zum DSG und BGÖ, a.a.O., Art. 4 DSG Rz. 16h mit weiteren Hinweisen) -
wurde von der Beklagten nicht belegt. Vielmehr ist davon auszugehen, dass die betroffenen Personen regelmässig
keine Kenntnis davon haben, dass über sie ein Profil angelegt wurde und dass sie deshalb dessen
Richtigkeit und Verwendung nicht kontrollieren können (vgl. auch die entsprechende Bemerkung betreffend
die 2012 von der damaligen E._______ AG erworbene Datensammlung im Audit-Bericht, S. 4), was im Rahmen
der nachfolgenden Interessenabwägung als ein den Betroffenen erwachsender Nachteil zu berücksichtigen
ist (vgl. dazu sogleich E. 5.4.2).
Im Übrigen bleibt festzuhalten, dass die gesetzliche Vermutung von Art. 12 Abs. 3 DSG, wonach
keine Persönlichkeitsverletzung vorliegt, wenn die betroffene Person die Daten allgemein zugänglich
gemacht hat, so dass eine unbestimmte Zahl von Personen sie ohne wesentliche Hindernisse in Erfahrung
bringen kann, ohne die Bearbeitung ausdrücklich zu verbieten, vorliegend nicht greift. Hierfür
wäre erforderlich, dass die betroffene Person ihre Daten mit Wissen und Willen allgemein zugänglich
gemacht hat oder durch einen Dritten zugänglich machen liess. Blosses Dulden der Handlung eines
Dritten, ohne etwas zum Zugänglichmachen beizutragen, genügt indes nicht. Weiss etwa eine Person,
dass sie betreffende Personendaten allgemein zugänglich gemacht werden sollen, z.B. in Form eines
Zeitungsberichts, bleibt sie aber passiv, findet Art. 12 Abs. 3 DSG keine Anwendung (Urteil
des BVGer A-7040/2009 vom 30. März 2011 E. 9.3 und Rosenthal, a.a.O.,
Art. 12 DSG Rz. 54 ff., insbesondere Rz. 59). Weder betreffend die Handelsregisterdaten noch die
auf anderen Plattformen wie www.local.ch publizierten Daten stellt die Beklagte nämlich auf eine
Einwilligungserklärung der darin genannten Personen ab. Die strittigen Daten werden somit nicht
von den betroffenen Personen selber i.S.v. Art. 12 Abs. 3 DSG wissentlich und willentlich auf der
Plattform der Beklagten allgemein zugänglich gemacht. Dieser Ausschlussgrund für das Bestehen
einer Persönlichkeitsverletzung kommt demnach nicht zum Tragen (vgl. mit Bezug auf die Handelsregisterdaten
Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 5.1.2). Daran ändert auch ein allfälliges,
nicht wahrgenommenes Widerspruchsrecht nichts, da passives Dulden wie soeben erwähnt nicht genügt.
5.4.2
Es bleibt im Sinne einer gesamthaften Interessenabwägung zu prüfen, ob überwiegende öffentliche
und private Interessen die seitens der Beklagten praktizierte Bearbeitung von Persönlichkeitsprofilen
zu rechtfertigen vermögen.
5.4.2.1
Das Interesse, nicht in der eigenen Persönlichkeit verletzt zu werden, ist immer schützenswert
(Rosenthal, a.a.O., Art. 13 Rz. 11 und Rampini,
a.a.O., Art. 13 DSG Rz. 23). Ebenfalls gilt es bei der Interessenabwägung nach Art. 13
Abs. 1 DSG zu beachten, dass dem EDÖB im Verfahren nach Art. 29 DSG eine besondere Stellung
zukommt. Er handelt hier in einem Rahmen, welcher über das reine Zweiparteienverhältnis hinausgeht,
und bezweckt mit seiner Empfehlung bzw. der Klage an das Bundesverwaltungsgericht die Verteidigung der
Rechte einer Vielzahl von Personen. Sein Tätigwerden dient damit letztlich dem öffentlichen
Interesse (vgl. statt vieler BGE 138 II 346 E. 10.1 und Urteil des BVGer A-7040/2009 vom 30. März
2011 E. 10.4.5, je mit weiteren Hinweisen).
Als Rechtfertigungsgrund nach Art. 13 DSG spielen öffentliche Interessen in der Praxis gegenüber
den privaten Interessen eine untergeordnete Rolle. Zum einen bestehen für öffentliche Interessen
häufig gesetzliche Regelungen, die eine Datenbearbeitung auch ohne Interessenabwägung rechtfertigen,
zum anderen liegt zumeist, wenn ein überwiegendes öffentliches Interesse gegeben ist, auch
ein überwiegendes privates Interesse vor (Rosenthal, a.a.O., Art. 13
Rz. 20 und Rampini, a.a.O., Art. 13 DSG Rz. 47 sowie Urteil des BVGer A-7040/2009
vom 30. März 2011 E. 10.4.2 mit weiteren Hinweisen). Als private Interessen kommen in erster
Linie Interessen des Datenbearbeiters oder Inhabers der Datensammlung in Frage. Aber auch Interessen
von Dritten oder sogar der betroffenen Personen selbst können die Datenbearbeitung unter Umständen
rechtfertigen. Grundsätzlich kann jedes schützenswerte Interesse, d.h. jedes Interesse von
allgemein anerkanntem Wert, berücksichtigt werden (Rosenthal, a.a.O.,
Art. 13 Rz. 6 ff. und Rampini, a.a.O., Art. 13 DSG Rz. 20 ff.). Hinweise,
was als schützenswertes Interesse gilt, liefern die Beispiele in Art. 13 Abs. 2 DSG und Art.
6 Abs. 2 DSG. Auch rein wirtschaftliche Interessen, wie beispielsweise das Interesse daran, eine Datenbearbeitung
möglichst effizient zu gestalten oder die eigenen Geschäftsabläufe zu optimieren, zählen
grundsätzlich dazu. Ebenso kann Gewinnstreben ein schützenswertes Interesse darstellen (Rosenthal,
a.a.O., Art. 13 Rz. 10; a.M. Rampini, a.a.O., Art. 13 DSG Rz. 22; vgl. auch
BGE 138 II 346 E. 10.3 i.f.).
Den privaten und öffentlichen Interessen, die für die Datenbearbeitung sprechen, sind die
berechtigten Interessen der betroffenen Personen gegenüberzustellen; es ist folglich wie erwähnt
eine Interessenabwägung vorzunehmen. Eine solche umfasst die folgenden drei Gedankenschritte: Die
konkreten Interessen sind zu ermitteln, mithilfe rechtlich ausgewiesener Massstäbe zu beurteilen
und schliesslich zu optimieren, so dass sie mit Rücksicht auf die Beurteilung, die ihnen zuteil
wurde, im Entscheid möglichst umfassend zur Geltung gebracht werden können (Tschannen/Zimmerli/Müller,
Allgemeines Verwaltungsrecht, 4. Aufl., 2014, S. 226 f.). Wie das Bundesgericht festgehalten hat, dürfen
Rechtfertigungsgründe beim Verstoss gegen die Grundsätze von Art. 4 DSG nur mit grosser Zurückhaltung
bejaht werden (BGE 136 II 508 E. 6.3.1 mit Verweis auf E. 5.2 ff. und zum Ganzen Urteil des BVGer A-7040/2009
vom 30. März 2011 E. 10.4.3 mit weiteren Hinweisen). Im Allgemeinen lässt sich gestützt
auf die Rechtsprechung und in Übereinstimmung mit der Lehre festhalten, dass der Geheimhaltung von
Persönlichkeitsprofilen i.S.v. Art. 3 Bst. d DSG erhebliches Gewicht zukommt und die Güterabwägung
in der Regel zugunsten der privaten Interessen der betroffenen Personen ausfallen dürfte (BVGE 2014/42
E. 7.1; Claudia Mund, in: Stämpflis Handkommentar zum DSG, a.a.O., Art.
19 Rz. 31; vgl. auch Urteil des BVGer A-8073/2015 vom 13. Juli 2016 E. 6.1.3 mit weiteren Hinweisen).
5.4.2.2
Gewinnstrebige Interessen der Beklagten sind wie erwähnt zu berücksichtigen, sowie grundsätzlich
auch das Informationsinteresse des Publikums, d.h. die Interessen Dritter, welche durch die erleichterte
Informationsbeschaffung und -verwendung aus der Plattform www.moneyhouse.ch einen Nutzen ziehen (vgl.
auch BGE 138 II 346 E. 10.6.1 mit weiteren Hinweisen betreffend Google Street View). Letztere erleichtert
einem erheblichen Teil der Bevölkerung die Suche nach Wirtschafts- und anderen Informationen. Allfällige
unlautere Absichten gewisser Nutzer können diesen grundsätzlich positiven Aspekt der Orientierungshilfe
nicht in Frage stellen (vgl. auch BGE 138 II 346 E. 10.6.1 mit weiteren Hinweisen betreffend Google Street
View). Das Dienstleistungsangebot der Beklagten im Bereich der Premiumabonnemente dehnt das staatliche
Informationsangebot jedoch quantitativ aus, indem nicht nur bereits veröffentliche (Handelsregister)Daten
weitergegeben werden (vgl. die anders gelagerte Situation/Fragestellung in Urteil des BVGer A-4086/2007
vom 26. Februar 2008 E. 5.3). Bei der darüber hinausgehenden Verknüpfung von öffentlich
und nicht öffentlich zugänglichen Daten zu einem Persönlichkeitsprofil verfängt das
öffentliche Interesse des Gläubigerschutzes bzw. an der Verbreitung von Wirtschaftsinformationen
nicht: Für die Überprüfung der Bonität eines potentiellen Vertragspartners oder im
Rahmen einer Kreditvergabe können mit dessen Einwilligung im Einzelfall Auskünfte betreffend
Einkommen, Betreibungen etc. eingeholt werden, was ausreichend zur Befriedigung des vorgenannten Interesses
ist; dazu bedarf es keiner Erstellung eines Persönlichkeitsprofils. Zudem ist zu berücksichtigen,
dass die Lebens- und Wohnsituation der betroffenen Personen deren Kreditwürdigkeit wenn überhaupt,
so sicherlich nicht zuverlässig zu belegen vermag (vgl. dazu vorne E. 5.2.5.1), weshalb diesbezüglich
ohnehin kein Interesse des Publikums an Informationen betreffend bestehende oder künftige Vertragsverhältnisse
oder zur Überprüfung der Kredit- und Zahlungsfähigkeit von Personen im Hinblick auf den
Abschluss von Rechtsgeschäften bzw. allgemein des Gläubigerschutzes ins Feld geführt werden
kann. Im Übrigen ist mit dem Kläger einig zu gehen, dass der Zugang zu den verknüpften
Daten grösstenteils kostenpflichtig ist, weshalb sich die Beklagte auch aus diesem Grund anders
als im Verfahren A-4086/2007 nicht auf das vorgenannte öffentliche Interesse berufen kann.
Auch diejenigen natürlichen Personen, die im Handelsregister mit ihrem Namen und weiteren Angaben
erwähnt sind, werden durch den Eintrag nicht zu absoluten oder relativen Personen der Zeitgeschichte,
so dass an ihnen kein legitimes öffentliches Informationsinteresse besteht. Das bedeutet, dass nicht
automatisch jede Information über diese Personen frei verfügbar wird. Es besteht auch in diesem
Fall beispielsweise kein überwiegendes öffentliches Interesse an über die Teilaspekte
der wirtschaftlichen Persönlichkeit hinausgehenden Informationen wie an den privaten Lebensumständen,
den Verwandtschaftsverhältnissen, der Ausbildung, der politischen Überzeugung dieser Person,
auch wenn sie im Zusammenhang mit einer Rechtseinheit im Handelsregister eingetragen ist (Urteil des
BVGer A-4086/2007 vom 26. Februar 2008 E. 5.2.6). Dies muss umso mehr für natürliche
Personen gelten, die nicht im Handelsregister verzeichnet sind.
Bei der Abwägung der Interessen darf schliesslich nicht ausser Acht ge-lassen werden, dass es
letztlich nicht um ein gänzliches Verbot der Publikation von Personendaten, sondern lediglich darum
geht, über Daten, welche dazu führen, dass ein Teilaspekt der Persönlichkeit beleuchtet
wird und die im Übrigen keine Bonitätsrelevanz aufweisen, nicht ohne eine Zustimmung der betroffenen
Personen zu verfügen. Zu beachten ist zudem, dass vorliegend die strittigen Daten entweder bekannt
gegeben werden können oder nicht, eine Anonymisierung als mildere Lösung zu einer kompletten
Löschung, wie dies bei Abbildungen von Gesichtern und Fahrzeugkennzeichen im Fall von Google Street
View mittels Unkenntlichmachung praktiziert werden kann, besteht nicht. Die Beklagte vermag sich -
ausser die Handelsregisterinformationen betreffend, an deren Verbreitung ein öffentliches Interesse
zur informationellen Erleichterung des Geschäftsverkehrs besteht, solange die Daten unverändert
von einem staatlichen Referenzdatenbestand übernommen und unentgeltlich weiterverbreitet werden
(vgl. dazu Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 7.2.1 f.) - nur
auf eigene wirtschaftliche, mithin vor allem rein finanzielle Interessen zu berufen. Es ist denn auch
nicht so, dass es der Beklagten finanziell nicht möglich wäre, die Plattform www.moneyhouse.ch
unter umfassender Berücksichtigung des informationellen Selbstbestimmungsrechts der betroffenen
Personen anzubieten, sie stellt jedoch ihr wirtschaftliches Interesse, den finanziellen Aufwand möglichst
gering zu halten, in den Vordergrund. Dies mag aus unternehmerischer Sicht gerechtfertigt erscheinen,
lässt die Datenbearbeitung durch die Beklagten indes in keinem vernünftigen Verhältnis
zum Eingriff in die Persönlichkeitsrechte der Betroffenen stehen.
5.4.2.3
Angesichts der bundesgerichtlichen Rechtsprechung, wonach überwiegende private oder öffentliche
Interessen nur zurückhaltend zu bejahen sind (BGE 136 II 508 E. 6.3.1 mit Verweis auf E. 5.2 ff.),
vermögen die grundsätzlich zu berücksichtigenden, gewinnstrebigen Interessen der Beklagten
diejenigen einer Vielzahl Betroffener an der Wahrung ihrer Persönlichkeitsrechte nicht zu überwiegen.
Die Beklagte nimmt im Interesse ihres wirtschaftlichen Erfolgs die Verletzung der Persönlichkeitsrechte
zahlreicher Personen in Kauf. Dabei geht es nicht darum, dass sie ihre Dienstleistungen nicht ohne Rücksicht
auf das informationelle Selbstbestimmungsrecht der Betroffenen anbieten könnte. Vielmehr wären
allfällige Persönlichkeitsverletzungen vermeidbar, würden aber einen finanziellen Mehraufwand
für die Beklagte nach sich ziehen, weil sie die explizite Einwilligung einer Vielzahl Betroffener
einholen und die entsprechende Datenkontrolle wohl teilweise manuell durchführen müsste. Dieser
Mehraufwand würde indes die wirtschaftliche Existenz der Beklagten selbst dann nicht in Frage stellen,
wenn dadurch das Angebot von Premiumabonnementen im Speziellen gefährdet wäre.
Die Beklagte hat sodann bislang keinerlei Massnahmen getroffen, um den Eingriff
in die Persönlichkeitsrechte
Betroffener so geringfügig wie möglich zu gestalten. Das auf Anfang 2016 angekündigte
Redesign ihrer Plattform mit beabsichtigter Trennung der Datenbanken je nach Nutzungsprofil hat die Beklagte
gemäss eigenen Angaben noch nicht umgesetzt (vgl. Eingabe vom 24. Oktober 2016, S. 8). Sie macht
lediglich geltend, da ihre Datenbearbeitung transparent erfolge und die betroffenen Personen mittels
Suchmaschineneingabe ihrer Daten einfach erkennen könnten, ob sie von ihnen Daten bearbeite, könnten
Erstere ihre Löschungs- und Korrekturrechte wirksam ausüben. Die Geltendmachung eines Widerspruchsrechts
mittels Löschungsbegehren kann jedoch zwangsläufig erst nachträglich, d.h. nach Kenntnisnahme
der Datenbearbeitung und einer allfälligen Verletzung des Persönlichkeitsrechts ausgeübt
werden (vgl. auch Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 8.4.4).
5.5
Da die rechtswidrige Bearbeitung von Persönlichkeitsprofilen zu bejahen ist, erübrigt es sich,
die Einhaltung der allgemeinen Datenbearbeitungsgrundsätze der Verhältnismässigkeit und
der Zweckbindung (Art. 4 Abs. 2-4 DSG), zu prüfen (zum rechtlich unklaren Verhältnis zwischen
Art. 12 Abs. 2 Bst. a DSG und Art. 13 Abs. 1 DSG vgl. Schäfer,
S. 56 f. mit weiteren Hinweisen). Auf die Datenrichtigkeit nach Art. 5 DSG wird nachfolgend im Rahmen
der Behandlung von Rechtsbegehren 7 eingegangen (vgl. hinten E. 7).
Sofern die betroffenen natürlichen Personen ohne Handelsregistereintrag nicht explizit in die
seitens der Beklagten praktizierte Datenbearbeitung eingewilligt haben, also kein Rechtfertigungsgrund
vorliegt, sind die entsprechenden Daten, welche verknüpft ein Persönlichkeitsprofil darstellen,
wie seitens des Klägers beantragt in Anwendung des Verhältnismässigkeitsprinzips insoweit
zu löschen, als sich Rückschlüsse auf wesentliche Teilaspekte ihrer Persönlichkeit
ziehen lassen. Konkret bedeutet dies, dass diejenigen Daten, welche im Rahmen der Erteilung von Bonitätsauskünften
nicht benötigt werden (vgl. dazu vorne E. 5.2.5.1) und in deren Bekanntgabe eine nicht im Handelsregister
eingetragene natürliche Person nach erfolgter Aufklärung über den Verwendungszweck nicht
ausdrücklich eingewilligt hat, zu löschen sind (vgl. Rechtsbegehren 2-4). Dies gilt wie mit
Rechtsbegehren 5 beantragt in Bezug auf sämtliche natürliche Personen - unabhängig
davon, ob sie im Handelsregister eingetragen sind oder nicht - ebenso für diejenigen Verlinkungen,
z.B. mit Google Map oder mittels Verweisen auf weitere private Informationen zur Wohnsituation, zu Nachbarn
und Haushaltsmitgliedern, welche zur entsprechenden Erstellung von Persönlichkeitsprofilen beitragen
("Wie wohnt X.? Wohnt er/sie zur Miete oder hat er/sie die Immobilie gekauft?" "Mit
wem wohnt X zusammen? Wohnt er/sie alleine? Und wer sind seine/ihre Nachbarn? Wem gehört die Immobilie,
in der X wohnt?" "Nachfolgend erfahren Sie, welche Personen an derselben Strasse wohnhaft
sind und welche Firmen an dieser Strasse ihren Sitz haben.").
Die Rechtsbegehren 2-5 sind folglich im Sinne vorangehender Erwägungen gutzuheissen und die
Beklagte dazu zu verpflichten, die entsprechenden Anordnungen innert 30 Tagen ab Zustellung dieses Entscheids
umzusetzen.
6.
6.1
Mit Rechtsbegehren 6 fordert der Kläger, die Beklagte solle ihre Suche nach im Handelsregister
eingetragenen Personen der Praxis des Eidgenössischen Handelsregisteramts anpassen, wonach bei der
Personensuche auf www.zefix.ch nur ein Eintrag als Google-Suchresultat erscheint, wenn der Name und Zefix
in die Suchmaschine eingegeben wird, die Eingabe des Namens alleine also nicht ausreichend ist bzw. keine
direkte Verlinkung zu Personeneinträgen erfolgt und keine weiteren Angaben über private Lebensumstände
der eingetragenen Person publiziert werden.
Grundsätzlich gelten die im Rahmen der Bearbeitung von Persönlichkeitsprofilen gemachten
Feststellungen auch für natürliche Personen mit Handelsregistereintrag bzw. unabhängig
davon, ob eine natürliche Person im Handelsregister eingetragen ist oder nicht; d.h. direkte Verlinkungen
auf der Plattform der Beklagten sind zu löschen, sofern sie private Lebensumstände der eingetragenen
Person betreffen, welche nicht bonitätsrelevant sind (vgl. vorne E. 5.4.2.2 und E. 5.5). Das vorliegende
Rechtsbegehren richtet sich jedoch gegen die Bekanntgabe von Daten mittels Internetsuchmaschinen, welche
auf die Plattform www.moneyhouse.ch verweisen (Suchmaschinenindexierung).
Es ist möglich, aber nicht zwingend, dass die Beklagte in einem Vertragsverhältnis zu gewissen
Suchmaschinenbetreiberinnen steht. Letztere arbeiten jedoch auch mit Indexierungen und Querverlinkungen,
welche ausserhalb des Herrschaftsbereichs der Beklagten liegen. Jedenfalls betreibt die Beklagte die
entsprechenden Suchportale nicht und hat dementsprechend keine oder nur begrenzte Einflussmöglichkeiten
auf die Publikation von Suchresultaten, da die Recherche primär von den Betreiberinnen der entsprechenden
Portale gesteuert wird. Schon die faktische technische Umsetzung des klägerischen Rechtsbegehrens
6 erwiese sich daher als schwierig. Auch mit Verweis auf die vom Kläger erwähnte Rechtsprechung
des Europäischen Gerichtshofs in der Rechtssache C-131/12, wonach Suchmaschinenbetreiber unter bestimmten
Voraussetzungen verpflichtet sind, Verlinkungen, die im Anschluss an eine durchgeführte Suche nach
dem Namen einer Person angezeigt werden, von der Ergebnisliste zu entfernen, da sie auch Daten verarbeiten
und für die verbreiteten Inhalte verantwortlich sind, müsste der Kläger eine derartige
Empfehlung daher an die Betreiberinnen der jeweiligen Suchportale richten, da es sich eben nicht wie
im Fall von Rechtsbegehren 5 um Verlinkungen auf der Plattform der Beklagten handelt bzw. nicht um deren
Datensammlung an sich geht. Rechtsbegehren 6 ist somit abzuweisen.
Mit Umsetzung der gutgeheissenen Rechtsbegehren 2-5 erweist sich die Datenbearbeitung
der Beklagten
sodann als rechtskonform, weshalb es in datenschutzrechtlicher Hinsicht keinen Unterschied
macht, inwiefern
sich auf ihrer Plattform eingetragene Personen über Suchmaschinenresultate auffinden lassen. Mit
der Entfernung gewisser Verlinkungen auf www.moneyhouse.ch relativiert sich in der Folge die Bedeutung
der Suchmaschinenindexierung zudem ohnehin.
6.2
Der Kläger erklärt weiter, Suchmaschinenresultate betreffend die auf der Plattform der Beklagten
gelöschten Inhalte seien dennoch zumindest eine gewisse Zeit lang - in der Regel während
vier bis sechs Wochen - weiterhin im Internet auffindbar, was sich mit der Sachverhaltsfeststellung
des Bundesverwaltungsgerichts deckt. Er bemängelt in diesem Zusammenhang, dass die Beklagte Personen,
die bei ihr ein Löschungsgesuch gestellt hätten, nicht dahingehend unterstütze, dass die
entsprechenden Suchmaschinenresultate rascher entfernt würden.
Mit der Beklagten ist diesbezüglich jedoch einig zu gehen, dass eine derartige Verpflichtung
nicht besteht und es ihr wie erwähnt an den entsprechenden Einflussmöglichkeiten mangelt. Hierfür
müssten der Kläger oder die Betroffenen selbst auf die fraglichen Suchmaschinenbetreiberinnen
zugehen. Gemäss gerichtlicher Sachverhaltsabklärung löscht die Beklagte auf entsprechendes
Begehren hin die Daten in ihrem Herrschaftsbereich, sprich auf ihrer Plattform, umgehend (vgl. auch Datenschutzkonzept
der Beklagten, S. 21 und Bearbeitungsreglement der Beklagten, S. 11). Adressen, die anderweitig,
z.B. auf www.local.ch, gesperrt bzw. gelöscht worden sind, bleiben ohne an die Beklagte adressiertes
Begehren in der Tat via www.moneyhouse.ch zugänglich. Mit der Beklagten ist daher einig zu gehen,
dass die Auffindbarkeit von Daten über Suchmaschinen in datenschutzrechtlicher Hinsicht insofern
positiv zu werten ist, als Transparenz betreffend die Datenbearbeitung geschaffen wird, was die effektive
Wahrnehmung der Ansprüche auf Einsicht, Berichtigung und Löschung eigener Daten ermöglicht.
7.
7.1
Der Kläger begehrt, die Beklagte sei zu verpflichten, ihren Datenbestand betreffend Richtigkeit
in einem gerichtlich festzulegenden, angemessenen Prozentsatz zu den getätigten Abfragen auf ihrer
Plattform www.moneyhouse.ch zu überprüfen.
Wer Personendaten bearbeitet, hat sich gemäss Art. 5 Abs. 1 DSG über deren Richtigkeit
zu vergewissern. Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet
werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig
sind. Vergewissern bedeutet in diesem Zusammenhang, die Richtigkeit von Personendaten nicht nur abzuklären,
sondern in angemessener Weise sicherzustellen, d.h. alle im Rahmen des Bearbeitungszwecks erforderlichen
Daten zu erheben, zu überprüfen und wenn nötig zu berichtigen oder zu löschen. In
der Praxis können diese Massnahmen bereits vor der Datenerhebung, z.B. bei der Gestaltung von Datenbanken,
zum Zeitpunkt der Datenerhebung mittels Plausibilitätskontrollen in IT-Systemen
oder
Bestätigungs-E-Mails bei Online-Registrierungen oder nachträglich, z.B. durch Änderungen
oder Berichtigungsvermerke erfolgen (zum Ganzen Rosenthal, a.a.O., Art. 5
Rz. 5). Wie weit die Abklärungen eines Datenbearbeiters betreffend die Datenrichtigkeit im Einzelfall
gehen müssen, hängt von den Rahmenbedingungen der Datenbearbeitung, also der Zweckbestimmung
der Datensammlung ab, sowie davon inwieweit eine Datenbekanntgabe erfolgt und wie sensitiv diese ist.
Die Anforderungen an die Vergewisserungspflicht nach Art. 5 Abs. 1 DSG stehen damit im Zusammenhang zu
einer möglichen Persönlichkeitsverletzung: Je grösser das Risiko einer solchen Verletzung,
desto höhere Anforderungen sind an die inhaltliche Qualität der Datenbearbeitung zu stellen,
wobei der Datenbearbeiter für die von ihm getroffenen Abklärungen und deren Angemessenheit
beweispflichtig ist (Maurer-Lambrou/Schönbächler, a.a.O., Art.
5 DSG Rz. 12 und auch Rosenthal, a.a.O., Art. 5 Rz. 9 sowie Baeriswyl/Blonski
in: Stämpflis Handkommentar zum DSG, a.a.O., Art. 5 Rz. 18).
7.2
Das Dienstleistungsangebot der Beklagten beschränkte sich bis 2012 auf Informationen betreffend
juristische Personen, welche auf Datenbeständen des schweizerischen Handelsamtsblatts oder aus dem
Handelsregister stammen. Anschliessend kaufte sie von der damaligen E._______ AG eine Sammlung von Daten
natürlicher Personen und erhielt monatlich weitere Datenlieferungen seitens der heutigen A._______
AG. Eingegangene Meldungen Betroffener und die darauffolgenden klägerischen Untersuchungen haben
ergeben, dass insbesondere betreffend die Sammlung von Daten natürlicher, nicht im Handelsregister
eingetragener Personen Unstimmigkeiten bestehen. So existieren für eine Person mehrere Adressen,
wobei die Wohnorte nicht mit einer Person verknüpft sind, sondern einzeln aufgeführt werden,
oder es sind nicht alle Personen eines Haushalts aufgeführt, weil z.B. neu gegründete Haushalte
nicht korrekt zusammengeführt wurden und die Adressen demnach veraltet sind, Haushaltsmitglieder
sind teilweise falsch verknüpft oder Personen als Haushaltsmitglieder aufgeführt, die an unterschiedlichen
Adressen leben und sich teilweise auch nicht kennen. Zudem finden sich falsche Alters- und Berufsangaben,
Namen werden falsch geschrieben oder verstorbene Personen sind noch auffindbar.
Die teilweise falsche Verknüpfung der von der B._______ AG bezogenen Handelsregisterdaten (Name,
Vorname, Wohn- und Heimatort) mit weiteren Daten (Adresse, Geburtsdatum) ist der Beklagten bewusst; sie
macht geltend, eine diesbezüglich korrekte Verknüpfung sei schwierig, wenn mehrere Personen
denselben Vor- und Nachnamen besässen. Sie arbeite mittlerweile mit einem Unternehmen zusammen,
welches manuell durch Recherchen von Mitarbeitenden versuche, die Qualität der Namensverknüpfungen
zu verbessern. Weiter erklärt sie, die Überprüfung der Datenrichtigkeit zwischenzeitlich
intensiviert zu haben: Zum einen seien sowohl die Handelsregisterdaten als auch die übrigen Daten
betreffend Privatpersonen Anfang Februar 2016 vollständig neu eingelesen und auf ihre Richtigkeit
hin überprüft worden. Zum anderen sei die manuelle Prüfung der Datenrichtigkeit verdichtet
worden; die Daten würden monatlich aktualisiert. Zudem weist die Beklagte auf die Möglichkeit
der Betroffenen hin, jederzeit die umgehende Löschung oder Korrektur ihrer Daten zu verlangen, sofern
sich diese als unrichtig erweisen.
7.3
7.3.1
Die gerichtlichen Sachverhaltsabklärungen haben ergeben, dass die Datenqualität seit Vornahme
der klägerischen Recherchen und auch nach Intensivierung diesbezüglicher Bemühungen seitens
der Beklagten unverändert zu wünschen übrig lässt: So sind teilweise Namen, Wohnadressen
und Berufsbezeichnungen sowie Angaben betreffend Haushaltsmitglieder und Nachbarn nicht mehr aktuell,
die Auflistung früherer Wohnorte teilweise unvollständig, Geburtsdaten werden vertauscht bzw.
falsch verknüpft oder das angegebene Alter korreliert nicht mit dem Geburtsdatum.
Es ist sowohl aus Sicht der betroffenen Person als auch aus derjenigen des Datenbearbeiters
wünschbar
und erstrebenswert, dass nur richtige, d.h. sachgerechte, aktuelle und vollständige Personendaten
bearbeitet werden (vgl. in diesem Sinne auch Maurer-Lambrou/Schönbächler,
a.a.O., Art. 5 Rz. 4 f.). Eine umgehende Löschung oder Berichtigung ihrer Daten kann eine betroffene
Person sodann zwar jederzeit verlangen, jedoch nur nachträglich zu einer bereits erfolgten Persönlichkeitsverletzung
i.S.v. Art. 12 DSG i.V.m. Art. 5 DSG (vgl. auch Urteil des BVGer A-7040/2009 vom 30. März
2011 E. 8.4.4 und vorne E. 5.4.2.3 i.f.). Zudem ist die effektive Wahrnehmung dieses Rechts verknüpft
mit der Problematik der mangelnden Datenaktualität: Personen, die unter einem nicht mehr aktuellen
Namen auf der Plattform der Beklagten figurieren und die nun mit einem aktualisierten Identitätsausweis
die Löschung ihrer Daten verlangen, müssen zwingend zusätzliche Informationen preisgeben,
indem sie sich z.B. mittels Familienbuch legitimieren, was nicht nötig wäre, wenn ihre Daten
richtig aufgeführt wären.
7.3.2
In Anwendung des Verhältnismässigkeitsprinzips hat der Kläger die Überprüfung
nur im Verhältnis zu allen auf der Plattform der Beklagten getätigten Abfragen und nicht mit
Bezug auf deren gesamten Datenbestand beantragt. Aus den seitens der Beklagten eingereichten Beilagen
ergibt sich, dass im Jahr 2014 total (...) Bonitätsabfragen betreffend natürliche und juristische
Personen getätigt wurden, monatlich zwischen knapp (...) und knapp (...) (Beilage 24), von
Dezember 2015 bis November 2016 insgesamt (...), wovon (...) natürliche Personen und (...)
juristische Personen betrafen, monatlich insgesamt zwischen (...) und (...) (Beilage 40). In
Anbetracht der grossen Anzahl der von der Datenbearbeitung der Beklagten betroffenen Personen und der
Bedeutsamkeit der Richtigkeit, Vollständigkeit und Aktualität von Daten sowohl im Rahmen einer
zulässigerweise nach erfolgter Einwilligung der Betroffenen durchgeführten, sensitiven Bearbeitung
von Persönlichkeitsprofilen als auch im Bereich von Bonitätsauskünften erscheint eine
Überprüfung des Datenbestands der Beklagten auf seine Richtigkeit hin im Verhältnis von
5 % zu den auf ihrer Plattform getätigten Abfragen als angemessen. Auf die vorliegenden Zahlen
bezogen bedeutet dies, dass die Beklagte jährlich voraussichtlich Daten von ca. zwischen (...)
und (...) Abfragen auf ihre Richtigkeit hin überprüfen muss. Der dadurch verursachte zeitliche
bzw. personelle Mehraufwand rechtfertigt sich aufgrund der festgestellten Unregelmässigkeiten im
Datenbestand der Beklagten, der Interessen der betroffenen Personen und der Beklagten selber an der Bearbeitung
sachgerechter, aktueller und vollständiger Personendaten, welche im Übrigen auch dem öffentlichen
Interesse des Gläubigerschutzes dient.
Die Beklagte ist somit in Gutheissung von Rechtsbegehren 7 dazu zu verpflichten,
ab Zustellung dieses
Entscheids ihren Datenbestand betreffend Richtigkeit in einem Verhältnis von 5 % zu den auf
www.moneyhouse.ch getätigten Abfragen zu überprüfen.
In der Wahl der Massnahmen zur Sicherstellung der Datenqualität ist der Datenbearbeiter grundsätzlich
frei (Baeriswyl/Blonski, a.a.O., Art. 5 Rz. 18). Die konkreten Modalitäten
dieser Überprüfung, insbesondere mit Blick auf die Auswahl der Datenstichprobe, liegt somit
unter Berücksichtigung der gesetzlichen Vorgaben im Ermessen der Beklagten. Sie hat ihrer Vergewisserungspflicht
gemäss Art. 5 Abs. 1 DSG jedoch mittels angemessener Massnahmen nachzukommen, d.h. die getroffene
Datenauswahl muss aussagekräftig und die gewählte Überprüfungsmethode effektiv sein;
denkbar wäre beispielsweise, bei jeder zwanzigsten Abfrage die Richtigkeit der abgefragten Daten
zu überprüfen.
8.
8.1
Natürliche und juristische Personen können der Beklagten elektronische oder schriftliche Auskunftsgesuche
i.S.v. Art. 8 DSG einreichen und zwar unter Beilage eines amtlichen Ausweises und bei Auskunftserteilung
betreffend eine juristische Person zusätzlich mittels eines Nachweises der Zeichnungsberechtigung.
Die Beklagte erteilt die Auskunft in der Regel innert 30 Tagen schriftlich und kostenlos. Betreffend
natürliche Personen wird dabei allgemein über die Datenquellen informiert und es werden die
in der Datensammlung vorhandenen Stammdaten wie Vorname, Name, Geschlecht, aktueller Wohnsitz, Geburtsdatum/Alter,
Beruf, Telefonnummer und Haushaltsmitglieder bekannt gegeben. Im Handelsregister verzeichneten Personen
wird zusätzlich eine Wirtschaftsauskunft erteilt und erwähnt, ob Angaben zu Baubewilligungen
bearbeitet werden. Nicht mitgeteilt wird hingegen, dass weitere Angaben zu den Gebäuden gemacht
werden.
Betreffend Bonitätsresultate wird eine um Auskunft ersuchende Person von der Beklagten nicht
direkt informiert, sondern auf die B._______ AG, von welcher die Beklagte die Handelsregisterdaten bezieht,
verwiesen. Dies bemängelt der Kläger: Als Inhaberin der über die Plattform www.moneyhouse.ch
bearbeiteten Daten bestimme die Beklagte über den entsprechenden Zweck und Inhalt. Sie mache den
Inhalt der Bonitätsdatenbank der B._______ AG sowie von weiteren Datenbanken ihren Nutzern zugänglich
und habe deshalb die entsprechenden Auskunftsgesuche zu behandeln oder aber direkt weiterzuleiten. Die
Beklagte hingegen bestreitet, Inhaberin der der "Bonitätsampel" zugrunde liegenden Datensammlung
zu sein. Dies sei die B._______ AG, welche über deren Zweck und Inhalt entscheiden könne. Sie
gebe auf Anfrage Auskunft betreffend alle Daten, deren Inhaberin sie sei. Sie biete jedoch auch Daten
an, die sie bei Dritten gekauft habe, welche unverändert über ihre Plattform abrufbar seien.
Mit Bezug auf die erworbenen Personendaten bestehe daher keine Pflicht ihrerseits, die Auskunftsanfrage
direkt weiterzuleiten.
8.2
Das Auskunftsrecht ist das bedeutendste Institut des Datenschutzgesetzes. Es erlaubt der betroffenen
Person überhaupt, ihre datenschutzrechtlichen Ansprüche durchzusetzen. Nur wer weiss, ob und
welche Daten über ihn bearbeitet werden, kann diese nötigenfalls berichtigen oder löschen
lassen oder wenigstens deren Richtigkeit bestreiten (BBl 1988 II 452). Adressat des Auskunftsbegehrens
ist die Inhaberin einer Datensammlung (vgl. Art. 8 Abs. 1 DSG). Weil diese ihre Daten systematisch ordnet,
ist eine Persönlichkeitsverletzung wesentlich wahrscheinlicher als bei jemandem, dessen Daten nicht
nach den betroffenen Personen erschliessbar sind (BBl 1988 II 453). Inhaber einer Datensammlung i.S.v.
Art. 3 Bst. i DSG ist, wer - ohne zwingend über die einzelnen Daten selbst verfügen
zu müssen - den Zweck der Sammlung festlegt und die Bearbeitungsmittel und -methoden bestimmt
(BBl 1988 II 448), sowie über deren Inhalt, mithin über die Existenz und die wesentliche Ausgestaltung
entscheidet (Blechta, a.a.O., Art. 3 DSG Rz. 86 mit weiteren Hinweisen und
Gramigna/Maurer-Lambrou, a.a.O., Art. 8 DSG, Rz. 12 sowie Beat
Rudin in: Stämpflis Handkommentar zum DSG, a.a.O., Art. 3 Rz. 49).
Das Rechtsverhältnis zwischen der Beklagten und ihren Datenquellen ist kaufrechtlicher Art.
Diese Dritten sind somit nicht als Beauftragte der Beklagten i.S.v. Art. 8 Abs. 4 DSG i.V.m. Art. 1 Abs.
6 VDSG zu qualifizieren. Mit ihrem Erwerb gehören jedoch auch Daten, welche die Beklagte von Dritten
unverändert übernimmt, zu ihrer Datensammlung; sie entscheidet als Inhaberin dieser Sammlung
i.S.v. Art. 8 Abs. 1 DSG über deren Verwendung auf ihrer Plattform. Doch auch falls die B._______
AG und weitere Datenlieferanten über den Zweck und Inhalt der auf www.moneyhouse.ch publizierten
Daten (mit)entscheiden könnten und entsprechend auch als verantwortliche Inhaber dieser Datensammlung
gelten würden, wäre Rechtsbegehren 8 gutzuheissen. Art. 8 Abs. 1 DSG i.V.m. Art. 1 Abs. 5 VDSG
sieht nämlich für den Fall, dass eine Datensammlung von mehreren Inhabern gemeinsam geführt
wird vor, dass das Auskunftsrecht bei jedem Inhaber geltend gemacht werden kann, sofern nicht einer von
ihnen für die Behandlung aller Auskunftsbegehren verantwortlich ist. Wenn der adressierte Inhaber
der Datensammlung zur Auskunftserteilung nicht ermächtigt ist, leitet er das Begehren an den Zuständigen
weiter.
Die Beklagte ist somit in Gutheissung von Rechtsbegehren 8 dazu zu verpflichten,
ab Zustellung dieses
Entscheids Auskunftsgesuche betreffend die von ihr auf www.moneyhouse.ch angebotenen
Dienstleistungen,
welche sie nicht beantworten kann, umgehend und kostenlos an den zuständigen Vertragspartner weiterzuleiten.
Damit wird entsprechend dem gesetzgeberischen Willen sichergestellt, dass stets jemand über eine
Datensammlung Auskunft geben muss und so das Auskunftsrecht effektiv wahrgenommen werden kann. Die betroffene
Person, welche erfahren möchte, ob ihre Daten allenfalls in einer Datensammlung figurieren, soll
nicht lange Recherchen über die Identität des Inhabers der Datensammlung anstellen müssen
(vgl. BBl 1988 II 454).
9.
9.1
Für die Bekanntgabe von Bonitätsauskünften an Dritte muss feststehen, dass diese sie für
den Abschluss oder die Abwicklung eines Vertrags effektiv benötigen. Der Datenbearbeitende hat dabei
zu überprüfen, ob die Voraussetzungen für eine Bekanntgabe zu bejahen sind (Rampini,
a.a.O., Art. 13 DSG Rz. 37). Nach Ansicht des Klägers verlässt sich die Beklagte zu einseitig
auf seitens der Nutzer gemachte Angaben, um die missbräuchliche Verwendung ihrer Bonitätsdienstleistung
zu verhindern. Er beantragte deshalb mit Klageeinreichung, die Beklagte sei zu verpflichten, das Vorhandensein
von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage in regelmässigen Zeitabständen
in einem Verhältnis von mindestens 5 % zu den getätigten Abfragen zu kontrollieren. Die
Beklagte stellt sich auf den Standpunkt, eine Überprüfung von 5 % zu den getätigten
Abfragen sei unverhältnismässig, da sie faktisch einem Verbot der Ausübung ihrer wirtschaftlichen
Tätigkeit gleichkomme. Anlässlich der öffentlichen Hauptverhandlung vom 23. Januar 2017
passt der Kläger dieses Begehren insofern an, als er den festzulegenden Prozentsatz der Kontrolldichte
von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage ins Ermessen des Gerichts stellt.
9.2
Strittig ist, ob die Beklagte im Rahmen von Bonitätsabfragen das tatsächliche Vorhandensein
eines Interessensnachweises nach Art. 13 Abs. 2 Bst. c DSG zum Zeitpunkt der Abfrage vermehrt prüfen
müsste und falls ja, in welchem Verhältnis zu den getätigten Abfragen.
9.2.1
Zunächst stellt sich die Frage, welche technischen und v.a. organisatorischen Massnahmen i.S.v.
Art. 7 Abs. 1 DSG die Beklagte trifft, um die Personendaten auf ihrer Plattform gegen unbefugtes Bearbeiten
zu schützen. Es geht vorliegend nur darum, inwiefern verhindert wird, dass die bearbeiteten Personendaten
durch Dritte missbraucht werden können (vgl. Baeriswyl in: Stämpflis
Handkommentar zum DSG, a.a.O., Art. 7 Rz. 13 Art. 7 Rz. 13 zu den zwei Hauptschutzzielen; dass andere
Hauptziel, wonach die verwendeten Personendaten intern gesetzeskonform bearbeitet werden sollen, wurde
im Rahmen der Rechtsbegehren 2-7 bereits abgehandelt). Solche Schutzmassnahmen müssen im konkreten
Einzelfall angemessen sein, ein absoluter oder maximal möglicher Schutz ist nicht erreichbar (Rosenthal,
a.a.O., Art. 7 Rz. 3 und Christa Stamm-Pfister in: Basler Kommentar zum DSG
und BGÖ, a.a.O., Art. 7 DSG Rz. 9 mit weiteren Hinweisen). Nach Art. 8 Abs. 2 VDSG ist dabei insbesondere
dem Zweck der Datenbearbeitung, der Art und dem Umfang der Datenbearbeitung, den abschätzbaren möglichen
Risiken für die betroffenen Personen und dem gegenwärtigen Stand der Technik Rechnung zu tragen.
Im Rahmen der Interessenabwägung aller Beteiligter sind auch die Interessen des Datenbearbeiters
zu berücksichtigen, also insbesondere sein Aufwand im Hinblick auf den angestrebten Schutzzweck,
jedoch auch sein hohes Eigeninteresse an der Datensicherheit (Rosenthal,
a.a.O., Art. 7 Rz. 3 und Baeriswyl, a.a.O., Art. 7 Rz. 24). Je sensitiver
die Datenbearbeitung, desto mehr Massnahmen sind regelmässig zu treffen, um das Risiko einer Persönlichkeitsverletzung
gering zu halten (Baeriswyl, a.a.O., Art. 7 Rz. 23). Art. 7 DSG statuiert
eine Dauerverpflichtung; reichen die getroffenen Schutzmassnahmen aufgrund geänderter Umstände
nicht mehr aus, sind sie anzupassen, z.B. bei Erweiterung der Quantität oder Qualität der bearbeiteten
Personendaten oder bei Verfügbarkeit neuer Technologien (statt vieler Rosenthal,
a.a.O., Art. 7 Rz. 5). Nach herrschender Lehre sind Datenbearbeiter zur Erarbeitung eines ganzheitlichen
Sicherheitskonzepts verpflichtet (Baeriswyl, a.a.O., Art. 7 Rz. 17 und Rz.
22 und Stamm-Pfister, a.a.O., Art. 7 DSG Rz. 12, a.M. Rosenthal,
a.a.O., Art. 7 Rz. 4).
9.2.2
Zu beurteilen sind im Sinne einer ganzheitlichen Betrachtung sowohl die technischen als auch die organisatorischen,
auf die Struktur und Prozesse der Beklagten abzielenden Massnahmen im Bereich der Benutzerkontrolle (vgl.
zu Letzteren auch Baeriswyl, a.a.O., Art. 7 Rz. 20).
Die Beklagte hat ein IT-Sicherheitskonzept entworfen, welches diverse technische
und organisatorische
Massnahmen enthält (Beilage 431, Stand 5. August 2013). Auch im Bearbeitungsreglement finden sich
grobe Beschriebe organisatorischer Massnahmen zur Datensicherheit (S. 8 f.). Im Sinne von technischen
Massnahmen zur Kontrolle des Datenabrufs durch die Nutzer haben sich diese zunächst zu registrieren,
danach ist ihr Benutzerkonto mittels postalisch verschicktem Code und Login aktivierbar. Anhand dieser
persönlichen Benutzererkennung speichert die Beklagte deren Abrufe in einer ihrer Datenbanken. Die
allgemeinen Geschäftsbedingungen der Beklagten verpflichten jeden Benutzer ausdrücklich dazu,
die gesetzlichen Datenschutzvorschriften und ihre Datenschutzbestimmungen einzuhalten und den Zugang
nicht übermässig oder missbräuchlich zu nutzen (Beilage 7 zur Klageantwort, Ziff. 8).
Vor Abruf von Informationen, die einen Interessensnachweis erfordern, verpflichtet sich jeder Kunde,
einen genügenden Interessensnachweis zu beschaffen oder zu bestätigen, einen solchen vorweisen
zu können (Beilage 7 zur Klageantwort, Ziff. 9). In organisatorischer Hinsicht prüft die Beklagte
die Berechtigung eines Interessenten zum Abschluss eines Bonitätsabonnements und liefert bei Verdacht
auf missbräuchliche Bonitätsabfragen die Daten des betroffenen Nutzers (Name, Vorname, Adresse
und E-Mailadresse) an die B._______ AG, mit welcher sie in diesem Bereich zusammenarbeitet. Eine
gegenseitige Aktualisierung der ausgetauschten Daten findet gemäss Angaben der Beklagten nicht statt.
Bei jeder Abfrage auf der Plattform der Beklagten im Rahmen eines Bonitätsabonnements ist einer
der folgenden Gründe anzugeben: Kaufvertrag, Mietvertrag, Eigenauskunft, Darlehens-/Kreditvertrag,
Übrige Verträge. Die abgegebenen Interessensnachweise werden von der Beklagten geloggt und
bei ungewöhnlichen Abfragemustern wird das Benutzerkonto gesperrt. Gemäss Kontrollkonzept werden
bei einem totalen Volumen von mehreren (...) Abfragen monatlich (...) bis (...) Bonitätsabfragen
überprüft. Die Beklagte erklärt weiter, sämtliche Kunden, welche erstmals Bonitätsabfragen
tätigten, zu kontrollieren. Privatpersonen würden häufiger überprüft als Geschäftskunden
([...] Privatkunden täglich). Anlehnend an die sog. 2-Promille-Quote gemäss § 29 Abs.
2 des deutschen Bundesdatenschutzgesetzes (BDSG) i.V.m. § 10 Abs. 4 Satz 3 BDSG nehme sie regelmässig
eine institutionalisierte Interessensüberprüfung im Verhältnis von 0.02 % zu den
getätigten Abfragen vor. Zudem kontaktiere sie bei Verdacht auf missbräuchliche Nutzung, z.B.
bei "Eigenauskünften" über andere natürliche oder juristische Personen oder
wenn ein Benutzer stets denselben Abfragegrund angebe, den betreffenden Benutzer telefonisch (vgl. zum
Ablauf bei Eigenauskunftsbegehren auch das Datenschutzkonzept der Beklagten, S. 10 ff.).
Ein automatisiertes Prüfsystem bei Unregelmässigkeiten im Rahmen von Bonitätsabfragen,
wie es die Beklagte in Aussicht gestellt hat, besteht zum Urteilszeitpunkt (noch) nicht (vgl. die Prozessdokumentation
der Beklagten betreffend die Verifizierung von Bonitäts-Abonnementen und Protokoll der Vorbereitungsverhandlung
vom 12. Dezember 2016, S. 7 f.).
9.2.3
Die Beklagte hat somit Massnahmen zur Verhinderung unbefugter Zugriffe Dritter auf die ihrerseits bearbeiteten
Personendaten getroffen. Fraglich ist, ob diese im Hinblick auf die konkreten Risiken einer Persönlichkeitsverletzung
ausreichend sind. Mit dem Kläger ist einig zu gehen, dass sich die Beklagte hauptsächlich auf
Selbstdeklarationen ihrer Nutzer verlässt, dass diese die datenschutzrechtlichen Vorschriften einhalten
und insbesondere über einen Interessensnachweis im Zeitpunkt der Bonitätsabfrage verfügen.
Dass diese Nutzerangaben nicht durchgehend zuverlässig sind, zeigt sich anhand der telefonischen
Rücksprachen der Beklagten, welche ergeben, dass Nutzer oft aus Unwissenheit oder Nachlässigkeit
den Abfragegrund "Eigenauskunft" angeben. Allfällig vorhandene Dokumentationen wie Vertragsentwürfe
zur Überprüfung der Angaben ihrer Nutzer fordert die Beklagte nicht ein. Der Kontrollanteil
der Beklagten von monatlich (...) bis (...) Bonitätsabfragen bei einem totalen Volumen von
mehreren (...) Abfragen erscheint sodann als verschwindend klein. Eine Intensivierung der manuellen
Kontrolle führt zwar zu einem Mehraufwand seitens der Beklagten, letztlich liegt es jedoch auch
in ihrem eigenen Interesse, dass die von ihr bearbeiteten Personendaten von Dritten nicht zweckwidrig
verwendet werden. Zudem ist gemäss ihren Angaben seit längerem ein automatisiertes Prüfsystem
in Planung, was den Kontrollaufwand minimieren dürfte. Diese Tatsachen und das hoch zu gewichtende
Interesse der grossen Anzahl der von der Datenbearbeitung der Beklagten betroffenen Personen am Schutz
ihrer Daten, insbesondere auch mit Blick auf eine allenfalls erfolgende, rechtmässige Bearbeitung
von sensitiven Persönlichkeitsprofilen lassen eine regelmässige Überprüfung der Interessensnachweise
im Zeitpunkt der Bonitätsabfrage im Verhältnis von 3 % zu den auf der Plattform der Beklagten
getätigten Abfragen als zumutbar erscheinen. Anlehnend an die unter E. 7.3.2 zu den Bonitätsabfragen
erwähnten Zahlen bedeutet dies konkret, dass die Beklagte jährlich voraussichtlich Daten von
ca. zwischen (...) und (...) Abfragen auf die Richtigkeit der entsprechenden Interessensnachweise
hin zu überprüfen hat.
Die Beklagte ist somit in Gutheissung von Rechtsbegehren 9 dazu zu verpflichten,
ab Zustellung dieses
Entscheids das Vorhandensein von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage in regelmässigen
Zeitabständen in einem Verhältnis von 3 % zu den auf www.moneyhouse.ch getätigten
Abfragen zu überprüfen.
10.
Die
Festsetzung der Gerichtsgebühren und einer allfälligen Parteientschädigung richtet sich
auch im Klageverfahren nach den Art. 63-65 VwVG (Art. 44 Abs. 3 VGG).
10.1
Die Spruchgebühr, welche sich nach Umfang und Schwierigkeit der Sache, Art der Prozessführung
und finanzieller Lage der Parteien richtet, beträgt in Streitigkeiten ohne Vermögensinteresse
in der Regel zwischen Fr. 100.- bis Fr. 5000.- (Art. 63 Abs. 4bis
Bst. a VwVG). Im vorliegenden Klageverfahren wurden diverse Instruktionsverfügungen sowie eine Zwischenverfügung
betreffend die Abweisung der Verschiebungsgesuche der Beklagten erlassen, ein umfassender Schriftenwechsel
sowie eine Vorbereitungs- und eine Hauptverhandlung durchgeführt.
10.2
Nach Art. 63 Abs. 1 VwVG werden die Verfahrenskosten in der Regel der unterliegenden Partei auferlegt.
Die Verfahrenskosten, welche auf Fr. 5'000.- festgelegt werden, sind - da die Abweisung
des Rechtsbegehrens 6 materiell nicht erheblich ins Gewicht fällt und der Kläger trotz des
formellen Nichteintretens auf sein Rechtsbegehren 1 diesbezüglich in materieller Hinsicht Recht
erhält - der als im Wesentlichen unterliegend geltenden Beklagten vollumfänglich aufzuerlegen.
Letzterer ist demnach keine Parteientschädigung zu entrichten (Art. 64 Abs. 1 VwVG e contrario).
Ebenso wenig Anspruch auf eine Parteientschädigung hat der Kläger (Art. 64 VwVG i.V.m. Art.
7 Abs. 3 des Reglements vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem
Bundesverwaltungsgericht [VGKE, SR 173.320.2]).