Kategorie: Datenschutz

Datenhunger von Swisscom abstellen

Mit über 6 Millionen Mobilfunkkunden ist Swisscom aus schweizerischer Sicht zu einer „Datenkrake“, wie die Big-Players aus den Silicon Valley geworden. Kommt dazu, dass Swisscom ihre Kundendaten sogar ohne explizites Einverständnis der Betroffenen an Dritte weitergibt (sic!). Dies wurde vor kurzem auch durch die Stiftung für Konsumentenschutz (SKS) gerügt.

Als Kunde kann man unter folgendem direkten Link den Datenhunger von Swisscom abstellen. Man muss einfach alle Buttons ausschalten. Einen Nachteil hat man dadurch nicht. Im Gegenteil.

https://login.sso.bluewin.ch/login?SNA=sam&keepLogin=true&RURL=https%3A%2F%2Fwww.swisscom.ch%2Fcustomer%2Fonline%2Fapp%2FPrivacySettings%3Flogin%26mode%3Doverview%26tab%3DthirdParty%26bundle%3D2084605043%26nevistokenconsume&L=de&pps=desktop#/advanced-settings

Detaillierte Infos zum Datenschutz auf digilaw.ch: https://digilaw.ch/06-data-protection-2/

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch

Auskunft über gespeicherte Personendaten

Soeben hat mir der Schweizer Telekom-Anbieter Swisscom auf entsprechendes Begehren hin eine vorbildliche Auskunft über bei Swisscom zu meiner Person gespeicherten Daten erteilt. Sämtliche Daten sind im PDF-Format auf einem Memory-Stick abgespeichert und so auch für Laien der Informationstechnik leicht lesbar und verständlich. Gemäss meiner Beobachtung speichert Swisscom im Wesentlichen Daten der letzten fünf Jahre. Darunter befinden sich z.B. auch Protokolle von Gesprächen, die ich mit dem Swisscom-Kundendienst geführt habe.

Gemäss Art. 8 des Schweizer Datenschutzgesetzes (DSG) kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob und welche Daten über sie erfasst und bearbeitet werden. Gemäss Art. 1 der Datenschutzverordnung (VDSG) muss diese Auskunft spätestens nach 30 Tagen erteilt werden. Gemäss Art. 34 DSG ist das nicht oder nicht rechtzeitige Erteilen einer Auskunft eine der wenigen, strafrechtlich geahndeten Tatbestände. Für die Praxis ist darum dringend zu empfehlen, in einem Unternehmen eine Anlaufstelle für ensprechende Anfragen zu definieren und zu publizieren sowie die Systeme so vorzubereiten, dass die nämlichen Daten innert Kürze abgerufen werden können. Details dazu finden sich in Art. 8 DSG.

Eine Information, wie man selbst ein Auskunftsbegehren nach Art. 8 DSG stellen kann, findet man auf der Seite des Eidg. Datenschutz-Beauftragten (EDÖB) unter folgendem Link: https://bit.ly/2wlQ6PO.

Weitere Informationen zur Thematik auf digilaw.ch: Kapitel 06 Data Protection.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch

Gefangen in Internet und Suchmaschinen?

Einmal im Internet – immer im Internet? Wie löscht man Content aus Internet und Suchmaschinen?

Vor kurzem habe ich ein öffentliches Profil auf einer Online-Plattform für Kunst sowie ein Inserat für eine Assistenz auf der Job-Plattform einer Universität löschen lassen. Dabei ist es weder der Kunst-Plattform, noch der Job-Plattform auf Anhieb gelungen, die Inhalte so zu löschen, dass sie auch aus den Speichern der Internet-Suchmaschinen, allen voran Google gelöscht werden. Die Kunst-Plattform hat mich auf erste Rückfrage sogar darauf hingewiesen, dass die Sache mit den Suchmaschinen nicht ihr Problem sei … Da eine solche Haltung und Praxis insbesondere nach der Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) besonders risky ist (hohe Bussen!), ist es für Online-Anbieter wichtig, diese Sache kurz aus juristischer Sicht zu erläutern.

Inbesondere die EU-DSGVO (Art. 17 DSGVO), allgemein aber auch das schweizerische Datenschutzgesetz (Art. 4 DSG) sehen ein Recht auf Löschung („Recht auf Vergessen“) explizit vor. Insbesondere das Recht der DSGVO wird nun streng gehandhabt. Basierend darauf müssen Datenverarbeiter und Suchmaschinen-Betreiber insbesondere Daten löschen, die für den Zweck, für die sie erhoben wurden, nicht mehr gebraucht werden (Grundsatz der Verhältnismässigkeit, Grundsatz der Zweckbindung). Tun sie dies nicht, verletzen sie die entsprechenden datenschutzrechtlichen Grundsätze bzw. Prinzipien.

Aus diesem Grund haben Suchmaschinen, wie Google nun Online-Tools eingerichtet, bei denen konkrete Anträge auf Löschung gestellt werden können. Bei Google findet sich das entsprechende Tool mit entsprechender Erklärung unter folgendem Link: https://support.google.com/webmasters/answer/7041154. Allerdings verlangt Google für einen Löschungsantrag, was m.E. nicht rechtens ist, dass man sich bei Google anmeldet bzw. einen entsprechenden Account eröffnet.

Wichtig ist aber, und das ist absolut rechtens, dass Google grundsätzlich nur dann löscht, wenn auch der originäre Inhalt, also der Inhalt auf einer entsprechenden Website gelöscht ist. Das bedeutet eben für die Anbieter von Websites, dass sie öffentliche Profile und anderen Content so löschen, dass er auf dem Netz nicht mehr sichtbar ist.

In unserer Praxis haben wir auch immer wieder Fälle, in denen sich sowohl die Website-Betreiber, wie auch Suchmaschinen, wie Google, weigern, Content zu löschen. Sollte solcher Content jedoch gegen geltendes Recht verstossen (u.a. Datenschutz, Persönlichkeitsverletzung), können wir als Rechtsanwälte auch direkt eingreifen und die Suchmaschinen direkt offline zu Löschung auffordern. Dabei kommt uns zugute, dass immer mehr der Big Players des Internets in der Schweiz einen Sitz einreichten, wie z.B. Google in Zürich. Damit haben wir juristisch einen direkt Zugriff basierend auf schweizerischem Recht. Diesbezüglich haben wir insbesondere mit Google immer gute Erfahrungen gemacht.

Schlussendlich ist darauf hinzuweisen, dass es sich lohnt, die eigene Person, das eigene Unternehmen von Zeit zu Zeit zu „googeln“, und zu checken, welche Einträge in Suchmaschinen bestehen. Sollten Einträge nicht mehr aktuell sein oder sogar falsch, muss direkt bei den Website-Betreibern interveniert werden. Sollten die Website-Betreiber (rechtswidrig) keine Kontaktadresse auf ihrer Site publizieren, können die Inhaber von Websites über Online-Tools, wie www.eurodns.com/de/whois-suche abgefragt werden.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter digilaw.ch

Was gehört in eine Datenschutzerklärung?

Je näher der 25. Mai 2018 und damit die Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) rückt, desto emsiger beginnen auch Schweizer Unternehmen ihre Datenschutzerklärungen entsprechend anzupassen. Es stellt sich die Frage, was eigentlich in eine Datenschutzerklärung gehört und wie diese aufgebaut werden sollte. Dabei ist es auch für ein Schweizer Unternehmen durchaus sinnvoll, die Datenschutzerklärung entsprechend den neuen EU-Vorschriften zu verfassen (s. dazu „Neuer EU-Datenschutz – Gefahr für Schweizer KMU?“).

Der Inhalt einer Datenschutzerklärung ergibt sich im Wesentlichen aus den Informationspflichten des Datenschutzverantwortlichen, also des Unternehmens, gemäss Art. 12 ff. DSGVO. Dabei muss konkret bezogen auf die jeweilige Datenerfassung bzw. Datenverarbeitung informiert werden. Wichtig ist, dass eine Datenschutzerklärung klar und verständlich formuliert wird, andernfalls sie möglicherweise gar keine rechtliche Wirkung hat.

Vorab muss ein Unternehmen darüber informieren, dass es für die Datenverfassung und die Datenverarbeitung verantwortlich ist. Dabei muss es seine Kontaktdaten sowie die Kontaktdaten seines allfälligen Datenschutzbeauftragten (unternehmensintern oder -extern) publizieren.

In der Folge muss den betroffenen Personen mitgeteilt werden, welche personenbezogenen Daten erfasst werden und zu welchem Zweck. Zu dieser Information gehört auch, auf welcher rechtlichen Grundlage die Datenerfassung und die folgende Datenverarbeitung erfolgt. Rechtliche Grundlage können im Wesentlichen die Einwilligung der betroffenen Person, die Notwendigkeit für die Abwicklung einer Rechtsbeziehung (z.B. Kaufvertrag), ein Gesetz oder berechtigte Interessen des Unternehmens oder eines Dritten sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Fällt die rechtliche Grundlage für die Datenverarbeitung weg, müssen die entsprechenden personenbezogenen Daten ohne Verzug mit entsprechenden adäquaten technischen Mitteln dauerhaft gelöscht werden. Auch darüber ist in der Datenschutzerklärung zu informieren.

Sofern personenbezogene Daten nicht vom nämlichen Unternehmen selbst verarbeitet, sondern dafür an Dritte übermittelt werden, muss über diese Empfänger oder Kategorien von Empfängern informiert werden.

Werden personenbezogene Daten ins Ausland transferiert, ist dies insbesondere in der Datenschutzerklärung zu deklarieren und es ist darüber zu informieren, wie diesbezüglich das hohe Datenschutzniveau der Schweiz bzw. der EU auch im Ausland gewährleistet ist.

Ebenfalls müssen die betroffenen Personen über ihre Rechte in Bezug auf die Erfassung und Verarbeitung ihrer personenbezogenen Daten informiert werden. Dazu gehören gemäss DSGVO insbesondere folgende Rechte:
– Recht auf Auskunft
– Recht auf Berichtigung
– Recht auf Löschung
– Recht auf Einschränkung der Verarbeitung
– Recht auf Widerspruch gegen die Verarbeitung
– Recht auf Datenübertragbarkeit
– Recht auf Beschwerden bei den Aufsichtsbehörden
– Recht auf Widerruf der Einwilligung

Schlussendlich müssen die betroffenen Personen darüber informiert werden, ob die Überlassung bzw. Erfassung ihrer personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten zur Verfügung zu stellen und welche mögliche Folge die nicht Zurverfügungstellung hätte (z.B. eingeschränkte Nutzung einer Website, wenn Cookies verweigert werden).

Bei diesen Ausführungen handelt es sich um eine Erläuterung zur Datenschutzerklärung basierend auf der EU-DSGVO. Es handelt sich um keine Empfehlung und darum wird auch jeden Haftung abgelehnt. Es wird empfohlen, für die Redaktion einer Datenschutzerklärung eine Fachperson, z.B. einen im Datenschutz spezialiserten Rechtsanwalt beizuziehen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

WhatsApp-Mindestalter 16 gilt auch für Schweiz

Aufgrund der Anwendung der EU-Datenschutz-Grundverordnung (DSGVO; s. Neuer EU-Datenschutz – Gefahr für Schweizer KMU?) ab dem 25. Mai 2018 hat WhatsApp seine Nutzungs- und Datenschutzrichtline insbesondere dahingehend angepasst, dass die WhatsApp-Dienstleistungen grundsätzlich nur noch Personen mit dem Mindestalter 16 zugänglich sind. Immerhin lässt es WhatsApp zu, dass Erziehungsberechtigte der Nutzung der WhatsApp-Dienste zustimmen können, wenn das Kind bzw. der Jugendliche jünger als 16 Jahre ist. Damit bleibt wohl de facto alles beim Alten. Zudem gehört für WhatsApp auch die Schweiz zur „Europäischen Region“ (s. faq.whatsapp.com/general/26000121). Damit gilt das generelle Mindestalter von 16 Jahren auch für die Schweiz, auch wenn das schweizerische Datenschutzgesetz der EU-Datenschutz-Grundverordnung noch nicht angepasst wurde (s. vorne oder hier). Dass die Schweiz für WhatsApp ebenfalls zur „Europäischen Region“ gehört, hat noch einen anderen Vorteil für die Schweizer User. Damit werden die Dienste von WhatsApp auch für die Schweiz von der WhatsApp Ireland Limited und nicht von der WhatsApp Inc. in den USA zur Verfügung gestellt. WhatsApp trennt offenbar wohlweislich Daten von Usern in Europa, von Daten von Usern in den USA und anderen Ländern, da die Daten von Usern in der EU nun unter dem strengen Datenschutz-Regime stehen, das Bussen von bis zu 4 % des Gruppenumsatzes eines Unternehmens, wie WhatsApp, vorsieht, wenn Datenschutz-Vorschriften verletzt werden (s. vorne oder hier)!

Wenn du in einem Land in der Europäischen Region lebst, musst du mindestens 16 Jahre alt sein, um unsere Dienste zu nutzen oder das in deinem Land für die Registrierung bzw. Nutzung unserer Dienste erforderliche Alter haben. Wenn du in einem Land lebst, das nicht in der Europäischen Region liegt, musst du mindestens 13 Jahre alt sein, um unsere Dienste zu nutzen oder das in deinem Land für die Registrierung bzw. Nutzung unserer Dienste erforderliche Alter haben. Zusätzlich zu der Anforderung, dass du nach geltendem Recht das zur Nutzung unserer Dienste erforderliche Mindestalter haben musst, gilt Folgendes: Wenn du nicht alt genug bist, um in deinem Land berechtigt zu sein, unseren Bedingungen zuzustimmen, muss dein Erziehungsberechtigter in deinem Namen unseren Bedingungen zustimmen.

Sind Klassenchats illegal?

Klassenchats mit Schüler unter 16 Jahren sind nicht per se illegal. Autorisiert wird die Teilnahme nicht durch die Schule bzw. die Lehrpersonen, sondern durch die Schüler selber. Und wie hier erläutert, können gemäss den AGB von Whatsapp die Eltern ihre Zustimmung geben. Also, keine Panik. Auch hier bleibt de facto alles wie gehabt.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

Aktualisiert am 03. Juni 2018

Neuer EU-Datenschutz – Gefahr für Schweizer KMU?

Datenschutz kurz erklärt im neuen Blog zu den rechtlichen Hotspots in der digitalen Welt digilaw.ch: Digital Personality (Identity, Privacy).

Artikel mit Interview mit Rechtsanwalt Ueli Grüter in der Luzerner Zeitung vom 10.01.2018

Ab dem 25. Mai 2018 kommt die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) zur Anwendung. Für Unternehmen hat die Verordnung gravierende Folgen. Neben Schadenersatzforderungen der Betroffenen drohen bei Verstössen Bussen von bis zu 4 % des globalen Umsatzes und fehlbare Manager, Datenschützer und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden. Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.

Obwohl die Datenschutz-Grundsätze (Rechtmässigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftsplicht) die gleichen bleiben, bedeutet die Verordnung ein Quantensprung im Datenschutz. Die Verordnung bringt den Unternehmen einen erheblichen Mehraufwand. Unternehmen müssen umfassende neue Strukturen und Prozesse schaffen, um den Vorgaben der Verordnung zu entsprechen. Die Verordnung verlangt eine erweiterte Dokumentations- und Nachweispflicht, eine Analyse der Datenschutzrisiken, eine Datenschutz-Folgeabschätzung bei voraussichtlich hohen Risiken, umfassende Informationspflichten bei der Datenerhebung, striktere Löschpflichten und ein Recht auf Vergessenwerden, erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen, einen stärkeren Datenschutz durch Technik und Voreinstellungen, ein Verzeichnis von Verarbeitungstätigkeiten, zusätzliche Verantwortung für Datenschutzbeauftragte im Unternehmen, umfassende Rechte der Betroffenen, insb. die Rechte auf Auskunft, Berichtigung, Löschung und eben das Recht auf Vergessenwerden.

Die EU-Datenschutzverordnung bringt nicht nur Zusatzaufwand für Unternehmen, sondern erleichtert diesen auch das Business in bestimmten Bereichen. So fallen z.B. die Daten juristischer Personen nicht mehr unter den Datenschutz (inskünftig wohl auch in der Schweiz), was den Bereich B2B erheblich entlastet. Daten von juristischen Personen sind aber inskünftig nicht „Freiwild“, sondern sind immer noch durch den generellen Persönlichkeitsschutz sowie insb. den Grundsätzen des Lauterkeitsrechts (in der Schweiz UWG) geschützt.

Schweizer Unternehmen, die auf dem EU-Markt tätig sind, dort insb. Daten erheben oder Marktteilnehmer beobachten, ist dringend zu raten, sich umgehend mit der neuen EU-Datenschutz-Grundverordnung zu befassen und entsprechende Vorkehren im Unternehmen zu treffen. Dabei dürfte der Zuzug von Datenschutz-Fachleuten unumgänglich sein.

Entsprechende datenschutzrechtliche Vorkehren sind aber nicht nur ein Tribut an die EU. Unter dem indirekten Druck der EU-Datenschutzreform, aber auch unter dem direkten Druck der Revision der Datenschutz-Konvention 108 des Europarates, bei der die Schweiz ja auch Mitglied ist und die sich wiederum auch an der EU-Verordnung orientiert, ist auch in der Schweiz eine Revision des Datenschutzgesetzes (DSG) in der Pipeline, die sich ihrerseit an der EU-Verordnung und an der Europarats-Konvention orientiert. Auch wenn der künftige Schweizer Datenschutz weniger rigide sein dürfte, z.B. wohl auch weniger drastische Bussen vorsehen wird, bewegt sich der Datenschutz in Richtung der EU-Verordnung. Damit dürften Schweizer Unternehmen, die ihren Datenschutz schon jetzt auf das neue Niveau der EU anheben, auch für das künftige Niveau in der Schweiz bestens gerüstet sein.

Datenschutz und Datenvertraulichkeit ist aber nicht nur ein juristischer Faktor, sondern ein ökonomischer Schlüssel in einer digitalisierten Geschäftswelt.

Zum Datenschutz-Fahrplan des Nationalsrats in der NZZ: https://t.co/DekGp0FuCQ

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

Aktualisiert am 11. Mai 2018

Ärzte-Inkasso – Schweigepflicht nach Strafgesetz und Datenschutz

Lange hatte ich nur den Eindruck, dass Ärzte mit dem Arztgeheimnis nach Art. 321 des Schweizerischen Strafgesetzbuches (StGB) gelinde gesagt salopp umgehen. Nun zeigen Medienberichte über ein Datenleck beim Inkassounternehmen EOS Schweiz AG, dass dieser Eindruck offenbar nicht täuscht (s. z.B. Tages-Anzeiger http://bit.ly/2CgbkAE).

Nach Art. 321 StGB werden Ärzte*, die Dritten gegenüber ein Geheimnis verraten, das ihnen infolge ihres Berufes anvertraut worden ist oder das sie in dessen Ausübung wahrgenommen haben, auf Antrag des Betroffenen mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Dabei ist bereits die Tatsache des Bestehens einer Arzt-Patientenbeziehung durch dieses Berufsgeheimnis geschützt. Damit darf ein Arzt grundsätzlich diese Beziehung auch nicht gegenüber einem Betreibungsamt, einem Gericht und schon gar nicht gegenüber einem Inkassobüro kundtun, ohne dafür das Einverständnis seines Patienten eingeholt zu haben. Gibt ein ein Patient, der eine fällige Schuld aus einer Behandlung nicht bezahlt, dem Arzt dieses Einverständnis nicht, kann der Arzt an die kantonale Aufsichtsbehörde über die Ärzte gelangen, und diese um eine teilweise Aufhebung des Arztgeheimnis zur Durchsetzung der Forderung ersuchen. Diesem Ersuchen wird in begründeten Fällen in der Regel auch stattgegeben. Diese Regel gilt z.B. im Kanton Zürich (s. dazu die Weisung des Datenschutzbeauftragten http://bit.ly/2E2BN5q). Für das Inkasso von streitigen Forderungen hat jedoch z.B. der Kanton Luzern eine Ausnahme geschaffen (§22 Gesundheitsgesetz LU). Ärzte im Kanton Luzern sind zur Durchsetzung von streitigen Forderungen aus dem Behandlungsverhältnis gegenüber der beauftragten Inkassostelle und den zuständigen Behörden vom Berufsgeheimnis befreit. Sowohl in diesem, wie aber auch im Fall der Befreiung durch die Aufsichtsbehörde sind die Ärzte aber immer noch an die Regeln des Datenschutzes gebunden. Gemäss Art. 4 des Schweizerischen Datenschutzgesetzes (DSG) gilt u.a. der Grundsatz der Verhältnismässigkeit. Für den Fall des Inkassos bedeutet dieser Grundsatz, dass ein Arzt nur Informationen weitergeben darf, die dafür notwendig und geeignet sind. Dazu gehören m.E. lediglich Name und Adresse des Patienten sowie der offene Rechnungsbetrag mit dem Datum der Rechnungsstellung. Alle weiteren Informationen sind m.E. nicht gedeckt und könnten zur Bestrafung des Arztes oder seines Hilfspersonals nach Art. 321 StGB führen, sofern der Betroffene einen entsprechenden Antrag stellt (spätestens innert 3 Monaten nach Bekanntwerden des Verstosses).

*aber auch Geistliche, Rechtsanwälte, Verteidiger, Notare, Patentanwälte, nach Obligationenrecht zur Verschwiegenheit verpflichtete Revisoren, Zahnärzte, Chiropraktoren, Apotheker, Hebammen, Psychologen sowie ihre Hilfspersonen

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

moneyhouse.ch – Bundesverwaltungsgericht stärkt Datenschutz

Mit seinem nunmehr rechtskräftigen Entscheid A-4232/2015 vom 18. April 2017 nimmt das Bundesverwaltungsgericht (BVGer) auf Klage des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gegen die zur NZZ-Gruppe gehörende Moneyhouse AG und deren Bearbeitung von Personendaten im Kontext der digitalen Auskunftei (insb. Bonitätsprüfungen) moneyhouse.ch Stellung. Der Entscheid stärkt den Datenschutz und den Schutz der Betroffenen in der Schweiz, was einem Trend in der EU entspricht.

Nach Art. 12 des Datenschutzgesetzes (DSG) darf, wer Personendaten bearbeitet, die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Gemäss Art. 13 Abs. 1 DSG ist eine Verletzung der Persönlichkeit widerrechtlich, wenn sie nicht durch Einwilligung des Betroffenen, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Nach Art. 13 Abs. 2 lit. c DSG kommt ein überwiegendes Interesse des Datenbearbeiters insbesondere dann in Betracht, wenn dieser zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen. Gemäss BVGer gehören dazu Name, Vorname, Geburtsdatum und Wohnort der zu prüfenden Person. Diese Daten dürfen jedoch in diesem Kontext nicht, wie von Moneyhouse bisher praktizert, mit Informationen, wie Wohn- und Lebenssituationen, Haushaltsmitglieder und Nachbarn verbunden werden. Letzteres würde zu Persönlichkeitsprofilen führen, deren Publikation nur mit expliziter, zweckgebundener Einwilligung der betroffenen Personen zulässig ist, die jedoch Moneyhouse aus wirtschaftlichen Gründen nicht einholt. Damit muss Moneyhouse seine Praxis entsprechend anpassen. Zudem wurde Moneyhouse vom BVGer basierend auf Art. 5 bzw. 7 DSG dazu verpflichtet, ihren Datenbestand betreffend Richtigkeit regelmässig zu überprüfen. Schlussendlich hat Moneyhouse Auskunftsbegehren nach Art. 8 DSG, die sich auf Datenbanken von Dritten beziehen, ohne weiteres an diese zur Beantwortung weiterzuleiten.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

Aktualisiert am 16. Oktober 2020