Sachverhalt
Seit Anfang 2012 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mehrere Meldungen bzw. Beschwerden von betroffenen Personen betreffend das Geltendmachen ihrer Auskunfts- und Widerspruchsrechte bei der X. AG bekommen. Die in Deutschland wohnhaften Personen haben erfolglos versucht, ihre Datenschutzrechte gegenüber der X. AG durchzusetzen.
Ursprünglich haben die Anfragenden Werbeschreiben von einer Drittfirma (angeblich von einer Bank) bekommen, die ihrerseits die Adressdaten bei einer weiteren deutschen Firma bezogen hatte. Letztere hat die X. AG mit Sitz in der Schweiz als Datenlieferantin genannt. Darauf haben die betroffenen Personen bei der X. AG Auskunft über die Herkunft der Adressdaten beantragt, die Löschung bzw. Sperrung der Daten verlangt und die Weitergabe ihrer Daten an Dritte untersagt.
Die Firma hat jeweils die – zum Teil durch eingeschriebene Briefe erfolgten – Auskunfts- und Löschungsgesuche nicht beantwortet. Betroffene Personen haben daher um Unterstützung des EDÖB gebeten. Die X. AG hat erst auf Aufforderung des EDÖB in drei anfangs 2012 gemeldeten Fällen die Begehren Ende Mai 2012 beantwortet, und somit die verlangte Auskunft erteilt und die Löschung bzw. die Sperrung der Adressdaten bestätigt.
Seither haben sich aber weitere Personen bei dem EDÖB für ähnliche Sachverhalte gemeldet und sich über das Nicht-Beantworten ihrer Anträge beschwert. Auf die Schreiben des EDÖB (jeweils am
13. November 2012, am 16. Oktober 2013 und am 16. Juni 2014) hat die X. AG nicht reagiert und ist somit seiner Aufforderung, ihre Auskunfts- und Löschungspflichten im Sinne des DSG zu erfüllen, nicht nachgekommen.
2/5
2. Umfang der Abklärung
Die vorliegende Sachverhaltsabklärung beschränkt sich ausschliesslich auf das (Nicht-)Bearbeiten der Auskunfts- und Widerspruchsbegehren der betroffenen Personen, die sich mit entsprechenden Anträgen bei der X. AG gemeldet haben. Insbesondere wurde die Beschaffung der Daten nicht auf ihre datenschutzrechtliche Konformität geprüft.
Im Rahmen der vorliegenden Sachverhaltsabklärung wird auch geprüft, ob die X. AG ihre Datensammlungen beim EDÖB gemäss Art. 11a DSG anmelden muss.
II. Erwägungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten :
1. Anwendbarkeit des DSG Die X. AG bearbeitet Adressdaten von natürlichen Personen, die sie aus unterschiedlichen Quellen bezogen hat. Sie verkauft diese Daten an Drittfirmen für Werbezwecke. Das Bundesgesetz über den Datenschutz (DSG, SR 235.1) ist bei solchen Datenbearbeitungen anwendbar (Art. 2 DSG).
2. Zuständigkeit des EDÖB Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) klärt nach Art. 29 Abs. 1 DSG von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler) (lit. a) oder wenn Datensammlungen im Sinne von Art. 11a DSG registriert werden müssen (lit. b). Der EDÖB hat in den letzten Jahren mehrere Beschwerden von Personen bekommen, die bei der X. AG ihre Auskunfts- und Widerspruchsrechte erfolglos geltend gemacht haben. Es kann davon ausgegangen werden, dass sich nicht alle Betroffenen beim EDÖB gemeldet haben. Die Bearbeitungsmethoden der X. AG sind damit geeignet, die Persönlichkeit einer grösseren Anzahl von Leuten zu verletzen (Art. 29 Abs.1, lit. a DSG). Ausserdem ist die Datensammlung der X. AG nicht bei dem EDÖB registriert (Art. 29 Abs.1, lit. b DSG in Verbindung mit Art. 11a DSG). Der EDÖB ist daher berechtigt, den Sachverhalt näher abzuklären und gemäss Art. 29 Abs. 3 DSG eine Empfehlung zu erlassen und diese allfällig gemäss Art. 29 Abs. 4 DSG dem Bundesverwaltungsgericht zum Entscheid vorzulegen.
3. Auskunftsrecht und Widerspruchsrecht
3.1. Auskunftsrecht (Art. 8 DSG)
Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Der Inhaber der Datensammlung muss der betroffenen Person mitteilen:
3/5
- alle über sie in der Datensammlung vorhandenen Daten, einschliesslich der verfügbaren Angaben über die Herkunft der Daten; - den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger.
Die Auskunft ist in der Regel kostenlos, schriftlich, in der Form eines Ausdrucks oder einer Fotokopie, zu erteilen.
Die Auskunft muss innert 30 Tagen seit dem Eingang des Auskunftsbegehrens erteilt werden. Kann die Auskunft nicht in diesem gesetzlichen Frist erteilt werden, muss der Inhaber der Datensammlung den Gesuchsteller hierüber benachrichtigen und ihm die Frist mitteilen, in der die Auskunft erfolgen wird (Art. 1 Abs. 4 VDSG)
Über das Auskunftsrecht soll eine betroffene Person feststellen können, ob und welche Personendaten über sie in welcher Weise bearbeitet werden. Diese Informationen sollen der betroffenen Person ermöglichen, ihre weiteren nach DSG bestehenden weiteren Rechte wahrzunehmen (Rosenthal, Handkommentar DSG, Zürich 2008, Art. 8 DSG, N 1). So kann sie beispielsweise bei den aufgeführten Datenlieferanten ebenfalls ein Auskunftsgesuch stellen, ihre Daten berichtigen oder löschen lassen. Die Gewährung des Auskunftsrechts ermöglicht auch der betroffenen Person, ihre Angaben zurückzuverfolgen bzw. die ursprüngliche Herkunft der Daten zu ermitteln und eine eventuelle widerrechtliche Persönlichkeitsverletzung (z.B. eine unrechtmässige Beschaffung der Personendaten) zu erkennen.
Nach Art. 9 Abs. 4 DSG muss der Inhaber der Datensammlung angeben, aus welchem Grund er eine Auskunft verweigert, einschränkt oder aufschiebt (s. Art. 9 DSG).
Zudem wird darauf hingewiesen, dass die Verletzung der Auskunftspflicht nach Art. 34 DSG strafbar ist (Erteilung einer falschen oder unvollständigen Auskunft).
3.2. Widerspruchsrecht (Art. 12 Abs. 2 lit. b DSG)
Nach Art. 12 Abs. 2 lit. b DSG kann eine betroffene Person die Bearbeitung ihrer Personendaten untersagen (Widerspruchsrecht).
Werden Personendaten gegen deren ausdrücklichen Willen bearbeitet, liegt eine widerrechtliche Persönlichkeitsverletzung vor, soweit kein Rechtfertigungsgrund gemäss Art. 13 Abs. 1 DSG vorliegt (Art. 12 DSG in Verbindung mit Art. 13 DSG).
3.3. Umsetzung der Auskunfts- und Widerspruchsrechte bei der X. AG: Beurteilung aus Sicht des EDÖB
Der EDÖB hat mehrere Klagen von Personen erhalten, die ein Auskunftsbegehren sowie einen Löschungs- bzw. Sperrantrag gestellt und keine Antwort der X. AG erhalten haben. Nur in drei Fällen hat die X. AG Auskunft erteilt sowie die Löschung bzw. die Sperrung der Daten bestätigt, nachdem der EDÖB dies verlangt hat.
4/5
Seither hat der EDÖB immer wieder Beschwerden bekommen von Personen, die erfolglos versuchten, ihre Datenschutzrechte bei der X. AG durchzusetzen. Auf die weiteren Schreiben des EDÖB hat die Firma auch nicht reagiert.
Der EDÖB stellt fest, dass die X. AG ihre Auskunftspflicht nach Art. 8 DSG nicht erfüllt. Ebenfalls werden die Anforderungen an das Widerspruchsrecht nach Art. 12 Abs. 2 lit. b DSG nicht umgesetzt.
4. Anmeldung der Datensammlung 4.1. Ausgangslage
Nach Art. 11a Abs. 3 Bst. b DSG müssen private Personen Datensammlungen anmelden, wenn regelmässig Personendaten an Dritte bekannt gegeben werden.
Die Datensammlungen müssen angemeldet werden, bevor sie eröffnet werden (Art. 11a Abs. 4). Ausnahmen von der Anmeldepflicht finden sich in Art. 11a Abs. 5 Bst. a und c-f DSG und Art. 4 Abs. 1 Bst. a-g VDSG.
Das Register der Datensammlungen dient primär dazu, betroffenen Personen die Ausübung des Auskunftsrechts nach Art. 8 DSG zu erleichtern, indem es ihnen Hinweise liefert, wo sie betreffende Daten möglicherweise bearbeitet werden (Rosenthal, Handkommentar DSG, Zürich 2008, Art. 11a DSG, N 1).
Zudem muss darauf hingewiesen werden, dass die Verletzung der Anmeldepflicht durch private Personen strafrechtlich sanktioniert wird. Wer vorsätzlich die Meldung nach Art. 11a DSG unterlässt, kann auf Antrag mit Busse bis CHF 10‘000 bestraft werden (Art. 34 Abs. 2 lit. a DSG)
4.2. Beurteilung aus Sicht des EDÖB
Die X. AG hat bis anhin keine Datensammlung bei dem EDÖB registrieren lassen (Stand 17. September 2014)
Wie oben dargelegt, werden regelmässig Personendaten an Dritte bekannt gegeben. Es sind im vorliegenden Fall keine Ausnahmen von der Meldepflicht ersichtlich.
Die X. AG wird hiermit explizit auf ihre Meldepflicht nach Art. 11a Abs. 3 Bst. b sowie über eine mögliche Bestrafung nach Art. 34 Abs. 2 Bst. a hingewiesen.
Der EDÖB stellt fest, dass die X. AG ihrer Meldepflicht nach Art. 11a DSG bis anhin nicht nachgekommen ist. Die Datensammlung(en) muss somit beim EDÖB angemeldet werden.
5/5
III. Aufgrund dieser Erwägungen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte:
1. Innert der gesetzlichen Frist von 30 Tagen beantwortet die X. AG die Auskunftsbegehren (Art. 8 DSG) oder gibt an, aus welchem Grund sie die Auskunft verweigert, einschränkt oder aufschiebt (Art. 9 DSG). Insbesondere muss die X. AG betroffenen Personen alle über sie in der Datensammlung vorhandenen Daten, einschliesslich der verfügbaren Angaben über die Herkunft der Daten, bekannt geben.
2. Adressdaten werden nach Art. 12 Abs. 2 lit. b DSG auf Antrag gelöscht bzw. gesperrt (ausser wenn ein Rechtfertigungsgrund nach Art. 13 DSG vorliegt). Die betroffenen Personen werden von der X. AG entsprechend informiert.
3. Die X. AG meldet ihre Datensammlung(en) im Sinne von Art. 11a Abs. 3 Bst. b beim EDÖB an oder gibt an, welche Ausnahme nach Art. 11a Abs. 5 DSG für sie anwendbar ist.
Die X. AG teilt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innerhalb von 30 Tagen ab Erhalt dieser Empfehlung mit, ob sie die Empfehlung annimmt oder ablehnt. Wird diese Empfehlung nicht befolgt oder abgelehnt, so kann der EDÖB die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).
Die vorliegende Empfehlung wird in Anwendung von Art. 30 Abs. 2 DSG in anonymisierter Form publiziert.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Jean-Philippe Walter (Stellvertretender Beauftragter)
Erwägungen (1 Absätze)
E. 13 November 2012, am 16. Oktober 2013 und am 16. Juni 2014) hat die X. AG nicht reagiert und ist somit seiner Aufforderung, ihre Auskunfts- und Löschungspflichten im Sinne des DSG zu erfüllen, nicht nachgekommen.
2/5
2. Umfang der Abklärung
Die vorliegende Sachverhaltsabklärung beschränkt sich ausschliesslich auf das (Nicht-)Bearbeiten der Auskunfts- und Widerspruchsbegehren der betroffenen Personen, die sich mit entsprechenden Anträgen bei der X. AG gemeldet haben. Insbesondere wurde die Beschaffung der Daten nicht auf ihre datenschutzrechtliche Konformität geprüft.
Im Rahmen der vorliegenden Sachverhaltsabklärung wird auch geprüft, ob die X. AG ihre Datensammlungen beim EDÖB gemäss Art. 11a DSG anmelden muss.
II. Erwägungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten :
1. Anwendbarkeit des DSG Die X. AG bearbeitet Adressdaten von natürlichen Personen, die sie aus unterschiedlichen Quellen bezogen hat. Sie verkauft diese Daten an Drittfirmen für Werbezwecke. Das Bundesgesetz über den Datenschutz (DSG, SR 235.1) ist bei solchen Datenbearbeitungen anwendbar (Art. 2 DSG).
2. Zuständigkeit des EDÖB Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) klärt nach Art. 29 Abs. 1 DSG von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler) (lit. a) oder wenn Datensammlungen im Sinne von Art. 11a DSG registriert werden müssen (lit. b). Der EDÖB hat in den letzten Jahren mehrere Beschwerden von Personen bekommen, die bei der X. AG ihre Auskunfts- und Widerspruchsrechte erfolglos geltend gemacht haben. Es kann davon ausgegangen werden, dass sich nicht alle Betroffenen beim EDÖB gemeldet haben. Die Bearbeitungsmethoden der X. AG sind damit geeignet, die Persönlichkeit einer grösseren Anzahl von Leuten zu verletzen (Art. 29 Abs.1, lit. a DSG). Ausserdem ist die Datensammlung der X. AG nicht bei dem EDÖB registriert (Art. 29 Abs.1, lit. b DSG in Verbindung mit Art. 11a DSG). Der EDÖB ist daher berechtigt, den Sachverhalt näher abzuklären und gemäss Art. 29 Abs. 3 DSG eine Empfehlung zu erlassen und diese allfällig gemäss Art. 29 Abs. 4 DSG dem Bundesverwaltungsgericht zum Entscheid vorzulegen.
3. Auskunftsrecht und Widerspruchsrecht
3.1. Auskunftsrecht (Art. 8 DSG)
Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Der Inhaber der Datensammlung muss der betroffenen Person mitteilen:
3/5
- alle über sie in der Datensammlung vorhandenen Daten, einschliesslich der verfügbaren Angaben über die Herkunft der Daten; - den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger.
Die Auskunft ist in der Regel kostenlos, schriftlich, in der Form eines Ausdrucks oder einer Fotokopie, zu erteilen.
Die Auskunft muss innert 30 Tagen seit dem Eingang des Auskunftsbegehrens erteilt werden. Kann die Auskunft nicht in diesem gesetzlichen Frist erteilt werden, muss der Inhaber der Datensammlung den Gesuchsteller hierüber benachrichtigen und ihm die Frist mitteilen, in der die Auskunft erfolgen wird (Art. 1 Abs. 4 VDSG)
Über das Auskunftsrecht soll eine betroffene Person feststellen können, ob und welche Personendaten über sie in welcher Weise bearbeitet werden. Diese Informationen sollen der betroffenen Person ermöglichen, ihre weiteren nach DSG bestehenden weiteren Rechte wahrzunehmen (Rosenthal, Handkommentar DSG, Zürich 2008, Art. 8 DSG, N 1). So kann sie beispielsweise bei den aufgeführten Datenlieferanten ebenfalls ein Auskunftsgesuch stellen, ihre Daten berichtigen oder löschen lassen. Die Gewährung des Auskunftsrechts ermöglicht auch der betroffenen Person, ihre Angaben zurückzuverfolgen bzw. die ursprüngliche Herkunft der Daten zu ermitteln und eine eventuelle widerrechtliche Persönlichkeitsverletzung (z.B. eine unrechtmässige Beschaffung der Personendaten) zu erkennen.
Nach Art. 9 Abs. 4 DSG muss der Inhaber der Datensammlung angeben, aus welchem Grund er eine Auskunft verweigert, einschränkt oder aufschiebt (s. Art. 9 DSG).
Zudem wird darauf hingewiesen, dass die Verletzung der Auskunftspflicht nach Art. 34 DSG strafbar ist (Erteilung einer falschen oder unvollständigen Auskunft).
3.2. Widerspruchsrecht (Art. 12 Abs. 2 lit. b DSG)
Nach Art. 12 Abs. 2 lit. b DSG kann eine betroffene Person die Bearbeitung ihrer Personendaten untersagen (Widerspruchsrecht).
Werden Personendaten gegen deren ausdrücklichen Willen bearbeitet, liegt eine widerrechtliche Persönlichkeitsverletzung vor, soweit kein Rechtfertigungsgrund gemäss Art. 13 Abs. 1 DSG vorliegt (Art. 12 DSG in Verbindung mit Art. 13 DSG).
3.3. Umsetzung der Auskunfts- und Widerspruchsrechte bei der X. AG: Beurteilung aus Sicht des EDÖB
Der EDÖB hat mehrere Klagen von Personen erhalten, die ein Auskunftsbegehren sowie einen Löschungs- bzw. Sperrantrag gestellt und keine Antwort der X. AG erhalten haben. Nur in drei Fällen hat die X. AG Auskunft erteilt sowie die Löschung bzw. die Sperrung der Daten bestätigt, nachdem der EDÖB dies verlangt hat.
4/5
Seither hat der EDÖB immer wieder Beschwerden bekommen von Personen, die erfolglos versuchten, ihre Datenschutzrechte bei der X. AG durchzusetzen. Auf die weiteren Schreiben des EDÖB hat die Firma auch nicht reagiert.
Der EDÖB stellt fest, dass die X. AG ihre Auskunftspflicht nach Art. 8 DSG nicht erfüllt. Ebenfalls werden die Anforderungen an das Widerspruchsrecht nach Art. 12 Abs. 2 lit. b DSG nicht umgesetzt.
4. Anmeldung der Datensammlung 4.1. Ausgangslage
Nach Art. 11a Abs. 3 Bst. b DSG müssen private Personen Datensammlungen anmelden, wenn regelmässig Personendaten an Dritte bekannt gegeben werden.
Die Datensammlungen müssen angemeldet werden, bevor sie eröffnet werden (Art. 11a Abs. 4). Ausnahmen von der Anmeldepflicht finden sich in Art. 11a Abs. 5 Bst. a und c-f DSG und Art. 4 Abs. 1 Bst. a-g VDSG.
Das Register der Datensammlungen dient primär dazu, betroffenen Personen die Ausübung des Auskunftsrechts nach Art. 8 DSG zu erleichtern, indem es ihnen Hinweise liefert, wo sie betreffende Daten möglicherweise bearbeitet werden (Rosenthal, Handkommentar DSG, Zürich 2008, Art. 11a DSG, N 1).
Zudem muss darauf hingewiesen werden, dass die Verletzung der Anmeldepflicht durch private Personen strafrechtlich sanktioniert wird. Wer vorsätzlich die Meldung nach Art. 11a DSG unterlässt, kann auf Antrag mit Busse bis CHF 10‘000 bestraft werden (Art. 34 Abs. 2 lit. a DSG)
4.2. Beurteilung aus Sicht des EDÖB
Die X. AG hat bis anhin keine Datensammlung bei dem EDÖB registrieren lassen (Stand 17. September 2014)
Wie oben dargelegt, werden regelmässig Personendaten an Dritte bekannt gegeben. Es sind im vorliegenden Fall keine Ausnahmen von der Meldepflicht ersichtlich.
Die X. AG wird hiermit explizit auf ihre Meldepflicht nach Art. 11a Abs. 3 Bst. b sowie über eine mögliche Bestrafung nach Art. 34 Abs. 2 Bst. a hingewiesen.
Der EDÖB stellt fest, dass die X. AG ihrer Meldepflicht nach Art. 11a DSG bis anhin nicht nachgekommen ist. Die Datensammlung(en) muss somit beim EDÖB angemeldet werden.
5/5
III. Aufgrund dieser Erwägungen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte:
1. Innert der gesetzlichen Frist von 30 Tagen beantwortet die X. AG die Auskunftsbegehren (Art. 8 DSG) oder gibt an, aus welchem Grund sie die Auskunft verweigert, einschränkt oder aufschiebt (Art. 9 DSG). Insbesondere muss die X. AG betroffenen Personen alle über sie in der Datensammlung vorhandenen Daten, einschliesslich der verfügbaren Angaben über die Herkunft der Daten, bekannt geben.
2. Adressdaten werden nach Art. 12 Abs. 2 lit. b DSG auf Antrag gelöscht bzw. gesperrt (ausser wenn ein Rechtfertigungsgrund nach Art. 13 DSG vorliegt). Die betroffenen Personen werden von der X. AG entsprechend informiert.
3. Die X. AG meldet ihre Datensammlung(en) im Sinne von Art. 11a Abs. 3 Bst. b beim EDÖB an oder gibt an, welche Ausnahme nach Art. 11a Abs. 5 DSG für sie anwendbar ist.
Die X. AG teilt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innerhalb von 30 Tagen ab Erhalt dieser Empfehlung mit, ob sie die Empfehlung annimmt oder ablehnt. Wird diese Empfehlung nicht befolgt oder abgelehnt, so kann der EDÖB die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).
Die vorliegende Empfehlung wird in Anwendung von Art. 30 Abs. 2 DSG in anonymisierter Form publiziert.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Jean-Philippe Walter (Stellvertretender Beauftragter)
Volltext (verifizierbarer Originaltext)
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch
Bern, den 17. September 2014
EMPFEHLUNG
gemäss Art. 29 des Bundesgesetzes über den Datenschutz (DSG)
betreffend die
Umsetzung der Auskunfts- und Widerspruchsrechte bei der Firma X. AG
I. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest :
1. Ausgangslage/Sachverhalt
Seit Anfang 2012 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mehrere Meldungen bzw. Beschwerden von betroffenen Personen betreffend das Geltendmachen ihrer Auskunfts- und Widerspruchsrechte bei der X. AG bekommen. Die in Deutschland wohnhaften Personen haben erfolglos versucht, ihre Datenschutzrechte gegenüber der X. AG durchzusetzen.
Ursprünglich haben die Anfragenden Werbeschreiben von einer Drittfirma (angeblich von einer Bank) bekommen, die ihrerseits die Adressdaten bei einer weiteren deutschen Firma bezogen hatte. Letztere hat die X. AG mit Sitz in der Schweiz als Datenlieferantin genannt. Darauf haben die betroffenen Personen bei der X. AG Auskunft über die Herkunft der Adressdaten beantragt, die Löschung bzw. Sperrung der Daten verlangt und die Weitergabe ihrer Daten an Dritte untersagt.
Die Firma hat jeweils die – zum Teil durch eingeschriebene Briefe erfolgten – Auskunfts- und Löschungsgesuche nicht beantwortet. Betroffene Personen haben daher um Unterstützung des EDÖB gebeten. Die X. AG hat erst auf Aufforderung des EDÖB in drei anfangs 2012 gemeldeten Fällen die Begehren Ende Mai 2012 beantwortet, und somit die verlangte Auskunft erteilt und die Löschung bzw. die Sperrung der Adressdaten bestätigt.
Seither haben sich aber weitere Personen bei dem EDÖB für ähnliche Sachverhalte gemeldet und sich über das Nicht-Beantworten ihrer Anträge beschwert. Auf die Schreiben des EDÖB (jeweils am
13. November 2012, am 16. Oktober 2013 und am 16. Juni 2014) hat die X. AG nicht reagiert und ist somit seiner Aufforderung, ihre Auskunfts- und Löschungspflichten im Sinne des DSG zu erfüllen, nicht nachgekommen.
2/5
2. Umfang der Abklärung
Die vorliegende Sachverhaltsabklärung beschränkt sich ausschliesslich auf das (Nicht-)Bearbeiten der Auskunfts- und Widerspruchsbegehren der betroffenen Personen, die sich mit entsprechenden Anträgen bei der X. AG gemeldet haben. Insbesondere wurde die Beschaffung der Daten nicht auf ihre datenschutzrechtliche Konformität geprüft.
Im Rahmen der vorliegenden Sachverhaltsabklärung wird auch geprüft, ob die X. AG ihre Datensammlungen beim EDÖB gemäss Art. 11a DSG anmelden muss.
II. Erwägungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten :
1. Anwendbarkeit des DSG Die X. AG bearbeitet Adressdaten von natürlichen Personen, die sie aus unterschiedlichen Quellen bezogen hat. Sie verkauft diese Daten an Drittfirmen für Werbezwecke. Das Bundesgesetz über den Datenschutz (DSG, SR 235.1) ist bei solchen Datenbearbeitungen anwendbar (Art. 2 DSG).
2. Zuständigkeit des EDÖB Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) klärt nach Art. 29 Abs. 1 DSG von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler) (lit. a) oder wenn Datensammlungen im Sinne von Art. 11a DSG registriert werden müssen (lit. b). Der EDÖB hat in den letzten Jahren mehrere Beschwerden von Personen bekommen, die bei der X. AG ihre Auskunfts- und Widerspruchsrechte erfolglos geltend gemacht haben. Es kann davon ausgegangen werden, dass sich nicht alle Betroffenen beim EDÖB gemeldet haben. Die Bearbeitungsmethoden der X. AG sind damit geeignet, die Persönlichkeit einer grösseren Anzahl von Leuten zu verletzen (Art. 29 Abs.1, lit. a DSG). Ausserdem ist die Datensammlung der X. AG nicht bei dem EDÖB registriert (Art. 29 Abs.1, lit. b DSG in Verbindung mit Art. 11a DSG). Der EDÖB ist daher berechtigt, den Sachverhalt näher abzuklären und gemäss Art. 29 Abs. 3 DSG eine Empfehlung zu erlassen und diese allfällig gemäss Art. 29 Abs. 4 DSG dem Bundesverwaltungsgericht zum Entscheid vorzulegen.
3. Auskunftsrecht und Widerspruchsrecht
3.1. Auskunftsrecht (Art. 8 DSG)
Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Der Inhaber der Datensammlung muss der betroffenen Person mitteilen:
3/5
- alle über sie in der Datensammlung vorhandenen Daten, einschliesslich der verfügbaren Angaben über die Herkunft der Daten; - den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger.
Die Auskunft ist in der Regel kostenlos, schriftlich, in der Form eines Ausdrucks oder einer Fotokopie, zu erteilen.
Die Auskunft muss innert 30 Tagen seit dem Eingang des Auskunftsbegehrens erteilt werden. Kann die Auskunft nicht in diesem gesetzlichen Frist erteilt werden, muss der Inhaber der Datensammlung den Gesuchsteller hierüber benachrichtigen und ihm die Frist mitteilen, in der die Auskunft erfolgen wird (Art. 1 Abs. 4 VDSG)
Über das Auskunftsrecht soll eine betroffene Person feststellen können, ob und welche Personendaten über sie in welcher Weise bearbeitet werden. Diese Informationen sollen der betroffenen Person ermöglichen, ihre weiteren nach DSG bestehenden weiteren Rechte wahrzunehmen (Rosenthal, Handkommentar DSG, Zürich 2008, Art. 8 DSG, N 1). So kann sie beispielsweise bei den aufgeführten Datenlieferanten ebenfalls ein Auskunftsgesuch stellen, ihre Daten berichtigen oder löschen lassen. Die Gewährung des Auskunftsrechts ermöglicht auch der betroffenen Person, ihre Angaben zurückzuverfolgen bzw. die ursprüngliche Herkunft der Daten zu ermitteln und eine eventuelle widerrechtliche Persönlichkeitsverletzung (z.B. eine unrechtmässige Beschaffung der Personendaten) zu erkennen.
Nach Art. 9 Abs. 4 DSG muss der Inhaber der Datensammlung angeben, aus welchem Grund er eine Auskunft verweigert, einschränkt oder aufschiebt (s. Art. 9 DSG).
Zudem wird darauf hingewiesen, dass die Verletzung der Auskunftspflicht nach Art. 34 DSG strafbar ist (Erteilung einer falschen oder unvollständigen Auskunft).
3.2. Widerspruchsrecht (Art. 12 Abs. 2 lit. b DSG)
Nach Art. 12 Abs. 2 lit. b DSG kann eine betroffene Person die Bearbeitung ihrer Personendaten untersagen (Widerspruchsrecht).
Werden Personendaten gegen deren ausdrücklichen Willen bearbeitet, liegt eine widerrechtliche Persönlichkeitsverletzung vor, soweit kein Rechtfertigungsgrund gemäss Art. 13 Abs. 1 DSG vorliegt (Art. 12 DSG in Verbindung mit Art. 13 DSG).
3.3. Umsetzung der Auskunfts- und Widerspruchsrechte bei der X. AG: Beurteilung aus Sicht des EDÖB
Der EDÖB hat mehrere Klagen von Personen erhalten, die ein Auskunftsbegehren sowie einen Löschungs- bzw. Sperrantrag gestellt und keine Antwort der X. AG erhalten haben. Nur in drei Fällen hat die X. AG Auskunft erteilt sowie die Löschung bzw. die Sperrung der Daten bestätigt, nachdem der EDÖB dies verlangt hat.
4/5
Seither hat der EDÖB immer wieder Beschwerden bekommen von Personen, die erfolglos versuchten, ihre Datenschutzrechte bei der X. AG durchzusetzen. Auf die weiteren Schreiben des EDÖB hat die Firma auch nicht reagiert.
Der EDÖB stellt fest, dass die X. AG ihre Auskunftspflicht nach Art. 8 DSG nicht erfüllt. Ebenfalls werden die Anforderungen an das Widerspruchsrecht nach Art. 12 Abs. 2 lit. b DSG nicht umgesetzt.
4. Anmeldung der Datensammlung 4.1. Ausgangslage
Nach Art. 11a Abs. 3 Bst. b DSG müssen private Personen Datensammlungen anmelden, wenn regelmässig Personendaten an Dritte bekannt gegeben werden.
Die Datensammlungen müssen angemeldet werden, bevor sie eröffnet werden (Art. 11a Abs. 4). Ausnahmen von der Anmeldepflicht finden sich in Art. 11a Abs. 5 Bst. a und c-f DSG und Art. 4 Abs. 1 Bst. a-g VDSG.
Das Register der Datensammlungen dient primär dazu, betroffenen Personen die Ausübung des Auskunftsrechts nach Art. 8 DSG zu erleichtern, indem es ihnen Hinweise liefert, wo sie betreffende Daten möglicherweise bearbeitet werden (Rosenthal, Handkommentar DSG, Zürich 2008, Art. 11a DSG, N 1).
Zudem muss darauf hingewiesen werden, dass die Verletzung der Anmeldepflicht durch private Personen strafrechtlich sanktioniert wird. Wer vorsätzlich die Meldung nach Art. 11a DSG unterlässt, kann auf Antrag mit Busse bis CHF 10‘000 bestraft werden (Art. 34 Abs. 2 lit. a DSG)
4.2. Beurteilung aus Sicht des EDÖB
Die X. AG hat bis anhin keine Datensammlung bei dem EDÖB registrieren lassen (Stand 17. September 2014)
Wie oben dargelegt, werden regelmässig Personendaten an Dritte bekannt gegeben. Es sind im vorliegenden Fall keine Ausnahmen von der Meldepflicht ersichtlich.
Die X. AG wird hiermit explizit auf ihre Meldepflicht nach Art. 11a Abs. 3 Bst. b sowie über eine mögliche Bestrafung nach Art. 34 Abs. 2 Bst. a hingewiesen.
Der EDÖB stellt fest, dass die X. AG ihrer Meldepflicht nach Art. 11a DSG bis anhin nicht nachgekommen ist. Die Datensammlung(en) muss somit beim EDÖB angemeldet werden.
5/5
III. Aufgrund dieser Erwägungen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte:
1. Innert der gesetzlichen Frist von 30 Tagen beantwortet die X. AG die Auskunftsbegehren (Art. 8 DSG) oder gibt an, aus welchem Grund sie die Auskunft verweigert, einschränkt oder aufschiebt (Art. 9 DSG). Insbesondere muss die X. AG betroffenen Personen alle über sie in der Datensammlung vorhandenen Daten, einschliesslich der verfügbaren Angaben über die Herkunft der Daten, bekannt geben.
2. Adressdaten werden nach Art. 12 Abs. 2 lit. b DSG auf Antrag gelöscht bzw. gesperrt (ausser wenn ein Rechtfertigungsgrund nach Art. 13 DSG vorliegt). Die betroffenen Personen werden von der X. AG entsprechend informiert.
3. Die X. AG meldet ihre Datensammlung(en) im Sinne von Art. 11a Abs. 3 Bst. b beim EDÖB an oder gibt an, welche Ausnahme nach Art. 11a Abs. 5 DSG für sie anwendbar ist.
Die X. AG teilt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innerhalb von 30 Tagen ab Erhalt dieser Empfehlung mit, ob sie die Empfehlung annimmt oder ablehnt. Wird diese Empfehlung nicht befolgt oder abgelehnt, so kann der EDÖB die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).
Die vorliegende Empfehlung wird in Anwendung von Art. 30 Abs. 2 DSG in anonymisierter Form publiziert.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Jean-Philippe Walter (Stellvertretender Beauftragter)