Informationsservice über Mieterbonität

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB

Feldeggweg 1, 3003 Bern Tel. 031 322 43 95, Fax 031 325 99 96 www.edoeb.admin.ch

Bern, den 16.12.2008

Empfehlung

gemäss

Art. 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG)

betreffend

die Dienstleistung „Auskunftservice A“ der Firma X

I. Sachverhalt

1. Die Firma X und ihre Dienstleistung „Auskunftservice A“

1 Die Firma X ist eine Tochtergesellschaft der Firma Y. Im Rahmen ihrer Tätigkeit als Wirtschafts- auskunftei sammelt und speichert sie Daten, um sie Dritten zur Bonitätsprüfung ihrer Kunden und Geschäftspartnern zur Verfügung zu stellen.

2 Die Firma X bietet die in ihrer Datenbank gespeicherten Daten zielgruppenspezifisch über die Internetplattform als Dienstleistung „Auskunftservice A“ an. Der „Auskunftservice A“ ist eine Ap- plikation, mit welcher die gespeicherten Daten automatisiert aufbereitet und ausgewertet werden können. Diese Auswertung kann über die Plattform X-Online im Abrufverfahren bezogen werden. Damit können zugangsberechtigte Personen über Suchmasken Bonitäts- und Wirtschaftsinfor- mationen der betroffenen Personen abfragen, um Mieterangaben zu prüfen und Mietzinsausfälle zu vermeiden. Ausserdem können ergänzende Informationen, wie Betreibungsauskünfte, Arbeit- geber- und Vermieter-Referenzen, eingeholt bzw. angefordert werden.

2. Chronologischer Ablauf der Sachverhaltsabklärung

3 Der EDÖB wurde erstmals am 01.04.2008 durch eine Mitteilung einer betroffenen Person auf die Existenz des „Auskunftservice A“ aufmerksam gemacht, woraufhin er am 08.04.2008 zwecks Sachverhaltsabklärung mit der Firma X Kontakt aufnahm.

4 Parallel hierzu bereitete das Schweizer Fernsehen einen Beitrag zum „Auskunftservice A“ vor. In einer Sendung wurde dann der „Auskunftservice A“ thematisiert. Auch wurde ein vorher aufge-

2/17

zeichnetes Interview mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Hanspeter Thür ausgestrahlt.

5 Am 04.06.2008 nahmen Vertreter des EDÖB die Datenbearbeitung der Firma X betreffend „Auskunftservice A“ vor Ort in Augenschein. Die Ergebnisse der Sitzung wurden in einem Sit- zungsprotokoll N zusammengefasst, welches durch die Firma X mit einigen Ergänzungen O gutge- heissen wurde.

3. Umfang der Sachverhaltsabklärung

6 Zwischen der ersten Kontaktaufnahme am 08.04.2008 und der Augenscheinnahme des „Auskunftservice A“ durch den EDÖB hat die Firma X verschiedene Anpassungen und Änderun- gen der Dienstleistung vorgenommen. Demzufolge wird vor diesem Hintergrund auf die ur- sprüngliche, von den Medien aufgegriffene Version des „Auskunftservice A“ in den Erwägungen des EDÖB nur insoweit eingegangen, als dies notwendig ist.

7 Obwohl die Praxis der Firma X hinsichtlich der Gewährung des Auskunfts- und Löschungsrech- tes bereits im Jahr 2006 vom EDÖB überprüft wurde, nahm der EDÖB die Sachverhaltsabklä- rung zum „Auskunftservice A“ zum Anlass, diese vor dem Hintergrund des geänderten und erwei- terten Dienstleistungsangebots erneut abzuklären. Dies war vorwiegend deshalb notwendig, da die Firma X im Rahmen des „Auskunftservice A“ ihren Kunden nicht nur wie bisher die von ihr gespeicherten Daten anbietet, sondern zudem speziell aufbereitete, miteinander verknüpfte und mit einem Rating versehene Daten zur Verfügung stellt.

8 Diese Sachverhaltsabklärung ist keine Bewertung der gesamten Tätigkeit der Firma X, sondern sie bezieht sich nur auf die Beurteilung des „Auskunftservice A“.

4. „Auskunftservice A“

4.1 „Auskunftservice A“ in der ursprünglichen Form

9 In der ursprünglichen Form präsentierte sich der „Auskunftservice A“ dem EDÖB aufgrund der von verschiedenen Personen eingereichten Unterlagen, der von der Firma X zugesandten Unter- lagen, der vom EDÖB selbst recherchierten Unterlagen sowie der Informationen aus der Sen- dung des Schweizer Fernsehens.

10 Die Firma X stellt auf ihrer Webseite ein Webinterface P zur Verfügung, mit welchem man über eine Suchmaske nach bei ihr gespeicherten Personen suchen kann. Dadurch können die folgen- den Profil- bzw. Bewertungsdaten einer gespeicherten Person abgerufen werden: Entscheidung, Entscheidungsmatrix, Score, Zahlungserfahrungen, bekannte Adressen, gleicher Haushalt (glei- cher Name oder gleiche Telefonnummer), Firmenbeziehungen, Umfeld und Ähnlichkeitstreffer. Die einzelnen Profildaten werden in der nachfolgenden Tabelle 1 kurz erläutert:

11 Tabelle 1 Kategorien Beschreibung Entscheidung Aus den bei der Firma X zu einer betroffenen Person gesammelten Daten wird ein Bonitätsrating in Form einer Ampel mit den nachfol- genden Ausprägungen berechnet:

N Beilage 1, Sitzungsprotokoll. O Beilage 2, Schreiben vom 17.07.2008. P Beilage 3, Factsheet vom 08.04.2008.

3/17

rot (Handlungsanweisung: Vertrag nicht abschliessen), gelb (Handlungsanweisung: Zusatzabklärungen treffen) und grün (Handlungsanweisung: Vertrag abschliessen).

Entscheidmatrix In der Entscheidmatrix werden die einzelnen zur Berechnung des Ent- scheidfeldes herangezogenen Daten mit einer Ampel (rot, gelb, grün) bewertet. Im Einzelnen sind dies die Felder: Score, Trefferart, Status, Firmenbeziehung mit negativen Daten, durchschnittliche Wohndauer an einer Adresse, Blacklistenprüfung, weitere Familienmitglieder, Bo- nität Familienmitglieder und Ähnlichkeitstreffer. Zusammengefasst werden die jeweiligen Einzelergebnisse unter der Kategorie Entschei- dung. Zudem werden unter der Kategorie Entscheidungsgrund, die entscheidungsrelevanten Daten der Entscheidmatrix inklusive deren Wert aufgeführt.

Score Der Score ist ein numerischer Wert, welcher aus den Datenfeldern Zahlungserfahrungen einer Person, Umfeld, Mobilität sowie Soziode- mographie berechnet wird und liegt zwischen 250 und 700 Punkten. Er wird graphisch auf einer dreifarbigen (rot, gelb, grün) waagrechten Achse dargestellt.

Zahlungserfahrungen Hier werden die der Firma X bekannten und gespeicherten bonitätsre- levanten Ereignisse aufgeführt. Diese sind Anzahl Zahlungserfahrun- gen, aktuellster Fall, Forderungssumme und offener Betrag Forde- rungsstatus (Konkurs, Betreibung), Auskünfte (Betreibungsregister) sowie Inkassomeldungen.

Bekannte Adressen Aufgeführt werden die aktuelle Adresse und sämtliche der X bekann- ten Adressen inklusive Wohndauer sowie die durchschnittliche Wohn- dauer.

Im gleichen Haushalt lebende Personen In dieser Rubrik werden Daten von denjenigen Personen aufgelistet, die den gleichen Telefonanschluss nutzen (gleiche Telefonnummer) oder die den gleichen Namen an derselben Adresse tragen mit Anga- be des Jahrganges, inklusive deren Informationen über allfällige Nega- tiveinträge.

Firmenbeziehungen Beziehungen zwischen gesuchter Person und Firmen werden bewer- tet. Angezeigt werden Handelsregistereinträge zu der jeweiligen Per- son sowie sonstige der Firma X bekannte negative Firmeneinträge.

Umfeldanalyse Hierbei wird ein prozentualer Wert im Vergleich mit dem Umfeld auf- grund des Nachnamens, des Hauses, der Strasse, des Ortes und des Landes errechnet.

Ähnlichkeitstreffer Anzeige von Personen mit ähnlichem Namen inkl. Geburtsdatum.

4/17

Ausserdem haben die Nutzer des „Auskunftservice A“ die Möglichkeit, zusätzlich Betreibungsre- gisterauskünfte online zu bestellen.

4.2 „Auskunftservice A“ in der angepassten bzw. aktuellen Form

12 Bis zur Sachverhaltsabklärung hat die Firma den „Auskunftservice A“ so modifiziert, dass dieser sich wesentlich von der früheren Version unterscheidet Q . Nachfolgend werden die Eigenschaften des „Auskunftservice A“ in der angepassten Form vorgestellt:

13 Tabelle 2 Kategorien Beschreibung Entscheidung Aus den bei der Firma X zu einer betroffenen Person gesammelten Daten wird ein Bonitätsrating in Form einer Ampel mit den nachfol- genden Ausprägungen berechnet: rot (hohe Risiken vorhanden), gelb (sorgfältige Prüfung empfohlen. Der Entscheid impliziert nicht, dass eine verschlechterte Bonität vorliegt) und grün (keine Risiken gefunden).

Entscheidmatrix In der Entscheidmatrix werden die einzelnen zur Berechnung des Entscheidfeldes herangezogenen Daten mit einer Ampel (rot, gelb, grün) bewertet. Im Einzelnen sind es folgende Felder: Score, Tref- ferart, Status, Firmenbeziehung mit negativen Daten, durchschnittli- che Wohndauer an einer Adresse, weitere Familienmitglieder, Boni- tät Familienmitglieder und Ähnlichkeitstreffer. Zusammengefasst werden die jeweiligen Einzelergebnisse unter der Kategorie Ent- scheidung. Zudem werden unter der Kategorie Entscheidungsgrund, die entscheidungsrelevanten Daten der Entscheidmatrix inklusive deren Wert aufgeführt. Zudem wird bei den Bewertungen ein Hilfe- text eingeblendet, sofern die Ampel gelb oder rot anzeigt.

Zahlungserfahrungen Hier werden die bei der Firma X bekannten und gespeicherten boni- tätsrelevanten Ereignisse aufgeführt. Diese sind: Anzahl Zahlungser- fahrungen, aktuellster Fall, Forderungssumme und offener Betrag, Forderungsstatus (Konkurs, Betreibung), Auskünfte (Betreibungsre- gister) sowie Inkassomeldungen.

Alte Adresse(n) [Bekannte Adressen] Aufgeführt werden die aktuelle Adresse und sämtliche der Firma X alten (bekannten) Adressen inklusive Umzugsmeldung sowie die so errechnete durchschnittliche Wohndauer angezeigt.

Gleicher Haushalt (gleicher Name oder gleiche Telefonnum- mer) In dieser Rubrik werden die Daten von denjenigen Personen ange- geben, welche den gleichen Telefonanschluss nutzen (gleiche Tele- fonnummer) oder den gleichen Namen an der Adresse tragen mit Angabe des Jahrganges.

Firmenbeziehungen Beziehungen zwischen gesuchter Person und Firmen werden bewer- tet. Angezeigt werden Handelsregistereinträge zu der jeweiligen

Q Beilage 4, Factsheet vom 04.06.2008; Beilage 5, Blatt „Infoboxen Auskunftservice A in Decisionmatrix“.

5/17

Person sowie sonstige der Firma X bekannte negative Firmeneinträ- ge.

Ähnlichkeitstreffer (Verwechslungsgefahr) Anzeige von Personen mit ähnlichem Namen inkl. Geburtsdatum.

14 Insgesamt wurden die nachfolgend aufgeführten Änderungen am „Auskunftservice A“ durchge- führt:

a Die Erklärungen zum Ampelsystem in der Kategorie Entscheidung wurden, wie in der Tabelle 2 aufgeführt, geändert. Zudem wird die Ampel nur noch dann rot, wenn über die betroffene Person negative Zahlungserfahrungen vorhanden sind oder wenn der Personenstatus (minderjährig, bevormundet, verstorben) einem rechtsgültigen Ver- tragsabschluss entgegensteht. b Das Ampelsystem in der Kategorie Entscheidmatrix wurde mit Erklärungen versehen, so dass zu jeder Bewertung und deren Zustandekommen ein kleiner Erläuterungstext eingeblendet wird R . c Entfernt wurden die Kategorien Score und Umfeld sowie das Feld Blacklistenprüfung in der Kategorie Entscheidungsmatrix. d Die Zahlungserfahrungen werden neu mit den Buchstaben A, B, C und D wie folgt bewertet: i. A „nichts bekannt“; ii. B „geringfügige Fälle bekannt“; iii. C „erhebliche Fälle bekannt“ und iv. D „schwerwiegende Fälle bekannt“. Nach Auskunft der Firma X beruhen diese Zahlungsbewertungen einzig aufgrund der vorliegenden Zahlungserfahrungen der gesuchten Person. Bei diesem Rating wird die Aktualität der Zahlungserfahrungen (aktuelle wiegen schwerer als frühere), die Ge- wichtigkeit des Zahlungsereignisses (ein Konkurs wiegt schwerer als ein Inkassofall) und die Anzahl der Zahlungserfahrungen (viele negative wiegen schwerer als einzel- ne) berücksichtigt S .

II. Erwägungen

1. Anwendbarkeit des Datenschutzgesetzes und Zuständigkeit des EDÖB

15 Gemäss Art. 2 Abs. 1 Ziffer a des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) gilt das DSG für das Bearbeiten von Daten natürlicher oder juristischer Personen durch private Per- sonen. Gemäss Art. 3 lit. e DSG wird unter „Bearbeiten“ jeder Umgang mit Personendaten, un- abhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbe- wahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren und Vernichten von Daten ver- standen. Als Personendaten gelten gemäss Art. 3 lit. a DSG alle Angaben, die sich auf eine be- stimmte oder bestimmbare Person beziehen. Im Rahmen ihrer Tätigkeit als Wirtschaftsauskunftei bearbeitet die Firma X Adress- und Bonitätsdaten von natürlichen und juristischen Personen und

R Beilage 4; Beilage 5. S Beilage 1, S. 4; Beilage 2, S. 3 Schreiben Firma X vom 17.07.2008; Beilage 4; Beilage 5.

6/17

gibt diese an Dritte bekannt (Art. 3 Ziff. f DSG). Deshalb ist das DSG auf den vorliegenden Sachverhalt anwendbar (Art. 2 in Verbindung mit Art. 3 Ziff. a, e und f DSG).

16 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat gemäss Art. 29 DSG die Aufsicht über die Bearbeitung von Personendaten durch Private: Er kann insbesondere nach Art. 29 Abs. 1 lit a DSG von sich aus oder auf Meldung Dritter den Sachverhalt abklären, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Per- sonen zu verletzen (Systemfehler). Stellt er aufgrund einer Sachverhaltsabklärung fest, dass eine Datenbearbeitung gegen das Datenschutzgesetz verstösst, kann er empfehlen, die Datenbear- beitung zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG).

17 Durch Meldung verschiedener Personen wurde der EDÖB auf den „Auskunftservice A“ aufmerk- sam gemacht. Aufgrund der Vielzahl der potenziell betroffenen Personen (zwei Drittel der Be- wohnerinnen und Bewohner in der Schweiz leben zur Miete T ) ist die Datenbearbeitung durch die Firma X geeignet, die Persönlichkeit einer Vielzahl von natürlichen und juristischen Personen zu verletzen. Aus diesem Grund ist der EDÖB im vorliegenden Fall berechtigt, aufgrund seiner Ab- klärungen eine Empfehlung im Sinne von Art. 29 Abs. 3 DSG zu erlassen.

2. Datenbearbeitung im Rahmen der Dienstleistung „Auskunftservice A“

2.1 Vorbemerkungen

18 Der EDÖB geht im Rahmen seiner Erwägungen lediglich auf den „Auskunftservice A“ in seiner angepassten Form ein. Auf ihrer Website verweist die Firma X allerdings nach wie vor auf den „Auskunftservice A“ in seiner ursprünglichen Form. So erscheinen in den Beschreibungen immer noch Hinweise auf die Elemente Score sowie Blacklistenprüfung U . Die Hinweise auf der Website „Integration der eigenen Blacklist verhindert Ausfälle“ und „Score (professionelle Berechnung der Ausfallwahrscheinlichkeit)“ sollten entfernt werden.

2.2 Zulässigkeit der Datenbearbeitung zum Zwecke von Mietauskünften

Allgemeines

19 Wer Personendaten bearbeitet darf gemäss Art. 12 Abs. 1 DSG die Persönlichkeit der betroffe- nen Person nicht widerrechtlich verletzen. Insbesondere darf er nach Art. 12 Abs. 2 DSG Perso- nendaten nicht entgegen den allgemeinen Datenschutzgrundsätzen (Art. 4, 5 und 7 Abs. 1 DSG) bearbeiten, nicht ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten und nicht ohne Rechtfertigungsgrund besonders schützenswerte Personenda- ten oder Persönlichkeitsprofile Dritten bekannt geben. In der Regel liegt dann keine Persönlich- keitsverletzung vor, wenn die betroffene Person ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Art. 12 Abs. 3 DSG). Keine widerrechtliche Persönlichkeitsverletzung ist gemäss Art. 13 Abs. 1 DSG gegeben, wenn sie durch Einwilligung, überwiegendes öffentliches und privates Interesse oder Gesetz gerechtfertigt ist. Auch wenn sich der Dateninhaber grundsätzlich auf einen Rechtfertigungsgrund berufen kann, sind die allgemei- nen Datenschutzgrundsätze zu beachten.

Rechtfertigungsgründe

T Bundesamt für Wohnungswesen (BWO), Briefing Mietrecht: http://www.bwo.admin.ch/dokumentation/00101/00184/index.html?lang=de U www.Firma X, besucht am 3.11.2008.

7/17

20 Als Rechtfertigungsgrund gemäss Art. 13 Abs. 1 DSG kommt für Mietauskünfte neben der Einwil- ligung der betroffenen Person ein überwiegendes privates Interesse der bearbeitenden Person in Frage, wenn zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schüt- zenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gegeben werden, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betrof- fenen Person benötigen (Art. 13 Abs. 2 Bst. c DSG). Unter diesen Bedingungen ist für die Kredit- prüfung durch Dritte (Auskunfteien) und die Bekanntgabe eine Speicherung der Daten auf „Vor- rat“ zulässig. Gemäss Zweckmässigkeitsprinzip dürfen allerdings nur die Daten bearbeitet wer- den, die zur Prüfung der Kreditwürdigkeit erforderlich sind V .

21 Ein weiterer Rechtfertigungsgrund nach Art. 13 Abs. 2 Bst. a DSG ist jener des Vertragsab- schlusses. Demnach kann ein überwiegendes privates Interesse die Bearbeitung von Daten rechtfertigen, wenn diese die Verminderung des Risikos bei einem Vertragsabschluss bezweckt. Dieser Rechtfertigungsgrund kann bei allen Vertragsformen angerufen werden NM . Auch wenn die Kreditauskunftei auf „Vorrat“ Daten rechtmässig bearbeiten darf, ist die Bekanntgabe an Dritten nur an bestehende oder unmittelbar werdende Vertragspartner der betroffenen Person erlaubt. Hierbei obliegt es der Person, welche Daten bekannt gibt, zu prüfen, ob der Dritte ein tatsächli- ches Interesse an diesen Daten geltend machen kann. Die Anforderungen an den Interessen- ausweis sind nach dem Verhältnismässigkeitsprinzip je nach Sensitivität der Daten anzupassen.

Grundsätze der Datenbearbeitung

22 Nach Art. 4 Abs. 2 DSG haben die Datenbearbeitungen nach Treu und Glauben zu erfolgen. Gegen diesen Grundsatz verstösst beispielsweise derjenige, der Daten nicht offen bearbeitet, ohne dabei gegen eine Rechtsnorm zu verstossen NN . Demzufolge muss eine Datenbearbeitung transparent sein. Nach dem Erkennbarkeitsprinzip muss die Beschaffung von Personendaten und insbesondere der Zweck der Bearbeitung für die betroffene Person erkennbar sein (Art. 4 Abs. 4 DSG). Die Anforderungen, die dabei an die Erkennbarkeit gestellt werden, sind nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu be- urteilen NO . Ist die Beschaffung aufgrund der Umstände für die betroffene Person weniger deutlich erkennbar, muss die betroffene Person umso eher mit angemessenen Mitteln auf die Erhebung und ihre wesentlichen Rahmenbedingungen aufmerksam gemacht werden NP .

23 Nach dem Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG) darf ein Datenbearbeiter nur diejeni- gen Daten bearbeiten, die er für einen bestimmten Zweck tatsächlich benötigt und die im Hinblick auf den Bearbeitungszweck und die Persönlichkeitsbeeinträchtigung in einem vernünftigen Ver- hältnis stehen NQ . Wenn die Datenbearbeitung das angestrebte Ziel erreicht (Zwecktauglichkeit) und die privaten Interessen der Betroffenen schont (geringstmöglicher Eingriff) ist das Prinzip der Verhältnismässigkeit eingehalten.

24 Nach dem Grundsatz der Zweckmässigkeit (Art. 4 Abs. 3 DSG) dürfen Daten nur für den objekti- ven Zweck bearbeitet werden, der bei der Beschaffung angegeben worden ist oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Die betroffene Person muss es nicht hin- nehmen, dass über sie Daten ohne nähere Zweckbestimmung auf „Vorrat“ erhoben werden NR .

V Basler Kommentar zum Datenschutzgesetz (BSK-DSG), Corrado Rampini, Art. 13 N 36. NM BSK-DSG, Corrado Rampini, Art. 13 N 30 f. NN BSK-DSG, Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 7 und BBl 1988 II 449. NO BBl 2003 2125. NP BBl 2003 2126. NQ BSK DSG Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 11. NR BSK DSG Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 14; BGE 125 II 473 E. 4.

8/17

Mieterauskünfte

25 Der Zweck von Mieterauskünften, wie sie der „Auskunftservice A“ bereitstellt, ist die Verhinde- rung von Mietzinsausfällen. Der „Auskunftservice A“ soll dem Bedürfnis der Bonitätsprüfung für die Mieterselektion dienen NS . Auf der Website wird als Zweck die Überprüfung von Mieterinforma- tionen erwähnt. Als Kreditauskunftei stützt sich die Firma X bei ihrer Datenbearbeitung auf ein überwiegendes privates Interesse, namentlich auf den Rechtfertigungsgrund der Bonitätsprüfung gemäss Art. 13 Abs. 2 Bst. c DSG. Diesbezüglich ist auch ein Datenaustausch entgegen dem Willen der betroffenen Person zum Zweck der Prüfung der Kreditwürdigkeit der betroffenen Per- son möglich.

26 In diesem Zusammenhang ist zu prüfen, ob die Datenbearbeitung den allgemeinen Datenschutz- grundsätzen entspricht. Die damalige Eidgenössische Datenschutzkommission (EDSK) hat die Datenbearbeitung im Rahmen von Mietverhältnissen in zwei Entscheiden im Zusammenhang mit der Ausgestaltung von Mietformularen konkretisiert NT . Demnach dürfen nur Daten verwendet wer- den, die der Vermieter aus objektiven Gründen für die Mieterevaluation tatsächlich benötigt. Zu- dem darf der Vermieter bestimmte Unterlagen und Bestätigungen von Angaben (Betreibungsre- gisterauszüge) erst dann verlangen, wenn er mit dem Interessenten definitiv einen Mietvertrag abschliessen will NU .

27 Der EDÖB kommt daher zum Schluss, dass Mieterauskünfte, wie der „Auskunftservice A“, aus datenschutzrechtlicher Sicht grundsätzlich möglich sind, solange die Grundsätze der Datenbear- beitung (Art. 4, 5 Abs. 1 und 7 Abs. 1 DSG) eingehalten werden und diese ausschliesslich dazu verwendet werden, Bonitätsdaten auszutauschen. Werden hingegen weitere Daten (die nicht di- rekt bonitätsrelevant sind) zum Zweck der Mieterevaluation ausgetauscht, kann sich der Anbieter einer solchen Dienstleistung nicht auf ein überwiegendes privates Interesse gemäss Art. 13 Abs. 2 lit. c DSG berufen und benötigt hierfür einen anderen Rechtfertigungsgrund.

3. Datenschutzrechtliche Prüfung des „Auskunftservice A“

3.1 Informationen rund um den „Auskunftservice A“

28 Die Firma X informiert in ihrem Merkblatt „Datenschutzrechtliche Aspekte der Firma X Daten- bank“, dass ihre Datensammlung beim EDÖB angemeldet sei NV . Zudem weist die Firma X auch in ihren Antwortschreiben an Auskunftsersuchende daraufhin, dass die Datenbank dem DSG ent- spreche und beim eidgenössischen Datenschutzbeauftragten angemeldet sei OM . In den Allgemei- nen Geschäftsbedingungen (AGB) wird weiterhin erklärt, dass die Firma X sich verpflichte, alle Datenschutzanforderungen einzuhalten. Dazu gehöre unter anderem die Registrierung in Bern als Auskunftei, die Verschlüsselung der Kommunikation über https und der Schutz der Daten vor unberechtigtem Zugriff ON . Auf dem Merkblatt „Häufig gestellte Fragen“ schreibt die Firma X als Antwort, warum der Kunde nicht darüber informiert worden sei, dass er in eine Datenbank einge- tragen wurde: „Datenbanken, die beim eidgenössischen Datenschutz- und Öffentlichkeitsbeauf- tragten angemeldet sind, brauchen die betroffenen Personen nicht zu informieren, wenn sie je- manden in die Datenbank aufnehmen“ OO .

NS Beilage 6. NT VPB 62.42B und VPB 68.153; diese Beurteilungen sind in das Merkblatt Mietwohnungen des EDSB (EDÖB) eingeflossen. NU BSK DSG Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 25. NV Beilage 9, Merkblatt „ Datenschutzrechtliche Aspekte der Firma X Datenbank“. OM Beilage 7, Firma X Antwortschreiben Auskunftsbegehren. ON Beilage 8, Allgemeine Geschäftsbedingungen (AGB), Ziff. 5.4 und 6.2. OO Beilage 10, Merkblatt „Häufig gestellte Fragen“.

9/17

29 Nach Art. 11a DSG sind Datensammlungen von Privatpersonen beim EDÖB anzumelden, wenn diese regelmässig besonders schützenswerte Personendaten an Dritte bekanntgeben. Nach re- vidiertem Datenschutzgesetz ist das auch dann der Fall, wenn die betroffene Person Kenntnis von der Datenbearbeitung hat. Allerdings muss für die betroffene Person gemäss Art. 4 Abs. 4 DSG immer erkennbar sein, dass Daten über sie bearbeitet werden.

30 Der Text der Firma X kann den Eindruck erwecken, dass ihre Tätigkeit vom EDÖB bewilligt wor- den ist. Die Anmeldung nach Art. 11c DSG ist lediglich eine formelle Pflicht. Es bedeutet nicht, dass der EDÖB eine Bewilligung erteilt und die Tätigkeit der Firma X überprüft und genehmigt hat (ausserdem hat der EDÖB von Gesetzes wegen keine Bewilligungskompetenz). Demzufolge entsprechen die Ausführungen der Firma X in dem Merkblatt „Datenschutzrechtliche Aspekte der Firma X Datenbank“ und dem Merkblatt „Häufig gestellte Fragen“ nicht den aktuellen gesetzli- chen Gegebenheiten.

31 Daher sind die Merkblätter „Datenschutzrechtliche Aspekte der Firma X Datenbank“ und „Häufig gestellte Fragen“ an das geltende Recht anzupassen.

3.2 Zahlungserfahrungen (Bonitätsscoring)

32 Die Firma X bewertet die Zahlungserfahrung anhand einer Skala von A bis D, wobei betroffene Personen in die Kategorie A eingestuft werden, wenn keine Zahlungsstörungen bekannt sind, in Kategorie B, wenn geringfügige Fälle bekannt sind, in Kategorie C, wenn erhebliche Fälle be- kannt sind und in Kategorie D, wenn schwerwiegende Fälle bekannt sind. Hierbei wissen die be- troffenen Personen nicht in welche Kategorie sie eingestuft werden. Zudem wissen weder sie noch die Kunden des „Auskunftservice A“, wie die Fälle eingestuft werden und welche Informati- onen für die Einteilung der Kategorien herangezogen werden. Nach Aussagen der Firma X wird die Kategorisierung mathematisch aus den nachfolgenden Daten berechnet: Schwere der Zah- lungsstörung (ein Konkurs wiegt schwerer als ein Inkassofall), Alter des Ereignisses (aktuellere wiegen schwerer als frühere) und Anzahl der Zahlungsstörungen (viele wiegen schwerer als ein- zelne) =OP . Indem die Firma X nicht zu erkennen gibt, welche Daten sie zur Kategorisierung der Zahlungserfahrungen heranzieht und wie sie die Betroffene einstuft, verletzt sie den Grundsatz der Erkennbarkeit gemäss Art. 4 Abs. 4 DSG.

33 Demzufolge sind die Bewertung der Zahlungserfahrungen in A, B, C und D, die Kriterien der Berechnung, die einzelnen Zahlungserfahrungen sowie die Ampelbewertung für die betroffenen Personen und die Kunden der Firma X transparent zu gestalten.

3.3 Status einer Person

34 Die Firma X führt auf, dass der Personenstatus dazu dient, eine minderjährige, bevormundete oder verstorbene Person zu erkennen OQ .

35 Es ist nicht ersichtlich, warum es notwendig sein sollte, das Merkmal „minderjährige bzw. ver- storbene Person“ in der Datenbank zu führen, zumal der Vermieter mit seinem Interessennach- weis über die erforderlichen Informationen verfügt. Da dieses Merkmal eng mit der Suchfunktio- nalität zusammenhängt, wird auf die Erwägungen hinsichtlich der Suchfunktionalitäten (nachfol- gend Rz 63 ff.) verwiesen.

OP Beilage 1, S. 4; Beilage 2, S. 3; Beilage 4 (Kategorie Entscheidungsmatrix); Beilage 5. OQ Beilage 4 (Kategorie Entscheidungsmatrix).

10/17

3.4 Firmenbeziehungen mit negativen Daten

36 Die Firma X prüft, ob die betroffene Person in einer Beziehung zu Firmen mit Zahlungsstörungen steht. Hierbei muss, ihren Angaben zufolge, ein Status „gelb“ keine verschlechterte Bonität impli- zieren. Die Firma X bittet ihre Kunden daher zu prüfen, ob die Art der Zahlungsstörung im Zu- sammenhang mit der Rechtsform, der Art und Grösse der Firma geeignet ist, die Bonität der Per- son zu beeinflussen OR .

37 Die Beziehung einer Person zu einer Firma kann nur unter ganz speziellen Umständen einen Einfluss auf die Bonität des Mietinteressenten haben. Zu denken ist hierbei insbesondere an Fäl- le, in denen die betroffene Person unbeschränkt haftender Gesellschafter an einer Kollektiv- oder Kommanditgesellschaft ist oder Inhaber einer Kapitalgesellschaft ist, deren Grundkapital noch nicht vollständig liberiert wurde. Im „Auskunftservice A“ ist jedoch nicht ersichtlich, welcher Art die Beziehung einer Person zu einer Firma ist, welche Rechtsform die betreffende Firma hat und in- wiefern sich die Beziehung zwischen der Person und der Firma gegenseitig bonitätsrelevant be- einflussen können. Deshalb ist der Grundsatz der Erkennbarkeit verletzt (Art. 4 Abs. 4 DSG). Zu- dem steht ein solcher Bonitätshinweis nur im Einklang mit dem DSG, wenn dieser tatsächlich ge- eignet ist, die Bonität der betroffenen Person zu beeinflussen. Nicht jede Verknüpfung einer be- troffenen Person, mit einer Firma, welche Negativeinträge bei der Firma X aufweist, ist geeignet, Rückschlüsse auf die Bonität der betroffenen Person zu ziehen. Eine generelle Verknüpfung zwi- schen betroffenen Personen und Unternehmen verstösst gegen das Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG).

38 Deshalb sind die Beziehungen einer betroffenen Person zu einer Firma und die Bewertung der Bonität auf diejenigen Fälle zu beschränken, in welchen die durch die Verknüpfung gewonnen In- formationen tatsächlich bonitätsrelevant sind. Zudem müssen die Verknüpfungsarten für die be- troffenen Personen und die Kunden der Firma X erkennbar sein.

3.5 Durchschnittlichen Wohndauer an einer Adresse

39 Die Firma X führt die durchschnittliche Wohndauer im „Auskunftservice A“, um ihren Kunden häufige Umzüge anzuzeigen. Ihrer Meinung nach können häufige Umzüge in kurzen Abständen Hinweise darauf geben, dass Zahlungsstörungen bei Betreibungsämtern bekannt sein könnten. In einem solchen Fall rät die Firma X Betreibungsauskünfte der früheren Wohnorte zu verlan- gen OS .

40 Für einen Vermieter kann es grundsätzlich von Vorteil sein, wenn dieser weiss, wie lange ein potentieller Mieter an einem Wohnort im Durchschnitt verweilt. Wie allerdings die EDSK im vor- erwähnten Entscheid OT festhält, hängt die Dauer eines Mietverhältnisses von verschiedenen Fak- toren, wie Arbeit des Mieters inklusive der Familienmitglieder, Lebensumfeld, Geschmack des Mieters oder seiner Familie ab. Die EDSK hat die Frage nach der Länge des laufenden Mietver- hältnisses als unverhältnismässig eingestuft. Neben der Tatsache, dass es sich bei der durch- schnittlichen Wohndauer nicht um ein bonitätsrelevantes Datum im Sinne von Art. 13 Abs. 2 lit. c DSG handelt, ist diese zudem völlig ungeeignet, um hieraus Rückschlüsse auf einen potentiellen „Mietnomaden“ zu ziehen.

41 Der EDÖB gibt zudem zu bedenken, dass die Aufstellung sämtlicher Wohnsitzwechsel ein Per- sönlichkeitsprofil gemäss Art. 3 lit. d DSG darstellt. Diesbezüglich ist ein überwiegendes privates Interesse der bearbeitenden Person gemäss Art. 13 Abs. 2 lit. c DSG explizit ausgeschlossen. Ob ein Persönlichkeitsprofil vorliegt, ist im Einzelfall aufgrund der konkreten Umstände zu beur-

OR Beilage 4 (Kategorie Entscheidungsmatrix); Beilage 5. OS Beilage 3 (Kategorie Entscheidungsmatrix und alte Adresse(n)); Informationen Website. OT VPB 68.153, Erw. 13.

11/17

teilen. Angaben zu Wohnsitzwechseln über einen Zeitraum von mehreren Jahren sind als Per- sönlichkeitsprofil zu werten OU .

42 Daher sind das Feld „Durchschnittliche Wohndauer an einer Adresse“ und der Hinweis auf der Webseite „komplette Schuldner-Historie aller uns bekannter Wohnorte“ unverhältnismässig und zu entfernen.

3.6 Bonität von Haushaltsmitgliedern

43 Im „Auskunftservice A“ erhalten die Kunden der Firma X Daten mutmassliche Haushaltsmitglie- der der gesuchten Person angezeigt, bei denen Zahlungsstörungen vorliegen. Die Firma X führt hierzu aus, dass eine gelbe Ampel hierbei keine verschlechterte Bonität implizieren muss, son- dern empfiehlt die Bonität dieser Haushaltsmitglieder (bei Vorliegen eines Interessensnachwei- ses) zu verifizieren OV .

44 Die Bonität von Haushaltsmitgliedern kann beim Abschluss eines Mietvertrages dann eine Rolle spielen, wenn der Mietvertrag von solidarisch haftenden Personen unterschrieben werden soll. In diesem Fall kann auch jeweils ein Interessenachweis vorgelegt und die betreffende Person ihrer- seits separat mit Namen und Geburtsdatum im „Auskunftservice A“ abgerufen werden. Daher ist die Notwendigkeit einer solchen Verknüpfung der Daten nicht ersichtlich. Nach der Rechtspre- chung PM dürfen in einem Mietformular Name, Vorname, Geburtsdatum, Beruf und Arbeitgeber nur von Personen erfragt werden, die den Mietvertrag mit unterzeichnen. Da die Bonität der Haus- haltsmitglieder nur dann eine Rolle spielt, wenn der Mietvertrag von diesen Personen unterzeich- net wird, ist die Verknüpfung von Bonitätsdaten der im selben Haushalt lebenden Personen als unverhältnismässig gemäss Art. 4 Abs. 2 DSG einzustufen. Zudem sind Bonitätsdaten über Haushaltsmitglieder grundsätzlich nicht dazu geeignet, Rückschlüsse auf die Kreditwürdigkeit der betroffenen Person zu ziehen, weshalb sich die Firma X hierfür nicht auf den Rechtfertigungs- grund gemäss Art. 13 Abs. 2 Bst. c DSG berufen kann. Die Anzeige der Bonitätsdaten von Hausmitgliedern stellt daher eine widerrechtliche Persönlichkeitsverletzung der betroffenen Per- son gemäss Art. 12 DSG dar, weshalb das Feld „Haushaltmitglieder Bonität“ zu entfernen ist.

3.7 Datenbearbeitung zu weiteren Haushaltsmitgliedern

45 Die Firma X zeigt im „Auskunftservice A“ an, ob im gleichen Haushalt möglicherweise Ehe- oder Konkubinatspartner wohnhaft sein könnten. Hierzu wird anhand einer gleichen Telefonnummer oder einem übereinstimmenden Namen an einer identischen Wohnadresse automatisiert auf eine solche Partnerschaft geschlossen und der Status der betroffenen Person als gelb bewertet. Die Firma X merkt zudem an, dass der Status gelb in dieser Kategorie noch keine verminderte Boni- tät implizieren muss PN .

46 Die Angabe, dass mehrere Personen die gleiche Telefonnummer nutzen oder mehrere Personen mit gleichem oder verschiedenem Namen an der gleichen Adresse wohnhaft sind, reicht nicht aus, um hieraus auf bonitätsrelevante Informationen schliessen zu können. Nach derzeitiger Rechtsprechung PO dürfen in einem Mietformular Name, Vorname und Geburtsdatum nur von Per- sonen erfragt werden, die den Mietvertrag mit unterzeichnen. Da die Bonität der Haushaltsmit- glieder nur dann eine Rolle spielt, wenn sie den Mietvertrag unterzeichnen, ist die Datenbearbei-

OU BSK DSG Urs Belser, Art. 3 N 22. OV Beilage 4, Kategorie Entscheidungsmatrix ; Beilage 5. PM VPB 68.153 und VPB 62.42A. PN Beilage 4, Kategorie Entscheidungsmatrix; Beilage 5. PO VPB 68.153 und VPB 62.42A.

12/17

tung weiterer Personen, die den Mietvertrag nicht unterschreiben, unverhältnismässig (Art. 4 Abs. 2 DSG). Ausserdem wissen die im gleichen Haushalt lebenden Personen nicht, dass ihre Identifikationsdaten miteinander in einer Datenbank verknüpft werden. Daher verstösst eine sol- che Datenbearbeitung zudem gegen das Erkennbarkeitsprinzip gemäss Art. 4 Abs. 4 DSG, wes- halb das Feld „Weitere Haushaltsmitglieder“ zu entfernen ist.

3.8 Ähnlichkeitstreffer

47 Von Seiten der Firma X werden bei jeder Personenauskunft Ähnlichkeitstreffer angegeben, wenn Personen den gleichen Namen oder dasselbe Geburtsdatum haben. Ziel ist es, nach Angaben der Firma X, das Verwechslungsrisiko zu minimieren PP .

48 Grundsätzlich sollte bereits die Suchfunktionalität nach Name, Vorname, Adresse und Geburts- datum genügen, um eine betroffene Person eindeutig zu identifizieren, so dass die Notwendigkeit von Ähnlichkeitstreffern nicht gegeben ist. Zudem sind Ähnlichkeitstreffer in keinem Fall geeignet, um Rückschlüsse auf die Bonität der betroffenen Person zu ziehen, weshalb die Firma X diesbe- züglich kein überwiegendes privates Interesse geltend machen kann (Art. 13 Abs. 2 lit. c DSG). Daher ist diese Information als unverhältnismässig gemäss Art. 4 Abs. 2 DSG zu qualifizieren und demzufolge ist das Feld „ Ähnlichkeitstreffer“ zu entfernen.

4. Zur Gewährung des Zugangs zum „Auskunftservice A“

49 Als Bedingung für den Zugang prüft die Firma X, ob ein Antragssteller als professioneller Woh- nungsvermieter qualifiziert werden kann und ob die vom Antragssteller genannte Firma tatsäch- lich existiert. In den AGB verpflichten sich die Vertragpartner (auch für den Testzugang), für jede getätigte Nachfrage einen Interessennachweis aufzubewahren und der Firma X diesen auf Ersu- chen hin vorzulegen (Stichprobenkontrolle). Der Interessennachweis entspricht nach Auskunft der Firma X demjenigen für Betreibungsauskünfte nach SchKG (SR 281.1) PQ . Während die Firma X vor der Sitzung mit dem EDÖB grundsätzlich jedem Vermieter einen Zugang zum „Auskunft- service A“ gewährte, wird diese Dienstleistung nur noch Firmen (professionelle Wohnungsver- mieter) angeboten PR . Inzwischen ist dem EDÖB allerdings bekannt geworden, dass auch Versi- cherungen, die Mietkautionsversicherungen anbieten, den „Auskunftservice A“ nutzen können.

50 Bonitätsdaten dürfen gemäss Art. 12 Abs. 2 lit. c DSG nur zum Zweck der Prüfung der Kredit- würdigkeit im Rahmen des Abschluss und der Abwicklung eines Vertrages mit der betroffenen Person bearbeitet werden.

51 Obwohl der „Auskunftservice A“ grundsätzlich von jedem Vermieter genutzt werden könnte, ist die Missbrauchsgefahr gross, wenn jeder beliebige Vermieter hierauf Zugriff hätte. Daher be- grüsst der EDÖB die Beschränkung des Nutzerkreises. Eine Nutzung dieses Services durch eine Mieterkautionsversicherung ist dementsprechend nur dann möglich, wenn sich die Datenweiter- gabe nur auf Bonitätsdaten beschränkt. Weitergehende Informationen sind für die jeweilige Ver- sicherung zwar für die Risikoabschätzung der betroffenen Person nützlich, werden allerdings nicht zum Abschluss oder zur Abwicklung einer solchen Versicherung benötigt.

52 Für die Überprüfung, ob die via „Auskunftservice A“ bezogene Daten tatsächlich für den Ab- schluss eines Mietvertrages verwendet werden, ist datenschutzrechtlich einzig die Firma X ver- antwortlich, da sie den Zugang erteilt.

PP Beilage 4, Kategorie Entscheidungsmatrix; Beilage 5. PQ Beilage 1, S, 5. PR Beilage 2, S. 3.

13/17

53 Der Zugriff auf den „Auskunftservice A“ erfolgt, nachdem ein Vertrag mit der Firma X abge- schlossen wird. Wenn die Firma X die Interessennachweise der Zugangsberechtigten nur stichprobenhaft herausverlangt, übernimmt sie datenschutzrechtlich das Risiko, dass die Daten- bekanntgabe an Kunden erfolgen kann, die im Einzelfall keinen Interessennachweis vorlegen können. Steht im Nachhinein fest, dass der betreffende Kunde keinen Interessennachweis erbringen kann, hat die Datenschutzverletzung bereits stattgefunden. Die Firma X kann in einem solchen Fall für entstandene Schäden haftbar gemacht werden.

54 Wenn die Kunden der Firma X gleichzeitig einen Betreibungsregisterauszug bestellen, der via Tochtergesellschaft Firma A eingeholt wird, muss vorgängig ein Interessennachweis von der Firma X bzw. der Firma A eingeholt werden, denn ohne diesen Nachweis wäre die Bestellung ei- nes aktuellen Betreibungsregisterauszuges auch nicht möglich. In diesen Zusammenhang ist zu vermerken, dass gemäss EDSK Entscheid, ein Betreibungsregisterauszug im Zusammenhang eines Mietvertrages immer erst dann eingeholt werden darf, wenn mit dem Mieter definitiv ein Mietvertrag abgeschlossen werden soll. Diesbezüglich ist die Firma X datenschutzrechtlich dafür verantwortlich, dass ein Betreibungsregisterauszug erst dann verlangt und die in der Datenbank der Firma X entsprechend gespeicherten Daten erst dann abgerufen werden dürfen, wenn mit dem Mieter definitiv der Vertrag abgeschlossen werden soll.

55 Der Zugang zum „Auskunftservice A“ ist für Mietkautionsversicherungen so einzuschränken, dass nur noch die für den Abschluss und die Abwicklung eines Vertrages relevanten Bonitätsda- ten übermittelt werden. Die Firma X hat organisatorisch und technisch dafür zu sorgen, dass möglichst keine unberechtigten Abfragen im „Auskunftservice A“ vorgenommen werden können.

5. Datensicherheit

56 Der Zugang zum „Auskunftservice A“ erfolgt via Internet über einen passwortgeschützten und verschlüsselten (128 Bit SSL) Bereich. Vertraglich lässt sich die Firma X zudem in Ziff. 6.1 der AGB zusichern, dass das Passwort nur von den berechtigten Personen genutzt werden darf und eine Weitergabe an Dritte untersagt ist. Ausserdem trägt der Benutzer die Verantwortung, dass das Passwort in regelmässigen Abständen geändert wird und jeden Monat eine Bewegungssta- tistik erstellt wird. Nach Aussage der Firma X wird jedoch eine Passwortänderung nach einer ge- wissen Frist (30 - 60Tage) erzwungen =PS .

57 Die Firma X protokolliert sämtliche Zugriffe auf die Datenbank. Nach eigenen Angaben, deakti- viert sie den Zugang umgehend, wenn sie einen Missbrauch feststellt PT . In einem dem EDÖB be- kannten Fall wurde in Vorbereitung einer Sendung des Schweizer Fernsehens der Zugang miss- bräuchlich genutzt. Die Firma X hat zwar zunächst den Zugang korrekterweise gesperrt, diesen aber wieder frei geschaltet und damit in Kauf genommen, dass ohne Interessennachweis Abfra- gen möglich wurden.

58 Nach Art. 7 DSG müssen Personendaten gegen unbefugtes Bearbeiten durch angemessene technische und organisatorische Massnahmen geschützt werden. Insbesondere muss der Da- tenbearbeiter gemäss Art. 8 Abs. 1 der Verordnung zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11) für die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten sorgen. Die Bekanntgabekontrolle (Art. 9 Abs. 1 Bst. d VDSG) gewährleistet die Firma X insofern, als sie die Zugriffe protokolliert und den Benutzern die Daten lediglich über einen verschlüsselten und passwortgesicherten Bereich zugänglich macht PU .

PS Beilage 1, S. 5. PT Beilage 1, S. 5. PU BSK-DSG, Kurt Pauli, Art. 7 N 13.

14/17

59 Diesbezüglich sorgt die Firma X aus technischer Sicht in ausreichendem Masse für die Datensi- cherheit. Aus organisatorischer Sicht wurde mindestens bei der Zugangserteilung an den Kas- sensturz die Datensicherheit gemäss Art. 7 DSG nicht gewährleistet.

60 Ein Ausschluss der Haftung und eine Delegation der datenschutzrechtlichen Verantwortung an die Benutzer betreffend der Datensicherheit sind vertraglich nicht möglich und verstossen gegen Art. 7 DSG, weshalb die AGB entsprechend anzupassen sind. Demzufolge hat die Firma X orga- nisatorische Massnahmen zu treffen, damit ein unberechtigter Zugriff frühzeitig erkannt wird und der entsprechende Zugang zu ihrer Datenbank gesperrt wird und solange gesperrt bleibt, bis ein Missbrauch ausgeschlossen werden kann. Auch sind die AGB hinsichtlich der Pflicht des Daten- bearbeiters bei der Datensicherheit gemäss Art. 7 DSG anzupassen.

6. Datenrichtigkeit

61 In Ziffer 7.1 ihrer AGB schliesst die Firma X jede Haftung hinsichtlich Vollständigkeit und Richtig- keit der Daten ausdrücklich aus.

62 Gemäss Art. 5 Abs. 1 DSG hat derjenige, der Personendaten bearbeitet, sich über deren Richtig- keit zu vergewissern. Indem die Firma X jede Haftung hinsichtlich Vollständigkeit und Richtigkeit der Daten gemäss Ziff. 7.1 AGB ausschliesst, verstösst sie gegen Art. 5 Abs. 1 DSG. Ein solcher Ausschluss der Haftung und eine Delegation der datenschutzrechtlichen Verantwortung an die Benutzer sind vertraglich nicht möglich, weshalb die AGB hinsichtlich der Pflicht des Datenbear- beiters bei der Datenrichtigkeit gemäss Art. 5 Abs. 1 DSG anzupassen sind.

7. Suchfunktionalitäten

63 Die Suchfunktionalitäten im „Auskunftservice A“ sind so ausgestaltet, dass allein aufgrund eines Attributmerkmals (Name, Strasse etc.) eine Suche ausgelöst werden kann, die zu Treffern führt. Die Suchergebnisse sind auf eine Liste von ca. 50 Namen begrenzt PV .

64 Mit der jetzigen Ausgestaltung der Suchfunktionalität können Zugangsberechtigte mehr Daten einsehen als notwendig. In den AGB legt die Firma X fest, dass der Zugangsberechtigte nur auf die tatsächlich benötigten Daten zugreifen darf, für die er einen Interessensnachweis erbringen kann QM .

65 Diesbezüglich hat einerseits der Kunde die datenschutzrechtliche Verantwortung, nur die Daten von Personen abzufragen, für die ein Interessennachweis vorhanden ist. Andererseits hat aber auch die Firma X eine datenschutzrechtliche Verantwortung. Sie muss nach dem Grundsatz der Verhältnismässigkeit gemäss Art. 4 Abs. 2 DSG und dem Grundsatz der Datensicherheit gemäss Art. 7 DSG dafür sorgen, dass nur tatsächlich benötigte Daten abgefragt werden können. Die Firma X muss also auch technische Massnahmen ergreifen, damit eine einschränkende Suche möglich ist. Demzufolge sind die Suchfunktionalitäten so auszugestalten, dass die Firma X stu- fenweise von den Kunden die Eingabe von Kriterien verlangt, die jeweils von der Anzahl der ge- lieferten Suchtreffer abhängig ist. Die Suchkriterien wären in der erweiterten Suche zunächst Name und Vorname, dann Geburtsdatum, weiter Wohnort und schliesslich Adresse. Da der Kun- de über die notwendigen Informationen verfügt, ist eine solche Suche für ihn möglich. Dadurch werden keine Ähnlichkeitstreffer mehr angezeigt, da die Suche fortlaufend mittels Aufforderung erweitert werden kann, bis schliesslich die gesuchte Person angezeigt wird.

PV Beilage 1, S. 5. QM Beilage 8, Ziff. 6.1 AGB.

15/17

66 Mit einer solchen Lösung könnte im Einklang mit Art. 9 Abs. 1 Bst. g VDSG technisch und orga- nisatorisch besser gewährleistet werden, dass Zugangsberechtigte nur auf tatsächlich benötigte Daten zugreifen können.

67 Demzufolge sind die Suchfunktionalitäten zwingend so zu auszugestalten, dass der Kunde bei der Suche nach einer Person stufenweise Kriterien eingeben muss, die jeweils von der Anzahl Suchtreffern abhängig sind.

8. Auskunfts- und Löschungsbegehren

68 Nach eigenen Angaben erledigt die Firma X Auskunfts- und Löschungsbegehren betreffend „Auskunftservice A“ innerhalb von 2 bis 3 Tagen. Die Überprüfung der Identität des Auskunftser- suchenden erfolgt aufgrund der Kopie eines amtlichen Ausweises wie Pass, Identitätskarte oder Führerausweis QN . Die Auskunft wird in der Regel in einem Standardbrief QO und einem Auszug aus der Datenbank der Firma X erteilt, der folgende Daten enthält:

• Info über die Person (Status) mit Adresse, Telefonnummer, Faxnummer, Email, Geburtsda- tum, Geschlecht und Geburtsort; • Publikationen; • Zahlungserfahrungen (Anzahl Zahlungserfahrungen, Aktuellster Fall, Forderungssumme, offe- ner Betrag und Forderungsstatus); • Auskünfte und Inkassomeldungen.

69 Im Standardantwortbrief wird mitgeteilt, dass die Datenbank der Firma X Personendaten enthält, die von den Kunden der Firma X zur Prüfung der Kreditwürdigkeit im Zusammenhang mit dem Abschluss eines Vertrages benötigt werden und ob über den Kunden negative Bonitätsdaten be- kannt sind. Zudem wird auf das Merkblatt „Datenschutzrechtliche Aspekte der Firma X Daten- bank“ sowie das Blatt „Häufig gestellte Fragen“ verwiesen. Diese Merkblätter sowie Hinweise auf Auskunfts- und Löschungsrechte werden von der Firma X nicht auf ihrer Webseite veröffentlicht.

70 Im Rahmen des Auskunftsersuchens erhält die betroffene Person von der lediglich ihre in der Datensammlung gespeicherten Personendaten QP . Hingegen erhält die betroffene Person keinerlei Auskunft über Daten, welche die Firma X anhand der in ihrer Datensammlung vorhanden Daten berechnet (z.B. Scorings, Kennzahlen, etc.) oder verknüpft und welche sie Dritten bekannt gibt.

71 Nach Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlan- gen, ob Daten über sie bearbeitet werden und ob der Dateninhaber sich auf einen Rechtferti- gungsgrund für die Datenbearbeitung berufen kann. Die Gewährung des Auskunftsrechts ist die Voraussetzung, um zu erkennen, welche Daten über eine betroffene Person bearbeitet werden und um weitere (Datenschutz-) Rechte, wie beispielsweise das Löschungs- und Berichtigungs- recht, erst geltend machen zu können.

72 Das Auskunftsrecht bezieht sich hierbei auf alle Daten über eine Person in einer Datensamm- lung, die ihr zugeordnet werden können. Es erstreckt sich auf jede Art von Information, die auf die Vermittlung oder die Aufbewahrung von Kenntnissen ausgerichtet ist, ungeachtet, ob es sich dabei um eine Tatsachenfeststellung oder um ein Werturteil handelt und ob diese Information in einer Datenbank abgespeichert oder nur zur Ansicht jeweils berechnet wird. Entscheidend für die Qualifikation als Personendaten, die vom Auskunftsrecht erfasst sind, ist, dass sich die Angaben einer oder mehreren Personen zuordnen lassen. Wie der Bezug zur betroffenen Person herge-

QN Beilage 1, S. 6. QO Beilage 11, Firma X Standardantwortbrief Auskunftsbegehren. QP Beilage 11.

16/17

stellt wird, ist hierbei ohne Bedeutung. Wesentlich ist, dass die Zuordnung ohne unverhältnis- mässigen Aufwand möglich ist QQ . Auskunft zu erteilen ist über alle Daten, die sich auf die aus- kunftsersuchende Person beziehen (Art. 3 Bst. a DSG) und die ihr zugeordnet werden können (Art. 3 Bst. g DSG). Wird die Auskunft verweigert, eingeschränkt oder aufgeschoben, muss nach Art. 9 Abs. 4 DSG hierfür ein Grund angegeben werden.

73 Gegenüber ihren Kunden bietet die Firma X neben den bei ihr gespeicherten Daten segmentspe- zifische Ratings (z.B. in Form von Ampeln) der betroffenen Personen an. Im Rahmen der Wahr- nehmung ihres Auskunftsrechts erhalten hingegen die betroffenen Personen lediglich einen Aus- zug über die von der Firma X gespeicherten Adress- und Bonitätsdaten. Die Merkblätter „Häufig gestellte Fragen“ und „Datenschutzrechtliche Aspekte der Firma X Datenbank“ erwähnen nir- gends, dass diese Daten der betroffenen Person weiterbearbeitet werden (z.B. in Form von Ra- tings oder dem Ampelsystem).

74 Zugangsberechtigte ersehen beim „Auskunftservice A“ einen grösseren Datensatz als der betrof- fenen Person im Rahmen ihrer Auskunftsbegehren mitgeteilt werden. Somit ist für die betroffe- nen Personen nicht erkennbar, welche Daten über sie von der Firma X bearbeitet werden (Art. 4 Abs. 4 DSG). Gerade aus diesem Grund können die betroffenen Personen auch nicht ausrei- chend von ihrem Recht auf Datenberichtigung gemäss Art. 5 Abs. 2 DSG Gebrauch machen. Damit liegt eine widerrechtliche Persönlichkeitsverletzung vor. Indem Firma X in Auskunftsbegeh- ren nicht alle objektiv erschliessbaren Daten den betroffenen Personen mitteilt, bzw. eine Ein- schränkung des Auskunftsrechts begründet, verletzt sie die Pflichten nach Art. 8 und 9 DSG. Es wird darauf hingewiesen, dass betroffene Personen gemäss Art. 15 DSG eine Klage beim Zivil- richter einreichen können. Zudem kann bei vorsätzlicher Verletzung der Auskunftspflicht auch ei- ne Strafklage erhoben werden (Art. 34 Abs. 1 DSG).

75 Demzufolge sind den betroffenen Personen auf Auskunftsersuchen hin sämtliche Informationen auszuhändigen, welche von der Firma X bearbeitet werden (unabhängig davon, ob diese in de- ren Datensammlung gespeichert sind oder bei Bedarf aus dem Datenbestand berechnet werden) und die ersuchende Person betreffen (auch wenn es sich hierbei um Daten handelt, welche nicht im Datensatz der betroffenen Person gespeichert sondern nur verknüpft werden).

III. Empfehlungen

Aufgrund dieser Erwägungen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauf- tragte (EDÖB)

1. Das Merkblatt „Datenschutzrechtliche Aspekte der Firma X Datenbank“ sowie das Merkblatt „Häufig gestellte Fragen“ sind an das geltende Recht anzupassen.

2. Die Bewertung der Zahlungserfahrungen in A, B, C und D, die Kriterien der Berechnung, die einzelnen Zahlungserfahrungen sowie die Ampelbewertung sind transparent zu gestalten.

3. Die Beziehungen einer betroffenen Person zu einer Firma und die Bewertung der Bonität sind auf die Fälle zu beschränken, in welchen die durch die Verknüpfung gewonnenen Informatio- nen tatsächlich bonitätsrelevant sind. Zudem müssen die Verknüpfungen für die betroffene Person und die Kunden der Firma X erkennbar sein.

QQ BSK DSG Urs Belser, Art. 3 N 5, VBP 62.57, E 4.

17/17

4. Das Feld „Durchschnittliche Wohndauer an einer Adresse“, der Hinweis auf der Website „komplette Schuldnerhistorie aller uns bekannter Wohnorte“ sowie die Felder „Haushaltmit- glieder Bonität“, „Weitere Haushaltsmitglieder“ und „ Ähnlichkeitstreffer“ sind zu entfernen.

5. Der Zugang zum „Auskunftservice A“ ist für Mieterkautionsversicherungen so einzuschränken, dass nur noch die für den Abschluss und die Abwicklung des Vertrages relevanten Bonitäts- daten übermittelt werden.

6. Die Firma X hat organisatorische Massnahmen zu treffen, damit ein unberechtigter Zugriff frühzeitig erkannt wird und der entsprechende Zugang zu ihrer Datenbank gesperrt wird und solange gesperrt bleibt, bis ein Missbrauch ausgeschlossen werden kann.

7. Die AGB sind hinsichtlich der Pflicht des Datenbearbeiters bei der Datensicherheit gemäss Art. 7 DSG und sowie seiner Pflicht bei der Datenrichtigkeit gemäss Art. 5 Abs. 1 DSG anzu- passen.

8. Die Suchfunktionalität ist zwingend so zu auszugestalten, dass der Kunde bei der Suche nach einer Person stufenweise Kriterien eingeben muss, die jeweils von der Anzahl Suchtreffern abhängig ist.

9. Den betroffenen Personen ist laut Auskunftsersuchen hin sämtliche Informationen auszuhän- digen, welche von der Firma X bearbeitet werden (unabhängig davon, ob diese in deren Da- tensammlung gespeichert sind oder bei Bedarf aus dem Datenbestand berechnet werden) und die ersuchende Person betreffen (auch wenn es sich hierbei um Daten handelt, welche nicht im Datensatz der betroffenen Person gespeichert, sondern verknüpft werden).

Die Firma X teilt dem EDÖB innerhalb von 30 Tagen ab Erhalt dieser Empfehlung mit, ob sie die Empfehlung annimmt oder ablehnt. Wird diese Empfehlung nicht befolgt oder abgelehnt, so kann der EDÖB die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).

Bei Annahme der Empfehlung gilt der Firstablauf (30 Tage) gleichzeitig als Fristbeginn für die Umset- zung der genannten Massnahme.

Die vorliegende Empfehlung wird in Anwendung von Art. 30 Abs. 2 DSG in anonymisierter Form pub- liziert.

EIDGENÖSSISCHER DATENSCHUTZ- UND ÖFFENTLICHKEITSBEAUFTRAGTER

Hanspeter Thür