empfehlung-vom-6-november-2014-an-die-itonex-ag-wwwmoneyhousechpdf32826-kb6-nove-2014-11-06

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB

Feldeggweg 1, 3003 Bern www.edoeb.admin.ch

Bern, 06.11.2014

EMPFEHLUNG des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäss Art. 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) betreffend die von itonex AG angebotenen Dienstleistungen unter www.moneyhouse.ch

2/32

I. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest:

In seiner Funktion als Aufsichtsbehörde im Bereich des Datenschutzes (Art. 29 des Bundesge- setzes über den Datenschutz, DSG, SR 235.1) hat der Eidgenössische Datenschutz- und Öffent- lichkeitsbeauftragte (EDÖB) im Zeitraum vom 17.05.2013 bis 10.07.2014 bei itonex AG die Da- tenbearbeitungen im Zusammenhang mit den über www.moneyhouse.ch angebotenen Dienst- leistungen auf die Einhaltung der datenschutzrechtlichen Vorschriften hin geprüft. Der EDÖB hält die Resultate dieser Kontrolle in vorliegender Empfehlung fest. Ausgangslage

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) klärt von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. itonex AG, die Betreiberin der Plattform www.moneyhouse.ch, hat 5 Millionen Personeneinträge in der Datensammlung und bietet verschiedenste Dienstleistungen an. Dazu gehören unter anderem die Publikation von Wohnungsinseraten und Unternehmensinformationen oder Angaben betreffend Bonitätsprüfung von natürlichen Personen.

Der EDÖB führte im Jahr 2012 eine Sachverhaltsabklärung durch, die die Veröffentlichung von gesperrten Adressen im Internet betraf und erliess am 15. November 2012 eine Empfehlung. itonex AG nahm diese Empfehlung am 12.02.2013 an, und der EDÖB begleitete in der Folge die Umsetzungsarbeiten. Am 12.07.2013 wurde die Sachverhaltsabklärung formell abgeschlossen. Der EDÖB hatte seit Beginn dieser Abklärungsarbeiten festgehalten, dass zu einem späteren Zeitpunkt die anderen, von itonex AG vorgenommenen Datenbearbeitungen ebenfalls untersucht würden. Er bearbeitet stetig Anfragen und Beschwerden zu den von itonex AG unter www.moneyhouse.ch angebotenen Dienstleistungen. Am 17.05. 2013 eröffnete er, gestützt auf Art. 29 DSG, eine zweite Sachverhaltsabklärung. Umfang der Sachverhaltsabklärung

itonex AG bietet zum Zeitpunkt der Sachverhaltsabklärung folgende Dienstleistungen an:

1. Firmensuche

2. Firmenadressen

3. Firmengründungen

4. Listen mit Neugründungen, Liquidationen und Konkursen, KMU Nachfolger, Firmen- Jubilare, Familienunternehmen

5. Handelsregisteränderungen

6. Jobsuche

7. Personensuche

8. Bonitätsabonnement

9. Zahlweiseabonnement

10. Details zu Zahlungsstörungen

11. Betreibungsauskunft

12. Steuerauskunft

13. Grundbuchauskunft

14. Betreibungsauskunft plus

15. Wirtschaftsauskunft

16. Wirtschaftsauskunft plus

17. Firmenportrait-Video

3/32

18. Realisierung Firmenportrait

19. Inkasso-Pakete

20. Veröffentlichung von Baugesuchen und Baubewilligungen

21. Publikation von regionalen Amtsblättern (Zürich, Basel, Genf, Lausanne, Bern, Winterthur, Luzern, St. Gallen, Lugano, Biel)

Der EDÖB untersuchte die oben aufgeführten Dienstleistungen in folgender Hinsicht:

1. Zweck der Datensammlung von itonex AG

2. Inhalt der Datensammlung von itonex AG

3. Datenquellen

4. Datenbekanntgabe an Dritte, Kunden und Geschäftspartner

5. Personensuche

6. Firmensuche

7. Bonitätsdatenbearbeitung natürliche und juristische Personen

8. Zahlweise-Abonnement

9. Inkasso-Paket

10. Auskunftserteilung

11. Berichtigungsmöglichkeit und Aktualisierung der Datenbestände

12. Datenspeicherung

13. Datensicherheit

14. Löschung der Daten

15. Information der Nutzer

16. Anmeldung der Datensammlung beim EDÖB

17. Moneyhouse international

Folgende Dienstleistungen werden nur teilweise in der Sachverhaltsabklärung des EDÖB be- rücksichtigt und analysiert:

1. Stellenportal

2. Publikation von Baugesuchen und –bewilligungen

3. Firmengründungspaket

4. Handelsregistereintragsunterstützung

5. Steuerauskünfte

6. Grundbuchauskunft

7. Betreibungsregisterauskünfte

8. Firmenportraits

4/32

Chronologie der Sachverhaltsabklärung

17.05.2013 Ankündigung Sachverhaltsabklärung und Zustellung des Fragenkata- logs

13.06.2013 Fristverlängerungsgesuch der itonex AG

17.06.2013 Fristverlängerung gewährt bis am 08.07.2013

09.07.2013 Zustellung der Dokumentation (Antworten auf Fragenkatalog und zu- sätzlich angeforderte Dokumente) durch itonex AG

22.08.2013 Durchführung des Augenscheins in den Räumlichkeiten von itonex AG

28.03.2014 Versand Sachverhaltsfeststellung

01.05.2014 Fristgerechter Erhalt der Stellungnahme von itonex AG

16.06.2014 Versand der bereinigten Sachverhaltsfeststellung (A20140616-0022)

01.07.2014 Versand Schreiben betreffend gelöschte Personeneinträge

10.07.2014 Stellungnahme itonex AG zur Löschungspraxis Sachverhaltsfeststellung und Ergänzung derselben

Es wird auf das Dokument der Sachverhaltsfeststellung vom 16.06.2014 verwiesen. Die Sach- verhaltsfeststellung muss hinsichtlich der Löschungspraxis der Daten erweitert werden. Der EDÖB ist der Ansicht, dass Ziffer 10 seiner Empfehlung vom 15.11.2012 durch itonex AG nicht mehr umgesetzt wird1. Da sich der Sachverhalt seit Erlass der Empfehlung zwischenzeitlich än- derte, hat der EDÖB sich entschieden, den vorliegenden Sachverhalt entsprechend zu erweitern und die geänderte Löschpraxis in den vorliegenden Schlussbericht zu integrieren.

In Ziffer 15 der Sachverhaltsfeststellung vom 16.06.2014 wurde vom EDÖB festgehalten, dass itonex AG auf Gesuch der betroffenen Person und gemäss der Empfehlung vom 15.11.2013 alle Daten, die in der Datensammlung vorhanden sind, löscht. Der EDÖB stellte kurz nach Versand der Sachverhaltsfeststellung vom 16.06.2014 fest, dass gelöschte Adressen innerhalb des Pre- miumbereichs wieder abrufbar sind. Bei einer Personensuche werden zunächst alle Treffer ange- zeigt, die auch in einem über das Internet zugänglichen Telefonbuch oder im Handelsregister ge- funden werden können. Weitere Adressen können über die Angabe eines Interessensnachweises oder über die erneute Angabe von Vorname, Name und Ort der betreffenden Person im Eingabe- feld der Personensuche gefunden werden. Der Premiumbereich ist auch für Abonnenten zugäng- lich, die kein Bonitätsabonnement abgeschlossen haben. itonex AG stellte sich nach Kontaktnahme zunächst auf den Standpunkt, die Adressen seien nicht bei itonex AG gespeichert, es werde direkt auf die Datenbank der CRIF, dem Partner für die Lie- ferung von Bonitätsdaten, zugegriffen. Die Abfrage zu Zwecken der Bonität sei unter Einhaltung der Bedingungen von Art. 13 Abs. 2 lit. c DSG zulässig. Der EDÖB machte demgegenüber gel- tend, dass den Personen, die bisher ihre Einträge löschen liessen, der Rechtfertigungsgrund nicht entgegengehalten worden sei. Diese hätten sich darauf verlassen, dass ihre Adressen nach erfolgter Löschung über die Plattform www.moneyhouse.ch nicht mehr auffindbar seien. itonex AG erklärte sich in der Folge dazu bereit, die von ihr erstellte Sperrliste mit den Namen der Personen, die eine Löschung ihrer Daten durchführen liessen, als Filter zu verwenden. Dieser wird nach dem Eingabefeld der Personensuche zwischengeschaltet, so könnten gelöschte Per- soneneinträge nicht mehr aufgefunden werden. Der EDÖB hat daraufhin mittels der ihm zugestellten Löschungsbegehren die Praxis von itonex AG getestet. Er hat mehrere Adressen von Personen gefunden, die ihre Angaben ursprünglich löschen liessen.

1itonex AG hatte im Antwortschreiben vom 27.06.2013 den Löschprozess dokumentiert. Das Führen einer Sperrliste war vorgesehen (Zitat aus der Begründung itonex AG):“Dies verhindert, dass die Da- ten dieser Person nicht erneut aufgeschaltet werden.“

5/32

itonex AG hat in der Folge Stellung2 dazu genommen. Die gelöschten Adressen seien nur für Personen mit Bonitätsabonnement zugänglich. Abonnenten würden vor Abschluss vom Kunden- dienst überprüft und freigeschaltet. Die Freischaltung erfolge nur für Firmen, die im Rahmen ihrer Tätigkeit regelmässig Bonitätsauskünfte benötigen. Bei der Abfrage müsse zwingend der Woh- nort eingegeben werden – ein Zugriff nur über den Namen sei nicht möglich. Somit sei es prak- tisch nicht möglich, an neue oder zusätzliche Adressen zu gelangen. Die vom EDÖB vorgebrach- ten Sicherheitsbedenken könne itonex AG nicht teilen. Der EDÖB hat darauf bei einem erneuten Testlauf ungefähr 50 Adressen von Personen gefun- den, die ihre Angaben bei itonex AG (teilweise aus Gründen der persönlichen Sicherheit) ur- sprünglich löschen liessen. Im Abfragefeld Wohnort des Premiumbereichs können dabei beliebi- ge Zeichenkombinationen eingetragen werden, wie der EDÖB beim Testen feststellte. Mit dieser Methode können Nutzer des Premiumbereichs Personendaten finden, die eigentlich nur für Boni- tätsabonnenten zugänglich wären, ohne deren Adressen vorher zu kennen. itonex AG macht für diese erweiterte Abfragemöglichkeit Werbung. Für die weiteren, im Rahmen dieser Empfehlung behandelten Sachverhaltsaspekte sei, wie er- wähnt, auf die bereinigte Sachverhaltsfeststellung vom 16.06.2014 hingewiesen.

2 Schreiben von itonex AG vom 10.07.2014.

6/32

II. Erwägungen des Eidgenössischen Daten- schutz- und Öffentlichkeitsbeauftragten: Vorbemerkungen Gemäss Artikel 2 Abs. 1 DSG gilt dieses Gesetz für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen. Da itonex AG, wie unter Randziffer 2 erwähnt, fünf Millionen Personeneinträge bearbeitet, ist das DSG für den vorliegenden Sachverhalt anwendbar. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte klärt nach Artikel 29 Abs. 1 lit. a DSG von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungs- methoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). Die Bearbeitungsmethoden von itonex AG sind geeignet, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Der EDÖB ist daher berechtigt, den Sachverhalt näher abzuklären und gemäss Art. 29 Abs. 3 DSG eine Empfehlung zu erlassen. Er kann die Empfehlung gemäss Artikel 29 Abs. 4 DSG – wenn sie abgelehnt worden ist – dem Bundesver- waltungsgericht zum Entscheid vorlegen. Art. 12 und 13 DSG legen die Voraussetzungen fest, nach welchen die Bearbeitung von Perso- nendaten durch Private rechtmässig ist. Wer im privaten Bereich Personendaten bearbeitet, darf dabei nach Art. 12 Abs. 1 DSG die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Gemäss Art. 12 Abs. 2 DSG darf er insbesondere nicht:

a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bear- beiten;

b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bear- beiten;

c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlich- keitsprofile Dritten bekannt geben. In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten all- gemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Art. 12 Abs. 3 DSG). Die nachfolgenden Ausführungen sollen aufzeigen, ob die Datenbearbeitung durch itonex AG, der Inhaberin der Plattform www.moneyhouse.ch, datenschutzkonform erfolgt. Kategorien von bearbeiteten Personendaten Bearbeitung von Personendaten Das DSG findet dort Anwendung, wo Personendaten i.S.v. Art. 3 lit. a DSG bearbeitet werden. Als Personendaten gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare (natürli- che oder juristische) Person beziehen. Der hauptsächliche Zweck der Plattform www.moneyhouse.ch besteht darin, verschiedenste Informationen zu juristischen und natürlichen Personen für Nutzer zugänglich zu machen. Die von itonex AG bearbeiteten Daten beziehen sich auf bestimmte oder bestimmbare Personen ge- mäss Art. 3 lit. a DSG. Damit handelt es sich um Personendaten im Sinne des DSG. Unter Bear- beitung wird gemäss Art. 3 lit. e DSG jeder Umgang mit Personendaten, unabhängig von den an- gewendeten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten, verstanden. itonex AG bearbeitet demzufolge Personendaten im Sinne des DSG.

7/32

Bearbeitung von Persönlichkeitsprofilen Durch die Auswertungsmöglichkeiten der automatischen Datenverarbeitung und durch die Ver- knüpfung automatisierter Datenbestände ist die Erstellung von Persönlichkeitsprofilen heutzutage einfacher und häufiger geworden. Das Problem von Persönlichkeitsprofilen liegt darin, dass sie die Vielfalt und Komplexität der menschlichen Persönlichkeit (zu) sehr vereinheitlichen und schematisieren und dabei den betroffenen Personen nicht gerecht werden. Zudem haben be- troffene Personen meist keine Kenntnis vom Bestehen eines Persönlichkeitsprofils. Damit können sie dessen Richtigkeit und Verwendung nicht kontrollieren. Einmal erstellt, können Persönlich- keitsprofile betroffene Personen der Freiheit berauben, sich so darzustellen, wie sie es für richtig halten. Damit vermögen Persönlichkeitsprofile die Entfaltung der Persönlichkeit wesentlich zu be- einträchtigen. Deshalb hat der Gesetzgeber festgelegt, dass Persönlichkeitsprofile gleich wie be- sonders schützenswerte Personendaten zu behandeln sind und nur unter bestimmten Vorausset- zungen erstellt und bearbeitet werden dürfen. Über juristische Personen können laut Wortlaut des Gesetzes keine Persönlichkeitsprofile erstellt werden. Nicht jede Kombination von Daten ergibt ein Persönlichkeitsprofil. Gemäss Legaldefinition von Art. 3 lit. d DSG stellt ein Persönlichkeitsprofil eine Zusammenstellung von Daten dar, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Anhalts- punkte, was unter dem Begriff „Persönlichkeitsprofil“ zu verstehen ist, findet man einerseits in der Botschaft zum Bundesgesetz über den Datenschutz vom 23. März 1988 (BBl II 1988 413) und andererseits in der Lehre und Rechtsprechung. Gemäss Botschaft zum DSG (BBl II 1988 446) ist ein Persönlichkeitsprofil eine Zusammenstel- lung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Entscheidend ist, dass die syste- matische Zusammenstellung von nicht besonders schützenswerten Daten (z.B. über Lesege- wohnheiten, Reise- und Freizeitaktivitäten) eine Beurteilung wesentlicher Aspekte der Persön- lichkeit zulässt. Nach herrschender Lehre muss die Zusammenstellung der Daten nicht ein Gesamtbild der Per- sönlichkeit ergeben. Es genügt, wenn von wichtigen Teilaspekten (z.B. Konsumverhalten, Profile von Kreditkartenbenutzern zur Verhinderung von Betrügereien, Eignungstest, Kreditdossiers, etc.) ein Persönlichkeitsbild entsteht (BSK-DSG, Gabor P. Blechta, Art. 3 N 67). Von einem Per- sönlichkeitsprofil ist jedoch erst dann auszugehen, wenn für die betroffene Person ein Risiko ent- steht, dass „sie sich in der Gesellschaft nicht mehr so darstellen kann, wie sie es für richtig hält“ (BSK-DSG, Gabor P. Blechta, Art. 3 N 63). Gemäss Rechtsprechung (VPB 65.48, E. 2.b.) hängt die Erstellung eines Persönlichkeitsprofils von der Menge, dem Inhalt sowie der Zeitdauer der zusammengestellten Daten ab. Demnach sind Personendaten, die über einen längeren Zeitraum zusammengetragen werden (z.B. Daten betreffend Zahlungsfähigkeit über Jahre hinweg) und dadurch gleichsam ein biografisches Bild ergeben, indem sie eine Entwicklung, einen Werdegang, also eine Art „Längsprofil“ der betroffe- nen Person aufzeigen, eher als Persönlichkeitsprofil zu qualifizieren als Daten, die eine blosse Momentaufnahme, ein „Querprofil“, darstellen. Aber, selbst wenn von einem wesentlichen Teilbild der Persönlichkeit ausgegangen wird, muss letztlich der konkrete Zusammenhang, in dem die Daten verwendet werden, mit entscheidend dafür sein, ob der qualifizierte gesetzliche Schutz, den der Gesetzgeber für die Persönlichkeitsprofile vorgesehen hat, zum Tragen kommen soll o- der nicht. Weil itonex AG die unterschiedlichsten Dienstleistungen mit je spezifischen Informationen zu natürlichen Personen zentral über die Plattform www.moneyhouse.ch anbietet, muss im vorlie- genden Fall geprüft werden, ob die von itonex AG in ihrer Gesamtheit verbreiteten Informationen Persönlichkeitsprofile i.S.v. Art. 3 lit. d DSG darstellen.

8/32

itonex AG hat auf der Plattform www.moneyhouse.ch unterschiedlich zugängliche Bereiche3 fest- gelegt. Nicht registrierte Benutzer können die Personensuche auf der Website der Plattform nicht einsetzen. Allerdings sind natürliche Personen indirekt über das Resultat der Google-Suche auf- findbar. Dies ist ein grosser Unterschied zu anderen Vertretern der Branche der Auskunfteien, deren Ein- träge nicht suchmaschinenindexiert sind und damit keine breite Zugänglichkeit einer Personen- suche ermöglichen. Registrierte Nutzer (diese bezahlen kein Entgelt für die Nutzung der Plattform, geben aber bei der Registrierung persönliche Informationen bekannt) können die Personensuche eingeschränkt nut- zen. Die genaue Adresse von natürlichen, nicht im Handelsregister eingetragenen Personen kann abgefragt werden, wenn die betreffende Person einen Eintrag in einem über das Internet zugänglichen Telefonverzeichnis hat. Zahlende und nach einer Überprüfung freigeschaltete Premium-User können folgende Angaben über natürliche Personen abrufen: Name, Vorname, Wohnort, Postleitzahl, Alter, genaues Ge- burtsdatum, Beruf, Haushaltsmitglieder und Nachbarn und Angaben zur Wohnsituation. Die Wohnsituation beinhaltet eine Verlinkung auf Luftaufnahmen- und Google Streetviewbilder der Liegenschaft. Zusätzlich werden Angaben zu Gebäudetyp, Anzahl Haushalte im Gebäude, Bau- kosten, Bauperiode und Anzahl Etagen gemacht. itonex AG gibt damit systematisch verknüpfte Informationen zur privaten Wohn- und Lebenssituation der betroffenen Personen bekannt. Die private Wohn- und Lebenssituation stellt einen wesentlichen Teilaspekt der Persönlichkeit dieser Personen und damit ein Persönlichkeitsprofil dar. Sind natürliche Personen im Handelsregister registriert, so werden dem Premium-User zusätzli- che Informationen bekannt gegeben. Neben allen Handelsregisterinformationen ist dies insbe- sondere auch die Angabe der Nationalität, falls diese eingetragen wurde. Zusätzlich zu oben ge- schildertem wesentlichem Teilaspekt der privaten Wohn- und Lebenssituation werden von diesen Personen der berufliche Werdegang und das berufliche Netzwerk anhand der im Handelsregister gespeicherten Informationen zugänglich gemacht. Der EDÖB vertritt die Meinung, dass itonex AG Persönlichkeitsprofile von natürlichen Personen mit Handelsregistereintrag bearbeitet. Auf der Zusammenstellung dieser Informationen von natürlichen Personen mit und ohne Han- delsregistereintrag wird der Nutzer auf zusätzliche Informationen aufmerksam gemacht, die ein Premium-User über diese einholen kann: Bonitäts- und Grundbuchauskunft und Steuerauszug. Diese Aus-künfte können nicht über jede Person eingeholt werden, da die Einsicht ins Grundbuch und der Steuerauszug kantonal geregelt sind. Der Premium-User wird auf diese Tatsache nicht hingewiesen. All diese Informationen werden laut itonex AG nach Abruf an den Premium-User weitergeleitet, ohne dauerhaft auf der eigenen Datenbank gespeichert zu werden. Der Premium- User kann auf einfache Art und Weise umfassende Persönlichkeitsprofile von gesuchten Perso- nen zusammenstellen. Ebenfalls können Bauherren über die Plattform ermittelt werden. Über diese Personen sind zu- sätzlich zu den oben aufgeführten Angaben Informationen über ihre gestellten Baugesuche oder ihnen erteilte Baubewilligungen abrufbar. All diese Informationen stellen ebenfalls Persönlich- keitsprofile der betroffenen Personen dar. Die oben gemachten Ausführungen beschränken sich auf die Darstellung eines Ausschnitts von möglichen Verknüpfungen von Personendaten zu Persönlichkeitsprofilen. Es können, je nach Wahl der entsprechenden Dienstleistungen und der in diesem Rahmen abrufbaren Personenda- ten, eine grosse Zahl von Varianten von Persönlichkeitsprofilen erstellt werden.4

3 Es wird auf die Sachverhaltsfeststellung vom 16.06.2014 verwiesen. 4 Es sprengt den Rahmen dieser Darstellung, alle möglichen Varianten der Erstellung eines Persön- lichkeitsprofils zu erläutern.

9/32

Aus diesen Ausführungen ergibt sich betreffend die Bearbeitung von Persönlichkeitsprofilen durch itonex AG folgendes: Die in der Datensammlung von itonex AG gespeicherten Daten sind Persönlichkeitsprofile. Der Premium-User kann mit Hilfe der Dienstleistungen der Plattform www.moneyhouse.ch mehr oder weniger umfassende Persönlichkeitsprofile abrufen oder zu- sammenstellen. itonex AG vermittelt dabei Zugang zu einzelnen Datensätzen, ohne das übermit- telte Gesamtergebnis zu überprüfen oder einzuschränken. Premium-Usern und anderen Nutzern der Plattform wird damit ermöglicht, sich Persönlichkeitsprofile über beliebige Personen zusam- menzustellen. Bearbeitung von Personendaten von Kindern Das Gesetz selber sieht keine besondere Kategorie von Kinderdaten vor. Kinder können im Be- reich des Persönlichkeitsschutzes ihre Rechte, sofern sie urteilsfähig sind, selber geltend ma- chen. Für urteilsunfähige Kinder können die Eltern im Rahmen ihrer gesetzlichen Vertretungsbe- fugnis deren Rechte wahrnehmen. Der EDÖB hatte viele Meldungen von Eltern, die sich über die Publikation der Daten ihrer Kinder beschwerten und die Privatsphäre der Familie dadurch verletzt sahen. Aus diesem Grund sieht er sich veranlasst, sich speziell zur Bearbeitung von Kinderdaten durch itonex AG zu äussern. itonex AG bearbeitet Personendaten von Kindern. Premium-User5 können die Daten über Anga- be von Name, Vorname und einer beliebigen Zeichenfolge im Wohnortfeld abfragen. Durch diese Abfrage werden Adresse und das genaue Geburtsdatum der Kinder zugänglich gemacht. Diese Abfrage wird direkt auf der Datenbank von CRIF, dem Partner von itonex AG für Bonitätsdaten, gemacht. Im Bereich der Bonitätsauskünfte kann es sinnvoll sein, Personendaten von Kindern zu führen. Anbieter von elektronisch zugänglichen Kaufangeboten können so vor Vertragsschluss überprü- fen, ob die betreffende Person überhaupt handlungsfähig6 ist, ebenfalls kann verhindert werden, dass überschuldete Personen Dienstleistungen auf den Namen ihrer Kinder beziehen. Kinder erhalten im Rahmen der von itonex AG angebotenen Bonitätsdienstleistungen grundsätz- lich keine positive Bonität. Der EDÖB geht davon aus, dass das eingeschränkte Bonitätsresultat auf die fehlende Handlungsfähigkeit zurückzuführen ist. Ob andere Kriterien das Bonitätsscoring von Kindern ebenfalls beeinflussen, ist ihm nicht bekannt, da das Scoring durch CRIF, einen Partner von itonex AG, berechnet wird. Zudem können im Premiumbereich die Mitglieder des Haushaltes abgefragt werden. Diese Daten hat itonex AG in der eigenen Datensammlung gespeichert. Laut Auskunft von itonex AG ist zu 74% der in der Datenbank enthaltenen Personeneinträge eine Jahrgangsangabe vorhanden. itonex AG entfernt nach eigenen Aussagen Kindereinträge7, soweit diese bekannt sind, und be- müht sich, vorhandene Kindereinträge aufzufinden und zu entfernen. Diese Einträge sind auf den Umstand zurückzuführen, dass Schober AG bei der damaligen Lieferung das Geburtsdatum der Kinder nicht mitgeliefert hat. Gemäss diesen Ausführungen bearbeitet und publiziert itonex AG Daten von Kindern im Rahmen der Bonitätsauskünfte und bei der Darstellung der Haushalte im Premiumbereich. Bearbeitung von Daten von verstorbenen Personen Die Persönlichkeit endet mit dem Tod von natürlichen Personen. Dies schränkt den Anwen- dungsbereich des DSG entsprechend ein, wobei nahe Angehörige für einen Schutz der den Tod

5 Betreffend die Schilderung der einzelnen Nutzerkategorien der Plattform und die Bekanntgaben an diese Kategorien wird auf die Sachverhaltsfeststellung vom 16.06.2014 verwiesen. 6 Art. 12 ff des Zivilgesetzbuchs. 7 Auf der anderen Seite macht itonex AG mit der Abrufbarkeit von Kinderdaten Werbung, siehe Fuss- note 9.

10/32

überdauernden Persönlichkeitsgüter sorgen können, indem sie sich hierfür auf ihr eigenes Per- sönlichkeitsrecht stützen. Es haben sich mehrere Verwandte von verstorbenen Personen beim EDÖB gemeldet, die deren Einträge in der Datensammlung von itonex AG löschen lassen woll- ten. Laut Auskunft von itonex AG wird die Datenbank laufend aktualisiert8 und Einträge von verstor- benen Personen werden gelöscht. Unter dem Aspekt der Bonitätsprüfung, aber auch im Hinblick auf die anderen verfolgten Zwecke und erbrachten Dienstleistungen, macht die Führung von ver- storbenen Personen in der Datensammlung von itonex AG keinen Sinn. Verwandte, die Einträge von verstorbenen Familienangehörigen löschen lassen wollten, sahen sich in der Folge mit ihrer Meinung nach überhöhten Anforderungen an den Nachweis des Todes derselben konfrontiert. Der EDÖB stellt demzufolge fest, dass itonex AG Daten von verstorbenen Personen bearbeitet und publiziert. Gesamtergebnis Kategorien der bearbeiteten Daten itonex AG bearbeitet Personendaten und Persönlichkeitsprofile von Erwachsenen, Kindern und verstorbenen Personen. Im Folgenden wird geprüft, ob die allgemeinen Bearbeitungsgrundsätze bei der Bearbeitung von Personendaten, Persönlichkeitsprofilen, Daten von Kindern und verstorbenen Personen von itonex AG befolgt werden. Bearbeitungsgrundsätze Das DSG legt in den Artikeln 4, 5 und 7 fest, welche Grundsätze bei der Bearbeitung von Perso- nendaten zu beachten sind. Zweck der Datenbearbeitung Der Dateninhaber legt den Zweck fest, zu dem Daten bearbeitet werden. Der mit der Datenbear- beitung verfolgte Zweck spielt eine Rolle für das Bearbeitungsprinzip der Verhältnismässigkeit (Randziffern 50 ff.) und der Zweckbindung (Randziffern 76 ff.). itonex AG stellt die auf www.moneyhouse.ch zugänglich gemachten Daten zu folgenden Zwe- cken zur Verfügung:  Prüfung der Kreditwürdigkeit  Inkasso  Verifizierung von Angaben im Allgemeinen  Bereinigung von Datenbeständen  Abfrage von Wohnungsinseraten  Abfrage von Stelleninseraten  Abfrage von Bauinformationen  Werbung mittels Verkauf von Adresslisten, Unterstützung von Werbekampagnen, Platzierung von Werbung für Drittunternehmen auf der Plattform. Gemäss diesen Erwägungen bearbeitet itonex AG Personendaten zu verschiedensten Zwecken.

8 Dies geschieht mittels Verarbeitung von Todesanzeigen, Nachlasspublikationen im SHAB oder in Amtsblättern und Meldungen von Nutzern.

11/32

Grundsatz der Verhältnismässigkeit nach Artikel 4 Abs. 2 DSG Die Bearbeitung von Personendaten hat sich am Grundsatz der Verhältnismässigkeit auszurich- ten (Art. 4 Abs. 2 DSG). Verhältnismässigkeit bedeutet, dass ein Datenbearbeiter nur diejenigen Daten bearbeiten darf, die zur Erreichung eines bestimmten Zwecks objektiv geeignet und tat- sächlich erforderlich sind, und dass die Nachteile, die mit der Bearbeitung verbunden sind, in ei- nem angemessenen Verhältnis zu den Vorteilen stehen müssen. Die Datenbearbeitung muss für die betroffene Person sowohl hinsichtlich ihres Zwecks als auch hinsichtlich ihrer Mittel (d.h. ver- hältnismässig in engerem Sinn) zumutbar sein. Dazu muss geprüft werden, ob zwischen dem Bearbeitungszweck und einer im Hinblick darauf nötigen (d.h. durch die Art und Weise der Bear- beitung gegebenenfalls bewirkte) Persönlichkeitsbeeinträchtigung ein vernünftiges Verhältnis be- steht (Botschaft DSG BBl 1988 II 450). Es hat also eine Abwägung von Zweck und Wirkung des Eingriffs stattzufinden und es ist zu prüfen, ob nicht ein milderes Mittel ebenso zum Ziel führt. Die Prüfung der Verhältnismässigkeit verlangt eine Gesamtwürdigung aller Umstände. Im Folgenden wird die Verhältnismässigkeit der Datenbearbeitung in inhaltlicher sowie zeitlicher Hinsicht untersucht. Verhältnismässige Datenbearbeitung durch itonex AG in inhaltlicher Hinsicht Eine Datenbearbeitung ist dann verhältnismässig, wenn sie inhaltlich auf das absolut Notwendige beschränkt wird, um ein bestimmtes Ziel zu erreichen. Die Verhältnismässigkeit fordert in inhaltli- cher Hinsicht einen möglichst schonenden Umgang mit Personendaten. Dies bedingt auch, dass keine für den verfolgten Zweck unbenötigten Überschussinformationen anfallen dürfen. Ebenso ist es unzulässig, Personendaten auf Vorrat zu erheben, sofern der damit verfolgte Zweck dies nicht unabdingbar erfordert (BGE 125 II 473 E. 4.b S. 476). In einem ersten Schritt muss demzufolge der von itonex AG verfolgte Zweck eruiert werden. itonex AG stellt die auf www.moneyhouse.ch zugänglich gemachten Daten ihren Nutzern zu fol- genden Zwecken zur Verfügung:  Prüfung der Kreditwürdigkeit  Inkasso  Verifizierung von Angaben im Allgemeinen  Bereinigung von Datenbeständen  Abfrage von Wohnungsinseraten  Abfrage von Stelleninseraten  Abfrage von Bauinformationen  Werbung mittels Verkauf von Adresslisten, Unterstützung von Werbekampagnen, Platzierung von Werbung für Drittunternehmen auf der Plattform. itonex AG hat zudem geäussert, dass geplant sei, in Zukunft weitere Dienstleistungen anzubieten und dass der Zweckkatalog in diesem Sinne erweitert werden würde. Die Auflistung all dieser Zwecke ist schon zum heutigen Zeitpunkt mit dem Prinzip der Verhältnismässigkeit in inhaltlicher Hinsicht nicht vereinbar. Die Plattform www.moneyhouse.ch hat sich zu einer allgemeinen Infor- mationsplattform entwickelt. Die vielen damit verfolgten Zwecke beschränken die inhaltliche Be- arbeitung von Daten nicht, wie dies bei der Verfolgung nur eines Zweckes beispielsweise der Fall ist. Ein schonender Umgang mit Personendaten kann mit dieser breiten Zweckverfolgung nicht erreicht werden, anfallende Überschussinformationen können dem allgemeinen Zweck „Informa- tion“ zugeordnet werden. Die einzelnen Daten, die bekanntgegeben werden, sind unter Ziffer 5.1.-5.3. der Sachverhalts- feststellung detailliert erläutert worden. Es sprengt den Rahmen dieses Schlussberichtes, alle möglichen Datenbekanntgaben im Einzelnen zu schildern. Um die Problematik der inhaltlichen Verhältnismässigkeit näher zu beschreiben, führt dies der EDÖB an dieser Stelle am Beispiel ei-

12/32

nes Premium-Users aus, der sich anhand eines auf der Plattform www.moneyhouse.ch veröffent- lichten Baugesuches über einen Bauherren informieren will. Folgende Personendaten können von ihm über den Bauherren abgerufen werden:  Titel des Bauobjekts, genaue Adresse des Bauobjekts, genaue Adresse des Bauherren, An- gabe des Architekten, volle Beschreibung des Projekts. (Diese Daten werden über einen Partner von itonex AG zugänglich gemacht.)  Über die allgemein zugängliche Personensuche können zudem: Name, Vorname, Strasse, Postleitzahl, Wohnort, Alter, genaues Geburtsdatum, Beruf, Haushalt und Nachbarn, alte Wohnorte, Angaben zur Wohnsituation (Verlinkung auf Luftaufnahmen- und Google Street- viewbilder der bewohnten Liegenschaft, Angaben zu Gebäudetyp, Anzahl Haushalte im Ge- bäude, Baukosten, Bauperiode und Anzahl Etagen) abgerufen werden.  Ist der Bauherr als Inhaber einer Firma im Handelsregister eingetragen, so kann der Premium- User auch die Firmensuche einsetzen. Es werden Angaben über aktuelle und frühere Verwal- tungsräte, Zeichnungsberechtigungen, die Revisionsstelle und das geschäftliche Netzwerk bekannt gegeben. Diese Daten können abgerufen werden, ohne damit einen bestimmten Zweck zu verfolgen, was dem Prinzip der Verhältnismässigkeit in inhaltlicher Hinsicht widerspricht. Ist der Premium-User bspw. ein Handwerker, der dem Bauherrn eine Offerte stellen möchte, so kann davon ausgegan- gen werden, dass er dafür keine detaillierten Informationen über die privaten Lebensumstände des Bauherren benötigt. Handelsregisterangaben, Angaben des Baugesuches und aktuelle Ad- resse, an die die Offerte gerichtet werden kann, würden das Informationsbedürfnis des Handwer- kers abdecken, weitere Datenbekanntgaben entsprechen nicht den Vorgaben der Verhältnismäs- sigkeit in inhaltlicher Hinsicht gemäss Artikel 4 Abs. 2 DSG. Ist die abrufende Person aber ein Journalist, der einen Artikel über die lokalen Bautätigkeiten eines Unternehmers und dessen Ver- flechtung mit anderen Unternehmen und Behörden schreibt, so könnte die Angabe all dieser In- formationen dafür notwendig sein. itonex AG stellt diese Informationen aber allen Premium- Usern, unabhängig eines individuell damit verfolgten Zweckes, zur Verfügung. Die beschriebene Problematik verschärft sich zudem, wenn der Premium-User über die Zusatz- dienste Steuerunterlagen, Betreibungsregisterauszüge und Bonitätsauskünfte über den Bauher- ren verlangt. Gleichermassen können sich auch Vermieter über zukünftige Mieter, Banken über zukünftige Kunden und die Verwaltung über Bürger informieren. Zwar überprüft itonex AG zukünftige Premium-User während des Abschlusses eines Abonne- ments in gewisser Hinsicht: Das Abonnement wird nur zu geschäftlichen Zwecken nach Überprü- fung der hinterlegten Angaben, Akzept der allgemeinen Geschäfts- und Nutzungsbedingungen durch den Abonnenten und nach erfolgter Kontaktnahme durch den Kundendienst von itonex AG, während der nach Angaben von itonex AG auf die einzuhaltenden Nutzungsbedingungen hinge- wiesen werde, frei geschaltet. Die oben beschriebenen Beispiele von Datenbekanntgaben über die Plattform www.moneyhouse.ch zu unterschiedlichen Zwecken sind aber möglich und gemäss den von itonex AG gestellten Bedingungen und Überprüfungen auch zulässig. Die Datenbearbeitungen von itonex AG verstossen infolgedessen in inhaltlicher Hinsicht gegen das Prinzip der Verhältnismässigkeit nach Artikel 4 Abs. 2 DSG. Verhältnismässige Datenbearbeitung in inhaltlicher Hinsicht durch die Nutzer der Plattform www.moneyhouse.ch Bezüglich der möglichen Datenbekanntgaben an die Nutzer wird auf die Ausführungen unter Randziffern 54 ff. verwiesen. itonex AG informiert den Nutzer und betroffene Personen nicht zentral an einer Stelle über die verschiedenen Daten, die im Rahmen der angebotenen Dienstleistungen bearbeitet und bekannt gegeben werden. Der unregistrierte Nutzer, der über die Google-Suche Informationen über eine

13/32

bestimmte Firma sucht, entdeckt ohne grösseren Aufwand die Plattform www.moneyhouse.ch, die anscheinend über die gesuchten Angaben verfügt. Die Informationen, die er auf der Einstiegsseite zum gesuchten Unternehmen findet, stammen aus dem Handelsregister oder den SHAB (Schweizerisches Handelsamtsblatt) Publikationen. Er wird auf der Einstiegsseite aufmerksam gemacht, dass er noch mehr Informationen erhalten könnte, bspw. die folgende Meldung: „Zahlweise der Firma xy hat sich verändert. Dies geht aus den neuesten Daten hervor, die moneyhouse vorliegen. Die Veränderung kann sowohl positiv als auch negativer Art sein (schnellere oder schlechtere Zahlweise). Mehr erfahren über die Verän- derung der Zahlweise bei xy“. Will der unregistrierte Nutzer mehr über die Zahlweise des Unternehmens erfahren und wählt den angegebenen Link, so wird er informiert, dass diese Angaben nur Premium-User erfahren und er sich deshalb erst registrieren muss, um die gewünschte Information zu erhalten. Mit der Regist- rierung erhält itonex AG genaue Adresse, Telefonnummer und E-Mailadresse des Nutzers. Er wird seinerseits die gewünschten Informationen über die Zahlweise aber erst erfahren, wenn er zusätzlich ein Premium-Abonnement löst. Aus datenschutzrechtlicher Sicht verleitet diese Werbung mit Angaben zu möglichen, zusätzlich abrufbaren Informationen über Unternehmen oder auch über natürliche Personen ohne Handels- registereintrag9 die Nutzer dazu, weitere Daten abzurufen, die sie zur Erreichung des ursprüng- lich beabsichtigten Zwecks nicht benötigt hätten und letztlich auch zur Verknüpfung dieser Daten zu Persönlichkeitsprofilen. Aus diesen Erläuterungen folgernd schliesst der EDÖB, dass itonex AG Nutzer veranlasst, gegen das Gebot der verhältnismässigen Datenbearbeitung gemäss Artikel 4 Abs. 2 zu verstossen. Verhältnismässigkeit in zeitlicher Hinsicht Das Erfordernis der Verhältnismässigkeit begrenzt die Datenbearbeitung auch in zeitlicher Hin- sicht. Sofern personenbezogene Daten für den verfolgten Zweck nicht mehr gebraucht werden, sind sie zu vernichten oder zu anonymisieren. Dabei ist eine frühest mögliche Löschung oder Anonymisierung der Daten vorzusehen. Im Handelsregister eingetragene Personendaten werden zeitlich unlimitiert gespeichert. Das Handelsregister dient gemäss Artikel 1 der Handelsregisterverordnung (HRegV, SR 221.411) der Konstituierung und der Identifikation von Rechtseinheiten. Es bezweckt die Erfassung und Offen- legung rechtlich relevanter Tatsachen und den Schutz Dritter im Rahmen zwingender Vorschrif- ten des Zivilrechts. Das Bundesverwaltungsgericht hat im Entscheid A-4086/2007 die zeitlich un- limitierte Publikation von Handelsregisterdaten durch itonex AG als datenschutzkonform erachtet, solange die Daten unverändert von einem staatlichen Referenzdatenbestand übernommen und unentgeltlich weiterverbreitet werden. Ein Unterschied, der zwischen dem Handelsregisterdatenangebot von itonex AG und dem über das zentrale Register (www.zefix.ch) der Eidgenossenschaft abrufbaren Daten der kantonalen Handelsregisterämter besteht, betrifft die Voreinstellung der Suchoptionen. Bei zefix.ch wird die standardmässige Voreinstellung der Suchoption auf die aktuell gültigen Einträge beschränkt. Will der Nutzer zudem weitere Informationen betreffend gelöschte Handelsregistereinträge abrufen, muss er diese Option manuell wählen. itonex AG gibt gemäss Voreinstellung der Personen- und der Firmensuche gelöschte und aktuelle Handelsregistereinträge bekannt. Wie das Bundesver- waltungsgericht im erwähnten Entscheid A-4086/2007 ausgeführt hat, nimmt das Interesse des Publikums an Kenntnis von gewissen Handelsregisterpublikationen mit zunehmendem Zeitablauf

9 Beispiel für das Anbieten möglicher weiterer Informationen zu natürlichen Personen ohne Handels- registereintrag: „Damit Sie wissen, wer mit xy zusammenlebt und ob er/sie Kinder hat, müssen Sie Premiummitglied sein. Jetzt Premiumitglied werden“.

14/32

ab.10 Personen, die Handelsregisterinformationen benötigen, suchen demzufolge in erster Linie nach aktuell gültigen Einträgen. Durch itonex AG bearbeitete Daten zu nicht im Handelsregister eingetragenen natürlichen Perso- nen werden bis zur Löschung aufbewahrt. Diese erfolgt auf Verlangen der betroffenen Person. Die zeitliche Aufbewahrungsdauer dieser Einträge wird durch die breite Festlegung der verschie- denen Bearbeitungszwecke der Plattform www.moneyhouse.ch, wie wir oben unter Randziffer 51 ff. ausgeführt haben, nicht limitiert. Nutzer der Plattform www.moneyhouse.ch suchen in erster Linie aktuell gültige Personendaten, nicht gelöschte. Die Voreinstellung der Personen- und Firmensuche von itonex AG, die stan- dardmässig aktuelle und gelöschte Einträge betrifft, verstösst gegen das Prinzip der Verhältnis- mässigkeit in zeitlicher Hinsicht. Auffindbarkeit von Personen- und Firmensuchresultaten der Plattform www.moneyhouse.ch durch Internetsuchmaschinen – Diskussion des Gebots der verhältnismässigen Bearbeitung nach Art. 4 Abs. 2 DSG Mit der Publikation von Daten im Internet verliert ein Dateninhaber die Herrschaft über diese Da- ten. Sie können von anderen Datenbearbeitern kopiert, gespeichert und weiterverbreitet werden. Auch wenn er die Daten auf Begehren der betroffenen Person löscht, ist die Weiterverbreitung der vom Löschungsgesuch betroffenen Daten schon erfolgt. Deshalb muss diese Art der Be- kanntgabe auch unter dem Aspekt der Verhältnismässigkeit geprüft werden. Für unregistrierte Nutzer der Plattform www.moneyhouse.ch sind die im Handelsregister einge- tragenen Personen und Firmen über Suchmaschinen in den Resultaten auffindbar. Es muss dazu im Suchfeld der verwendeten Internetsuchmaschine nur der Firmen- oder Personenname einge- geben werden. itonex AG bietet betroffenen Personen und Firmen zwar an, diese Auffindbarkeit der in www.moneyhouse.ch enthaltenen Angaben durch Suchmaschinen im Internet zu unterbin- den. Bis Firmen oder Personen mit Handelsregistereintrag nicht mehr mittels Internetsuchma- schinen aufgefunden werden können, vergehen aber bis zu sechs Wochen. Die Praxis der Ver- knüpfung der Einträge der Plattform mit Suchmaschinenresultaten wird von anderen Anbietern dieser Branche nicht gemacht. Das Suchmaschinenresultat leitet die Nutzer auf die Plattform, dort wird ihnen angezeigt, dass noch eine Fülle weiterer Informationen, auch zu den privaten Lebensumständen der im Handels- register eingetragenen Personen, vorhanden wäre. Das Bundesverwaltungsgericht hat in seinem Entscheid A-4086/2007 diesbezüglich ausgeführt11, dass geprüft werden müsste, welche konkre- ten Suchmodalitäten in Handelsregisterdatensammlungen mit dem Persönlichkeits- bzw. Daten- schutz vereinbar sind. Diese Überlegungen zur Einschränkung der Personensuche müssten sich sowohl auf private wie auch auf die staatlichen Informationsangebote beziehen. Die über die von der Eidgenossenschaft betriebene Informationsplattform www.zefix.ch publizier- ten kantonalen Handelsregisterinhalte sind für Suchmaschinen nicht auffindbar, wenn im Such- feld nur ein Firmenname eingegeben wird. Es braucht dazu noch die Eingabe des Plattformna- mens zefix, damit eine Liste mit Einträgen gefunden wird, eine direkte Verlinkung zu Personen- einträgen wird nicht gemacht. Über zefix werden zudem keine weiteren Angaben zu den privaten Lebensumständen der eingetragenen Personen publiziert. Die Auffindbarkeit von Einträgen über Suchmaschinen, verbunden mit der auf der verlinkten Ein- stiegsseite enthaltenen Werbebotschaft, dass noch weitere Informationen die privaten Lebens- umstände der im Handelsregister eingetragenen Personen betreffend auffindbar wären, verstösst gegen das Verhältnismässigkeitsprinzip.

10 Erwägung 5.2.5 des Bundesverwaltungsgerichtsentscheids A-4086/2007. 11 Das Bundesverwaltungsgericht konnte diese Frage in der Folge nicht prüfen, da diese nicht durch den Streitgegenstand abgedeckt war.

15/32

Gesamtergebnis Verhältnismässigkeit itonex AG verstösst gemäss diesen Erläuterungen gegen das Bearbeitungsprinzip der Verhält- nismässigkeit nach Artikel 4 Abs. 2 DSG und veranlasst Nutzer der Plattform, sich ebenfalls nicht an den Grundsatz zu halten. Zweckbindung der Datenbearbeitung Personendaten dürfen nur für den Zweck bearbeitet werden, welcher bei der Beschaffung ange- geben worden ist oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Der Verwendungszweck der Daten muss bereits bei der Datenbeschaffung ersicht- lich sein oder sonst feststehen. Ein Sammeln und weiteres Bearbeiten von Daten – quasi auf „Vorrat“ – ohne dass ein bestimmter Zweck feststeht oder angegeben wird, ist unzulässig. Wird vom ursprünglich angegebenen oder aus den Umständen ersichtlichen Zweck abgewichen, sind die betroffenen Personen darüber zu informieren. Die Zweckbindung der Datenbearbeitung ist auch bei Weitergabe der Daten einzuhalten. itonex AG hat Daten von Personen ohne Handelsregistereintrag ursprünglich von Schober AG übernommen. Diese Personendaten (Name, Vorname, Strasse, Wohnort, PLZ, Alter, Geburtsda- tum, Beruf, Haushalt und Nachbarn, frühere Wohnorte und Wohnsituation) wurden von Schober AG zu Werbezwecken erhoben. Unter den Begriff „Werbung“ wird die Verbreitung von Informati- onen in der Öffentlichkeit oder an ausgesuchte Zielgruppen, zwecks Bekanntmachung, Verkaufs- förderung oder Imagepflege von meist gewinnorientierten Unternehmen bzw. deren Produkten und Dienstleistungen oder auch für unentgeltliche, nicht gewinnorientierte Dienste oder Informati- onen, subsumiert. Dieser Zweck wird von itonex AG ebenfalls verfolgt, wobei dies nur einer der vielen Zwecke ist, zu denen Daten im Zusammenhang mit den über die Plattform www.moneyhouse.ch angebotenen Dienstleistungen bearbeitet werden.12 Alle anderen, mit der Veröffentlichung der Daten verfolgten Zwecke stimmen nicht mit dem ursprünglich verfolgten Zweck der von Schober übernommenen Datenfelder überein. Die Daten, die vom Handelsregister oder den SHAB Publikationen übernommen werden, wurden ursprünglich zu Zwecken der Erfassung und Offenlegung rechtlich relevanter Tatsachen und des Schutzes Dritter im Rahmen zwingender Vorschriften des Zivilrechts bearbeitet. Bei der Bearbei- tung dieser Daten zu Zwecken der Werbung, der Bonitätsprüfung und des Inkassos findet eben- falls eine Zweckänderung statt. Die Datenbearbeitungen von itonex AG verstossen folglich gegen das Prinzip der Zweckbindung gemäss Artikel 4 Abs. 3 DSG. Bearbeitung nach Treu und Glauben und transparente Datenbearbeitung Transparenz und Information der betroffenen Personen in Bezug auf die Beschaffung und Ver- wendung der Daten bilden die eigentlichen Eckpfeiler einer Datenbearbeitung (Botschaft DSG BBl 2003 2126). Die Bearbeitung von Personendaten muss nach Treu und Glauben erfolgen (Art. 4 Abs. 2 DSG). Daten sollen nicht in einer Art erhoben und bearbeitet werden, mit der die betroffene Person aus den Umständen heraus nicht rechnen musste und mit der sie nicht einverstanden gewesen wäre. Gegen diesen Grundsatz verstösst beispielsweise derjenige, der Daten nicht offen bearbeitet, ohne dabei gegen eine Rechtsnorm zu verstossen (Botschaft DSG BBl 1988 II 449). Demzufolge muss eine Datenbearbeitung für die betroffenen Personen transparent erfolgen. Dies bedeutet gemäss Art. 4 Abs. 4 DSG, dass für betroffene Personen die Datenbeschaffung, der Zweck der Datenbearbeitung, die Identität des Datenbearbeiters und – bei einer Datenbekanntgabe an Dritte

– die Kategorien von möglichen Datenempfängern erkennbar sein müssen (Botschaft DSG BBl

12 Siehe oben unter Randziffer 48.

16/32

2003 2125). Auch die Beschaffung von Personendaten bei Dritten muss erkennbar sein (Bot- schaft DSG BBl 2003 2126). Die Anforderungen, welche an die Erkennbarkeit gestellt werden, sind nach den Umständen so- wie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen (Bot- schaft DSG BBl 2003 2125). Unter dem Gesichtspunkt der Verhältnismässigkeit ist zu prüfen, in welchem Mass die betroffene Person auf die wesentlichen Rahmenbedingungen der Beschaffung aufmerksam gemacht werden muss, welche Mittel dem Inhaber der Datensammlung zur Verfü- gung stehen, um diese Rahmenbedingungen erkennbar zu machen, und in welchem Umfang von ihm erwartet werden kann, dass er diese Mittel auch einsetzt, namentlich unter Berücksichtigung ihrer Kosten und ihrer Wirksamkeit. Zu berücksichtigen sind ferner die in der Branche oder für die betreffende Art von Transaktionen geltenden Usanzen. Für die einfachen Transaktionen des täg- lichen Lebens, die so geartet sind, dass die Beschaffung und ihr Zweck sowie die Identität des Inhabers der Datensammlung für die betroffene Person auf Anhieb leicht und deutlich erkennbar sind, bringt Art. 4 Abs. 4 DSG keine neue Verpflichtung mit sich. Ist eine Beschaffung auf Grund der Umstände hingegen weniger deutlich erkennbar, muss die betroffene Person umso eher mit angemessenen Mitteln auf die Erhebung und ihre wesentlichen Rahmenbedingungen aufmerk- sam gemacht werden. Im Internet ist ein Hinweis auf dem Eingangsportal in einer genügend sichtbaren Rubrik, der auf weitere Angaben zur Beschaffung und Verwendung der Daten ver- weist, in den meisten Fällen ein einfaches und angemessenes Informationsmittel (Botschaft DSG BBl 2003 2126). Der EDÖB hat in seiner Empfehlung vom 15.11.2012 itonex AG empfohlen13, auf der Website transparent über Bearbeitungszwecke und Datenquellen zu informieren. itonex AG hat diese Empfehlung angenommen und anfänglich umgesetzt. Unter dem Punkt „Partner und Datenquel- len“ wurde insbesondere über die Datenbeschaffung informiert. Diese Informationen wurden zwi- schenzeitlich von der Website entfernt, ohne dass der EDÖB vorgängig darüber informiert wor- den ist. Zum Zeitpunkt der Abfassung dieser Empfehlung sind auf der Website von itonex AG für den Nutzer und betroffene Personen keine zentral abrufbaren Informationen betreffend Daten- quellen mehr zu finden. Auf einzelnen abgerufenen Informationen kann die Datenquelle gefunden werden, dies ist aber dem einfachen Nutzer der Plattform, der sich nicht registriert hat und des- sen Daten von itonex AG bearbeitet und Dritten bekannt gegeben werden, nicht möglich. Auf die Zwecke, zu denen die Daten bearbeitet werden, kann der Nutzer anhand der auf www.moneyhouse.ch angebotenen Dienstleistungen schliessen. Da das Dienstleistungsangebot laufend erweitert wurde, werden auch die Zwecke, zu denen die Stammdaten der auf der Platt- form enthaltenen Personendaten bearbeitet werden, entsprechend erweitert. Für den einfachen Nutzer ist es nicht oder nur unter unverhältnismässigem Aufwand möglich, die gewünschten In- formationen betreffend Zweck der Datenbearbeitung und Datenquellen abzurufen. Die Datenbearbeitungen von itonex AG verstossen demzufolge gegen das Prinzip von Treu und Glauben und das Prinzip der transparenten Datenbearbeitung gemäss Artikel 4 Abs. 2 und 4 DSG. Datenrichtigkeit Jeder Datenbearbeiter hat sich über die Richtigkeit der Personendaten zu vergewissern (Art. 5 Abs. 1 DSG). Vergewissern bedeutet, dass die Richtigkeit von Personendaten abzuklären ist. Zudem hat der Datenbearbeiter alle angemessenen Massnahmen zu treffen, damit die Daten be-

13 Die Empfehlung lautete: „4. itonex AG informiert registrierte und unregistrierte Besucher der Website www.moneyhouse.ch gleichermassen vollständig, aktuell und korrekt über:

a. Zwecke der vorgenommenen Datenbearbeitungen;

b. alle Angebote, für die die Adresse benutzt wird;

c. alle Datenquellen, von denen die Daten direkt bezogen werden;

d. Auskunfts- und Berichtigungsrecht.“

17/32

richtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbei- tung unrichtig oder unvollständig sind. Werden unrichtige Daten bearbeitet, so kann dies zu er- heblichen Beeinträchtigungen für die betroffenen Personen führen. Dabei können an sich gering- fügige Fehler bereits bedeutsame Auswirkungen haben (Botschaft DSG BBl 1988 II 450). Der Umfang dieser Vergewisserungspflicht hängt von den Umständen des Einzelfalles ab, so von der objektiv gegebenen Gefahr einer (teilweisen) Unrichtigkeit von Daten, der mit der Bearbeitung verbundenen Schwere der möglichen Persönlichkeitsverletzung und dem Kreis der Zugangsbe- rechtigung resp. dem Umfang der Bekanntgabe.14 Das Bearbeitungsprinzip der Richtigkeit der Daten ist befolgt, wenn die bearbeiteten Daten auf korrekte, aktuelle und objektive Art und Weise den mit der betroffenen Person verbundenen Sachverhalt wiederspiegeln.15 Bis 2012 beschränkte sich das Dienstleistungsangebot von itonex AG auf juristische Personen. Anschliessend übernahm itonex AG eine Datensammlung mit Personendaten von natürlichen Personen von Schober AG. Dies wurde vom EDÖB im Verlauf der Sachverhaltsabklärung betref- fend Veröffentlichung von gesperrten Adressen im Internet festgestellt. Die Datenquellen für die Datensammlung der im Handelsregister eingetragenen Personen und der natürlichen Personen erweisen sich bezüglich Aktualität und Richtigkeit nicht als gleich zuverlässig, deshalb wird der Grundsatz der Datenrichtigkeit bezogen auf die beiden Datenquellen im Folgenden gesondert beurteilt. Datenrichtigkeit der vom Handelsregister oder dem SHAB entnommenen Informa- tionen Dieser Teil der Datensammlung setzt sich aus Angaben des Handelsregisters und der im SHAB- Abonnement bezogenen Informationen zusammen. Die Handelsregisterführer sind von Gesetzes wegen verpflichtet, die Einträge zu prüfen, ebenfalls sind eingetragene Personen zur Meldung von Änderungen verpflichtet. Die Datenqualität bezüglich Richtigkeit war seit Beginn der in die- sem Bereich erbrachten Dienstleistungen aufgrund der zuverlässigen Datenquellen hoch. Probleme mit der Datenrichtigkeit ergeben sich in diesem Bereich vor allem mit der Darstellung des Netzwerks von im Handelsregister eingetragenen Personen. Der Duden definiert ein Netz- werk folgendermassen: „Gruppe von Menschen, die durch gemeinsame Ansichten, Interessen oder Ähnliches verbunden sind.“ Es wird weiter ausgeführt, dass allgemein davon ausgegangen wird, dass Mitglieder eines Netzwerkes einander im Bedarfsfall unterstützen.16 Die Darstellung des Netzwerkes von juristischen oder natürlichen Personen mit HR-Eintrag ba- siert auf den Meldungen im Handelsregister und den SHAB Publikationen. Die einzelnen Informa- tionen sind an und für sich zwar richtig, spiegeln aber nicht die Netzwerke im Sinne der beschrie- benen Definition. Es werden auch schon lange gelöste Beziehungen angezeigt. Im Folgenden wird die Problematik beispielhaft erläutert. Verlässt eine unterschriftsberechtigte Person ein Un- ternehmen A und geht zu einem anderen Unternehmen B, wird dies als Teil des Netzwerks des Unternehmens A angezeigt. Es kann aber der Fall sein, dass sich die Person bspw. aus ethi- schen Gründen vom ehemaligen Arbeitgeber abgewendet hat und nichts mehr mit Unternehmen A zu tun haben will. Oder Unternehmen A kündigt der Person wegen einer begangenen Straftat. Unternehmen A ist in diesen Fällen nicht als Teil des Netzwerkes des Unternehmens B zu qualifi- zieren. Vermeintliche Beziehungen bestehen nicht oder willentlich nicht mehr, mit der Anzeige dieser vermeintlichen Beziehungen als Netzwerk wird ein falsches Bild vermittelt. Die zeitlich unbeschränkte Anzeige von Verbindungen zwischen Unternehmen und natürlichen Personen aufgrund von Handelsregistereinträgen kann nicht als Netzwerk in vorher definiertem

14 Datenschutzrecht, Stämpfliverlag, 2011, hier Astrid Epiney in Note 48 zu §9 Allgemeine Grundsät- ze. 15 Protection des données, Stämpfliverlag, 2011, Philippe Meier in Note 745 zu § 4, Les grands prin- cipes. 16 http://www.duden.de/rechtschreibung/Netzwerk#Bedeutung4, zuletzt abgerufen am 14.08.2014.

18/32

Sinne bezeichnet werden, da dies ein falsches Bild vermittelt und widerspricht deshalb dem Prin- zip der Datenrichtigkeit. Berichtigung von Daten, die aus dem Handelsregister oder dem SHAB stammen Der Datenbearbeiter hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung un- richtig oder unvollständig sind. Wird zu einem Unternehmen eine Abfrage gemacht, so ist auf der erteilten Auskunft unten ein Disclaimer angefügt. itonex AG bietet an dieser Stelle eine Meldemöglichkeit betreffend unrichti- ge Daten via E-Mail an. Diese Meldungen werden anhand eines vordefinierten Prozesses ge- prüft. Stimmen die vorgebrachten Berichtigungsbegehren nicht mit dem Handelsregistereintrag überein, macht itonex AG die meldende Person darauf aufmerksam, dass zuerst der Handelsre- gistereintrag geändert werden muss. Grundsätzlich kann die Berichtigung auch schriftlich per Post abgewickelt werden. Betroffene Personen können falsche, d.h. aktuell nicht gültige Daten, die aus dem Handelsregis- ter oder den SHAB Publikationen stammen gemäss den datenschutzrechtlichen Vorgaben be- richtigen lassen. Datenrichtigkeit der von Schober AG übernommenen Daten Betreffend allgemeiner Ausführungen zur Datenrichtigkeit wird auf Randziffern 86-87 verwiesen. Datenquelle für die Datensammlung ist das Unternehmen Schober AG. Im ursprünglichen Ver- trag wurde die Haftung für die Richtigkeit der Daten ausdrücklich wegbedungen. Anhand eigener vorgenommener Untersuchungen und eingegangener Meldungen von betroffenen Personen werden bezüglich dieser Daten häufig Unstimmigkeiten festgestellt. Oft existieren mehrere Ad- ressen einer Person (die Wohnorte sind nicht mit einer Person verknüpft, sondern werden einzeln aufgeführt) oder es sind nicht alle Personen eines Haushaltes aufgeführt (bspw. wurden neu ge- gründete Haushalte nicht korrekt zusammengeführt) oder es sind falsche Altersangaben enthal- ten, etc. Weiter stellte der EDÖB fest, dass Haushaltsmitglieder manchmal falsch verknüpft wer- den. Es werden zwar je verschiedene Adressen festgestellt, der Haushalt wird aber an einer Ad- resse gebildet. Auf Auszügen können auch zwei verschiedene Geburtsdaten zu einer Person er- scheinen, da anscheinend kein Abgleich zwischen den Daten der Quelle CRIF und den itonex AG eigenen Daten gemacht wird. Die Verknüpfung von falschen mit richtigen Daten ist aus daten- schutzrechtlicher Sicht unzulässig. Der EDÖB hat bei der Erbringung seiner Beratungsdienstleistungen zudem festgestellt, dass einige verstorbene Personen in der Datensammlung geführt werden. Laut Auskunft von itonex AG wird die Datenbank diesbezüglich laufend aktualisiert.17 Zwar endet der Persönlichkeitsschutz in der Regel mit dem Tod der betreffenden Person. Unter dem Aspekt der Bonitätsprüfung macht die Führung von verstorbenen Personen in einer Datensammlung keinen Sinn. Verwandte, die Einträge von verstorbenen Familienangehörigen löschen lassen wollten, sahen sich zudem mit ihrer Meinung nach überhöhten Anforderungen an den Nachweis des Todes konfrontiert. Die Bonität von Kindern wird von CRIF durchgängig als kritisch (orangene Ampel) bewertet. Wie wir auch oben stehend unter Randziffern 39 ff. geschildert haben, ist dies wohl darauf zurückzu- führen, dass Kinder nicht als handlungsfähig eingestuft werden, und sie demgemäss ohne Zu- stimmung der Eltern keine Verträge rechtsgültig abschliessen können. Im Bereich der Bonitäts- auskünfte kann es sinnvoll sein, Personendaten von Kindern in einer Datensammlung zu führen. Anbieter von elektronisch zugänglichen Kaufangeboten können bspw. vor Vertragsschluss über- prüfen, ob die betreffende Person dazu aus rechtlicher Sicht befugt ist. Ebenso können Anbieter

17 Dies geschieht mittels Verarbeitung von Todesanzeigen, Nachlasspublikationen im SHAB oder in Amtsblättern und Meldungen von Nutzern.

19/32

überprüfen, ob verschuldete Eltern versuchen, Verträge auf den Namen ihrer Kinder abzuschlies- sen. Der EDÖB vertritt bisher den Standpunkt, dass unter der Berücksichtigung des Bearbei- tungsprinzips der Richtigkeit die fehlende Handlungsfähigkeit nicht mit einer schlechteren Ein- schätzung der Bonität gleich gesetzt werden darf. So liegt auf der Hand, dass Kinder mit grossem Vermögen zwar ein gutes Bonitätsresultat erhalten müssten, deswegen ohne Einwilligung der gesetzlichen Vertreter trotzdem keine Verträge abschliessen können. itonex AG verstösst demzufolge bei der Bearbeitung von Personendaten von natürlichen Perso- nen ohne Handelsregistereintrag, die ursprünglich von Schober AG übernommen wurden, gegen das Prinzip der Richtigkeit gemäss Artikel 5 DSG. Datenberichtigung von nicht im Handelsregister eingetragenen Personendaten Der Datenbearbeiter hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung un- richtig oder unvollständig sind. Bei der Einholung einer allgemeinen Personenauskunft erscheint im Gegensatz zum unter Rand- ziffer 94 geschilderten Sachverhalt kein Disclaimer mit Angabe einer Berichtigungsmöglichkeit. Ebenfalls sind unter dem Menupunkt Datenschutz keine entsprechenden Hinweise enthalten, wie falsche Daten von Personen, die nicht im Handelsregister eingetragen sind, berichtigt werden können. itonex AG hat aber intern einen Prozess festgelegt, wie Personendaten geändert werden können. Angesichts der vielen falsch publizierten Personendaten, die bearbeitet werden, und der 300‘000 registrierten Benutzer, die die Plattform www.moneyhouse.ch pro Monat besuchen, ist eine zent- ral zur Verfügung gestellte Berichtigungsmöglichkeit notwendig. Die bestehenden Berichtigungsmöglichkeiten für nicht im Handelsregister eingetragene Personen sind nicht genügend transparent kommuniziert und sind deshalb für dieselben nicht einfach zu- gänglich. Gesamtergebnis Datenrichtigkeit Die zeitlich unbeschränkte Anzeige von Verbindungen zwischen Unternehmen und natürlichen Personen aufgrund von Handelsregistereinträgen kann nicht als Netzwerk bezeichnet werden, da dies ein falsches Bild vermittelt und deshalb dem Prinzip der Datenrichtigkeit widerspricht. Betroffene Personen können falsche, d.h. aktuell nicht gültige Daten, die aus dem Handelsregis- ter oder den SHAB Publikationen stammen, gemäss den datenschutzrechtlichen Vorgaben be- richtigen lassen. itonex AG verstösst bei der Bearbeitung von Personendaten von nicht im Handelsregister einge- tragenen natürlichen Personen gegen das Prinzip der Richtigkeit gemäss Artikel 5 DSG. Die bestehenden Berichtigungsmöglichkeiten für nicht im Handelsregister eingetragene Personen sind nicht genügend transparent kommuniziert und sind deshalb für dieselben nicht einfach zu- gänglich. Datensicherheit Gemäss Art. 7 Abs. 1 DSG müssen Personendaten durch angemessene technische und organi- satorische Massnahmen gegen unbefugtes Bearbeiten gesichert werden. Konkretisiert werden diese Anforderungen in Art. 8 ff. der Verordnung zum Bundesgesetz über den Datenschutz vom

14. Juni 1993 (VDSG; SR 235.11). Zu gewährleisten sind insbesondere die Vertraulichkeit, die Verfügbarkeit sowie die Integrität der Personendaten. Diese Anforderungen sind dann nicht mehr gewährleistet, wenn ein unberechtigter Dritter auf die Daten zugreifen oder diese manipulieren

20/32

könnte. Die Datensicherheit liegt in der Verantwortung derjenigen Stelle, welche die Datenherr- schaft über die Personendaten innehat. itonex AG hat dem EDÖB mit Schreiben vom 27. Juni 2013 ein IT-Sicherheitskonzept zugestellt. Dieses trägt die Versionsnummer 1.8 und ist mit „05.07.2013“ datiert. Es stellt eine Erweiterung der Version 1.2 dar, die dem EDÖB im Jahr 2012 unterbreitet wurde. Die im Folgenden erwähn- ten Punkte basieren hauptsächlich auf den von itonex AG abgegebenen Dokumenten und Aus- sagen. Die bearbeiteten Daten befinden sich physisch auf Servern am Standort Zürich. Aus Verfügbar- keitsgründen findet eine „Co Location“ (Spiegelung) bei einem externen Dienstleister in Zürich statt. Für die drei Datenbanken MH, MHLOG und SHAB ist je ein Backup-Konzept vorgesehen. Das IT-Sicherheitskonzept enthält einen Gefahrenkatalog mit knapp 100 technischen und organi- satorischen Massnahmen. Für die beiden Standorte werden die potenziellen Gefahren aufgelis- tet, die Eintrittswahrscheinlichkeit (hoch/mittel/niedrig) und die Schadenshöhe (hoch/mittel/niedrig) geschätzt und die getroffenen Massnahmen erwähnt. itonex AG gibt an, den Gefahrenkatalog in regelmässigen Abständen zu aktualisieren und den veränderten Gegebenhei- ten anzupassen. Sowohl die Büroräumlichkeiten in Rotkreuz als auch diejenigen des externen Dienstleisters in Zürich sind mittels Fingerprint-Scanner gegen unbefugten physischen Zutritt geschützt. Die Ser- ver sind zusätzlich mit einem Schliesssystem gesichert. Der Remote Zugriff auf die Server ist rol- lenbasiert je nach Berechtigung der Mitarbeitenden geregelt. Zugriff auf die Datenbanken selber hat der Systemadministrator, die Entwickler können auf die für Ihre Aufgabenerfüllung notwendi- gen Angaben in den Datenbanken zugreifen. Beim Abschluss von Abonnementen werden die vom zukünftigen Benutzer gemachten Angaben überprüft. Zahlenmässig missbräuchliche Zugriffe werden unterbunden. Fallen ungewöhnliche Zugriffe auf, wird der Nutzer gebeten, ein Captcha einzugeben. Damit sollen maschinengeführte Zugriffe unterbunden werden. Zudem werden die von den Nutzern getätigten Abfragen geloggt. Die Überprüfung der Datensicherheit ist vorliegend kein Hauptziel der vom EDÖB durchgeführten Sachverhaltsabklärung. itonex AG hat zudem ein grosses Eigeninteresse, die Daten unbefugten Nutzern nicht zugänglich zu machen. Der EDÖB geht gestützt auf die erhaltene Dokumentation und Informationen davon aus, dass die Anforderungen an die Datensicherheit gemäss Artikel 7 DSG von itonex AG eingehalten werden. Gesamtergebnis Bearbeitungsgrundsätze Der EDÖB stellt fest, dass itonex AG Personendaten entgegen den Grundsätzen der Artikel 4 und 5 DSG bearbeitet. Im Folgenden prüft der EDÖB, ob die Persönlichkeit der betroffenen Personen verletzt wird. Persönlichkeitsverletzung gemäss Artikel 12 DSG Wer im privaten Bereich Personendaten bearbeitet, darf nach Art. 12 Abs. 1 DSG die Persönlich- keit der betroffenen Personen nicht widerrechtlich verletzen. Gemäss Art. 12 Abs. 2 DSG darf er insbesondere nicht:

a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bear- beiten;

b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bear- beiten;

c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlich- keitsprofile Dritten bekannt geben.

21/32

In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten all- gemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Art. 12 Abs. 3 DSG). Im Folgenden werden die Vorgaben gemäss Art. 12 Abs. 2 lit. a,b,c DSG geprüft. Persönlichkeitsverletzung wegen der Bearbeitung entgegen den Grundsätzen von Artikel 4,5 Abs. 1 und 7 Abs. 1 DSG itonex AG darf Personendaten nicht entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 DSG bearbeiten. In Randziffern 46 ff. hat der EDÖB ausgeführt, dass itonex AG:

1. gegen das Prinzip der Verhältnismässigkeit, der Zweckeinhaltung, von Treu und Glauben und der Transparenz nach Artikel 4 DSG und

2. gegen das Prinzip der Richtigkeit nach Artikel 5 Abs.1 DSG verstösst. itonex AG bearbeitet Personendaten entgegen den Grundsätzen von Artikel 4 und 5 Abs. 1 DSG und verletzt dadurch die Persönlichkeit der betroffenen Personen. Es muss daher weiter geprüft werden, ob dafür Rechtfertigungsgründe bestehen. Persönlichkeitsverletzung wegen der Bearbeitung gegen den ausdrücklichen Willen der be- troffenen Person itonex AG darf gemäss Artikel 12. Abs. 2 lit. b DSG Daten einer Person ohne Rechtfertigungs- grund nicht gegen deren ausdrücklichen Willen bearbeiten. Eine betroffene Person kann gestützt auf Artikel 12 Abs. 2 lit. b DSG die gegenwärtige Bearbei- tung ihrer Daten und jede weitere zukünftige Bearbeitung verbieten. Der betroffenen Person soll mit dieser Bestimmung ermöglicht werden, die Bearbeitung der sie betreffenden Personendaten zu kontrollieren, auch wenn diese vielleicht noch keine Persönlichkeitsverletzung darstellt. Die Widerspruchserklärung kann formlos und konkludent erfolgen. Sie ist eine Gestaltungserklärung und kann jederzeit und voraussetzungslos abgegeben werden. Untersagt eine betroffene Person gestützt auf Artikel 12 Abs. 2 lit. b DSG die weitere Bearbeitung ihrer Daten, so stellt jede weitere Bearbeitung eine Persönlichkeitsverletzung dar, sofern kein Rechtfertigungsgrund nach Artikel 13 DSG vorliegt. Inwieweit für die Bearbeitung von Handelsregisterdaten gegen den Willen betroffener Personen durch itonex AG Rechtfertigungsgründe geltend gemacht werden können, wird unter Randziffern 130 ff. unten stehend ausgeführt. An dieser Stelle muss zusätzlich das in der Ergänzung des Sachverhaltes in Randziffern 8 ff. beschriebene Problem des Wiederzugänglichmachens von gelöschten Einträgen diskutiert wer- den. Seit dem Jahr 2012 haben mehrere hundert Personen die Löschung ihrer Daten bei itonex AG beantragt. Der EDÖB hatte in seiner Empfehlung vom 15. November 2012 verlangt, dass itonex AG auf Gesuch der betroffenen Person innerhalb eines Arbeitstages alle Daten, die in der Datensammlung über sie vorhanden sind, löscht. itonex AG hatte diese Empfehlung angenom- men und der EDÖB beriet das Unternehmen in der Umsetzung. Dabei erwähnte itonex AG, dass zu einem späteren Zeitpunkt erwogen werde, einen Rechtfertigungsgrund, bspw. das überwie- gende Interesse der bearbeitenden Person gemäss Artikel 13 Abs. 2 lit. c DSG, geltend zu ma- chen. Der EDÖB qualifiziert das Stellen eines Gesuches auf Löschung als Widerspruch der betroffenen Person im Sinne von Artikel 12 lit. b DSG. Sollte itonex AG dem Gesuch nicht entsprechen, so muss das Unternehmen der betroffenen Person mitteilen, gestützt auf welchen Rechtfertigungs- grund die Daten gegen den Willen der betroffenen Person bearbeitet werden. Das Unternehmen kann nicht den Löschungsgesuchen ohne Geltendmachung eines Rechtfertigungsgrundes ent-

22/32

sprechen, die Löschung bestätigen und zu einem späteren Zeitpunkt dieselben Daten wieder zu- gänglich machen. Zudem sind die gelöschten Adressdaten auch für Personen zugänglich, die kein Bonitätsabon- nement abgeschlossen haben. itonex AG bearbeitet gemäss diesen Erläuterungen Personendaten gegen den ausdrücklichen Willen von betroffenen Personen und verletzt deren Persönlichkeit. Auch in diesem Fall muss ge- prüft werden, ob Rechtfertigungsgründe geltend gemacht werden können. Persönlichkeitsverletzung wegen der Bekanntgabe von Persönlichkeitsprofilen an Dritte Der Datenbearbeiter verletzt die Persönlichkeit von betroffenen Personen widerrechtlich, wenn er gemäss Artikel 12 Abs. 2 lit. c DSG ohne Rechtfertigungsgrund besonders schützenswerte Per- sonendaten oder Persönlichkeitsprofile Dritten bekannt gibt. Wie unter Randziffern 26 ff. beschrieben worden ist, bearbeitet itonex AG Persönlichkeitsprofile und gibt diese Dritten bekannt. itonex AG verletzt die Persönlichkeit von betroffenen Personen durch die Bekanntgabe von Per- sönlichkeitsprofilen. Im Folgenden muss geprüft werden, ob Rechtfertigungsgründe für die Persönlichkeitsverletzung vorliegen. Rechtfertigungsgründe gemäss Artikel 13 DSG Rechtfertigungsgründe sind gemäss Artikel 13 DSG die Einwilligung des Verletzten, ein überwie- gendes privates oder öffentliches Interesse oder gesetzliche Vorschriften. Das Bundesgericht hat in seinem Entscheid BGE 136 II 508 in E.5.2.4 zu den Rechtfertigungs- gründen betreffend Art. 12 Abs. 2 lit. a DSG Folgendes festgehalten: Eine strikt systematische Auslegung, wonach lediglich bei lit. b und c, nicht aber bei lit. a von Art. 12 Abs. 2 DSG das Gel- tendmachen eines Rechtfertigungsgrunds zulässig sein soll, erweist sich als verfehlt. Art. 12 Abs. 2 lit. a DSG ist daher so auszulegen, dass eine Rechtfertigung der Bearbeitung von Perso- nendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG zwar nicht generell ausgeschlossen ist, dass Rechtfertigungsgründe im konkreten Fall aber nur mit grosser Zurückhaltung bejaht werden können. Mit Blick auf diesen Schlussbericht bedeutet dies, dass – falls itonex AG Daten entgegen den Grundsätzen von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG bearbeitet – Rechtfertigungsgründe geprüft werden, deren Vorliegen aber nur mit Zurückhaltung anzunehmen ist. Wie wir oben unter Randziffern 120 ff. und 127 ff. erläutert haben, muss vorliegend ebenfalls ana- lysiert werden, ob Rechtfertigungsgründe für die Bearbeitung von Personendaten gegen den ausdrücklichen Willen der betroffenen Person (Art. 12 Abs. lit. b DSG) und die Bekanntgabe von Persönlichkeitsprofilen an Dritte vorliegen. Der EDÖB prüft im Folgenden das Vorliegen von Rechtfertigungsgründen für die Bearbeitung und Publikation von Handelsregisterdaten, von Bonitätsauskünften und allen anderen Datenbe- arbeitungen. Rechtfertigungsgründe für die Bearbeitung und Publikation von Handelsregisterdaten Die Publikation von im Handelsregister eingetragenen Daten durch itonex AG wird laut Entscheid A-4086/2007 des Bundesverwaltungsgerichts durch ein öffentliches Interesse an einer möglichst leichten Zugänglichkeit zum Handelsregisterinhalt gerechtfertigt. Das Bundesverwaltungsgericht hat die Voraussetzungen dazu festgelegt, dass die Inhalte des Handelsregisters durch private Anbieter kostenlos und inhaltlich unverändert bekanntgegeben werden müssen.

23/32

Grundsätzlich hat der EDÖB vier datenschutzrechtlich problematische Aspekte bei der Bearbei- tung und Publikation von Handelsregister- und SHAB-Daten durch itonex AG festgestellt: itonex AG stellt Daten, die aus dem HR oder SHAB stammen, in einem falschen Bild dar (Bezeichnung von gelöschten Daten als Beziehungen eines Netzwerks), macht Einträge über die Resultate von Suchmaschinen zugänglich, bezieht bei der Einstellung der Firmensuche gelöschte und aktive Einträge mit ein und verknüpft die Einträge mit anderen Daten. itonex AG publiziert, wie unter Randziffern 90 ff. (Richtigkeit) geschildert, gelöschte Handelsregis- terdaten unter der Bezeichnung Netzwerk. Damit werden ursprünglich aus dem Handelsregister stammende Daten bildlich in einen anderen Bezug gestellt und dadurch inhaltlich verändert. Die Verbreitung inhaltlich veränderter Daten ist nicht mehr durch das öffentliche Interesse an der Publizität des Handelsregisters gedeckt.18 Zudem macht itonex AG Handelsregisterdaten über das Resultat von Suchmaschinen zugänglich und verletzt damit den Bearbeitungsgrundsatz der Verhältnismässigkeit (siehe Randziffern 70 ff.). Das Bundesverwaltungsgericht hat in Erwägung 5.2.8 des erwähnten Entscheids die Frage der Rechtmässigkeit der Auffindbarkeit über Suchmaschinen aufgeworfen, entsprechende Erwägun- gen dazu aber aus prozesstechnischen Gründen unterlassen. Die Suchmodalitäten der über das zentrale Register (www.zefix.ch) der Eidgenossenschaft publizierten Inhalte der kantonalen Han- delsregisterinhalte im Internet sind eingeschränkter ausgestaltet. In der Abfragemaske von Suchmaschinen muss zusätzlich zur gesuchten Firma der Begriff „zefix“ eingegeben werden und die darauf bekanntgegebenen Suchresultate in Form einer Liste führen nicht direkt zu Einträgen zur gesuchten Person. Mit dieser Gestaltung der Suchmodalitäten wird dem Verhältnismässig- keitsprinzip bei der Publikation der Handelsregisterdaten Rechnung getragen. Ein weiterer Unterschied, der zwischen dem Handelsregisterdatenangebot von itonex AG und zefix besteht, betrifft die Voreinstellung der Suchoptionen auf der Plattform selber. Bei zefix.ch wird die standardmässige Voreinstellung der Suchoption auf die aktuell gültigen Einträge be- schränkt. Will der Nutzer zudem weitere Informationen betreffend gelöschte Handelsregisterein- träge abrufen, muss er diese Option manuell wählen. itonex AG gibt gemäss Voreinstellung der Personen- und der Firmensuche gelöschte und aktuelle Handelsregistereinträge bekannt. Wie das Bundesverwaltungsgericht im erwähnten Entscheid A-4086/2007 ausgeführt hat, nimmt das Interesse des Publikums an Kenntnis von gewissen Handelsregisterpublikationen mit zunehmen- dem Zeitablauf ab,19 daher besteht kein Anlass für die standardmässige Voreinstellung der An- zeige auch von gelöschten Inhalten. Letztlich werden die aus dem Handelsregister stammenden Daten mit denjenigen Daten aus der Datensammlung von Schober AG verknüpft. Das Bundesverwaltungsgericht hat in seinem Ent- scheid A-4086/2007 in Erwägung 5.2.8 Folgendes dazu ausgeführt:“ Je nach Ausgestaltung des Angebots können mittels eigentlicher Personensuchfelder Recherchen über natürliche Personen durchgeführt werden. Auf diese Weise erlaubt eine Personensuche die Verknüpfung von Datens- ätzen, womit eine natürliche Person in einem bestimmten Zusammenhang gezeigt wird, der über den Informationsgehalt der Ursprungsdaten im Handelsregister – Eintragungen über Rechtsein- heiten (E. 5.2.2) – hinausgeht. Daher ist es denkbar, dass solche Suchmöglichkeiten nicht vom handelsregisterlichen Zweck der Publizität und der informationellen Erleichterung des Geschäfts- verkehrs gedeckt sind und sie daher dem Gebot der Zweckbindung der Datenbearbeitung wider- sprechen können.“ Der EDÖB teilt diese Ansicht. Wie unter Randziffern 65 ff. und 89 ff. geschildert, macht itonex AG Handelsregisterdaten über das Resultat von Suchmaschinen zugänglich, bezeichnet gelöschte Daten als Netzwerk, die Ein- stellung der Firmensuche ist eingangs auf gelöschte und aktuell gültige Einträge eingestellt und verknüpft HR-Daten mit anderen Inhalten. Der EDÖB stellt fest, dass diese Persönlichkeitsverlet- zungen nicht durch das öffentliche Interesse an einer leichten Zugänglichkeit zum Handelsregis-

18 Erwägung 5.2.8 des Bundesverwaltungsgerichtsentscheids A-4086/2007. 19 Erwägung 5.2.5 des Bundesverwaltungsgerichtsentscheids A-4086/2007.

24/32

terinhalt gerechtfertigt werden. Die Such- und Darstellungsmodalitäten müssen dementsprechend angepasst werden. Rechtfertigungsgründe für die Bearbeitung von Bonitätsdaten Artikel 13 Abs. 2 lit. c DSG lässt in einem bestimmten Umfang die Kreditprüfung und die Be- kanntgabe des Prüfungsresultates an Dritte zu. Die Bearbeitung kann gerechtfertigt sein, wenn die bearbeitende Person zur Prüfung der Kreditwürdigkeit einer anderen Person weder beson- ders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss eines Vertrages benötigen. Aus dem Zweck des Rechtfertigungsgrundes ergibt sich, dass nur solche Daten bearbeitet wer- den dürfen, die zur Identifikation der betroffenen Person und zur Prüfung derer Kreditwürdigkeit geeignet und erforderlich sind, namentlich Vorname, Name, Geburtsdatum, Adresse, Betreibun- gen, Konkurse, Nachlassverfahren, sowie entsprechende Gesuche, Verlustscheine, einvernehm- liche Schuldensanierungen, abgelehnte Kreditanträge, nicht zurückbezahlte Kredite, Kreditkar- tensperrungen infolge Verzug oder Missbrauch, Zahlungsrückstände und Inkassoverfahren20. Premium-User können über die Plattform www.moneyhouse.ch auch Bonitätsabonnemente ab- schliessen. In diesem Bereich arbeitet itonex AG mit CRIF, einer international tätigen Wirt- schaftsauskunftei, zusammen. Das inhaltliche Zustandekommen der Bonitätsauskünfte wird in vorliegender Sachverhaltsfeststellung nicht beurteilt, da CRIF diese vornimmt. itonex AG bearbeitet, wie ausgeführt worden ist, Persönlichkeitsprofile. Art. 13 Abs. 2 lit. c DSG schliesst eine Rechtfertigung für Persönlichkeitsverletzungen im Rahmen von Bonitätsauskünften ausdrücklich aus, falls zudem Persönlichkeitsprofile bearbeitet werden. Obwohl das inhaltliche Bearbeiten der Personendaten im Rahmen der Berechnung des Bonitätsscores durch CRIF durchgeführt wird, bearbeitet auch itonex AG Bonitätsdaten: Das Unternehmen vermittelt seinen Nutzern Bonitätsabonnemente, stellt die Abfragemaske bereit und leitet die Anfrage auf die Da- tenbank von CRIF. Das Resultat der Abfrage wird durch itonex AG ebenfalls wieder an den Nut- zer der Plattform übermittelt. Damit itonex AG weiterhin Bonitätsdatenauskünfte bearbeiten kann, muss der Umfang der bearbeiteten Daten so eingeschränkt werden, dass keine Persönlichkeits- profile mehr bestehen. In der Folge werden die einzelnen Schritte, die zur Abfrage einer Bonität führen, in der Reihenfol- ge wie sie getätigt werden, besprochen. Premium-User können über die Plattform www.moneyhouse.ch auch Bonitätsabonnemente ab- schliessen. Der Abonnent dieser Dienstleistung kann über das Resultat der Personensuche direkt auf der Datenbank von CRIF die Bonität der gesuchten Person abfragen. Die dabei zur Verfü- gung gestellte Abfragemaske zur Personensuche in der Bonitätsdatenbank vereinfacht die Suche in unverhältnismässigem Ausmass. So genügen die Angabe eines Vornamens und Namens und die Angabe eines Phantasieortes, um alle in der Datenbank vorhandenen Personen dieses Na- mens und Vornamens anzuzeigen. Das Zulassen der Angabe von Phantasieorten in der Abfra- gemaske ist zur Suche einer real existierenden Person nicht geeignet. Auf einem abgerufenen Bonitätsauszug sind Vorname, Name, aktuelle Adresse, Geburtsdatum, Personenstatus (Informationen über Bevormundung oder Minderjährigkeit) oder Zahlungsstörung und ein Bonitätsampel der Personenabfrage enthalten. Gleichzeitig wird empfohlen, bei grösse- ren Beträgen eine Betreibungsauskunft einzuholen. Ebenfalls ist ein Nutzungshinweis enthalten, der auf die Vertraulichkeit der erhaltenen Informationen und auf das Zweckeinhaltungsgebot hin- weist und Weitergabe- und Haftungsbeschränkungen enthält. Der Abonnent muss im Rahmen der Bonitätsabfrage bestätigen, dass er über den dafür notwen- digen Interessensnachweis verfügt. Dazu klickt er auf eine der im Aufklappmenu (Dropdown- menu) von itonex AG angezeigten Möglichkeiten: Kaufvertrag (Bestellung, Rechnung, Mahnung),

20 BSK DSG-Corrado Rampini, Art. 13 N 36.

25/32

Mietvertrag (verbindliche Anmeldung, Vertrag, Mahnung), Eigenauskunft (Einsicht in die eigenen Firmen- oder Personendaten), Darlehens-/Kreditvertrag (Antrag, Rechnung, Mahnung) und Ar- beitsvertrag (bestehendes Arbeitsverhältnis). Der Interessensnachweis der Selbstauskunft stuft der EDÖB als systemfremd ein. Die Bonität wird in Artikel 13 Abs. 2 lit c. DSG als „Daten zur Prüfung der Kreditwürdigkeit Dritter“ definiert, die Selbstauskunft ist ein anderes Rechtsinstitut des Datenschutzes. Zudem schreibt Artikel 8 DSG vor, dass die Auskunft über eigene Daten in der Regel kostenlos zu erfolgen hat. In Artikel 2 der Verordnung über den Datenschutz (VDSG, SR 235.11) werden die Ausnahmen zu dieser Regel festgelegt. Ein solcher Ausnahmegrund ist vorliegend nicht ersichtlich. itonex AG ist ver- pflichtet sicherzustellen, dass die Auskunft allen Nutzern der Plattform, unabhängig vom Ab- schluss eines Bonitätsabonnementes (d.h. kostenlos) erteilt wird. Die angegebenen Interessensnachweise werden von itonex AG geloggt und bei ungewöhnlichen Abfragemustern wird das Benutzerkonto gesperrt. CRIF gibt das Kontrollkonzept vor, gemäss diesen Vorgaben werden 5-10 Abfragen pro Monat geprüft bei einem Abfragevolumen von meh- reren tausend Abfragen. Nach Artikel 7 DSG muss itonex AG angemessene technische und organisatorische Massnah- men treffen, um Personendaten vor unbefugtem Bearbeiten zu schützen. itonex AG hat organisa- torische Massnahmen gegen unbefugtes Abrufen der Bonitätsdaten wie die Prüfung des Nutzers bei Abschluss des Bonitätsabonnementes, die Annahme von Nutzungsbedingungen, die gefor- derte Angabe eines Interessensnachweises und dessen Bestätigung und das Loggen der Abfra- gen implementiert. itonex AG verlässt sich, davon abgesehen, systematisch auf die Selbstdekla- ration der Nutzer, dass ein Interessensnachweis im Moment der Bonitätsabfrage vorliegt. Die nachträgliche Überprüfung der Rechtmässigkeit von 5-10 Abfragen, bei einem Gesamtvolumen von Tausenden von Abfragen pro Monat, erachtet der EDÖB als unverhältnismässig wenig. Dies auch im Hinblick darauf, dass betroffene Personen, deren Daten ohne Vorliegen eines Interes- sensnachweises bekannt gegeben werden, weder darüber informiert werden noch die Möglich- keit haben, im Rahmen eines Auskunftsgesuches in Erfahrung zu bringen, wer ihre Daten abge- rufen hat. itonex AG hat bisher zum Zeitpunkt der Entgegennahme von Löschungsgesuchen keinen Recht- fertigungsgrund gegenüber betroffenen Personen geltend gemacht. Wie in der Ergänzung zur Sachverhaltsfeststellung oben unter Randziffern 8 ff. geschildert worden ist, machte itonex AG Daten von Personen, die einen Löschungsantrag gestellt hatten, im Rahmen des Bonitätsabon- nementes zu einem späteren Zeitpunkt wieder zugänglich. Diesen Personen wurde die Lö- schung, nach der Entgegennahme der Gesuche und der Durchführung derselben, auch bestätigt. Die Personen, die unter diesen Bedingungen ein Löschungsgesuch stellten, durften sich darauf verlassen, dass ihre Daten nach erfolgter Löschung über die Plattform www.moneyhouse.ch nicht mehr auffindbar sind. Zudem werden nur für den Bonitätsbereich zugelassene Adressen auch Premium-Usern ohne Bonitätsabonnement zugänglich gemacht. Diese Datenbekanntgabe ist nicht zulässig. itonex AG erklärte sich in der Folge dazu bereit, die von ihr erstellte Sperrliste mit den Namen der Personen, die eine Löschung ihrer Daten durchführen liessen, als Filter zu verwenden. Dieser wird nach dem Eingabefeld der Personensuche dazwischen geschaltet, somit sollten gelöschte Personeneinträge nicht mehr aufgefunden werden. Dieses Vorgehen bedingt, dass die Sperrliste laufend aktualisiert wird. Der EDÖB hat auch nach Einführen dieser Massnahme gelöschte Ad- ressen in der Datenbank aufgefunden, dies lässt auf eine nicht vollständig nachgeführte Sperrlis- te schliessen. Die Voraussetzungen, damit die Persönlichkeitsverletzung nach Artikel 13 Abs. 2 lit.c DSG ge- rechtfertigt wären, sind vorliegend nicht erfüllt, da von denselben Personen auch Persönlichkeits- profile bearbeitet werden. itonex AG schränkt deshalb die bearbeiteten Daten ein, damit keine Persönlichkeitsprofile mehr bearbeitet werden oder verzichtet auf das Angebot der Dienstleistung der Bonitätsauskünfte über natürliche Personen.

26/32

Falls itonex AG die Datenbearbeitung so einschränkt, dass keine Persönlichkeitsprofile mehr bearbeitet werden und die Bonitätsabfrage trotzdem anbietet, so muss die nachträgliche Kontrolle eines vorbestehenden Interessensnachweises durch itonex AG verbessert werden. Die Anzahl der nachträglichen Kontrollen hat in einem Verhältnis von mind. 5% zu den getätigten Abfragen und in regelmässigen Zeitabständen zu erfolgen. Der Interessensgrund der Selbstauskunft ist als systemfremd zu streichen. Personen, die ein Auskunftsgesuch nach Artikel 8 DSG stellen, muss die Auskunft rechtskonform erteilt werden, was gemäss diesem Aspekt bedeutet, dass sie kos- tenlos zu erfolgen hat21. Die von itonex AG erstellte Sperrliste wird als Filter für die Bonitätsabfra- gen verwendet. Das Zulassen eines Phantasieortes zur Suche einer Person in der Bonitätsda- tenbank ist nicht rechtskonform. Zusammenfassend stellt der EDÖB fest, dass die auf der Plattform www.moneyhouse.ch durch- geführten Datenbearbeitungen nur teilweise durch das öffentliche Interesse an der Weiterverbrei- tung von im Handelsregister eingetragenen Daten und den Rechtfertigungsgrund der Bonitätsprü- fung gerechtfertigt sind. Nachfolgend soll deshalb geprüft werden, ob die darüber hinausgehen- den Datenbearbeitungen anderweitig gerechtfertigt sein könnten. Weitere Rechtfertigungsgründe für Datenbearbeitungen und Datenbekanntgaben Der EDÖB ist in Randziffer 117 zum Schluss gekommen, dass die Bearbeitungsprinzipien ge- mäss Artikel 4 und 5 DSG durch itonex AG nicht befolgt und die Persönlichkeit von betroffenen Personen dadurch verletzt wird. Nachfolgend wird geprüft, inwieweit Rechtfertigungsgründe dafür vorliegen. Rechtfertigungsgründe sind gemäss Artikel 13 DSG die Einwilligung des Verletzten, ein überwiegendes privates oder öffentliches Interesse oder gesetzliche Vorschriften. Unter den Randziffern 120 ff. und 127 ff. wurde zudem erläutert, dass vorliegend ebenfalls analy- siert werden muss, ob Rechtfertigungsgründe für die Bearbeitung von Personendaten gegen den ausdrücklichen Willen der betroffenen Person (Art. 12 Abs. lit. b DSG) und die Bekanntgabe von Persönlichkeitsprofilen an Dritte vorliegen. Für die Bearbeitungen und Datenbekanntgaben kommen in diesen Fällen ein überwiegendes pri- vates Interesse von itonex AG oder die Einwilligung der betroffenen Person als Rechtfertigungs- grund in Frage. Die anderen Rechtfertigungsgründe gemäss Artikel 13 Abs. 1 DSG, wie ein ge- setzlich vorgeschriebene Datenbearbeitung oder ein überwiegendes öffentliches Interesse, kön- nen für den vorliegenden Sachverhalt nicht geltend gemacht werden. Das überwiegende private Interesse von itonex AG als Rechtfertigungsgrund für Datenbearbeitungen und die Bekanntgabe von Persönlichkeitsprofilen Der Rechtfertigungsgrund des überwiegenden privaten Interesses verlangt eine wertende Abwä- gung der Interessen im Einzelfall. Eine persönlichkeitsverletzende Datenbearbeitung ist nur dann gerechtfertigt, sofern und soweit die berechtigten Interessen an der Datenbearbeitung überwie- gen. Im Folgenden wird geprüft, ob die unter Randziffern 118 ff. dargelegten Persönlichkeitsverletzun- gen durch ein überwiegendes privates Interesse gerechtfertigt sein könnten. itonex AG hat sich auch selber im Antwortschreiben22 auf den Fragenkatalog auf das übergeordnete wirtschaftliche Interesse berufen, ohne weitere Ausführungen dazu zu machen. Das Geschäftskonzept der Platt- form www.moneyhouse.ch beruht darauf, möglichst viele Nutzer anzuziehen und sie dazu zu mo- tivieren, die Dienstleistungen der Partner von itonex AG zu beziehen. Zentraler Ausgangspunkt für dieses Geschäftsmodell ist die Firmen- und Personensuche und die Auffindbarkeit der Resul-

21 Weitere Ausführungen zum Auskunftsrecht unter Randziffern 167ff. 22 Schreiben vom 27.06.2013.

27/32

tate über Suchmaschinen23, die den Nutzern der Plattform zur Verfügung gestellt werden. itonex AG wird für diese Informationsvermittlung von ihren Partnern bezahlt. Im Gegenzug wird die Persönlichkeit der betroffenen Personen, deren Daten von itonex AG be- arbeitet und Dritten bekannt gegeben werden, empfindlich verletzt. Schon nur die Publikation von Name, Vorname, Wohnort, Postleitzahl, Alter, genauem Geburtsdatum, Beruf, Haushaltsmitglie- dern und Nachbarn und Angaben zur Wohnsituation von natürlichen Personen ist ein schwerwie- gender Eingriff in die Privatsphäre. Es reicht für die Einsichtnahme in diese Daten, dass sich der Nutzer der Plattform registriert, die Nutzungsbedingungen akzeptiert und die Einsichtnahme der erwähnten Daten wird ihm ermöglicht. Es haben sich Familien gemeldet, die die Publikation der Daten ihrer Kinder als übermässigen Eingriff in die Privatsphäre hielten. Ebenfalls befürchten äl- tere Menschen durch die Ausspionierung ihrer privaten Umgebung, dass sie Opfer von strafbaren Delikten wie Enkeltrickbetrug oder Einbrüchen werden könnten. Andere Personen vermuteten ei- nen Verknüpfung zwischen vermehrten Werbeanrufen, die sie als belästigend empfanden, mit der Publikation ihrer Daten auf www.moneyhouse.ch. Wie oben unter Randziffern 21 ff. geschildert, publiziert und bearbeitet itonex AG Persönlich- keitsprofile. Die Geltendmachung des Rechtfertigungsgrundes des überwiegenden privaten Inte- resses für die Bekanntgabe von Persönlichkeitsprofilen kann nicht nur mit wirtschaftlichen Inte- ressen an einer Datenbekanntgabe begründet werden. Der EDÖB stellt fest, dass das von itonex AG geltend gemachte private Interesse nicht als über- wiegend zu qualifizieren ist und die Persönlichkeitsverletzung nicht rechtfertigen kann. Es können deshalb für diese Datenbearbeitungen weder ein überwiegendes öffentliches oder pri- vates Interesse noch ein gesetzlicher Rechtfertigungsgrund gemäss Artikel 13 DSG geltend ge- macht werden. Deshalb muss nachfolgend geprüft werden, ob eine von betroffenen Personen rechtskonform erteilte Einwilligung die durch itonex AG begangenen Persönlichkeitsverletzungen rechtfertigt. Die Einwilligung als Rechtfertigungsgrund für Datenbearbeitungen und die Daten- bekanntgabe von Persönlichkeitsprofilen Der Rechtfertigungsgrund der Einwilligung kann nur gestützt auf eine gültige, nicht widerrufene Einwilligung angerufen werden.24 Die Einwilligung muss schon vor der betreffenden Datenbear- beitung vorgelegen haben. Um wirksam zu sein, muss die einwilligende Person urteilsfähig und die Einwilligung frei von Willensmängeln sein. Sie hat insbesondere nach angemessener Informa- tion freiwillig zu erfolgen.25Nach angemessener Information bedeutet, dass die betroffene Person in den Grundzügen über Gegenstand, Zweck und Umfang der beabsichtigten Datenbearbeitung informiert werden muss, um die Konsequenzen der Einwilligung abschätzen zu können. Wer sei- ne Einwilligung erteilt, ohne zumindest in groben Zügen zu wissen, welche Arten von Daten von wem oder welcher Art von Bearbeitern in welchem Umfang zu welchem Zweck bearbeitet wer- den, hat keine rechtsgültige Einwilligung erteilt. Freiwilligkeit bedeutet, dass der betroffenen Per- son eine gleichwertige Alternative als Wahlmöglichkeit zur Verfügung steht. Gemäss Artikel 4 Abs. 5 DSG muss die Einwilligung bei der Bearbeitung von Persönlichkeitsprofilen zudem aus- drücklich erfolgen.

23 Wie mehrmals erwähnt wurde, haben andere Vertreter der Branche auch Suchmöglichkeiten, die Resultate sind aber nicht über Internetsuchmaschinen indexiert, d.h. es wird keine leicht zugängliche Personensuche ermöglicht. 24 Handkommentar zum Datenschutzgesetz, hier Rosenthal in Note 3 zu Artikel 13 Abs.1 DSG. 25 BSK DSG- Corrado Rampini, Art. 13 N 4.

28/32

Der EDÖB hat bei seiner letzten Sachverhaltsabklärung, beschränkt auf die Publikation der Ad- resse über das Internet, eine Empfehlung abgegeben, welche itonex AG akzeptiert und umge- setzt hat.26 Für die Bearbeitung aller anderen Personendaten wird Folgendes erwogen: Betroffene Personen haben in die Bearbeitung und Publikation ihrer Daten über die Plattform www.moneyhouse.ch nicht eingewilligt. Diese Tatsache wurde in Beschwerden über die Plattform an den EDÖB häufig erwähnt. Betroffene Personen können sich, wie unter Randziffern 80 ff. ausgeführt, auch nicht zentral informieren, welche Daten über die Plattform www.moneyhouse.ch über sie bearbeitet und publiziert werden. Damit eine rechtskonforme Einwilligung überhaupt ab- gegeben werden kann, wäre eine vorgängige Information aber eine Voraussetzung dazu. Sie müsste zudem freiwillig und explizit erfolgen. Dies bedeutet, dass alle betroffenen Personen über die Bearbeitung ihrer Daten informiert werden müssten, und die Einwilligung dazu nicht global in Allgemeinen Geschäftsbedingungen fiktiv eingeholt werden kann. Betroffene Personen haben keine rechtskonforme (in diesem Fall insbesondere auch keine aus- drückliche) Einwilligung erteilt. itonex AG braucht eine rechtskonform erteilte Einwilligung für die Bearbeitung und Publikation aller Daten, ausgenommen die Handelsregisterdaten, die Adresse (unter Einhaltung der diesbezüglichen Empfehlungen vom 15.11.2012) und die für die Bonitätser- teilung absolut notwendigen und geeigneten Daten, damit die Persönlichkeitsverletzungen ge- rechtfertigt werden können. Wie bisher ausgeführt worden ist, verstösst itonex AG bei der Bearbeitung von Personendaten im Rahmen der über die Plattform angebotenen Dienstleistungen gegen die Bearbeitungsgrundsät- ze von Artikel 4 und 5 Abs. 1 DSG. Weiter werden Personendaten gegen den ausdrücklichen Wil- len der betroffenen Personen bearbeitet und Persönlichkeitsprofile Dritten zugänglich gemacht. All dies verletzt die Persönlichkeit der betroffenen Personen, ohne dass dafür in vollem Umfang Rechtfertigungsgründe geltend gemacht werden können. itonex AG verletzt somit die Persönlich- keit von betroffenen Personen widerrechtlich und hat ihre Datenbearbeitungen folglich im Sinne der Erwägungen anzupassen. Im Folgenden wird geprüft, ob neben den Grundsätzen der Datenbearbeitungen das Auskunfts- recht von itonex AG gewährleistet wird und ob die Datensammlung rechtskonform beim EDÖB angemeldet ist. Auskunftsrecht Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber ver- langen, ob Daten über sie bearbeitet werden. Der Inhaber der Datensammlung muss der be- troffenen Person mitteilen:  alle über sie in der Datensammlung vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten;  den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie die Katego- rien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenemp- fänger.

26 Es wurden zwei Empfehlungsinhalte (Ziffer 1 und 3) zum Rechtfertigungsgrund abgegeben: „1. Adressen, welche itonex AG von Schober AG bezogen hat, werden nur noch im Internet über www.moneyhouse.ch publiziert, wenn dafür ein Rechtfertigungsgrund für diese Bearbeitungsform und –zweck vorliegt. Die Einwilligung als Rechtfertigungsgrund, ist nur rechtsgültig erteilt, wenn betroffene Personen darin eingewilligt haben, dass ihre aktuelle Adresse ohne speziellen Interessensnachweis übers Internet abgerufen werden darf.

3. itonex AG sieht für den jetzt bestehenden Adressenbestand, der von Schober AG ursprünglich be- zogen worden ist, einen Abgleich mit einem Verzeichnis vor, das über diese Einwilligungserklärungen schon verfügt und den Ansprüchen von Art. 12 Abs. 3 DSG genügt.“

29/32

Lässt der Inhaber der Datensammlung Personendaten durch einen Dritten bearbeiten, so bleibt er auskunftspflichtig. Der Dritte ist auskunftspflichtig, wenn er den Inhaber nicht bekannt gibt oder dieser keinen Wohnsitz in der Schweiz hat. Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen. Gesuche um Auskunft können elektronisch per E-Mail oder schriftlich eingereicht werden. itonex AG hat einen Prozess zur Erteilung der Auskunft festgelegt. In jedem Fall müssen betroffene Personen eine Kopie eines amtlichen Ausweises beilegen und, im Falle der Auskunftserteilung über eine juristische Person, ihre Zeichnungsberechtigung nachweisen. Die Auskunft wird in der Regel schriftlich, innert 30 Tagen und kostenlos erteilt. In der Auskunft für natürliche Personen wird in allgemeiner Form über die Datenquellen informiert und die Stammdaten (Vorname, Name, Geschlecht, aktueller Wohnsitz, Geburtsdatum, Alter, Be- ruf, Telefonnummer, Haushaltsmitglieder) soweit in der Datensammlung vorhanden, werden auf- geführt. itonex AG scheint registrierten Nutzern keine darüber hinausgehende Auskunft zu geben. Im Handelsregister registrierte Personen erhalten hingegen zudem eine Wirtschaftsauskunft27. Im Begleitschreiben wird erwähnt, dass Angaben zu Baubewilligungen bearbeitet werden. Dass zu- dem weitere Angaben zu den Gebäuden gemacht werden, wird nicht erwähnt. Über die Bonitätsresultate wird eine um Auskunft ersuchende Person von itonex AG nicht direkt informiert, sondern auf den Partner CRIF weiterverwiesen. itonex AG bestimmt als Inhaberin Zweck und Inhalt der über die Plattform www.moneyhouse.ch bearbeiteten Daten. Die Bonitäts- datenbank von CRIF wird von itonex AG für ihre Nutzer zugänglich gemacht. Gemäss Artikel 1 Abs. 6 VDSG muss der Inhaber einer Datensammlung Auskunftsbegehren an Dritte zur Erledi- gung weiterleiten, falls er nicht in der Lage ist, Auskunft zu erteilen. Gleiches ist von den anderen Dienstleistungsangeboten der Partner von itonex AG zu fordern. Stellt eine betroffene Person ein Auskunftsgesuch an itonex AG, so muss dieses gemäss Artikel 1 Abs. 6 VDSG an die jeweiligen Partner weitergeleitet werden. Die Erteilung der Auskunft durch itonex AG entspricht nicht den Vorgaben von Artikel 8 DSG. Alle Auskunftsgesuche müssen von itonex AG gleich behandelt werden. In der Auskunft müssen alle Partner von itonex AG, die ihre Dienstleistungen über die Plattform zur Verfügung stellen, aufge- führt werden. Auskunftsgesuche leitet itonex AG an die Partner der Plattform www.moneyhouse.ch weiter, falls diese ebenfalls Personendaten der in der Datensammlung von itonex AG geführten Personen bearbeiten. Anmeldung der Datensammlung Private Personen müssen Datensammlungen gemäss Artikel 11 a Abs. 3 DSG anmelden, wenn sie regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeiten oder regelmässig Personendaten an Dritte bekannt geben. Das Register der beim EDÖB gemeldeten Datensammlungen dient dabei zwei Zwecken. Einer- seits soll es für mehr Transparenz gegenüber der Öffentlichkeit sorgen und auf diese Weise die Ausübung des Auskunftsrechts ermöglichen. Andererseits unterstützt es den EDÖB in seinen Aufsichtstätigkeiten, indem dieser erste Informationen über registrierte Datensammlungen abru- fen kann. Die Datensammlung wurde von itonex AG beim EDÖB angemeldet28. Aufgrund des stark erwei- terten Dienstleistungsangebots der itonex AG entsprechen die im Register angegebenen Katego- rien der bearbeiteten Personendaten nicht mehr dem aktuellen Stand. Art. 3 Abs. 2 VDSG schreibt diesbezüglich vor, dass diese Angaben laufend aktualisiert werden müssen.

27 Um welche der beiden Arten von möglichen Wirtschaftsauskünften es sich dabei handelt, wurde nicht eruiert. 28 Register Nr. 199800068.

30/32

Nach Artikel 11 VDSG müssen Inhaber einer meldepflichtigen automatisierten Datensammlung gemäss Artikel 11 a Abs. 3 DSG ein Bearbeitungsreglement erstellen. Dieses umschreibt die in- terne Organisation sowie das Datenbearbeitungs- und Kontrollverfahren und enthält Unterlagen über die Planung, die Realisierung und den Betrieb der Datensammlung und der Informatikmittel. Der EDÖB hat kein Bearbeitungsreglement erhalten. Die Angaben der beim EDÖB gemeldeten Datensammlung sind veraltet. itonex AG aktualisiert demzufolge die Anmeldung der beim EDÖB registrierten Datensammlung und erstellt ein Bear- beitungsreglement, das den Anforderungen von Artikel 11 a VDSG entspricht. Moneyhouse international Der EDÖB hat viele Beschwerden sowohl von liechtensteinischen als auch von österreichischen Bürgern erhalten. Es haben in der Folge beide Datenschutzbehörden interveniert. An der Sitzung vom 22.08.2013 schloss itonex AG nicht aus, das Angebot der Publikation von Handelsregister- daten weiter auszudehnen. Ein Ausbau auf Nichthandelsregisterdaten sei aber nicht geplant. Der EDÖB hat itonex AG darauf aufmerksam gemacht, dass im Ausland die rechtlichen Rah- menbedingungen für die Publikation von Handelsregisterdaten anders sind als in der Schweiz. Die Rechtslage müsse vor der Aufnahme entsprechender Dienstleistungsangebote durch itonex AG sorgfältig abgeklärt werden und ausländischen Bürgern könne der Entscheid A-4086/2007 des Bundesverwaltungsgerichts nicht im selben Mass entgegengehalten werden wie schweizeri- schen Bürgern. Das Angebot wurde zwischenzeitlich ausgeweitet, Handelsregisterdaten und Wirtschaftsinforma- tionen (Bonität, Kreditlimitenempfehlung, Umsatz- und Finanzkennzahlen, Bilanz und Erfolgs- kennzahlen, Inhaber und Beteiligungen) von Unternehmen können von vielen Ländern abgerufen werden.29Es beschränkt sich dabei auf den Wiederverkauf von Wirtschaftsauskünften, deren Quelle die CRIF ist. itonex AG hat bis heute nicht nachgewiesen, dass die rechtliche Lage für die Publikation von Personendaten von ausländischen Personen abgeklärt worden ist. Möglicherweise wird deren Persönlichkeit durch die Publikation ihrer Daten auf www.moneyhouse.ch verletzt. itonex AG klärt die Rechtslage ab, damit Anfragen von betroffenen Personen rechtskonform beantwortet werden.

29 https://www.moneyhouse.com/de, zuletzt besucht am 14.10.2014.

31/32

III. Aufgrund dieser Erwägungen erlässt der Eidgenössische Datenschutz- und Öffent- lichkeitsbeauftragte gemäss Art. 29 Abs. 3 DSG folgende Empfehlungen:

a. Daten von Kindern werden von itonex AG nur im Bereich der Bonitätsabfragen bekannt gege- ben. Dabei ist die Anzeige auf die fehlende Vertragsfähigkeit zu beschränken.

b. itonex AG stellt sicher, dass bei Personen, die nicht im Handelsregister eingetragen sind, eine rechtsgültige explizite Einwilligung für Datenbearbeitungen, die über das für eine Bonitätsprü- fung notwendige hinausgehen, vorliegt.

c. Daten von Personen, die nicht im HR eingetragen sind und deren explizite Einwilligung nicht vorliegt, dürfen in allen über die Bonitätsprüfung hinausgehenden Diensten nicht angezeigt werden.

d. itonex AG löscht bei Personen, die nicht im HR eingetragen sind und deren explizite Einwilli- gung nicht vorliegt, alle für die Bonitätsprüfung nicht zwingend notwendigen Daten.

e. itonex AG entfernt Verlinkungen, die das Erstellen von Persönlichkeitsprofilen durch die Nut- zer der Plattform www.moneyhouse.ch ermöglichen. f. Die Firmensuche wird eingangs standardmässig auf die Anzeige von im Handelsregister akti- ven Einträgen beschränkt.

g. Die Auffindbarkeit von im Handelsregister eingetragenen Personen über Suchmaschinen wird entsprechend der Praxis von zefix.ch angepasst.

h. Bei einer neuen Übernahme von Personendaten stellt itonex AG sicher, dass der ursprüngli- che Zweck, zu dem diese Daten bearbeitet wurden, mit dem von itonex AG verfolgten Bear- beitungszweck übereinstimmen. Ansonsten dürfen diese Daten nicht übernommen werden. i. itonex AG informiert registrierte und unregistrierte Besucher der Website www.moneyhouse.ch gleichermassen vollständig, aktuell und korrekt über:

1. die Zwecke der vorgenommenen Datenbearbeitungen;

2. alle Angebote von Informationen, die abgerufen werden können;

3. alle Datenquellen, von denen die Daten direkt bezogen werden;

4. das Auskunfts- und Berichtigungsrecht. j. Das Netzwerk von im Handelsregister eingetragenen Personen wird eingangs standardmässig auf ungelöschte Beziehungen beschränkt.

k. itonex AG überprüft den Datenbestand betreffend Richtigkeit in einem Umfang, der in einem angemessenen prozentualen Verhältnis zu den gemachten Abfragen steht. l. itonex AG stellt die richtige Verknüpfung eigener Daten mit denjenigen von Partnern sicher.

m. itonex AG stellt allen von Datenbearbeitungen der Plattform www.moneyhouse.ch betroffenen Personen eine leicht zugängliche Berichtigungsmöglichkeit zur Verfügung.

n. Widerspricht eine betroffene Person der Datenbearbeitung und verlangt die Löschung, so löscht itonex AG die Daten innerhalb eines Arbeitstages vollständig oder macht zum Zeitpunkt der Behandlung des Löschungsgesuchs einen Rechtfertigungsgrund geltend. itonex AG er- stellt eine Sperrliste und aktualisiert diese fortlaufend. Wird dem Löschungsgesuch widerspro- chen, so ist die betroffene Person über ihre Rechte aufzuklären. Personen, die im Handelsre-

32/32

gister eingetragen sind und ein Löschungsgesuch stellen, werden über die Rechtslage infor- miert und die Suchmaschinenindexierung wird automatisch gelöscht.

o. Die Bonitätsabfrage wird rechtskonform ermöglicht. Die Anzahl der nachträglichen Kontrollen eines zum Zeitpunkt der Bonitätsabfrage bestehenden Interessensnachweises hat in regel- mässigen Zeitabständen und in einem Verhältnis von mindestens 5% zu den getätigten Ab- fragen zu erfolgen. Der Interessensnachweis der Selbstauskunft ist als systemfremd (gilt nicht als Interessensnachweis innerhalb einer Bonitätsabfrage) zu streichen. Die Abfragemaske zur Suche einer Person in der Bonitätsdatenbank erfordert die Angabe eines aktuellen Wohnortes in der Schweiz.

p. Die Auskunft wird allen Nutzern gleich und rechtskonform, gemäss den Vorgaben von Artikel 8 DSG, insbesondere kostenlos und unter namentlichen Nennung aller Datenlieferanten, er- teilt. Auskunftsgesuche werden gemäss Artikel 1 Abs. 6 VDSG an die Partner von itonex AG, welche ebenfalls Personendaten bearbeiten, weitergeleitet.

q. Die Anmeldung der Datensammlung beim EDÖB wird aktualisiert. itonex AG erstellt zudem ein Bearbeitungsreglement, das den Anforderungen von Artikel 11 a VDSG entspricht r. Die Datenbearbeitung von Personendaten von Personen mit Wohnsitz oder Geschäftssitz im Ausland wird von itonex AG auf Rechtskonformität hin überprüft damit entsprechende Aus- kunfts-, Löschungs- und Berichtigungsgesuche bearbeitet werden können.

Das vorliegende Dokument enthält eine Reihe von Empfehlungen, welche vom EDÖB auf Basis der durchgeführten Sachverhaltsabklärung verfasst wurden. Dieses wird itonex AG zur Kenntnis- nahme zugestellt. Innert Frist von 30 Tagen nach der Zustellung hat itonex AG dem EDÖB mit- zuteilen, ob itonex AG die Empfehlungen annimmt oder ablehnt. Für den Fall, dass itonex AG die Empfehlungen nicht akzeptiert oder umsetzt, kann der EDÖB die Angelegenheit dem Bundes- verwaltungsgericht zum Entscheid vorlegen (Art 29 Abs. 4 DSG). Es besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für die vorliegende Art der Da- tenerhebung zu sensibilisieren und sie insbesondere über die erfolgte Datenschutzkontrolle bei itonex AG und die diesbezüglichen Ergebnisse zu informieren. Gestützt auf Art. 30 Abs. 2 DSG wird der EDÖB daher den vorliegenden Schlussbericht in einer angepassten Version publizieren. Selbstverständlich erfolgt die Publikation unter dem Vorbehalt, dass keine aus Sicht von itonex AG vertraulichen Daten, welche Geschäftsgeheimnisse offenbaren oder die Konkurrenzfähigkeit beeinflussen könnten, bekannt gegeben werden. itonex AG wird daher aufgefordert, den Schlussbericht auf solche vertraulichen Inhalte hin zu überprüfen und dem EDÖB mit Frist von 30 Tagen, d.h. entsprechend schriftliche Rückmeldung zu erstatten.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Hanspeter Thür