{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2008-12-16", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20081216---Informati_2008-12-16.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/FyCRaSpaL7Vc/20081216%20-%20Informationsservice%20%C3%BCber%20Mieterbonitaet.pdf", "Checksum": "7901260cd3a4f57f4de91e4cc2cf5946"}, "Scrapedate": "2026-04-05", "Num": ["20081216 - Informationsservice über Mieterbonitaet"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 16.12.2008"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 16.12.2008"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 16.12.2008"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Empfehlung vom 16. Dezember 2008 betreffend Informationsservice über Mieterbonität"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:12:41", "Checksum": "6b93424942d9b87becf8b2ff86ee605c", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 16.12.2008\nRegeste:\nEmpfehlung vom 16. Dezember 2008 betreffend Informationsservice über Mieterbonität\n\n51 Obwohl der „Auskunftservice A“ grundsätzlich von jedem Vermieter genutzt werden könnte, ist\ndie Missbrauchsgefahr gross, wenn jeder beliebige Vermieter hierauf Zugriff hätte. Daher begrüsst der EDÖB die Beschränkung des Nutzerkreises. Eine Nutzung dieses Services durch eine\nMieterkautionsversicherung ist dementsprechend nur dann möglich, wenn sich die Datenweitergabe nur auf Bonitätsdaten beschränkt. Weitergehende Informationen sind für die jeweilige Versicherung zwar für die Risikoabschätzung der betroffenen Person nützlich, werden allerdings\nnicht zum Abschluss oder zur Abwicklung einer solchen Versicherung benötigt.\n\n52 Für die Überprüfung, ob die via „Auskunftservice A“ bezogene Daten tatsächlich für den Abschluss eines Mietvertrages verwendet werden, ist datenschutzrechtlich einzig die Firma X verantwortlich, da sie den Zugang erteilt.\n\nPP\nBeilage 4, Kategorie Entscheidungsmatrix; Beilage 5.\nPQ\nBeilage 1, S, 5.\nPR\nBeilage 2, S. 3.\n12/17\n53 Der Zugriff auf den „Auskunftservice A“ erfolgt, nachdem ein Vertrag mit der Firma X abgeschlossen wird. Wenn die Firma X die Interessennachweise der Zugangsberechtigten nur\nstichprobenhaft herausverlangt, übernimmt sie datenschutzrechtlich das Risiko, dass die Datenbekanntgabe an Kunden erfolgen kann, die im Einzelfall keinen Interessennachweis vorlegen\nkönnen. Steht im Nachhinein fest, dass der betreffende Kunde keinen Interessennachweis\nerbringen kann, hat die Datenschutzverletzung bereits stattgefunden. Die Firma X kann in einem\nsolchen Fall für entstandene Schäden haftbar gemacht werden.\n\n54 Wenn die Kunden der Firma X gleichzeitig einen Betreibungsregisterauszug bestellen, der via\nTochtergesellschaft Firma A eingeholt wird, muss vorgängig ein Interessennachweis von der\nFirma X bzw. der Firma A eingeholt werden, denn ohne diesen Nachweis wäre die Bestellung eines aktuellen Betreibungsregisterauszuges auch nicht möglich. In diesen Zusammenhang ist zu\nvermerken, dass gemäss EDSK Entscheid, ein Betreibungsregisterauszug im Zusammenhang\neines Mietvertrages immer erst dann eingeholt werden darf, wenn mit dem Mieter definitiv ein\nMietvertrag abgeschlossen werden soll. Diesbezüglich ist die Firma X datenschutzrechtlich dafür\nverantwortlich, dass ein Betreibungsregisterauszug erst dann verlangt und die in der Datenbank\nder Firma X entsprechend gespeicherten Daten erst dann abgerufen werden dürfen, wenn mit\ndem Mieter definitiv der Vertrag abgeschlossen werden soll.\n\n55 Der Zugang zum „Auskunftservice A“ ist für Mietkautionsversicherungen so einzuschränken,\ndass nur noch die für den Abschluss und die Abwicklung eines Vertrages relevanten Bonitätsdaten übermittelt werden. Die Firma X hat organisatorisch und technisch dafür zu sorgen, dass\nmöglichst keine unberechtigten Abfragen im „Auskunftservice A“ vorgenommen werden können.\n\n5. Datensicherheit\n\n56 Der Zugang zum „Auskunftservice A“ erfolgt via Internet über einen passwortgeschützten und\nverschlüsselten (128 Bit SSL) Bereich. Vertraglich lässt sich die Firma X zudem in Ziff. 6.1 der\nAGB zusichern, dass das Passwort nur von den berechtigten Personen genutzt werden darf und\neine Weitergabe an Dritte untersagt ist. Ausserdem trägt der Benutzer die Verantwortung, dass\ndas Passwort in regelmässigen Abständen geändert wird und jeden Monat eine Bewegungsstatistik erstellt wird. Nach Aussage der Firma X wird jedoch eine Passwortänderung nach einer gewissen Frist (30 - 60Tage) erzwungen .\n=PS\n\n57 Die Firma X protokolliert sämtliche Zugriffe auf die Datenbank. Nach eigenen Angaben, deaktiviert sie den Zugang umgehend, wenn sie einen Missbrauch feststellt . In einem dem EDÖB be-\nPT\n\nkannten Fall wurde in Vorbereitung einer Sendung des Schweizer Fernsehens der Zugang missbräuchlich genutzt. Die Firma X hat zwar zunächst den Zugang korrekterweise gesperrt, diesen\naber wieder frei geschaltet und damit in Kauf genommen, dass ohne Interessennachweis Abfragen möglich wurden.\n\n58 Nach Art. 7 DSG müssen Personendaten gegen unbefugtes Bearbeiten durch angemessene\ntechnische und organisatorische Massnahmen geschützt werden. Insbesondere muss der Datenbearbeiter gemäss Art. 8 Abs. 1 der Verordnung zum Bundesgesetz über den Datenschutz\n(VDSG, SR 235.11) für die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten sorgen.\nDie Bekanntgabekontrolle (Art. 9 Abs. 1 Bst. d VDSG) gewährleistet die Firma X insofern, als sie\ndie Zugriffe protokolliert und den Benutzern die Daten lediglich über einen verschlüsselten und\npasswortgesicherten Bereich zugänglich macht .\nPU\n\nPS\nBeilage 1, S. 5.\nPT\nBeilage 1, S. 5.\nPU\nBSK-DSG, Kurt Pauli, Art. 7 N 13.\n13/17\n59 Diesbezüglich sorgt die Firma X aus technischer Sicht in ausreichendem Masse für die Datensicherheit. Aus organisatorischer Sicht wurde mindestens bei der Zugangserteilung an den Kassensturz die Datensicherheit gemäss Art. 7 DSG nicht gewährleistet.\n\n"}