A-4232/2015 - 2017-04-18 - protection des données - Umsetzung von Empfehlungen des EDÖB

Bundesverwaltungsgericht
Tribunal administratif fédéral
Tribunale amministrativo federale
Tribunal administrativ federal

Abteilung I

A-4232/2015

Urteil vom 18. April 2017

Richterin Marianne Ryter (Vorsitz),

Besetzung Richterin Claudia Pasqualetto Péquignot,
Richter Jérôme Candrian,

Gerichtsschreiberin Tanja Petrik-Haltiner.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB,
Parteien Feldeggweg 1, 3003 Bern,

Kläger,

gegen

Moneyhouse AG,
Lettenstrasse 7, 6343 Rotkreuz,

vertreten durch lic. iur. LL.M. Oliver Kunz und Dr. iur. Monique Sturny, Walder Wyss AG,

Seefeldstrasse 123, Postfach 1236, 8034 Zürich,

Beklagte,

Gegenstand Umsetzung von Empfehlungen des EDÖB.

Sachverhalt:

A.

A.a Die Moneyhouse AG bezieht Daten in elektronischer Form von diversen Quellen wie der A._______ AG betreffend natürliche Personen, der B._______ AG betreffend Handelsregisterdaten, welche diese über die Online-Publikation des Schweizerischen Handelsamtsblatts (www.shab.ch, vgl. zur Suche nach Firmen und Namen aktueller und gelöschter juristischer Personen auch den zentralen Firmenindex, publiziert unter www.zefix.ch) erhältlich macht, der C._______ AG, von Betreibungsämtern und via Online-Suchmaschinen wie Google, www.local.ch, www.search.ch, www.jobs.nzz.ch und Google Maps. Diese verwendet sie, um verschiedene Dienstleistungen anzubieten, insbesondere eine Firmen- und Personensuche und ein Stellenportal. Sie publiziert diese Daten auf www.moneyhouse.ch. Dieser Dienst ist für das Publikum nach erfolgter Registrierung kostenlos. Zusätzlich werden zahlungspflichtig für sog. Premium User Bonitäts- und Zahlweiseabonnemente, Details zu Zahlungsstörungen, Betreibungs-, Grundbuch-, Wirtschafts- und Steuerauskünfte und Dienstleistungen betreffend Firmenportraits angeboten. Für Zusatzangebote und um auf Daten natürlicher Personen, die nicht im Handelsregister oder in einem elektronischen Telefonverzeichnis eingetragen sind, zuzugreifen, müssen Interessensnachweise erbracht werden.

A.b Die Datensammlung der Moneyhouse AG besteht aus Einträgen von ca. (...) Personen und umfasste bei Klageeinreichung inhaltlich die Datenbanken MH, MHLOG und SHAB. Erstere enthält die Daten natürlicher Personen, die nicht im Handelsregister registriert sind sowie die auf einer Sperrliste registrierten natürlichen Personen, welche eine Löschung ihrer Daten im Handelsregister verlangt haben. Gespeichert werden die folgenden Daten: Name, Vorname, Strasse und Strassennummer, Wohnort, Postleitzahl, Geburtsdatum und somit Alter, Beruf, Haushalt und Nachbarn, Wohnsituation. In der Datenbank MHLOG werden die geloggten Interessensnachweise gespeichert, die Kunden der Moneyhouse AG erbringen müssen, um Einblick in Informationen über eine Privatperson zu erhalten, deren Adresse weder in einem elektronischen Telefonverzeichnis noch im Handelsregister verzeichnet ist. Ebenfalls registriert werden die Interessensnachweise, die erbracht werden müssen, um ein Zusatzangebot zu buchen. Diese Datenbank enthält einen Identifikator des Premium Users, die IP-Adresse des abfragenden Geräts, die abgefragten Inhalte des Angebots und den bei der Abfrage angegebenen Interessensnachweis. In der Datenbank SHAB werden sodann alle Daten, die im Handelsregister publiziert sind oder waren sowie Kundendaten und deren Bestellungen, gespeichert. Damit gemeint sind die folgenden Daten: Name, Firmenadresse, Inhaber, Beteiligungen, Status, Kapital, Mitarbeiter- und Umsatzzahlen, Sitz der Firma, Eintrag im Handelsregister und die entsprechende Nummer, Angaben zum Handelsregisteramt, Zweck des Unternehmens, aktuelle und frühere Verwaltungsräte, Zeichnungsberechtigte, Revisionsstelle, Netzwerk, Kontaktdaten und Stellen.

A.c Zum Urteilszeitpunkt ist diese bisherige Plattform nach wie vor in Betrieb, während sich auf der sich im Aufbau befindlichen Plattform die Datensammlung der Moneyhouse AG in die beiden Datenbanken MYSQL und "Elastic Search" unterteilt. In Ersterer sind bislang nur die Handelsregisterdaten, d.h. die Daten der ehemaligen Datenbank SHAB gespeichert. Die übrigen Daten befinden sich immer noch auf der bisherigen Plattform. Die Datenbank "Elastic Search" ist auf Suchvorgänge spezialisiert und spiegelt die Daten der übrigen Datenbanken, um die Suche anhand der Sucheingaben für die Benutzer möglichst effizient zu gestalten.

B.
Der Eidgenössische Datenschutzbeauftragte (EDÖB) erliess nach Durchführung eines Schriftenwechsels am 6. November 2014 eine Empfehlung an die Adresse der damaligen itonex AG und heutigen Moneyhouse AG (vgl. bezüglich Umfirmierung den die Beklagte betreffenden Handelsregisterauszug vom 3. Februar 2017) betreffend die unter www.moneyhouse.ch angebotenen Dienstleistungen. Er empfahl insbesondere Folgendes:

"a.(...)

b.Die Empfehlungsadressatin stellt sicher, dass bei Personen, die nicht im Handelsregister eingetragen sind, eine rechtsgültige explizite Einwilligung für Datenbearbeitungen, die über das für eine Bonitätsprüfung notwendige hinausgehen, vorliegt.

c.Daten von Personen, die nicht im Handelsregister eingetragen sind und deren explizite Einwilligung nicht vorliegt, dürfen in allen über die Bonitätsprüfung hinausgehenden Diensten nicht angezeigt werden.

d.Die Empfehlungsadressatin löscht bei Personen, die nicht im Handelsregister eingetragen sind und deren explizite Einwilligung nicht vorliegt, alle für die Bonitätsprüfung nicht zwingend notwendigen Daten.

e.Die Empfehlungsadressatin entfernt Verlinkungen, die das Erstellen von Persönlichkeitsprofilen durch die Nutzer der Plattform www.moneyhouse.ch ermöglichen.

f.(...)

g.Die Auffindbarkeit von im Handelsregister eingetragenen Personen über Suchmaschinen wird entsprechend der Praxis von www.zefix.ch angepasst.

h.- j. (...)

k.Die Empfehlungsadressatin überprüft den Datenbestand betreffend Richtigkeit in einem Umfang, der in einem angemessenen prozentualen Verhältnis zu den gemachten Abfragen steht.

l.-n. (...)

o.Die Bonitätsabfrage wird rechtskonform ermöglicht. Die Anzahl der nachträglichen Kontrollen eines zum Zeitpunkt der Bonitätsabfrage bestehenden Interessensnachweises hat in regelmässigen Zeitabständen und in einem Verhältnis von mindestens 5 % zu den getätigten Abfragen zu erfolgen. (...).

p.Die Auskunft wird allen Nutzern gleich und rechtskonform gemäss den Vorgaben von Art. 8 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1), insbesondere kostenlos und unter namentlicher Nennung aller Datenlieferanten, erteilt. Auskunftsgesuche werden gemäss Art. 1 Abs. 6 der Verordnung vom 14. Juni 1993 zum DSG (VDSG, SR 235.11) an die Partner der Empfehlungsadressatin, welche ebenfalls Personendaten bearbeiten, weitergeleitet.

q. und r. (...)."

C.
Die Beklagte liess in ihrer Stellungnahme vom 23. März 2015 zu den Empfehlungen b-e des Klägers Folgendes verlauten: Im Rahmen der Nutzung ihrer Plattform würden keine Persönlichkeitsprofile generiert. Den Bedenken des Klägers würden jedoch im Rahmen des Redesigns der Plattform Rechnung getragen mittels Aufteilung des Angebots in getrennte Datenbanken je nach Nutzungsprofil. Betreffend die Empfehlung g erklärte sie, die angebotenen Suchmodalitäten und die Auffindbarkeit von im Handelsregister eingetragenen Personen über Suchmaschinen sei datenschutzrechtlich zulässig, insbesondere verhältnismässig. Mit Bezug auf die Empfehlung o akzeptierte sie risikogewichtete Kontrollen im Verhältnis von 0.2 %, d.h. Kontrollen bei Kunden, bei denen besonders viele Abfragen getätigt wurden oder bei ungewöhnlichen Abfragemustern. Was die Empfehlung p anbelangt, blieb die Weiterleitung von Auskunftsgesuchen an Partner umstritten. Die Beklagte machte diesbezüglich geltend, sie sei nicht Inhaberin der Partnerdatenbanken und daher weder auskunftspflichtig noch zur Weiterleitung der entsprechenden Angaben verpflichtet. Die übrigen Empfehlungen akzeptierte sie.

D.
Nachdem die Moneyhouse AG (nachfolgend: Beklagte) mit Schreiben vom 23. März 2015 einige Inhalte der vorgenannten Empfehlung akzeptierte, legt der EDÖB (nachfolgend: Kläger) die Angelegenheit mit Bezug auf die strittig gebliebenen Inhalte mit Klageschrift vom 7. Juli 2015 dem Bundesverwaltungsgericht zum Entscheid vor. Er beantragt Folgendes:

"1.Es sei festzustellen, dass die Beklagte bei der Erbringung ihrer Dienstleistungen über die Plattform www.moneyhouse.ch Persönlichkeitsprofile von Personen ohne einen rechtsgenügenden Rechtfertigungsgrund bearbeitet und bekannt gibt und demzufolge die Persönlichkeit von vielen Personen verletzt.

2.Die Beklagte sei zu verpflichten, bei natürlichen Personen ohne Handelsregistereintrag vorgängig eine rechtsgültige, explizite Einwilligung für diejenigen Datenbearbeitungen einzuholen, die nicht für die Erteilung von Bonitätsauskünften benötigt werden.

3.Die Beklagte sei zu verpflichten, Daten von Personen ohne Handelsregistereintrag, die vorgängig nicht rechtsgültig und explizit in die Bekanntgabe ihrer Daten eingewilligt haben, ausschliesslich im Rahmen der Erteilung von Bonitätsauskünften zu bearbeiten und bekannt zu geben.

4.Die Beklagte sei zu verpflichten, sämtliche Daten natürlicher Personen ohne Handelsregistereintrag, die nicht rechtsgültig in die Datenbearbeitung eingewilligt haben, soweit sie nicht für die Erteilung von Bonitätsauskünften benötigt werden, vollständig und unwiederbringlich zu löschen und dem Kläger die Löschung schriftlich zu bestätigen.

5.Die Beklagte sei zu verpflichten, auf der Website www.moneyhouse.ch sämtliche Verlinkungen zu löschen, die das Erstellen von Persönlichkeitsprofilen von Personen ermöglichen, die darin nicht rechtskonform eingewilligt haben.

6.Die Beklagte sei zu verpflichten, die Auffindbarkeit von im Handelsregister eingetragenen Personen so anzupassen, dass sie der vom Eidgenössischen Amt für das Handelsregister mit der Website www.zefix.ch aktuell verfolgten Praxis entspricht.

7.Die Beklagte sei zu verpflichten, den Datenbestand betreffend Richtigkeit in einem durch das Gericht festzulegenden angemessenen Prozentsatz zu den getätigten Abfragen auf der Plattform www.moneyhouse.ch zu überprüfen.

8.Die Beklagte sei zu verpflichten, Auskunftsgesuche gestützt auf Art. 8 DSG, die sie von Personen betreffend die von ihr auf der Plattform www.moneyhouse.ch angebotenen Dienstleistungen erhält, wenn sie diese nicht selber beantworten kann, umgehend und ohne Kostenfolgen an die jeweiligen Partner der Plattform weiterzuleiten.

9.Die Beklagte sei zu verpflichten, im Rahmen der Bonitätsprüfung nur die dafür notwendigen Daten zu bearbeiten und in regelmässigen Zeitabständen das Vorhandensein von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage in einem Verhältnis von mindestens 5 % zu den getätigten Abfragen zu kontrollieren."

E.
Mit Klageantwort vom 9. September 2015 beantragt die Beklagte, die Klage vom 7. Juli 2015 sei vollumfänglich abzuweisen, soweit darauf einzutreten sei.

F.
Der Kläger hält mit Replik vom 19. November 2015 unverändert an seinen Anträgen gemäss Klageschrift vom 7. Juli 2015 fest.

G.
Gegen die Editionsverfügung des Bundesverwaltungsgerichts vom 7. Dezember 2015 erhebt die Beklagte Beschwerde ans Bundesgericht, auf welche mit Urteil 1C_41/2016 vom 22. März 2016 nicht eingetreten wird.

H.
Mit Duplik vom 6. Juni 2016 hält die Beklagte ebenfalls an ihrem mit Klageantwort vom 9. September 2015 gestellten Begehren fest.

I.
Die Beklagte aktualisiert auf Anfrage den Sachverhalt mit Eingabe vom 24. Oktober 2016. Betreffend die Umsetzung der klägerischen Empfehlungen vertritt sie mit Bezug auf die strittig gebliebenen Punkte weiterhin die Ansicht, im Rahmen der Nutzung ihrer Plattform würden keine Persönlichkeitsprofile generiert. Zu Bst. b der klägerischen Empfehlung hält sie fest, sich gegenüber dem Kläger bereit erklärt zu haben, ihr Angebot nach Nutzungsarten zu unterteilen. Der Kläger sei darauf nicht eingegangen und so habe sie aufgrund des laufenden Klageverfahrens ihre Dienstleistungen nicht weiter angepasst. Betreffend Bst. d der klägerischen Empfehlung erklärt sie, dass Daten von natürlichen Personen, welche nicht im Handelsregister eingetragen seien, auf deren Wunsch hin gelöscht würden. Nutzer mit einem Bonitätsabonnement könnten bonitätsrelevante Daten jedoch auch diesfalls weiterhin abrufen. Mit Bezug auf Bst. g der klägerischen Empfehlung stellt sich die Beklagte auf den Standpunkt, die von ihr angebotenen Suchmodalitäten und die Auffindbarkeit von im Handelsregister eingetragenen Personen über Suchmaschinen sei datenschutzrechtlich zulässig, insbesondere verhältnismässig. Mittlerweile habe sie jedoch die Auffindbarkeit von im Handelsregister eingetragenen Personen über Suchmaschinen in dem Sinne leicht angepasst und sich damit der klägerischen Forderung angenähert, dass nur noch Personen, die aktiv im Handelsregister eingetragen seien, indexiert würden. Die übrigen Personen seien nach einer bestimmten Zeit nur noch über die Suche nach Firmennamen auffindbar. Eine weitere Einschränkung der Auffindbarkeit von im Handelsregister eingetragenen Personen erachte sie als unverhältnismässig. Bst. k der klägerischen Empfehlung habe sie akzeptiert und umgesetzt, d.h. sie überprüfe regelmässig die Richtigkeit ihrer Datenbestände und nehme nötigenfalls Korrekturen vor. Die Verknüpfung eigener Daten mit derjenigen Dritter funktioniere grundsätzlich korrekt. Zudem seien die Handelsregisterdaten im März 2016 mit einem neuen Datensatz der B._______ AG vollständig neu eingelesen worden und würden seither monatlich aktualisiert. Zusätzlich sei die manuelle Prüfung der Datenrichtigkeit seit Erlass der klägerischen Empfehlung intensiviert worden. In diesem Zusammenhang weist die Beklagte sodann darauf hin, dass die betroffenen Personen jederzeit die rasche Löschung oder Korrektur ihrer Daten verlangen könnten, sofern sie sich im Einzelfall als unrichtig erwiesen. Der Kläger habe diesen Sachverhalt dem Bundesverwaltungsgericht dennoch unzulässiger- und unbegründeterweise mit Rechtsbegehren 7 zum Entscheid vorgelegt. Bst. o der klägerischen Empfehlung habe sie grundsätzlich akzeptiert. Strittig sei einzig die Höhe des
prozentualen Anteils der zu tätigenden Kontrollabfragen der im Zeitpunkt der Bonitätsabfrage zu erbringenden Interessensnachweise. Das seitens des Klägers geforderte Verhältnis von 5 % zu den getätigten Abfragen sei eklatant zu hoch und nicht praktikabel. Sie erachte entsprechend der deutschen Praxis einen Kontrollanteil von 0.02 % als üblich und angebracht. Mit Bezug auf Bst. p der klägerischen Empfehlung sei lediglich umstritten, ob sie verpflichtet sei, Auskunftsgesuche an ihre Vertragspartner weiterzuleiten.

J.
Die A._______ AG kündigt den Vertrag mit der Beklagten vom 15. Februar 2016 mit Schreiben vom 9. November 2016 per 28. Februar 2017.

K.
Das Bundesverwaltungsgericht lädt die Parteien mit Instruktionsverfügung vom 10. November 2016 zur Vorbereitungsverhandlung und zur Hauptverhandlung vor.

L.
Mit Eingabe vom 24. November 2016 ersucht die Beklagte um Verschiebung der beiden Termine um mindestens 30 Tage mit der Begründung, die neue Geschäftsführerin werde ihre Tätigkeit am 1. Dezember 2016 aufnehmen und benötige Zeit, um sich ins laufende Verfahren einzuarbeiten.

M.
Die Verschiebungsgesuche der Beklagten werden mit Verfügung vom 28. November 2017 abgewiesen.

N.
Am 12. Dezember 2016 findet die Vorbereitungsverhandlung i.S.v. Art. 44 Abs. 1 des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 (VGG, SR 173.32) i.V.m. Art. 35 Bundesgesetz vom 4. Dezember 1947 über den Bundeszivilprozess (BZP, SR 273) statt.

O.
Die A._______ AG gibt mit Eingabe vom 19. Dezember 2016 Auskunft über den ursprünglichen Bearbeitungszweck der an die Beklagte weitergegebenen Daten und inwiefern sie die davon betroffenen Personen im Zeitpunkt der Datenerhebung betreffend ihre Verwendungszwecke informiert hat.

P.
Mit Eingabe vom 6. Januar 2017 reicht die Beklagte eine aktuelle Übersicht über die insgesamt gelösten Bonitätsabonnemente von Juni bis November 2016 und die Anzahl monatlich getätigter Abfragen im selben Zeitraum sowie über die Anzahl eingegangener Löschungsbegehren und deren Behandlungsdauer ein. Zudem reicht sie ihr aktuelles IT-Sicherheitskonzept gemäss Ziff. 15 ihres Bearbeitungsreglements, ihr aktuelles Datenschutzkonzept, ihr aktuelles Strategiepapier sowie die Dokumentation der Prozesse im Kundendienst und bei der Überprüfung der Bonitätsabonnemente als konkrete Umsetzungen der konzeptuellen Vorgaben ein. Weiter gibt sie den Anhang 1 zum Vertrag zwischen ihr, der D._______ AG und der A._______ AG betreffend die von Letzterer erhaltenen Datenkategorien zu den Akten.

Gleichzeitig nimmt die Beklagte zum Protokoll der Vorbereitungsverhandlung vom 12. Dezember 2016 Stellung.

Q.
Die öffentliche Hauptverhandlung i.S.v. Art. 44 Abs. 1 VGG i.V.m. Art. 66 ff . BZP findet am 23. Januar 2017 statt. Anlässlich seiner Replik passt der Kläger Rechtsbegehren 9 insofern an, als er den festzulegenden Prozentsatz der Kontrolldichte von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage ins Ermessen des Gerichts stellt.

R.
Mit abschliessender Stellungnahme vom 9. Februar 2017 hält die Beklagte an ihren Rechtsbegehren und bisherigen Ausführungen fest. Der Kläger verzichtet mit Eingabe vom 7. Februar 2017 auf eine Stellungnahme.

S.
Auf weitere Sachverhaltselemente und Parteivorbringen sowie sich bei den Akten befindliche Dokumente wird - soweit entscheidrelevant - im Rahmen der nachfolgenden Erwägungen eingegangen.

Das Bundesverwaltungsgericht zieht in Erwägung:

1.
Der EDÖB klärt von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (sog. Systemfehler, Art. 29 Abs. 1 Bst. a DSG). Aufgrund seiner Abklärungen kann er empfehlen, eine Datenbearbeitung zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG). Wird eine solche Empfehlung nicht befolgt oder (teilweise) abgelehnt, kann er die Angelegenheit dem Bundesverwaltungsgericht als erster Instanz auf dem Klageweg zum Entscheid vorlegen (Art. 29 Abs. 4 DSG i.V.m. Art. 35 Bst. b VGG).

2.

2.1 Das Verfahren vor dem Bundesverwaltungsgericht richtet sich gemäss Art. 44 Abs. 1 VGG grundsätzlich nach den Art. 3 -73 sowie Art. 79 -85 BZP.

2.2 Gegenstand des vorliegenden Verfahrens kann nur sein, was bereits vom EDÖB im Rahmen des Erlasses seiner Empfehlung geprüft wurde und in diese Eingang gefunden hat (Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 2.3 mit weiteren Hinweisen und David Rosenthal in: Handkommentar zum DSG, 2008, Art. 29 Rz. 46 mit weiteren Hinweisen). Seit Klageeinreichung zusätzlich angebotene Dienstleistungen wie "KMU Ratgeber" und "Bonität international" und allgemein seither neu angebotene Dienstleistungen der Beklagten sind daher nicht Gegenstand der gestellten Anträge, weshalb darüber auch nicht zu entscheiden ist. Überlegungen zu diesen Themen können aber in die Erwägungen einfliessen, sofern dies für den Entscheid in der vorliegenden Sache relevant ist.

2.3 Art. 3 Abs. 2 BZP bestimmt, dass das Gericht nicht über die Rechtsbegehren der Parteien hinausgehen darf. In einem Klageverfahren wie dem vorliegenden hat die Dispositionsmaxime somit grössere Bedeutung als im Beschwerdeverfahren vor Bundesverwaltungsgericht: Einer Partei darf nicht mehr oder nichts anderes zugesprochen werden, als sie beantragt hat (statt vieler BVGE 2008/16 E. 2.2 und Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 2.2 mit weiteren Hinweisen, Moser/Beusch/Kneubühler, Prozessieren vor dem Bundesverwaltungsgericht, 2. Aufl. Basel 2013, Rz. 5.14 mit weiteren Hinweisen). Obwohl im Bundeszivilprozess das Gericht sein Urteil somit grundsätzlich nur auf Tatsachen gründen darf, die im Verfahren geltend gemacht worden sind, gilt vor Bundesverwaltungsgericht infolge der spezialgesetzlichen Bestimmung von Art. 44 Abs. 2 VGG der Grundsatz der Sachverhaltsabklärung von Amtes wegen.

2.3.1 Die Beklagte stellt sich auf den Standpunkt, das vom Kläger gestellte Rechtsbegehren 1 sei unzulässig, weil es auf Feststellung und nicht auf Änderung oder Unterlassung einer Datenbearbeitung gerichtet sei. Weiter macht sie betreffend die Rechtsbegehren 2-4 geltend, auf die Beschwerde sei nicht einzutreten, weil die klägerischen Begehren zu unbestimmt und unklar seien, da sie interpretationsbedürftige Begriffe enthielten, so z.B. unbestimmte Rechtsbegriffe wie "rechtsgenügend" oder "Persönlichkeitsprofile". Welche Verlinkungen - wie mit Rechtsbegehren 5 beantragt - zu löschen seien, die das Erstellen von Persönlichkeitsprofilen ermöglichten, sei ebenfalls unklar. Nicht präzisiert werde in Rechtsbegehren 6 sodann, was unter der aktuell verfolgten Praxis des Eidgenössischen Handelsregisteramts zu verstehen sei. Rechtsbegehren 7 sei unzulässig, weil der Kläger dem Gericht die Aufgabe übertrage, einen angemessenen Prozentsatz der getätigten Abfragen festzulegen, anhand dessen der Datenbestand bezüglich Richtigkeit zu überprüfen sei. Ohne Bezifferung sei ein Rechtsbegehren zu unbestimmt und daher nicht vollstreckbar

Zudem fehle es an einer klar formulierten Darstellung der seitens des Klägers behaupteten Tatsachen. So führe dieser z.B. aus, "häufig" Unstimmigkeiten festgestellt zu haben oder dass sich bei "fast allen" Abfragen Fehler ergeben hätten. Nicht dargelegt werde weiter, welche konkreten Datenverknüpfungen unter Umständen zur Erstellung eines Persönlichkeitsprofils führten. Der Kläger habe weiter zu wenig bestimmt ausgeführt, welche Daten nicht für die Erteilung von Bonitätsauskünften benötigt würden. Er habe es sodann unterlassen, seine Tatsachenbehauptungen mit konkreten Beweismitteln zu untermauern. Stattdessen finde sich in Fussnoten wiederholt der Hinweis "siehe alle aufgeführten Beweise" oder es werde auf die Sachverhaltsfeststellung vom 16. Juni 2014 verwiesen, welche sie nicht akzeptiert habe.

2.3.2

2.3.2.1 Gemäss Art. 23 BZP hat die Klageschrift u.a. das Rechtsbegehren des Klägers (Bst. b) zu enthalten. Die Anforderungen an das Rechtsbegehren werden gesetzlich nicht umschrieben. Gemäss allgemeiner Lehre zum Zivilprozess kann es auf Leistung, Gestaltung oder Feststellung lauten. Der Kläger hat darin die Rechtsfolge festzulegen, die er beurteilt wissen will. Es gilt der Grundsatz, dass das Rechtsbegehren so bestimmt und präzis abgefasst sein muss, dass sich mit hinreichender Deutlichkeit erkennen lässt, was die klagende Partei anstrebt, und dass das Rechtsbegehren bei Gutheissung der Klage ohne Weiteres zum gerichtlichen Urteil erhoben werden kann (Frei/Willisegger in: Basler Kommentar zur schweizerischen Zivilprozessordnung, 2010, Art. 221 ZPO Rz. 4 ff.). Ist ein Rechtsbegehren unklar, widersprüchlich, unvollständig oder unbestimmt, so unterliegt es der Auslegung nach Treu und Glauben. Dabei darf auch die Klagebegründung herangezogen werden (Frei/Willisegger, a.a.O., Art. 221 ZPO Rz. 9). Zudem können Sinn und Zweck der Rechtsbegehren bei Unklarheiten durch Fragen seitens des Gerichts eruiert werden (Frei/Willisegger, a.a.O., Art. 221 ZPO Rz. 9). Demnach sind auch im Rahmen der Dispositionsmaxime gerichtliche Präzisierungen der klägerischen Rechtsbegehren möglich und zulässig (zum Ganzen Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 3.2 mit weiteren Hinweisen). Des Weiteren muss der Kläger die Tatsachen zur Begründung der Rechtsbegehren klar darlegen und entsprechende Beweismittel nennen (Art. 23 Bst. d und Bst. e BZP).

2.3.2.2 Auf Feststellung des Bestehens oder Nichtbestehens eines Rechtsverhältnisses kann gemäss Art. 25 BZP geklagt werden, wenn der Kläger ein rechtliches Interesse an sofortiger Feststellung hat. Entsprechend dem Inhalt anderer Prozessgesetze sowie gemäss der herrschenden Lehre muss das Rechtsbegehren also den Bestand oder Inhalt und den Umfang von Rechten oder Pflichten betreffen, die durch das Urteil festgelegt oder abgegrenzt werden sollen. Dagegen kann nicht eine blosse Rechtsfrage ohne die an sie zu knüpfende Rechtsfolge zum Gegenstand einer gerichtlichen Entscheidung gemacht werden. Denn damit wäre eben noch nicht über Rechte und Pflichten entschieden, also kein materiellrechtliches (Feststellungs-)Urteil gefällt (BGE 80 II 362 E. 3 mit weiteren Hinweisen).

Im Datenschutzrecht ist ein Feststellungsurteil v.a. aufgrund seiner präventiven Wirkung von Bedeutung, indem es verbindlich klarstellt, dass künftig eine derartige Datenbearbeitung nicht mehr erfolgen darf. Ein Feststellungsinteresse ist daher namentlich zu bejahen, wenn eine Persönlichkeitsverletzung weiterhin störende Auswirkungen nach sich zieht und einzig die Feststellung deren Widerrechtlichkeit geeignet ist, diese Folge zu beseitigen (Belser/Epiney/Waldmann, Datenschutzrecht, 2011, § 12 Rz. 177 mit weiteren Hinweisen bezüglich der Ansprüche einer betroffenen Person nach Art. 25 DSG, wobei derjenige auf Feststellung der Widerrechtlichkeit einer Datenbearbeitung subsidiär zu denjenigen auf Unterlassung und Beseitigung ist).

2.3.3

2.3.3.1 Im vorliegenden Falle beantragt der Kläger mit Rechtsbegehren 1 die Feststellung, dass die Beklagte im Rahmen der Erbringung ihrer Dienstleistungen über ihre Plattform Persönlichkeitsprofile ohne genügenden Rechtfertigungsgrund erstellt und damit die Persönlichkeit vieler Personen verletzt, also letztlich widerrechtlich Daten bearbeitet, und stellt damit eine Rechtsfrage unabhängig von der an sie anknüpfenden Rechtsfolge zur Debatte.

Es ist dem Kläger zuzustimmen, dass sein Rechtsbegehren zwar inhaltlich auf Bst. b-e seiner Empfehlung gründet und somit grundsätzlich im Rahmen des Streitgegenstands liegt (vgl. dazu auch vorangehende E. 2.2). Soweit er jedoch damit - wie geltend gemacht - bezweckt, weitere persönlichkeitsverletzende Datenbearbeitungen durch die Beklagte zu verhindern, ist dieses Rechtsbegehren materiell bereits in den Rechtsbegehren 2-5 enthalten, die auf Änderung oder Unterlassung dieser Datenbearbeitung - nämlich der ungerechtfertigten Erstellung von Persönlichkeitsprofilen - lauten. Sofern eine derartige Persönlichkeitsverletzung zu bejahen ist, was Gegenstand der nachfolgenden materiellen Prüfung sein wird (vgl. dazu gesamte E. 5), werden deren Auswirkungen mit Gutheissung der Rechtsbegehren 2-5 beseitigt, weshalb die Feststellung deren Widerrechtlichkeit sich erübrigt und ein entsprechendes Feststellungsinteresse zu verneinen ist (vgl. auch Art. 29 Abs. 3 DSG, wonach die Empfehlung des EDÖB auf Änderung oder Unterlassung einer Datenbearbeitung lauten soll). Demnach ist auf das klägerische Rechtsbegehren 1 nicht einzutreten.

2.3.3.2 Was die Rügen der Beklagten betreffend die Bestimmtheit der übrigen Rechtsbegehren betrifft, bleibt Folgendes festzuhalten:

Mit Bezug auf die in Rechtsbegehren 5 erwähnten Verlinkungen ergibt sich aus Rz. 75 der klägerischen Begründung, dass z.B. die Verlinkung von Luftaufnahmen- und Google Streetviewbildern mit der Wohnsituation betroffener natürlicher Personen gemeint ist und weshalb nach Ansicht des Klägers damit konkret Persönlichkeitsprofile erstellt würden. Weiter wird in Rz. 105 der Klageschrift festgehalten, dass Verlinkungen gemeint sind, welche es den Nutzern der Plattform der Beklagten vereinfachen, an weitere Informationen zu gelangen. Welche konkreten Datenverknüpfungen nach Ansicht des Klägers zur Erstellung eines Persönlichkeitsprofils führen, wird insbesondere in Rz. 75-77 der Begründung dargelegt. Rz. 148 f. der Klageschrift definieren sodann exakt, welche Daten im Rahmen von Bonitätsauskünften bearbeitet werden sollen; e contrario sind die übrigen Datenbearbeitungen nach Ansicht des Klägers hierfür nicht notwendig.

Was unter einer rechtsgenügenden Einwilligung im Zusammenhang mit der Erstellung von Persönlichkeitsprofilen zu verstehen ist, ergibt sich sodann aus den gesetzlichen Grundlagen (vgl. Art. 4 Abs. 5 DSG). Betreffend die Qualifizierung einer Datenbearbeitung als Erstellung eines Persönlichkeitsprofils im konkreten Einzelfall kann im Rahmen der materiellen Prüfung auf Literatur, Rechtsprechung und Materialien zurückgegriffen werden. Weshalb die Rechtsbegehren 2-5 aufgrund der Verwendung dieser unbestimmten Rechtsbegriffe unklar sein sollen, ist nicht ersichtlich.

Worauf der Kläger mit Rechtsbegehren 6 hinaus will, ergibt sich aus Rz. 111 der Klagebegründung, wonach bei der Personensuche auf www.zefix.ch nur ein Eintrag als Google-Suchresultat erscheint, wenn der Name und Zefix in die Suchmaschine eingegeben wird, die Eingabe des Namens alleine also nicht ausreichend ist bzw. keine direkte Verlinkung zu Personeneinträgen erfolgt und keine weiteren Angaben über private Lebensumstände der eingetragenen Person publiziert werden. Mit Bezug auf Rechtsbegehren 7 und das angepasste Rechtsbegehren 9 (vgl. Sachverhalt Q.) bleibt festzuhalten, dass diese Begehren, sofern sie im Dispositiv des Entscheids beziffert werden, vollstreckbar sind.

Der pauschale klägerische Hinweis auf die Sachverhaltsfeststellung vom 16. Juni 2014 und in den Fussnoten auf alle aufgeführten Beweise erscheint unter dem Aspekt der Substantiierungspflicht in einem reinen Zivilprozess in der Tat mangelhaft. Vorliegend gilt jedoch abweichend davon wie erwähnt der Grundsatz der Sachverhaltsabklärung von Amtes wegen (Art. 44 Abs. 2 VGG) Zudem verweist der Kläger des Öfteren auf Beweise zu gewissen Randziffern, welche dort konkret offeriert werden.

2.3.4 Die Rechtsbegehren 2-9 des Klägers sind demnach gemäss den anwendbaren Verfahrensgrundsätzen unter Beizug der Klagebegründung als hinreichend klar und bestimmt zu bezeichnen und lassen sich im Falle einer Gutheissung - allenfalls mit gerichtlichen Präzisierungen - zum Urteil erheben. Die Dispositionsmaxime führt demnach nicht dazu, dass die Rechtsbegehren des Klägers nicht zugelassen werden könnten. Da der Kläger auch die Tatsachen zur Begründung dargelegt und die entsprechenden Beweismittel genannt hat, erweist sich die Klage insofern als zulässig.

3.

3.1 Aus dem Gebot der Gewährung des rechtlichen Gehörs folgt der Anspruch auf Abnahme der von einer Partei angebotenen Beweise, soweit diese rechtserhebliche Tatsachen betreffen und nicht offensichtlich beweisuntauglich sind (BGE 127 I 54 E. 2b mit Hinweisen). Keine Verletzung des rechtlichen Gehörs liegt vor, wenn eine Behörde auf die Abnahme beantragter Beweismittel verzichtet, weil die antizipierte Beweiswürdigung ergibt, dass die betreffende Tatsache aus den Akten bereits genügend ersichtlich ist und angenommen werden kann, dass die Durchführung des Beweises im Ergebnis nichts ändern wird (statt vieler Urteil des BGer 2C_712/2011 vom 19. Januar 2012 E. 2.2 mit Hinweisen; BVGE 2012/15 E. 1.2.2 mit Hinweisen).

3.2 Die Beklagte hat u.a. diverse Mitarbeitende als Zeugen aufgeführt, um zu beweisen, dass ein grosser Teil der auf ihrer Plattform verfügbaren Daten bereits öffentlich zugänglich sei, keine besonders schützenswerten Daten bearbeitet würden, Daten ausschliesslich im Rahmen der Kundenbeziehung verwendet und nicht verknüpft würden sowie um den Ablauf des Abrufs von Informationen mittels Interessensnachweis und ihre Kontrolltätigkeit bezüglich missbräuchlicher Nutzung ihrer Dienstleistungen und bezüglich Richtigkeit der publizierten Daten darzulegen.

Da diese Tatsachen jedoch bereits aufgrund eines Augenscheins der Plattform mit den seitens der Beklagten gewährten Zugangsdaten sowie aus dem eingereichten Bearbeitungsreglement und Datenschutzkonzept sowie aus der sich ebenfalls bei den Akten befindlichen Dokumentation der Prozesse im Kundendienst und bei der Überprüfung der Bonitätsabonnemente ersichtlich sind, kann in antizipierter Beweiswürdigung auf die Einvernahme der aufgeführten Zeugen verzichtet werden. Dass die Beklagte keine besonders schützenswerten Personendaten i.S.v. Art. 3 Bst. c DSG bearbeitet, wird im Übrigen vom Kläger nicht bestritten, weshalb darüber ohnehin kein Beweis zu erheben ist.

4.
Das DSG ist auf den vorliegenden Sachverhalt ungeachtet einer allfälligen Qualifikation des Handelsregisters als öffentliches Register i.S.v. Art. 2 Abs. 2 Bst. d DSG anwendbar, da die Beklagte eine private Datenplattform betreibt (vgl. dazu ausführlich Urteil des BVGer A-4086/2007 vom 26. Februar 2008 gesamte E. 3.1 mit weiteren Hinweisen).

Bei den Daten, die auf www.moneyhouse.ch veröffentlicht werden, handelt es sich um Personendaten i.S.v. Art. 3 Bst. a DSG, weil sie Angaben über bestimmte oder bestimmbare juristische und natürliche Personen beinhalten (vgl. zum Begriff der Personendaten statt vieler BGE 138 II 346 E. 6.1 mit weiteren Hinweisen). Sodann umfasst die Tätigkeit der Beklagten das Bearbeiten, insbesondere das Bekanntgeben von Personendaten gemäss Art. 3 Bst. e und f DSG. Der über Internet zugängliche Bestand dieser Personendaten mit ca. (...) Einträgen stellt eine Datensammlung gemäss Art. 3 Bst. g DSG dar. Die seitens der Beklagten praktizierte Weitergabe von Informationen über die Plattform www.moneyhouse.ch ist sodann geeignet, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen und gilt in diesem Sinne als Systemfehler gemäss Art. 29 Abs. 1 Bst. a DSG (vgl. zu diesem Begriff ausführlich Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 1.1 mit weiteren Hinweisen und auch vorne E. 1). Aus diesem Grund ist der Kläger zur Abgabe einer Empfehlung an die im privatrechtlichen Bereich handelnde Beklagte berechtigt (vgl. zum Ganzen Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 3.2 mit Bezug auf die Weitergabe von Handelsregisterinformationen).

5.
Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen (Art. 12 Abs. 1 DSG). Insbesondere dürfen Personendaten nicht entgegen den Grundsätzen von Art. 4 DSG bearbeitet (Art. 12 Abs. 2 Bst. a DSG) oder ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekanntgeben werden (Art. 12 Abs. 2 Bst. c DSG).

Dass es sich bei den auf der Plattform der Beklagten bekanntgegebenen Daten nicht um besonders schützenswerte Personendaten i.S.v. Art. 3 Bst. c DSG handelt, ist unbestritten (vgl. auch vorne E. 3.2). Den Rechtsbegehren 2-5 liegt jedoch die Rechtsfrage zugrunde, ob dieselben, gesetzlich vorgesehenen verstärkten Schutzmechanismen greifen, weil die Beklagte im Rahmen der Erbringung ihrer Dienstleistungen Persönlichkeitsprofile i.S.v. Art. 3 Bst. d DSG bearbeitet. Fraglich ist mithin also, ob ihre Datenzusammenstellung eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt (der legaldefinierte Begriff der Bearbeitung von Persönlichkeitsprofilen bezieht sich nur auf natürliche, mithin also nicht auf juristische Personen; vgl. statt vieler Gabor P. Blechta in: Basler Kommentar zum DSG und BGÖ, 3. Aufl. 2014, Art. 3 DSG Rz. 69).

5.1 Der Kläger macht geltend, die Beklagte bearbeite Persönlichkeitsprofile und gebe sie Dritten bekannt, ohne sich dafür auf einen rechtsgenügenden Rechtfertigungsgrund zu stützen.

Die Beklagte hingegen erklärt, keine Persönlichkeitsprofile zu bearbeiten. Die von ihr bearbeiteten Daten seien nicht geeignet, Rückschlüsse auf wesentliche Aspekte der Persönlichkeit zuzulassen. Zudem handle es sich dabei vornehmlich um Daten, die bereits veröffentlicht seien und nach gesetzgeberischem Willen transparent gemacht werden sollten. Diese würden zur Bonitätsprüfung erhoben und sich lediglich auf wirtschaftliche Aspekte betroffener Personen beziehen und liessen somit keine Bewertung wesentlicher Persönlichkeitsaspekte zu. Zudem dürften ihr ohnehin lediglich diejenigen Nutzungen verboten werden, welche effektiv zur Erstellung von Persönlichkeitsprofilen führten. Sämtliche vom Kläger genannten Informationen seien nur betreffend wenige Personen abrufbar. Die klägerischen Rechtsbegehren in diesem Zusammenhang seien unverhältnismässig, da sie nicht nur Premium User, sondern sämtliche Benutzer ihrer Plattform betreffen würden. Die Beklagte erklärt, die Zusatzangaben seien zum Schutz von Gläubigern und Schuldnern bekanntzugeben. Würde nur ein Datenausschnitt angeboten, könnte dieser für sich alleine betrachtet im Rahmen des jeweiligen konkreten Zwecks - insbesondere bei der Beurteilung der Kreditwürdigkeit - ein falsches Bild einer juristischen oder natürlichen Person vermitteln. Informationen betreffend Haushalt und Wohnsituation dienten lediglich der klaren Identifikation der gesuchten Person und liessen Rückschlüsse auf die wirtschaftliche Leistungsfähigkeit und bestehende wirtschaftliche Verpflichtungen der betreffenden Person zu und seien daher ebenso bonitätsrelevant. Eine Einschränkung der Datenbekanntgabe auf blosse Identifikationsinformationen sei im Übrigen im Hinblick auf die ihrerseits angebotene Dienstleistung der Bonitätsprüfung unverhältnismässig. Zudem definiere der Kläger diejenigen Daten, welche zur eindeutigen Identifikation einer Person notwendig seien, zu eng.

Weiter erklärt die Beklagte, auch Premium User könnten all diese Daten von natürlichen Personen nur abrufen, wenn die betroffene Person diese z.B. in einem elektronischen Telefonbuch offengelegt oder auf andere Weise zugänglich gemacht habe bzw. wenn sie aus einem amtlichen Register stammten. Angaben wie Anzahl Haushalte im Gebäude, Bauperiode und Anzahl Etagen seien auf die Immobilie bezogen und stellten keine persönlichkeitsrelevanten Daten dar. Schliesslich erklärt die Beklagte, die Informationen betreffend Baugesuche und -bewilligungen nicht mit den übrigen, auf ihrer Plattform abrufbaren Informationen zu verknüpfen. Der Zugriff auf diese Daten sei sodann auf 14 Tage ab deren Publikation beschränkt.

5.2

5.2.1 Nicht jede Datenkombination lässt die Beurteilung wesentlicher Aspekte der Persönlichkeit zu und stellt somit ein Persönlichkeitsprofil dar. Mit der Einführung dieses Begriffs wollte der Gesetzgeber dem Umstand Rechnung tragen, dass eine Vielzahl an sich nicht besonders schützenswerter Daten zu einem spezifischen Bild über die betroffenen Personen verdichtet werden können, das als solches ein erhöhtes Risiko für die Persönlichkeit generiert (Blechta, a.a.O., Art. 3 DSG Rz. 62 ff., vgl. auch Urteil des BVGer A-8073/2015 vom 13. Juli 2016 E. 6.1.3 mit weiteren Hinweisen).

Ein Persönlichkeitsprofil ist eine Zusammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Persönlichkeitsprofile können zum Beispiel bei Sicherheitsüberprüfungen oder im Rahmen eines Anstellungsverhältnisses entstehen. Aber auch Datensammlungen über das Konsumverhalten oder über schulische und berufliche Qualifikationen sind geeignet, mindestens ein Teilbild der betroffenen Personen zu ergeben. Entscheidend ist, dass auch durch die systematische Zusammenstellung von an sich nicht besonders schützenswerten Daten (z. B. über Lesegewohnheiten, Reise- und Freizeitaktivitäten) sensitive Bereiche einer Person, z. B. ihre Weltanschauung, erschlossen werden können. Infolge der technologischen Entwicklung der letzten Jahre haben die Speicherfähigkeit, Durchlässigkeit und Vernetzung von Informationen enorm zugenommen (vgl. Schweizer/Bischof, Der Begriff der Personendaten, digma 11/2011, S. 156 f. und BGE 138 II 346 E. 10.6.2). Da mit Hilfe elektronischer Datenverarbeitung personenbezogene Informationen in beliebigem Umfang gespeichert, verknüpft und reproduziert werden können, lassen sich auch an sich harmlose Informationen, die ohne Weiteres der Öffentlichkeitssphäre zuzurechnen wären, zu eigentlich schützenswerten Persönlichkeitsprofilen verdichten (BGE 138 II 346 E. 8.2; zur sog. Sphärentheorie, welche die Lebensbereiche des Menschen dreiteilt vgl. Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 3.3.3 mit weiteren Hinweisen). Durch diese Speicher- und Auswertungsmöglichkeiten der automatischen Datenverarbeitung und durch die Verknüpfung automatisierter Datenbestände ist die Erstellung von Persönlichkeitsprofilen leichter und häufiger geworden (vgl. auch Thomas Probst, Die Verknüpfung von Personendaten und deren rechtliche Tragweite in: Datenverknüpfung, Problematik und rechtlicher Rahmen, 2011, S. 3, der davon spricht, dass durch den technischen Fortschritt auf dem Gebiet der elektronischen Kommunikation und Datenverarbeitung das natürliche Phänomen der Datenverknüpfung zu einem rechtlichen Grundproblem geworden ist). Die miteinander verknüpften Personendaten erreichen relativ rasch eine Informationsdichte, die Verhaltensmuster und Persönlichkeitsprofile erkennen lassen (Probst, a.a.O., S. 30). Die Betroffenen haben oft keine Kenntnis vom Bestehen eines Profils und können so dessen Richtigkeit und Verwendung nicht kontrollieren. Einmal erstellt, können aber Persönlichkeitsprofile den Betroffenen der Freiheit berauben, sich so darzustellen, wie er will. Sie vermögen mithin die Entfaltung der
Persönlichkeit wesentlich zu beeinträchtigen. Deshalb sollen sie, gleich wie besonders schützenswerte Daten, nur unter bestimmten Voraussetzungen erstellt und bearbeitet werden dürfen (zum Ganzen Botschaft vom 23. März 1988 zum DSG, BBl 1988 II 413 ff., 446 f. und Blechta, a.a.O., Art. 3 DSG Rz. 63; vgl. auch VPB 65.48 E. 2.a).

Für die Frage, ob eine Zusammenstellung mehrerer Daten einer bestimmten Person ein Persönlichkeitsprofil ergibt, kommt es zum einen auf die Menge und den Inhalt der personenbezogenen Informationen an, mit anderen Worten ob und inwiefern diese Werturteile über die betroffene Person erlauben. Man muss überdies nach der zeitlichen Dimension der Informationen differenzieren. Personendaten, die über einen längeren Zeitraum zusammengetragen werden und dadurch gleichsam ein biografisches Bild ergeben, indem sie eine Entwicklung, einen Werdegang der betroffenen Person aufzeigen, sind eher als Persönlichkeitsprofil zu qualifizieren als Daten, die eine blosse Momentaufnahme darstellen. Im Weiteren wird unter Umständen der konkrete Zusammenhang, in dem die Daten verwendet werden, mit entscheidend dafür sein, ob der qualifizierte gesetzliche Schutz zum Tragen kommen soll oder nicht. Der Begriff des Persönlichkeitsprofils kann somit nicht generell definiert werden, vielmehr ist das Vorliegen eines Persönlichkeitsprofils im Einzelfall aufgrund der konkreten Umstände zu bejahen oder zu verneinen (VPB 65.48 E. 2.b).

Ein Gesamtbild der betroffenen Person zu ergeben vermögen nach bundesgerichtlicher Rechtsprechung z.B. die in einem Einbürgerungsverfahren zu machenden detaillierten Angaben über Herkunft, Einkommen, Vermögen, Ausbildung, Tätigkeit, Sprachkenntnisse, Familienverhältnisse, Freizeitgestaltung, Leumund etc. (BGE 129 I 232 E. 4.3.2). Als Beispiel einer möglichen Bearbeitung von Persönlichkeitsprofilen gelten neben der Aufzeichnung von Kundengewohnheiten und -präferenzen, der personalisierten Auswertung von Kreditkartentransaktionen, der Bearbeitung von Angaben über Charaktereigenschaften, Sozialverhalten und weiteren persönlichen Informationen von Mitarbeitenden durch die Arbeitgebenden auch Bonitätsprüfungen, die sachwidrige Kriterien - wie etwa den Wohnsitz - infolge ihrer statistischen Relevanz zur Bonitätsbeurteilung heranziehen (Blechta, a.a.O., Art. 3 DSG Rz. 67).

Im Übrigen reicht die einzelne Bekanntgabe eines Persönlichkeitsprofils; eine regelmässige Bekanntgabe oder das - vorliegend ohnehin zu bejahende - Führen einer Datensammlung ist nicht erforderlich (Rosenthal, a.a.O., Art. 12 Abs. 2, Rz. 46).

5.2.2 Im vorliegenden Fall ist zwischen folgenden Sachverhalten zu unterscheiden:

Nicht registrierte Besucher der Plattform können die Suchfunktion nach Privatpersonen auf www.moneyhouse.ch nicht einsetzen, sondern lediglich auf die ebenfalls im Handelsregister ersichtlichen Daten zugreifen oder aber insbesondere natürliche Personen indirekt suchmaschinenindexiert, z.B. via Google-Suche auffinden. Auch der Wohnort und die Nationalität von im Handelsregister eingetragenen natürlichen Personen können - sofern dort aufgeführt - ermittelt werden. Ebenfalls zugänglich sind Jobangebote, Baugesuche und -bewilligungen, Miet- und Kaufangebote von Immobilien, ein Branchenverzeichnis sowie eine Auflistung von Konkursen und Gesellschaftsgründungen. Die Beklagte sammelt von nicht registrierten Besuchern ihrer Plattform Informationen betreffend den verwendeten Internet-Browser, die Anzahl Besuche, die durchschnittlicher Verweilzeit und die aufgerufenen Seiten. Weiter werden sog. Cookies eingesetzt, welche die besuchte Website über den Browser im Rechner des Besuchers platziert und die so Informationen über jeden neuen Besuch der Website senden. Monatlich sollen (...) nicht registrierte Nutzer die Plattform besuchen.

Registrierten Nutzern werden zusätzliche Daten bekannt gegeben. Der Zugang erfolgt passwortgeschützt und nachdem die Nutzungsbedingungen akzeptiert wurden. Der Abruf von Informationen erfolgt unentgeltlich. Kostenlos registrierte Nutzer können von der Firmensuche Gebrauch machen und so Angaben von natürlichen Personen abrufen, die im Handelsregister eingetragen sind, wie z.B. Informationen über aktuelle und frühere Verwaltungsratsmitglieder, Zeichnungsberechtigte und Revisionsstellen. Die Suchfunktion betreffend natürliche Privatpersonen können sie eingeschränkt benutzen: Es kann die genaue Adresse einer natürlichen, nicht im Handelsregister eingetragenen Person abgefragt sowie deren Telefonnummer, wenn diese in einem über das Internet zugänglichen Telefonverzeichnis wie www.local.ch eingetragen ist. Mit der Anzeige der gesuchten Person macht die Beklagte registrierte Nutzer darauf aufmerksam, welche zusätzlichen Informationen als sog. Premium User abrufbar wären. Dabei wird der entsprechende Link zum Abschluss eines solchen Abonnements eingeblendet. Weiter können kostenlos registrierte Nutzer zwei juristische Personen überwachen lassen und einen Handelsregisterauszug bestellen. Die Beklagte meldet dem betreffenden Nutzer diesfalls alle Änderungen der Daten der überwachten juristischen Person. Monatlich sollen durchschnittlich (...) registrierte Nutzer die Website der Beklagten besuchen.

Bei spezifischer Suche nach natürlichen, nicht im Handelsregister verzeichneten Personen gibt die Beklagte auf ihrer Plattform registrierten Nutzern, die ein entgeltliches Premiumabonnement abgeschlossen haben, nebst Vor- und Nachnamen teilweise weitere Hintergrundinformationen betreffend die gesuchte Person bekannt, wie z.B. Wohnort, Postleitzahl, Geburtsdatum und damit Alter, aktueller Beruf und beruflicher Werdegang, Haushaltsmitglieder und Wohnsituation mit Verlinkung auf Google Street View-Bilder sowie Nachbarn und alte Adressen/Wohnorte. Zusätzlich werden Angaben zum Gebäudetyp, zu den Anzahl Haushalten im Gebäude, zur Bauperiode, zu den Baukosten und zur Anzahl Etagen gemacht. Konkret bestehen diverse Verlinkungen, nebst "Finanzielles" auch "Privates" (Wohnsituation, Haushalt und Nachbarn, Wohnorte) "Wer wohnt im gleichen Haushalt?" und "Nachbarn". Unter dem Link "Haushalt und Nachbarn" zur gesuchten Person bestehen Fragen wie "Mit wem wohnt die gesuchte Person zusammen? Wohnt sie alleine? Und wer sind ihre Nachbarn? Wem gehört die Immobilie, in der sie wohnt?" "Nachfolgend erfahren Sie, welche Personen an derselben Strasse wohnhaft sind und welche Firmen an dieser Strasse ihren Sitz haben." Unter dem Link "Wohnorte" zur gesuchten Person finden sich Fragen wie "Wo lebt sie aktuell und wo hat sie früher gewohnt? Wie lebte sie früher? In einem Einfamilienhaus oder in einer Wohnung?". Zu Haushaltmitgliedern und Nachbarn sind teilweise Angaben wie Name und Vorname, Geburtsdatum/Alter sowie Beruf ersichtlich und es ist mit Bezug auf diese Personen ebenfalls eine Bonitätsabfrage möglich. Unter der Wohnsituation zur gesuchten Person stehen Fragen wie "Wie wohnt sie? Wohnt sie zur Miete oder hat sie die Immobilie gekauft?". Im Rahmen der Suche nach juristischen Personen können die sog. Premium User zusätzlich Informationen betreffend den Inhaber eines Unternehmens sowie Beteiligungen einer juristischen Person und eine detaillierte Darstellung ihres Netzwerks abrufen. Ebenfalls möglich ist diesfalls die unlimitierte Überwachung von juristischen Personen. Weiter können Bonitätsauskünfte und Informationen betreffend die Zahlungsmoral von juristischen und natürlichen Personen eingeholt werden. Im Rahmen von Bonitätsabfragen werden Details zur gesuchten Person wie Vorname, Name, Geburtsdatum/Alter, Adressen und Adress- und Personenstatus (passiv
oder aktiv, wobei Letzteres bedeutet, dass die Person weder bevormundet noch minderjährig noch verstorben ist), zu Zahlungsstörungen, sowie eine Gesamtbeurteilung mittels einer Bonitätsampel (rote, gelbe oder grüne Anzeige) bekannt gegeben.

5.2.3 Die Rechtsbegehren 2-5 des Klägers beschränken sich implizit auf die Datenbekanntgabe gegenüber registrierten Nutzern, die ein entgeltliches Premiumabonnement abgeschlossen haben, da die übrigen Benutzer keinen Zugang zu anderen als bonitätsrelevanten und der Identifizierung dienenden Daten erhalten. Unter Bonitätsdaten sind hierbei Informationen, welche die Kreditwürdigkeit - also die Zahlungsfähigkeit und -willigkeit (Rosenthal, a.a.O., Art. 13 Rz. 49) - der betroffenen Person positiv oder negativ beeinflussen, zu verstehen (vgl. Marc Frédéric Schäfer, Aktuelle Fälle aus der Praxis des EDÖB - Kreditauskunfteien und die Bearbeitung von Bonitätsdaten in: Datenverknüpfung, Problematik und rechtlicher Rahmen, 2011, S. 62). Daten zur Identifizierung einer Person wie z.B. Name, Vorname, Geburtsdatum und Adresse sind keine Bonitätsdaten im eigentlichen Sinn. Sofern solche Daten jedoch öffentlich zugänglich sind, dürfen sie von Kreditauskunfteien grundsätzlich bearbeitet, d.h. insbesondere gespeichert, werden (Schäfer, S. 63). Der Rechtfertigungsgrund der Kreditüberprüfung nach Art. 13 Abs. 2 Bst. c DSG gilt demnach für die Bearbeitung solcher Daten, die zur Identifikation der betroffenen Person und zur Überprüfung ihrer Kreditwürdigkeit geeignet und erforderlich sind, so insbesondere Vorname, Name, Geburtsdatum, Adresse, Betreibungen, Konkurse, Nachlassverfahren sowie entsprechende Gesuche, Verlustscheine, einvernehmliche Schuldensanierungen, abgelehnte Kreditanträge, nicht zurückbezahlte Kredite, Kreditkartensperrungen infolge Verzugs oder Missbrauchs, Zahlungsrückstände und Inkassoverfahren, solange damit nicht Persönlichkeitsprofile bearbeitet werden (Rampini, a.a.O., Art. 13 DSG Rz. 36). Da die Beklagte die Bonitätsprüfung nicht selber durchführt, benötigt sie nach Ansicht des Klägers für die Erteilung der Bonitätsauskünfte lediglich die zur zweifelsfreien Identifizierung notwendigen Daten wie Vorname, Name, aktuelle Adresse, zwei bisherige Adressen und das Geburtsdatum (Rz. 148 der Klageschrift).

5.2.4 Betreffend die aus dem Handelsregister ersichtlichen Daten ist eine Datenbearbeitung an sich gerechtfertigt, solange diese Daten unverändert übernommen werden (Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 5.2.8 f. sowie E. 5.3 f.). Die vorliegende, davon zu unterscheidende Frage ist, wie es sich in rechtlicher Hinsicht verhält, wenn diese Daten mit weiteren verknüpft werden. Die von der Beklagten angebotenen Recherchemöglichkeiten betreffend natürliche Privatpersonen basieren nämlich auf der Verknüpfung von Datensätzen bzw. erlauben eine solche, womit eine natürliche Person in einem bestimmten Zusammenhang gezeigt wird, der über den Informationsgehalt der Ursprungsdaten im Handelsregister hinausgeht (vgl. auch Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 5.2.8).

Für die Qualifikation einer Zusammenstellung von Personendaten als Persönlichkeitsprofil ist mit dem Kläger einig zu gehen, dass die Herkunft der Daten bzw. die Art der Datenquelle unerheblich ist. Vielmehr entscheidend sind Menge und Inhalt der verknüpften Daten (VPB 65.48 E. 2b und vorne E. 5.2.1). Daher ist es in diesem Zusammenhang unerheblich, ob die strittigen Daten bereits zugänglich gemacht worden sind oder nicht. Bei Daten aus öffentlichen Quellen wie dem Handels- oder Steuerregister, aus Amtsblättern oder dem Grundbuch konnten die betroffenen Personen zudem aufgrund der entsprechenden gesetzlichen Verpflichtungen zur Datenbekanntgabe deren Art und Umfang nicht bestimmen. Relevant ist vorliegend einzig, ob die Verknüpfung von Informationen - auch von solchen, welche der Öffentlichkeit bereits zugänglich oder welche nicht besonders schützenswert i.S. des DSG sind - Aufschluss über einen oder mehrere wesentliche Aspekte der Persönlichkeit gibt (vgl. vorne E. 5.2.1). Auch wenn es sich also bei sämtlichen bekanntgegebenen Daten nur um solche handeln würde, die bereits öffentlich zugänglich wären, so stünde diese Tatsache einer Qualifikation der praktizierten Datenverknüpfung als Persönlichkeitsprofil nicht entgegen.

5.2.5 Die Tatsache, dass der Gesetzgeber den Betrieb von Auskunfteien mit Art. 13 Abs. 2 Bst. c DSG ermöglichen wollte, legt den Umkehrschluss nahe, dass diejenigen Daten, die eine Auskunftei im Rahmen ihres zweckmässigen Betriebs bearbeiten muss, noch nicht ein Persönlichkeitsprofil generieren (Christoph Hofer, Datenschutz im Handel mit Bonitätsdaten in: Datenschutzrecht, Beraten in der Privatwirtschaft und öffentlicher Verwaltung, 2015, Rz. 16.41). Fraglich ist also, ob die bearbeiteten Daten zur Erteilung von Bonitätsauskünften notwendig sind.

5.2.5.1 Premium Usern werden im Rahmen der Privatpersonensuche wie erwähnt (vgl. vorne E. 5.2.2) sofern verfügbar folgende Daten natürlicher Personen bekanntgegeben: Name, Vorname, Strasse, Wohnort, Postleitzahl, Alter, Geburtsdatum, Beruf, Haushalt und Nachbarn, Wohnsituation und frühere Wohnorte. Falls die natürliche Person in einem Handelsregistereintrag erwähnt ist, werden die entsprechenden Informationen ebenfalls bekannt gegeben, d.h. die Funktion, Zeichnungsberechtigung und wenn vorhanden die Nationalität. Premium User können also in Erfahrung bringen, wie eine natürliche Person lebt, wo und wie sie wohnt - alleine oder mit wem zusammen - und wer ihre Nachbarn sind. Zu Haushaltmitgliedern und Nachbarn sind Angaben wie Name/Vorname, Geburtsdatum/Alter, Beruf ersichtlich und es ist diesbezüglich ebenfalls eine Bonitätsabfrage möglich. Damit wird zumindest die Privatsphäre der betroffenen Personen tangiert, auch wenn es sich dabei nicht um besonders schützenswerte, der Intimsphäre zuzuordnende Daten i.S.v. Art. 3 Bst. c DSG handelt (zur sog. Sphärentheorie, welche die Lebensbereiche des Menschen dreiteilt vgl. Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 3.3.3 mit weiteren Hinweisen).

Wer beispielsweise einen Betreibungsregisterauszug einholen möchte, benötigt nebst Name und Vorname auch den aktuellen Wohnort und allenfalls vorherige Adressen der betreffenden Person. Zur zweifelsfreien Identifizierung einer Person beanstandet der Kläger weiter nicht, dass das Geburtsdatum dieser Person bekannt gegeben wird. Inwiefern jedoch Geburtsdaten bzw. das Alter von Familienmitgliedern, deren Namen und vor allem auch die entsprechenden persönlichen Angaben zur Nachbarschaft, teilweise inklusive beruflicher Tätigkeit, systematisch bonitätsrelevant sein sollen, ist nicht nachvollziehbar. Grundsätzlich stellen auf eine Immobilie bezogene Informationen zwar keine persönlichkeitsrelevanten Daten dar, aber die damit verbundene Bekanntgabe der privaten Wohn- und Lebenssituation geht über die für eine zweifelsfreie Identifikation und Beurteilung der Kreditwürdigkeit einer natürlichen Person notwendige Verknüpfung von Handelsregisterinformationen mit deren Daten, z.B. betreffend Verbindungen zu Gesellschaften, hinaus (zu dieser Verknüpfung vgl. Hofer, a.a.O., Rz. 16.1 ff., Rz. 16.55; vgl. auch vorne E. 5.2.1 i.f. zur Heranziehung des Wohnsitzes als sachwidriges Kriterium zur Beurteilung der Bonität). Diese Informationen zu privaten, beruflichen und wirtschaftlichen Lebensumständen lassen persönlichkeitsrelevante Schlüsse zu.

Die Beklagte argumentiert, aufgrund der Wohn- und Lebenssituation einer Person liessen sich allenfalls Rückschlüsse auf weitere finanzielle Verpflichtungen ehe- und familienrechtlicher Art und auf deren Bonität im Allgemeinen ziehen. So mache es beispielsweise einen Unterschied, ob jemand in einer Villa am See oder in einer "Mietskaserne" wohne, kinderlos sei oder acht Kinder habe (vgl. Protokoll zur Hauptverhandlung vom 23. Januar 2017, S. 3 und S. 5). Tendenziell lassen sich aus derartigen Angaben zwar mit Bezug auf die finanziellen Verhältnisse einer natürlichen Person Schlussfolgerungen ziehen und auch genau deshalb wird damit ein wesentlicher Teilaspekt der Persönlichkeit beleuchtet. Die Angaben können jedoch ebenso zu falschen Annahmen führen und belegen die Kreditwürdigkeit einer natürlichen Person somit nicht zuverlässig. So kann jemand, der in einer Villa mit Seeanstoss wohnt, verschuldet sein oder eine vermögende, sparsame Person in einer kleinen Wohnung leben oder acht Kinder und keine finanziellen Probleme haben oder im umgekehrten Fall kinderlos sein und Schulden haben. Weiter lassen sich aufgrund der Verknüpfung der bekanntgegebenen Daten allenfalls Rückschlüsse auf besonders schützenswerte Personendaten i.S.v. Art. 3 Bst. c DSG ziehen, insbesondere auf die sexuelle Gesinnung. Mittels Informationen zu Wohnpartnern und deren Alter lässt sich nämlich allgemein - nicht nur in Bezug auf gleichgeschlechtliche Paare, auf welche der Kläger hinweist - auf die sexuelle Orientierung der betreffenden Personen schliessen oder aber es werden falsche Annahmen getroffen, so wenn Studienkollegen oder gute Freunde zusammen wohnen. Ebenso sind unter Umständen Rückschlüsse auf den gesundheitlichen Zustand einer Person möglich, z.B. wenn als Wohnadresse ein Pflege- oder Altersheim vermerkt ist, oder auf die religiöse Zugehörigkeit: Bei einer Stiftungsratspräsidentin einer christlichen Wohngemeinschaft liegt nämlich - wie der Kläger darlegt - in der Tat der Schluss nahe, dass sie selbst Christin ist.

5.2.5.2 Die Bearbeitung von Persönlichkeitsprofilen mittels der von der Beklagten praktizierten Bekanntgabe der gesammelten Daten ist somit im folgenden Fall zu bejahen: Die Beklagte gibt registrierten und zahlenden Benutzern nebst den zur Identifizierung benötigten Angaben wie Name, Vorname, aktuelle Adresse und allenfalls Geburtsdatum - sofern die entsprechenden Daten vorhanden sind - systematisch verknüpfte Informationen zur privaten Wohn- und Lebenssituation betroffener natürlicher Personen, d.h. betreffend ihre Haushaltsmitglieder und Nachbarn, und damit zu einem wesentlichen Teilaspekt ihrer Persönlichkeit bekannt. Bei im Handelsregister verzeichneten Personen wird zusätzlich die Nationalität bekanntgegeben sowie ihr beruflicher Werdegang und ihr berufliches Netzwerk, womit ein weiterer Teilbereich der Persönlichkeit betroffen ist. Premium User können sodann mit Hilfe der von der Beklagten angebotenen Dienstleistungen wie Bonitäts-, Steuer- und Grundbuchauskünften selbst relativ simpel Persönlichkeitsprofile gesuchter Personen erstellen oder weiterbearbeiten.

Die Argumentation der Beklagten, wenn sie nur ein Datenausschnitt anbieten würde, könnte dieser für sich alleine betrachtet im Rahmen der Beurteilung der Kreditwürdigkeit ein falsches Bild einer juristischen oder natürlichen Person vermitteln, mag zutreffen, ändert jedoch mit Bezug auf natürliche Personen nichts daran, dass mit der im Rahmen eines Premiumabonnements bearbeiteten Daten unter den vorgenannten Umständen ein Persönlichkeitsprofil erstellt wird.

Selbst wenn die systematische Bonitätsrelevanz von Daten betreffend die private Wohn- und Lebenssituation bejaht würde, würde dies die seitens der Beklagten praktizierte Datenbekanntgabe nicht rechtfertigen, da die Erstellung eines Persönlichkeitsprofils wie erwähnt zu bejahen ist.

Fraglich ist sodann, ob auch in Bezug auf diejenigen Haushaltsmitglieder und Nachbarn von betroffenen Personen, die namentlich erwähnt und von denen ebenfalls die Wohnverhältnisse und teilweise das Alter und die berufliche Tätigkeit bekannt gegeben werden, die Bearbeitung eines Persönlichkeitsprofils zu bejahen wäre, womit ebenfalls deren diesbezügliche explizite Einwilligung benötigt würde. Da die klägerischen Rechtsbegehren sich auf die Bearbeitung von Persönlichkeitsprofilen mit Bezug auf Personen, über die Bonitätsauskünfte eingeholt werden, beschränken, hat diese Frage vorliegend offen zu bleiben (vgl. auch vorne E. 2.2.1).

5.3 Als Zwischenfazit bleibt festzuhalten, dass mit Bezug auf diejenigen Datenverknüpfungen, wie sie teilweise im Rahmen von Premiumabonnementen vorgenommen werden, ein biografisches Bild erstellt wird, sofern nebst Name und Vorname sowie Geburtsdatum auch die Lebens- und Wohnsituation in Form von ebenfalls persönlichkeitsrelevanten Angaben betreffend die Haushaltsmitglieder und Nachbarn einer natürlichen Person bekannt gegeben werden. Dies muss umso mehr gelten, wenn zusätzlich frühere Wohnorte bekannt gegeben und Angaben zu beruflichen Tätigkeiten gemacht werden. Die bekannt gegebenen Angaben über Leumund, Familienverhältnisse, Ausbildung bzw. berufliche Tätigkeit und Wohnverhältnisse vermögen ein Teilbild der betroffenen Person zu ergeben, womit die Bearbeitung eines Persönlichkeitsprofils zu bejahen ist. Die Beklagte ermöglicht Premium Usern zudem mittels entsprechender Verlinkungen auf ihrer Plattform, welche diese Informationen miteinander verknüpfen, die Weiterbearbeitung von Persönlichkeitsprofilen.

5.4 Die Bekanntgabe von Persönlichkeitsprofilen stellt eine qualifizierte Form der Datenbearbeitung dar, die ein erhöhtes Risiko einer Persönlichkeitsverletzung aufweist, da nicht nur die Berechtigung der bearbeitenden, sondern auch jene der empfangenden Person zu hinterfragen ist (Amédéo Wermelinger in: Stämpflis Handkommentar zum DSG, 2015, Art. 12 Rz. 8). Die Rechtmässigkeit der Weitergabe von Persönlichkeitsprofilen an Dritte hängt vom Vorliegen eines Rechtfertigungsgrunds, d.h. der expliziten Einwilligung der betroffenen Person oder einer gesetzlichen Grundlage, ab. Zudem sind insbesondere die Prinzipien der Verhältnismässigkeit und der Zweckbindung zu beachten. Die Weitergabe einer Datensammlung kann grundsätzlich ohne Rechtfertigungsgrund zulässig sein, sofern nicht - wie vorliegend - einzelne Persönlichkeitsprofile darin enthalten sind, welche eben gemäss Art.12 Abs. 2 Bst. c DSG nach einem Rechtfertigungsgrund verlangen (Corrado Rampini in: Basler Kommentar zum DSG und BGÖ, a.a.O., Art. 12 DSG Rz. 14 mit weiteren Hinweisen). Mit Bezug auf den Rechtfertigungsgrund der überwiegenden öffentlichen und privaten Interessen gilt es zu berücksichtigen, ob nur vereinzelt, zufällig oder ausnahmsweise Persönlichkeitsprofile generiert werden oder nicht. Die Schwere der Persönlichkeitsverletzung der betroffenen Person beurteilt sich im Fall der konkreten Bekanntgabe nach objektiven Kriterien. Es ist danach zu fragen, welches tatsächliche Interesse eine vernünftige Person in der Situation der betroffenen Person nachvollziehbarerweise daran hat, dass das sie betreffende Persönlichkeitsprofil nicht wie vorgesehen bekannt gegeben wird (Rosenthal, a.a.O., Art. 12 Abs. 2, Rz. 48).

Zu prüfen bleibt also in einem zweiten Schritt, ob die Beklagte sich für die vorangehend bejahte Bearbeitung von Persönlichkeitsprofilen auf einen -anderen als den vorliegend nicht einschlägigen Art. 13 Abs. 2 Bst. c DSG (vgl. dazu vorne E. 5.2.3) - Rechtfertigungsgrund nach Art. 13 Abs. 1 DSG stützen kann.

5.4.1 Eine entsprechende gesetzliche Grundlage ist nicht ersichtlich. Zur rechtmässigen Bearbeitung von Persönlichkeitsprofilen ist nach Art. 4 Abs. 5 zweiter Satz DSG eine explizite Einwilligung der betroffenen Person notwendig. Die Einwilligung erfordert, dass die betroffene Person in den Grundzügen über Gegenstand, Zweck und Umfang der beabsichtigten Datenbearbeitung aufgeklärt sein muss, damit sie die Konsequenzen der Einwilligung abschätzen kann (Rampini, a.a.O., Art. 13 DSG Rz. 3 ff.).

Das Auskunftsrecht nach Art. 8 DSG, wonach jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen kann, ob Daten über sie bearbeitet werden, hat zwar auch Präventivfunktion (vgl. dazu Schäfer in Datenverknüpfung, S. 69), aber faktisch setzt dessen Wahrnehmung eine entsprechende vorgängige Aufklärung über die Datenbearbeitung voraus. Im Fall der Beschaffung von Persönlichkeitsprofilen statuiert Art. 14 DSG zudem eine aktive Informationspflicht des Inhabers einer Datensammlung und zwar ungeachtet der Tatsache, aus welchen Quellen die Daten beschafft werden; d.h. diese Pflicht gilt sogar, wenn die betroffene Person ihre Daten selbst veröffentlicht hat (Rampini/Fuchs in: Basler Kommentar zum DSG und BGÖ, a.a.O., Art. 14 DSG Rz. 6 f). Werden die Daten nicht bei der betroffenen Person beschafft, so hat deren Information spätestens bei der Speicherung der Daten oder, wenn die Daten nicht gespeichert werden, mit ihrer ersten Bekanntgabe an Dritte zu erfolgen (Art. 14 Abs. 3 DSG).

Die diesbezügliche Argumentation der Beklagten, aufgrund der Tatsache, dass ihre Auskunftei suchmaschinenindexiert sei, könnten Betroffene z.B. anhand von Google-Suchresultaten leicht erkennen, ob Daten über sie bearbeitet würden und entsprechend - wohlbemerkt nachträglich - die Löschung verlangen, verfängt nicht. Ihre Praxis vermag den gesetzlichen Anforderungen an eine aktive, zeitgerechte Information der Betroffenen nicht zu genügen.

Auf ihrer Website erklärt die Beklagte sodann, die Daten registrierter Nutzer weder an Dritte weiterzugeben noch sie dazu zu nutzen, die dort publizierten Daten zu ändern oder ergänzen. Sie macht in diesem Zusammenhang geltend, nur ihr begrenzter Kundenkreis erhalte die Daten und bezahle dafür sogar teilweise, so dass von einem öffentlichen Zugänglichmachen nicht die Rede sein könne. Dennoch handelt es sich dabei um eine Datenbekanntgabe gegenüber Dritten und wie festgestellt im Rahmen von Premiumabonnementen um die Bearbeitung von Persönlichkeitsprofilen. Diese Argumentation ist daher ebenso unbehelflich wie diejenige, wonach eine ausdrückliche Einwilligung der Betroffenen erfolgt sei, indem diese gegenüber der Post AG mit Bezug auf einen Nachsendeauftrag/Wohnungswechsel der Adressweitergabe u.a. für Wirtschaftsauskunfteien zugestimmt hätten. Damit haben die betroffenen Personen nämlich nicht gegenüber der Beklagten in die Erstellung eines Persönlichkeitsprofils eingewilligt. Im Unterschied zu Anstellungs- oder Einbürgerungsverfahren oder zu Erhebungen zum Konsumverhalten mittels Kundenkarten, bei welchen die Betroffenen vorgängig ihre Einwilligung zu einem bestimmten Datenbearbeitungszweck geben, haben die betroffenen natürlichen Personen vorliegend aufgrund der Tatsache, dass die Beklagte Daten von anderen Unternehmen erwirbt oder sie aus öffentlichen Quellen erhältlich macht, regelmässig keine Kenntnis davon, dass und zu welchem Zweck Daten über sie bearbeitet werden. Daran ändert auch nichts, dass die Beklagte sämtliche nicht im Handelsregister eingetragenen Kunden kontaktiert und fragt, weshalb sie die Bonitätsauskünfte benötigen würden, bevor das entsprechende Premium-Abonnement freigeschaltet wird (vgl. Beklagtenbeilage 43, S. 5-7). Weder die persönliche Benutzererkennung noch die Angabe eines Interessensnachweises vermögen die Einwilligung der betroffenen Person zu substituieren.

Die explizite Einwilligung der Betroffenen in die Erstellung eines Persönlichkeitsprofils nach rechtzeitiger Information - wie Art. 4 Abs. 5 DSG dies fordert (vgl. dazu statt vieler Maurer-Lambrou/Steiner in: Basler Kommentar zum DSG und BGÖ, a.a.O., Art. 4 DSG Rz. 16h mit weiteren Hinweisen) - wurde von der Beklagten nicht belegt. Vielmehr ist davon auszugehen, dass die betroffenen Personen regelmässig keine Kenntnis davon haben, dass über sie ein Profil angelegt wurde und dass sie deshalb dessen Richtigkeit und Verwendung nicht kontrollieren können (vgl. auch die entsprechende Bemerkung betreffend die 2012 von der damaligen E._______ AG erworbene Datensammlung im Audit-Bericht, S. 4), was im Rahmen der nachfolgenden Interessenabwägung als ein den Betroffenen erwachsender Nachteil zu berücksichtigen ist (vgl. dazu sogleich E. 5.4.2).

Im Übrigen bleibt festzuhalten, dass die gesetzliche Vermutung von Art. 12 Abs. 3 DSG, wonach keine Persönlichkeitsverletzung vorliegt, wenn die betroffene Person die Daten allgemein zugänglich gemacht hat, so dass eine unbestimmte Zahl von Personen sie ohne wesentliche Hindernisse in Erfahrung bringen kann, ohne die Bearbeitung ausdrücklich zu verbieten, vorliegend nicht greift. Hierfür wäre erforderlich, dass die betroffene Person ihre Daten mit Wissen und Willen allgemein zugänglich gemacht hat oder durch einen Dritten zugänglich machen liess. Blosses Dulden der Handlung eines Dritten, ohne etwas zum Zugänglichmachen beizutragen, genügt indes nicht. Weiss etwa eine Person, dass sie betreffende Personendaten allgemein zugänglich gemacht werden sollen, z.B. in Form eines Zeitungsberichts, bleibt sie aber passiv, findet Art. 12 Abs. 3 DSG keine Anwendung (Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 9.3 und Rosenthal, a.a.O., Art. 12 DSG Rz. 54 ff., insbesondere Rz. 59). Weder betreffend die Handelsregisterdaten noch die auf anderen Plattformen wie www.local.ch publizierten Daten stellt die Beklagte nämlich auf eine Einwilligungserklärung der darin genannten Personen ab. Die strittigen Daten werden somit nicht von den betroffenen Personen selber i.S.v. Art. 12 Abs. 3 DSG wissentlich und willentlich auf der Plattform der Beklagten allgemein zugänglich gemacht. Dieser Ausschlussgrund für das Bestehen einer Persönlichkeitsverletzung kommt demnach nicht zum Tragen (vgl. mit Bezug auf die Handelsregisterdaten Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 5.1.2). Daran ändert auch ein allfälliges, nicht wahrgenommenes Widerspruchsrecht nichts, da passives Dulden wie soeben erwähnt nicht genügt.

5.4.2 Es bleibt im Sinne einer gesamthaften Interessenabwägung zu prüfen, ob überwiegende öffentliche und private Interessen die seitens der Beklagten praktizierte Bearbeitung von Persönlichkeitsprofilen zu rechtfertigen vermögen.

5.4.2.1 Das Interesse, nicht in der eigenen Persönlichkeit verletzt zu werden, ist immer schützenswert (Rosenthal, a.a.O., Art. 13 Rz. 11 und Rampini, a.a.O., Art. 13 DSG Rz. 23). Ebenfalls gilt es bei der Interessenabwägung nach Art. 13 Abs. 1 DSG zu beachten, dass dem EDÖB im Verfahren nach Art. 29 DSG eine besondere Stellung zukommt. Er handelt hier in einem Rahmen, welcher über das reine Zweiparteienverhältnis hinausgeht, und bezweckt mit seiner Empfehlung bzw. der Klage an das Bundesverwaltungsgericht die Verteidigung der Rechte einer Vielzahl von Personen. Sein Tätigwerden dient damit letztlich dem öffentlichen Interesse (vgl. statt vieler BGE 138 II 346 E. 10.1 und Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 10.4.5, je mit weiteren Hinweisen).

Als Rechtfertigungsgrund nach Art. 13 DSG spielen öffentliche Interessen in der Praxis gegenüber den privaten Interessen eine untergeordnete Rolle. Zum einen bestehen für öffentliche Interessen häufig gesetzliche Regelungen, die eine Datenbearbeitung auch ohne Interessenabwägung rechtfertigen, zum anderen liegt zumeist, wenn ein überwiegendes öffentliches Interesse gegeben ist, auch ein überwiegendes privates Interesse vor (Rosenthal, a.a.O., Art. 13 Rz. 20 und Rampini, a.a.O., Art. 13 DSG Rz. 47 sowie Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 10.4.2 mit weiteren Hinweisen). Als private Interessen kommen in erster Linie Interessen des Datenbearbeiters oder Inhabers der Datensammlung in Frage. Aber auch Interessen von Dritten oder sogar der betroffenen Personen selbst können die Datenbearbeitung unter Umständen rechtfertigen. Grundsätzlich kann jedes schützenswerte Interesse, d.h. jedes Interesse von allgemein anerkanntem Wert, berücksichtigt werden (Rosenthal, a.a.O., Art. 13 Rz. 6 ff. und Rampini, a.a.O., Art. 13 DSG Rz. 20 ff.). Hinweise, was als schützenswertes Interesse gilt, liefern die Beispiele in Art. 13 Abs. 2 DSG und Art. 6 Abs. 2 DSG. Auch rein wirtschaftliche Interessen, wie beispielsweise das Interesse daran, eine Datenbearbeitung möglichst effizient zu gestalten oder die eigenen Geschäftsabläufe zu optimieren, zählen grundsätzlich dazu. Ebenso kann Gewinnstreben ein schützenswertes Interesse darstellen (Rosenthal, a.a.O., Art. 13 Rz. 10; a.M. Rampini, a.a.O., Art. 13 DSG Rz. 22; vgl. auch BGE 138 II 346 E. 10.3 i.f.).

Den privaten und öffentlichen Interessen, die für die Datenbearbeitung sprechen, sind die berechtigten Interessen der betroffenen Personen gegenüberzustellen; es ist folglich wie erwähnt eine Interessenabwägung vorzunehmen. Eine solche umfasst die folgenden drei Gedankenschritte: Die konkreten Interessen sind zu ermitteln, mithilfe rechtlich ausgewiesener Massstäbe zu beurteilen und schliesslich zu optimieren, so dass sie mit Rücksicht auf die Beurteilung, die ihnen zuteil wurde, im Entscheid möglichst umfassend zur Geltung gebracht werden können (Tschannen/Zimmerli/Müller, Allgemeines Verwaltungsrecht, 4. Aufl., 2014, S. 226 f.). Wie das Bundesgericht festgehalten hat, dürfen Rechtfertigungsgründe beim Verstoss gegen die Grundsätze von Art. 4 DSG nur mit grosser Zurückhaltung bejaht werden (BGE 136 II 508 E. 6.3.1 mit Verweis auf E. 5.2 ff. und zum Ganzen Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 10.4.3 mit weiteren Hinweisen). Im Allgemeinen lässt sich gestützt auf die Rechtsprechung und in Übereinstimmung mit der Lehre festhalten, dass der Geheimhaltung von Persönlichkeitsprofilen i.S.v. Art. 3 Bst. d DSG erhebliches Gewicht zukommt und die Güterabwägung in der Regel zugunsten der privaten Interessen der betroffenen Personen ausfallen dürfte (BVGE 2014/42 E. 7.1; Claudia Mund, in: Stämpflis Handkommentar zum DSG, a.a.O., Art. 19 Rz. 31; vgl. auch Urteil des BVGer A-8073/2015 vom 13. Juli 2016 E. 6.1.3 mit weiteren Hinweisen).

5.4.2.2 Gewinnstrebige Interessen der Beklagten sind wie erwähnt zu berücksichtigen, sowie grundsätzlich auch das Informationsinteresse des Publikums, d.h. die Interessen Dritter, welche durch die erleichterte Informationsbeschaffung und -verwendung aus der Plattform www.moneyhouse.ch einen Nutzen ziehen (vgl. auch BGE 138 II 346 E. 10.6.1 mit weiteren Hinweisen betreffend Google Street View). Letztere erleichtert einem erheblichen Teil der Bevölkerung die Suche nach Wirtschafts- und anderen Informationen. Allfällige unlautere Absichten gewisser Nutzer können diesen grundsätzlich positiven Aspekt der Orientierungshilfe nicht in Frage stellen (vgl. auch BGE 138 II 346 E. 10.6.1 mit weiteren Hinweisen betreffend Google Street View). Das Dienstleistungsangebot der Beklagten im Bereich der Premiumabonnemente dehnt das staatliche Informationsangebot jedoch quantitativ aus, indem nicht nur bereits veröffentliche (Handelsregister)Daten weitergegeben werden (vgl. die anders gelagerte Situation/Fragestellung in Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 5.3). Bei der darüber hinausgehenden Verknüpfung von öffentlich und nicht öffentlich zugänglichen Daten zu einem Persönlichkeitsprofil verfängt das öffentliche Interesse des Gläubigerschutzes bzw. an der Verbreitung von Wirtschaftsinformationen nicht: Für die Überprüfung der Bonität eines potentiellen Vertragspartners oder im Rahmen einer Kreditvergabe können mit dessen Einwilligung im Einzelfall Auskünfte betreffend Einkommen, Betreibungen etc. eingeholt werden, was ausreichend zur Befriedigung des vorgenannten Interesses ist; dazu bedarf es keiner Erstellung eines Persönlichkeitsprofils. Zudem ist zu berücksichtigen, dass die Lebens- und Wohnsituation der betroffenen Personen deren Kreditwürdigkeit wenn überhaupt, so sicherlich nicht zuverlässig zu belegen vermag (vgl. dazu vorne E. 5.2.5.1), weshalb diesbezüglich ohnehin kein Interesse des Publikums an Informationen betreffend bestehende oder künftige Vertragsverhältnisse oder zur Überprüfung der Kredit- und Zahlungsfähigkeit von Personen im Hinblick auf den Abschluss von Rechtsgeschäften bzw. allgemein des Gläubigerschutzes ins Feld geführt werden kann. Im Übrigen ist mit dem Kläger einig zu gehen, dass der Zugang zu den verknüpften Daten grösstenteils kostenpflichtig ist, weshalb sich die Beklagte auch aus diesem Grund anders als im Verfahren A-4086/2007 nicht auf das vorgenannte öffentliche Interesse berufen kann.

Auch diejenigen natürlichen Personen, die im Handelsregister mit ihrem Namen und weiteren Angaben erwähnt sind, werden durch den Eintrag nicht zu absoluten oder relativen Personen der Zeitgeschichte, so dass an ihnen kein legitimes öffentliches Informationsinteresse besteht. Das bedeutet, dass nicht automatisch jede Information über diese Personen frei verfügbar wird. Es besteht auch in diesem Fall beispielsweise kein überwiegendes öffentliches Interesse an über die Teilaspekte der wirtschaftlichen Persönlichkeit hinausgehenden Informationen wie an den privaten Lebensumständen, den Verwandtschaftsverhältnissen, der Ausbildung, der politischen Überzeugung dieser Person, auch wenn sie im Zusammenhang mit einer Rechtseinheit im Handelsregister eingetragen ist (Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 5.2.6). Dies muss umso mehr für natürliche Personen gelten, die nicht im Handelsregister verzeichnet sind.

Bei der Abwägung der Interessen darf schliesslich nicht ausser Acht ge-lassen werden, dass es letztlich nicht um ein gänzliches Verbot der Publikation von Personendaten, sondern lediglich darum geht, über Daten, welche dazu führen, dass ein Teilaspekt der Persönlichkeit beleuchtet wird und die im Übrigen keine Bonitätsrelevanz aufweisen, nicht ohne eine Zustimmung der betroffenen Personen zu verfügen. Zu beachten ist zudem, dass vorliegend die strittigen Daten entweder bekannt gegeben werden können oder nicht, eine Anonymisierung als mildere Lösung zu einer kompletten Löschung, wie dies bei Abbildungen von Gesichtern und Fahrzeugkennzeichen im Fall von Google Street View mittels Unkenntlichmachung praktiziert werden kann, besteht nicht. Die Beklagte vermag sich - ausser die Handelsregisterinformationen betreffend, an deren Verbreitung ein öffentliches Interesse zur informationellen Erleichterung des Geschäftsverkehrs besteht, solange die Daten unverändert von einem staatlichen Referenzdatenbestand übernommen und unentgeltlich weiterverbreitet werden (vgl. dazu Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 7.2.1 f.) - nur auf eigene wirtschaftliche, mithin vor allem rein finanzielle Interessen zu berufen. Es ist denn auch nicht so, dass es der Beklagten finanziell nicht möglich wäre, die Plattform www.moneyhouse.ch unter umfassender Berücksichtigung des informationellen Selbstbestimmungsrechts der betroffenen Personen anzubieten, sie stellt jedoch ihr wirtschaftliches Interesse, den finanziellen Aufwand möglichst gering zu halten, in den Vordergrund. Dies mag aus unternehmerischer Sicht gerechtfertigt erscheinen, lässt die Datenbearbeitung durch die Beklagten indes in keinem vernünftigen Verhältnis zum Eingriff in die Persönlichkeitsrechte der Betroffenen stehen.

5.4.2.3 Angesichts der bundesgerichtlichen Rechtsprechung, wonach überwiegende private oder öffentliche Interessen nur zurückhaltend zu bejahen sind (BGE 136 II 508 E. 6.3.1 mit Verweis auf E. 5.2 ff.), vermögen die grundsätzlich zu berücksichtigenden, gewinnstrebigen Interessen der Beklagten diejenigen einer Vielzahl Betroffener an der Wahrung ihrer Persönlichkeitsrechte nicht zu überwiegen. Die Beklagte nimmt im Interesse ihres wirtschaftlichen Erfolgs die Verletzung der Persönlichkeitsrechte zahlreicher Personen in Kauf. Dabei geht es nicht darum, dass sie ihre Dienstleistungen nicht ohne Rücksicht auf das informationelle Selbstbestimmungsrecht der Betroffenen anbieten könnte. Vielmehr wären allfällige Persönlichkeitsverletzungen vermeidbar, würden aber einen finanziellen Mehraufwand für die Beklagte nach sich ziehen, weil sie die explizite Einwilligung einer Vielzahl Betroffener einholen und die entsprechende Datenkontrolle wohl teilweise manuell durchführen müsste. Dieser Mehraufwand würde indes die wirtschaftliche Existenz der Beklagten selbst dann nicht in Frage stellen, wenn dadurch das Angebot von Premiumabonnementen im Speziellen gefährdet wäre.

Die Beklagte hat sodann bislang keinerlei Massnahmen getroffen, um den Eingriff in die Persönlichkeitsrechte Betroffener so geringfügig wie möglich zu gestalten. Das auf Anfang 2016 angekündigte Redesign ihrer Plattform mit beabsichtigter Trennung der Datenbanken je nach Nutzungsprofil hat die Beklagte gemäss eigenen Angaben noch nicht umgesetzt (vgl. Eingabe vom 24. Oktober 2016, S. 8). Sie macht lediglich geltend, da ihre Datenbearbeitung transparent erfolge und die betroffenen Personen mittels Suchmaschineneingabe ihrer Daten einfach erkennen könnten, ob sie von ihnen Daten bearbeite, könnten Erstere ihre Löschungs- und Korrekturrechte wirksam ausüben. Die Geltendmachung eines Widerspruchsrechts mittels Löschungsbegehren kann jedoch zwangsläufig erst nachträglich, d.h. nach Kenntnisnahme der Datenbearbeitung und einer allfälligen Verletzung des Persönlichkeitsrechts ausgeübt werden (vgl. auch Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 8.4.4).

5.5 Da die rechtswidrige Bearbeitung von Persönlichkeitsprofilen zu bejahen ist, erübrigt es sich, die Einhaltung der allgemeinen Datenbearbeitungsgrundsätze der Verhältnismässigkeit und der Zweckbindung (Art. 4 Abs. 2 -4 DSG), zu prüfen (zum rechtlich unklaren Verhältnis zwischen Art. 12 Abs. 2 Bst. a DSG und Art. 13 Abs. 1 DSG vgl. Schäfer, S. 56 f. mit weiteren Hinweisen). Auf die Datenrichtigkeit nach Art. 5 DSG wird nachfolgend im Rahmen der Behandlung von Rechtsbegehren 7 eingegangen (vgl. hinten E. 7).

Sofern die betroffenen natürlichen Personen ohne Handelsregistereintrag nicht explizit in die seitens der Beklagten praktizierte Datenbearbeitung eingewilligt haben, also kein Rechtfertigungsgrund vorliegt, sind die entsprechenden Daten, welche verknüpft ein Persönlichkeitsprofil darstellen, wie seitens des Klägers beantragt in Anwendung des Verhältnismässigkeitsprinzips insoweit zu löschen, als sich Rückschlüsse auf wesentliche Teilaspekte ihrer Persönlichkeit ziehen lassen. Konkret bedeutet dies, dass diejenigen Daten, welche im Rahmen der Erteilung von Bonitätsauskünften nicht benötigt werden (vgl. dazu vorne E. 5.2.5.1) und in deren Bekanntgabe eine nicht im Handelsregister eingetragene natürliche Person nach erfolgter Aufklärung über den Verwendungszweck nicht ausdrücklich eingewilligt hat, zu löschen sind (vgl. Rechtsbegehren 2-4). Dies gilt wie mit Rechtsbegehren 5 beantragt in Bezug auf sämtliche natürliche Personen - unabhängig davon, ob sie im Handelsregister eingetragen sind oder nicht - ebenso für diejenigen Verlinkungen, z.B. mit Google Map oder mittels Verweisen auf weitere private Informationen zur Wohnsituation, zu Nachbarn und Haushaltsmitgliedern, welche zur entsprechenden Erstellung von Persönlichkeitsprofilen beitragen ("Wie wohnt X.? Wohnt er/sie zur Miete oder hat er/sie die Immobilie gekauft?" "Mit wem wohnt X zusammen? Wohnt er/sie alleine? Und wer sind seine/ihre Nachbarn? Wem gehört die Immobilie, in der X wohnt?" "Nachfolgend erfahren Sie, welche Personen an derselben Strasse wohnhaft sind und welche Firmen an dieser Strasse ihren Sitz haben.").

Die Rechtsbegehren 2-5 sind folglich im Sinne vorangehender Erwägungen gutzuheissen und die Beklagte dazu zu verpflichten, die entsprechenden Anordnungen innert 30 Tagen ab Zustellung dieses Entscheids umzusetzen.

6.

6.1 Mit Rechtsbegehren 6 fordert der Kläger, die Beklagte solle ihre Suche nach im Handelsregister eingetragenen Personen der Praxis des Eidgenössischen Handelsregisteramts anpassen, wonach bei der Personensuche auf www.zefix.ch nur ein Eintrag als Google-Suchresultat erscheint, wenn der Name und Zefix in die Suchmaschine eingegeben wird, die Eingabe des Namens alleine also nicht ausreichend ist bzw. keine direkte Verlinkung zu Personeneinträgen erfolgt und keine weiteren Angaben über private Lebensumstände der eingetragenen Person publiziert werden.

Grundsätzlich gelten die im Rahmen der Bearbeitung von Persönlichkeitsprofilen gemachten Feststellungen auch für natürliche Personen mit Handelsregistereintrag bzw. unabhängig davon, ob eine natürliche Person im Handelsregister eingetragen ist oder nicht; d.h. direkte Verlinkungen auf der Plattform der Beklagten sind zu löschen, sofern sie private Lebensumstände der eingetragenen Person betreffen, welche nicht bonitätsrelevant sind (vgl. vorne E. 5.4.2.2 und E. 5.5). Das vorliegende Rechtsbegehren richtet sich jedoch gegen die Bekanntgabe von Daten mittels Internetsuchmaschinen, welche auf die Plattform www.moneyhouse.ch verweisen (Suchmaschinenindexierung).

Es ist möglich, aber nicht zwingend, dass die Beklagte in einem Vertragsverhältnis zu gewissen Suchmaschinenbetreiberinnen steht. Letztere arbeiten jedoch auch mit Indexierungen und Querverlinkungen, welche ausserhalb des Herrschaftsbereichs der Beklagten liegen. Jedenfalls betreibt die Beklagte die entsprechenden Suchportale nicht und hat dementsprechend keine oder nur begrenzte Einflussmöglichkeiten auf die Publikation von Suchresultaten, da die Recherche primär von den Betreiberinnen der entsprechenden Portale gesteuert wird. Schon die faktische technische Umsetzung des klägerischen Rechtsbegehrens 6 erwiese sich daher als schwierig. Auch mit Verweis auf die vom Kläger erwähnte Rechtsprechung des Europäischen Gerichtshofs in der Rechtssache C-131/12, wonach Suchmaschinenbetreiber unter bestimmten Voraussetzungen verpflichtet sind, Verlinkungen, die im Anschluss an eine durchgeführte Suche nach dem Namen einer Person angezeigt werden, von der Ergebnisliste zu entfernen, da sie auch Daten verarbeiten und für die verbreiteten Inhalte verantwortlich sind, müsste der Kläger eine derartige Empfehlung daher an die Betreiberinnen der jeweiligen Suchportale richten, da es sich eben nicht wie im Fall von Rechtsbegehren 5 um Verlinkungen auf der Plattform der Beklagten handelt bzw. nicht um deren Datensammlung an sich geht. Rechtsbegehren 6 ist somit abzuweisen.

Mit Umsetzung der gutgeheissenen Rechtsbegehren 2-5 erweist sich die Datenbearbeitung der Beklagten sodann als rechtskonform, weshalb es in datenschutzrechtlicher Hinsicht keinen Unterschied macht, inwiefern sich auf ihrer Plattform eingetragene Personen über Suchmaschinenresultate auffinden lassen. Mit der Entfernung gewisser Verlinkungen auf www.moneyhouse.ch relativiert sich in der Folge die Bedeutung der Suchmaschinenindexierung zudem ohnehin.

6.2 Der Kläger erklärt weiter, Suchmaschinenresultate betreffend die auf der Plattform der Beklagten gelöschten Inhalte seien dennoch zumindest eine gewisse Zeit lang - in der Regel während vier bis sechs Wochen - weiterhin im Internet auffindbar, was sich mit der Sachverhaltsfeststellung des Bundesverwaltungsgerichts deckt. Er bemängelt in diesem Zusammenhang, dass die Beklagte Personen, die bei ihr ein Löschungsgesuch gestellt hätten, nicht dahingehend unterstütze, dass die entsprechenden Suchmaschinenresultate rascher entfernt würden.

Mit der Beklagten ist diesbezüglich jedoch einig zu gehen, dass eine derartige Verpflichtung nicht besteht und es ihr wie erwähnt an den entsprechenden Einflussmöglichkeiten mangelt. Hierfür müssten der Kläger oder die Betroffenen selbst auf die fraglichen Suchmaschinenbetreiberinnen zugehen. Gemäss gerichtlicher Sachverhaltsabklärung löscht die Beklagte auf entsprechendes Begehren hin die Daten in ihrem Herrschaftsbereich, sprich auf ihrer Plattform, umgehend (vgl. auch Datenschutzkonzept der Beklagten, S. 21 und Bearbeitungsreglement der Beklagten, S. 11). Adressen, die anderweitig, z.B. auf www.local.ch, gesperrt bzw. gelöscht worden sind, bleiben ohne an die Beklagte adressiertes Begehren in der Tat via www.moneyhouse.ch zugänglich. Mit der Beklagten ist daher einig zu gehen, dass die Auffindbarkeit von Daten über Suchmaschinen in datenschutzrechtlicher Hinsicht insofern positiv zu werten ist, als Transparenz betreffend die Datenbearbeitung geschaffen wird, was die effektive Wahrnehmung der Ansprüche auf Einsicht, Berichtigung und Löschung eigener Daten ermöglicht.

7.

7.1 Der Kläger begehrt, die Beklagte sei zu verpflichten, ihren Datenbestand betreffend Richtigkeit in einem gerichtlich festzulegenden, angemessenen Prozentsatz zu den getätigten Abfragen auf ihrer Plattform www.moneyhouse.ch zu überprüfen.

Wer Personendaten bearbeitet, hat sich gemäss Art. 5 Abs. 1 DSG über deren Richtigkeit zu vergewissern. Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Vergewissern bedeutet in diesem Zusammenhang, die Richtigkeit von Personendaten nicht nur abzuklären, sondern in angemessener Weise sicherzustellen, d.h. alle im Rahmen des Bearbeitungszwecks erforderlichen Daten zu erheben, zu überprüfen und wenn nötig zu berichtigen oder zu löschen. In der Praxis können diese Massnahmen bereits vor der Datenerhebung, z.B. bei der Gestaltung von Datenbanken, zum Zeitpunkt der Datenerhebung mittels Plausibilitätskontrollen in IT-Systemen
oder Bestätigungs-E-Mails bei Online-Registrierungen oder nachträglich, z.B. durch Änderungen oder Berichtigungsvermerke erfolgen (zum Ganzen Rosenthal, a.a.O., Art. 5 Rz. 5). Wie weit die Abklärungen eines Datenbearbeiters betreffend die Datenrichtigkeit im Einzelfall gehen müssen, hängt von den Rahmenbedingungen der Datenbearbeitung, also der Zweckbestimmung der Datensammlung ab, sowie davon inwieweit eine Datenbekanntgabe erfolgt und wie sensitiv diese ist. Die Anforderungen an die Vergewisserungspflicht nach Art. 5 Abs. 1 DSG stehen damit im Zusammenhang zu einer möglichen Persönlichkeitsverletzung: Je grösser das Risiko einer solchen Verletzung, desto höhere Anforderungen sind an die inhaltliche Qualität der Datenbearbeitung zu stellen, wobei der Datenbearbeiter für die von ihm getroffenen Abklärungen und deren Angemessenheit beweispflichtig ist (Maurer-Lambrou/Schönbächler, a.a.O., Art. 5 DSG Rz. 12 und auch Rosenthal, a.a.O., Art. 5 Rz. 9 sowie Baeriswyl/Blonski in: Stämpflis Handkommentar zum DSG, a.a.O., Art. 5 Rz. 18).

7.2 Das Dienstleistungsangebot der Beklagten beschränkte sich bis 2012 auf Informationen betreffend juristische Personen, welche auf Datenbeständen des schweizerischen Handelsamtsblatts oder aus dem Handelsregister stammen. Anschliessend kaufte sie von der damaligen E._______ AG eine Sammlung von Daten natürlicher Personen und erhielt monatlich weitere Datenlieferungen seitens der heutigen A._______ AG. Eingegangene Meldungen Betroffener und die darauffolgenden klägerischen Untersuchungen haben ergeben, dass insbesondere betreffend die Sammlung von Daten natürlicher, nicht im Handelsregister eingetragener Personen Unstimmigkeiten bestehen. So existieren für eine Person mehrere Adressen, wobei die Wohnorte nicht mit einer Person verknüpft sind, sondern einzeln aufgeführt werden, oder es sind nicht alle Personen eines Haushalts aufgeführt, weil z.B. neu gegründete Haushalte nicht korrekt zusammengeführt wurden und die Adressen demnach veraltet sind, Haushaltsmitglieder sind teilweise falsch verknüpft oder Personen als Haushaltsmitglieder aufgeführt, die an unterschiedlichen Adressen leben und sich teilweise auch nicht kennen. Zudem finden sich falsche Alters- und Berufsangaben, Namen werden falsch geschrieben oder verstorbene Personen sind noch auffindbar.

Die teilweise falsche Verknüpfung der von der B._______ AG bezogenen Handelsregisterdaten (Name, Vorname, Wohn- und Heimatort) mit weiteren Daten (Adresse, Geburtsdatum) ist der Beklagten bewusst; sie macht geltend, eine diesbezüglich korrekte Verknüpfung sei schwierig, wenn mehrere Personen denselben Vor- und Nachnamen besässen. Sie arbeite mittlerweile mit einem Unternehmen zusammen, welches manuell durch Recherchen von Mitarbeitenden versuche, die Qualität der Namensverknüpfungen zu verbessern. Weiter erklärt sie, die Überprüfung der Datenrichtigkeit zwischenzeitlich intensiviert zu haben: Zum einen seien sowohl die Handelsregisterdaten als auch die übrigen Daten betreffend Privatpersonen Anfang Februar 2016 vollständig neu eingelesen und auf ihre Richtigkeit hin überprüft worden. Zum anderen sei die manuelle Prüfung der Datenrichtigkeit verdichtet worden; die Daten würden monatlich aktualisiert. Zudem weist die Beklagte auf die Möglichkeit der Betroffenen hin, jederzeit die umgehende Löschung oder Korrektur ihrer Daten zu verlangen, sofern sich diese als unrichtig erweisen.

7.3

7.3.1 Die gerichtlichen Sachverhaltsabklärungen haben ergeben, dass die Datenqualität seit Vornahme der klägerischen Recherchen und auch nach Intensivierung diesbezüglicher Bemühungen seitens der Beklagten unverändert zu wünschen übrig lässt: So sind teilweise Namen, Wohnadressen und Berufsbezeichnungen sowie Angaben betreffend Haushaltsmitglieder und Nachbarn nicht mehr aktuell, die Auflistung früherer Wohnorte teilweise unvollständig, Geburtsdaten werden vertauscht bzw. falsch verknüpft oder das angegebene Alter korreliert nicht mit dem Geburtsdatum.

Es ist sowohl aus Sicht der betroffenen Person als auch aus derjenigen des Datenbearbeiters wünschbar und erstrebenswert, dass nur richtige, d.h. sachgerechte, aktuelle und vollständige Personendaten bearbeitet werden (vgl. in diesem Sinne auch Maurer-Lambrou/Schönbächler, a.a.O., Art. 5 Rz. 4 f.). Eine umgehende Löschung oder Berichtigung ihrer Daten kann eine betroffene Person sodann zwar jederzeit verlangen, jedoch nur nachträglich zu einer bereits erfolgten Persönlichkeitsverletzung i.S.v. Art. 12 DSG i.V.m. Art. 5 DSG (vgl. auch Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 8.4.4 und vorne E. 5.4.2.3 i.f.). Zudem ist die effektive Wahrnehmung dieses Rechts verknüpft mit der Problematik der mangelnden Datenaktualität: Personen, die unter einem nicht mehr aktuellen Namen auf der Plattform der Beklagten figurieren und die nun mit einem aktualisierten Identitätsausweis die Löschung ihrer Daten verlangen, müssen zwingend zusätzliche Informationen preisgeben, indem sie sich z.B. mittels Familienbuch legitimieren, was nicht nötig wäre, wenn ihre Daten richtig aufgeführt wären.

7.3.2 In Anwendung des Verhältnismässigkeitsprinzips hat der Kläger die Überprüfung nur im Verhältnis zu allen auf der Plattform der Beklagten getätigten Abfragen und nicht mit Bezug auf deren gesamten Datenbestand beantragt. Aus den seitens der Beklagten eingereichten Beilagen ergibt sich, dass im Jahr 2014 total (...) Bonitätsabfragen betreffend natürliche und juristische Personen getätigt wurden, monatlich zwischen knapp (...) und knapp (...) (Beilage 24), von Dezember 2015 bis November 2016 insgesamt (...), wovon (...) natürliche Personen und (...) juristische Personen betrafen, monatlich insgesamt zwischen (...) und (...) (Beilage 40). In Anbetracht der grossen Anzahl der von der Datenbearbeitung der Beklagten betroffenen Personen und der Bedeutsamkeit der Richtigkeit, Vollständigkeit und Aktualität von Daten sowohl im Rahmen einer zulässigerweise nach erfolgter Einwilligung der Betroffenen durchgeführten, sensitiven Bearbeitung von Persönlichkeitsprofilen als auch im Bereich von Bonitätsauskünften erscheint eine Überprüfung des Datenbestands der Beklagten auf seine Richtigkeit hin im Verhältnis von 5 % zu den auf ihrer Plattform getätigten Abfragen als angemessen. Auf die vorliegenden Zahlen bezogen bedeutet dies, dass die Beklagte jährlich voraussichtlich Daten von ca. zwischen (...) und (...) Abfragen auf ihre Richtigkeit hin überprüfen muss. Der dadurch verursachte zeitliche bzw. personelle Mehraufwand rechtfertigt sich aufgrund der festgestellten Unregelmässigkeiten im Datenbestand der Beklagten, der Interessen der betroffenen Personen und der Beklagten selber an der Bearbeitung sachgerechter, aktueller und vollständiger Personendaten, welche im Übrigen auch dem öffentlichen Interesse des Gläubigerschutzes dient.

Die Beklagte ist somit in Gutheissung von Rechtsbegehren 7 dazu zu verpflichten, ab Zustellung dieses Entscheids ihren Datenbestand betreffend Richtigkeit in einem Verhältnis von 5 % zu den auf www.moneyhouse.ch getätigten Abfragen zu überprüfen.

In der Wahl der Massnahmen zur Sicherstellung der Datenqualität ist der Datenbearbeiter grundsätzlich frei (Baeriswyl/Blonski, a.a.O., Art. 5 Rz. 18). Die konkreten Modalitäten dieser Überprüfung, insbesondere mit Blick auf die Auswahl der Datenstichprobe, liegt somit unter Berücksichtigung der gesetzlichen Vorgaben im Ermessen der Beklagten. Sie hat ihrer Vergewisserungspflicht gemäss Art. 5 Abs. 1 DSG jedoch mittels angemessener Massnahmen nachzukommen, d.h. die getroffene Datenauswahl muss aussagekräftig und die gewählte Überprüfungsmethode effektiv sein; denkbar wäre beispielsweise, bei jeder zwanzigsten Abfrage die Richtigkeit der abgefragten Daten zu überprüfen.

8.

8.1 Natürliche und juristische Personen können der Beklagten elektronische oder schriftliche Auskunftsgesuche i.S.v. Art. 8 DSG einreichen und zwar unter Beilage eines amtlichen Ausweises und bei Auskunftserteilung betreffend eine juristische Person zusätzlich mittels eines Nachweises der Zeichnungsberechtigung. Die Beklagte erteilt die Auskunft in der Regel innert 30 Tagen schriftlich und kostenlos. Betreffend natürliche Personen wird dabei allgemein über die Datenquellen informiert und es werden die in der Datensammlung vorhandenen Stammdaten wie Vorname, Name, Geschlecht, aktueller Wohnsitz, Geburtsdatum/Alter, Beruf, Telefonnummer und Haushaltsmitglieder bekannt gegeben. Im Handelsregister verzeichneten Personen wird zusätzlich eine Wirtschaftsauskunft erteilt und erwähnt, ob Angaben zu Baubewilligungen bearbeitet werden. Nicht mitgeteilt wird hingegen, dass weitere Angaben zu den Gebäuden gemacht werden.

Betreffend Bonitätsresultate wird eine um Auskunft ersuchende Person von der Beklagten nicht direkt informiert, sondern auf die B._______ AG, von welcher die Beklagte die Handelsregisterdaten bezieht, verwiesen. Dies bemängelt der Kläger: Als Inhaberin der über die Plattform www.moneyhouse.ch bearbeiteten Daten bestimme die Beklagte über den entsprechenden Zweck und Inhalt. Sie mache den Inhalt der Bonitätsdatenbank der B._______ AG sowie von weiteren Datenbanken ihren Nutzern zugänglich und habe deshalb die entsprechenden Auskunftsgesuche zu behandeln oder aber direkt weiterzuleiten. Die Beklagte hingegen bestreitet, Inhaberin der der "Bonitätsampel" zugrunde liegenden Datensammlung zu sein. Dies sei die B._______ AG, welche über deren Zweck und Inhalt entscheiden könne. Sie gebe auf Anfrage Auskunft betreffend alle Daten, deren Inhaberin sie sei. Sie biete jedoch auch Daten an, die sie bei Dritten gekauft habe, welche unverändert über ihre Plattform abrufbar seien. Mit Bezug auf die erworbenen Personendaten bestehe daher keine Pflicht ihrerseits, die Auskunftsanfrage direkt weiterzuleiten.

8.2 Das Auskunftsrecht ist das bedeutendste Institut des Datenschutzgesetzes. Es erlaubt der betroffenen Person überhaupt, ihre datenschutzrechtlichen Ansprüche durchzusetzen. Nur wer weiss, ob und welche Daten über ihn bearbeitet werden, kann diese nötigenfalls berichtigen oder löschen lassen oder wenigstens deren Richtigkeit bestreiten (BBl 1988 II 452). Adressat des Auskunftsbegehrens ist die Inhaberin einer Datensammlung (vgl. Art. 8 Abs. 1 DSG). Weil diese ihre Daten systematisch ordnet, ist eine Persönlichkeitsverletzung wesentlich wahrscheinlicher als bei jemandem, dessen Daten nicht nach den betroffenen Personen erschliessbar sind (BBl 1988 II 453). Inhaber einer Datensammlung i.S.v. Art. 3 Bst. i DSG ist, wer - ohne zwingend über die einzelnen Daten selbst verfügen zu müssen - den Zweck der Sammlung festlegt und die Bearbeitungsmittel und -methoden bestimmt (BBl 1988 II 448), sowie über deren Inhalt, mithin über die Existenz und die wesentliche Ausgestaltung entscheidet (Blechta, a.a.O., Art. 3 DSG Rz. 86 mit weiteren Hinweisen und Gramigna/Maurer-Lambrou, a.a.O., Art. 8 DSG, Rz. 12 sowie Beat Rudin in: Stämpflis Handkommentar zum DSG, a.a.O., Art. 3 Rz. 49).

Das Rechtsverhältnis zwischen der Beklagten und ihren Datenquellen ist kaufrechtlicher Art. Diese Dritten sind somit nicht als Beauftragte der Beklagten i.S.v. Art. 8 Abs. 4 DSG i.V.m. Art. 1 Abs. 6 VDSG zu qualifizieren. Mit ihrem Erwerb gehören jedoch auch Daten, welche die Beklagte von Dritten unverändert übernimmt, zu ihrer Datensammlung; sie entscheidet als Inhaberin dieser Sammlung i.S.v. Art. 8 Abs. 1 DSG über deren Verwendung auf ihrer Plattform. Doch auch falls die B._______ AG und weitere Datenlieferanten über den Zweck und Inhalt der auf www.moneyhouse.ch publizierten Daten (mit)entscheiden könnten und entsprechend auch als verantwortliche Inhaber dieser Datensammlung gelten würden, wäre Rechtsbegehren 8 gutzuheissen. Art. 8 Abs. 1 DSG i.V.m. Art. 1 Abs. 5 VDSG sieht nämlich für den Fall, dass eine Datensammlung von mehreren Inhabern gemeinsam geführt wird vor, dass das Auskunftsrecht bei jedem Inhaber geltend gemacht werden kann, sofern nicht einer von ihnen für die Behandlung aller Auskunftsbegehren verantwortlich ist. Wenn der adressierte Inhaber der Datensammlung zur Auskunftserteilung nicht ermächtigt ist, leitet er das Begehren an den Zuständigen weiter.

Die Beklagte ist somit in Gutheissung von Rechtsbegehren 8 dazu zu verpflichten, ab Zustellung dieses Entscheids Auskunftsgesuche betreffend die von ihr auf www.moneyhouse.ch angebotenen Dienstleistungen, welche sie nicht beantworten kann, umgehend und kostenlos an den zuständigen Vertragspartner weiterzuleiten. Damit wird entsprechend dem gesetzgeberischen Willen sichergestellt, dass stets jemand über eine Datensammlung Auskunft geben muss und so das Auskunftsrecht effektiv wahrgenommen werden kann. Die betroffene Person, welche erfahren möchte, ob ihre Daten allenfalls in einer Datensammlung figurieren, soll nicht lange Recherchen über die Identität des Inhabers der Datensammlung anstellen müssen (vgl. BBl 1988 II 454).

9.

9.1 Für die Bekanntgabe von Bonitätsauskünften an Dritte muss feststehen, dass diese sie für den Abschluss oder die Abwicklung eines Vertrags effektiv benötigen. Der Datenbearbeitende hat dabei zu überprüfen, ob die Voraussetzungen für eine Bekanntgabe zu bejahen sind (Rampini, a.a.O., Art. 13 DSG Rz. 37). Nach Ansicht des Klägers verlässt sich die Beklagte zu einseitig auf seitens der Nutzer gemachte Angaben, um die missbräuchliche Verwendung ihrer Bonitätsdienstleistung zu verhindern. Er beantragte deshalb mit Klageeinreichung, die Beklagte sei zu verpflichten, das Vorhandensein von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage in regelmässigen Zeitabständen in einem Verhältnis von mindestens 5 % zu den getätigten Abfragen zu kontrollieren. Die Beklagte stellt sich auf den Standpunkt, eine Überprüfung von 5 % zu den getätigten Abfragen sei unverhältnismässig, da sie faktisch einem Verbot der Ausübung ihrer wirtschaftlichen Tätigkeit gleichkomme. Anlässlich der öffentlichen Hauptverhandlung vom 23. Januar 2017 passt der Kläger dieses Begehren insofern an, als er den festzulegenden Prozentsatz der Kontrolldichte von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage ins Ermessen des Gerichts stellt.

9.2 Strittig ist, ob die Beklagte im Rahmen von Bonitätsabfragen das tatsächliche Vorhandensein eines Interessensnachweises nach Art. 13 Abs. 2 Bst. c DSG zum Zeitpunkt der Abfrage vermehrt prüfen müsste und falls ja, in welchem Verhältnis zu den getätigten Abfragen.

9.2.1 Zunächst stellt sich die Frage, welche technischen und v.a. organisatorischen Massnahmen i.S.v. Art. 7 Abs. 1 DSG die Beklagte trifft, um die Personendaten auf ihrer Plattform gegen unbefugtes Bearbeiten zu schützen. Es geht vorliegend nur darum, inwiefern verhindert wird, dass die bearbeiteten Personendaten durch Dritte missbraucht werden können (vgl. Baeriswyl in: Stämpflis Handkommentar zum DSG, a.a.O., Art. 7 Rz. 13 Art. 7 Rz. 13 zu den zwei Hauptschutzzielen; dass andere Hauptziel, wonach die verwendeten Personendaten intern gesetzeskonform bearbeitet werden sollen, wurde im Rahmen der Rechtsbegehren 2-7 bereits abgehandelt). Solche Schutzmassnahmen müssen im konkreten Einzelfall angemessen sein, ein absoluter oder maximal möglicher Schutz ist nicht erreichbar (Rosenthal, a.a.O., Art. 7 Rz. 3 und Christa Stamm-Pfister in: Basler Kommentar zum DSG und BGÖ, a.a.O., Art. 7 DSG Rz. 9 mit weiteren Hinweisen). Nach Art. 8 Abs. 2 VDSG ist dabei insbesondere dem Zweck der Datenbearbeitung, der Art und dem Umfang der Datenbearbeitung, den abschätzbaren möglichen Risiken für die betroffenen Personen und dem gegenwärtigen Stand der Technik Rechnung zu tragen. Im Rahmen der Interessenabwägung aller Beteiligter sind auch die Interessen des Datenbearbeiters zu berücksichtigen, also insbesondere sein Aufwand im Hinblick auf den angestrebten Schutzzweck, jedoch auch sein hohes Eigeninteresse an der Datensicherheit (Rosenthal, a.a.O., Art. 7 Rz. 3 und Baeriswyl, a.a.O., Art. 7 Rz. 24). Je sensitiver die Datenbearbeitung, desto mehr Massnahmen sind regelmässig zu treffen, um das Risiko einer Persönlichkeitsverletzung gering zu halten (Baeriswyl, a.a.O., Art. 7 Rz. 23). Art. 7 DSG statuiert eine Dauerverpflichtung; reichen die getroffenen Schutzmassnahmen aufgrund geänderter Umstände nicht mehr aus, sind sie anzupassen, z.B. bei Erweiterung der Quantität oder Qualität der bearbeiteten Personendaten oder bei Verfügbarkeit neuer Technologien (statt vieler Rosenthal, a.a.O., Art. 7 Rz. 5). Nach herrschender Lehre sind Datenbearbeiter zur Erarbeitung eines ganzheitlichen Sicherheitskonzepts verpflichtet (Baeriswyl, a.a.O., Art. 7 Rz. 17 und Rz. 22 und Stamm-Pfister, a.a.O., Art. 7 DSG Rz. 12, a.M. Rosenthal, a.a.O., Art. 7 Rz. 4).

9.2.2 Zu beurteilen sind im Sinne einer ganzheitlichen Betrachtung sowohl die technischen als auch die organisatorischen, auf die Struktur und Prozesse der Beklagten abzielenden Massnahmen im Bereich der Benutzerkontrolle (vgl. zu Letzteren auch Baeriswyl, a.a.O., Art. 7 Rz. 20).

Die Beklagte hat ein IT-Sicherheitskonzept entworfen, welches diverse technische und organisatorische Massnahmen enthält (Beilage 431, Stand 5. August 2013). Auch im Bearbeitungsreglement finden sich grobe Beschriebe organisatorischer Massnahmen zur Datensicherheit (S. 8 f.). Im Sinne von technischen Massnahmen zur Kontrolle des Datenabrufs durch die Nutzer haben sich diese zunächst zu registrieren, danach ist ihr Benutzerkonto mittels postalisch verschicktem Code und Login aktivierbar. Anhand dieser persönlichen Benutzererkennung speichert die Beklagte deren Abrufe in einer ihrer Datenbanken. Die allgemeinen Geschäftsbedingungen der Beklagten verpflichten jeden Benutzer ausdrücklich dazu, die gesetzlichen Datenschutzvorschriften und ihre Datenschutzbestimmungen einzuhalten und den Zugang nicht übermässig oder missbräuchlich zu nutzen (Beilage 7 zur Klageantwort, Ziff. 8). Vor Abruf von Informationen, die einen Interessensnachweis erfordern, verpflichtet sich jeder Kunde, einen genügenden Interessensnachweis zu beschaffen oder zu bestätigen, einen solchen vorweisen zu können (Beilage 7 zur Klageantwort, Ziff. 9). In organisatorischer Hinsicht prüft die Beklagte die Berechtigung eines Interessenten zum Abschluss eines Bonitätsabonnements und liefert bei Verdacht auf missbräuchliche Bonitätsabfragen die Daten des betroffenen Nutzers (Name, Vorname, Adresse und E-Mailadresse) an die B._______ AG, mit welcher sie in diesem Bereich zusammenarbeitet. Eine gegenseitige Aktualisierung der ausgetauschten Daten findet gemäss Angaben der Beklagten nicht statt. Bei jeder Abfrage auf der Plattform der Beklagten im Rahmen eines Bonitätsabonnements ist einer der folgenden Gründe anzugeben: Kaufvertrag, Mietvertrag, Eigenauskunft, Darlehens-/Kreditvertrag, Übrige Verträge. Die abgegebenen Interessensnachweise werden von der Beklagten geloggt und bei ungewöhnlichen Abfragemustern wird das Benutzerkonto gesperrt. Gemäss Kontrollkonzept werden bei einem totalen Volumen von mehreren (...) Abfragen monatlich (...) bis (...) Bonitätsabfragen überprüft. Die Beklagte erklärt weiter, sämtliche Kunden, welche erstmals Bonitätsabfragen tätigten, zu kontrollieren. Privatpersonen würden häufiger überprüft als Geschäftskunden ([...] Privatkunden täglich). Anlehnend an die sog. 2-Promille-Quote gemäss § 29 Abs. 2 des deutschen Bundesdatenschutzgesetzes (BDSG) i.V.m. § 10 Abs. 4 Satz 3 BDSG nehme sie regelmässig eine institutionalisierte Interessensüberprüfung im Verhältnis von 0.02 % zu den getätigten Abfragen vor. Zudem kontaktiere sie bei Verdacht auf missbräuchliche Nutzung, z.B. bei "Eigenauskünften" über andere natürliche oder juristische Personen oder wenn ein Benutzer stets denselben Abfragegrund angebe, den betreffenden
Benutzer telefonisch (vgl. zum Ablauf bei Eigenauskunftsbegehren auch das Datenschutzkonzept der Beklagten, S. 10 ff.).

Ein automatisiertes Prüfsystem bei Unregelmässigkeiten im Rahmen von Bonitätsabfragen, wie es die Beklagte in Aussicht gestellt hat, besteht zum Urteilszeitpunkt (noch) nicht (vgl. die Prozessdokumentation der Beklagten betreffend die Verifizierung von Bonitäts-Abonnementen und Protokoll der Vorbereitungsverhandlung vom 12. Dezember 2016, S. 7 f.).

9.2.3 Die Beklagte hat somit Massnahmen zur Verhinderung unbefugter Zugriffe Dritter auf die ihrerseits bearbeiteten Personendaten getroffen. Fraglich ist, ob diese im Hinblick auf die konkreten Risiken einer Persönlichkeitsverletzung ausreichend sind. Mit dem Kläger ist einig zu gehen, dass sich die Beklagte hauptsächlich auf Selbstdeklarationen ihrer Nutzer verlässt, dass diese die datenschutzrechtlichen Vorschriften einhalten und insbesondere über einen Interessensnachweis im Zeitpunkt der Bonitätsabfrage verfügen. Dass diese Nutzerangaben nicht durchgehend zuverlässig sind, zeigt sich anhand der telefonischen Rücksprachen der Beklagten, welche ergeben, dass Nutzer oft aus Unwissenheit oder Nachlässigkeit den Abfragegrund "Eigenauskunft" angeben. Allfällig vorhandene Dokumentationen wie Vertragsentwürfe zur Überprüfung der Angaben ihrer Nutzer fordert die Beklagte nicht ein. Der Kontrollanteil der Beklagten von monatlich (...) bis (...) Bonitätsabfragen bei einem totalen Volumen von mehreren (...) Abfragen erscheint sodann als verschwindend klein. Eine Intensivierung der manuellen Kontrolle führt zwar zu einem Mehraufwand seitens der Beklagten, letztlich liegt es jedoch auch in ihrem eigenen Interesse, dass die von ihr bearbeiteten Personendaten von Dritten nicht zweckwidrig verwendet werden. Zudem ist gemäss ihren Angaben seit längerem ein automatisiertes Prüfsystem in Planung, was den Kontrollaufwand minimieren dürfte. Diese Tatsachen und das hoch zu gewichtende Interesse der grossen Anzahl der von der Datenbearbeitung der Beklagten betroffenen Personen am Schutz ihrer Daten, insbesondere auch mit Blick auf eine allenfalls erfolgende, rechtmässige Bearbeitung von sensitiven Persönlichkeitsprofilen lassen eine regelmässige Überprüfung der Interessensnachweise im Zeitpunkt der Bonitätsabfrage im Verhältnis von 3 % zu den auf der Plattform der Beklagten getätigten Abfragen als zumutbar erscheinen. Anlehnend an die unter E. 7.3.2 zu den Bonitätsabfragen erwähnten Zahlen bedeutet dies konkret, dass die Beklagte jährlich voraussichtlich Daten von ca. zwischen (...) und (...) Abfragen auf die Richtigkeit der entsprechenden Interessensnachweise hin zu überprüfen hat.

Die Beklagte ist somit in Gutheissung von Rechtsbegehren 9 dazu zu verpflichten, ab Zustellung dieses Entscheids das Vorhandensein von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage in regelmässigen Zeitabständen in einem Verhältnis von 3 % zu den auf www.moneyhouse.ch getätigten Abfragen zu überprüfen.

10.
Die Festsetzung der Gerichtsgebühren und einer allfälligen Parteientschädigung richtet sich auch im Klageverfahren nach den Art. 63 -65 VwVG (Art. 44 Abs. 3 VGG).

10.1 Die Spruchgebühr, welche sich nach Umfang und Schwierigkeit der Sache, Art der Prozessführung und finanzieller Lage der Parteien richtet, beträgt in Streitigkeiten ohne Vermögensinteresse in der Regel zwischen Fr. 100.- bis Fr. 5000.- (Art. 63 Abs. 4bis Bst. a VwVG). Im vorliegenden Klageverfahren wurden diverse Instruktionsverfügungen sowie eine Zwischenverfügung betreffend die Abweisung der Verschiebungsgesuche der Beklagten erlassen, ein umfassender Schriftenwechsel sowie eine Vorbereitungs- und eine Hauptverhandlung durchgeführt.

10.2 Nach Art. 63 Abs. 1 VwVG werden die Verfahrenskosten in der Regel der unterliegenden Partei auferlegt. Die Verfahrenskosten, welche auf Fr. 5'000.- festgelegt werden, sind - da die Abweisung des Rechtsbegehrens 6 materiell nicht erheblich ins Gewicht fällt und der Kläger trotz des formellen Nichteintretens auf sein Rechtsbegehren 1 diesbezüglich in materieller Hinsicht Recht erhält - der als im Wesentlichen unterliegend geltenden Beklagten vollumfänglich aufzuerlegen. Letzterer ist demnach keine Parteientschädigung zu entrichten (Art. 64 Abs. 1 VwVG e contrario). Ebenso wenig Anspruch auf eine Parteientschädigung hat der Kläger (Art. 64 VwVG i.V.m. Art. 7 Abs. 3 des Reglements vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht [VGKE, SR 173.320.2]).

Demnach erkennt das Bundesverwaltungsgericht:

1.
Auf das Rechtsbegehren 1 wird nicht eingetreten.

2.
Die Rechtsbegehren 2-5 werden im Sinne der Erwägungen gutgeheissen. Die Beklagte wird dazu verpflichtet, die entsprechenden Anordnungen innert 30 Tagen ab Zustellung dieses Entscheids umzusetzen.

3.
Das Rechtsbegehren 6 wird abgewiesen.

4.
Das Rechtsbegehren 7 wird gutgeheissen und die Beklagte dazu verpflichtet, ab Zustellung dieses Entscheids ihren Datenbestand betreffend Richtigkeit in einem Verhältnis von 5 % zu den auf www.moneyhouse.ch getätigten Abfragen zu überprüfen.

5.
Das Rechtsbegehren 8 wird gutgeheissen und die Beklagte dazu verpflichtet, ab Zustellung dieses Entscheids Auskunftsgesuche betreffend die von ihr auf www.moneyhouse.ch angebotenen Dienstleistungen, welche sie nicht beantworten kann, umgehend und kostenlos an den zuständigen Vertragspartner weiterzuleiten.

6.
Das Rechtsbegehren 9 wird gutgeheissen und die Beklagte dazu verpflichtet, ab Zustellung dieses Entscheids das Vorhandensein von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage in regelmässigen Zeitabständen in einem Verhältnis von 3 % zu den auf www.moneyhouse.ch getätigten Abfragen zu überprüfen.

7.
Die Verfahrenskosten von Fr. 5'000.- werden der Beklagten auferlegt.

8.
Es werden keine Parteientschädigungen zugesprochen.

9.
Dieses Urteil geht an:

- den Kläger (Gerichtsurkunde)

- die Beklagte (Gerichtsurkunde)

Die vorsitzende Richterin: Die Gerichtsschreiberin:

Marianne Ryter Tanja Petrik-Haltiner

Rechtsmittelbelehrung:

Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bundesgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Angelegenheiten geführt werden (Art. 82 ff ., 90 ff. und 100 BGG). Die Rechtsschrift ist in einer Amtssprache abzufassen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie der Beschwerdeführer in Händen hat, beizulegen (Art. 42 BGG).

Versand:

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 173.32 Loi du 17 juin 2005 sur le Tribunal administratif fédéral (LTAF) LTAF Art. 44 - 1 Lorsque le Tribunal administratif fédéral statue en tant que première instance, la procédure est régie par les art. 3 à 73 et 79 à 85 de la loi fédérale du 4 décembre 1947 sur la procédure civile61.
¹	Lorsque le Tribunal administratif fédéral statue en tant que première instance, la procédure est régie par les art. 3 à 73 et 79 à 85 de la loi fédérale du 4 décembre 1947 sur la procédure civile61.
²	Le Tribunal administratif fédéral établit les faits d'office.
³	Les émoluments judiciaires et les dépens sont régis par les art. 63 à 65 PA62.63

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 35 - 1 Au cours des débats préparatoires, le juge délégué discute avec les parties l'objet du litige et les engage, s'il y a lieu, à préciser, rectifier, simplifier ou compléter leurs moyens. Les parties sont en principe convoquées personnellement à ces débats.
¹	Au cours des débats préparatoires, le juge délégué discute avec les parties l'objet du litige et les engage, s'il y a lieu, à préciser, rectifier, simplifier ou compléter leurs moyens. Les parties sont en principe convoquées personnellement à ces débats.
²	Le juge délégué procède ensuite à l'administration des preuves.
³	L'administration des preuves est renvoyée aux débats principaux lorsqu'il y a des raisons particulières pour que le tribunal prenne directement connaissance des faits de la cause.
⁴	Le juge délégué peut faire abstraction des débats préparatoires si les parties y consentent.

SR 173.32 Loi du 17 juin 2005 sur le Tribunal administratif fédéral (LTAF) LTAF Art. 44 - 1 Lorsque le Tribunal administratif fédéral statue en tant que première instance, la procédure est régie par les art. 3 à 73 et 79 à 85 de la loi fédérale du 4 décembre 1947 sur la procédure civile61.
¹	Lorsque le Tribunal administratif fédéral statue en tant que première instance, la procédure est régie par les art. 3 à 73 et 79 à 85 de la loi fédérale du 4 décembre 1947 sur la procédure civile61.
²	Le Tribunal administratif fédéral établit les faits d'office.
³	Les émoluments judiciaires et les dépens sont régis par les art. 63 à 65 PA62.63

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 66 - 1 Les parties sont avisées de la clôture de la procédure préparatoire.
¹	Les parties sont avisées de la clôture de la procédure préparatoire.
²	Le président de la section procède aux citations pour les débats devant le tribunal.
³	L'art. 34, al. 2, est applicable par analogie.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
¹	Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
²	Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.

SR 173.32 Loi du 17 juin 2005 sur le Tribunal administratif fédéral (LTAF) LTAF Art. 35 Principe - Le Tribunal administratif fédéral connaît par voie d'action en première instance:
^a	des contestations qui reposent sur des contrats de droit public signés par la Confédération, ses établissements, ses entreprises ou par des organisations visées à l'art. 33, let. h;
^b	...
^c	des contestations opposant la Banque nationale et la Confédération au sujet des conventions sur les services bancaires et de la convention sur la répartition du bénéfice;
^d	des demandes de confiscation de valeurs patrimoniales conformément à la loi du 18 décembre 2015 sur les valeurs patrimoniales d'origine illicite53.

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 3 - 1 Le juge examine d'office la recevabilité de l'action et de tous actes de procédure.
¹	Le juge examine d'office la recevabilité de l'action et de tous actes de procédure.
²	Le juge ne peut aller au-delà des conclusions des parties, ni fonder son jugement sur d'autres faits que ceux qui ont été allégués dans l'instance. Toutefois il doit attirer l'attention des parties sur les lacunes de leurs conclusions et les engager à articuler complètement les faits et les preuves nécessaires à la manifestation de la vérité. A cet effet, il peut en tout état de cause interpeller les parties personnellement.

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 73 - 1 La transaction passée entre les parties devant le juge ou remise au juge pour être consignée au procès-verbal, de même que le désistement d'une partie, mettent fin au procès.
¹	La transaction passée entre les parties devant le juge ou remise au juge pour être consignée au procès-verbal, de même que le désistement d'une partie, mettent fin au procès.
²	La transaction judiciaire peut aussi porter sur des points qui, bien qu'étrangers au procès, sont litigieux entre les parties ou entre une partie et un tiers, en tant que cela favorise la fin du procès.
³	Lorsque le défendeur allègue par voie d'exception que la prétention est inexigible ou subordonnée à une condition ou oppose un vice de forme, le demandeur peut retirer son action en se réservant de l'introduire à nouveau dès que la prétention sera exigible, la condition accomplie ou le vice de forme réparé.
⁴	La transaction judiciaire et le désistement ont la force exécutoire d'un jugement.

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 79 - 1 Le juge peut ordonner des mesures provisionnelles:
¹	Le juge peut ordonner des mesures provisionnelles:
^a	pour protéger le possesseur contre tout acte d'usurpation ou de trouble et faire rentrer une partie en possession d'une chose indûment retenue;
^b	pour écarter la menace d'un dommage difficile à réparer, notamment le dommage résultant de la modification, avant l'introduction de la demande ou en cours d'instance, de l'état de choses existant.
²	Il ne peut être pris de mesures provisionnelles pour la sûreté de créances soumises à la loi fédérale du 11 avril 1889 sur la poursuite pour dettes et la faillite38.

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 23 - La demande doit contenir:
^a	le nom, le domicile et la désignation exacte des parties;
^b	les conclusions du demandeur;
^c	les indications nécessaires pour apprécier la compétence du Tribunal fédéral;
^d	l'exposé clair des faits motivant les conclusions (art. 19);
^e	l'indication précise, pour chaque fait, des preuves offertes, avec mention des numéros du bordereau des annexes (let. f);
^f	le bordereau numéroté des annexes;
^g	la date de l'acte et la signature de l'auteur.

SR 272 Code de procédure civile du 19 décembre 2008 (CPC) - Loi sur les fors CPC Art. 221 Demande - 1 La demande contient:
¹	La demande contient:
^a	la désignation des parties et, le cas échéant, celle de leur représentant;
^b	les conclusions;
^c	l'indication de la valeur litigieuse;
^d	les allégations de fait;
^e	l'indication, pour chaque allégation, des moyens de preuves proposés;
^f	la date et la signature.
²	Sont joints à la demande:
^a	le cas échéant, la procuration du représentant;
^b	le cas échéant, l'autorisation de procéder ou la déclaration de renonciation à la procédure de conciliation;
^c	les titres disponibles invoqués comme moyen de preuve;
^d	un bordereau des preuves invoquées.
³	La demande peut contenir une motivation juridique.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 25 Droit d'accès - 1 Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
¹	Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
²	La personne concernée reçoit les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. Dans tous les cas, elle reçoit les informations suivantes:
^a	l'identité et les coordonnées du responsable du traitement;
^b	les données personnelles traitées en tant que telles;
^c	la finalité du traitement;
^d	la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour fixer cette dernière;
^e	les informations disponibles sur l'origine des données personnelles, dans la mesure où ces données n'ont pas été collectées auprès de la personne concernée;
^f	le cas échéant, l'existence d'une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
^g	le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l'art. 19, al. 4.
³	Des données personnelles sur la santé de la personne concernée peuvent lui être communiquées, moyennant son consentement, par l'intermédiaire d'un professionnel de la santé qu'elle aura désigné.
⁴	Le responsable du traitement qui fait traiter des données personnelles par un sous-traitant demeure tenu de fournir les renseignements demandés.
⁵	Nul ne peut renoncer par avance au droit d'accès.
⁶	Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil fédéral peut prévoir des exceptions, notamment si la communication de l'information exige des efforts disproportionnés.
⁷	En règle générale, les renseignements sont fournis dans un délai de 30 jours.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
¹	Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
²	Il ne peut exercer aucune surveillance sur:
^a	l'Assemblée fédérale;
^b	le Conseil fédéral;
^c	les tribunaux fédéraux;
^d	le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
^e	les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
¹	La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
²	Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
¹	La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
^a	des personnes privées;
^b	des organes fédéraux.
²	Elle ne s'applique pas:
^a	aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
^b	aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
^c	aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
³	Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
⁴	Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
¹	Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
²	Le registre du responsable du traitement contient au moins les indications suivantes:
^a	l'identité du responsable du traitement;
^b	la finalité du traitement;
^c	une description des catégories de personnes concernées et des catégories de données personnelles traitées;
^d	les catégories de destinataires;
^e	dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
^f	dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
^g	en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
³	Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
⁴	Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
⁵	Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
¹	Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
²	Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 14 Représentant - 1 Le responsable du traitement privé qui a son siège ou son domicile à l'étranger désigne un représentant en Suisse lorsqu'il traite des données personnelles concernant des personnes en Suisse et que ce traitement remplit les conditions suivantes:
¹	Le responsable du traitement privé qui a son siège ou son domicile à l'étranger désigne un représentant en Suisse lorsqu'il traite des données personnelles concernant des personnes en Suisse et que ce traitement remplit les conditions suivantes:
^a	le traitement est en rapport avec l'offre de biens ou de services ou le suivi du comportement de personnes en Suisse;
^b	il s'agit d'un traitement à grande échelle;
^c	il s'agit d'un traitement régulier;
^d	le traitement présente un risque élevé pour la personnalité des personnes concernées.
²	Le représentant est le point de contact pour les personnes concernées et le PFPDT.
³	Le responsable du traitement publie le nom et l'adresse de son représentant.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 6 Principes - 1 Tout traitement de données personnelles doit être licite.
¹	Tout traitement de données personnelles doit être licite.
²	Il doit être conforme aux principes de la bonne foi et de la proportionnalité.
³	Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités.
⁴	Elles sont détruites ou anonymisées dès qu'elles ne sont plus nécessaires au regard des finalités du traitement.
⁵	Celui qui traite des données personnelles doit s'assurer qu'elles sont exactes. Il prend toute mesure appropriée permettant de rectifier, d'effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées. Le caractère approprié de la mesure dépend notamment du type de traitement et de son étendue, ainsi que du risque que le traitement des données en question présente pour la personnalité ou les droits fondamentaux des personnes concernées.
⁶	Lorsque le consentement de la personne concernée est requis, celle-ci ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée.
⁷	Le consentement doit être exprès dans les cas suivants:
^a	il s'agit d'un traitement de données sensibles;
^b	il s'agit d'un profilage à risque élevé effectué par une personne privée;
^c	il s'agit d'un profilage effectué par un organe fédéral.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 5 Définitions - On entend par:
^a	données personnelles: toutes les informations concernant une personne physique identifiée ou identifiable;
^b	personne concernée: la personne physique dont les données personnelles font l'objet d'un traitement;
^c	données personnelles sensibles (données sensibles):
^c1	les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
^c2	les données sur la santé, la sphère intime ou l'origine raciale ou ethnique,
^c3	les données génétiques,
^c4	les données biométriques identifiant une personne physique de manière univoque,
^c5	les données sur des poursuites ou sanctions pénales et administratives,
^c6	les données sur des mesures d'aide sociale;
^d	traitement: toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement ou la destruction de données;
^e	communication: le fait de transmettre des données personnelles ou de les rendre accessibles;
^f	profilage: toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
^g	profilage à risque élevé: tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu'il conduit à un appariement de données qui permet d'apprécier les caractéristiques essentielles de la personnalité d'une personne physique;
^h	violation de la sécurité des données: toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données;
ⁱ	organe fédéral: l'autorité fédérale, le service fédéral ou la personne chargée d'une tâche publique de la Confédération;
^j	responsable du traitement: la personne privée ou l'organe fédéral qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données personnelles;
^k	sous-traitant: la personne privée ou l'organe fédéral qui traite des données personnelles pour le compte du responsable du traitement.

SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 1 Principes - 1 Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.
¹	Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.
²	Le besoin de protection des données personnelles est évalué en fonction des critères suivants:
^a	le type de données traitées;
^b	la finalité, la nature, l'étendue et les circonstances du traitement.
³	Le risque pour la personnalité ou les droits fondamentaux de la personne concernée est évalué en fonction des critères suivants:
^a	les causes du risque;
^b	les principales menaces;
^c	les mesures prises ou prévues pour réduire le risque;
^d	la probabilité et la gravité d'une violation de la sécurité des données, malgré les mesures prises ou prévues.
⁴	Lors de la détermination des mesures techniques et organisationnelles, les critères suivants sont de plus pris en compte:
^a	l'état des connaissances;
^b	les coûts de mise en oeuvre.
⁵	Le besoin de protection des données personnelles, le risque encouru, ainsi que les mesures techniques et organisationnelles sont réévalués pendant toute la durée du traitement. En cas de besoin, les mesures sont adaptées.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 7 Protection des données dès la conception et par défaut - 1 Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.
¹	Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.
²	Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l'état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées.
³	Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n'en dispose pas autrement.

SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 8 Évaluation du niveau de protection adéquat des données d'un État, d'un territoire, d'un secteur déterminé dans un État, ou d'un organisme international - 1 Les États, les territoires, les secteurs déterminés dans un État, et les organismes internationaux avec un niveau de protection adéquat sont mentionnés à l'annexe 1.
¹	Les États, les territoires, les secteurs déterminés dans un État, et les organismes internationaux avec un niveau de protection adéquat sont mentionnés à l'annexe 1.
²	Pour évaluer si un État, un territoire, un secteur déterminé dans un État, ou un organisme international garantit un niveau de protection adéquat, les critères suivants sont en particulier pris en compte:
^a	les engagements internationaux de l'État ou de l'organisme international, notamment en matière de protection des données;
^b	l'état de droit et le respect des droits de l'homme;
^c	la législation applicable, notamment en matière de protection des données, de même que sa mise en oeuvre et la jurisprudence y relative;
^d	la garantie effective des droits des personnes concernées et des voies de droit;
^e	le fonctionnement effectif d'une ou de plusieurs autorités indépendantes chargées de la protection des données dans l'État concerné, ou auxquelles un organisme international est soumis, et disposant de pouvoirs et de compétences suffisants.
³	Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est consulté lors de chaque évaluation. Les appréciations effectuées par des organismes internationaux ou des autorités étrangères chargées de la protection des données peuvent être prises en compte.
⁴	L'adéquation du niveau de protection est réévaluée périodiquement.
⁵	Les évaluations doivent être publiées.
⁶	Lorsque l'évaluation visée à l'al. 4 ou que d'autres informations indiquent que le niveau de protection adéquat n'est plus garanti, l'annexe 1 est modifiée sans effet sur les communications de données déjà effectuées.

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 63 - 1 En règle générale, les frais de procédure comprenant l'émolument d'arrêté, les émoluments de chancellerie et les débours sont mis, dans le dispositif, à la charge de la partie qui succombe. Si celle-ci n'est déboutée que partiellement, ces frais sont réduits. À titre exceptionnel, ils peuvent être entièrement remis.
¹	En règle générale, les frais de procédure comprenant l'émolument d'arrêté, les émoluments de chancellerie et les débours sont mis, dans le dispositif, à la charge de la partie qui succombe. Si celle-ci n'est déboutée que partiellement, ces frais sont réduits. À titre exceptionnel, ils peuvent être entièrement remis.
²	Aucun frais de procédure n'est mis à la charge des autorités inférieures, ni des autorités fédérales recourantes et déboutées; si l'autorité recourante qui succombe n'est pas une autorité fédérale, les frais de procédure sont mis à sa charge dans la mesure où le litige porte sur des intérêts pécuniaires de collectivités ou d'établissements autonomes.
³	Des frais de procédure ne peuvent être mis à la charge de la partie qui a gain de cause que si elle les a occasionnés en violant des règles de procédure.
⁴	L'autorité de recours, son président ou le juge instructeur perçoit du recourant une avance de frais équivalant aux frais de procédure présumés. Elle lui impartit pour le versement de cette créance un délai raisonnable en l'avertissant qu'à défaut de paiement elle n'entrera pas en matière. Si des motifs particuliers le justifient, elle peut renoncer à percevoir la totalité ou une partie de l'avance de frais.101
^4bis	L'émolument d'arrêté est calculé en fonction de l'ampleur et de la difficulté de la cause, de la manière de procéder des parties et de leur situation financière. Son montant est fixé:
^a	entre 100 et 5000 francs dans les contestations non pécuniaires;
^b	entre 100 et 50 000 francs dans les autres contestations.102
⁵	Le Conseil fédéral établit un tarif des émoluments.103 L'art. 16, al. 1, let. a, de la loi du 17 juin 2005 sur le Tribunal administratif fédéral104 et l'art. 73 de la loi du 19 mars 2010 sur l'organisation des autorités pénales105 sont réservés.106

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 65 - 1 Après le dépôt du recours, la partie qui ne dispose pas de ressources suffisantes et dont les conclusions ne paraissent pas d'emblée vouées à l'échec est, à sa demande, dispensée par l'autorité de recours, son président ou le juge instructeur de payer les frais de procédure.111
¹	Après le dépôt du recours, la partie qui ne dispose pas de ressources suffisantes et dont les conclusions ne paraissent pas d'emblée vouées à l'échec est, à sa demande, dispensée par l'autorité de recours, son président ou le juge instructeur de payer les frais de procédure.111
²	L'autorité de recours, son président ou le juge instructeur attribue en outre un avocat à cette partie si la sauvegarde de ses droits le requiert.112
³	Les frais et honoraires d'avocat sont supportés conformément à l'art. 64, al. 2 à 4.
⁴	Si la partie indigente revient à meilleure fortune, elle est tenue de rembourser les honoraires et les frais d'avocat à la collectivité ou à l'établissement autonome qui les a payés.
⁵	Le Conseil fédéral établit un tarif des honoraires et des frais.113 L'art. 16, al. 1, let. a, de la loi du 17 juin 2005 sur le Tribunal administratif fédéral114 et l'art. 73 de la loi du 19 mars 2010 sur l'organisation des autorités pénales115 sont réservés.116

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 64 - 1 L'autorité de recours peut allouer, d'office ou sur requête, à la partie ayant entièrement ou partiellement gain de cause une indemnité pour les frais indispensables et relativement élevés qui lui ont été occasionnés.
¹	L'autorité de recours peut allouer, d'office ou sur requête, à la partie ayant entièrement ou partiellement gain de cause une indemnité pour les frais indispensables et relativement élevés qui lui ont été occasionnés.
²	Le dispositif indique le montant des dépens alloués qui, lorsqu'ils ne peuvent pas être mis à la charge de la partie adverse déboutée, sont supportés par la collectivité ou par l'établissement autonome au nom de qui l'autorité inférieure a statué.
³	Lorsque la partie adverse déboutée avait pris des conclusions indépendantes, les dépens alloués peuvent être mis à sa charge, dans la mesure de ses moyens.
⁴	La collectivité ou l'établissement autonome au nom de qui l'autorité inférieure a statué répond des dépens mis à la charge de la partie adverse déboutée en tant qu'ils se révéleraient irrécouvrables.
⁵	Le Conseil fédéral établit un tarif des dépens.107 L'art. 16, al. 1, let. a, de la loi du 17 juin 2005 sur le Tribunal administratif fédéral108 et l'art. 73 de la loi du 19 mars 2010 sur l'organisation des autorités pénales109 sont réservés.110

SR 173.320.2 Règlement du 21 février 2008 concernant les frais, dépens et indemnités fixés par le Tribunal administratif fédéral (FITAF) FITAF Art. 7 Principe - 1 La partie qui obtient gain de cause a droit aux dépens pour les frais nécessaires causés par le litige.
¹	La partie qui obtient gain de cause a droit aux dépens pour les frais nécessaires causés par le litige.
²	Lorsqu'une partie n'obtient que partiellement gain de cause, les dépens auxquels elle peut prétendre sont réduits en proportion.
³	Les autorités fédérales et, en règle générale, les autres autorités parties n'ont pas droit aux dépens.
⁴	Si les frais sont relativement peu élevés, le tribunal peut renoncer à allouer des dépens.
⁵	L'art. 6a s'applique par analogie.7

SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire LTF Art. 82 Principe - Le Tribunal fédéral connaît des recours:
^a	contre les décisions rendues dans des causes de droit public;
^b	contre les actes normatifs cantonaux;
^c	qui concernent le droit de vote des citoyens ainsi que les élections et votations populaires.

SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire LTF Art. 42 Mémoires - 1 Les mémoires doivent être rédigés dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signés.
¹	Les mémoires doivent être rédigés dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signés.
²	Les motifs doivent exposer succinctement en quoi l'acte attaqué viole le droit. Si le recours n'est recevable que lorsqu'il soulève une question juridique de principe ou qu'il porte sur un cas particulièrement important pour d'autres motifs, il faut exposer en quoi l'affaire remplit la condition exigée.15 16
³	Les pièces invoquées comme moyens de preuve doivent être jointes au mémoire, pour autant qu'elles soient en mains de la partie; il en va de même de la décision attaquée si le mémoire est dirigé contre une décision.
⁴	En cas de transmission électronique, le mémoire doit être muni de la signature électronique qualifiée de la partie ou de son mandataire au sens de la loi du 18 mars 2016 sur la signature électronique17. Le Tribunal fédéral détermine dans un règlement:
^a	le format du mémoire et des pièces jointes;
^b	les modalités de la transmission;
^c	les conditions auxquelles il peut exiger, en cas de problème technique, que des documents lui soient adressés ultérieurement sur papier.18
⁵	Si la signature de la partie ou de son mandataire, la procuration ou les annexes prescrites font défaut, ou si le mandataire n'est pas autorisé, le Tribunal fédéral impartit un délai approprié à la partie pour remédier à l'irrégularité et l'avertit qu'à défaut le mémoire ne sera pas pris en considération.
⁶	Si le mémoire est illisible, inconvenant, incompréhensible ou prolixe ou qu'il n'est pas rédigé dans une langue officielle, le Tribunal fédéral peut le renvoyer à son auteur; il impartit à celui-ci un délai approprié pour remédier à l'irrégularité et l'avertit qu'à défaut le mémoire ne sera pas pris en considération.
⁷	Le mémoire de recours introduit de manière procédurière ou à tout autre égard abusif est irrecevable.