Was gehört in eine Datenschutzerklärung?

Je näher der 25. Mai 2018 und damit die Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) rückt, desto emsiger beginnen auch Schweizer Unternehmen ihre Datenschutzerklärungen entsprechend anzupassen. Es stellt sich die Frage, was eigentlich in eine Datenschutzerklärung gehört und wie diese aufgebaut werden sollte. Dabei ist es auch für ein Schweizer Unternehmen durchaus sinnvoll, die Datenschutzerklärung entsprechend den neuen EU-Vorschriften zu verfassen (s. dazu „Neuer EU-Datenschutz – Gefahr für Schweizer KMU?“).

Der Inhalt einer Datenschutzerklärung ergibt sich im Wesentlichen aus den Informationspflichten des Datenschutzverantwortlichen, also des Unternehmens, gemäss Art. 12 ff. DSGVO. Dabei muss konkret bezogen auf die jeweilige Datenerfassung bzw. Datenverarbeitung informiert werden. Wichtig ist, dass eine Datenschutzerklärung klar und verständlich formuliert wird, andernfalls sie möglicherweise gar keine rechtliche Wirkung hat.

Vorab muss ein Unternehmen darüber informieren, dass es für die Datenverfassung und die Datenverarbeitung verantwortlich ist. Dabei muss es seine Kontaktdaten sowie die Kontaktdaten seines allfälligen Datenschutzbeauftragten (unternehmensintern oder -extern) publizieren.

In der Folge muss den betroffenen Personen mitgeteilt werden, welche personenbezogenen Daten erfasst werden und zu welchem Zweck. Zu dieser Information gehört auch, auf welcher rechtlichen Grundlage die Datenerfassung und die folgende Datenverarbeitung erfolgt. Rechtliche Grundlage können im Wesentlichen die Einwilligung der betroffenen Person, die Notwendigkeit für die Abwicklung einer Rechtsbeziehung (z.B. Kaufvertrag), ein Gesetz oder berechtigte Interessen des Unternehmens oder eines Dritten sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Fällt die rechtliche Grundlage für die Datenverarbeitung weg, müssen die entsprechenden personenbezogenen Daten ohne Verzug mit entsprechenden adäquaten technischen Mitteln dauerhaft gelöscht werden. Auch darüber ist in der Datenschutzerklärung zu informieren.

Sofern personenbezogene Daten nicht vom nämlichen Unternehmen selbst verarbeitet, sondern dafür an Dritte übermittelt werden, muss über diese Empfänger oder Kategorien von Empfängern informiert werden.

Werden personenbezogene Daten ins Ausland transferiert, ist dies insbesondere in der Datenschutzerklärung zu deklarieren und es ist darüber zu informieren, wie diesbezüglich das hohe Datenschutzniveau der Schweiz bzw. der EU auch im Ausland gewährleistet ist.

Ebenfalls müssen die betroffenen Personen über ihre Rechte in Bezug auf die Erfassung und Verarbeitung ihrer personenbezogenen Daten informiert werden. Dazu gehören gemäss DSGVO insbesondere folgende Rechte:
– Recht auf Auskunft
– Recht auf Berichtigung
– Recht auf Löschung
– Recht auf Einschränkung der Verarbeitung
– Recht auf Widerspruch gegen die Verarbeitung
– Recht auf Datenübertragbarkeit
– Recht auf Beschwerden bei den Aufsichtsbehörden
– Recht auf Widerruf der Einwilligung

Schlussendlich müssen die betroffenen Personen darüber informiert werden, ob die Überlassung bzw. Erfassung ihrer personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten zur Verfügung zu stellen und welche mögliche Folge die nicht Zurverfügungstellung hätte (z.B. eingeschränkte Nutzung einer Website, wenn Cookies verweigert werden).

Bei diesen Ausführungen handelt es sich um eine Erläuterung zur Datenschutzerklärung basierend auf der EU-DSGVO. Es handelt sich um keine Empfehlung und darum wird auch jeden Haftung abgelehnt. Es wird empfohlen, für die Redaktion einer Datenschutzerklärung eine Fachperson, z.B. einen im Datenschutz spezialiserten Rechtsanwalt beizuziehen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

WhatsApp-Mindestalter 16 gilt auch für Schweiz

Aufgrund der Anwendung der EU-Datenschutz-Grundverordnung (DSGVO; s. Neuer EU-Datenschutz – Gefahr für Schweizer KMU?) ab dem 25. Mai 2018 hat WhatsApp seine Nutzungs- und Datenschutzrichtline insbesondere dahingehend angepasst, dass die WhatsApp-Dienstleistungen grundsätzlich nur noch Personen mit dem Mindestalter 16 zugänglich sind. Immerhin lässt es WhatsApp zu, dass Erziehungsberechtigte der Nutzung der WhatsApp-Dienste zustimmen können, wenn das Kind bzw. der Jugendliche jünger als 16 Jahre ist. Damit bleibt wohl de facto alles beim Alten. Zudem gehört für WhatsApp auch die Schweiz zur „Europäischen Region“ (s. faq.whatsapp.com/general/26000121). Damit gilt das generelle Mindestalter von 16 Jahren auch für die Schweiz, auch wenn das schweizerische Datenschutzgesetz der EU-Datenschutz-Grundverordnung noch nicht angepasst wurde (s. vorne oder hier). Dass die Schweiz für WhatsApp ebenfalls zur „Europäischen Region“ gehört, hat noch einen anderen Vorteil für die Schweizer User. Damit werden die Dienste von WhatsApp auch für die Schweiz von der WhatsApp Ireland Limited und nicht von der WhatsApp Inc. in den USA zur Verfügung gestellt. WhatsApp trennt offenbar wohlweislich Daten von Usern in Europa, von Daten von Usern in den USA und anderen Ländern, da die Daten von Usern in der EU nun unter dem strengen Datenschutz-Regime stehen, das Bussen von bis zu 4 % des Gruppenumsatzes eines Unternehmens, wie WhatsApp, vorsieht, wenn Datenschutz-Vorschriften verletzt werden (s. vorne oder hier)!

Wenn du in einem Land in der Europäischen Region lebst, musst du mindestens 16 Jahre alt sein, um unsere Dienste zu nutzen oder das in deinem Land für die Registrierung bzw. Nutzung unserer Dienste erforderliche Alter haben. Wenn du in einem Land lebst, das nicht in der Europäischen Region liegt, musst du mindestens 13 Jahre alt sein, um unsere Dienste zu nutzen oder das in deinem Land für die Registrierung bzw. Nutzung unserer Dienste erforderliche Alter haben. Zusätzlich zu der Anforderung, dass du nach geltendem Recht das zur Nutzung unserer Dienste erforderliche Mindestalter haben musst, gilt Folgendes: Wenn du nicht alt genug bist, um in deinem Land berechtigt zu sein, unseren Bedingungen zuzustimmen, muss dein Erziehungsberechtigter in deinem Namen unseren Bedingungen zustimmen.

Sind Klassenchats illegal?

Klassenchats mit Schüler unter 16 Jahren sind nicht per se illegal. Autorisiert wird die Teilnahme nicht durch die Schule bzw. die Lehrpersonen, sondern durch die Schüler selber. Und wie hier erläutert, können gemäss den AGB von Whatsapp die Eltern ihre Zustimmung geben. Also, keine Panik. Auch hier bleibt de facto alles wie gehabt.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

Neuer EU-Datenschutz – Gefahr für Schweizer KMU?

Datenschutz kurz erklärt im neuen Blog zu den rechtlichen Hotspots in der digitalen Welt digilaw.ch: Digital Personality (Identity, Privacy).

Artikel mit Interview mit Rechtsanwalt Ueli Grüter in der Luzerner Zeitung vom 10.01.2018

Ab dem 25. Mai 2018 kommt die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) zur Anwendung. Für Unternehmen hat die Verordnung gravierende Folgen. Neben Schadenersatzforderungen der Betroffenen drohen bei Verstössen Bussen von bis zu 4 % des globalen Umsatzes und fehlbare Manager, Datenschützer und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden. Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.

Obwohl die Datenschutz-Grundsätze (Rechtmässigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftsplicht) die gleichen bleiben, bedeutet die Verordnung ein Quantensprung im Datenschutz. Die Verordnung bringt den Unternehmen einen erheblichen Mehraufwand. Unternehmen müssen umfassende neue Strukturen und Prozesse schaffen, um den Vorgaben der Verordnung zu entsprechen. Die Verordnung verlangt eine erweiterte Dokumentations- und Nachweispflicht, eine Analyse der Datenschutzrisiken, eine Datenschutz-Folgeabschätzung bei voraussichtlich hohen Risiken, umfassende Informationspflichten bei der Datenerhebung, striktere Löschpflichten und ein Recht auf Vergessenwerden, erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen, einen stärkeren Datenschutz durch Technik und Voreinstellungen, ein Verzeichnis von Verarbeitungstätigkeiten, zusätzliche Verantwortung für Datenschutzbeauftragte im Unternehmen, umfassende Rechte der Betroffenen, insb. die Rechte auf Auskunft, Berichtigung, Löschung und eben das Recht auf Vergessenwerden.

Die EU-Datenschutzverordnung bringt nicht nur Zusatzaufwand für Unternehmen, sondern erleichtert diesen auch das Business in bestimmten Bereichen. So fallen z.B. die Daten juristischer Personen nicht mehr unter den Datenschutz (inskünftig wohl auch in der Schweiz), was den Bereich B2B erheblich entlastet. Daten von juristischen Personen sind aber inskünftig nicht „Freiwild“, sondern sind immer noch durch den generellen Persönlichkeitsschutz sowie insb. den Grundsätzen des Lauterkeitsrechts (in der Schweiz UWG) geschützt.

Schweizer Unternehmen, die auf dem EU-Markt tätig sind, dort insb. Daten erheben oder Marktteilnehmer beobachten, ist dringend zu raten, sich umgehend mit der neuen EU-Datenschutz-Grundverordnung zu befassen und entsprechende Vorkehren im Unternehmen zu treffen. Dabei dürfte der Zuzug von Datenschutz-Fachleuten unumgänglich sein.

Entsprechende datenschutzrechtliche Vorkehren sind aber nicht nur ein Tribut an die EU. Unter dem indirekten Druck der EU-Datenschutzreform, aber auch unter dem direkten Druck der Revision der Datenschutz-Konvention 108 des Europarates, bei der die Schweiz ja auch Mitglied ist und die sich wiederum auch an der EU-Verordnung orientiert, ist auch in der Schweiz eine Revision des Datenschutzgesetzes (DSG) in der Pipeline, die sich ihrerseit an der EU-Verordnung und an der Europarats-Konvention orientiert. Auch wenn der künftige Schweizer Datenschutz weniger rigide sein dürfte, z.B. wohl auch weniger drastische Bussen vorsehen wird, bewegt sich der Datenschutz in Richtung der EU-Verordnung. Damit dürften Schweizer Unternehmen, die ihren Datenschutz schon jetzt auf das neue Niveau der EU anheben, auch für das künftige Niveau in der Schweiz bestens gerüstet sein.

Datenschutz und Datenvertraulichkeit ist aber nicht nur ein juristischer Faktor, sondern ein ökonomischer Schlüssel in einer digitalisierten Geschäftswelt.

Zum Datenschutz-Fahrplan des Nationalsrats in der NZZ: https://t.co/DekGp0FuCQ

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

Ärzte-Inkasso – Schweigepflicht nach Strafgesetz und Datenschutz

Lange hatte ich nur den Eindruck, dass Ärzte mit dem Arztgeheimnis nach Art. 321 des Schweizerischen Strafgesetzbuches (StGB) gelinde gesagt salopp umgehen. Nun zeigen Medienberichte über ein Datenleck beim Inkassounternehmen EOS Schweiz AG, dass dieser Eindruck offenbar nicht täuscht (s. z.B. Tages-Anzeiger http://bit.ly/2CgbkAE).

Nach Art. 321 StGB werden Ärzte*, die Dritten gegenüber ein Geheimnis verraten, das ihnen infolge ihres Berufes anvertraut worden ist oder das sie in dessen Ausübung wahrgenommen haben, auf Antrag des Betroffenen mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Dabei ist bereits die Tatsache des Bestehens einer Arzt-Patientenbeziehung durch dieses Berufsgeheimnis geschützt. Damit darf ein Arzt grundsätzlich diese Beziehung auch nicht gegenüber einem Betreibungsamt, einem Gericht und schon gar nicht gegenüber einem Inkassobüro kundtun, ohne dafür das Einverständnis seines Patienten eingeholt zu haben. Gibt ein ein Patient, der eine fällige Schuld aus einer Behandlung nicht bezahlt, dem Arzt dieses Einverständnis nicht, kann der Arzt an die kantonale Aufsichtsbehörde über die Ärzte gelangen, und diese um eine teilweise Aufhebung des Arztgeheimnis zur Durchsetzung der Forderung ersuchen. Diesem Ersuchen wird in begründeten Fällen in der Regel auch stattgegeben. Diese Regel gilt z.B. im Kanton Zürich (s. dazu die Weisung des Datenschutzbeauftragten http://bit.ly/2E2BN5q). Für das Inkasso von streitigen Forderungen hat jedoch z.B. der Kanton Luzern eine Ausnahme geschaffen (§22 Gesundheitsgesetz LU). Ärzte im Kanton Luzern sind zur Durchsetzung von streitigen Forderungen aus dem Behandlungsverhältnis gegenüber der beauftragten Inkassostelle und den zuständigen Behörden vom Berufsgeheimnis befreit. Sowohl in diesem, wie aber auch im Fall der Befreiung durch die Aufsichtsbehörde sind die Ärzte aber immer noch an die Regeln des Datenschutzes gebunden. Gemäss Art. 4 des Schweizerischen Datenschutzgesetzes (DSG) gilt u.a. der Grundsatz der Verhältnismässigkeit. Für den Fall des Inkassos bedeutet dieser Grundsatz, dass ein Arzt nur Informationen weitergeben darf, die dafür notwendig und geeignet sind. Dazu gehören m.E. lediglich Name und Adresse des Patienten sowie der offene Rechnungsbetrag mit dem Datum der Rechnungsstellung. Alle weiteren Informationen sind m.E. nicht gedeckt und könnten zur Bestrafung des Arztes oder seines Hilfspersonals nach Art. 321 StGB führen, sofern der Betroffene einen entsprechenden Antrag stellt (spätestens innert 3 Monaten nach Bekanntwerden des Verstosses).

*aber auch Geistliche, Rechtsanwälte, Verteidiger, Notare, Patentanwälte, nach Obligationenrecht zur Verschwiegenheit verpflichtete Revisoren, Zahnärzte, Chiropraktoren, Apotheker, Hebammen, Psychologen sowie ihre Hilfspersonen

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

Swisscom – Illegale Daten-Lotterie?


In seinem KMU-Magazin veranstaltet das schweizersiche Telekomunternehmen Swisscom jeden Monat einen Wettbewerb bzw. ein Quiz, bei dem man Preise, wie z.B. Smartphones gewinnen kann. In den entsprechenden Teilnahmebedingungen reisst sich Swisscom die Angaben der Teilnehmer, also deren persönliche Daten nach Art. 3 lit. a des schweizerischen Datenschutzgesetzes (DSG) für künftige Werbung für eigene Produkte unter den Nagel. Ein Student von mir wollte wissen, ob dies rechtens, also legal ist. Offensichtlich hat meine juristische Sensibilisierung gefruchtet. Denn effektiv könnte diese Praxis von Swisscom gegen datenschutzrechtliche Vorschriften, aufgrund neuerer Erkenntnisse sogar gegen das Lotteriegesetz verstossen.

Art. 4 DSG nennt die datenschutzrechtlichen Grundsätze. Nach dem Grundsatz der Verhältnissmäsigkeit dürfen im Rahmen von Wettbewerben, wie dem vorliegenden, vom Veranstalter nur persönliche Daten abgefragt werden, die für die Durchführung des Wettbewerbs (Zweck) notwendig und geeignet sind. Für die Durchführung eines Wettbewerbs braucht der Veranstalter für die Identifikation und Benachrichtigung des Teilnehmers dessen Name, evtl. Geburtsdatum, und Adresse (E-Mail reicht) oder Telefonnummer. Diese Daten dürfen gemäss dem Grundsatz der Zweckbindung ausschliesslich für die Durchführung des Wettbewerbs verwendet werden. Eine Verwendung für andere Zwecke, insb. weitere Werbung, ist nicht zulässig. Zudem gilt der allgemein gültige Grundsatz von Treu und Glauben. D.h. insb., dass der Teilnehmer vom Veranstalter insb. bei der Abfrage von persönlichen Daten nicht getäuscht werden darf. Da die Rechtsprechung im Kontext der Ungewöhnlichkeitsregel davon ausgeht, dass allgemeine Geschäftsbedingungen (AGB) von den Kunden bzw. Betroffenen in der Regel nicht gelesen werden, darf ein zusätzlicher Zweck, wie hier die Verwendung der Daten für künftige Werbung, nicht in den AGB versteckt werden, sondern muss offen direkt bei der Datenerhebung kommuniziert werden. Zur Best Practice gehört diesbezüglich, dass der Teilnehmer explizit gefragt wird, ob er inskünftig Werbung wünscht. Aus diesen Gründen muss die hier praktizierte Kommunikation von Swisscom als widerrechtlich bezeichnet werden.

Das vorliegende Quiz weist aber noch einen weiteren rechtlich problematischen Aspekt auf, der es generell verbieten würde, Wettbewerbe mit dem Sammeln von Daten für künftige Werbung zu verbinden. Gemäss Art. 1 des Lotteriegesetzes (LG) sind Veranstaltungen grundsätzlich verboten, bei denen gegen Leistung eines Einsatzes oder bei Abschluss eines Rechtsgeschäftes ein vermögensrechtlicher Vorteil als Gewinn in Aussicht gestellt wird, über dessen Erwerbung, Grösse oder Beschaffenheit planmässig durch Ziehung von Losen oder Nummern oder durch ein ähnliches auf Zufall gestelltes Mittel entschieden wird*. Vorliegend verlangen die Teilnahmebedingungen, dass der Betroffene, will er am Quiz bzw. Wettbewerb teilnehmen, seine Daten für künftige Werbung des Veranstalters zur Verfügung stellt. Eine vom Massachusetts Institute of Technology (MIT) durchgeführte Studie hat ergeben, dass die persönlichen Daten, mit denen wir uns Gratisleistungen auf dem Internet „erkaufen“, einen Wert von rund 20’000 US-Dollars pro Jahr (!) aufweisen (NZZ 25.9.2017, https://www.nzz.ch/feuilleton/wir-sind-zapfstellen-fuer-die-online-giganten-ld.1317736). Damit ist bei den persönlichen Daten, die wir einem Veranstalter eines Wettbewerbs für künftige Werbung überlassen, von einem Einsatz gemäss Art. 1 LG auszugehen. Wenn nun gleichzeitig auch noch die übrigen Tatbestände nach Art. 1 LG gegeben sind, würde es sich damit um eine verbotene Lotterie handeln. Ob Art. 1 LG noch zeitgemäss ist, wird immer wieder diskutiert. Fakt ist aber, dass zwar das Lotteriegesetz in den letzten Jahren immer wieder teilrevidiert, das Konstrukt von Art. 1 LG jedoch beibehalten wurde.

Wann ist ein Wettbewerb eine generell verbotene Lotterie?

Art. 1 LG verlangt für das Bestehen einer generell verbotenen Lotterie vier Elemente, die kumulativ (also alle zusammen) gegeben sein müssen: Leistung eines Einsatzes oder Abschluss eines Geschäfts, vermögenrechtlicher Vorteil als Gewinn, geplante Durchführung sowie Zufall bei der Eruierung des Gewinners. Damit ein Wettbewerb nicht zur genell verbotenen Lotterie wird, muss folglich darauf geachtet werden, dass eines der genannten Elemente beim Wettbewerb nicht gegen ist. In der Praxis kommt dafür in der Regel lediglich der Einsatz oder der Abschluss eines Geschäfts in Frage. D.h. ein Veranstalter muss immer dafür besorgt sein, dass man am Wettbewerb auch gratis bzw. ohne Abschluss eines Geschäfts teilnehmen kann. In der Praxis wird dies häufig über eine Gratisteilahme über das Internet erfüllt.

Der oben beschriebene Fall von Swisscom könnte leicht korrigiert werden, in dem die Klausel in den Teilnahmebedingungen, die einen Zwang der Freigabe der persönlichen Daten für künftige Werbung begründet, entfernt und mit einer Box auf der Frontseite des Wettbewerbs ersetzt wird, bei der jedoch die Teilnehmer frei wählren können, ob sie inskünftig Werbung wünschen. Dabei darf jedoch die Box nicht standardmässig ein Kreuz enthalten.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch

moneyhouse.ch – Bundesverwaltungsgericht stärkt Datenschutz

Mit seinem nunmehr rechtskräftigen Entscheid A-4232/2015 vom 18. April 2017 nimmt das Bundesverwaltungsgericht (BVGer) auf Klage des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gegen die zur NZZ-Gruppe gehörende Moneyhouse AG und deren Bearbeitung von Personendaten im Kontext der digitalen Auskunftei (insb. Bonitätsprüfungen) moneyhouse.ch Stellung. Der Entscheid stärkt den Datenschutz und den Schutz der Betroffenen in der Schweiz, was einem Trend in der EU entspricht.

Nach Art. 12 des Datenschutzgesetzes (DSG) darf, wer Personendaten bearbeitet, die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Gemäss Art. 13 Abs. 1 DSG ist eine Verletzung der Persönlichkeit widerrechtlich, wenn sie nicht durch Einwilligung des Betroffenen, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Nach Art. 13 Abs. 2 lit. c DSG kommt ein überwiegendes Interesse des Datenbearbeiters insbesondere dann in Betracht, wenn dieser zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen. Gemäss BVGer gehören dazu Name, Vorname, Geburtsdatum und Wohnort der zu prüfenden Person. Diese Daten dürfen jedoch in diesem Kontext nicht, wie von Moneyhouse bisher praktizert, mit Informationen, wie Wohn- und Lebenssituationen, Haushaltsmitglieder und Nachbarn verbunden werden. Letzteres würde zu Persönlichkeitsprofilen führen, deren Publikation nur mit expliziter, zweckgebundener Einwilligung der betroffenen Personen zulässig ist, die jedoch Moneyhouse aus wirtschaftlichen Gründen nicht einholt. Damit muss Moneyhouse seine Praxis entsprechend anpassen. Zudem wurde Moneyhouse vom BVGer basierend auf Art. 5 bzw. 7 DSG dazu verpflichtet, ihren Datenbestand betreffend Richtigkeit regelmässig zu überprüfen. Schlussendlich hat Moneyhouse Auskunftsbegehren nach Art. 8 DSG, die sich auf Datenbanken von Dritten beziehen, ohne weiteres an diese zur Beantwortung weiterzuleiten. Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch