sic! 2017 Ausgabe 12

«Moneyhouse». Bundesverwaltungsgericht vom 18. April 2017

3. Persönlichkeits- und Datenschutzrecht

DSG 3 lit. c, d. Wer seinen Nutzern über die zur Identifikation notwendigen Angaben hinaus auch damit systematisch verknüpfte Informationen zur privaten Wohn- und Lebenssituation betroffener natürlicher Personen (z.B. Haushaltsmitglieder oder Nachbarn) bekannt gibt, erstellt ein Persönlichkeitsprofil (E. 5.2).
DSG 4 V, 13 I, II. Anders als die blosse Weitergabe einer Datensammlung bedarf die Weitergabe von Persönlichkeitsprofilen zwingend eines Rechtfertigungsgrunds, zu dessen Ermittlung im Rahmen einer gesamthaften Interessenabwägung für die Datenbearbeitung sprechende öffentliche und private Interessen den Schutzinteressen der betroffenen Personen gegenüberzustellen sind. Dabei sind die einzelnen Interessen konkret zu ermitteln, mithilfe rechtlich ausgewiesener Massstäbe zu beurteilen und schliesslich zu optimieren (E. 5.3-5.4.2.1).
DSG 13 I, II. Keinen Rechtfertigungsgrund anführen kann, wer im Interesse wirtschaftlichen Erfolgs die Verletzung der Persönlichkeitsrechte zahlreicher Personen in Kauf nimmt, weil das Vermeiden allfälliger Persönlichkeitsverletzungen einen finanziellen Mehraufwand bedeuten würde, zumal überwiegende private oder öffentliche Interessen bei der Interessenabwägung bloss zurückhaltend zu bejahen sind (E. 5.4.2.2, 5.5).
DSG 5 I. Bei einer grossen Anzahl der von einer Datenbearbeitung betroffenen Personen und der Bedeutsamkeit der Richtigkeit, Vollständigkeit und Aktualität von Daten sowohl im Rahmen einer zulässigerweise nach erfolgter Einwilligung der Betroffenen durchgeführten, sensitiven Bearbeitung von Persönlichkeitsprofilen als auch im Bereich von Bonitätsauskünften ist die Überprüfung eines Datenbestands auf seine Richtigkeit hin im Verhältnis von 5% zu den auf ihrer Plattform getätigten Abfragen verhältnismässig und angemessen (E. 7).
DSG 3 lit. i, 8 I; VDSG 1 V. Wenn der adressierte Inhaber der Datensammlung zur Auskunftserteilung nicht ermächtigt ist, ist das Begehren an den Zuständigen weiterzuleiten. Die Person, die erfahren möchte, ob ihre Daten allenfalls in einer Datensammlung figurieren, soll nicht lange Recherchen über die Identität des Inhabers der Datensammlung anstellen müssen (E. 8).
DSG 7 I, 13 II lit. c, VDSG 8 II. Ein Datenbearbeiter hat Massnahmen zur Verhinderung unbefugter Zugriffe Dritter auf die bearbeiteten Personendaten zu treffen. Es genügt dabei nicht, sich weitgehend auf Selbstdeklarationen der Nutzer zu verlassen, wenn solche Nutzerangaben nicht durchgehend zuverlässig sind und das Interesse der grossen Anzahl der von der Datenbearbeitung der Beklagten Personen am Schutz ihrer Daten hoch zu gewichten ist; vielmehr ist diesfalls eine regelmässige Überprüfung der Interessensnachweise im Zeitpunkt der Bonitätsabfrage im Verhältnis von 3% zu den auf der betreffenden Plattform getätigten Abfragen zumutbar (E. 9). [Volltext]


3. Protection de la personnalité et protection des données

LPD 3 lit. c, d. Toute personne qui met systématiquement à disposition de ses utilisateurs des informations qui vont au-delà des informations usuelles nécessaires à identifier une personne naturelle et qui concernent ses conditions de logement ou de voisinage (par ex. membres du ménage ou voisins) établit un profil de personnalité (consid. 5.2).
LPD 4 V, 13 I, II. Contrairement à la simple transmission d’un fichier, la transmission de profils de personnalité nécessite impérativement un motif justificatif; afin de déterminer si celui-ci est donné et si le traitement des données peut être autorisé, il y a lieu d’effectuer une pesée des intérêts globale entre les intérêts publics et privés en faveur du traitement des données et les intérêts dignes de protection des personnes concernées. Pour ce faire, il convient d’identifier les intérêts individuels, de les évaluer sur la base de critères juridiques et finalement de les optimiser (consid. 5.3-5.4.2.1).
LPD 13 I, II. Ne peut démontrer de motif justificatif une personne qui, afin de s’assurer un succès commercial, accepte de violer les droits de la personnalité d’un grand nombre de personnes, parce que le fait que les mesures nécessaires à éviter d’éventuelles atteintes à la personnalité entraîneraient des coûts supplémentaires, d’autant plus que l’existence d’intérêts privés ou public prépondérants n’est admise qu’avec retenue dans la pesée des intérêts (consid. 5.4.2.2, 5.5).
LPD 5 I. Lorsqu’un grand nombre de personnes sont touchées par le traitement de données et lorsque l’exactitude, l’exhaustivité et l’actualité des données jouent un rôle important, de même que lors du traitement légitime de profils personnels, obtenus avec l’autorisation des personnes concernées, ainsi que dans le contexte de la vérification de solvabilité, l’exigence du contrôle de l’exactitude de 5% des requêtes effectuées sur une base de données doit être considérée comme proportionnée et adéquate (consid. 7).
LPD 3 lit. i, 8 I; OLPD 1 V. Dans le cas où le maître de fichier auquel une demande a été adressée n’est pas habilité à donner des renseignements, la requête doit être transmise à la personne responsable. La personne qui aimerait savoir si, le cas échéant, ses données figurent dans une base de données, n’a pas à engager de longues recherches sur l’identité du maître de fichier (consid. 8).
LPD 7 I, 13 II lit. c, OLPD 8 II. La personne qui traite des données doit prendre les mesures nécessaires pour empêcher l’accès non autorisé de tiers à la base de données personnelles traitée. À cet effet, il ne suffit pas de se fier de manière générale à l’auto-déclaration de l’utilisateur lorsque de telles données relatives aux utilisateurs ne sont pas fiables de manière continue et qu’il y a lieu de conférer un poids important à l’intérêt à la protection de leurs données du grand nombre de personnes concernées par le traitement des données effectué par la défenderesse; dans un tel cas, il faut bien au contraire considérer que l’exigence d’une évaluation régulière de la justification de l’intérêt au moment de la vérification de solvabilité correspondant à 3% des requêtes adressées à la plateforme en question est tout à fait acceptable (consid. 9). [texte complet]


Abteilung I; teilweise Gutheissung der Klage; Akten-Nr. A-4232/2015

Fenster schliessen