{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2014-11-06", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_2014---Empfehlung-ED_2014-11-06.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/A0Vp79I-JdBG/2014%20-%20Empfehlung%20EDOEB%20zu%20Moneyhouse.pdf", "Checksum": "57859525d982a498315fedad9d269578"}, "Scrapedate": "2026-04-05", "Num": ["2014 - Empfehlung EDOEB zu Moneyhouse"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 06.11.2014"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 06.11.2014"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 06.11.2014"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Empfehlung  vom 6. November 2014 an die Itonex AG www.moneyhouse.ch"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:51", "Checksum": "685e5857c417b830769e16c965897eaa", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 06.11.2014\nRegeste:\nEmpfehlung  vom 6. November 2014 an die Itonex AG www.moneyhouse.ch\n\nDer Datenbearbeiter hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt\noder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind.\nBei der Einholung einer allgemeinen Personenauskunft erscheint im Gegensatz zum unter Randziffer 94 geschilderten Sachverhalt kein Disclaimer mit Angabe einer Berichtigungsmöglichkeit.\nEbenfalls sind unter dem Menupunkt Datenschutz keine entsprechenden Hinweise enthalten, wie\nfalsche Daten von Personen, die nicht im Handelsregister eingetragen sind, berichtigt werden\nkönnen.\nitonex AG hat aber intern einen Prozess festgelegt, wie Personendaten geändert werden können.\nAngesichts der vielen falsch publizierten Personendaten, die bearbeitet werden, und der 300‘000\nregistrierten Benutzer, die die Plattform www.moneyhouse.ch pro Monat besuchen, ist eine zentral zur Verfügung gestellte Berichtigungsmöglichkeit notwendig.\nDie bestehenden Berichtigungsmöglichkeiten für nicht im Handelsregister eingetragene Personen\nsind nicht genügend transparent kommuniziert und sind deshalb für dieselben nicht einfach zugänglich.\n\nGesamtergebnis Datenrichtigkeit\n\nDie zeitlich unbeschränkte Anzeige von Verbindungen zwischen Unternehmen und natürlichen\nPersonen aufgrund von Handelsregistereinträgen kann nicht als Netzwerk bezeichnet werden, da\ndies ein falsches Bild vermittelt und deshalb dem Prinzip der Datenrichtigkeit widerspricht.\nBetroffene Personen können falsche, d.h. aktuell nicht gültige Daten, die aus dem Handelsregister oder den SHAB Publikationen stammen, gemäss den datenschutzrechtlichen Vorgaben berichtigen lassen.\nitonex AG verstösst bei der Bearbeitung von Personendaten von nicht im Handelsregister eingetragenen natürlichen Personen gegen das Prinzip der Richtigkeit gemäss Artikel 5 DSG.\nDie bestehenden Berichtigungsmöglichkeiten für nicht im Handelsregister eingetragene Personen\nsind nicht genügend transparent kommuniziert und sind deshalb für dieselben nicht einfach zugänglich.\n\nDatensicherheit\n\nGemäss Art. 7 Abs. 1 DSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten gesichert werden. Konkretisiert werden\ndiese Anforderungen in Art. 8 ff. der Verordnung zum Bundesgesetz über den Datenschutz vom\n14. Juni 1993 (VDSG; SR 235.11). Zu gewährleisten sind insbesondere die Vertraulichkeit, die\nVerfügbarkeit sowie die Integrität der Personendaten. Diese Anforderungen sind dann nicht mehr\ngewährleistet, wenn ein unberechtigter Dritter auf die Daten zugreifen oder diese manipulieren\n\n19/32\nkönnte. Die Datensicherheit liegt in der Verantwortung derjenigen Stelle, welche die Datenherrschaft über die Personendaten innehat.\nitonex AG hat dem EDÖB mit Schreiben vom 27. Juni 2013 ein IT-Sicherheitskonzept zugestellt.\nDieses trägt die Versionsnummer 1.8 und ist mit „05.07.2013“ datiert. Es stellt eine Erweiterung\nder Version 1.2 dar, die dem EDÖB im Jahr 2012 unterbreitet wurde. Die im Folgenden erwähnten Punkte basieren hauptsächlich auf den von itonex AG abgegebenen Dokumenten und Aussagen.\nDie bearbeiteten Daten befinden sich physisch auf Servern am Standort Zürich. Aus Verfügbarkeitsgründen findet eine „Co Location“ (Spiegelung) bei einem externen Dienstleister in Zürich\nstatt. Für die drei Datenbanken MH, MHLOG und SHAB ist je ein Backup-Konzept vorgesehen.\nDas IT-Sicherheitskonzept enthält einen Gefahrenkatalog mit knapp 100 technischen und organisatorischen Massnahmen. Für die beiden Standorte werden die potenziellen Gefahren aufgelistet, die Eintrittswahrscheinlichkeit (hoch/mittel/niedrig) und die Schadenshöhe\n(hoch/mittel/niedrig) geschätzt und die getroffenen Massnahmen erwähnt. itonex AG gibt an, den\nGefahrenkatalog in regelmässigen Abständen zu aktualisieren und den veränderten Gegebenheiten anzupassen.\nSowohl die Büroräumlichkeiten in Rotkreuz als auch diejenigen des externen Dienstleisters in\nZürich sind mittels Fingerprint-Scanner gegen unbefugten physischen Zutritt geschützt. Die Server sind zusätzlich mit einem Schliesssystem gesichert. Der Remote Zugriff auf die Server ist rollenbasiert je nach Berechtigung der Mitarbeitenden geregelt. Zugriff auf die Datenbanken selber\nhat der Systemadministrator, die Entwickler können auf die für Ihre Aufgabenerfüllung notwendigen Angaben in den Datenbanken zugreifen.\nBeim Abschluss von Abonnementen werden die vom zukünftigen Benutzer gemachten Angaben\nüberprüft. Zahlenmässig missbräuchliche Zugriffe werden unterbunden. Fallen ungewöhnliche\nZugriffe auf, wird der Nutzer gebeten, ein Captcha einzugeben. Damit sollen maschinengeführte\nZugriffe unterbunden werden. Zudem werden die von den Nutzern getätigten Abfragen geloggt.\nDie Überprüfung der Datensicherheit ist vorliegend kein Hauptziel der vom EDÖB durchgeführten\nSachverhaltsabklärung. itonex AG hat zudem ein grosses Eigeninteresse, die Daten unbefugten\nNutzern nicht zugänglich zu machen.\nDer EDÖB geht gestützt auf die erhaltene Dokumentation und Informationen davon aus, dass die\nAnforderungen an die Datensicherheit gemäss Artikel 7 DSG von itonex AG eingehalten werden.\n\nGesamtergebnis Bearbeitungsgrundsätze\n\nDer EDÖB stellt fest, dass itonex AG Personendaten entgegen den Grundsätzen der Artikel 4\nund 5 DSG bearbeitet.\nIm Folgenden prüft der EDÖB, ob die Persönlichkeit der betroffenen Personen verletzt wird.\n\n"}