A-4232/2015 - 2017-04-18 - Protezione dei dati e principio della trasparenza

Bundesverwaltungsgericht
Tribunal administratif fédéral
Tribunale amministrativo federale
Tribunal administrativ federal

Abteilung I

A-4232/2015

Urteil vom 18. April 2017

Richterin Marianne Ryter (Vorsitz),

Besetzung Richterin Claudia Pasqualetto Péquignot,
Richter Jérôme Candrian,

Gerichtsschreiberin Tanja Petrik-Haltiner.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB,
Parteien Feldeggweg 1, 3003 Bern,

Kläger,

gegen

Moneyhouse AG,
Lettenstrasse 7, 6343 Rotkreuz,

vertreten durch lic. iur. LL.M. Oliver Kunz und Dr. iur. Monique Sturny, Walder Wyss AG,

Seefeldstrasse 123, Postfach 1236, 8034 Zürich,

Beklagte,

Gegenstand Umsetzung von Empfehlungen des EDÖB.

Sachverhalt:

A.

A.a Die Moneyhouse AG bezieht Daten in elektronischer Form von diversen Quellen wie der A._______ AG betreffend natürliche Personen, der B._______ AG betreffend Handelsregisterdaten, welche diese über die Online-Publikation des Schweizerischen Handelsamtsblatts (www.shab.ch, vgl. zur Suche nach Firmen und Namen aktueller und gelöschter juristischer Personen auch den zentralen Firmenindex, publiziert unter www.zefix.ch) erhältlich macht, der C._______ AG, von Betreibungsämtern und via Online-Suchmaschinen wie Google, www.local.ch, www.search.ch, www.jobs.nzz.ch und Google Maps. Diese verwendet sie, um verschiedene Dienstleistungen anzubieten, insbesondere eine Firmen- und Personensuche und ein Stellenportal. Sie publiziert diese Daten auf www.moneyhouse.ch. Dieser Dienst ist für das Publikum nach erfolgter Registrierung kostenlos. Zusätzlich werden zahlungspflichtig für sog. Premium User Bonitäts- und Zahlweiseabonnemente, Details zu Zahlungsstörungen, Betreibungs-, Grundbuch-, Wirtschafts- und Steuerauskünfte und Dienstleistungen betreffend Firmenportraits angeboten. Für Zusatzangebote und um auf Daten natürlicher Personen, die nicht im Handelsregister oder in einem elektronischen Telefonverzeichnis eingetragen sind, zuzugreifen, müssen Interessensnachweise erbracht werden.

A.b Die Datensammlung der Moneyhouse AG besteht aus Einträgen von ca. (...) Personen und umfasste bei Klageeinreichung inhaltlich die Datenbanken MH, MHLOG und SHAB. Erstere enthält die Daten natürlicher Personen, die nicht im Handelsregister registriert sind sowie die auf einer Sperrliste registrierten natürlichen Personen, welche eine Löschung ihrer Daten im Handelsregister verlangt haben. Gespeichert werden die folgenden Daten: Name, Vorname, Strasse und Strassennummer, Wohnort, Postleitzahl, Geburtsdatum und somit Alter, Beruf, Haushalt und Nachbarn, Wohnsituation. In der Datenbank MHLOG werden die geloggten Interessensnachweise gespeichert, die Kunden der Moneyhouse AG erbringen müssen, um Einblick in Informationen über eine Privatperson zu erhalten, deren Adresse weder in einem elektronischen Telefonverzeichnis noch im Handelsregister verzeichnet ist. Ebenfalls registriert werden die Interessensnachweise, die erbracht werden müssen, um ein Zusatzangebot zu buchen. Diese Datenbank enthält einen Identifikator des Premium Users, die IP-Adresse des abfragenden Geräts, die abgefragten Inhalte des Angebots und den bei der Abfrage angegebenen Interessensnachweis. In der Datenbank SHAB werden sodann alle Daten, die im Handelsregister publiziert sind oder waren sowie Kundendaten und deren Bestellungen, gespeichert. Damit gemeint sind die folgenden Daten: Name, Firmenadresse, Inhaber, Beteiligungen, Status, Kapital, Mitarbeiter- und Umsatzzahlen, Sitz der Firma, Eintrag im Handelsregister und die entsprechende Nummer, Angaben zum Handelsregisteramt, Zweck des Unternehmens, aktuelle und frühere Verwaltungsräte, Zeichnungsberechtigte, Revisionsstelle, Netzwerk, Kontaktdaten und Stellen.

A.c Zum Urteilszeitpunkt ist diese bisherige Plattform nach wie vor in Betrieb, während sich auf der sich im Aufbau befindlichen Plattform die Datensammlung der Moneyhouse AG in die beiden Datenbanken MYSQL und "Elastic Search" unterteilt. In Ersterer sind bislang nur die Handelsregisterdaten, d.h. die Daten der ehemaligen Datenbank SHAB gespeichert. Die übrigen Daten befinden sich immer noch auf der bisherigen Plattform. Die Datenbank "Elastic Search" ist auf Suchvorgänge spezialisiert und spiegelt die Daten der übrigen Datenbanken, um die Suche anhand der Sucheingaben für die Benutzer möglichst effizient zu gestalten.

B.
Der Eidgenössische Datenschutzbeauftragte (EDÖB) erliess nach Durchführung eines Schriftenwechsels am 6. November 2014 eine Empfehlung an die Adresse der damaligen itonex AG und heutigen Moneyhouse AG (vgl. bezüglich Umfirmierung den die Beklagte betreffenden Handelsregisterauszug vom 3. Februar 2017) betreffend die unter www.moneyhouse.ch angebotenen Dienstleistungen. Er empfahl insbesondere Folgendes:

"a.(...)

b.Die Empfehlungsadressatin stellt sicher, dass bei Personen, die nicht im Handelsregister eingetragen sind, eine rechtsgültige explizite Einwilligung für Datenbearbeitungen, die über das für eine Bonitätsprüfung notwendige hinausgehen, vorliegt.

c.Daten von Personen, die nicht im Handelsregister eingetragen sind und deren explizite Einwilligung nicht vorliegt, dürfen in allen über die Bonitätsprüfung hinausgehenden Diensten nicht angezeigt werden.

d.Die Empfehlungsadressatin löscht bei Personen, die nicht im Handelsregister eingetragen sind und deren explizite Einwilligung nicht vorliegt, alle für die Bonitätsprüfung nicht zwingend notwendigen Daten.

e.Die Empfehlungsadressatin entfernt Verlinkungen, die das Erstellen von Persönlichkeitsprofilen durch die Nutzer der Plattform www.moneyhouse.ch ermöglichen.

f.(...)

g.Die Auffindbarkeit von im Handelsregister eingetragenen Personen über Suchmaschinen wird entsprechend der Praxis von www.zefix.ch angepasst.

h.- j. (...)

k.Die Empfehlungsadressatin überprüft den Datenbestand betreffend Richtigkeit in einem Umfang, der in einem angemessenen prozentualen Verhältnis zu den gemachten Abfragen steht.

l.-n. (...)

o.Die Bonitätsabfrage wird rechtskonform ermöglicht. Die Anzahl der nachträglichen Kontrollen eines zum Zeitpunkt der Bonitätsabfrage bestehenden Interessensnachweises hat in regelmässigen Zeitabständen und in einem Verhältnis von mindestens 5 % zu den getätigten Abfragen zu erfolgen. (...).

p.Die Auskunft wird allen Nutzern gleich und rechtskonform gemäss den Vorgaben von Art. 8 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1), insbesondere kostenlos und unter namentlicher Nennung aller Datenlieferanten, erteilt. Auskunftsgesuche werden gemäss Art. 1 Abs. 6 der Verordnung vom 14. Juni 1993 zum DSG (VDSG, SR 235.11) an die Partner der Empfehlungsadressatin, welche ebenfalls Personendaten bearbeiten, weitergeleitet.

q. und r. (...)."

C.
Die Beklagte liess in ihrer Stellungnahme vom 23. März 2015 zu den Empfehlungen b-e des Klägers Folgendes verlauten: Im Rahmen der Nutzung ihrer Plattform würden keine Persönlichkeitsprofile generiert. Den Bedenken des Klägers würden jedoch im Rahmen des Redesigns der Plattform Rechnung getragen mittels Aufteilung des Angebots in getrennte Datenbanken je nach Nutzungsprofil. Betreffend die Empfehlung g erklärte sie, die angebotenen Suchmodalitäten und die Auffindbarkeit von im Handelsregister eingetragenen Personen über Suchmaschinen sei datenschutzrechtlich zulässig, insbesondere verhältnismässig. Mit Bezug auf die Empfehlung o akzeptierte sie risikogewichtete Kontrollen im Verhältnis von 0.2 %, d.h. Kontrollen bei Kunden, bei denen besonders viele Abfragen getätigt wurden oder bei ungewöhnlichen Abfragemustern. Was die Empfehlung p anbelangt, blieb die Weiterleitung von Auskunftsgesuchen an Partner umstritten. Die Beklagte machte diesbezüglich geltend, sie sei nicht Inhaberin der Partnerdatenbanken und daher weder auskunftspflichtig noch zur Weiterleitung der entsprechenden Angaben verpflichtet. Die übrigen Empfehlungen akzeptierte sie.

D.
Nachdem die Moneyhouse AG (nachfolgend: Beklagte) mit Schreiben vom 23. März 2015 einige Inhalte der vorgenannten Empfehlung akzeptierte, legt der EDÖB (nachfolgend: Kläger) die Angelegenheit mit Bezug auf die strittig gebliebenen Inhalte mit Klageschrift vom 7. Juli 2015 dem Bundesverwaltungsgericht zum Entscheid vor. Er beantragt Folgendes:

"1.Es sei festzustellen, dass die Beklagte bei der Erbringung ihrer Dienstleistungen über die Plattform www.moneyhouse.ch Persönlichkeitsprofile von Personen ohne einen rechtsgenügenden Rechtfertigungsgrund bearbeitet und bekannt gibt und demzufolge die Persönlichkeit von vielen Personen verletzt.

2.Die Beklagte sei zu verpflichten, bei natürlichen Personen ohne Handelsregistereintrag vorgängig eine rechtsgültige, explizite Einwilligung für diejenigen Datenbearbeitungen einzuholen, die nicht für die Erteilung von Bonitätsauskünften benötigt werden.

3.Die Beklagte sei zu verpflichten, Daten von Personen ohne Handelsregistereintrag, die vorgängig nicht rechtsgültig und explizit in die Bekanntgabe ihrer Daten eingewilligt haben, ausschliesslich im Rahmen der Erteilung von Bonitätsauskünften zu bearbeiten und bekannt zu geben.

4.Die Beklagte sei zu verpflichten, sämtliche Daten natürlicher Personen ohne Handelsregistereintrag, die nicht rechtsgültig in die Datenbearbeitung eingewilligt haben, soweit sie nicht für die Erteilung von Bonitätsauskünften benötigt werden, vollständig und unwiederbringlich zu löschen und dem Kläger die Löschung schriftlich zu bestätigen.

5.Die Beklagte sei zu verpflichten, auf der Website www.moneyhouse.ch sämtliche Verlinkungen zu löschen, die das Erstellen von Persönlichkeitsprofilen von Personen ermöglichen, die darin nicht rechtskonform eingewilligt haben.

6.Die Beklagte sei zu verpflichten, die Auffindbarkeit von im Handelsregister eingetragenen Personen so anzupassen, dass sie der vom Eidgenössischen Amt für das Handelsregister mit der Website www.zefix.ch aktuell verfolgten Praxis entspricht.

7.Die Beklagte sei zu verpflichten, den Datenbestand betreffend Richtigkeit in einem durch das Gericht festzulegenden angemessenen Prozentsatz zu den getätigten Abfragen auf der Plattform www.moneyhouse.ch zu überprüfen.

8.Die Beklagte sei zu verpflichten, Auskunftsgesuche gestützt auf Art. 8 DSG, die sie von Personen betreffend die von ihr auf der Plattform www.moneyhouse.ch angebotenen Dienstleistungen erhält, wenn sie diese nicht selber beantworten kann, umgehend und ohne Kostenfolgen an die jeweiligen Partner der Plattform weiterzuleiten.

9.Die Beklagte sei zu verpflichten, im Rahmen der Bonitätsprüfung nur die dafür notwendigen Daten zu bearbeiten und in regelmässigen Zeitabständen das Vorhandensein von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage in einem Verhältnis von mindestens 5 % zu den getätigten Abfragen zu kontrollieren."

E.
Mit Klageantwort vom 9. September 2015 beantragt die Beklagte, die Klage vom 7. Juli 2015 sei vollumfänglich abzuweisen, soweit darauf einzutreten sei.

F.
Der Kläger hält mit Replik vom 19. November 2015 unverändert an seinen Anträgen gemäss Klageschrift vom 7. Juli 2015 fest.

G.
Gegen die Editionsverfügung des Bundesverwaltungsgerichts vom 7. Dezember 2015 erhebt die Beklagte Beschwerde ans Bundesgericht, auf welche mit Urteil 1C_41/2016 vom 22. März 2016 nicht eingetreten wird.

H.
Mit Duplik vom 6. Juni 2016 hält die Beklagte ebenfalls an ihrem mit Klageantwort vom 9. September 2015 gestellten Begehren fest.

I.
Die Beklagte aktualisiert auf Anfrage den Sachverhalt mit Eingabe vom 24. Oktober 2016. Betreffend die Umsetzung der klägerischen Empfehlungen vertritt sie mit Bezug auf die strittig gebliebenen Punkte weiterhin die Ansicht, im Rahmen der Nutzung ihrer Plattform würden keine Persönlichkeitsprofile generiert. Zu Bst. b der klägerischen Empfehlung hält sie fest, sich gegenüber dem Kläger bereit erklärt zu haben, ihr Angebot nach Nutzungsarten zu unterteilen. Der Kläger sei darauf nicht eingegangen und so habe sie aufgrund des laufenden Klageverfahrens ihre Dienstleistungen nicht weiter angepasst. Betreffend Bst. d der klägerischen Empfehlung erklärt sie, dass Daten von natürlichen Personen, welche nicht im Handelsregister eingetragen seien, auf deren Wunsch hin gelöscht würden. Nutzer mit einem Bonitätsabonnement könnten bonitätsrelevante Daten jedoch auch diesfalls weiterhin abrufen. Mit Bezug auf Bst. g der klägerischen Empfehlung stellt sich die Beklagte auf den Standpunkt, die von ihr angebotenen Suchmodalitäten und die Auffindbarkeit von im Handelsregister eingetragenen Personen über Suchmaschinen sei datenschutzrechtlich zulässig, insbesondere verhältnismässig. Mittlerweile habe sie jedoch die Auffindbarkeit von im Handelsregister eingetragenen Personen über Suchmaschinen in dem Sinne leicht angepasst und sich damit der klägerischen Forderung angenähert, dass nur noch Personen, die aktiv im Handelsregister eingetragen seien, indexiert würden. Die übrigen Personen seien nach einer bestimmten Zeit nur noch über die Suche nach Firmennamen auffindbar. Eine weitere Einschränkung der Auffindbarkeit von im Handelsregister eingetragenen Personen erachte sie als unverhältnismässig. Bst. k der klägerischen Empfehlung habe sie akzeptiert und umgesetzt, d.h. sie überprüfe regelmässig die Richtigkeit ihrer Datenbestände und nehme nötigenfalls Korrekturen vor. Die Verknüpfung eigener Daten mit derjenigen Dritter funktioniere grundsätzlich korrekt. Zudem seien die Handelsregisterdaten im März 2016 mit einem neuen Datensatz der B._______ AG vollständig neu eingelesen worden und würden seither monatlich aktualisiert. Zusätzlich sei die manuelle Prüfung der Datenrichtigkeit seit Erlass der klägerischen Empfehlung intensiviert worden. In diesem Zusammenhang weist die Beklagte sodann darauf hin, dass die betroffenen Personen jederzeit die rasche Löschung oder Korrektur ihrer Daten verlangen könnten, sofern sie sich im Einzelfall als unrichtig erwiesen. Der Kläger habe diesen Sachverhalt dem Bundesverwaltungsgericht dennoch unzulässiger- und unbegründeterweise mit Rechtsbegehren 7 zum Entscheid vorgelegt. Bst. o der klägerischen Empfehlung habe sie grundsätzlich akzeptiert. Strittig sei einzig die Höhe des
prozentualen Anteils der zu tätigenden Kontrollabfragen der im Zeitpunkt der Bonitätsabfrage zu erbringenden Interessensnachweise. Das seitens des Klägers geforderte Verhältnis von 5 % zu den getätigten Abfragen sei eklatant zu hoch und nicht praktikabel. Sie erachte entsprechend der deutschen Praxis einen Kontrollanteil von 0.02 % als üblich und angebracht. Mit Bezug auf Bst. p der klägerischen Empfehlung sei lediglich umstritten, ob sie verpflichtet sei, Auskunftsgesuche an ihre Vertragspartner weiterzuleiten.

J.
Die A._______ AG kündigt den Vertrag mit der Beklagten vom 15. Februar 2016 mit Schreiben vom 9. November 2016 per 28. Februar 2017.

K.
Das Bundesverwaltungsgericht lädt die Parteien mit Instruktionsverfügung vom 10. November 2016 zur Vorbereitungsverhandlung und zur Hauptverhandlung vor.

L.
Mit Eingabe vom 24. November 2016 ersucht die Beklagte um Verschiebung der beiden Termine um mindestens 30 Tage mit der Begründung, die neue Geschäftsführerin werde ihre Tätigkeit am 1. Dezember 2016 aufnehmen und benötige Zeit, um sich ins laufende Verfahren einzuarbeiten.

M.
Die Verschiebungsgesuche der Beklagten werden mit Verfügung vom 28. November 2017 abgewiesen.

N.
Am 12. Dezember 2016 findet die Vorbereitungsverhandlung i.S.v. Art. 44 Abs. 1 des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 (VGG, SR 173.32) i.V.m. Art. 35 Bundesgesetz vom 4. Dezember 1947 über den Bundeszivilprozess (BZP, SR 273) statt.

O.
Die A._______ AG gibt mit Eingabe vom 19. Dezember 2016 Auskunft über den ursprünglichen Bearbeitungszweck der an die Beklagte weitergegebenen Daten und inwiefern sie die davon betroffenen Personen im Zeitpunkt der Datenerhebung betreffend ihre Verwendungszwecke informiert hat.

P.
Mit Eingabe vom 6. Januar 2017 reicht die Beklagte eine aktuelle Übersicht über die insgesamt gelösten Bonitätsabonnemente von Juni bis November 2016 und die Anzahl monatlich getätigter Abfragen im selben Zeitraum sowie über die Anzahl eingegangener Löschungsbegehren und deren Behandlungsdauer ein. Zudem reicht sie ihr aktuelles IT-Sicherheitskonzept gemäss Ziff. 15 ihres Bearbeitungsreglements, ihr aktuelles Datenschutzkonzept, ihr aktuelles Strategiepapier sowie die Dokumentation der Prozesse im Kundendienst und bei der Überprüfung der Bonitätsabonnemente als konkrete Umsetzungen der konzeptuellen Vorgaben ein. Weiter gibt sie den Anhang 1 zum Vertrag zwischen ihr, der D._______ AG und der A._______ AG betreffend die von Letzterer erhaltenen Datenkategorien zu den Akten.

Gleichzeitig nimmt die Beklagte zum Protokoll der Vorbereitungsverhandlung vom 12. Dezember 2016 Stellung.

Q.
Die öffentliche Hauptverhandlung i.S.v. Art. 44 Abs. 1 VGG i.V.m. Art. 66 ff . BZP findet am 23. Januar 2017 statt. Anlässlich seiner Replik passt der Kläger Rechtsbegehren 9 insofern an, als er den festzulegenden Prozentsatz der Kontrolldichte von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage ins Ermessen des Gerichts stellt.

R.
Mit abschliessender Stellungnahme vom 9. Februar 2017 hält die Beklagte an ihren Rechtsbegehren und bisherigen Ausführungen fest. Der Kläger verzichtet mit Eingabe vom 7. Februar 2017 auf eine Stellungnahme.

S.
Auf weitere Sachverhaltselemente und Parteivorbringen sowie sich bei den Akten befindliche Dokumente wird - soweit entscheidrelevant - im Rahmen der nachfolgenden Erwägungen eingegangen.

Das Bundesverwaltungsgericht zieht in Erwägung:

1.
Der EDÖB klärt von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (sog. Systemfehler, Art. 29 Abs. 1 Bst. a DSG). Aufgrund seiner Abklärungen kann er empfehlen, eine Datenbearbeitung zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG). Wird eine solche Empfehlung nicht befolgt oder (teilweise) abgelehnt, kann er die Angelegenheit dem Bundesverwaltungsgericht als erster Instanz auf dem Klageweg zum Entscheid vorlegen (Art. 29 Abs. 4 DSG i.V.m. Art. 35 Bst. b VGG).

2.

2.1 Das Verfahren vor dem Bundesverwaltungsgericht richtet sich gemäss Art. 44 Abs. 1 VGG grundsätzlich nach den Art. 3 -73 sowie Art. 79 -85 BZP.

2.2 Gegenstand des vorliegenden Verfahrens kann nur sein, was bereits vom EDÖB im Rahmen des Erlasses seiner Empfehlung geprüft wurde und in diese Eingang gefunden hat (Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 2.3 mit weiteren Hinweisen und David Rosenthal in: Handkommentar zum DSG, 2008, Art. 29 Rz. 46 mit weiteren Hinweisen). Seit Klageeinreichung zusätzlich angebotene Dienstleistungen wie "KMU Ratgeber" und "Bonität international" und allgemein seither neu angebotene Dienstleistungen der Beklagten sind daher nicht Gegenstand der gestellten Anträge, weshalb darüber auch nicht zu entscheiden ist. Überlegungen zu diesen Themen können aber in die Erwägungen einfliessen, sofern dies für den Entscheid in der vorliegenden Sache relevant ist.

2.3 Art. 3 Abs. 2 BZP bestimmt, dass das Gericht nicht über die Rechtsbegehren der Parteien hinausgehen darf. In einem Klageverfahren wie dem vorliegenden hat die Dispositionsmaxime somit grössere Bedeutung als im Beschwerdeverfahren vor Bundesverwaltungsgericht: Einer Partei darf nicht mehr oder nichts anderes zugesprochen werden, als sie beantragt hat (statt vieler BVGE 2008/16 E. 2.2 und Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 2.2 mit weiteren Hinweisen, Moser/Beusch/Kneubühler, Prozessieren vor dem Bundesverwaltungsgericht, 2. Aufl. Basel 2013, Rz. 5.14 mit weiteren Hinweisen). Obwohl im Bundeszivilprozess das Gericht sein Urteil somit grundsätzlich nur auf Tatsachen gründen darf, die im Verfahren geltend gemacht worden sind, gilt vor Bundesverwaltungsgericht infolge der spezialgesetzlichen Bestimmung von Art. 44 Abs. 2 VGG der Grundsatz der Sachverhaltsabklärung von Amtes wegen.

2.3.1 Die Beklagte stellt sich auf den Standpunkt, das vom Kläger gestellte Rechtsbegehren 1 sei unzulässig, weil es auf Feststellung und nicht auf Änderung oder Unterlassung einer Datenbearbeitung gerichtet sei. Weiter macht sie betreffend die Rechtsbegehren 2-4 geltend, auf die Beschwerde sei nicht einzutreten, weil die klägerischen Begehren zu unbestimmt und unklar seien, da sie interpretationsbedürftige Begriffe enthielten, so z.B. unbestimmte Rechtsbegriffe wie "rechtsgenügend" oder "Persönlichkeitsprofile". Welche Verlinkungen - wie mit Rechtsbegehren 5 beantragt - zu löschen seien, die das Erstellen von Persönlichkeitsprofilen ermöglichten, sei ebenfalls unklar. Nicht präzisiert werde in Rechtsbegehren 6 sodann, was unter der aktuell verfolgten Praxis des Eidgenössischen Handelsregisteramts zu verstehen sei. Rechtsbegehren 7 sei unzulässig, weil der Kläger dem Gericht die Aufgabe übertrage, einen angemessenen Prozentsatz der getätigten Abfragen festzulegen, anhand dessen der Datenbestand bezüglich Richtigkeit zu überprüfen sei. Ohne Bezifferung sei ein Rechtsbegehren zu unbestimmt und daher nicht vollstreckbar

Zudem fehle es an einer klar formulierten Darstellung der seitens des Klägers behaupteten Tatsachen. So führe dieser z.B. aus, "häufig" Unstimmigkeiten festgestellt zu haben oder dass sich bei "fast allen" Abfragen Fehler ergeben hätten. Nicht dargelegt werde weiter, welche konkreten Datenverknüpfungen unter Umständen zur Erstellung eines Persönlichkeitsprofils führten. Der Kläger habe weiter zu wenig bestimmt ausgeführt, welche Daten nicht für die Erteilung von Bonitätsauskünften benötigt würden. Er habe es sodann unterlassen, seine Tatsachenbehauptungen mit konkreten Beweismitteln zu untermauern. Stattdessen finde sich in Fussnoten wiederholt der Hinweis "siehe alle aufgeführten Beweise" oder es werde auf die Sachverhaltsfeststellung vom 16. Juni 2014 verwiesen, welche sie nicht akzeptiert habe.

2.3.2

2.3.2.1 Gemäss Art. 23 BZP hat die Klageschrift u.a. das Rechtsbegehren des Klägers (Bst. b) zu enthalten. Die Anforderungen an das Rechtsbegehren werden gesetzlich nicht umschrieben. Gemäss allgemeiner Lehre zum Zivilprozess kann es auf Leistung, Gestaltung oder Feststellung lauten. Der Kläger hat darin die Rechtsfolge festzulegen, die er beurteilt wissen will. Es gilt der Grundsatz, dass das Rechtsbegehren so bestimmt und präzis abgefasst sein muss, dass sich mit hinreichender Deutlichkeit erkennen lässt, was die klagende Partei anstrebt, und dass das Rechtsbegehren bei Gutheissung der Klage ohne Weiteres zum gerichtlichen Urteil erhoben werden kann (Frei/Willisegger in: Basler Kommentar zur schweizerischen Zivilprozessordnung, 2010, Art. 221 ZPO Rz. 4 ff.). Ist ein Rechtsbegehren unklar, widersprüchlich, unvollständig oder unbestimmt, so unterliegt es der Auslegung nach Treu und Glauben. Dabei darf auch die Klagebegründung herangezogen werden (Frei/Willisegger, a.a.O., Art. 221 ZPO Rz. 9). Zudem können Sinn und Zweck der Rechtsbegehren bei Unklarheiten durch Fragen seitens des Gerichts eruiert werden (Frei/Willisegger, a.a.O., Art. 221 ZPO Rz. 9). Demnach sind auch im Rahmen der Dispositionsmaxime gerichtliche Präzisierungen der klägerischen Rechtsbegehren möglich und zulässig (zum Ganzen Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 3.2 mit weiteren Hinweisen). Des Weiteren muss der Kläger die Tatsachen zur Begründung der Rechtsbegehren klar darlegen und entsprechende Beweismittel nennen (Art. 23 Bst. d und Bst. e BZP).

2.3.2.2 Auf Feststellung des Bestehens oder Nichtbestehens eines Rechtsverhältnisses kann gemäss Art. 25 BZP geklagt werden, wenn der Kläger ein rechtliches Interesse an sofortiger Feststellung hat. Entsprechend dem Inhalt anderer Prozessgesetze sowie gemäss der herrschenden Lehre muss das Rechtsbegehren also den Bestand oder Inhalt und den Umfang von Rechten oder Pflichten betreffen, die durch das Urteil festgelegt oder abgegrenzt werden sollen. Dagegen kann nicht eine blosse Rechtsfrage ohne die an sie zu knüpfende Rechtsfolge zum Gegenstand einer gerichtlichen Entscheidung gemacht werden. Denn damit wäre eben noch nicht über Rechte und Pflichten entschieden, also kein materiellrechtliches (Feststellungs-)Urteil gefällt (BGE 80 II 362 E. 3 mit weiteren Hinweisen).

Im Datenschutzrecht ist ein Feststellungsurteil v.a. aufgrund seiner präventiven Wirkung von Bedeutung, indem es verbindlich klarstellt, dass künftig eine derartige Datenbearbeitung nicht mehr erfolgen darf. Ein Feststellungsinteresse ist daher namentlich zu bejahen, wenn eine Persönlichkeitsverletzung weiterhin störende Auswirkungen nach sich zieht und einzig die Feststellung deren Widerrechtlichkeit geeignet ist, diese Folge zu beseitigen (Belser/Epiney/Waldmann, Datenschutzrecht, 2011, § 12 Rz. 177 mit weiteren Hinweisen bezüglich der Ansprüche einer betroffenen Person nach Art. 25 DSG, wobei derjenige auf Feststellung der Widerrechtlichkeit einer Datenbearbeitung subsidiär zu denjenigen auf Unterlassung und Beseitigung ist).

2.3.3

2.3.3.1 Im vorliegenden Falle beantragt der Kläger mit Rechtsbegehren 1 die Feststellung, dass die Beklagte im Rahmen der Erbringung ihrer Dienstleistungen über ihre Plattform Persönlichkeitsprofile ohne genügenden Rechtfertigungsgrund erstellt und damit die Persönlichkeit vieler Personen verletzt, also letztlich widerrechtlich Daten bearbeitet, und stellt damit eine Rechtsfrage unabhängig von der an sie anknüpfenden Rechtsfolge zur Debatte.

Es ist dem Kläger zuzustimmen, dass sein Rechtsbegehren zwar inhaltlich auf Bst. b-e seiner Empfehlung gründet und somit grundsätzlich im Rahmen des Streitgegenstands liegt (vgl. dazu auch vorangehende E. 2.2). Soweit er jedoch damit - wie geltend gemacht - bezweckt, weitere persönlichkeitsverletzende Datenbearbeitungen durch die Beklagte zu verhindern, ist dieses Rechtsbegehren materiell bereits in den Rechtsbegehren 2-5 enthalten, die auf Änderung oder Unterlassung dieser Datenbearbeitung - nämlich der ungerechtfertigten Erstellung von Persönlichkeitsprofilen - lauten. Sofern eine derartige Persönlichkeitsverletzung zu bejahen ist, was Gegenstand der nachfolgenden materiellen Prüfung sein wird (vgl. dazu gesamte E. 5), werden deren Auswirkungen mit Gutheissung der Rechtsbegehren 2-5 beseitigt, weshalb die Feststellung deren Widerrechtlichkeit sich erübrigt und ein entsprechendes Feststellungsinteresse zu verneinen ist (vgl. auch Art. 29 Abs. 3 DSG, wonach die Empfehlung des EDÖB auf Änderung oder Unterlassung einer Datenbearbeitung lauten soll). Demnach ist auf das klägerische Rechtsbegehren 1 nicht einzutreten.

2.3.3.2 Was die Rügen der Beklagten betreffend die Bestimmtheit der übrigen Rechtsbegehren betrifft, bleibt Folgendes festzuhalten:

Mit Bezug auf die in Rechtsbegehren 5 erwähnten Verlinkungen ergibt sich aus Rz. 75 der klägerischen Begründung, dass z.B. die Verlinkung von Luftaufnahmen- und Google Streetviewbildern mit der Wohnsituation betroffener natürlicher Personen gemeint ist und weshalb nach Ansicht des Klägers damit konkret Persönlichkeitsprofile erstellt würden. Weiter wird in Rz. 105 der Klageschrift festgehalten, dass Verlinkungen gemeint sind, welche es den Nutzern der Plattform der Beklagten vereinfachen, an weitere Informationen zu gelangen. Welche konkreten Datenverknüpfungen nach Ansicht des Klägers zur Erstellung eines Persönlichkeitsprofils führen, wird insbesondere in Rz. 75-77 der Begründung dargelegt. Rz. 148 f. der Klageschrift definieren sodann exakt, welche Daten im Rahmen von Bonitätsauskünften bearbeitet werden sollen; e contrario sind die übrigen Datenbearbeitungen nach Ansicht des Klägers hierfür nicht notwendig.

Was unter einer rechtsgenügenden Einwilligung im Zusammenhang mit der Erstellung von Persönlichkeitsprofilen zu verstehen ist, ergibt sich sodann aus den gesetzlichen Grundlagen (vgl. Art. 4 Abs. 5 DSG). Betreffend die Qualifizierung einer Datenbearbeitung als Erstellung eines Persönlichkeitsprofils im konkreten Einzelfall kann im Rahmen der materiellen Prüfung auf Literatur, Rechtsprechung und Materialien zurückgegriffen werden. Weshalb die Rechtsbegehren 2-5 aufgrund der Verwendung dieser unbestimmten Rechtsbegriffe unklar sein sollen, ist nicht ersichtlich.

Worauf der Kläger mit Rechtsbegehren 6 hinaus will, ergibt sich aus Rz. 111 der Klagebegründung, wonach bei der Personensuche auf www.zefix.ch nur ein Eintrag als Google-Suchresultat erscheint, wenn der Name und Zefix in die Suchmaschine eingegeben wird, die Eingabe des Namens alleine also nicht ausreichend ist bzw. keine direkte Verlinkung zu Personeneinträgen erfolgt und keine weiteren Angaben über private Lebensumstände der eingetragenen Person publiziert werden. Mit Bezug auf Rechtsbegehren 7 und das angepasste Rechtsbegehren 9 (vgl. Sachverhalt Q.) bleibt festzuhalten, dass diese Begehren, sofern sie im Dispositiv des Entscheids beziffert werden, vollstreckbar sind.

Der pauschale klägerische Hinweis auf die Sachverhaltsfeststellung vom 16. Juni 2014 und in den Fussnoten auf alle aufgeführten Beweise erscheint unter dem Aspekt der Substantiierungspflicht in einem reinen Zivilprozess in der Tat mangelhaft. Vorliegend gilt jedoch abweichend davon wie erwähnt der Grundsatz der Sachverhaltsabklärung von Amtes wegen (Art. 44 Abs. 2 VGG) Zudem verweist der Kläger des Öfteren auf Beweise zu gewissen Randziffern, welche dort konkret offeriert werden.

2.3.4 Die Rechtsbegehren 2-9 des Klägers sind demnach gemäss den anwendbaren Verfahrensgrundsätzen unter Beizug der Klagebegründung als hinreichend klar und bestimmt zu bezeichnen und lassen sich im Falle einer Gutheissung - allenfalls mit gerichtlichen Präzisierungen - zum Urteil erheben. Die Dispositionsmaxime führt demnach nicht dazu, dass die Rechtsbegehren des Klägers nicht zugelassen werden könnten. Da der Kläger auch die Tatsachen zur Begründung dargelegt und die entsprechenden Beweismittel genannt hat, erweist sich die Klage insofern als zulässig.

3.

3.1 Aus dem Gebot der Gewährung des rechtlichen Gehörs folgt der Anspruch auf Abnahme der von einer Partei angebotenen Beweise, soweit diese rechtserhebliche Tatsachen betreffen und nicht offensichtlich beweisuntauglich sind (BGE 127 I 54 E. 2b mit Hinweisen). Keine Verletzung des rechtlichen Gehörs liegt vor, wenn eine Behörde auf die Abnahme beantragter Beweismittel verzichtet, weil die antizipierte Beweiswürdigung ergibt, dass die betreffende Tatsache aus den Akten bereits genügend ersichtlich ist und angenommen werden kann, dass die Durchführung des Beweises im Ergebnis nichts ändern wird (statt vieler Urteil des BGer 2C_712/2011 vom 19. Januar 2012 E. 2.2 mit Hinweisen; BVGE 2012/15 E. 1.2.2 mit Hinweisen).

3.2 Die Beklagte hat u.a. diverse Mitarbeitende als Zeugen aufgeführt, um zu beweisen, dass ein grosser Teil der auf ihrer Plattform verfügbaren Daten bereits öffentlich zugänglich sei, keine besonders schützenswerten Daten bearbeitet würden, Daten ausschliesslich im Rahmen der Kundenbeziehung verwendet und nicht verknüpft würden sowie um den Ablauf des Abrufs von Informationen mittels Interessensnachweis und ihre Kontrolltätigkeit bezüglich missbräuchlicher Nutzung ihrer Dienstleistungen und bezüglich Richtigkeit der publizierten Daten darzulegen.

Da diese Tatsachen jedoch bereits aufgrund eines Augenscheins der Plattform mit den seitens der Beklagten gewährten Zugangsdaten sowie aus dem eingereichten Bearbeitungsreglement und Datenschutzkonzept sowie aus der sich ebenfalls bei den Akten befindlichen Dokumentation der Prozesse im Kundendienst und bei der Überprüfung der Bonitätsabonnemente ersichtlich sind, kann in antizipierter Beweiswürdigung auf die Einvernahme der aufgeführten Zeugen verzichtet werden. Dass die Beklagte keine besonders schützenswerten Personendaten i.S.v. Art. 3 Bst. c DSG bearbeitet, wird im Übrigen vom Kläger nicht bestritten, weshalb darüber ohnehin kein Beweis zu erheben ist.

4.
Das DSG ist auf den vorliegenden Sachverhalt ungeachtet einer allfälligen Qualifikation des Handelsregisters als öffentliches Register i.S.v. Art. 2 Abs. 2 Bst. d DSG anwendbar, da die Beklagte eine private Datenplattform betreibt (vgl. dazu ausführlich Urteil des BVGer A-4086/2007 vom 26. Februar 2008 gesamte E. 3.1 mit weiteren Hinweisen).

Bei den Daten, die auf www.moneyhouse.ch veröffentlicht werden, handelt es sich um Personendaten i.S.v. Art. 3 Bst. a DSG, weil sie Angaben über bestimmte oder bestimmbare juristische und natürliche Personen beinhalten (vgl. zum Begriff der Personendaten statt vieler BGE 138 II 346 E. 6.1 mit weiteren Hinweisen). Sodann umfasst die Tätigkeit der Beklagten das Bearbeiten, insbesondere das Bekanntgeben von Personendaten gemäss Art. 3 Bst. e und f DSG. Der über Internet zugängliche Bestand dieser Personendaten mit ca. (...) Einträgen stellt eine Datensammlung gemäss Art. 3 Bst. g DSG dar. Die seitens der Beklagten praktizierte Weitergabe von Informationen über die Plattform www.moneyhouse.ch ist sodann geeignet, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen und gilt in diesem Sinne als Systemfehler gemäss Art. 29 Abs. 1 Bst. a DSG (vgl. zu diesem Begriff ausführlich Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 1.1 mit weiteren Hinweisen und auch vorne E. 1). Aus diesem Grund ist der Kläger zur Abgabe einer Empfehlung an die im privatrechtlichen Bereich handelnde Beklagte berechtigt (vgl. zum Ganzen Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 3.2 mit Bezug auf die Weitergabe von Handelsregisterinformationen).

5.
Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen (Art. 12 Abs. 1 DSG). Insbesondere dürfen Personendaten nicht entgegen den Grundsätzen von Art. 4 DSG bearbeitet (Art. 12 Abs. 2 Bst. a DSG) oder ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekanntgeben werden (Art. 12 Abs. 2 Bst. c DSG).

Dass es sich bei den auf der Plattform der Beklagten bekanntgegebenen Daten nicht um besonders schützenswerte Personendaten i.S.v. Art. 3 Bst. c DSG handelt, ist unbestritten (vgl. auch vorne E. 3.2). Den Rechtsbegehren 2-5 liegt jedoch die Rechtsfrage zugrunde, ob dieselben, gesetzlich vorgesehenen verstärkten Schutzmechanismen greifen, weil die Beklagte im Rahmen der Erbringung ihrer Dienstleistungen Persönlichkeitsprofile i.S.v. Art. 3 Bst. d DSG bearbeitet. Fraglich ist mithin also, ob ihre Datenzusammenstellung eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt (der legaldefinierte Begriff der Bearbeitung von Persönlichkeitsprofilen bezieht sich nur auf natürliche, mithin also nicht auf juristische Personen; vgl. statt vieler Gabor P. Blechta in: Basler Kommentar zum DSG und BGÖ, 3. Aufl. 2014, Art. 3 DSG Rz. 69).

5.1 Der Kläger macht geltend, die Beklagte bearbeite Persönlichkeitsprofile und gebe sie Dritten bekannt, ohne sich dafür auf einen rechtsgenügenden Rechtfertigungsgrund zu stützen.

Die Beklagte hingegen erklärt, keine Persönlichkeitsprofile zu bearbeiten. Die von ihr bearbeiteten Daten seien nicht geeignet, Rückschlüsse auf wesentliche Aspekte der Persönlichkeit zuzulassen. Zudem handle es sich dabei vornehmlich um Daten, die bereits veröffentlicht seien und nach gesetzgeberischem Willen transparent gemacht werden sollten. Diese würden zur Bonitätsprüfung erhoben und sich lediglich auf wirtschaftliche Aspekte betroffener Personen beziehen und liessen somit keine Bewertung wesentlicher Persönlichkeitsaspekte zu. Zudem dürften ihr ohnehin lediglich diejenigen Nutzungen verboten werden, welche effektiv zur Erstellung von Persönlichkeitsprofilen führten. Sämtliche vom Kläger genannten Informationen seien nur betreffend wenige Personen abrufbar. Die klägerischen Rechtsbegehren in diesem Zusammenhang seien unverhältnismässig, da sie nicht nur Premium User, sondern sämtliche Benutzer ihrer Plattform betreffen würden. Die Beklagte erklärt, die Zusatzangaben seien zum Schutz von Gläubigern und Schuldnern bekanntzugeben. Würde nur ein Datenausschnitt angeboten, könnte dieser für sich alleine betrachtet im Rahmen des jeweiligen konkreten Zwecks - insbesondere bei der Beurteilung der Kreditwürdigkeit - ein falsches Bild einer juristischen oder natürlichen Person vermitteln. Informationen betreffend Haushalt und Wohnsituation dienten lediglich der klaren Identifikation der gesuchten Person und liessen Rückschlüsse auf die wirtschaftliche Leistungsfähigkeit und bestehende wirtschaftliche Verpflichtungen der betreffenden Person zu und seien daher ebenso bonitätsrelevant. Eine Einschränkung der Datenbekanntgabe auf blosse Identifikationsinformationen sei im Übrigen im Hinblick auf die ihrerseits angebotene Dienstleistung der Bonitätsprüfung unverhältnismässig. Zudem definiere der Kläger diejenigen Daten, welche zur eindeutigen Identifikation einer Person notwendig seien, zu eng.

Weiter erklärt die Beklagte, auch Premium User könnten all diese Daten von natürlichen Personen nur abrufen, wenn die betroffene Person diese z.B. in einem elektronischen Telefonbuch offengelegt oder auf andere Weise zugänglich gemacht habe bzw. wenn sie aus einem amtlichen Register stammten. Angaben wie Anzahl Haushalte im Gebäude, Bauperiode und Anzahl Etagen seien auf die Immobilie bezogen und stellten keine persönlichkeitsrelevanten Daten dar. Schliesslich erklärt die Beklagte, die Informationen betreffend Baugesuche und -bewilligungen nicht mit den übrigen, auf ihrer Plattform abrufbaren Informationen zu verknüpfen. Der Zugriff auf diese Daten sei sodann auf 14 Tage ab deren Publikation beschränkt.

5.2

5.2.1 Nicht jede Datenkombination lässt die Beurteilung wesentlicher Aspekte der Persönlichkeit zu und stellt somit ein Persönlichkeitsprofil dar. Mit der Einführung dieses Begriffs wollte der Gesetzgeber dem Umstand Rechnung tragen, dass eine Vielzahl an sich nicht besonders schützenswerter Daten zu einem spezifischen Bild über die betroffenen Personen verdichtet werden können, das als solches ein erhöhtes Risiko für die Persönlichkeit generiert (Blechta, a.a.O., Art. 3 DSG Rz. 62 ff., vgl. auch Urteil des BVGer A-8073/2015 vom 13. Juli 2016 E. 6.1.3 mit weiteren Hinweisen).

Ein Persönlichkeitsprofil ist eine Zusammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Persönlichkeitsprofile können zum Beispiel bei Sicherheitsüberprüfungen oder im Rahmen eines Anstellungsverhältnisses entstehen. Aber auch Datensammlungen über das Konsumverhalten oder über schulische und berufliche Qualifikationen sind geeignet, mindestens ein Teilbild der betroffenen Personen zu ergeben. Entscheidend ist, dass auch durch die systematische Zusammenstellung von an sich nicht besonders schützenswerten Daten (z. B. über Lesegewohnheiten, Reise- und Freizeitaktivitäten) sensitive Bereiche einer Person, z. B. ihre Weltanschauung, erschlossen werden können. Infolge der technologischen Entwicklung der letzten Jahre haben die Speicherfähigkeit, Durchlässigkeit und Vernetzung von Informationen enorm zugenommen (vgl. Schweizer/Bischof, Der Begriff der Personendaten, digma 11/2011, S. 156 f. und BGE 138 II 346 E. 10.6.2). Da mit Hilfe elektronischer Datenverarbeitung personenbezogene Informationen in beliebigem Umfang gespeichert, verknüpft und reproduziert werden können, lassen sich auch an sich harmlose Informationen, die ohne Weiteres der Öffentlichkeitssphäre zuzurechnen wären, zu eigentlich schützenswerten Persönlichkeitsprofilen verdichten (BGE 138 II 346 E. 8.2; zur sog. Sphärentheorie, welche die Lebensbereiche des Menschen dreiteilt vgl. Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 3.3.3 mit weiteren Hinweisen). Durch diese Speicher- und Auswertungsmöglichkeiten der automatischen Datenverarbeitung und durch die Verknüpfung automatisierter Datenbestände ist die Erstellung von Persönlichkeitsprofilen leichter und häufiger geworden (vgl. auch Thomas Probst, Die Verknüpfung von Personendaten und deren rechtliche Tragweite in: Datenverknüpfung, Problematik und rechtlicher Rahmen, 2011, S. 3, der davon spricht, dass durch den technischen Fortschritt auf dem Gebiet der elektronischen Kommunikation und Datenverarbeitung das natürliche Phänomen der Datenverknüpfung zu einem rechtlichen Grundproblem geworden ist). Die miteinander verknüpften Personendaten erreichen relativ rasch eine Informationsdichte, die Verhaltensmuster und Persönlichkeitsprofile erkennen lassen (Probst, a.a.O., S. 30). Die Betroffenen haben oft keine Kenntnis vom Bestehen eines Profils und können so dessen Richtigkeit und Verwendung nicht kontrollieren. Einmal erstellt, können aber Persönlichkeitsprofile den Betroffenen der Freiheit berauben, sich so darzustellen, wie er will. Sie vermögen mithin die Entfaltung der
Persönlichkeit wesentlich zu beeinträchtigen. Deshalb sollen sie, gleich wie besonders schützenswerte Daten, nur unter bestimmten Voraussetzungen erstellt und bearbeitet werden dürfen (zum Ganzen Botschaft vom 23. März 1988 zum DSG, BBl 1988 II 413 ff., 446 f. und Blechta, a.a.O., Art. 3 DSG Rz. 63; vgl. auch VPB 65.48 E. 2.a).

Für die Frage, ob eine Zusammenstellung mehrerer Daten einer bestimmten Person ein Persönlichkeitsprofil ergibt, kommt es zum einen auf die Menge und den Inhalt der personenbezogenen Informationen an, mit anderen Worten ob und inwiefern diese Werturteile über die betroffene Person erlauben. Man muss überdies nach der zeitlichen Dimension der Informationen differenzieren. Personendaten, die über einen längeren Zeitraum zusammengetragen werden und dadurch gleichsam ein biografisches Bild ergeben, indem sie eine Entwicklung, einen Werdegang der betroffenen Person aufzeigen, sind eher als Persönlichkeitsprofil zu qualifizieren als Daten, die eine blosse Momentaufnahme darstellen. Im Weiteren wird unter Umständen der konkrete Zusammenhang, in dem die Daten verwendet werden, mit entscheidend dafür sein, ob der qualifizierte gesetzliche Schutz zum Tragen kommen soll oder nicht. Der Begriff des Persönlichkeitsprofils kann somit nicht generell definiert werden, vielmehr ist das Vorliegen eines Persönlichkeitsprofils im Einzelfall aufgrund der konkreten Umstände zu bejahen oder zu verneinen (VPB 65.48 E. 2.b).

Ein Gesamtbild der betroffenen Person zu ergeben vermögen nach bundesgerichtlicher Rechtsprechung z.B. die in einem Einbürgerungsverfahren zu machenden detaillierten Angaben über Herkunft, Einkommen, Vermögen, Ausbildung, Tätigkeit, Sprachkenntnisse, Familienverhältnisse, Freizeitgestaltung, Leumund etc. (BGE 129 I 232 E. 4.3.2). Als Beispiel einer möglichen Bearbeitung von Persönlichkeitsprofilen gelten neben der Aufzeichnung von Kundengewohnheiten und -präferenzen, der personalisierten Auswertung von Kreditkartentransaktionen, der Bearbeitung von Angaben über Charaktereigenschaften, Sozialverhalten und weiteren persönlichen Informationen von Mitarbeitenden durch die Arbeitgebenden auch Bonitätsprüfungen, die sachwidrige Kriterien - wie etwa den Wohnsitz - infolge ihrer statistischen Relevanz zur Bonitätsbeurteilung heranziehen (Blechta, a.a.O., Art. 3 DSG Rz. 67).

Im Übrigen reicht die einzelne Bekanntgabe eines Persönlichkeitsprofils; eine regelmässige Bekanntgabe oder das - vorliegend ohnehin zu bejahende - Führen einer Datensammlung ist nicht erforderlich (Rosenthal, a.a.O., Art. 12 Abs. 2, Rz. 46).

5.2.2 Im vorliegenden Fall ist zwischen folgenden Sachverhalten zu unterscheiden:

Nicht registrierte Besucher der Plattform können die Suchfunktion nach Privatpersonen auf www.moneyhouse.ch nicht einsetzen, sondern lediglich auf die ebenfalls im Handelsregister ersichtlichen Daten zugreifen oder aber insbesondere natürliche Personen indirekt suchmaschinenindexiert, z.B. via Google-Suche auffinden. Auch der Wohnort und die Nationalität von im Handelsregister eingetragenen natürlichen Personen können - sofern dort aufgeführt - ermittelt werden. Ebenfalls zugänglich sind Jobangebote, Baugesuche und -bewilligungen, Miet- und Kaufangebote von Immobilien, ein Branchenverzeichnis sowie eine Auflistung von Konkursen und Gesellschaftsgründungen. Die Beklagte sammelt von nicht registrierten Besuchern ihrer Plattform Informationen betreffend den verwendeten Internet-Browser, die Anzahl Besuche, die durchschnittlicher Verweilzeit und die aufgerufenen Seiten. Weiter werden sog. Cookies eingesetzt, welche die besuchte Website über den Browser im Rechner des Besuchers platziert und die so Informationen über jeden neuen Besuch der Website senden. Monatlich sollen (...) nicht registrierte Nutzer die Plattform besuchen.

Registrierten Nutzern werden zusätzliche Daten bekannt gegeben. Der Zugang erfolgt passwortgeschützt und nachdem die Nutzungsbedingungen akzeptiert wurden. Der Abruf von Informationen erfolgt unentgeltlich. Kostenlos registrierte Nutzer können von der Firmensuche Gebrauch machen und so Angaben von natürlichen Personen abrufen, die im Handelsregister eingetragen sind, wie z.B. Informationen über aktuelle und frühere Verwaltungsratsmitglieder, Zeichnungsberechtigte und Revisionsstellen. Die Suchfunktion betreffend natürliche Privatpersonen können sie eingeschränkt benutzen: Es kann die genaue Adresse einer natürlichen, nicht im Handelsregister eingetragenen Person abgefragt sowie deren Telefonnummer, wenn diese in einem über das Internet zugänglichen Telefonverzeichnis wie www.local.ch eingetragen ist. Mit der Anzeige der gesuchten Person macht die Beklagte registrierte Nutzer darauf aufmerksam, welche zusätzlichen Informationen als sog. Premium User abrufbar wären. Dabei wird der entsprechende Link zum Abschluss eines solchen Abonnements eingeblendet. Weiter können kostenlos registrierte Nutzer zwei juristische Personen überwachen lassen und einen Handelsregisterauszug bestellen. Die Beklagte meldet dem betreffenden Nutzer diesfalls alle Änderungen der Daten der überwachten juristischen Person. Monatlich sollen durchschnittlich (...) registrierte Nutzer die Website der Beklagten besuchen.

Bei spezifischer Suche nach natürlichen, nicht im Handelsregister verzeichneten Personen gibt die Beklagte auf ihrer Plattform registrierten Nutzern, die ein entgeltliches Premiumabonnement abgeschlossen haben, nebst Vor- und Nachnamen teilweise weitere Hintergrundinformationen betreffend die gesuchte Person bekannt, wie z.B. Wohnort, Postleitzahl, Geburtsdatum und damit Alter, aktueller Beruf und beruflicher Werdegang, Haushaltsmitglieder und Wohnsituation mit Verlinkung auf Google Street View-Bilder sowie Nachbarn und alte Adressen/Wohnorte. Zusätzlich werden Angaben zum Gebäudetyp, zu den Anzahl Haushalten im Gebäude, zur Bauperiode, zu den Baukosten und zur Anzahl Etagen gemacht. Konkret bestehen diverse Verlinkungen, nebst "Finanzielles" auch "Privates" (Wohnsituation, Haushalt und Nachbarn, Wohnorte) "Wer wohnt im gleichen Haushalt?" und "Nachbarn". Unter dem Link "Haushalt und Nachbarn" zur gesuchten Person bestehen Fragen wie "Mit wem wohnt die gesuchte Person zusammen? Wohnt sie alleine? Und wer sind ihre Nachbarn? Wem gehört die Immobilie, in der sie wohnt?" "Nachfolgend erfahren Sie, welche Personen an derselben Strasse wohnhaft sind und welche Firmen an dieser Strasse ihren Sitz haben." Unter dem Link "Wohnorte" zur gesuchten Person finden sich Fragen wie "Wo lebt sie aktuell und wo hat sie früher gewohnt? Wie lebte sie früher? In einem Einfamilienhaus oder in einer Wohnung?". Zu Haushaltmitgliedern und Nachbarn sind teilweise Angaben wie Name und Vorname, Geburtsdatum/Alter sowie Beruf ersichtlich und es ist mit Bezug auf diese Personen ebenfalls eine Bonitätsabfrage möglich. Unter der Wohnsituation zur gesuchten Person stehen Fragen wie "Wie wohnt sie? Wohnt sie zur Miete oder hat sie die Immobilie gekauft?". Im Rahmen der Suche nach juristischen Personen können die sog. Premium User zusätzlich Informationen betreffend den Inhaber eines Unternehmens sowie Beteiligungen einer juristischen Person und eine detaillierte Darstellung ihres Netzwerks abrufen. Ebenfalls möglich ist diesfalls die unlimitierte Überwachung von juristischen Personen. Weiter können Bonitätsauskünfte und Informationen betreffend die Zahlungsmoral von juristischen und natürlichen Personen eingeholt werden. Im Rahmen von Bonitätsabfragen werden Details zur gesuchten Person wie Vorname, Name, Geburtsdatum/Alter, Adressen und Adress- und Personenstatus (passiv
oder aktiv, wobei Letzteres bedeutet, dass die Person weder bevormundet noch minderjährig noch verstorben ist), zu Zahlungsstörungen, sowie eine Gesamtbeurteilung mittels einer Bonitätsampel (rote, gelbe oder grüne Anzeige) bekannt gegeben.

5.2.3 Die Rechtsbegehren 2-5 des Klägers beschränken sich implizit auf die Datenbekanntgabe gegenüber registrierten Nutzern, die ein entgeltliches Premiumabonnement abgeschlossen haben, da die übrigen Benutzer keinen Zugang zu anderen als bonitätsrelevanten und der Identifizierung dienenden Daten erhalten. Unter Bonitätsdaten sind hierbei Informationen, welche die Kreditwürdigkeit - also die Zahlungsfähigkeit und -willigkeit (Rosenthal, a.a.O., Art. 13 Rz. 49) - der betroffenen Person positiv oder negativ beeinflussen, zu verstehen (vgl. Marc Frédéric Schäfer, Aktuelle Fälle aus der Praxis des EDÖB - Kreditauskunfteien und die Bearbeitung von Bonitätsdaten in: Datenverknüpfung, Problematik und rechtlicher Rahmen, 2011, S. 62). Daten zur Identifizierung einer Person wie z.B. Name, Vorname, Geburtsdatum und Adresse sind keine Bonitätsdaten im eigentlichen Sinn. Sofern solche Daten jedoch öffentlich zugänglich sind, dürfen sie von Kreditauskunfteien grundsätzlich bearbeitet, d.h. insbesondere gespeichert, werden (Schäfer, S. 63). Der Rechtfertigungsgrund der Kreditüberprüfung nach Art. 13 Abs. 2 Bst. c DSG gilt demnach für die Bearbeitung solcher Daten, die zur Identifikation der betroffenen Person und zur Überprüfung ihrer Kreditwürdigkeit geeignet und erforderlich sind, so insbesondere Vorname, Name, Geburtsdatum, Adresse, Betreibungen, Konkurse, Nachlassverfahren sowie entsprechende Gesuche, Verlustscheine, einvernehmliche Schuldensanierungen, abgelehnte Kreditanträge, nicht zurückbezahlte Kredite, Kreditkartensperrungen infolge Verzugs oder Missbrauchs, Zahlungsrückstände und Inkassoverfahren, solange damit nicht Persönlichkeitsprofile bearbeitet werden (Rampini, a.a.O., Art. 13 DSG Rz. 36). Da die Beklagte die Bonitätsprüfung nicht selber durchführt, benötigt sie nach Ansicht des Klägers für die Erteilung der Bonitätsauskünfte lediglich die zur zweifelsfreien Identifizierung notwendigen Daten wie Vorname, Name, aktuelle Adresse, zwei bisherige Adressen und das Geburtsdatum (Rz. 148 der Klageschrift).

5.2.4 Betreffend die aus dem Handelsregister ersichtlichen Daten ist eine Datenbearbeitung an sich gerechtfertigt, solange diese Daten unverändert übernommen werden (Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 5.2.8 f. sowie E. 5.3 f.). Die vorliegende, davon zu unterscheidende Frage ist, wie es sich in rechtlicher Hinsicht verhält, wenn diese Daten mit weiteren verknüpft werden. Die von der Beklagten angebotenen Recherchemöglichkeiten betreffend natürliche Privatpersonen basieren nämlich auf der Verknüpfung von Datensätzen bzw. erlauben eine solche, womit eine natürliche Person in einem bestimmten Zusammenhang gezeigt wird, der über den Informationsgehalt der Ursprungsdaten im Handelsregister hinausgeht (vgl. auch Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 5.2.8).

Für die Qualifikation einer Zusammenstellung von Personendaten als Persönlichkeitsprofil ist mit dem Kläger einig zu gehen, dass die Herkunft der Daten bzw. die Art der Datenquelle unerheblich ist. Vielmehr entscheidend sind Menge und Inhalt der verknüpften Daten (VPB 65.48 E. 2b und vorne E. 5.2.1). Daher ist es in diesem Zusammenhang unerheblich, ob die strittigen Daten bereits zugänglich gemacht worden sind oder nicht. Bei Daten aus öffentlichen Quellen wie dem Handels- oder Steuerregister, aus Amtsblättern oder dem Grundbuch konnten die betroffenen Personen zudem aufgrund der entsprechenden gesetzlichen Verpflichtungen zur Datenbekanntgabe deren Art und Umfang nicht bestimmen. Relevant ist vorliegend einzig, ob die Verknüpfung von Informationen - auch von solchen, welche der Öffentlichkeit bereits zugänglich oder welche nicht besonders schützenswert i.S. des DSG sind - Aufschluss über einen oder mehrere wesentliche Aspekte der Persönlichkeit gibt (vgl. vorne E. 5.2.1). Auch wenn es sich also bei sämtlichen bekanntgegebenen Daten nur um solche handeln würde, die bereits öffentlich zugänglich wären, so stünde diese Tatsache einer Qualifikation der praktizierten Datenverknüpfung als Persönlichkeitsprofil nicht entgegen.

5.2.5 Die Tatsache, dass der Gesetzgeber den Betrieb von Auskunfteien mit Art. 13 Abs. 2 Bst. c DSG ermöglichen wollte, legt den Umkehrschluss nahe, dass diejenigen Daten, die eine Auskunftei im Rahmen ihres zweckmässigen Betriebs bearbeiten muss, noch nicht ein Persönlichkeitsprofil generieren (Christoph Hofer, Datenschutz im Handel mit Bonitätsdaten in: Datenschutzrecht, Beraten in der Privatwirtschaft und öffentlicher Verwaltung, 2015, Rz. 16.41). Fraglich ist also, ob die bearbeiteten Daten zur Erteilung von Bonitätsauskünften notwendig sind.

5.2.5.1 Premium Usern werden im Rahmen der Privatpersonensuche wie erwähnt (vgl. vorne E. 5.2.2) sofern verfügbar folgende Daten natürlicher Personen bekanntgegeben: Name, Vorname, Strasse, Wohnort, Postleitzahl, Alter, Geburtsdatum, Beruf, Haushalt und Nachbarn, Wohnsituation und frühere Wohnorte. Falls die natürliche Person in einem Handelsregistereintrag erwähnt ist, werden die entsprechenden Informationen ebenfalls bekannt gegeben, d.h. die Funktion, Zeichnungsberechtigung und wenn vorhanden die Nationalität. Premium User können also in Erfahrung bringen, wie eine natürliche Person lebt, wo und wie sie wohnt - alleine oder mit wem zusammen - und wer ihre Nachbarn sind. Zu Haushaltmitgliedern und Nachbarn sind Angaben wie Name/Vorname, Geburtsdatum/Alter, Beruf ersichtlich und es ist diesbezüglich ebenfalls eine Bonitätsabfrage möglich. Damit wird zumindest die Privatsphäre der betroffenen Personen tangiert, auch wenn es sich dabei nicht um besonders schützenswerte, der Intimsphäre zuzuordnende Daten i.S.v. Art. 3 Bst. c DSG handelt (zur sog. Sphärentheorie, welche die Lebensbereiche des Menschen dreiteilt vgl. Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 3.3.3 mit weiteren Hinweisen).

Wer beispielsweise einen Betreibungsregisterauszug einholen möchte, benötigt nebst Name und Vorname auch den aktuellen Wohnort und allenfalls vorherige Adressen der betreffenden Person. Zur zweifelsfreien Identifizierung einer Person beanstandet der Kläger weiter nicht, dass das Geburtsdatum dieser Person bekannt gegeben wird. Inwiefern jedoch Geburtsdaten bzw. das Alter von Familienmitgliedern, deren Namen und vor allem auch die entsprechenden persönlichen Angaben zur Nachbarschaft, teilweise inklusive beruflicher Tätigkeit, systematisch bonitätsrelevant sein sollen, ist nicht nachvollziehbar. Grundsätzlich stellen auf eine Immobilie bezogene Informationen zwar keine persönlichkeitsrelevanten Daten dar, aber die damit verbundene Bekanntgabe der privaten Wohn- und Lebenssituation geht über die für eine zweifelsfreie Identifikation und Beurteilung der Kreditwürdigkeit einer natürlichen Person notwendige Verknüpfung von Handelsregisterinformationen mit deren Daten, z.B. betreffend Verbindungen zu Gesellschaften, hinaus (zu dieser Verknüpfung vgl. Hofer, a.a.O., Rz. 16.1 ff., Rz. 16.55; vgl. auch vorne E. 5.2.1 i.f. zur Heranziehung des Wohnsitzes als sachwidriges Kriterium zur Beurteilung der Bonität). Diese Informationen zu privaten, beruflichen und wirtschaftlichen Lebensumständen lassen persönlichkeitsrelevante Schlüsse zu.

Die Beklagte argumentiert, aufgrund der Wohn- und Lebenssituation einer Person liessen sich allenfalls Rückschlüsse auf weitere finanzielle Verpflichtungen ehe- und familienrechtlicher Art und auf deren Bonität im Allgemeinen ziehen. So mache es beispielsweise einen Unterschied, ob jemand in einer Villa am See oder in einer "Mietskaserne" wohne, kinderlos sei oder acht Kinder habe (vgl. Protokoll zur Hauptverhandlung vom 23. Januar 2017, S. 3 und S. 5). Tendenziell lassen sich aus derartigen Angaben zwar mit Bezug auf die finanziellen Verhältnisse einer natürlichen Person Schlussfolgerungen ziehen und auch genau deshalb wird damit ein wesentlicher Teilaspekt der Persönlichkeit beleuchtet. Die Angaben können jedoch ebenso zu falschen Annahmen führen und belegen die Kreditwürdigkeit einer natürlichen Person somit nicht zuverlässig. So kann jemand, der in einer Villa mit Seeanstoss wohnt, verschuldet sein oder eine vermögende, sparsame Person in einer kleinen Wohnung leben oder acht Kinder und keine finanziellen Probleme haben oder im umgekehrten Fall kinderlos sein und Schulden haben. Weiter lassen sich aufgrund der Verknüpfung der bekanntgegebenen Daten allenfalls Rückschlüsse auf besonders schützenswerte Personendaten i.S.v. Art. 3 Bst. c DSG ziehen, insbesondere auf die sexuelle Gesinnung. Mittels Informationen zu Wohnpartnern und deren Alter lässt sich nämlich allgemein - nicht nur in Bezug auf gleichgeschlechtliche Paare, auf welche der Kläger hinweist - auf die sexuelle Orientierung der betreffenden Personen schliessen oder aber es werden falsche Annahmen getroffen, so wenn Studienkollegen oder gute Freunde zusammen wohnen. Ebenso sind unter Umständen Rückschlüsse auf den gesundheitlichen Zustand einer Person möglich, z.B. wenn als Wohnadresse ein Pflege- oder Altersheim vermerkt ist, oder auf die religiöse Zugehörigkeit: Bei einer Stiftungsratspräsidentin einer christlichen Wohngemeinschaft liegt nämlich - wie der Kläger darlegt - in der Tat der Schluss nahe, dass sie selbst Christin ist.

5.2.5.2 Die Bearbeitung von Persönlichkeitsprofilen mittels der von der Beklagten praktizierten Bekanntgabe der gesammelten Daten ist somit im folgenden Fall zu bejahen: Die Beklagte gibt registrierten und zahlenden Benutzern nebst den zur Identifizierung benötigten Angaben wie Name, Vorname, aktuelle Adresse und allenfalls Geburtsdatum - sofern die entsprechenden Daten vorhanden sind - systematisch verknüpfte Informationen zur privaten Wohn- und Lebenssituation betroffener natürlicher Personen, d.h. betreffend ihre Haushaltsmitglieder und Nachbarn, und damit zu einem wesentlichen Teilaspekt ihrer Persönlichkeit bekannt. Bei im Handelsregister verzeichneten Personen wird zusätzlich die Nationalität bekanntgegeben sowie ihr beruflicher Werdegang und ihr berufliches Netzwerk, womit ein weiterer Teilbereich der Persönlichkeit betroffen ist. Premium User können sodann mit Hilfe der von der Beklagten angebotenen Dienstleistungen wie Bonitäts-, Steuer- und Grundbuchauskünften selbst relativ simpel Persönlichkeitsprofile gesuchter Personen erstellen oder weiterbearbeiten.

Die Argumentation der Beklagten, wenn sie nur ein Datenausschnitt anbieten würde, könnte dieser für sich alleine betrachtet im Rahmen der Beurteilung der Kreditwürdigkeit ein falsches Bild einer juristischen oder natürlichen Person vermitteln, mag zutreffen, ändert jedoch mit Bezug auf natürliche Personen nichts daran, dass mit der im Rahmen eines Premiumabonnements bearbeiteten Daten unter den vorgenannten Umständen ein Persönlichkeitsprofil erstellt wird.

Selbst wenn die systematische Bonitätsrelevanz von Daten betreffend die private Wohn- und Lebenssituation bejaht würde, würde dies die seitens der Beklagten praktizierte Datenbekanntgabe nicht rechtfertigen, da die Erstellung eines Persönlichkeitsprofils wie erwähnt zu bejahen ist.

Fraglich ist sodann, ob auch in Bezug auf diejenigen Haushaltsmitglieder und Nachbarn von betroffenen Personen, die namentlich erwähnt und von denen ebenfalls die Wohnverhältnisse und teilweise das Alter und die berufliche Tätigkeit bekannt gegeben werden, die Bearbeitung eines Persönlichkeitsprofils zu bejahen wäre, womit ebenfalls deren diesbezügliche explizite Einwilligung benötigt würde. Da die klägerischen Rechtsbegehren sich auf die Bearbeitung von Persönlichkeitsprofilen mit Bezug auf Personen, über die Bonitätsauskünfte eingeholt werden, beschränken, hat diese Frage vorliegend offen zu bleiben (vgl. auch vorne E. 2.2.1).

5.3 Als Zwischenfazit bleibt festzuhalten, dass mit Bezug auf diejenigen Datenverknüpfungen, wie sie teilweise im Rahmen von Premiumabonnementen vorgenommen werden, ein biografisches Bild erstellt wird, sofern nebst Name und Vorname sowie Geburtsdatum auch die Lebens- und Wohnsituation in Form von ebenfalls persönlichkeitsrelevanten Angaben betreffend die Haushaltsmitglieder und Nachbarn einer natürlichen Person bekannt gegeben werden. Dies muss umso mehr gelten, wenn zusätzlich frühere Wohnorte bekannt gegeben und Angaben zu beruflichen Tätigkeiten gemacht werden. Die bekannt gegebenen Angaben über Leumund, Familienverhältnisse, Ausbildung bzw. berufliche Tätigkeit und Wohnverhältnisse vermögen ein Teilbild der betroffenen Person zu ergeben, womit die Bearbeitung eines Persönlichkeitsprofils zu bejahen ist. Die Beklagte ermöglicht Premium Usern zudem mittels entsprechender Verlinkungen auf ihrer Plattform, welche diese Informationen miteinander verknüpfen, die Weiterbearbeitung von Persönlichkeitsprofilen.

5.4 Die Bekanntgabe von Persönlichkeitsprofilen stellt eine qualifizierte Form der Datenbearbeitung dar, die ein erhöhtes Risiko einer Persönlichkeitsverletzung aufweist, da nicht nur die Berechtigung der bearbeitenden, sondern auch jene der empfangenden Person zu hinterfragen ist (Amédéo Wermelinger in: Stämpflis Handkommentar zum DSG, 2015, Art. 12 Rz. 8). Die Rechtmässigkeit der Weitergabe von Persönlichkeitsprofilen an Dritte hängt vom Vorliegen eines Rechtfertigungsgrunds, d.h. der expliziten Einwilligung der betroffenen Person oder einer gesetzlichen Grundlage, ab. Zudem sind insbesondere die Prinzipien der Verhältnismässigkeit und der Zweckbindung zu beachten. Die Weitergabe einer Datensammlung kann grundsätzlich ohne Rechtfertigungsgrund zulässig sein, sofern nicht - wie vorliegend - einzelne Persönlichkeitsprofile darin enthalten sind, welche eben gemäss Art.12 Abs. 2 Bst. c DSG nach einem Rechtfertigungsgrund verlangen (Corrado Rampini in: Basler Kommentar zum DSG und BGÖ, a.a.O., Art. 12 DSG Rz. 14 mit weiteren Hinweisen). Mit Bezug auf den Rechtfertigungsgrund der überwiegenden öffentlichen und privaten Interessen gilt es zu berücksichtigen, ob nur vereinzelt, zufällig oder ausnahmsweise Persönlichkeitsprofile generiert werden oder nicht. Die Schwere der Persönlichkeitsverletzung der betroffenen Person beurteilt sich im Fall der konkreten Bekanntgabe nach objektiven Kriterien. Es ist danach zu fragen, welches tatsächliche Interesse eine vernünftige Person in der Situation der betroffenen Person nachvollziehbarerweise daran hat, dass das sie betreffende Persönlichkeitsprofil nicht wie vorgesehen bekannt gegeben wird (Rosenthal, a.a.O., Art. 12 Abs. 2, Rz. 48).

Zu prüfen bleibt also in einem zweiten Schritt, ob die Beklagte sich für die vorangehend bejahte Bearbeitung von Persönlichkeitsprofilen auf einen -anderen als den vorliegend nicht einschlägigen Art. 13 Abs. 2 Bst. c DSG (vgl. dazu vorne E. 5.2.3) - Rechtfertigungsgrund nach Art. 13 Abs. 1 DSG stützen kann.

5.4.1 Eine entsprechende gesetzliche Grundlage ist nicht ersichtlich. Zur rechtmässigen Bearbeitung von Persönlichkeitsprofilen ist nach Art. 4 Abs. 5 zweiter Satz DSG eine explizite Einwilligung der betroffenen Person notwendig. Die Einwilligung erfordert, dass die betroffene Person in den Grundzügen über Gegenstand, Zweck und Umfang der beabsichtigten Datenbearbeitung aufgeklärt sein muss, damit sie die Konsequenzen der Einwilligung abschätzen kann (Rampini, a.a.O., Art. 13 DSG Rz. 3 ff.).

Das Auskunftsrecht nach Art. 8 DSG, wonach jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen kann, ob Daten über sie bearbeitet werden, hat zwar auch Präventivfunktion (vgl. dazu Schäfer in Datenverknüpfung, S. 69), aber faktisch setzt dessen Wahrnehmung eine entsprechende vorgängige Aufklärung über die Datenbearbeitung voraus. Im Fall der Beschaffung von Persönlichkeitsprofilen statuiert Art. 14 DSG zudem eine aktive Informationspflicht des Inhabers einer Datensammlung und zwar ungeachtet der Tatsache, aus welchen Quellen die Daten beschafft werden; d.h. diese Pflicht gilt sogar, wenn die betroffene Person ihre Daten selbst veröffentlicht hat (Rampini/Fuchs in: Basler Kommentar zum DSG und BGÖ, a.a.O., Art. 14 DSG Rz. 6 f). Werden die Daten nicht bei der betroffenen Person beschafft, so hat deren Information spätestens bei der Speicherung der Daten oder, wenn die Daten nicht gespeichert werden, mit ihrer ersten Bekanntgabe an Dritte zu erfolgen (Art. 14 Abs. 3 DSG).

Die diesbezügliche Argumentation der Beklagten, aufgrund der Tatsache, dass ihre Auskunftei suchmaschinenindexiert sei, könnten Betroffene z.B. anhand von Google-Suchresultaten leicht erkennen, ob Daten über sie bearbeitet würden und entsprechend - wohlbemerkt nachträglich - die Löschung verlangen, verfängt nicht. Ihre Praxis vermag den gesetzlichen Anforderungen an eine aktive, zeitgerechte Information der Betroffenen nicht zu genügen.

Auf ihrer Website erklärt die Beklagte sodann, die Daten registrierter Nutzer weder an Dritte weiterzugeben noch sie dazu zu nutzen, die dort publizierten Daten zu ändern oder ergänzen. Sie macht in diesem Zusammenhang geltend, nur ihr begrenzter Kundenkreis erhalte die Daten und bezahle dafür sogar teilweise, so dass von einem öffentlichen Zugänglichmachen nicht die Rede sein könne. Dennoch handelt es sich dabei um eine Datenbekanntgabe gegenüber Dritten und wie festgestellt im Rahmen von Premiumabonnementen um die Bearbeitung von Persönlichkeitsprofilen. Diese Argumentation ist daher ebenso unbehelflich wie diejenige, wonach eine ausdrückliche Einwilligung der Betroffenen erfolgt sei, indem diese gegenüber der Post AG mit Bezug auf einen Nachsendeauftrag/Wohnungswechsel der Adressweitergabe u.a. für Wirtschaftsauskunfteien zugestimmt hätten. Damit haben die betroffenen Personen nämlich nicht gegenüber der Beklagten in die Erstellung eines Persönlichkeitsprofils eingewilligt. Im Unterschied zu Anstellungs- oder Einbürgerungsverfahren oder zu Erhebungen zum Konsumverhalten mittels Kundenkarten, bei welchen die Betroffenen vorgängig ihre Einwilligung zu einem bestimmten Datenbearbeitungszweck geben, haben die betroffenen natürlichen Personen vorliegend aufgrund der Tatsache, dass die Beklagte Daten von anderen Unternehmen erwirbt oder sie aus öffentlichen Quellen erhältlich macht, regelmässig keine Kenntnis davon, dass und zu welchem Zweck Daten über sie bearbeitet werden. Daran ändert auch nichts, dass die Beklagte sämtliche nicht im Handelsregister eingetragenen Kunden kontaktiert und fragt, weshalb sie die Bonitätsauskünfte benötigen würden, bevor das entsprechende Premium-Abonnement freigeschaltet wird (vgl. Beklagtenbeilage 43, S. 5-7). Weder die persönliche Benutzererkennung noch die Angabe eines Interessensnachweises vermögen die Einwilligung der betroffenen Person zu substituieren.

Die explizite Einwilligung der Betroffenen in die Erstellung eines Persönlichkeitsprofils nach rechtzeitiger Information - wie Art. 4 Abs. 5 DSG dies fordert (vgl. dazu statt vieler Maurer-Lambrou/Steiner in: Basler Kommentar zum DSG und BGÖ, a.a.O., Art. 4 DSG Rz. 16h mit weiteren Hinweisen) - wurde von der Beklagten nicht belegt. Vielmehr ist davon auszugehen, dass die betroffenen Personen regelmässig keine Kenntnis davon haben, dass über sie ein Profil angelegt wurde und dass sie deshalb dessen Richtigkeit und Verwendung nicht kontrollieren können (vgl. auch die entsprechende Bemerkung betreffend die 2012 von der damaligen E._______ AG erworbene Datensammlung im Audit-Bericht, S. 4), was im Rahmen der nachfolgenden Interessenabwägung als ein den Betroffenen erwachsender Nachteil zu berücksichtigen ist (vgl. dazu sogleich E. 5.4.2).

Im Übrigen bleibt festzuhalten, dass die gesetzliche Vermutung von Art. 12 Abs. 3 DSG, wonach keine Persönlichkeitsverletzung vorliegt, wenn die betroffene Person die Daten allgemein zugänglich gemacht hat, so dass eine unbestimmte Zahl von Personen sie ohne wesentliche Hindernisse in Erfahrung bringen kann, ohne die Bearbeitung ausdrücklich zu verbieten, vorliegend nicht greift. Hierfür wäre erforderlich, dass die betroffene Person ihre Daten mit Wissen und Willen allgemein zugänglich gemacht hat oder durch einen Dritten zugänglich machen liess. Blosses Dulden der Handlung eines Dritten, ohne etwas zum Zugänglichmachen beizutragen, genügt indes nicht. Weiss etwa eine Person, dass sie betreffende Personendaten allgemein zugänglich gemacht werden sollen, z.B. in Form eines Zeitungsberichts, bleibt sie aber passiv, findet Art. 12 Abs. 3 DSG keine Anwendung (Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 9.3 und Rosenthal, a.a.O., Art. 12 DSG Rz. 54 ff., insbesondere Rz. 59). Weder betreffend die Handelsregisterdaten noch die auf anderen Plattformen wie www.local.ch publizierten Daten stellt die Beklagte nämlich auf eine Einwilligungserklärung der darin genannten Personen ab. Die strittigen Daten werden somit nicht von den betroffenen Personen selber i.S.v. Art. 12 Abs. 3 DSG wissentlich und willentlich auf der Plattform der Beklagten allgemein zugänglich gemacht. Dieser Ausschlussgrund für das Bestehen einer Persönlichkeitsverletzung kommt demnach nicht zum Tragen (vgl. mit Bezug auf die Handelsregisterdaten Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 5.1.2). Daran ändert auch ein allfälliges, nicht wahrgenommenes Widerspruchsrecht nichts, da passives Dulden wie soeben erwähnt nicht genügt.

5.4.2 Es bleibt im Sinne einer gesamthaften Interessenabwägung zu prüfen, ob überwiegende öffentliche und private Interessen die seitens der Beklagten praktizierte Bearbeitung von Persönlichkeitsprofilen zu rechtfertigen vermögen.

5.4.2.1 Das Interesse, nicht in der eigenen Persönlichkeit verletzt zu werden, ist immer schützenswert (Rosenthal, a.a.O., Art. 13 Rz. 11 und Rampini, a.a.O., Art. 13 DSG Rz. 23). Ebenfalls gilt es bei der Interessenabwägung nach Art. 13 Abs. 1 DSG zu beachten, dass dem EDÖB im Verfahren nach Art. 29 DSG eine besondere Stellung zukommt. Er handelt hier in einem Rahmen, welcher über das reine Zweiparteienverhältnis hinausgeht, und bezweckt mit seiner Empfehlung bzw. der Klage an das Bundesverwaltungsgericht die Verteidigung der Rechte einer Vielzahl von Personen. Sein Tätigwerden dient damit letztlich dem öffentlichen Interesse (vgl. statt vieler BGE 138 II 346 E. 10.1 und Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 10.4.5, je mit weiteren Hinweisen).

Als Rechtfertigungsgrund nach Art. 13 DSG spielen öffentliche Interessen in der Praxis gegenüber den privaten Interessen eine untergeordnete Rolle. Zum einen bestehen für öffentliche Interessen häufig gesetzliche Regelungen, die eine Datenbearbeitung auch ohne Interessenabwägung rechtfertigen, zum anderen liegt zumeist, wenn ein überwiegendes öffentliches Interesse gegeben ist, auch ein überwiegendes privates Interesse vor (Rosenthal, a.a.O., Art. 13 Rz. 20 und Rampini, a.a.O., Art. 13 DSG Rz. 47 sowie Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 10.4.2 mit weiteren Hinweisen). Als private Interessen kommen in erster Linie Interessen des Datenbearbeiters oder Inhabers der Datensammlung in Frage. Aber auch Interessen von Dritten oder sogar der betroffenen Personen selbst können die Datenbearbeitung unter Umständen rechtfertigen. Grundsätzlich kann jedes schützenswerte Interesse, d.h. jedes Interesse von allgemein anerkanntem Wert, berücksichtigt werden (Rosenthal, a.a.O., Art. 13 Rz. 6 ff. und Rampini, a.a.O., Art. 13 DSG Rz. 20 ff.). Hinweise, was als schützenswertes Interesse gilt, liefern die Beispiele in Art. 13 Abs. 2 DSG und Art. 6 Abs. 2 DSG. Auch rein wirtschaftliche Interessen, wie beispielsweise das Interesse daran, eine Datenbearbeitung möglichst effizient zu gestalten oder die eigenen Geschäftsabläufe zu optimieren, zählen grundsätzlich dazu. Ebenso kann Gewinnstreben ein schützenswertes Interesse darstellen (Rosenthal, a.a.O., Art. 13 Rz. 10; a.M. Rampini, a.a.O., Art. 13 DSG Rz. 22; vgl. auch BGE 138 II 346 E. 10.3 i.f.).

Den privaten und öffentlichen Interessen, die für die Datenbearbeitung sprechen, sind die berechtigten Interessen der betroffenen Personen gegenüberzustellen; es ist folglich wie erwähnt eine Interessenabwägung vorzunehmen. Eine solche umfasst die folgenden drei Gedankenschritte: Die konkreten Interessen sind zu ermitteln, mithilfe rechtlich ausgewiesener Massstäbe zu beurteilen und schliesslich zu optimieren, so dass sie mit Rücksicht auf die Beurteilung, die ihnen zuteil wurde, im Entscheid möglichst umfassend zur Geltung gebracht werden können (Tschannen/Zimmerli/Müller, Allgemeines Verwaltungsrecht, 4. Aufl., 2014, S. 226 f.). Wie das Bundesgericht festgehalten hat, dürfen Rechtfertigungsgründe beim Verstoss gegen die Grundsätze von Art. 4 DSG nur mit grosser Zurückhaltung bejaht werden (BGE 136 II 508 E. 6.3.1 mit Verweis auf E. 5.2 ff. und zum Ganzen Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 10.4.3 mit weiteren Hinweisen). Im Allgemeinen lässt sich gestützt auf die Rechtsprechung und in Übereinstimmung mit der Lehre festhalten, dass der Geheimhaltung von Persönlichkeitsprofilen i.S.v. Art. 3 Bst. d DSG erhebliches Gewicht zukommt und die Güterabwägung in der Regel zugunsten der privaten Interessen der betroffenen Personen ausfallen dürfte (BVGE 2014/42 E. 7.1; Claudia Mund, in: Stämpflis Handkommentar zum DSG, a.a.O., Art. 19 Rz. 31; vgl. auch Urteil des BVGer A-8073/2015 vom 13. Juli 2016 E. 6.1.3 mit weiteren Hinweisen).

5.4.2.2 Gewinnstrebige Interessen der Beklagten sind wie erwähnt zu berücksichtigen, sowie grundsätzlich auch das Informationsinteresse des Publikums, d.h. die Interessen Dritter, welche durch die erleichterte Informationsbeschaffung und -verwendung aus der Plattform www.moneyhouse.ch einen Nutzen ziehen (vgl. auch BGE 138 II 346 E. 10.6.1 mit weiteren Hinweisen betreffend Google Street View). Letztere erleichtert einem erheblichen Teil der Bevölkerung die Suche nach Wirtschafts- und anderen Informationen. Allfällige unlautere Absichten gewisser Nutzer können diesen grundsätzlich positiven Aspekt der Orientierungshilfe nicht in Frage stellen (vgl. auch BGE 138 II 346 E. 10.6.1 mit weiteren Hinweisen betreffend Google Street View). Das Dienstleistungsangebot der Beklagten im Bereich der Premiumabonnemente dehnt das staatliche Informationsangebot jedoch quantitativ aus, indem nicht nur bereits veröffentliche (Handelsregister)Daten weitergegeben werden (vgl. die anders gelagerte Situation/Fragestellung in Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 5.3). Bei der darüber hinausgehenden Verknüpfung von öffentlich und nicht öffentlich zugänglichen Daten zu einem Persönlichkeitsprofil verfängt das öffentliche Interesse des Gläubigerschutzes bzw. an der Verbreitung von Wirtschaftsinformationen nicht: Für die Überprüfung der Bonität eines potentiellen Vertragspartners oder im Rahmen einer Kreditvergabe können mit dessen Einwilligung im Einzelfall Auskünfte betreffend Einkommen, Betreibungen etc. eingeholt werden, was ausreichend zur Befriedigung des vorgenannten Interesses ist; dazu bedarf es keiner Erstellung eines Persönlichkeitsprofils. Zudem ist zu berücksichtigen, dass die Lebens- und Wohnsituation der betroffenen Personen deren Kreditwürdigkeit wenn überhaupt, so sicherlich nicht zuverlässig zu belegen vermag (vgl. dazu vorne E. 5.2.5.1), weshalb diesbezüglich ohnehin kein Interesse des Publikums an Informationen betreffend bestehende oder künftige Vertragsverhältnisse oder zur Überprüfung der Kredit- und Zahlungsfähigkeit von Personen im Hinblick auf den Abschluss von Rechtsgeschäften bzw. allgemein des Gläubigerschutzes ins Feld geführt werden kann. Im Übrigen ist mit dem Kläger einig zu gehen, dass der Zugang zu den verknüpften Daten grösstenteils kostenpflichtig ist, weshalb sich die Beklagte auch aus diesem Grund anders als im Verfahren A-4086/2007 nicht auf das vorgenannte öffentliche Interesse berufen kann.

Auch diejenigen natürlichen Personen, die im Handelsregister mit ihrem Namen und weiteren Angaben erwähnt sind, werden durch den Eintrag nicht zu absoluten oder relativen Personen der Zeitgeschichte, so dass an ihnen kein legitimes öffentliches Informationsinteresse besteht. Das bedeutet, dass nicht automatisch jede Information über diese Personen frei verfügbar wird. Es besteht auch in diesem Fall beispielsweise kein überwiegendes öffentliches Interesse an über die Teilaspekte der wirtschaftlichen Persönlichkeit hinausgehenden Informationen wie an den privaten Lebensumständen, den Verwandtschaftsverhältnissen, der Ausbildung, der politischen Überzeugung dieser Person, auch wenn sie im Zusammenhang mit einer Rechtseinheit im Handelsregister eingetragen ist (Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 5.2.6). Dies muss umso mehr für natürliche Personen gelten, die nicht im Handelsregister verzeichnet sind.

Bei der Abwägung der Interessen darf schliesslich nicht ausser Acht ge-lassen werden, dass es letztlich nicht um ein gänzliches Verbot der Publikation von Personendaten, sondern lediglich darum geht, über Daten, welche dazu führen, dass ein Teilaspekt der Persönlichkeit beleuchtet wird und die im Übrigen keine Bonitätsrelevanz aufweisen, nicht ohne eine Zustimmung der betroffenen Personen zu verfügen. Zu beachten ist zudem, dass vorliegend die strittigen Daten entweder bekannt gegeben werden können oder nicht, eine Anonymisierung als mildere Lösung zu einer kompletten Löschung, wie dies bei Abbildungen von Gesichtern und Fahrzeugkennzeichen im Fall von Google Street View mittels Unkenntlichmachung praktiziert werden kann, besteht nicht. Die Beklagte vermag sich - ausser die Handelsregisterinformationen betreffend, an deren Verbreitung ein öffentliches Interesse zur informationellen Erleichterung des Geschäftsverkehrs besteht, solange die Daten unverändert von einem staatlichen Referenzdatenbestand übernommen und unentgeltlich weiterverbreitet werden (vgl. dazu Urteil des BVGer A-4086/2007 vom 26. Februar 2008 E. 7.2.1 f.) - nur auf eigene wirtschaftliche, mithin vor allem rein finanzielle Interessen zu berufen. Es ist denn auch nicht so, dass es der Beklagten finanziell nicht möglich wäre, die Plattform www.moneyhouse.ch unter umfassender Berücksichtigung des informationellen Selbstbestimmungsrechts der betroffenen Personen anzubieten, sie stellt jedoch ihr wirtschaftliches Interesse, den finanziellen Aufwand möglichst gering zu halten, in den Vordergrund. Dies mag aus unternehmerischer Sicht gerechtfertigt erscheinen, lässt die Datenbearbeitung durch die Beklagten indes in keinem vernünftigen Verhältnis zum Eingriff in die Persönlichkeitsrechte der Betroffenen stehen.

5.4.2.3 Angesichts der bundesgerichtlichen Rechtsprechung, wonach überwiegende private oder öffentliche Interessen nur zurückhaltend zu bejahen sind (BGE 136 II 508 E. 6.3.1 mit Verweis auf E. 5.2 ff.), vermögen die grundsätzlich zu berücksichtigenden, gewinnstrebigen Interessen der Beklagten diejenigen einer Vielzahl Betroffener an der Wahrung ihrer Persönlichkeitsrechte nicht zu überwiegen. Die Beklagte nimmt im Interesse ihres wirtschaftlichen Erfolgs die Verletzung der Persönlichkeitsrechte zahlreicher Personen in Kauf. Dabei geht es nicht darum, dass sie ihre Dienstleistungen nicht ohne Rücksicht auf das informationelle Selbstbestimmungsrecht der Betroffenen anbieten könnte. Vielmehr wären allfällige Persönlichkeitsverletzungen vermeidbar, würden aber einen finanziellen Mehraufwand für die Beklagte nach sich ziehen, weil sie die explizite Einwilligung einer Vielzahl Betroffener einholen und die entsprechende Datenkontrolle wohl teilweise manuell durchführen müsste. Dieser Mehraufwand würde indes die wirtschaftliche Existenz der Beklagten selbst dann nicht in Frage stellen, wenn dadurch das Angebot von Premiumabonnementen im Speziellen gefährdet wäre.

Die Beklagte hat sodann bislang keinerlei Massnahmen getroffen, um den Eingriff in die Persönlichkeitsrechte Betroffener so geringfügig wie möglich zu gestalten. Das auf Anfang 2016 angekündigte Redesign ihrer Plattform mit beabsichtigter Trennung der Datenbanken je nach Nutzungsprofil hat die Beklagte gemäss eigenen Angaben noch nicht umgesetzt (vgl. Eingabe vom 24. Oktober 2016, S. 8). Sie macht lediglich geltend, da ihre Datenbearbeitung transparent erfolge und die betroffenen Personen mittels Suchmaschineneingabe ihrer Daten einfach erkennen könnten, ob sie von ihnen Daten bearbeite, könnten Erstere ihre Löschungs- und Korrekturrechte wirksam ausüben. Die Geltendmachung eines Widerspruchsrechts mittels Löschungsbegehren kann jedoch zwangsläufig erst nachträglich, d.h. nach Kenntnisnahme der Datenbearbeitung und einer allfälligen Verletzung des Persönlichkeitsrechts ausgeübt werden (vgl. auch Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 8.4.4).

5.5 Da die rechtswidrige Bearbeitung von Persönlichkeitsprofilen zu bejahen ist, erübrigt es sich, die Einhaltung der allgemeinen Datenbearbeitungsgrundsätze der Verhältnismässigkeit und der Zweckbindung (Art. 4 Abs. 2 -4 DSG), zu prüfen (zum rechtlich unklaren Verhältnis zwischen Art. 12 Abs. 2 Bst. a DSG und Art. 13 Abs. 1 DSG vgl. Schäfer, S. 56 f. mit weiteren Hinweisen). Auf die Datenrichtigkeit nach Art. 5 DSG wird nachfolgend im Rahmen der Behandlung von Rechtsbegehren 7 eingegangen (vgl. hinten E. 7).

Sofern die betroffenen natürlichen Personen ohne Handelsregistereintrag nicht explizit in die seitens der Beklagten praktizierte Datenbearbeitung eingewilligt haben, also kein Rechtfertigungsgrund vorliegt, sind die entsprechenden Daten, welche verknüpft ein Persönlichkeitsprofil darstellen, wie seitens des Klägers beantragt in Anwendung des Verhältnismässigkeitsprinzips insoweit zu löschen, als sich Rückschlüsse auf wesentliche Teilaspekte ihrer Persönlichkeit ziehen lassen. Konkret bedeutet dies, dass diejenigen Daten, welche im Rahmen der Erteilung von Bonitätsauskünften nicht benötigt werden (vgl. dazu vorne E. 5.2.5.1) und in deren Bekanntgabe eine nicht im Handelsregister eingetragene natürliche Person nach erfolgter Aufklärung über den Verwendungszweck nicht ausdrücklich eingewilligt hat, zu löschen sind (vgl. Rechtsbegehren 2-4). Dies gilt wie mit Rechtsbegehren 5 beantragt in Bezug auf sämtliche natürliche Personen - unabhängig davon, ob sie im Handelsregister eingetragen sind oder nicht - ebenso für diejenigen Verlinkungen, z.B. mit Google Map oder mittels Verweisen auf weitere private Informationen zur Wohnsituation, zu Nachbarn und Haushaltsmitgliedern, welche zur entsprechenden Erstellung von Persönlichkeitsprofilen beitragen ("Wie wohnt X.? Wohnt er/sie zur Miete oder hat er/sie die Immobilie gekauft?" "Mit wem wohnt X zusammen? Wohnt er/sie alleine? Und wer sind seine/ihre Nachbarn? Wem gehört die Immobilie, in der X wohnt?" "Nachfolgend erfahren Sie, welche Personen an derselben Strasse wohnhaft sind und welche Firmen an dieser Strasse ihren Sitz haben.").

Die Rechtsbegehren 2-5 sind folglich im Sinne vorangehender Erwägungen gutzuheissen und die Beklagte dazu zu verpflichten, die entsprechenden Anordnungen innert 30 Tagen ab Zustellung dieses Entscheids umzusetzen.

6.

6.1 Mit Rechtsbegehren 6 fordert der Kläger, die Beklagte solle ihre Suche nach im Handelsregister eingetragenen Personen der Praxis des Eidgenössischen Handelsregisteramts anpassen, wonach bei der Personensuche auf www.zefix.ch nur ein Eintrag als Google-Suchresultat erscheint, wenn der Name und Zefix in die Suchmaschine eingegeben wird, die Eingabe des Namens alleine also nicht ausreichend ist bzw. keine direkte Verlinkung zu Personeneinträgen erfolgt und keine weiteren Angaben über private Lebensumstände der eingetragenen Person publiziert werden.

Grundsätzlich gelten die im Rahmen der Bearbeitung von Persönlichkeitsprofilen gemachten Feststellungen auch für natürliche Personen mit Handelsregistereintrag bzw. unabhängig davon, ob eine natürliche Person im Handelsregister eingetragen ist oder nicht; d.h. direkte Verlinkungen auf der Plattform der Beklagten sind zu löschen, sofern sie private Lebensumstände der eingetragenen Person betreffen, welche nicht bonitätsrelevant sind (vgl. vorne E. 5.4.2.2 und E. 5.5). Das vorliegende Rechtsbegehren richtet sich jedoch gegen die Bekanntgabe von Daten mittels Internetsuchmaschinen, welche auf die Plattform www.moneyhouse.ch verweisen (Suchmaschinenindexierung).

Es ist möglich, aber nicht zwingend, dass die Beklagte in einem Vertragsverhältnis zu gewissen Suchmaschinenbetreiberinnen steht. Letztere arbeiten jedoch auch mit Indexierungen und Querverlinkungen, welche ausserhalb des Herrschaftsbereichs der Beklagten liegen. Jedenfalls betreibt die Beklagte die entsprechenden Suchportale nicht und hat dementsprechend keine oder nur begrenzte Einflussmöglichkeiten auf die Publikation von Suchresultaten, da die Recherche primär von den Betreiberinnen der entsprechenden Portale gesteuert wird. Schon die faktische technische Umsetzung des klägerischen Rechtsbegehrens 6 erwiese sich daher als schwierig. Auch mit Verweis auf die vom Kläger erwähnte Rechtsprechung des Europäischen Gerichtshofs in der Rechtssache C-131/12, wonach Suchmaschinenbetreiber unter bestimmten Voraussetzungen verpflichtet sind, Verlinkungen, die im Anschluss an eine durchgeführte Suche nach dem Namen einer Person angezeigt werden, von der Ergebnisliste zu entfernen, da sie auch Daten verarbeiten und für die verbreiteten Inhalte verantwortlich sind, müsste der Kläger eine derartige Empfehlung daher an die Betreiberinnen der jeweiligen Suchportale richten, da es sich eben nicht wie im Fall von Rechtsbegehren 5 um Verlinkungen auf der Plattform der Beklagten handelt bzw. nicht um deren Datensammlung an sich geht. Rechtsbegehren 6 ist somit abzuweisen.

Mit Umsetzung der gutgeheissenen Rechtsbegehren 2-5 erweist sich die Datenbearbeitung der Beklagten sodann als rechtskonform, weshalb es in datenschutzrechtlicher Hinsicht keinen Unterschied macht, inwiefern sich auf ihrer Plattform eingetragene Personen über Suchmaschinenresultate auffinden lassen. Mit der Entfernung gewisser Verlinkungen auf www.moneyhouse.ch relativiert sich in der Folge die Bedeutung der Suchmaschinenindexierung zudem ohnehin.

6.2 Der Kläger erklärt weiter, Suchmaschinenresultate betreffend die auf der Plattform der Beklagten gelöschten Inhalte seien dennoch zumindest eine gewisse Zeit lang - in der Regel während vier bis sechs Wochen - weiterhin im Internet auffindbar, was sich mit der Sachverhaltsfeststellung des Bundesverwaltungsgerichts deckt. Er bemängelt in diesem Zusammenhang, dass die Beklagte Personen, die bei ihr ein Löschungsgesuch gestellt hätten, nicht dahingehend unterstütze, dass die entsprechenden Suchmaschinenresultate rascher entfernt würden.

Mit der Beklagten ist diesbezüglich jedoch einig zu gehen, dass eine derartige Verpflichtung nicht besteht und es ihr wie erwähnt an den entsprechenden Einflussmöglichkeiten mangelt. Hierfür müssten der Kläger oder die Betroffenen selbst auf die fraglichen Suchmaschinenbetreiberinnen zugehen. Gemäss gerichtlicher Sachverhaltsabklärung löscht die Beklagte auf entsprechendes Begehren hin die Daten in ihrem Herrschaftsbereich, sprich auf ihrer Plattform, umgehend (vgl. auch Datenschutzkonzept der Beklagten, S. 21 und Bearbeitungsreglement der Beklagten, S. 11). Adressen, die anderweitig, z.B. auf www.local.ch, gesperrt bzw. gelöscht worden sind, bleiben ohne an die Beklagte adressiertes Begehren in der Tat via www.moneyhouse.ch zugänglich. Mit der Beklagten ist daher einig zu gehen, dass die Auffindbarkeit von Daten über Suchmaschinen in datenschutzrechtlicher Hinsicht insofern positiv zu werten ist, als Transparenz betreffend die Datenbearbeitung geschaffen wird, was die effektive Wahrnehmung der Ansprüche auf Einsicht, Berichtigung und Löschung eigener Daten ermöglicht.

7.

7.1 Der Kläger begehrt, die Beklagte sei zu verpflichten, ihren Datenbestand betreffend Richtigkeit in einem gerichtlich festzulegenden, angemessenen Prozentsatz zu den getätigten Abfragen auf ihrer Plattform www.moneyhouse.ch zu überprüfen.

Wer Personendaten bearbeitet, hat sich gemäss Art. 5 Abs. 1 DSG über deren Richtigkeit zu vergewissern. Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Vergewissern bedeutet in diesem Zusammenhang, die Richtigkeit von Personendaten nicht nur abzuklären, sondern in angemessener Weise sicherzustellen, d.h. alle im Rahmen des Bearbeitungszwecks erforderlichen Daten zu erheben, zu überprüfen und wenn nötig zu berichtigen oder zu löschen. In der Praxis können diese Massnahmen bereits vor der Datenerhebung, z.B. bei der Gestaltung von Datenbanken, zum Zeitpunkt der Datenerhebung mittels Plausibilitätskontrollen in IT-Systemen
oder Bestätigungs-E-Mails bei Online-Registrierungen oder nachträglich, z.B. durch Änderungen oder Berichtigungsvermerke erfolgen (zum Ganzen Rosenthal, a.a.O., Art. 5 Rz. 5). Wie weit die Abklärungen eines Datenbearbeiters betreffend die Datenrichtigkeit im Einzelfall gehen müssen, hängt von den Rahmenbedingungen der Datenbearbeitung, also der Zweckbestimmung der Datensammlung ab, sowie davon inwieweit eine Datenbekanntgabe erfolgt und wie sensitiv diese ist. Die Anforderungen an die Vergewisserungspflicht nach Art. 5 Abs. 1 DSG stehen damit im Zusammenhang zu einer möglichen Persönlichkeitsverletzung: Je grösser das Risiko einer solchen Verletzung, desto höhere Anforderungen sind an die inhaltliche Qualität der Datenbearbeitung zu stellen, wobei der Datenbearbeiter für die von ihm getroffenen Abklärungen und deren Angemessenheit beweispflichtig ist (Maurer-Lambrou/Schönbächler, a.a.O., Art. 5 DSG Rz. 12 und auch Rosenthal, a.a.O., Art. 5 Rz. 9 sowie Baeriswyl/Blonski in: Stämpflis Handkommentar zum DSG, a.a.O., Art. 5 Rz. 18).

7.2 Das Dienstleistungsangebot der Beklagten beschränkte sich bis 2012 auf Informationen betreffend juristische Personen, welche auf Datenbeständen des schweizerischen Handelsamtsblatts oder aus dem Handelsregister stammen. Anschliessend kaufte sie von der damaligen E._______ AG eine Sammlung von Daten natürlicher Personen und erhielt monatlich weitere Datenlieferungen seitens der heutigen A._______ AG. Eingegangene Meldungen Betroffener und die darauffolgenden klägerischen Untersuchungen haben ergeben, dass insbesondere betreffend die Sammlung von Daten natürlicher, nicht im Handelsregister eingetragener Personen Unstimmigkeiten bestehen. So existieren für eine Person mehrere Adressen, wobei die Wohnorte nicht mit einer Person verknüpft sind, sondern einzeln aufgeführt werden, oder es sind nicht alle Personen eines Haushalts aufgeführt, weil z.B. neu gegründete Haushalte nicht korrekt zusammengeführt wurden und die Adressen demnach veraltet sind, Haushaltsmitglieder sind teilweise falsch verknüpft oder Personen als Haushaltsmitglieder aufgeführt, die an unterschiedlichen Adressen leben und sich teilweise auch nicht kennen. Zudem finden sich falsche Alters- und Berufsangaben, Namen werden falsch geschrieben oder verstorbene Personen sind noch auffindbar.

Die teilweise falsche Verknüpfung der von der B._______ AG bezogenen Handelsregisterdaten (Name, Vorname, Wohn- und Heimatort) mit weiteren Daten (Adresse, Geburtsdatum) ist der Beklagten bewusst; sie macht geltend, eine diesbezüglich korrekte Verknüpfung sei schwierig, wenn mehrere Personen denselben Vor- und Nachnamen besässen. Sie arbeite mittlerweile mit einem Unternehmen zusammen, welches manuell durch Recherchen von Mitarbeitenden versuche, die Qualität der Namensverknüpfungen zu verbessern. Weiter erklärt sie, die Überprüfung der Datenrichtigkeit zwischenzeitlich intensiviert zu haben: Zum einen seien sowohl die Handelsregisterdaten als auch die übrigen Daten betreffend Privatpersonen Anfang Februar 2016 vollständig neu eingelesen und auf ihre Richtigkeit hin überprüft worden. Zum anderen sei die manuelle Prüfung der Datenrichtigkeit verdichtet worden; die Daten würden monatlich aktualisiert. Zudem weist die Beklagte auf die Möglichkeit der Betroffenen hin, jederzeit die umgehende Löschung oder Korrektur ihrer Daten zu verlangen, sofern sich diese als unrichtig erweisen.

7.3

7.3.1 Die gerichtlichen Sachverhaltsabklärungen haben ergeben, dass die Datenqualität seit Vornahme der klägerischen Recherchen und auch nach Intensivierung diesbezüglicher Bemühungen seitens der Beklagten unverändert zu wünschen übrig lässt: So sind teilweise Namen, Wohnadressen und Berufsbezeichnungen sowie Angaben betreffend Haushaltsmitglieder und Nachbarn nicht mehr aktuell, die Auflistung früherer Wohnorte teilweise unvollständig, Geburtsdaten werden vertauscht bzw. falsch verknüpft oder das angegebene Alter korreliert nicht mit dem Geburtsdatum.

Es ist sowohl aus Sicht der betroffenen Person als auch aus derjenigen des Datenbearbeiters wünschbar und erstrebenswert, dass nur richtige, d.h. sachgerechte, aktuelle und vollständige Personendaten bearbeitet werden (vgl. in diesem Sinne auch Maurer-Lambrou/Schönbächler, a.a.O., Art. 5 Rz. 4 f.). Eine umgehende Löschung oder Berichtigung ihrer Daten kann eine betroffene Person sodann zwar jederzeit verlangen, jedoch nur nachträglich zu einer bereits erfolgten Persönlichkeitsverletzung i.S.v. Art. 12 DSG i.V.m. Art. 5 DSG (vgl. auch Urteil des BVGer A-7040/2009 vom 30. März 2011 E. 8.4.4 und vorne E. 5.4.2.3 i.f.). Zudem ist die effektive Wahrnehmung dieses Rechts verknüpft mit der Problematik der mangelnden Datenaktualität: Personen, die unter einem nicht mehr aktuellen Namen auf der Plattform der Beklagten figurieren und die nun mit einem aktualisierten Identitätsausweis die Löschung ihrer Daten verlangen, müssen zwingend zusätzliche Informationen preisgeben, indem sie sich z.B. mittels Familienbuch legitimieren, was nicht nötig wäre, wenn ihre Daten richtig aufgeführt wären.

7.3.2 In Anwendung des Verhältnismässigkeitsprinzips hat der Kläger die Überprüfung nur im Verhältnis zu allen auf der Plattform der Beklagten getätigten Abfragen und nicht mit Bezug auf deren gesamten Datenbestand beantragt. Aus den seitens der Beklagten eingereichten Beilagen ergibt sich, dass im Jahr 2014 total (...) Bonitätsabfragen betreffend natürliche und juristische Personen getätigt wurden, monatlich zwischen knapp (...) und knapp (...) (Beilage 24), von Dezember 2015 bis November 2016 insgesamt (...), wovon (...) natürliche Personen und (...) juristische Personen betrafen, monatlich insgesamt zwischen (...) und (...) (Beilage 40). In Anbetracht der grossen Anzahl der von der Datenbearbeitung der Beklagten betroffenen Personen und der Bedeutsamkeit der Richtigkeit, Vollständigkeit und Aktualität von Daten sowohl im Rahmen einer zulässigerweise nach erfolgter Einwilligung der Betroffenen durchgeführten, sensitiven Bearbeitung von Persönlichkeitsprofilen als auch im Bereich von Bonitätsauskünften erscheint eine Überprüfung des Datenbestands der Beklagten auf seine Richtigkeit hin im Verhältnis von 5 % zu den auf ihrer Plattform getätigten Abfragen als angemessen. Auf die vorliegenden Zahlen bezogen bedeutet dies, dass die Beklagte jährlich voraussichtlich Daten von ca. zwischen (...) und (...) Abfragen auf ihre Richtigkeit hin überprüfen muss. Der dadurch verursachte zeitliche bzw. personelle Mehraufwand rechtfertigt sich aufgrund der festgestellten Unregelmässigkeiten im Datenbestand der Beklagten, der Interessen der betroffenen Personen und der Beklagten selber an der Bearbeitung sachgerechter, aktueller und vollständiger Personendaten, welche im Übrigen auch dem öffentlichen Interesse des Gläubigerschutzes dient.

Die Beklagte ist somit in Gutheissung von Rechtsbegehren 7 dazu zu verpflichten, ab Zustellung dieses Entscheids ihren Datenbestand betreffend Richtigkeit in einem Verhältnis von 5 % zu den auf www.moneyhouse.ch getätigten Abfragen zu überprüfen.

In der Wahl der Massnahmen zur Sicherstellung der Datenqualität ist der Datenbearbeiter grundsätzlich frei (Baeriswyl/Blonski, a.a.O., Art. 5 Rz. 18). Die konkreten Modalitäten dieser Überprüfung, insbesondere mit Blick auf die Auswahl der Datenstichprobe, liegt somit unter Berücksichtigung der gesetzlichen Vorgaben im Ermessen der Beklagten. Sie hat ihrer Vergewisserungspflicht gemäss Art. 5 Abs. 1 DSG jedoch mittels angemessener Massnahmen nachzukommen, d.h. die getroffene Datenauswahl muss aussagekräftig und die gewählte Überprüfungsmethode effektiv sein; denkbar wäre beispielsweise, bei jeder zwanzigsten Abfrage die Richtigkeit der abgefragten Daten zu überprüfen.

8.

8.1 Natürliche und juristische Personen können der Beklagten elektronische oder schriftliche Auskunftsgesuche i.S.v. Art. 8 DSG einreichen und zwar unter Beilage eines amtlichen Ausweises und bei Auskunftserteilung betreffend eine juristische Person zusätzlich mittels eines Nachweises der Zeichnungsberechtigung. Die Beklagte erteilt die Auskunft in der Regel innert 30 Tagen schriftlich und kostenlos. Betreffend natürliche Personen wird dabei allgemein über die Datenquellen informiert und es werden die in der Datensammlung vorhandenen Stammdaten wie Vorname, Name, Geschlecht, aktueller Wohnsitz, Geburtsdatum/Alter, Beruf, Telefonnummer und Haushaltsmitglieder bekannt gegeben. Im Handelsregister verzeichneten Personen wird zusätzlich eine Wirtschaftsauskunft erteilt und erwähnt, ob Angaben zu Baubewilligungen bearbeitet werden. Nicht mitgeteilt wird hingegen, dass weitere Angaben zu den Gebäuden gemacht werden.

Betreffend Bonitätsresultate wird eine um Auskunft ersuchende Person von der Beklagten nicht direkt informiert, sondern auf die B._______ AG, von welcher die Beklagte die Handelsregisterdaten bezieht, verwiesen. Dies bemängelt der Kläger: Als Inhaberin der über die Plattform www.moneyhouse.ch bearbeiteten Daten bestimme die Beklagte über den entsprechenden Zweck und Inhalt. Sie mache den Inhalt der Bonitätsdatenbank der B._______ AG sowie von weiteren Datenbanken ihren Nutzern zugänglich und habe deshalb die entsprechenden Auskunftsgesuche zu behandeln oder aber direkt weiterzuleiten. Die Beklagte hingegen bestreitet, Inhaberin der der "Bonitätsampel" zugrunde liegenden Datensammlung zu sein. Dies sei die B._______ AG, welche über deren Zweck und Inhalt entscheiden könne. Sie gebe auf Anfrage Auskunft betreffend alle Daten, deren Inhaberin sie sei. Sie biete jedoch auch Daten an, die sie bei Dritten gekauft habe, welche unverändert über ihre Plattform abrufbar seien. Mit Bezug auf die erworbenen Personendaten bestehe daher keine Pflicht ihrerseits, die Auskunftsanfrage direkt weiterzuleiten.

8.2 Das Auskunftsrecht ist das bedeutendste Institut des Datenschutzgesetzes. Es erlaubt der betroffenen Person überhaupt, ihre datenschutzrechtlichen Ansprüche durchzusetzen. Nur wer weiss, ob und welche Daten über ihn bearbeitet werden, kann diese nötigenfalls berichtigen oder löschen lassen oder wenigstens deren Richtigkeit bestreiten (BBl 1988 II 452). Adressat des Auskunftsbegehrens ist die Inhaberin einer Datensammlung (vgl. Art. 8 Abs. 1 DSG). Weil diese ihre Daten systematisch ordnet, ist eine Persönlichkeitsverletzung wesentlich wahrscheinlicher als bei jemandem, dessen Daten nicht nach den betroffenen Personen erschliessbar sind (BBl 1988 II 453). Inhaber einer Datensammlung i.S.v. Art. 3 Bst. i DSG ist, wer - ohne zwingend über die einzelnen Daten selbst verfügen zu müssen - den Zweck der Sammlung festlegt und die Bearbeitungsmittel und -methoden bestimmt (BBl 1988 II 448), sowie über deren Inhalt, mithin über die Existenz und die wesentliche Ausgestaltung entscheidet (Blechta, a.a.O., Art. 3 DSG Rz. 86 mit weiteren Hinweisen und Gramigna/Maurer-Lambrou, a.a.O., Art. 8 DSG, Rz. 12 sowie Beat Rudin in: Stämpflis Handkommentar zum DSG, a.a.O., Art. 3 Rz. 49).

Das Rechtsverhältnis zwischen der Beklagten und ihren Datenquellen ist kaufrechtlicher Art. Diese Dritten sind somit nicht als Beauftragte der Beklagten i.S.v. Art. 8 Abs. 4 DSG i.V.m. Art. 1 Abs. 6 VDSG zu qualifizieren. Mit ihrem Erwerb gehören jedoch auch Daten, welche die Beklagte von Dritten unverändert übernimmt, zu ihrer Datensammlung; sie entscheidet als Inhaberin dieser Sammlung i.S.v. Art. 8 Abs. 1 DSG über deren Verwendung auf ihrer Plattform. Doch auch falls die B._______ AG und weitere Datenlieferanten über den Zweck und Inhalt der auf www.moneyhouse.ch publizierten Daten (mit)entscheiden könnten und entsprechend auch als verantwortliche Inhaber dieser Datensammlung gelten würden, wäre Rechtsbegehren 8 gutzuheissen. Art. 8 Abs. 1 DSG i.V.m. Art. 1 Abs. 5 VDSG sieht nämlich für den Fall, dass eine Datensammlung von mehreren Inhabern gemeinsam geführt wird vor, dass das Auskunftsrecht bei jedem Inhaber geltend gemacht werden kann, sofern nicht einer von ihnen für die Behandlung aller Auskunftsbegehren verantwortlich ist. Wenn der adressierte Inhaber der Datensammlung zur Auskunftserteilung nicht ermächtigt ist, leitet er das Begehren an den Zuständigen weiter.

Die Beklagte ist somit in Gutheissung von Rechtsbegehren 8 dazu zu verpflichten, ab Zustellung dieses Entscheids Auskunftsgesuche betreffend die von ihr auf www.moneyhouse.ch angebotenen Dienstleistungen, welche sie nicht beantworten kann, umgehend und kostenlos an den zuständigen Vertragspartner weiterzuleiten. Damit wird entsprechend dem gesetzgeberischen Willen sichergestellt, dass stets jemand über eine Datensammlung Auskunft geben muss und so das Auskunftsrecht effektiv wahrgenommen werden kann. Die betroffene Person, welche erfahren möchte, ob ihre Daten allenfalls in einer Datensammlung figurieren, soll nicht lange Recherchen über die Identität des Inhabers der Datensammlung anstellen müssen (vgl. BBl 1988 II 454).

9.

9.1 Für die Bekanntgabe von Bonitätsauskünften an Dritte muss feststehen, dass diese sie für den Abschluss oder die Abwicklung eines Vertrags effektiv benötigen. Der Datenbearbeitende hat dabei zu überprüfen, ob die Voraussetzungen für eine Bekanntgabe zu bejahen sind (Rampini, a.a.O., Art. 13 DSG Rz. 37). Nach Ansicht des Klägers verlässt sich die Beklagte zu einseitig auf seitens der Nutzer gemachte Angaben, um die missbräuchliche Verwendung ihrer Bonitätsdienstleistung zu verhindern. Er beantragte deshalb mit Klageeinreichung, die Beklagte sei zu verpflichten, das Vorhandensein von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage in regelmässigen Zeitabständen in einem Verhältnis von mindestens 5 % zu den getätigten Abfragen zu kontrollieren. Die Beklagte stellt sich auf den Standpunkt, eine Überprüfung von 5 % zu den getätigten Abfragen sei unverhältnismässig, da sie faktisch einem Verbot der Ausübung ihrer wirtschaftlichen Tätigkeit gleichkomme. Anlässlich der öffentlichen Hauptverhandlung vom 23. Januar 2017 passt der Kläger dieses Begehren insofern an, als er den festzulegenden Prozentsatz der Kontrolldichte von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage ins Ermessen des Gerichts stellt.

9.2 Strittig ist, ob die Beklagte im Rahmen von Bonitätsabfragen das tatsächliche Vorhandensein eines Interessensnachweises nach Art. 13 Abs. 2 Bst. c DSG zum Zeitpunkt der Abfrage vermehrt prüfen müsste und falls ja, in welchem Verhältnis zu den getätigten Abfragen.

9.2.1 Zunächst stellt sich die Frage, welche technischen und v.a. organisatorischen Massnahmen i.S.v. Art. 7 Abs. 1 DSG die Beklagte trifft, um die Personendaten auf ihrer Plattform gegen unbefugtes Bearbeiten zu schützen. Es geht vorliegend nur darum, inwiefern verhindert wird, dass die bearbeiteten Personendaten durch Dritte missbraucht werden können (vgl. Baeriswyl in: Stämpflis Handkommentar zum DSG, a.a.O., Art. 7 Rz. 13 Art. 7 Rz. 13 zu den zwei Hauptschutzzielen; dass andere Hauptziel, wonach die verwendeten Personendaten intern gesetzeskonform bearbeitet werden sollen, wurde im Rahmen der Rechtsbegehren 2-7 bereits abgehandelt). Solche Schutzmassnahmen müssen im konkreten Einzelfall angemessen sein, ein absoluter oder maximal möglicher Schutz ist nicht erreichbar (Rosenthal, a.a.O., Art. 7 Rz. 3 und Christa Stamm-Pfister in: Basler Kommentar zum DSG und BGÖ, a.a.O., Art. 7 DSG Rz. 9 mit weiteren Hinweisen). Nach Art. 8 Abs. 2 VDSG ist dabei insbesondere dem Zweck der Datenbearbeitung, der Art und dem Umfang der Datenbearbeitung, den abschätzbaren möglichen Risiken für die betroffenen Personen und dem gegenwärtigen Stand der Technik Rechnung zu tragen. Im Rahmen der Interessenabwägung aller Beteiligter sind auch die Interessen des Datenbearbeiters zu berücksichtigen, also insbesondere sein Aufwand im Hinblick auf den angestrebten Schutzzweck, jedoch auch sein hohes Eigeninteresse an der Datensicherheit (Rosenthal, a.a.O., Art. 7 Rz. 3 und Baeriswyl, a.a.O., Art. 7 Rz. 24). Je sensitiver die Datenbearbeitung, desto mehr Massnahmen sind regelmässig zu treffen, um das Risiko einer Persönlichkeitsverletzung gering zu halten (Baeriswyl, a.a.O., Art. 7 Rz. 23). Art. 7 DSG statuiert eine Dauerverpflichtung; reichen die getroffenen Schutzmassnahmen aufgrund geänderter Umstände nicht mehr aus, sind sie anzupassen, z.B. bei Erweiterung der Quantität oder Qualität der bearbeiteten Personendaten oder bei Verfügbarkeit neuer Technologien (statt vieler Rosenthal, a.a.O., Art. 7 Rz. 5). Nach herrschender Lehre sind Datenbearbeiter zur Erarbeitung eines ganzheitlichen Sicherheitskonzepts verpflichtet (Baeriswyl, a.a.O., Art. 7 Rz. 17 und Rz. 22 und Stamm-Pfister, a.a.O., Art. 7 DSG Rz. 12, a.M. Rosenthal, a.a.O., Art. 7 Rz. 4).

9.2.2 Zu beurteilen sind im Sinne einer ganzheitlichen Betrachtung sowohl die technischen als auch die organisatorischen, auf die Struktur und Prozesse der Beklagten abzielenden Massnahmen im Bereich der Benutzerkontrolle (vgl. zu Letzteren auch Baeriswyl, a.a.O., Art. 7 Rz. 20).

Die Beklagte hat ein IT-Sicherheitskonzept entworfen, welches diverse technische und organisatorische Massnahmen enthält (Beilage 431, Stand 5. August 2013). Auch im Bearbeitungsreglement finden sich grobe Beschriebe organisatorischer Massnahmen zur Datensicherheit (S. 8 f.). Im Sinne von technischen Massnahmen zur Kontrolle des Datenabrufs durch die Nutzer haben sich diese zunächst zu registrieren, danach ist ihr Benutzerkonto mittels postalisch verschicktem Code und Login aktivierbar. Anhand dieser persönlichen Benutzererkennung speichert die Beklagte deren Abrufe in einer ihrer Datenbanken. Die allgemeinen Geschäftsbedingungen der Beklagten verpflichten jeden Benutzer ausdrücklich dazu, die gesetzlichen Datenschutzvorschriften und ihre Datenschutzbestimmungen einzuhalten und den Zugang nicht übermässig oder missbräuchlich zu nutzen (Beilage 7 zur Klageantwort, Ziff. 8). Vor Abruf von Informationen, die einen Interessensnachweis erfordern, verpflichtet sich jeder Kunde, einen genügenden Interessensnachweis zu beschaffen oder zu bestätigen, einen solchen vorweisen zu können (Beilage 7 zur Klageantwort, Ziff. 9). In organisatorischer Hinsicht prüft die Beklagte die Berechtigung eines Interessenten zum Abschluss eines Bonitätsabonnements und liefert bei Verdacht auf missbräuchliche Bonitätsabfragen die Daten des betroffenen Nutzers (Name, Vorname, Adresse und E-Mailadresse) an die B._______ AG, mit welcher sie in diesem Bereich zusammenarbeitet. Eine gegenseitige Aktualisierung der ausgetauschten Daten findet gemäss Angaben der Beklagten nicht statt. Bei jeder Abfrage auf der Plattform der Beklagten im Rahmen eines Bonitätsabonnements ist einer der folgenden Gründe anzugeben: Kaufvertrag, Mietvertrag, Eigenauskunft, Darlehens-/Kreditvertrag, Übrige Verträge. Die abgegebenen Interessensnachweise werden von der Beklagten geloggt und bei ungewöhnlichen Abfragemustern wird das Benutzerkonto gesperrt. Gemäss Kontrollkonzept werden bei einem totalen Volumen von mehreren (...) Abfragen monatlich (...) bis (...) Bonitätsabfragen überprüft. Die Beklagte erklärt weiter, sämtliche Kunden, welche erstmals Bonitätsabfragen tätigten, zu kontrollieren. Privatpersonen würden häufiger überprüft als Geschäftskunden ([...] Privatkunden täglich). Anlehnend an die sog. 2-Promille-Quote gemäss § 29 Abs. 2 des deutschen Bundesdatenschutzgesetzes (BDSG) i.V.m. § 10 Abs. 4 Satz 3 BDSG nehme sie regelmässig eine institutionalisierte Interessensüberprüfung im Verhältnis von 0.02 % zu den getätigten Abfragen vor. Zudem kontaktiere sie bei Verdacht auf missbräuchliche Nutzung, z.B. bei "Eigenauskünften" über andere natürliche oder juristische Personen oder wenn ein Benutzer stets denselben Abfragegrund angebe, den betreffenden
Benutzer telefonisch (vgl. zum Ablauf bei Eigenauskunftsbegehren auch das Datenschutzkonzept der Beklagten, S. 10 ff.).

Ein automatisiertes Prüfsystem bei Unregelmässigkeiten im Rahmen von Bonitätsabfragen, wie es die Beklagte in Aussicht gestellt hat, besteht zum Urteilszeitpunkt (noch) nicht (vgl. die Prozessdokumentation der Beklagten betreffend die Verifizierung von Bonitäts-Abonnementen und Protokoll der Vorbereitungsverhandlung vom 12. Dezember 2016, S. 7 f.).

9.2.3 Die Beklagte hat somit Massnahmen zur Verhinderung unbefugter Zugriffe Dritter auf die ihrerseits bearbeiteten Personendaten getroffen. Fraglich ist, ob diese im Hinblick auf die konkreten Risiken einer Persönlichkeitsverletzung ausreichend sind. Mit dem Kläger ist einig zu gehen, dass sich die Beklagte hauptsächlich auf Selbstdeklarationen ihrer Nutzer verlässt, dass diese die datenschutzrechtlichen Vorschriften einhalten und insbesondere über einen Interessensnachweis im Zeitpunkt der Bonitätsabfrage verfügen. Dass diese Nutzerangaben nicht durchgehend zuverlässig sind, zeigt sich anhand der telefonischen Rücksprachen der Beklagten, welche ergeben, dass Nutzer oft aus Unwissenheit oder Nachlässigkeit den Abfragegrund "Eigenauskunft" angeben. Allfällig vorhandene Dokumentationen wie Vertragsentwürfe zur Überprüfung der Angaben ihrer Nutzer fordert die Beklagte nicht ein. Der Kontrollanteil der Beklagten von monatlich (...) bis (...) Bonitätsabfragen bei einem totalen Volumen von mehreren (...) Abfragen erscheint sodann als verschwindend klein. Eine Intensivierung der manuellen Kontrolle führt zwar zu einem Mehraufwand seitens der Beklagten, letztlich liegt es jedoch auch in ihrem eigenen Interesse, dass die von ihr bearbeiteten Personendaten von Dritten nicht zweckwidrig verwendet werden. Zudem ist gemäss ihren Angaben seit längerem ein automatisiertes Prüfsystem in Planung, was den Kontrollaufwand minimieren dürfte. Diese Tatsachen und das hoch zu gewichtende Interesse der grossen Anzahl der von der Datenbearbeitung der Beklagten betroffenen Personen am Schutz ihrer Daten, insbesondere auch mit Blick auf eine allenfalls erfolgende, rechtmässige Bearbeitung von sensitiven Persönlichkeitsprofilen lassen eine regelmässige Überprüfung der Interessensnachweise im Zeitpunkt der Bonitätsabfrage im Verhältnis von 3 % zu den auf der Plattform der Beklagten getätigten Abfragen als zumutbar erscheinen. Anlehnend an die unter E. 7.3.2 zu den Bonitätsabfragen erwähnten Zahlen bedeutet dies konkret, dass die Beklagte jährlich voraussichtlich Daten von ca. zwischen (...) und (...) Abfragen auf die Richtigkeit der entsprechenden Interessensnachweise hin zu überprüfen hat.

Die Beklagte ist somit in Gutheissung von Rechtsbegehren 9 dazu zu verpflichten, ab Zustellung dieses Entscheids das Vorhandensein von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage in regelmässigen Zeitabständen in einem Verhältnis von 3 % zu den auf www.moneyhouse.ch getätigten Abfragen zu überprüfen.

10.
Die Festsetzung der Gerichtsgebühren und einer allfälligen Parteientschädigung richtet sich auch im Klageverfahren nach den Art. 63 -65 VwVG (Art. 44 Abs. 3 VGG).

10.1 Die Spruchgebühr, welche sich nach Umfang und Schwierigkeit der Sache, Art der Prozessführung und finanzieller Lage der Parteien richtet, beträgt in Streitigkeiten ohne Vermögensinteresse in der Regel zwischen Fr. 100.- bis Fr. 5000.- (Art. 63 Abs. 4bis Bst. a VwVG). Im vorliegenden Klageverfahren wurden diverse Instruktionsverfügungen sowie eine Zwischenverfügung betreffend die Abweisung der Verschiebungsgesuche der Beklagten erlassen, ein umfassender Schriftenwechsel sowie eine Vorbereitungs- und eine Hauptverhandlung durchgeführt.

10.2 Nach Art. 63 Abs. 1 VwVG werden die Verfahrenskosten in der Regel der unterliegenden Partei auferlegt. Die Verfahrenskosten, welche auf Fr. 5'000.- festgelegt werden, sind - da die Abweisung des Rechtsbegehrens 6 materiell nicht erheblich ins Gewicht fällt und der Kläger trotz des formellen Nichteintretens auf sein Rechtsbegehren 1 diesbezüglich in materieller Hinsicht Recht erhält - der als im Wesentlichen unterliegend geltenden Beklagten vollumfänglich aufzuerlegen. Letzterer ist demnach keine Parteientschädigung zu entrichten (Art. 64 Abs. 1 VwVG e contrario). Ebenso wenig Anspruch auf eine Parteientschädigung hat der Kläger (Art. 64 VwVG i.V.m. Art. 7 Abs. 3 des Reglements vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht [VGKE, SR 173.320.2]).

Demnach erkennt das Bundesverwaltungsgericht:

1.
Auf das Rechtsbegehren 1 wird nicht eingetreten.

2.
Die Rechtsbegehren 2-5 werden im Sinne der Erwägungen gutgeheissen. Die Beklagte wird dazu verpflichtet, die entsprechenden Anordnungen innert 30 Tagen ab Zustellung dieses Entscheids umzusetzen.

3.
Das Rechtsbegehren 6 wird abgewiesen.

4.
Das Rechtsbegehren 7 wird gutgeheissen und die Beklagte dazu verpflichtet, ab Zustellung dieses Entscheids ihren Datenbestand betreffend Richtigkeit in einem Verhältnis von 5 % zu den auf www.moneyhouse.ch getätigten Abfragen zu überprüfen.

5.
Das Rechtsbegehren 8 wird gutgeheissen und die Beklagte dazu verpflichtet, ab Zustellung dieses Entscheids Auskunftsgesuche betreffend die von ihr auf www.moneyhouse.ch angebotenen Dienstleistungen, welche sie nicht beantworten kann, umgehend und kostenlos an den zuständigen Vertragspartner weiterzuleiten.

6.
Das Rechtsbegehren 9 wird gutgeheissen und die Beklagte dazu verpflichtet, ab Zustellung dieses Entscheids das Vorhandensein von Interessensnachweisen zum Zeitpunkt der Bonitätsabfrage in regelmässigen Zeitabständen in einem Verhältnis von 3 % zu den auf www.moneyhouse.ch getätigten Abfragen zu überprüfen.

7.
Die Verfahrenskosten von Fr. 5'000.- werden der Beklagten auferlegt.

8.
Es werden keine Parteientschädigungen zugesprochen.

9.
Dieses Urteil geht an:

- den Kläger (Gerichtsurkunde)

- die Beklagte (Gerichtsurkunde)

Die vorsitzende Richterin: Die Gerichtsschreiberin:

Marianne Ryter Tanja Petrik-Haltiner

Rechtsmittelbelehrung:

Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bundesgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Angelegenheiten geführt werden (Art. 82 ff ., 90 ff. und 100 BGG). Die Rechtsschrift ist in einer Amtssprache abzufassen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie der Beschwerdeführer in Händen hat, beizulegen (Art. 42 BGG).

Versand:

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
¹	Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
²	I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
³	Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
¹	Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
²	I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
³	Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.

SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 44 - 1 Se il Tribunale amministrativo federale giudica in prima istanza, la procedura è retta dagli articoli 3-73 e 79-85 della legge del 4 dicembre 194760 di procedura civile federale.
¹	Se il Tribunale amministrativo federale giudica in prima istanza, la procedura è retta dagli articoli 3-73 e 79-85 della legge del 4 dicembre 194760 di procedura civile federale.
²	Il Tribunale amministrativo federale accerta d'ufficio i fatti.
³	Le tasse di giustizia e le spese ripetibili sono rette dagli articoli 63-65 PA61.62

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 35 - 1 Nel dibattimento preparatorio orale il giudice delegato discute con le parti l'oggetto della lite e, se necessario, induce a precisare, rettificare, semplificare o completare le loro allegazioni. Di regola le parti sono convocate personalmente a questo dibattimento.
¹	Nel dibattimento preparatorio orale il giudice delegato discute con le parti l'oggetto della lite e, se necessario, induce a precisare, rettificare, semplificare o completare le loro allegazioni. Di regola le parti sono convocate personalmente a questo dibattimento.
²	Il giudice delegato procede in seguito all'assunzione delle prove.
³	L'assunzione delle prove è rinviata al dibattimento principale quando ragioni particolari esigono che il tribunale prenda direttamente conoscenza dei fatti della causa.
⁴	Il giudice delegato può prescindere dal dibattimento preparatorio orale se le parti vi consentono.

SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 44 - 1 Se il Tribunale amministrativo federale giudica in prima istanza, la procedura è retta dagli articoli 3-73 e 79-85 della legge del 4 dicembre 194760 di procedura civile federale.
¹	Se il Tribunale amministrativo federale giudica in prima istanza, la procedura è retta dagli articoli 3-73 e 79-85 della legge del 4 dicembre 194760 di procedura civile federale.
²	Il Tribunale amministrativo federale accerta d'ufficio i fatti.
³	Le tasse di giustizia e le spese ripetibili sono rette dagli articoli 63-65 PA61.62

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 66 - 1 Le parti sono avvisate della chiusura della procedura preparatoria.
¹	Le parti sono avvisate della chiusura della procedura preparatoria.
²	Il presidente della sezione emette le citazioni a comparire davanti al tribunale.
³	È applicabile per analogia l'articolo 34 capoverso 2.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 29 Restrizioni del diritto di farsi consegnare dati o di esigerne la trasmissione a terzi - 1 Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
¹	Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
²	Il titolare del trattamento indica il motivo per cui rifiuta, limita o differisce la consegna o la trasmissione.

SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 35 Principio - Il Tribunale amministrativo federale giudica su azione in prima istanza:
^a	le controversie derivanti da contratti di diritto pubblico sottoscritti dalla Confederazione, dai suoi stabilimenti, dalle sue aziende o dalle organizzazioni ai sensi dell'articolo 33 lettera h;
^b	...
^c	le controversie tra la Confederazione e la Banca nazionale concernenti le convenzioni sui servizi bancari e sulla distribuzione dell'utile;
^d	le domande di confisca di valori patrimoniali conformemente alla legge del 18 dicembre 201552 sui valori patrimoniali di provenienza illecita.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 3 - 1 Il giudice esamina d'ufficio l'ammissibilità della petizione e di tutti gli ulteriori atti processuali.
¹	Il giudice esamina d'ufficio l'ammissibilità della petizione e di tutti gli ulteriori atti processuali.
²	Il giudice non può pronunciare oltre i limiti delle conclusioni delle parti e deve fondare il suo giudizio solamente su fatti allegati nel corso della procedura. Egli deve tuttavia richiamare l'attenzione delle parti sull'insufficienza delle loro conclusioni e adoperarsi affinché indichino in modo completo i dati e i mezzi di prova necessari all'accertamento del vero stato di fatto. A questo scopo, egli può interpellare le parti personalmente in ogni stadio della causa.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 73 - 1 La transazione conclusa tra le parti davanti al giudice o consegnata al giudice per essere registrata a verbale, come pure la desistenza d'una parta, terminano il processo.
¹	La transazione conclusa tra le parti davanti al giudice o consegnata al giudice per essere registrata a verbale, come pure la desistenza d'una parta, terminano il processo.
²	La transazione giudiziale può anche estendersi a punti i quali, benché estranei al processo, sono litigiosi tra le parti o tra una parte e un terzo, in quanto ciò agevoli la fine del processo.
³	Quando in via d'eccezione il convenuto allega che la pretesa è inesigibile o dipende da una condizione od oppone un vizio di forma, l'attore può ritirare la sua azione riservando d'introdurla di nuovo dopo che la pretesa sarà esigibile, la condizione adempita o il vizio di forma tolto.
⁴	La transazione giudiziale e la desistenza sono esecutive come la sentenza.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 79 - 1 Il giudice può ordinare provvedimenti d'urgenza:
¹	Il giudice può ordinare provvedimenti d'urgenza:
^a	per tutelare il possessore contro ogni atto d'usurpazione o di turbativa e far rientrare una parte in possesso di una cosa indebitamente ritenuta;
^b	per impedire un danno difficilmente riparabile e imminente, in modo particolare il danno derivante dalla mutazione, prima che sia introdotta l'azione o in corso di causa, dello stato di fatto esistente.
²	Non possono essere presi provvedimenti d'urgenza per la sicurezza di crediti sottoposti alla legge federale dell'11 aprile 188936 sull'esecuzione e sul fallimento.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 23 - La petizione deve contenere:
^a	il nome, il domicilio e la designazione esatta delle parti;
^b	le conclusioni dell'attore;
^c	i dati determinanti la competenza del Tribunale federale;
^d	l'esposizione chiara dei fatti idonei a giustificare le conclusioni (art. 19);
^e	l'enunciazione esatta, per ciascun fatto, dei mezzi di prova, con richiamo dei numeri degli annessi (lett. f);
^f	l'elenco numerato degli annessi;
^g	la data e la firma dell'estensore dell'atto.

SR 272 Codice di diritto processuale civile svizzero del 19 dicembre 2008 (Codice di procedura civile, CPC) - Codice di procedura civile CPC Art. 221 Petizione - 1 La petizione contiene:
¹	La petizione contiene:
^a	la designazione delle parti e dei loro eventuali rappresentanti;
^b	la domanda;
^c	l'indicazione del valore litigioso;
^d	l'esposizione dei fatti;
^e	l'indicazione dei singoli mezzi di prova con riferimento ai fatti esposti;
^f	la data e la firma.
²	Alla petizione devono essere allegati:
^a	la procura, se vi è un rappresentante;
^b	se del caso l'autorizzazione ad agire o la dichiarazione di rinuncia alla procedura di conciliazione;
^c	i documenti a disposizione, invocati come mezzi di prova;
^d	l'elenco dei mezzi di prova.
³	La petizione può contenere una motivazione giuridica.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 25 Diritto d'accesso - 1 Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
¹	Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
²	Alla persona interessata sono fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati. In ogni caso le sono fornite le informazioni seguenti:
^a	l'identità e i dati di contatto del titolare del trattamento;
^b	i dati personali trattati in quanto tali;
^c	lo scopo del trattamento;
^d	la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata;
^e	le informazioni disponibili sulla provenienza dei dati personali che non sono stati raccolti presso la persona interessata;
^f	se del caso, l'esistenza di una decisione individuale automatizzata e la logica su cui si fonda la decisione;
^g	se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali, nonché le informazioni di cui all'articolo 19 capoverso 4.
³	I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata.
⁴	Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento.
⁵	Nessuno può rinunciare preventivamente al diritto d'accesso.
⁶	Il titolare del trattamento fornisce gratuitamente le informazioni. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se l'informazione richiede un onere sproporzionato.
⁷	Di norma l'informazione è fornita entro 30 giorni.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 4 Incaricato federale della protezione dei dati e della trasparenza - 1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
¹	L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
²	Non sono sottoposti alla vigilanza dell'IFPDT:
^a	l'Assemblea federale;
^b	il Consiglio federale;
^c	i tribunali della Confederazione;
^d	il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;
^e	le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
¹	La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
²	Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
¹	La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
^a	privati;
^b	organi federali.
²	Non si applica al trattamento di dati personali da parte:
^a	di persone fisiche per uso esclusivamente personale;
^b	delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
^c	dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
³	Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
⁴	I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 12 Registro delle attività di trattamento - 1 I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
¹	I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
²	Il registro del titolare del trattamento contiene almeno:
^a	l'identità del titolare del trattamento;
^b	lo scopo del trattamento;
^c	una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
^d	le categorie di destinatari;
^e	se possibile, la durata di conservazione dei dati personali o i criteri per determinare tale durata;
^f	se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l'articolo 8;
^g	se i dati personali sono comunicati all'estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all'articolo 16 capoverso 2.
³	Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella del titolare del trattamento, alle categorie dei trattamenti eseguiti su incarico del titolare del trattamento, come pure le indicazioni di cui al capoverso 2 lettere f e g.
⁴	Gli organi federali notificano i loro registri all'IFPDT.
⁵	Il Consiglio federale prevede eccezioni per le imprese con meno di 250 collaboratori i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 13 Certificazione - 1 I fornitori di programmi o sistemi di trattamento di dati personali come pure i titolari e i responsabili del trattamento possono sottoporre i loro sistemi, prodotti e servizi a una valutazione da parte di organismi di certificazione indipendenti riconosciuti.
¹	I fornitori di programmi o sistemi di trattamento di dati personali come pure i titolari e i responsabili del trattamento possono sottoporre i loro sistemi, prodotti e servizi a una valutazione da parte di organismi di certificazione indipendenti riconosciuti.
²	Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull'introduzione di un marchio di qualità inerente alla protezione dei dati. Tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 14 Rappresentante - 1 I titolari privati del trattamento con sede o domicilio all'estero designano un rappresentante in Svizzera se trattano dati personali concernenti persone in Svizzera e il trattamento:
¹	I titolari privati del trattamento con sede o domicilio all'estero designano un rappresentante in Svizzera se trattano dati personali concernenti persone in Svizzera e il trattamento:
^a	è legato a un'offerta di merci o prestazioni o finalizzato a porre sotto osservazione il comportamento di dette persone;
^b	è un trattamento su grande scala;
^c	è un trattamento periodico; e
^d	comporta un rischio elevato per la personalità delle persone interessate.
²	Il rappresentante funge da interlocutore per le persone interessate e l'IFPDT.
³	Il titolare del trattamento pubblica il nome e l'indirizzo del rappresentante.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 6 Principi - 1 I dati personali devono essere trattati in modo lecito.
¹	I dati personali devono essere trattati in modo lecito.
²	Il trattamento deve essere conforme ai principi della buona fede e della proporzionalità.
³	I dati personali possono essere raccolti soltanto per uno scopo determinato e riconoscibile per la persona interessata; possono essere trattati ulteriormente soltanto in modo compatibile con tale scopo.
⁴	I dati personali sono distrutti o resi anonimi appena non sono più necessari per lo scopo del trattamento.
⁵	Chi tratta dati personali deve accertarsi della loro esattezza. Deve prendere tutte le misure adeguate per rettificare, cancellare o distruggere i dati inesatti o incompleti rispetto allo scopo per il quale sono stati raccolti o trattati. L'adeguatezza delle misure dipende segnatamente dal tipo e dall'entità del trattamento dei dati come pure dai rischi derivanti dal trattamento per la personalità o i diritti fondamentali della persona interessata.
⁶	Laddove sia una condizione necessaria per il trattamento, il consenso della persona interessata è valido soltanto se, dopo debita informazione, è dato in modo libero in riferimento a uno o più trattamenti specifici.
⁷	È necessario l'espresso consenso per:
^a	il trattamento di dati personali degni di particolare protezione;
^b	la profilazione a rischio elevato da parte di privati;
^c	la profilazione da parte di un organo federale.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 5 Definizioni - Nella presente legge s'intende per:
^a	dati personali: tutte le informazioni concernenti una persona fisica identificata o identificabile;
^b	persona interessata: la persona fisica i cui dati personali sono oggetto di trattamento;
^c	dati personali degni di particolare protezione:
^c1	i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali,
^c2	i dati concernenti la salute, la sfera intima o l'appartenenza a una razza o a un'etnia,
^c3	i dati genetici,
^c4	i dati biometrici che identificano in modo univoco una persona fisica,
^c5	i dati concernenti perseguimenti e sanzioni amministrativi e penali,
^c6	i dati concernenti le misure d'assistenza sociale;
^d	trattamento: qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l'utilizzazione, la modificazione, la comunicazione, l'archiviazione, la cancellazione o la distruzione di dati;
^e	comunicazione: la trasmissione di dati personali o il fatto di renderli accessibili;
^f	profilazione: trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere aspetti concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, i luoghi di permanenza e gli spostamenti di tale persona;
^g	profilazione a rischio elevato: profilazione che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata poiché comporta un collegamento tra dati che permette di valutare aspetti essenziali della personalità di una persona fisica;
^h	violazione della sicurezza dei dati: violazione della sicurezza in seguito alla quale, in modo accidentale o illecito, dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate;
ⁱ	organo federale: autorità o servizio della Confederazione, oppure persona cui sono affidati compiti federali;
^j	titolare del trattamento: il privato o l'organo federale che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento;
^k	responsabile del trattamento: il privato o l'organo federale che tratta dati personali per conto del titolare del trattamento.

SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa) OPDa Art. 1 Principi - 1 Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
¹	Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
²	La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri:
^a	tipo di dati trattati;
^b	scopo, tipo, portata e circostanze del trattamento.
³	Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri:
^a	cause del rischio;
^b	pericolo sostanziale;
^c	provvedimenti adottati o previsti per minimizzare il rischio;
^d	probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti.
⁴	Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri:
^a	lo stato della tecnica;
^b	le spese di implementazione.
⁵	La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l'intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 7 Protezione dei dati personali sin dalla progettazione e per impostazione predefinita - 1 Il titolare del trattamento è tenuto ad adottare i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati personali sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all'articolo 6. Li adotta sin dalla progettazione.
¹	Il titolare del trattamento è tenuto ad adottare i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati personali sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all'articolo 6. Li adotta sin dalla progettazione.
²	I provvedimenti tecnici e organizzativi devono essere adeguati in particolare allo stato della tecnica, al tipo e all'entità del trattamento dei dati personali come pure ai rischi derivanti dal trattamento per la personalità o i diritti fondamentali delle persone interessate.
³	Il titolare del trattamento è tenuto a garantire, mediante appropriate impostazioni predefinite, che il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito, salvo che la persona interessata disponga altrimenti.

SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa) OPDa Art. 8 Valutazione dell'adeguatezza della protezione dei dati di uno Stato, un territorio, un determinato settore di uno Stato o un organismo internazionale - 1 Gli Stati, i territori, determinati settori di uno Stato e gli organismi internazionali con una protezione adeguata dei dati sono elencati nell'allegato 1.
¹	Gli Stati, i territori, determinati settori di uno Stato e gli organismi internazionali con una protezione adeguata dei dati sono elencati nell'allegato 1.
²	Per valutare se uno Stato, un territorio, un determinato settore di uno Stato o un organismo internazionale garantisce una protezione adeguata dei dati, vanno segnatamente presi in considerazione i seguenti criteri:
^a	gli impegni internazionali dello Stato o dell'organismo internazionale, in particolare nel settore della protezione dei dati;
^b	lo Stato di diritto e il rispetto dei diritti dell'uomo;
^c	la legislazione vigente in particolare in materia di protezione dei dati, la sua attuazione e la giurisprudenza pertinente;
^d	l'effettiva garanzia dei diritti delle persone interessate e della tutela giurisdizionale;
^e	l'effettivo funzionamento di una o più autorità indipendenti responsabili della protezione dei dati nello Stato in questione o alle quali è assoggettato un organismo internazionale e dotate di poteri e competenze sufficienti.
³	L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) viene consultato al momento di ogni valutazione. Possono essere presi in considerazione i pareri di organismi internazionali o autorità estere competenti per la protezione dei dati.
⁴	L'adeguatezza della protezione dei dati è periodicamente oggetto di una nuova valutazione.
⁵	Le valutazioni vengono pubblicate.
⁶	Se dalla valutazione secondo il capoverso 4 o da altre informazioni si evince che non è più garantita una protezione adeguata dei dati, l'allegato 1 è modificato; tale modifica non ha alcuna ripercussione sulle comunicazioni di dati già avvenute.

SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 63 - 1 L'autorità di ricorso mette nel dispositivo le spese processuali, consistenti in una tassa di decisione nelle tasse di cancelleria e negli sborsi, di regola a carico della parte soccombente. Se questa soccombe solo parzialmente, le spese processuali sono ridotte. Per eccezione, si possono condonare le spese processuali.
¹	L'autorità di ricorso mette nel dispositivo le spese processuali, consistenti in una tassa di decisione nelle tasse di cancelleria e negli sborsi, di regola a carico della parte soccombente. Se questa soccombe solo parzialmente, le spese processuali sono ridotte. Per eccezione, si possono condonare le spese processuali.
²	Nessuna spesa processuale è messa a carico dell'autorità inferiore ne delle autorità federali, che promuovano il ricorso e soccombano; se l'autorità ricorrente, che soccombe, non è un'autorità federale, le spese processuali le sono addossate in quanto la causa concerna interessi pecuniari di enti o d'istituti autonomi.
³	Alla parte vincente possono essere addossate solo le spese processuali che abbia cagionato violando le regole di procedura.
⁴	L'autorità di ricorso, il suo presidente o il giudice dell'istruzione esige dal ricorrente un anticipo equivalente alle presunte spese processuali. Stabilisce un congruo termine per il pagamento con la comminatoria che altrimenti non entrerà nel merito. Se sussistono motivi particolari, può rinunciare interamente o in parte a esigere l'anticipo.100
^4bis	La tassa di decisione è stabilita in funzione dell'ampiezza e della difficoltà della causa, del modo di condotta processuale e della situazione finanziaria delle parti. Il suo importo oscilla:
^a	da 100 a 5000 franchi nelle controversie senza interesse pecuniario;
^b	da 100 a 50 000 franchi nelle altre controversie.101
⁵	Il Consiglio federale disciplina i dettagli relativi alla determinazione delle tasse.102 Sono fatti salvi l'articolo 16 capoverso 1 lettera a della legge del 17 giugno 2005103 sul Tribunale amministrativo federale e l'articolo 73 della legge del 19 marzo 2010104 sull'organizzazione delle autorità penali.105

SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 65 - 1 Se una parte non dispone dei mezzi necessari e le sue conclusioni non sembrano prive di probabilità di successo, l'autorità di ricorso, il suo presidente o il giudice dell'istruzione la dispensa, a domanda, dopo il deposito del ricorso, dal pagamento delle spese processuali.110
¹	Se una parte non dispone dei mezzi necessari e le sue conclusioni non sembrano prive di probabilità di successo, l'autorità di ricorso, il suo presidente o il giudice dell'istruzione la dispensa, a domanda, dopo il deposito del ricorso, dal pagamento delle spese processuali.110
²	Se è necessario per tutelare i diritti di tale parte, l'autorità di ricorso, il suo presidente o il giudice dell'istruzione le designa inoltre un avvocato.111
³	L'onorario e le spese d'avvocato sono messi a carico conformemente all'articolo 64 capoversi 2 a 4.
⁴	La parte, ove cessi d'essere nel bisogno, deve rimborsare l'onorario e le spese d'avvocato all'ente o all'istituto autonomo che li ha pagati.
⁵	Il Consiglio federale disciplina la determinazione degli onorari e delle spese.112 Sono fatti salvi l'articolo 16 capoverso 1 lettera a della legge del 17 giugno 2005113 sul Tribunale amministrativo federale e l'articolo 73 della legge del 19 marzo 2010114 sull'organizzazione delle autorità penali.115

SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 64 - 1 L'autorità di ricorso, se ammette il ricorso in tutto o in parte, può, d'ufficio o a domanda, assegnare al ricorrente una indennità per le spese indispensabili e relativamente elevate che ha sopportato.
¹	L'autorità di ricorso, se ammette il ricorso in tutto o in parte, può, d'ufficio o a domanda, assegnare al ricorrente una indennità per le spese indispensabili e relativamente elevate che ha sopportato.
²	Il dispositivo indica l'ammontare dell'indennità e l'addossa all'ente o all'istituto autonomo, nel cui nome l'autorità inferiore ha deciso, in quanto non possa essere messa a carico di una controparte soccombente.
³	Se una controparte soccombente ha presentato conclusioni indipendenti, l'indennità può essere messa a suo carico, secondo la propria solvenza.
⁴	L'ente o l'istituto autonomo, nel cui nome l'autorità inferiore ha deciso, risponde dell'indennità addossata a una controparte soccombente, in quanto non possa essere riscossa.
⁵	Il Consiglio federale disciplina la determinazione delle spese ripetibili.106 Sono fatti salvi l'articolo 16 capoverso 1 lettera a della legge del 17 giugno 2005107 sul Tribunale amministrativo federale e l'articolo 73 della legge del 19 marzo 2010108 sull'organizzazione delle autorità penali.109

SR 173.320.2 Regolamento del 21 febbraio 2008 sulle tasse e sulle spese ripetibili nelle cause dinanzi al Tribunale amministrativo federale (TS-TAF) TS-TAF Art. 7 Principio - 1 La parte vincente ha diritto alle ripetibili per le spese necessarie derivanti dalla causa.
¹	La parte vincente ha diritto alle ripetibili per le spese necessarie derivanti dalla causa.
²	Se la parte vince solo parzialmente, le spese ripetibili sono ridotte in proporzione.
³	Le autorità federali e, di regola, le altre autorità con qualità di parte non hanno diritto a un'indennità a titolo di ripetibili.
⁴	Se le spese sono relativamente modeste, si può rinunciare a concedere alla parte un'indennità a titolo di ripetibili.
⁵	L'articolo 6a è applicabile per analogia.7

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 82 Principio - Il Tribunale federale giudica i ricorsi:
^a	contro le decisioni pronunciate in cause di diritto pubblico;
^b	contro gli atti normativi cantonali;
^c	concernenti il diritto di voto dei cittadini nonché le elezioni e votazioni popolari.

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 42 Atti scritti - 1 Gli atti scritti devono essere redatti in una lingua ufficiale, contenere le conclusioni, i motivi e l'indicazione dei mezzi di prova ed essere firmati.
¹	Gli atti scritti devono essere redatti in una lingua ufficiale, contenere le conclusioni, i motivi e l'indicazione dei mezzi di prova ed essere firmati.
²	Nei motivi occorre spiegare in modo conciso perché l'atto impugnato viola il diritto. Qualora il ricorso sia ammissibile soltanto se concerne una questione di diritto di importanza fondamentale o un caso particolarmente importante per altri motivi, occorre spiegare perché la causa adempie siffatta condizione.14 15
³	Se sono in possesso della parte, i documenti indicati come mezzi di prova devono essere allegati; se l'atto scritto è diretto contro una decisione, anche questa deve essere allegata.
⁴	In caso di trasmissione per via elettronica, la parte o il suo patrocinatore deve munire l'atto scritto di una firma elettronica qualificata secondo la legge del 18 marzo 201616 sulla firma elettronica. Il Tribunale federale determina mediante regolamento:
^a	il formato dell'atto scritto e dei relativi allegati;
^b	le modalità di trasmissione;
^c	le condizioni alle quali può essere richiesta la trasmissione successiva di documenti cartacei in caso di problemi tecnici.17
⁵	Se mancano la firma della parte o del suo patrocinatore, la procura dello stesso o gli allegati prescritti, o se il patrocinatore non è autorizzato in quanto tale, è fissato un congruo termine per sanare il vizio, con la comminatoria che altrimenti l'atto scritto non sarà preso in considerazione.
⁶	Gli atti illeggibili, sconvenienti, incomprensibili, prolissi o non redatti in una lingua ufficiale possono essere del pari rinviati al loro autore affinché li modifichi.
⁷	Gli atti scritti dovuti a condotta processuale da querulomane o altrimenti abusiva sono inammissibili.