«Moneyhouse» Bundesverwaltungsgericht vom 18. April 2017

Aus den Erwägungen:

5. Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen (Art. 12 Abs. 1 DSG). Insbesondere dürfen Personendaten nicht entgegen den Grundsätzen von Art. 4 DSG bearbeitet (Art. 12 Abs. 2 lit. a DSG) oder ohne Rechtfertigungsgrund besonders schützenswerte Per- | sonendaten oder Persönlichkeitsprofile Dritten bekannt gegeben werden (Art. 12 Abs. 2 lit. c DSG).

Dass es sich bei den auf der Plattform der Beklagten bekannt gegebenen Daten nicht um besonders schützenswerte Personendaten i.S.v. Art. 3 lit. c DSG handelt, ist unbestritten […]. Den Rechtsbegehren […] liegt jedoch die Rechtsfrage zugrunde, ob dieselben, gesetzlich vorgesehenen verstärkten Schutzmechanismen greifen, weil die Beklagte im Rahmen der Erbringung ihrer Dienstleistungen Persönlichkeitsprofile i.S.v. Art. 3 lit. d DSG bearbeitet. Fraglich ist mithin also, ob ihre Datenzusammenstellung eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt (der legaldefinierte Begriff der Bearbeitung von Persönlichkeitsprofilen bezieht sich nur auf natürliche, mithin also nicht auf juristische Personen; vgl. statt vieler G. P. Blechta, in: U. Maurer-Lambrou / ​G. P. Blechta [Hg.], Datenschutzgesetz / ​Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014, DSG 3 N 69).

[…]

5.2

5.2.1 Nicht jede Datenkombination lässt die Beurteilung wesentlicher ­Aspekte der Persönlichkeit zu und stellt somit ein Persönlichkeitsprofil dar. Mit der Einführung dieses Begriffs wollte der Gesetzgeber dem Umstand Rechnung tragen, dass eine Vielzahl an sich nicht besonders schützens­werter Daten zu einem spezifischen Bild über die betroffenen Personen verdichtet werden können, das als solches ein erhöhtes Risiko für die Per­sönlichkeit generiert (Blechta, DSG 3 N 62 ff., vgl. auch BVGer vom 13. Juli 2016, A-8073/2015, E. 6.1.3, m.w.H.).

Ein Persönlichkeitsprofil ist eine Zusammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähig­keiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Persönlichkeitsprofile können zum Beispiel bei Sicherheitsüberprüfungen oder im Rahmen eines Anstellungsverhältnisses entstehen. Aber auch Datensammlungen über das Konsumverhalten oder über schulische und berufliche Qualifikationen sind geeignet, mindestens ein Teilbild der betroffenen Personen zu ergeben. Entscheidend ist, dass auch durch die systematische Zusammenstellung von an sich nicht besonders schützenswerten Daten (z. B. über Lesegewohnheiten, Reise- und Freizeitaktivitäten) sensitive Bereiche einer Person, z. B. ihre Welt­anschauung, erschlossen werden können. Infolge der technologischen Entwicklung der letzten Jahre haben die Speicherfähigkeit, Durchlässigkeit und Vernetzung von Informationen enorm zugenommen (vgl. R. J. Schweizer / ​S. Bischof, Der Begriff der Personendaten, digma 2011, 156 f. und BGE 138 II 346 ff. E. 10.6.2). Da mit Hilfe elektronischer Datenverarbeitung personenbezogene Informationen in beliebigem Umfang gespeichert, verknüpft und reproduziert werden können, lassen sich auch an sich harmlose Informationen, die ohne Weiteres der Öffentlichkeitssphäre zuzurechnen wären, zu ­eigentlich schützenswerten Persön­lichkeitsprofilen verdichten (BGE 138 II 346 ff. E. 8.2; zur sog. Sphärentheorie, welche die Lebensbereiche des Menschen dreiteilt vgl. BVGer vom 30. März 2011, A-7040/2009, E. 3.3.3 m.w.H.). Durch diese Speicher- und Auswertungsmöglichkeiten der automatischen Datenverarbeitung und durch die Verknüpfung automatisierter Datenbestände ist die Erstellung von Persönlichkeitsprofilen leichter und häufiger geworden (vgl. auch T. Probst, Die Verknüpfung von Personendaten und deren rechtliche Tragweite, in: A. Epiney / T. Probst / N. Gammenthaler [Hg.], Datenverknüpfung, Problematik und rechtlicher Rahmen, Zürich 2011, 3, der davon spricht, dass durch den technischen Fortschritt auf dem Gebiet der elektronischen Kommunikation und Datenverarbeitung das natürliche Phänomen der Datenverknüpfung zu einem rechtlichen Grundproblem geworden ist). Die miteinander verknüpften Personendaten erreichen relativ rasch eine Informationsdichte, die Verhaltensmuster und Persönlichkeitsprofile erkennen lassen (Probst, 30). Die Betroffenen haben oft keine Kenntnis vom Bestehen eines Profils und können so dessen Richtigkeit und Verwendung nicht kontrollieren. Einmal erstellt, können aber Persönlichkeitsprofile den Betroffenen der Freiheit berauben, sich so darzustellen, wie er will. Sie vermögen mithin die Entfaltung der Persönlichkeit wesentlich zu beeinträchtigen. Deshalb sollen sie, gleich wie besonders schützenswerte Daten, nur unter bestimmten Voraussetzungen erstellt und bearbeitet werden dürfen (zum Ganzen Botschaft vom 23. März 1988 zum DSG, BBl 1988 II 413 ff., 446 f. und Blechta, DSG 3 N 63; vgl. auch VPB 65 .48 E. 2a).

Für die Frage, ob eine Zusammenstellung mehrerer Daten einer bestimmten Person ein Persönlichkeitsprofil ergibt, kommt es zum einen auf die Menge und den Inhalt der personen­bezogenen Informationen an, mit anderen Worten ob und inwiefern diese Werturteile über die betroffene Person erlauben. Man muss überdies nach der zeitlichen Dimension der Informa­tionen differenzieren. Personendaten, die über einen längeren Zeitraum ­zusammengetragen werden und dadurch gleichsam ein biografisches Bild ergeben, indem sie eine Entwicklung, einen Werdegang der betroffenen Person aufzeigen, sind eher als Persönlichkeitsprofil zu qualifizieren als Daten, die eine blosse Momentaufnahme darstellen. Im Weiteren wird unter ­Um­ständen der konkrete Zusammenhang, in dem die Daten verwendet ­werden, mit entscheidend dafür sein, ob der qualifizierte gesetzliche Schutz zum Tragen kommen soll oder nicht.

|

Der Begriff des Persönlichkeitsprofils kann somit nicht generell definiert werden, vielmehr ist das Vorliegen eines Persönlichkeitsprofils im Einzelfall aufgrund der konkreten Umstände zu ­bejahen oder zu verneinen (VPB 65 .48 E. 2b).

Ein Gesamtbild der betroffenen Person zu ergeben, vermögen nach bundesgerichtlicher Rechtsprechung z. B. die in einem Einbürgerungsverfahren zu machenden detaillierten Angaben über Herkunft, Einkommen, Vermögen, Ausbildung, Tätigkeit, Sprachkenntnisse, Familienverhältnisse, Freizeit­gestaltung, Leumund etc. (BGE 129 I 232 ff. E. 4.3.2). Als Beispiel einer ­möglichen Bearbeitung von Persönlichkeitsprofilen gelten neben der Aufzeichnung von Kundengewohnheiten und -präferenzen, der personalisierten Auswertung von Kreditkartentransak­tionen, der Bearbeitung von Angaben über Charaktereigenschaften, Sozialverhalten und weiteren persönlichen Informationen über Mitarbeitende durch die Arbeitgebenden auch Bonitätsprüfungen, die sachwidrige Kriterien – wie etwa den Wohnsitz – infolge ihrer statistischen Relevanz zur Bonitätsbeurteilung heranziehen (Blechta, DSG 3 N 67).

Im Übrigen reicht die einzelne Bekanntgabe eines Persönlichkeitsprofils; eine regelmässige Bekanntgabe oder das – vorliegend ohnehin zu bejahende – Führen einer Datensammlung ist nicht erforderlich (D. Rosenthal, in: D. Rosenthal / Y. Jöhri [Hg.], Hand­kommentar zum Datenschutzgesetz, 1. Aufl., Zürich 2008, DSG 12 II N 46).

5.2.2 Im vorliegenden Fall ist zwischen folgenden Sachverhalten zu unterscheiden:

Nicht registrierte Besucher der Plattform können die Suchfunktion nach Privatpersonen auf <www.​mo​neyhouse.ch> nicht einsetzen, sondern lediglich auf die ebenfalls im Handelsregister ersichtlichen Daten zugreifen oder aber insbesondere natürliche Personen indirekt suchmaschinenindexiert, z. B. via Google-Suche auffinden. Auch der Wohnort und die Nationalität von im Handelsregister eingetragenen natürlichen Personen können – sofern dort aufgeführt – ermittelt werden. Ebenfalls zugänglich sind Jobangebote, Baugesuche und -bewilligungen, Miet- und Kaufangebote von Immobilien, ein Branchenverzeichnis sowie eine Auflistung von Konkursen und Gesellschaftsgründungen. Die Beklagte sammelt von nicht registrierten Besuchern ihrer Plattform Informationen betreffend den verwendeten Internet-Browser, die Anzahl Besuche, die durchschnittliche Verweilzeit und die aufgerufenen Seiten. Weiter werden sog. Cookies ein­gesetzt, welche die besuchte Website über den Browser im Rechner des Be­suchers platziert und die so Informa­tionen über jeden neuen Besuch der Website senden. Monatlich sollen […] nicht registrierte Nutzer die Plattform besuchen.

Registrierten Nutzern werden zusätzliche Daten bekannt gegeben. Der Zugang erfolgt passwortgeschützt und nachdem die Nutzungsbedingungen akzeptiert wurden. Der Abruf von Informationen erfolgt unentgeltlich. Kostenlos registrierte Nutzer können von der Firmensuche Gebrauch machen und so Angaben von natürlichen Personen ­abrufen, die im Handelsregister eingetragen sind, wie z. B. Informationen über aktuelle und frühere Verwaltungsratsmitglieder, Zeichnungsberechtigte und Revisionsstellen. Die Suchfunktion betreffend natürliche Privatpersonen können sie eingeschränkt benutzen: Es kann die genaue Adresse einer natür­lichen, nicht im Handelsregister eingetragenen Person abgefragt sowie deren Telefonnummer, wenn diese in einem über das Internet zugänglichen Telefonverzeichnis wie <www.local.ch> eingetragen ist. Mit der Anzeige der ­gesuchten Person macht die Beklagte registrierte Nutzer darauf aufmerksam, welche zusätzlichen Informationen durch sog. Premium Users abrufbar wären. Dabei wird der entsprechende Link zum Abschluss eines solchen Abonnements eingeblendet. Weiter können kostenlos registrierte Nutzer zwei juristische Personen überwachen lassen und einen Handelsregisterauszug bestellen. Die Beklagte meldet dem betreffenden Nutzer diesfalls alle Änderungen der Daten der überwachten juristischen Person. Monatlich sollen durchschnittlich […] registrierte Nutzer die Website der Beklagten besuchen.

Bei spezifischer Suche nach natürlichen, nicht im Handelsregister verzeichneten Personen gibt die Beklagte auf ihrer Plattform registrierten Nutzern, die ein entgeltliches Premiumabonnement abgeschlossen haben, nebst Vor- und Nachnamen teilweise weitere Hintergrundinformationen betreffend die gesuchte Person bekannt, wie z. B. Wohnort, Postleitzahl, Geburtsdatum und damit Alter, aktuellen Beruf und beruflichen Werdegang, Haushaltsmitglieder und Wohnsituation mit Verlinkung auf Google-Street-View-Bilder sowie Nachbarn und alte Adressen / ​Wohnorte. Zusätzlich werden Angaben zum Gebäudetyp, zu den Anzahl Haushalten im Gebäude, zur Bauperiode, zu den Baukosten und zur Anzahl Etagen gemacht. Konkret bestehen diverse Verlinkungen, nebst «Finanzielles» auch «Privates» (Wohnsituation, Haushalt und Nachbarn, Wohnorte), «Wer wohnt im gleichen Haushalt?» und «Nachbarn». Unter dem Link «Haushalt und Nachbarn» zur gesuchten Person stehen Fragen wie «Mit wem wohnt die ­gesuchte Person zusammen? Wohnt sie alleine? Und wer sind ihre Nachbarn? Wem gehört die Immobilie, in der sie wohnt?» und der Hinweis «Nachfolgend erfahren Sie, welche Personen an derselben Strasse wohnhaft sind und welche Firmen an dieser Strasse ihren Sitz haben». Unter dem Link «Wohnorte» zur gesuchten Person finden sich Fragen wie «Wo lebt sie aktuell und wo hat sie früher ­gewohnt? Wie lebte sie | ­früher? In einem Einfamilienhaus oder in einer Wohnung?». Zu Haushaltsmitgliedern und Nachbarn sind teilweise Angaben wie Name und Vorname, Geburtsdatum / ​Alter sowie Beruf ersichtlich und es ist mit Bezug auf diese Personen ebenfalls eine Bonitätsabfrage möglich. Unter der Wohnsituation zur gesuchten Person stehen Fragen wie «Wie wohnt sie? Wohnt sie zur Miete oder hat sie die ­Immobilie gekauft?». Im Rahmen der Suche nach juristischen Personen können die sog. Premium Users zusätzlich Informationen betreffend den Inhaber eines Unternehmens sowie Beteiligungen einer juristischen Person und eine detaillierte Darstellung ihres Netzwerks abrufen. Ebenfalls möglich ist diesfalls die unlimitierte Überwachung von juristischen Personen. Weiter können Bonitätsauskünfte und Informationen betreffend die Zahlungsmoral von juristischen und natürlichen Personen eingeholt werden. Im Rahmen von Bonitätsabfragen werden Details zur gesuchten Person wie Vorname, Name, Geburtsdatum / Alter, Adressen und Adress- und Personenstatus (passiv oder aktiv, wobei Letzteres bedeutet, dass die Person weder bevormundet noch minderjährig noch verstorben ist), zu Zahlungsstörungen, sowie eine Gesamtbeurteilung mittels einer Bonitätsampel (rote, gelbe oder grüne Anzeige) bekannt gegeben.

5.2.3 Die Rechtsbegehren […] des Klägers beschränken sich implizit auf die Datenbekanntgabe gegenüber registrierten Nutzern, die ein ent­geltliches Premiumabonnement ab­geschlossen haben, da die übrigen Benutzer keinen Zugang zu anderen als bonitätsrelevanten und der Identifizierung dienenden Daten erhalten. Unter Bonitätsdaten sind hierbei Informa­tionen, welche die Kreditwürdigkeit – also die Zahlungsfähigkeit und -willigkeit (Rosenthal, DSG 13 N 49) – der betroffenen Person positiv oder ne­gativ beeinflussen, zu verstehen (vgl. M.F. Schäfer, Aktuelle Fälle aus der Praxis des EDÖB – Kreditauskunfteien und die Bearbeitung von Boni­täts­daten, in: A. Epiney / T. Probst / ​N. Gammen­thaler [Hg.], Datenverknüpfung, Problematik und recht­licher Rahmen, Zürich 2011, 62). Daten zur Identifizierung einer Person wie z. B. Name, Vorname, Geburtsdatum und Adresse sind keine Bonitätsdaten im eigentlichen Sinn. Sofern solche Daten jedoch öffentlich zugänglich sind, dürfen sie von Kreditauskunfteien grundsätzlich bearbeitet, d. h. insbesondere gespeichert, werden (Schäfer, 63). Der Rechtfertigungsgrund der Kreditüberprüfung nach Art. 13 Abs. 2 lit. c DSG gilt demnach für die Bearbeitung solcher Daten, die zur Identifikation der betroffenen Person und zur Überprüfung ihrer Kreditwürdigkeit geeignet und erforderlich sind, so insbesondere Vorname, Name, Geburtsdatum, Adresse, Betreibungen, Konkurse, Nachlassverfahren ­sowie entsprechende Gesuche, Verlustscheine, einvernehmliche Schuldensanierungen, abgelehnte Kreditanträge, nicht zurückbezahlte Kredite, Kreditkartensperrungen infolge Verzugs oder Missbrauchs, Zahlungsrückstände und Inkassoverfahren, solange damit nicht Persönlichkeitsprofile bearbeitet werden (C. Rampini, DSG 13 N 36). Da die Beklagte die Bonitätsprüfung nicht selber durchführt, benötigt sie nach Ansicht des Klägers für die Erteilung der Bonitätsauskünfte lediglich die zur zweifelsfreien Identifi­zierung notwendigen Daten wie Vorname, Name, aktuelle Adresse, zwei bisherige Adressen und das Geburtsdatum.

5.2.4 Betreffend die aus dem Handelsregister ersichtlichen Daten ist eine Datenbearbeitung an sich gerechtfertigt, solange diese Daten unverändert übernommen werden (BVGer vom 26. Februar 2008, A-4086/2007, E. 5.2.8 f. sowie E. 5.3 f.). Die vorliegende, davon zu unterscheidende Frage ist, wie es sich in rechtlicher Hinsicht verhält, wenn diese Daten mit weiteren verknüpft werden. Die von der Beklagten angebotenen Recherchemöglichkeiten betreffend natürliche Privatpersonen basieren nämlich auf der Verknüpfung von Datensätzen bzw. erlauben eine solche, womit eine natürliche Person in einem bestimmten Zusammenhang gezeigt wird, der über den Informa­tionsgehalt der Ursprungsdaten im Handelsregister hinausgeht (vgl. auch BVGer vom 26. Februar 2008, A-4086/2007, E. 5.2.8).

Für die Qualifikation einer Zusammenstellung von Personendaten als Persönlichkeitsprofil ist mit dem Kläger einig zu gehen, dass die Herkunft der Daten bzw. die Art der Datenquelle unerheblich ist. Vielmehr entscheidend sind Menge und Inhalt der verknüpften Daten (VPB 65 .48 E. 2b und vorne E. 5.2.1). Daher ist es in diesem Zusammenhang unerheblich, ob die strittigen Daten bereits zugänglich gemacht worden sind oder nicht. Bei Daten aus ­öffentlichen Quellen wie dem Handels- oder Steuerregister, aus Amtsblättern oder dem Grundbuch konnten die ­betroffenen Personen zudem aufgrund der entsprechenden gesetzlichen Verpflichtungen zur Datenbekanntgabe deren Art und Umfang nicht bestimmen. Relevant ist vorliegend einzig, ob die Verknüpfung von Informationen – auch von solchen, welche der Öffentlichkeit bereits zugänglich oder welche nicht besonders schützenswert i.S. des DSG sind – Aufschluss über einen oder mehrere wesentliche Aspekte der ­Persönlichkeit gibt (vgl. vorne E. 5.2.1). Auch wenn es sich also bei sämtlichen bekannt gegebenen Daten nur um solche handeln würde, die bereits öffentlich zugänglich wären, so stünde diese Tatsache einer Qualifikation der praktizierten Datenverknüpfung als Persönlichkeitsprofil nicht entgegen.

5.2.5 Die Tatsache, dass der Gesetz­geber den Betrieb von Auskunfteien mit Art. 13 Abs. 2 lit. c DSG ermög­lichen wollte, legt den Umkehrschluss | nahe, dass diejenigen Daten, die eine Auskunftei im Rahmen ihres zweckmässigen Betriebs bearbeiten muss, noch nicht ein Persönlichkeitsprofil generieren (C. Hofer, Datenschutz im Handel mit Bonitätsdaten, in: N. Passadelis / D. Rosenthal / H. Thür [Hg.], Datenschutzrecht, Beraten in Privat­wirtschaft und öffentlicher Verwaltung, Basel 2015, Rz. 16.41). Fraglich ist also, ob die bearbeiteten Daten zur Erteilung von Bonitätsauskünften notwendig sind.

5.2.5.1 Premium Usern werden im Rahmen der Privatpersonensuche wie erwähnt (vgl. vorne E. 5.2.2) sofern verfügbar folgende Daten natürlicher Personen bekannt gegeben: Name, Vor­name, Strasse, Wohnort, Postleitzahl, Alter, Geburtsdatum, Beruf, Haushalt und Nachbarn, Wohnsituation und frühere Wohnorte. Falls die natürliche Person in einem Handels­registereintrag erwähnt ist, werden die ent­sprechenden Informationen ebenfalls bekannt gegeben, d. h. die Funktion, Zeichnungsberechtigung und wenn vorhanden die Nationalität. Premium Users können also in Erfahrung bringen, wie eine natürliche Person lebt, wo und wie sie wohnt – alleine oder mit wem zusammen – und wer ihre Nachbarn sind. Zu Haushalts­mitgliedern und Nachbarn sind Angaben wie Name / Vorname, Geburts­datum / Alter, Beruf ersichtlich und es ist diesbezüglich ebenfalls eine Bonitätsabfrage möglich. Damit wird zumindest die Privatsphäre der betrof­fenen Personen tangiert, auch wenn es sich dabei nicht um besonders schützenswerte, der Intimsphäre zuzuordnende Daten i.S.v. Art. 3 lit. c DSG handelt (zur sog. Sphärentheorie, welche die Lebensbereiche des Menschen dreiteilt vgl. BVGer vom 30. März 2011, A-7040/2009, E. 3.3.3 m.w.H.).

Wer beispielsweise einen Betreibungsregisterauszug einholen möchte, benötigt nebst Namen und Vornamen auch den aktuellen Wohnort und allenfalls vorherige Adressen der betreffenden Person. Zur zweifelsfreien Identifizierung einer Person beanstandet der Kläger weiter nicht, dass das Geburtsdatum dieser Person bekannt gegeben wird. Inwiefern jedoch Geburtsdaten bzw. das Alter von Familienmitgliedern, deren Namen und vor allem auch die entsprechenden persönlichen Angaben zur Nachbarschaft, teilweise inklusive beruflicher Tätigkeit, systematisch bonitätsrelevant sein sollen, ist nicht nachvollziehbar. Grundsätzlich stellen auf eine Immobilie bezogene Informationen zwar keine persönlichkeitsrelevanten Daten dar, aber die damit verbundene Bekanntgabe der privaten Wohn- und Lebenssituation geht über die für eine zweifelsfreie Identifikation und Beurteilung der Kreditwürdigkeit einer natürlichen Person notwendige Verknüpfung von Handelsregisterinformationen mit deren Daten, z. B. betreffend Verbindungen zu Gesellschaften, hinaus (zu dieser Verknüpfung vgl. Hofer, Rz. 16.1 ff., 16.55; vgl. auch vorne E. 5.2.1 i.f. zur Heranziehung des Wohnsitzes als sachwidriges Kriterium zur Beurteilung der Bonität). Diese ­Informationen zu privaten, beruflichen und wirtschaftlichen Lebensumständen lassen persönlichkeitsrelevante Schlüsse zu.

Die Beklagte argumentiert, aufgrund der Wohn- und Lebenssituation einer Person liessen sich allenfalls Rückschlüsse auf weitere finanzielle Verpflichtungen ehe- und familienrechtlicher Art und auf deren Bonität im ­Allgemeinen ziehen. So mache es beispielsweise einen Unterschied, ob jemand in einer Villa am See oder in einer «Mietskaserne» wohne, kinderlos sei oder acht Kinder habe (vgl. Protokoll zur Hauptverhandlung vom 23. Januar 2017, 3 und 5). Tendenziell lassen sich aus derartigen Angaben zwar mit Bezug auf die finanziellen Verhältnisse einer natürlichen Person Schlussfolgerungen ziehen, und auch genau deshalb wird damit ein wesentlicher Teilaspekt der Persönlichkeit beleuchtet. Die Angaben können jedoch ebenso zu falschen Annahmen führen und belegen die Kreditwürdigkeit einer natürlichen Person somit nicht zuverlässig. So kann jemand, der in einer Villa mit Seeanstoss wohnt, verschuldet sein, oder eine vermögende, sparsame Person in einer kleinen Wohnung leben oder acht Kinder und keine finanziellen Probleme haben oder im umgekehrten Fall kinderlos sein und Schulden haben. Weiter lassen sich aufgrund der Verknüpfung der bekanntgegebenen Daten allenfalls Rückschlüsse auf besonders schützenswerte Personendaten i.S.v. Art. 3 lit. c DSG ziehen, insbesondere auf die ­sexuelle Gesinnung. Mittels Informationen zu Wohnpartnern und deren Alter lässt sich nämlich allgemein – nicht nur in Bezug auf gleichgeschlechtliche Paare, auf welche der Kläger hinweist – auf die sexuelle Orientierung der betreffenden Personen schliessen oder aber es werden falsche Annahmen ­getroffen, so wenn Studienkollegen oder gute Freunde zusammen wohnen. Ebenso sind unter Umständen Rückschlüsse auf den gesundheitlichen Zustand einer Person möglich, z. B. wenn als Wohnadresse ein Pflege- oder Altersheim vermerkt ist, oder auf die religiöse Zugehörigkeit: Bei einer Stiftungsratspräsidentin einer christlichen Wohn­gemeinschaft liegt nämlich – wie der Kläger darlegt – in der Tat der Schluss nahe, dass sie selbst Christin ist.

5.2.5.2 Die Bearbeitung von Persönlichkeitsprofilen mittels der von der Beklagten praktizierten Bekanntgabe der gesammelten Daten ist somit im folgenden Fall zu bejahen: Die Beklagte gibt registrierten und zahlenden Benutzern nebst den zur Iden­tifizierung benötigten Angaben wie Name, Vorname, aktuelle Adresse und allenfalls Geburtsdatum – sofern die entsprechenden Daten vorhanden sind – systematisch verknüpfte In­forma­tionen zur privaten Wohn- und Lebenssituation betroffener natür­ | licher Personen, d. h. betreffend ihre Haushaltsmitglieder und Nachbarn, und damit zu einem wesentlichen Teilaspekt ihrer Persönlichkeit bekannt. Bei im Handelsregister verzeichneten Personen wird zusätzlich die Nationalität bekannt gegeben sowie ihr beruf­licher Werdegang und ihr berufliches Netzwerk, womit ein weiterer Teil­bereich der Persönlichkeit betroffen ist. Premium Users können sodann mit Hilfe der von der Beklagten angebotenen Dienstleistungen wie Bonitäts-, Steuer- und Grundbuchauskünften selbst relativ simpel Persönlichkeitsprofile gesuchter Personen erstellen oder weiterbearbeiten.

Die Argumentation der Beklagten, wenn sie nur einen Datenausschnitt anbieten würde, könnte dieser für sich alleine betrachtet im Rahmen der Be­urteilung der Kreditwürdigkeit ein ­falsches Bild einer juristischen oder natürlichen Person vermitteln, mag zutreffen, ändert jedoch mit Bezug auf natürliche Personen nichts daran, dass mit der im Rahmen eines Premiumabonnements bearbeiteten Daten unter den vorgenannten Umständen ein Persönlichkeitsprofil erstellt wird.

Selbst wenn die systematische ­Bonitätsrelevanz von Daten betreffend die private Wohn- und Lebenssituation ­bejaht würde, würde dies die seitens der Beklagten praktizierte Datenbekanntgabe nicht rechtfertigen, da die Erstellung eines Persönlichkeitsprofils wie erwähnt zu bejahen ist.

Fraglich ist sodann, ob auch in ­Bezug auf diejenigen Haushaltsmitglieder und Nachbarn von betroffenen Personen, die namentlich erwähnt und von denen ebenfalls die Wohnverhältnisse und teilweise das Alter und die beruf­liche Tätigkeit bekannt gegeben werden, die Bearbeitung eines Persönlichkeitsprofils zu bejahen wäre, womit ebenfalls deren diesbezügliche explizite Einwilligung benötigt würde. Da die klägerischen Rechtsbegehren sich auf die Bearbeitung von Persönlichkeitsprofilen mit Bezug auf Personen, über die Bonitätsauskünfte eingeholt werden, beschränken, hat diese Frage vorliegend offen zu bleiben.

5.3 Als Zwischenfazit bleibt festzuhalten, dass mit Bezug auf diejenigen Datenverknüpfungen, wie sie teilweise im Rahmen von Premiumabonnementen vorgenommen werden, ein biografisches Bild erstellt wird, sofern nebst Name und Vorname sowie Geburtsdatum auch die Lebens- und Wohnsituation in Form von ebenfalls persönlichkeitsrelevanten Angaben betreffend die Haushaltsmitglieder und Nachbarn einer natürlichen Person bekannt ­gegeben werden. Dies muss umso mehr gelten, wenn zusätzlich frühere Wohnorte bekannt gegeben und An­gaben zu beruflichen Tätigkeiten gemacht werden. Die bekannt gegebenen Angaben über Leumund, Familienverhältnisse, Ausbildung bzw. berufliche Tätigkeit und Wohnverhältnisse vermögen ein Teilbild der betroffenen Person zu ergeben, womit die Bearbeitung eines Persönlichkeitsprofils zu bejahen ist. Die Beklagte ermöglicht Premium Usern zudem mittels entsprechender Verlinkungen auf ihrer Plattform, welche diese Informationen miteinander verknüpfen, die Weiter­bearbeitung von Persönlichkeitsprofilen.

5.4 Die Bekanntgabe von Persönlichkeitsprofilen stellt eine qualifizierte Form der Datenbearbeitung dar, die ein erhöhtes Risiko einer Persönlichkeitsverletzung aufweist, da nicht nur die Berechtigung der bearbeitenden, sondern auch jene der empfangenden Person zu hinterfragen ist (A. Wermelinger, in: B. Baeriswyl / K. Pärli [Hg.], Datenschutz (DSG), Stämpflis Handkommentar, Bern 2015, DSG 12 N 8). Die Rechtmässigkeit der Weitergabe von Persönlichkeitsprofilen an Dritte hängt vom Vorliegen eines Rechtfer­tigungsgrunds, d. h. der expliziten Einwilligung der betroffenen Person oder einer gesetzlichen Grundlage, ab. Zudem sind insbesondere die Prinzipien der Verhältnismässigkeit und der Zweckbindung zu beachten. Die Weitergabe einer Datensammlung kann grundsätzlich ohne Rechtfertigungsgrund zulässig sein, sofern nicht – wie vorliegend – einzelne Persönlichkeitsprofile darin enthalten sind, welche eben gemäss Art.12 Abs. 2 lit. c DSG nach einem Rechtfertigungsgrund ­verlangen (Rampini, DSG 12 N 14, m.w.H.). Mit Bezug auf den Rechtfer­tigungsgrund der überwiegenden öffentlichen und privaten Interessen gilt es zu berücksichtigen, ob nur vereinzelt, zufällig oder ausnahmsweise Persönlichkeitsprofile generiert werden oder nicht. Die Schwere der Persönlichkeitsverletzung der betroffenen Person beurteilt sich im Fall der konkreten Bekanntgabe nach objektiven Kriterien. Es ist danach zu fragen, welches tatsächliche Interesse eine vernünftige Person in der Situation der betroffenen Person nachvollziehbarerweise daran hat, dass das sie betreffende Persönlichkeitsprofil nicht wie vorgesehen bekannt gegeben wird (Rosenthal, DSG 12 N 48).

Zu prüfen bleibt also in einem zweiten Schritt, ob die Beklagte sich für die vorangehend bejahte Bearbeitung von Persönlichkeitsprofilen auf einen – anderen als den vorliegend nicht einschlägigen Art. 13 Abs. 2 lit. c DSG (vgl. dazu vorne E. 5.2.3) – Rechtfertigungsgrund nach Art. 13 Abs. 1 DSG stützen kann.

5.4.1 Eine entsprechende gesetzliche Grundlage ist nicht ersichtlich. Zur rechtmässigen Bearbeitung von Persönlichkeitsprofilen ist nach Art. 4 Abs. 5 zweiter Satz DSG eine explizite Einwilligung der betroffenen Person notwendig. Die Einwilligung erfordert, dass die betroffene Person in den Grundzügen über Gegenstand, Zweck und Umfang der beabsichtigten Datenbearbeitung aufgeklärt sein muss, ­damit sie die Konsequenzen der Einwilligung abschätzen kann (Rampini, DSG 13 N 3 ff.).

|

Das Auskunftsrecht nach Art. 8 DSG, wonach jede Person vom Inhaber einer Datensammlung Auskunft dar­über verlangen kann, ob Daten über sie bearbeitet werden, hat zwar auch Präventivfunktion (vgl. dazu Schäfer, 69), aber faktisch setzt dessen Wahrnehmung eine entsprechende vorgängige Aufklärung über die Datenbearbeitung voraus. Im Fall der Beschaffung von Persönlichkeitsprofilen statuiert Art. 14 DSG zudem eine aktive Informationspflicht des Inhabers einer Datensammlung, und zwar ungeachtet der Tatsache, aus welchen Quellen die Daten beschafft werden; d. h. diese Pflicht gilt sogar, wenn die betroffene Person ihre Daten selbst veröffentlicht hat (C. Rampini / P. Fuchs, DSG 14 N 6 f.). Werden die Daten nicht bei der betroffenen Person beschafft, so hat deren Information spätestens bei der Speicherung der ­Daten oder, wenn die Daten nicht ­gespeichert werden, mit ihrer ersten Bekanntgabe an Dritte zu erfolgen (Art. 14 Abs. 3 DSG).

Die diesbezügliche Argumentation der Beklagten, aufgrund der Tatsache, dass ihre Auskunftei suchmaschinenindexiert sei, könnten Betroffene z. B. ­anhand von Google-Suchresultaten leicht erkennen, ob Daten über sie bearbeitet würden und entsprechend – wohlbemerkt nachträglich – die Löschung verlangen, verfängt nicht. Ihre Praxis vermag den gesetzlichen Anforderungen an eine aktive, zeitgerechte Information der Betroffenen nicht zu genügen.

Auf ihrer Website erklärt die Beklagte sodann, die Daten registrierter Nutzer weder an Dritte weiterzugeben noch sie dazu zu nutzen, die dort publizierten Daten zu ändern oder zu ergänzen. Sie macht in diesem Zusammenhang geltend, nur ihr begrenzter Kundenkreis erhalte die Daten und ­bezahle dafür sogar teilweise, sodass von einem öffentlichen Zugänglichmachen nicht die Rede sein könne. Dennoch handelt es sich dabei um eine Datenbekanntgabe gegenüber Dritten und wie festgestellt im Rahmen von Premiumabonnementen um die Bearbeitung von Persönlichkeitsprofilen. Diese Argumentation ist daher ebenso unbehelflich wie diejenige, wonach eine ausdrückliche Einwilligung der Betroffenen erfolgt sei, indem diese gegenüber der Post AG mit Bezug auf einen Nachsendeauftrag / ​Wohnungswechsel der Adressweitergabe u. a. für Wirtschaftsauskunfteien zugestimmt hätten. Damit haben die betroffenen Personen nämlich nicht gegenüber der Beklagten in die Erstellung eines Persönlichkeitsprofils eingewilligt. Im Unterschied zu Anstellungs- oder Einbürgerungsverfahren oder zu Erhebungen zum Konsumverhalten mittels Kundenkarten, bei welchen die Betroffenen vorgängig ihre Einwil­ligung zu einem bestimmten Datenbearbeitungszweck geben, haben die betroffenen natürlichen Personen vor­liegend aufgrund der Tatsache, dass die Beklagte Daten von anderen Unternehmen erwirbt oder sie aus öffentlichen Quellen erhältlich macht, regelmässig keine Kenntnis davon, dass und zu ­welchem Zweck Daten über sie bear­beitet werden. Daran ändert auch nichts, dass die Beklagte sämtliche nicht im Handelsregister eingetragenen ­Kunden kontaktiert und fragt, weshalb sie die Bonitätsauskünfte benötigen würden, bevor das entsprechende ­Premium-Abonnement freigeschaltet wird. Weder die persönliche Benutzererkennung noch die Angabe eines Interessensnachweises vermögen die Einwilligung der betroffenen Person zu substituieren.

Die explizite Einwilligung der ­Betroffenen in die Erstellung eines ­Persönlichkeitsprofils nach rechtzei­tiger Information – wie Art. 4 Abs. 5 DSG dies fordert (vgl. dazu statt vieler U. Maurer-Lambrou / A. Steiner, DSG 4 N 16h m.w.H.) – wurde von der Beklagten nicht belegt. Vielmehr ist davon auszugehen, dass die betroffenen Personen regelmässig keine Kenntnis davon haben, dass über sie ein Profil angelegt wurde und dass sie deshalb dessen Richtigkeit und Verwendung nicht kontrollieren können, was im Rahmen der nachfolgenden Interessen­abwägung als ein den Betroffenen erwachsender Nachteil zu berücksichtigen ist (vgl. dazu sogleich E. 5.4.2).

Im Übrigen bleibt festzuhalten, dass die gesetzliche Vermutung von Art. 12 Abs. 3 DSG, wonach keine Persönlichkeitsverletzung vorliegt, wenn die betroffene Person die Daten all­gemein zugänglich gemacht hat, sodass eine unbestimmte Zahl von Personen sie ohne wesentliche Hindernisse in Erfahrung bringen kann, ohne die Be­arbeitung ausdrücklich zu verbieten, vorliegend nicht greift. Hierfür wäre erforderlich, dass die betroffene Person ihre Daten mit Wissen und Willen all­gemein zugänglich gemacht hat oder durch einen Dritten zugänglich machen liess. Blosses Dulden der Handlung ­eines Dritten, ohne etwas zum Zugänglichmachen beizutragen, genügt indes nicht. Weiss etwa eine Person, dass sie betreffende Personendaten allgemein zugänglich gemacht werden sollen, z. B. in Form eines Zeitungsberichts, bleibt sie aber passiv, findet Art. 12 Abs. 3 DSG keine Anwendung (BVGer vom 30. März 2011, A-7040/2009 E. 9.3 und Rosen­thal, DSG 12 N 54 ff., insbesondere N 59). Weder betreffend die Handelsregisterdaten noch die auf anderen Plattformen wie www.local.ch publizierten Daten stellt die Beklagte nämlich auf eine Einwilligungserklärung der darin genannten Personen ab. Die ­strittigen Daten werden somit nicht von den betroffenen Personen selber i.S.v. Art. 12 Abs. 3 DSG wissentlich und willentlich auf der Plattform der Beklagten allgemein zugänglich gemacht. Dieser Ausschlussgrund für das Bestehen einer Persönlichkeitsverletzung kommt demnach nicht zum Tragen (vgl. mit Bezug auf die Handelsregisterdaten BVGer vom 26. Februar 2008, A-4086/2007, E. 5.1.2). Daran ändert auch ein all­ | fälliges, nicht wahrgenommenes Widerspruchsrecht nichts, da passives Dulden wie soeben erwähnt nicht genügt.

5.4.2 Es bleibt im Sinne einer gesamthaften Interessenabwägung zu prüfen, ob überwiegende öffentliche und private Interessen die seitens der Beklagten praktizierte Bearbeitung von Persönlichkeitsprofilen zu rechtfertigen vermögen.

5.4.2.1 Das Interesse, nicht in der ­eigenen Persönlichkeit verletzt zu werden, ist immer schützenswert (Rosen­thal, DSG 13 N 11, und Rampini, DSG 13 N 23). Ebenfalls gilt es bei der In­teressenabwägung nach Art. 13 Abs. 1 DSG zu beachten, dass dem EDÖB im Verfahren nach Art. 29 DSG eine besondere Stellung zukommt. Er handelt hier in einem Rahmen, welcher über das reine Zweiparteienverhältnis hinausgeht, und bezweckt mit seiner Empfehlung bzw. der Klage an das Bundesverwaltungsgericht die Ver­teidigung der Rechte einer Vielzahl von Personen. Sein Tätigwerden dient damit letztlich dem öffentlichen Interesse (vgl. statt vieler BGE 138 II 346 ff. E. 10.1 und BVGer vom 30. März 2011, A-7040/2009, E. 10.4.5, je m.w.H.).

Als Rechtfertigungsgrund nach Art. 13 DSG spielen öffentliche Inte­ressen in der Praxis gegenüber den privaten Interessen eine untergeordnete Rolle. Zum einen bestehen für öffentliche Interessen häufig gesetzliche Regelungen, die eine Datenbearbeitung auch ohne Interessenabwägung rechtfertigen, zum anderen liegt zumeist, wenn ein überwiegendes öffentliches In­teresse gegeben ist, auch ein überwiegendes privates Interesse vor (Rosen­thal, DSG 13 N 20 und Rampini, DSG 13 N 47 sowie BVGer vom 30. März 2011, A-7040/2009, E. 10.4.2 m.w.H.). Als private Interessen kommen in erster Linie Interessen des Datenbearbeiters oder Inhabers der Datensammlung infrage. Aber auch Interessen von Dritten oder sogar der betroffenen Personen selbst können die Datenbearbeitung unter Umständen rechtfertigen. Grundsätzlich kann jedes schützenswerte ­Interesse, d. h. jedes Interesse von all­gemein anerkanntem Wert, berücksichtigt werden (Rosenthal, DSG 13 N 6 ff. und Rampini, DSG 13 N 20 ff.). Hinweise, was als schützenswertes In­teresse gilt, liefern die Beispiele in Art. 13 Abs. 2 DSG und Art. 6 Abs. 2 DSG. Auch rein wirtschaftliche Interessen, wie beispielsweise das Interesse daran, eine Datenbearbeitung möglichst effizient zu gestalten oder die eigenen Geschäftsabläufe zu optimieren, zählen grundsätzlich dazu. Ebenso kann Gewinnstreben ein schützenswertes Interesse darstellen (Rosenthal, DSG 13 N 10; a.M. Rampini, DSG 13 N 22; vgl. auch BGE 138 II 346 ff. E. 10.3 i.f.).

Den privaten und öffentlichen ­Interessen, die für die Datenbearbeitung sprechen, sind die berechtigten Interessen der betroffenen Personen gegenüberzustellen; es ist folglich wie erwähnt eine Interessenabwägung ­vorzunehmen. Eine solche umfasst die folgenden drei Gedankenschritte: Die konkreten Interessen sind zu ermitteln, mithilfe rechtlich ausgewiesener Massstäbe zu beurteilen und schliesslich zu optimieren, sodass sie mit Rücksicht auf die Beurteilung, die ihnen zuteil wurde, im Entscheid möglichst um­fassend zur Geltung gebracht werden können (P. Tschannen / U. Zimmerli / ​M. Müller, Allgemeines Verwaltungsrecht, 4. Aufl., Bern 2014, 226 f.). Wie das BGer festgehalten hat, dürfen Recht­fertigungsgründe beim Verstoss gegen die Grundsätze von Art. 4 DSG nur mit grosser Zurückhaltung bejaht werden (BGE 136 II 508 ff. E. 6.3.1 mit Verweis auf E. 5.2 ff. und zum Ganzen BVGer vom 30. März 2011, A-7040/2009, E. 10.4.3 m.w.H.). Im Allgemeinen lässt sich gestützt auf die Rechtsprechung und in Übereinstimmung mit der Lehre festhalten, dass der Geheimhaltung von Persönlichkeitsprofilen i.S.v. Art. 3 lit. d DSG erhebliches Gewicht zukommt und die Güterab­wägung in der Regel zugunsten der privaten Interessen der betroffenen Personen ausfallen dürfte (BVGE 2014/42 E. 7.1; C. Mund, Stämpflis Handkommentar, DSG 19 N 31; vgl. auch BVGer vom 13. Juli 2016, A-8073/2015, E. 6.1.3 m.w.H.).

5.4.2.2 Gewinnstrebige Interessen der Beklagten sind wie erwähnt zu berücksichtigen, sowie grundsätzlich auch das Informationsinteresse des Publikums, d. h. die Interessen Dritter, welche durch die erleichterte Informa­tionsbeschaffung und -verwendung aus der Plattform <www.moneyhouse.ch​> einen Nutzen ziehen (vgl. auch BGE 138 II 346 ff. E. 10.6.1 m.w.H. betreffend Google Street View). Letztere erleichtert einem ­erheblichen Teil der Bevölkerung die Suche nach Wirtschafts- und anderen Informationen. Allfällige unlautere Absichten gewisser Nutzer können ­diesen grundsätzlich positiven Aspekt der Orientierungshilfe nicht infrage ­stellen (vgl. auch BGE 138 II 346 ff. E. 10.6.1 m.w.H. betreffend Google Street View). Das Dienstleistungsangebot der Beklagten im Bereich der Premiumabonnemente dehnt das staat­liche Informationsangebot jedoch quantitativ aus, indem nicht nur ­bereits veröffentliche (Handelsregister)Daten weitergegeben werden (vgl. die anders gelagerte Situation / Fragestellung in BVGer vom 26. Februar 2008, A-4086/2007, E. 5.3). Bei der darüber hinausgehenden Verknüpfung von öffentlich und nicht öffentlich zugänglichen Daten zu einem Persönlichkeitsprofil verfängt das öffentliche Interesse des Gläubigerschutzes bzw. an der Verbreitung von Wirtschafts­informationen nicht: Für die Überprüfung der Bonität eines potenziellen Vertragspartners oder im Rahmen ­einer Kreditvergabe können mit dessen Einwilligung im Einzelfall Auskünfte betreffend Einkommen, Betreibungen etc. eingeholt werden, was ausreichend zur Befriedigung des | ­vorgenannten Interesses ist; dazu bedarf es keiner Erstellung eines Per­sönlichkeitsprofils. Zudem ist zu berücksichtigen, dass die Lebens- und Wohnsituation der betroffenen Personen deren Kreditwürdigkeit wenn überhaupt, so sicherlich nicht zuverlässig zu belegen vermag (vgl. dazu vorne E. 5.2.5.1), weshalb diesbezüglich ohnehin kein Interesse des Publikums an Informationen betreffend ­bestehende oder künftige Vertragsverhältnisse oder zur Überprüfung der Kredit- und Zahlungsfähigkeit von Personen im Hinblick auf den Abschluss von Rechtsgeschäften bzw. allgemein des Gläubigerschutzes ins Feld geführt werden kann. Im Übrigen ist mit dem Kläger einig zu gehen, dass der Zugang zu den verknüpften Daten grösstenteils kostenpflichtig ist, weshalb sich die Beklagte auch aus diesem Grund anders als im Verfahren A-4086/2007 nicht auf das vorgenannte öffentliche Interesse berufen kann.

Auch diejenigen natürlichen Personen, die im Handelsregister mit ihrem Namen und weiteren Angaben erwähnt sind, werden durch den Eintrag nicht zu absoluten oder relativen Personen der Zeitgeschichte, so dass an ihnen kein legitimes öffentliches Informationsinteresse besteht. Das bedeutet, dass nicht automatisch jede Information über diese Personen frei verfügbar wird. Es besteht auch in diesem Fall beispielsweise kein überwiegendes öffentliches Interesse an über die Teilaspekte der wirtschaftlichen Persönlichkeit hinausgehenden Informationen wie an den privaten Lebensumständen, den Verwandtschaftsverhältnissen, der Ausbildung, der politischen Überzeugung dieser Person, auch wenn sie im Zusammenhang mit einer Rechtseinheit im Handelsregister eingetragen ist (BVGer vom 26. Februar 2008, A-4086/2007, E. 5.2.6). Dies muss umso mehr für ­natürliche Personen gelten, die nicht im Handelsregister verzeichnet sind.

Bei der Abwägung der Interessen darf schliesslich nicht ausser Acht gelassen werden, dass es letztlich nicht um ein gänzliches Verbot der Publikation von Personendaten, sondern lediglich darum geht, über Daten, welche dazu führen, dass ein Teilaspekt der Persönlichkeit beleuchtet wird und die im ­Übrigen keine Bonitätsrelevanz auf­weisen, nicht ohne eine Zustimmung der betroffenen Personen zu verfügen. Zu beachten ist zudem, dass vorliegend die strittigen Daten entweder bekannt gegeben werden können oder nicht, eine Anonymisierung als mildere ­Lösung zu einer kompletten Löschung, wie dies bei Abbildungen von Gesichtern und Fahrzeugkennzeichen im Fall von Google Street View mittels Unkenntlichmachung praktiziert werden kann, besteht nicht. Die Beklagte vermag sich – ausser die Handelsregisterinformationen betreffend, an deren Verbreitung ein öffentliches Interesse zur informationellen Erleichterung des Geschäftsverkehrs besteht, solange die Daten unverändert von einem staat­lichen Referenzdatenbestand über­nommen und unentgeltlich weiter­verbreitet werden (vgl. dazu BVGer vom 26. Februar 2008, A-4086/2007, E. 7.2.1 f.) nur auf eigene wirtschaft­liche, mithin vor allem rein finanzielle Interessen zu berufen. Es ist denn auch nicht so, dass es der Beklagten finan­ziell nicht möglich wäre, die Plattform <www.moneyhouse.ch> unter umfassender Berücksichtigung des infor­mationellen Selbstbestimmungsrechts der betroffenen Personen anzubieten, sie stellt jedoch ihr wirtschaftliches ­Interesse, den finanziellen Aufwand möglichst gering zu halten, in den Vordergrund. Dies mag aus unternehme­rischer Sicht gerechtfertigt erscheinen, lässt die Datenbearbeitung durch die Beklagten indes in keinem vernünftigen Verhältnis zum Eingriff in die Persönlichkeitsrechte der Betroffenen stehen.

5.4.2.3 Angesichts der bundesgerichtlichen Rechtsprechung, wonach überwiegende private oder öffentliche Interessen nur zurückhaltend zu bejahen sind (BGE 136 II 508 ff. E. 6.3.1 mit Verweis auf E. 5.2 ff.), vermögen die grundsätzlich zu berücksichtigenden, gewinnstrebigen Interessen der Beklagten diejenigen einer Vielzahl Betroffener an der Wahrung ihrer ­Persönlichkeitsrechte nicht zu überwiegen. Die Beklagte nimmt im In­teresse ihres wirtschaftlichen Erfolgs die Verletzung der Persönlichkeitsrechte zahlreicher Personen in Kauf. Dabei geht es nicht darum, dass sie ihre Dienstleistungen nicht ohne Rücksicht auf das informationelle Selbst­bestimmungsrecht der Betroffenen ­anbieten könnte. Vielmehr wären ­allfällige Persönlichkeitsverletzungen vermeidbar, würden aber einen finanziellen Mehraufwand für die Beklagte nach sich ziehen, weil sie die explizite Einwilligung einer Vielzahl Betroffener einholen und die entsprechende Datenkontrolle wohl teilweise manuell durchführen müsste. Dieser Mehr­aufwand würde indes die wirtschaftliche Existenz der Beklagten selbst dann nicht infrage stellen, wenn dadurch das Angebot von Premiumabonnementen im Speziellen gefährdet wäre.

Die Beklagte hat sodann bislang keinerlei Massnahmen getroffen, um den Eingriff in die Persönlichkeitsrechte Betroffener so geringfügig wie möglich zu gestalten. Das auf Anfang 2016 angekündigte Redesign ihrer Plattform mit beabsichtigter Trennung der Datenbanken je nach Nutzungsprofil hat die Beklagte gemäss eigenen Angaben noch nicht umgesetzt. Sie macht lediglich geltend, da ihre Datenbearbeitung transparent erfolge und die betroffenen Personen mittels Suchmaschineneingabe ihrer Daten einfach erkennen könnten, ob sie von ihnen Daten be­arbeite, könnten Erstere ihre Löschungs- und Korrekturrechte wirksam ausüben. Die Geltendmachung eines Widerspruchsrechts mittels Löschungsbe­gehren kann jedoch zwangsläufig erst | nachträglich, d. h. nach Kenntnisnahme der Datenbearbeitung und einer all­fälligen Verletzung des Persönlichkeitsrechts ausgeübt werden (vgl. auch BVGer vom 30. März 2011, A-7040/2009, E. 8.4.4).

5.5 […]. Sofern die betroffenen natürlichen Personen ohne Handelsregistereintrag nicht explizit in die seitens der Beklagten praktizierte Datenbearbeitung eingewilligt haben, also kein Rechtfertigungsgrund vorliegt, sind die entsprechenden Daten, welche ­verknüpft ein Persönlichkeitsprofil darstellen, wie seitens des Klägers ­be­antragt in Anwendung des Verhältnismässigkeitsprinzips insoweit zu löschen, als sich Rückschlüsse auf ­wesentliche Teilaspekte ihrer Persönlichkeit ziehen lassen. Konkret bedeutet dies, dass diejenigen Daten, welche im Rahmen der Erteilung von Bonitätsauskünften nicht benötigt werden (vgl. dazu vorne E. 5.2.5.1) und in deren Bekanntgabe eine nicht im Handelsregister eingetragene natürliche Person nach erfolgter Aufklärung über den Verwendungszweck nicht ausdrücklich eingewilligt hat, zu löschen sind. Dies gilt […] in Bezug auf sämt­liche natürliche Personen – unabhängig davon, ob sie im Handelsregister eingetragen sind oder nicht – ebenso für diejenigen Verlinkungen, z. B. mit Google Map oder mittels Verweisen auf weitere private Informationen zur Wohnsituation, zu Nachbarn und Haushaltsmitgliedern, welche zur entsprechenden Erstellung von Persönlichkeitsprofilen beitragen («Wie wohnt X.? Wohnt er / sie zur Miete oder hat er / sie die Immobilie gekauft?» «Mit wem wohnt X zusammen? Wohnt er / sie alleine? Und wer sind seine/ihre Nachbarn? Wem gehört die Immobilie, in der X wohnt?» «Nachfolgend erfahren Sie, welche Personen an derselben Strasse wohnhaft sind und welche ­Firmen an dieser Strasse ihren Sitz haben.»).

Die [entsprechenden Rechtsbegehren] sind folglich im Sinne vorangehender Erwägungen gutzuheissen und die Beklagte dazu zu verpflichten, die entsprechenden Anordnungen innert 30 Tagen ab Zustellung dieses Entscheids umzusetzen.

[…]

7.

7.1 Der Kläger begehrt, die Beklagte sei zu verpflichten, ihren Datenbestand betreffend Richtigkeit in einem gerichtlich festzulegenden, angemessenen Prozentsatz zu den getätigten Abfragen auf ihrer Plattform <www.moneyhouse.ch> zu überprüfen.

Wer Personendaten bearbeitet, hat sich gemäss Art. 5 Abs. 1 DSG über deren Richtigkeit zu vergewissern. Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder ­Bearbeitung unrichtig oder unvollständig sind. Vergewissern bedeutet in ­diesem Zusammenhang, die Richtigkeit von Personendaten nicht nur abzu­klären, sondern in angemessener Weise sicherzustellen, d. h. alle im Rahmen des Bearbeitungszwecks erforderlichen Daten zu erheben, zu überprüfen und wenn nötig zu berichtigen oder zu löschen. In der Praxis können diese Massnahmen bereits vor der Datenerhebung, z. B. bei der Gestaltung von Datenbanken, zum Zeitpunkt der Datenerhebung mittels Plausibilitätskontrollen in IT-Systemen oder Bestätigungs-E-Mails bei Online-Registrierungen oder nach­träglich, z. B. durch Änderungen oder ­Berichtigungsvermerke, erfolgen (zum Ganzen Rosenthal, DSG 5 N 5). Wie weit die Abklärungen eines Datenbearbeiters betreffend die Datenrichtigkeit im Einzelfall gehen müssen, hängt von den Rahmenbedingungen der Daten­bearbeitung, also der Zweckbestimmung der Datensammlung, ab sowie davon, inwieweit eine Datenbekanntgabe erfolgt und wie sensitiv diese ist. Die Anforderungen an die Vergewisserungspflicht nach Art. 5 Abs. 1 DSG stehen damit im Zusammenhang zu einer möglichen Persönlichkeitsverletzung: Je grösser das Risiko einer ­solchen Verletzung, desto höhere Anforderungen sind an die inhaltliche Qualität der Datenbearbeitung zu ­stellen, wobei der Datenbearbeiter für die von ihm getroffenen Abklärungen und deren Angemessenheit beweispflichtig ist (Maurer-Lambrou / ​Schönbächler, DSG 5 N 12 und auch Rosenthal, DSG 5 N 9 sowie B. Baeriswyl / D. Blonski, Stämpflis Handkommentar, DSG 5 N 18).

7.2 Das Dienstleistungsangebot der Beklagten beschränkte sich bis 2012 auf Informationen betreffend juris­tische Personen, welche aus Daten­beständen des Schweizerischen Handelsamtsblatts oder aus dem Handelsregister stammen. Anschliessend kaufte sie von der damaligen E. AG eine Sammlung von Daten natürlicher Personen und erhielt monatlich weitere Datenlieferungen seitens der ­heutigen A. AG. Eingegangene Meldungen Betroffener und die darauffolgenden klägerischen Untersuchungen haben ergeben, dass insbesondere betreffend die Sammlung von Daten ­natürlicher, nicht im Handelsregister eingetragener Personen Unstimmigkeiten bestehen. So existieren für eine Person mehrere Adressen, wobei die Wohnorte nicht mit einer Person verknüpft sind, sondern einzeln aufgeführt werden, oder es sind nicht alle Personen eines Haushalts aufgeführt, weil z. B. neu gegründete Haushalte nicht korrekt zusammengeführt wurden und die Adressen demnach ver­altet sind, Haushaltsmitglieder sind teilweise falsch verknüpft oder Personen als Haushaltsmitglieder aufgeführt, die an unterschiedlichen Adressen leben und sich teilweise auch nicht kennen. Zudem finden sich falsche ­Alters- und Berufsangaben, Namen werden falsch geschrieben oder verstorbene Personen sind noch auffindbar.

Die teilweise falsche Verknüpfung der von der B. AG bezogenen Handels- | registerdaten (Name, Vorname, Wohn- und Heimatort) mit weiteren Daten (Adresse, Geburtsdatum) ist der ­Beklagten bewusst; sie macht geltend, eine diesbezüglich korrekte Verknüpfung sei schwierig, wenn mehrere ­Personen denselben Vor- und Nachnamen besässen. Sie arbeite mittlerweile mit einem Unternehmen zusammen, ­welches manuell durch Recherchen von Mitarbeitenden versuche, die Qualität der Namensverknüpfungen zu ver­bessern. Weiter erklärt sie, die Überprüfung der Datenrichtigkeit zwischen­zeitlich intensiviert zu haben: Zum ­einen seien sowohl die Handelsregisterdaten als auch die übrigen Daten betreffend Privatpersonen Anfang Februar 2016 vollständig neu eingelesen und auf ihre Richtigkeit hin überprüft worden. Zum anderen sei die manuelle Prüfung der Datenrichtigkeit verdichtet worden; die Daten würden monatlich aktualisiert. Zudem weist die Beklagte auf die Möglichkeit der Betroffenen hin, jederzeit die umgehende Löschung oder Korrektur ihrer Daten zu verlangen, ­sofern sich diese als unrichtig erweisen.

7.3.1 Die gerichtlichen Sachverhaltsabklärungen haben ergeben, dass die Datenqualität seit Vornahme der ­klägerischen Recherchen und auch nach Intensivierung diesbezüglicher Be­mühungen seitens der Beklagten unverändert zu wünschen übrig lässt: So sind teilweise Namen, Wohnadressen und Berufsbezeichnungen sowie Angaben betreffend Haushaltsmit­glieder und Nachbarn nicht mehr ak­tuell, die Auflistung früherer Wohnorte teilweise unvollständig, Geburtsdaten werden vertauscht bzw. falsch verknüpft oder das angegebene Alter korreliert nicht mit dem Geburtsdatum.

Es ist sowohl aus Sicht der betroffenen Person als auch aus derjenigen des Datenbearbeiters wünschbar und erstrebenswert, dass nur richtige, d. h. sachgerechte, aktuelle und vollständige Personendaten bearbeitet werden (vgl. in diesem Sinne auch Maurer-Lambrou / Schönbächler, DSG 5 N 4 f.). Eine umgehende Löschung oder Berichtigung ihrer Daten kann eine betroffene Person sodann zwar jederzeit verlangen, jedoch nur nachträglich zu einer bereits erfolgten Persönlichkeitsverletzung i.S.v. Art. 12 DSG i.V.m. Art. 5 DSG (vgl. auch BVGer vom 30. März 2011, A-7040/2009, E. 8.4.4 und vorne E. 5.4.2.3 i.f.). Zudem ist die effektive Wahrnehmung dieses Rechts verknüpft mit der Problematik der mangelnden Datenaktualität: Personen, die unter einem nicht mehr aktuellen Namen auf der Plattform der Beklagten figurieren und die nun mit einem aktualisierten Identitätsausweis die Löschung ihrer Daten verlangen, müssen zwingend zusätzliche Informationen preisgeben, indem sie sich z. B. mittels Familienbuch legitimieren, was nicht nötig wäre, wenn ihre Daten richtig aufgeführt ­wären.

7.3.2 In Anwendung des Verhältnismässigkeitsprinzips hat der Kläger die Überprüfung nur im Verhältnis zu ­allen auf der Plattform der Beklagten getätigten Abfragen und nicht mit ­Bezug auf deren gesamten Daten­bestand beantragt. Aus den seitens der Beklagten eingereichten Beilagen ­ergibt sich, dass im Jahr 2014 total […] Bonitätsabfragen betreffend natürliche und juristische Personen ge­tätigt wurden, monatlich zwischen knapp […] und knapp […], von Dezember 2015 bis November 2016 insgesamt […], wovon […] natürliche Personen und […] juristische Per­sonen betrafen, monatlich insgesamt zwischen […] und […]. In Anbetracht der grossen Anzahl der von der Datenbearbeitung der Beklagten betroffenen Personen und der Bedeutsamkeit der Richtigkeit, Vollständigkeit und Ak­tualität von Daten sowohl im Rahmen einer zulässigerweise nach erfolgter Einwilligung der Betroffenen durch­geführten, sensitiven Bearbeitung von Persönlichkeitsprofilen als auch im Bereich von Bonitätsauskünften erscheint eine Überprüfung des Datenbestands der Beklagten auf seine Richtigkeit hin im Verhältnis von 5% zu den auf ihrer Plattform getätigten Ab­fragen als angemessen. Auf die vorliegenden Zahlen bezogen bedeutet dies, dass die Beklagte jährlich voraussichtlich Daten von ca. zwischen […] und […] ­Abfragen auf ihre Richtigkeit hin überprüfen muss. Der dadurch verursachte zeitliche bzw. personelle Mehraufwand rechtfertigt sich aufgrund der festgestellten Unregelmässigkeiten im Datenbestand der Beklagten, der Interessen der betroffenen Personen und der Beklagten selber an der Bearbeitung sachgerechter, aktueller und ­vollständiger Personendaten, welche im Übrigen auch dem öffentlichen Interesse des Gläubigerschutzes dient.

Die Beklagte ist somit […] zu verpflichten, ab Zustellung dieses Entscheids ihren Datenbestand betreffend Richtigkeit in einem Verhältnis von 5% zu den auf <www.moneyhouse.ch> getätigten Abfragen zu überprüfen.

In der Wahl der Massnahmen zur Sicherstellung der Datenqualität ist der Datenbearbeiter grundsätzlich frei ­(Baeriswyl / Blonski, DSG 5 N 18). Die konkreten Modalitäten dieser Überprüfung, insbesondere mit Blick auf die Auswahl der Datenstichprobe, liegt ­somit unter Berücksichtigung der ­gesetzlichen Vorgaben im Ermessen der Beklagten. Sie hat ihrer Vergewisserungspflicht gemäss Art. 5 Abs. 1 DSG jedoch mittels angemessener Mass­nahmen nachzukommen, d. h. die ge­troffene Datenauswahl muss aussagekräftig und die gewählte Überprüfungsmethode effektiv sein; denkbar wäre beispielsweise, bei jeder zwanzigsten Abfrage die Richtigkeit der abgefragten Daten zu überprüfen.

8.

8.1 Natürliche und juristische Personen können der Beklagten elektronische oder schriftliche Auskunftsge­suche i.S.v. Art. 8 DSG einreichen, und | zwar unter Beilage eines amtlichen Ausweises und bei Auskunftserteilung betreffend eine juristische Person ­zusätzlich mittels eines Nachweises der Zeichnungsberechtigung. Die Beklagte erteilt die Auskunft in der Regel innert 30 Tagen schriftlich und kostenlos. Betreffend natürliche Personen wird dabei allgemein über die Datenquellen informiert und es werden die in der Datensammlung vorhandenen Stammdaten wie Vorname, Name, ­Geschlecht, aktueller Wohnsitz, Geburtsdatum / Alter, Beruf, Telefonnummer und Haushaltsmitglieder bekannt ­gegeben. Im Handelsregister verzeichneten Personen wird zusätzlich eine Wirtschaftsauskunft erteilt und erwähnt, ob Angaben zu Baubewilligungen bearbeitet werden. Nicht mitgeteilt wird hingegen, dass weitere An­gaben zu den Gebäuden gemacht werden.

Betreffend Bonitätsresultate wird eine um Auskunft ersuchende Person von der Beklagten nicht direkt in­formiert, sondern auf die B. AG, von welcher die Beklagte die Handelsregisterdaten bezieht, verwiesen. Dies ­bemängelt der Kläger: Als Inhaberin der über die Plattform <www.moneyhouse.ch> bearbeiteten Daten bestimme die Beklagte über den entsprechenden Zweck und Inhalt. Sie mache den Inhalt der Bonitätsdatenbank der B. AG sowie von weiteren Datenbanken ihren Nutzern zugänglich und habe deshalb die entsprechenden Auskunftsgesuche zu behandeln oder aber direkt weiterzu­leiten. Die Beklagte hingegen bestreitet, Inhaberin der der «Bonitätsampel» zugrunde liegenden Datensammlung zu sein. Dies sei die B. AG, welche über deren Zweck und Inhalt entscheiden könne. Sie gebe auf Anfrage Auskunft betreffend alle Daten, deren Inhaberin sie sei. Sie biete jedoch auch Daten an, die sie bei Dritten gekauft habe, welche unverändert über ihre Plattform abrufbar seien. Mit Bezug auf die erworbenen Personendaten bestehe daher keine Pflicht ihrerseits, die Auskunftsanfrage direkt weiterzuleiten.

8.2 Das Auskunftsrecht ist das be­deutendste Institut des Datenschutzgesetzes. Es erlaubt der betroffenen Person überhaupt, ihre datenschutzrechtlichen Ansprüche durchzusetzen. Nur wer weiss, ob und welche Daten über ihn bearbeitet werden, kann diese nötigenfalls berichtigen oder löschen lassen oder wenigstens deren Richtigkeit bestreiten (BBl 1988 II 452). Adressat des Auskunftsbegehrens ist die Inhaberin einer Datensammlung (vgl. Art. 8 Abs. 1 DSG). Weil diese ihre ­Daten systematisch ordnet, ist eine Persönlichkeitsverletzung wesentlich wahrscheinlicher als bei jemandem, dessen Daten nicht nach den betroffenen Personen erschliessbar sind (BBl 1988 II 453). Inhaber einer Datensammlung i.S.v. Art. 3 lit. i DSG ist, wer – ohne zwingend über die ein­zelnen Daten selbst verfügen zu müssen – den Zweck der Sammlung festlegt und die Bearbeitungsmittel und -methoden bestimmt (BBl 1988 II 448) sowie über deren Inhalt, mithin über die Existenz und die wesentliche ­Ausgestaltung entscheidet (Blechta, DSG 3 N 86 m.w.H. und R. Gramigna / ​U. Maurer-Lambrou, DSG 8 N 12 sowie B. Rudin, Stämpflis Handkommentar, DSG 3 N 49).

Das Rechtsverhältnis zwischen der Beklagten und ihren Datenquellen ist kaufrechtlicher Art. Diese Dritten sind somit nicht als Beauftragte der Beklagten i.S.v. Art. 8 Abs. 4 DSG i.V.m. Art. 1 Abs. 6 VDSG zu qualifizieren. Mit ihrem Erwerb gehören jedoch auch Daten, welche die Beklagte von Dritten un­verändert übernimmt, zu ihrer Datensammlung; sie entscheidet als Inha­berin dieser Sammlung i.S.v. Art. 8 Abs. 1 DSG über deren Verwendung auf ihrer Plattform. […] Art. 8 Abs. 1 DSG i.V.m. Art. 1 Abs. 5 VDSG sieht […] für den Fall, dass eine Datensammlung von mehreren Inhabern gemeinsam geführt wird vor, dass das Auskunftsrecht bei jedem Inhaber geltend gemacht werden kann, sofern nicht einer von ihnen für die Behandlung aller Auskunftsbegehren verantwortlich ist. Wenn der adressierte Inhaber der Datensammlung zur Auskunftserteilung nicht ermächtigt ist, leitet er das Begehren an den Zustän­digen weiter.

Die Beklagte ist somit […] zu ­verpflichten, ab Zustellung dieses Entscheids Auskunftsgesuche betreffend die von ihr auf <www.moneyhouse.ch> angebotenen Dienstleistungen, welche sie nicht beantworten kann, umgehend und kostenlos an den zuständigen Vertragspartner weiterzuleiten. Damit wird entsprechend dem gesetzgeberischen Willen sichergestellt, dass stets jemand über eine Datensammlung Auskunft geben muss und so das Auskunftsrecht effektiv wahrgenommen werden kann. Die betroffene Person, welche erfahren möchte, ob ihre Daten allenfalls in einer Datensammlung figurieren, soll nicht lange Recherchen über die Identität des Inhabers der Datensammlung anstellen müssen (vgl. BBl 1988 II 454).

9.

9.1 Für die Bekanntgabe von Bonitätsauskünften an Dritte muss fest­stehen, dass diese sie für den Abschluss oder die Abwicklung eines Vertrags ­effektiv benötigen. Der Datenbearbeitende hat dabei zu überprüfen, ob die Voraussetzungen für eine Bekanntgabe zu bejahen sind (Rampini, DSG 13 N 37). […]

9.2 Strittig ist, ob die Beklagte im Rahmen von Bonitätsabfragen das ­tatsächliche Vorhandensein eines In­te­ressensnachweises nach Art. 13 Abs. 2 lit. c DSG zum Zeitpunkt der Abfrage vermehrt prüfen müsste und falls ja, in welchem Verhältnis zu den getätigten Abfragen.

9.2.1 Zunächst stellt sich die Frage, welche technischen und v.a. organi­satorischen Massnahmen i.S.v. Art. 7 Abs. 1 DSG die Beklagte trifft, um die Personendaten auf ihrer Plattform | ­gegen unbefugtes Bearbeiten zu schützen. Es geht vorliegend nur darum, inwiefern verhindert wird, dass die be­arbeiteten Personendaten durch Dritte missbraucht werden können (vgl. Baeriswyl, Stämpflis Handkommentar, DSG 7 N 13, DSG 7 N 13 […]). Solche Schutzmassnahmen müssen im konkreten Einzelfall angemessen sein, ein absoluter oder maximal möglicher Schutz ist nicht erreichbar (Rosenthal, DSG 7 N 3 und C. Stamm-Pfister, DSG 7 N 9 m.w.H.). Nach Art. 8 Abs. 2 VDSG ist dabei insbe­sondere dem Zweck der Datenbear­beitung, der Art und dem Umfang der Datenbearbeitung, den abschätzbaren möglichen Risiken für die betroffenen Personen und dem gegenwärtigen Stand der Technik Rechnung zu tragen. Im Rahmen der Interessenab­wägung aller Beteiligter sind auch die Interessen des Datenbearbeiters zu ­berücksichtigen, also insbesondere sein Aufwand im Hinblick auf den ­angestrebten Schutzzweck, jedoch auch sein hohes Eigeninteresse an der Datensicherheit (Rosenthal, DSG 7 N 3 und Baeriswyl, DSG 7 N 24). Je sensitiver die Datenbearbeitung, desto mehr Massnahmen sind regelmässig zu treffen, um das Risiko einer Per­sönlichkeitsverletzung gering zu halten (Baeriswyl, DSG 7 N 23). Art. 7 DSG statuiert eine Dauerverpflichtung; reichen die getroffenen Schutzmassnahmen aufgrund geänderter Umstände nicht mehr aus, sind sie ­anzupassen, z. B. bei Erweiterung der Quantität oder Qualität der bearbeiteten Personendaten oder bei Verfüg­barkeit neuer Technologien (statt vieler Rosenthal, Art. 7 Rz. 5). Nach herrschender Lehre sind Datenbearbeiter zur Erarbeitung eines ganzheitlichen Sicherheitskonzepts verpflichtet (Baeriswyl, DSG 7 N 17 und 22 und Stamm / Pfister, DSG 7 N 12, a.M. Rosenthal, DSG 7 N 4).

9.2.2 Zu beurteilen sind im Sinne ­einer ganzheitlichen Betrachtung sowohl die technischen als auch die ­organisatorischen, auf die Struktur und Prozesse der Beklagten abzielenden Massnahmen im Bereich der Benutzerkontrolle (vgl. zu Letzteren auch Baeriswyl, DSG 7 N 20).

Die Beklagte hat ein IT-Sicherheitskonzept entworfen, welches diverse technische und organisatorische Massnahmen enthält. Auch im Bearbeitungsreglement finden sich grobe Beschriebe organisatorischer Massnahmen zur Datensicherheit. Im Sinne von technischen Massnahmen zur Kontrolle des Datenabrufs durch die Nutzer ­haben sich diese zunächst zu registrieren, danach ist ihr Benutzerkonto mittels postalisch verschicktem Code und Login aktivierbar. Anhand dieser persönlichen Benutzererkennung speichert die Beklagte deren Abrufe in einer ihrer Datenbanken. Die allgemeinen Geschäftsbedingungen der Beklagten verpflichten jeden Benutzer ausdrücklich dazu, die gesetzlichen Datenschutzvorschriften und ihre Datenschutzbestimmungen einzuhalten und den Zugang nicht übermässig oder missbräuchlich zu nutzen. Vor Abruf von Informationen, die einen Interessensnachweis erfordern, verpflichtet sich jeder Kunde, einen genügenden Interessensnachweis zu beschaffen oder zu bestätigen, einen solchen vorweisen zu können. In organisatorischer Hinsicht prüft die Beklagte die Berechtigung eines Interessenten zum Abschluss eines Bonitäts­abonnements und liefert bei Verdacht auf missbräuchliche Bonitätsabfragen die Daten des betroffenen Nutzers (Name, Vorname, Adresse und E-Mailadresse) an die B. AG, mit welcher sie in diesem Bereich zusammenarbeitet. Eine gegenseitige Aktualisierung der ausgetauschten Daten findet gemäss Angaben der Beklagten nicht statt. Bei jeder Abfrage auf der Plattform der Beklagten im Rahmen eines Bonitätsabonnements ist einer der folgenden Gründe anzugeben: Kaufvertrag, Mietvertrag, Eigenauskunft, Darlehens- / Kreditvertrag, Übrige Verträge. Die abgegebenen Interessensnachweise werden von der Beklagten geloggt und bei ungewöhnlichen Abfragemustern wird das Benutzerkonto gesperrt. Gemäss Kontrollkonzept werden bei einem totalen Volumen von mehreren […] Abfragen monatlich […] bis […] Bonitätsabfragen überprüft. Die Beklagte erklärt weiter, sämtliche Kunden, welche erstmals Bonitätsabfragen tätigten, zu kontrollieren. Privatpersonen würden häufiger überprüft als Geschäftskunden ([…] Privatkunden täglich). Anlehnend an die sog. 2-Promille-Quote gemäss § 29 Abs. 2 des deutschen Bundesdatenschutzgesetzes (BDSG) i.V.m. § 10 Abs. 4 Satz 3 BDSG nehme sie regelmässig eine institutionalisierte Interessensüberprüfung im Verhältnis von 0,02 % zu den getätigten Abfragen vor. Zudem kontaktiere sie bei Verdacht auf missbräuch­liche Nutzung, z. B. bei «Eigenauskünften» über andere natürliche oder juristische Personen oder wenn ein Benutzer stets denselben Abfragegrund angebe, den betreffenden Benutzer telefonisch.

Ein automatisiertes Prüfsystem bei Unregelmässigkeiten im Rahmen von Bonitätsabfragen, wie es die Beklagte in Aussicht gestellt hat, besteht zum Urteilszeitpunkt (noch) nicht.

9.2.3 Die Beklagte hat somit Massnahmen zur Verhinderung unbefugter ­Zugriffe Dritter auf die ihrerseits be­arbeiteten Personendaten getroffen. Fraglich ist, ob diese im Hinblick auf die konkreten Risiken einer Per­sönlichkeitsverletzung ausreichend sind. Mit dem Kläger ist einig zu ­gehen, dass sich die Beklagte hauptsächlich auf Selbstdeklarationen ihrer Nutzer verlässt, dass diese die datenschutzrechtlichen Vorschriften einhalten und insbesondere über einen Interessensnachweis im Zeitpunkt der Bonitäts­abfrage verfügen. Dass diese Nutzerangaben nicht durchgehend zuver­lässig sind, zeigt sich anhand der telefonischen Rücksprachen der Beklagten, welche ergeben, dass Nutzer | oft aus Unwissenheit oder Nachlässigkeit den Abfragegrund «Eigenauskunft» angeben. Allfällig vorhandene Dokumentationen wie Vertragsentwürfe zur Überprüfung der Angaben ihrer Nutzer fordert die Beklagte nicht ein. Der Kontrollanteil der Beklagten von monatlich […] bis […] Bonitätsabfragen bei einem totalen Volumen von mehreren […] Abfragen erscheint sodann als verschwindend klein. Eine Intensivierung der manuellen Kontrolle führt zwar zu einem Mehraufwand seitens der Beklagten, letztlich liegt es jedoch auch in ihrem eigenen Interesse, dass die von ihr bearbeiteten Personendaten von Dritten nicht zweckwidrig verwendet werden. Zudem ist gemäss ihren Angaben seit Längerem ein automatisiertes Prüfsystem in Planung, was den Kontrollaufwand minimieren dürfte. Diese Tat­sachen und das hoch zu gewichtende Interesse der grossen Anzahl der von der Datenbearbeitung der Beklagten betroffenen Personen am Schutz ihrer Daten, insbesondere auch mit Blick auf eine allenfalls erfolgende, rechtmäs­sige Bearbeitung von sensitiven Persönlichkeitsprofilen, lassen eine re­gelmässige Überprüfung der Inte­ressensnachweise im Zeitpunkt der Boni­tätsabfrage im Verhältnis von 3 % zu den auf der Plattform der Beklagten getätigten Abfragen als zumutbar erscheinen. Anlehnend an die unter E. 7.3.2 zu den Bonitätsabfragen erwähnten Zahlen bedeutet dies konkret, dass die Beklagte jährlich voraussichtlich Daten von ca. zwischen […] und […] Abfragen auf die Richtigkeit der entsprechenden Interessensnachweise hin zu überprüfen hat.

Die Beklagte ist somit […] zu verpflichten, ab Zustellung dieses Entscheids das Vorhandensein von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage in regelmässigen Zeitabständen in einem Verhältnis von 3 % zu den auf <www.moneyhouse.ch> getätigten Abfragen zu überprüfen.

[…]