VPB-69.106 - 2005-04-15 - Commission fédérale de la protection des données et de la transparence (CFPDT) - Art. 4, Art. 12 Abs. 2 Bst. a, Art. 13 Abs. 1 DSG. Datenschutzrechtliche Beurteilung der unerbetenen Zusendung von Werbung...

VPB 69.106

Urteil der Eidgenössischen Datenschutzkommission vom 15. April 2005

Art. 4, Art. 12 Abs. 2 Bst. a, Art. 13 Abs. 1 DSG. Datenschutzrechtliche Beurteilung der unerbetenen Zusendung von Werbung mittels E-Mail (so genannte «Spam»-Mails).

- E-Mail-Adressen stellen Personendaten dar (E. 2.4).

- Zuständigkeit des Eidgenössischen Datenschutzbeauftragten zum Erlass von Empfehlungen und Legitimation zu deren Weiterziehung bejaht (E. 3.).

- Frage der Passivlegitimation in Weiterziehungsverfahren (E. 4).

- Die Zustellung von unverlangter E-Mail-Werbung an unbekannte und wahllos zusammengestellte Adressen, welche im Internet gesammelt wurden, stellt eine widerrechtliche Datenbearbeitung im Sinne von Art. 12 Abs. 2 Bst. a in Verbindung mit Art. 4 DSG dar (E. 5.1-5.7).

- Aus der Wirtschaftsfreiheit fliesst kein Rechtfertigungsgrund gemäss Art. 13 Abs. 1 DSG; insbesondere liegt kein überwiegendes privates Interesse der bearbeitenden Person vor (E. 5.8).

- Einzig die ausdrückliche vorherige Einwilligung der Betroffenen wäre geeignet, bei Massenversand von E-Mail-Werbung eine widerrechtliche Persönlichkeitsverletzung im Sinne des DSG auszuschliessen (E. 5.9).

- Eine «Opt-Out»-Möglichkeit in unangeforderten Werbe-E-Mails hebt demnach die Rechtswidrigkeit ihres Versandes nicht auf. Hingegen wäre sie geeignet, in Werbe-Mails, die zulässigerweise versandt werden, die Ausübung des Selbstbestimmungsrechts der Betroffenen bezüglich künftiger weiterer Datenbearbeitung zu unterstützen (E. 6).

Art. 4, art. 12 al. 2 let. a, art. 13 al. 1 LPD. Appréciation, sous l'aspect de la protection des données, du courrier électronique publicitaire non sollicité («pourriel», «spamming»).

- Les adresses e-mail sont des données personnelles (consid. 2.4).

- Le préposé fédéral à la protection des données a la compétence d'émettre des recommandations et possède la légitimation pour les porter devant la CFPD (consid. 3).

- Question de la légitimation passive dans ce genre de recours devant la CFPD (consid. 4).

- L'envoi par courrier électronique de publicité non sollicitée à des adresses d'inconnus collectées sans distinction sur Internet constitue un traitement de données illicite au sens de l'art. 12 al. 2 let. a en relation avec l'art. 4 LPD (consid. 5.1-5.7).

- La liberté économique ne fonde pas de motif justificatif au sens de l'art. 13 al. 1 LPD; en particulier, on ne peut pas en déduire un intérêt privé prépondérant de la personne qui traite les données (consid. 5.8).

- Seul le consentement exprès et préalable des personnes concernées serait à même d'exclure une atteinte illicite à la personnalité au sens de la LPD dans le cas d'envoi en masse de publicité par courrier électronique (consid. 5.9).

- L'aménagement d'une possibilité d'«opt-out» dans les e-mails publicitaires non sollicités ne rend pas licite leur envoi. Toutefois, une telle possibilité, introduite dans des e-mails publicitaires envoyés licitement, serait susceptible de faciliter l'exercice par les personnes concernées de leur droit de décision quant au traitement futur de leurs données (consid. 6).

Art. 4, art. 12 cpv. 2 lett. a, art. 13 cpv. 1 LPD. Valutazione dal punto di vista del diritto della protezione dei dati dell'invio non richiesto di pubblicità via e-mail (cosiddetti «Spam»).

- Gli indirizzi e-mail sono dati personali (consid. 2.4).

- Ammesse la competenza dell'Incaricato federale della protezione dei dati di emanare raccomandazioni e la legittimazione di impugnarle (consid. 3.).

- Questione della legittimazione passiva nella procedura di reclamo (consid. 4).

- L'invio di pubblicità non richiesta via e-mail ad indirizzi sconosciuti, scelti casualmente e che sono stati raccolti in Internet, costituisce un trattamento illegale di dati ai sensi dell'art. 12 cpv. 2 lett. a in relazione con l'art. 4 LPD (consid. 5.1-5.7).

- Non vi è alcun motivo giustificativo secondo l'art. 13 cpv. 1 LPD fondato sulla libertà economica; in particolare non vi è un interesse privato preponderante della persona che elabora l'invio (consid. 5.8).

- Solo l'autorizzazione preventiva esplicita dell'interessato potrebbe portare ad escludere una lesione illegale della personalità ai sensi della LPD in caso di invio di massa di pubblicità via e-mail (consid. 5.9).

- Una possibilità di «opt-out» in e-mail pubblicitari non richiesti non elimina quindi il carattere illegale dell'invio. Essa servirebbe però, per e-mail pubblicitari inviati in modo lecito, a facilitare l'esercizio del diritto delle persone interessate di decidere su eventuali futuri trattamenti dei loro dati (consid. 6).

Zusammenfassung des Sachverhalts:

A. Beim Eidgenössischen Datenschutzbeauftragten (EDSB) gingen verschiedene Beschwerden aus dem Publikum ein, wonach X, dessen Einzelfirma X E-Marketing sowie die Y GmbH per E-Mail wiederholt unerbetene Werbung versandt hätten und auf Abmahnungen nicht reagieren würden. Der EDSB traf Abklärungen dazu und erliess am 24. Januar 2003 eine Empfehlung gemäss Art. 29 Abs. 3 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG, SR 235.1). Gemäss Rubrum richtete sich diese Empfehlung an X sowie an die Y GmbH. Die konkreten vier Empfehlungen indes richteten sich nur an X persönlich.

Das Dispositiv der Empfehlung lautet:

«1. X erteilt denjenigen Personen, welche dies bisher verlangt haben, vollständige Auskunft über die Personendaten - seien es Mail-Adressen oder andere Informationen -, welche er über sie bearbeitet.

2. X löscht unverzüglich die Mail-Adressen all derjenigen Personen, welche dies bisher von ihm verlangt haben.

3. X ermöglicht künftig allen Empfängern seiner Mails, auf einfache Art ihr Recht auf ein Opting Out geltend zu machen. Er löscht in Zukunft diejenigen Adressen umgehend aus seiner Datensammlung, für welche das von den betroffenen Personen verlangt wird.

4. X gibt ab sofort keine Personendaten in Form von E-Mail-Adressen mehr an Dritte bekannt oder er meldet seine Datensammlung ordnungsgemäss beim EDSB an.»

In seiner Empfehlung stellte der EDSB zunächst fest, dass er seit einiger Zeit regelmässig Zuschriften von Privatpersonen und Unternehmen erhalte, wonach X - insbesondere unter seiner Firma «X E-Marketing» - per E-Mail unverlangte Werbung zustelle, datenschutzrechtliche Löschungsbegehren gemäss Art. 15 DSG nicht befolge, nach Abmahnung bzw. Löschungsbegehren den Versand solcher E-Mails fortsetze und auf Begehren gemäss Art. 8 DSG keine bzw. nur unvollständige Auskunft erteile. Weiter sei dem EDSB zur Kenntnis gelangt, dass X mindestens bis im Jahr 2000 per E-Mail potenziellen Kunden angeboten habe, einen Probeauszug aus seiner Sammlung von Mail-Adressen zuzustellen, damit sich diese von deren Qualität überzeugen könnten. Ferner versende X unverlangte Werbemails auch unter dem Namen Y GmbH. In rechtlicher Hinsicht erwog der EDSB, dass eine Persönlichkeitsverletzung vorliege, wenn X E-Mail-Adressen von Personen gegen deren Willen bearbeite und zum Versand von Werbemails benutze.

B. Am 6. Oktober 2003 zog der EDSB seine Empfehlung an die Eidgenössische Datenschutzkommission (EDSK) weiter mit dem Antrag, «der Empfehlungsadressat» sei aufzufordern, den Empfängern seiner Werbemails eine Möglichkeit zur Verfügung zu stellen, ihr Recht auf «Opting Out» mittels des gleichen Kommunikationsmittels wahrzunehmen. Aus der Sicht des EDSB käme dafür entweder eine Mail-Adresse oder ein Link auf eine Website in Frage. Im Begehren nennt der EDSB als Empfehlungsadressat «X bzw. Y GmbH». In der Begründung führt er aus, «der Empfehlungsadressat» sei eine Unternehmung mit Aktivitäten im Bereich Marketing, genauer gesagt E-Marketing. Dabei versende er Werbemails an Adressen, von denen ein Grossteil ohne Kenntnis der betroffenen Personen beschafft oder gegen deren Willen benutzt werde.

Die Weiterziehung des EDSB betrifft nur die dritte der ursprünglich vier im Empfehlungsdispositiv enthaltenen Empfehlungen. Diese wurde vom Empfehlungsadressaten entweder abgelehnt oder nicht befolgt. Der EDSB begründet sein Begehren mit der Anwendbarkeit des DSG und dem Vorliegen einer Persönlichkeitsverletzung durch die Zustellung unverlangter Werbebotschaften per E-Mail. Das gelte vor allem dann, wenn solches gegen den Willen der betroffenen Personen geschehe oder diese keine Möglichkeit hätten, ihre Rechte auszuüben. Der EDSB wirft sodann die Frage auf, welchen Aufwand der Versender von Werbemails den Empfängern beim Ausüben ihrer Rechte zumuten dürfe. Er weist auf die den Empfängern entstehenden Kosten hin. Demgegenüber profitiere der Empfehlungsadressat davon, dass er seine Werbemails mit minimalsten Kosten an eine riesige Zahl von Adressaten versenden könne. Schliesslich verweist der EDSB auch auf die Grundsätze der Schweizerischen Lauterkeitskommission für die kommerzielle Kommunikation, deren Missachtung gegenüber dem Empfänger als aggressiv und damit als unlauter betrachtet werde.

C. In ihrer Klageantwort beantragten X (Beklagter 1) und Y GmbH (Beklagte 2) - beide vertreten durch denselben Rechtsanwalt - die Aufhebung der Empfehlung und die vollumfängliche Abweisung des Weiterziehungsbegehrens des EDSB. Die Weiterziehungsbeklagten trugen weitgehend die gleichen Argumente vor. Nur ihre Passivlegitimation bestritten sie aus verschiedenen Gründen. Zur Passivlegitimation wurde vorgebracht, der Beklagte 1 habe nicht selbst, sondern höchstens als Hilfsperson der Beklagten 2 gehandelt, weshalb er nicht betroffen sein könne. Die Weiterziehung gegenüber der Beklagten 2 hingegen sei ausgeschlossen, da sich die konkreten Empfehlungen gemäss Dispositiv nur an den Beklagten 1 gerichtet hätten. Weiter machten die Beklagten geltend, dass die angebliche Datenschutzwidrigkeit ihnen gegenüber nicht bewiesen worden sei. In die Akten des EDSB hätten sie bisher keine Einsicht erhalten. Dazu seien ihnen nach Beizug durch die EDSK Gelegenheit zu geben.

In materieller Hinsicht führten die Beklagten an, bei der Beklagten 2 handle es sich nicht um eine E-Marketing-Firma. Hingegen wird eingeräumt, dass E-Mails zu Werbezwecken für den eigenen Versandhandel verschickt würden. Dabei würden nur E-Mail-Adressen aus bestehenden Kundenbeziehungen oder dann nur solche verwendet, welche ohne Einschränkung betreffend Werbe-E-Mails auf Websites im Internet publiziert seien. Das DSG sei nicht anwendbar, weil sich aus dem Versand von E-Mails an bestimmte E-Mail-Adressen keinerlei Personenbezug herstellen lasse. Damit entfalle die Zuständigkeit des EDSB und der EDSK. Die vom EDSB verlangte Gewährung des «Opting Out» ermangle jeder Rechtsgrundlage. Davon abgesehen seien die vom EDSB vorgeschlagenen Möglichkeiten nicht praktikabel. Schliesslich beriefen sich die Beklagten auch auf ihre Informations- und Wirtschaftsfreiheit.

D. In seiner Replik wies der EDSB darauf hin, dass der Beklagte 1 das einzige Organ der Beklagten 2 und mit 95% der Stammeinlagen an der Gesellschaft beteiligt sei. Der EDSB habe die Möglichkeit erwogen, eine gleichlautende Empfehlung an die Beklagte 2 zu richten, dies aber unterlassen, da der Beklagte 1 auch für die Beklagte 2 geantwortet habe. Die vom EDSB vorgeschlagenen einfachen Opting-Out-Möglichkeiten seien praktikabel, würden andernorts problemlos angeboten und seien gestützt auf Art. 12 Abs. 2 Bst. b DSG mit dem Gesetz vereinbar. Gleichzeitig reichte er diverse - in zwei Fällen anonymisierte - Beschwerden aus dem Publikum gegen die beiden sowie weitere Akten zur Unterlegung seiner Sachdarstellung ein.

E. In ihrer Duplik hielten die Beklagten an ihrem Antrag fest und bestritten die Relevanz und Beweiskraft der aufgelegten Akten. Gegen die vom EDSB verlangte Möglichkeit des «Opting Out» trugen sie zusätzlich vor, dass das DSG ein solche geradezu verbiete. Die Beklagten dürften E-Mail-Adressen gerade nicht aufgrund von entsprechenden Ersuchen löschen, die ihnen von den Empfängern ihrer E-Mail-Werbung per E-Mail zurück übermittelt würden, da elektronische Übermittlungen im Internet sehr leicht manipuliert werden könnten.

Auf weitere Argumente der Parteien wird soweit nötig nachfolgend eingegangen.

Aus den Erwägungen:

1. Streitgegenstand

Der EDSB verlangt in der zu überprüfenden Empfehlung, dass X künftig allen Empfängern seiner Mails ermögliche, auf einfache Art ihr Recht auf «Opting Out» geltend zu machen. Bei den Empfängern der E-Mails unterscheidet die Empfehlung nicht zwischen solchen, welche zur vorbestandenen Kundschaft des Versenders gehören und anderen, die erst noch als Kunden geworben werden sollen.

Die Beklagten halten die Voraussetzungen für eine Weiterziehung der Empfehlung nach Art. 29 Abs. 4 DSG für nicht gegeben. Sie bestreiten die Anwendbarkeit dieses Gesetzes auf die vorliegende Streitfrage. Die Qualifikation von E-Mail-Adressen als Personendaten bejahen sie nur in ganz vereinzelten Fällen. Zusammenfassend gehen sie davon aus, dass es sich bei der vorliegenden Sache eher um ein lauterkeitsrechtliches Problem handle und dass weder EDSB noch EDSK hierfür zuständig seien. Sie machen das Fehlen einer Rechtsgrundlage für die abgegebene Empfehlung betreffend «Opting Out» geltend und bestreiten ihre im vorliegenden Verfahren.

2. Anwendbarkeit des Datenschutzgesetzes

2.1. Die Anwendbarkeit des DSG auf den Versand von E-Mails zu Werbezwecken betrifft eine Frage, welche der EDSK noch nie zur Prüfung vorlag. Der massenweise Versand nicht angeforderter E-Mail-Werbung (so genannter «Spam») ist heute ein weit verbreitetes Phänomen. Es rechtfertigt sich, dazu einige allgemeine Betrachtungen vorauszuschicken.

Der Massenversand von unverlangten E-Mails zu Werbezwecken hat innert weniger Jahre eine beachtliche volkswirtschaftliche Bedeutung erlangt. Die weltweite Anzahl Internet-Nutzer wurde im Jahr 2001 bereits auf 300 Millionen geschätzt. Diese verwalteten damals 560 Millionen elektronische Briefkästen (S. Gauthronet/E. Drouard, Unerbetene kommerzielle Kommunikation und Datenschutz, 2001, S. 10). Es kann davon ausgegangen werden, dass sich diese Zahlen in der Zwischenzeit (Ende 2004/Anfang 2005) verdoppelt haben. Ein dazu jüngst im Auftrag des deutschen Bundesministeriums für Wirtschaft und Technologie erstellter Bericht schätzt für das Jahr 2003 die weltweite Anzahl Internetbenutzer sogar schon auf 665 Millionen (Infratest, Monitoring Informationswirtschaft, 7. Faktenbericht, Juni 2004). Laut neueren Veröffentlichungen sollen weltweit täglich bereits rund 30 Milliarden E-Mails verschickt werden. Im Mai 2004 sollen 64% dieser E-Mails Werbe-E-Mails gewesen sein, wobei sich eine steigende Tendenz abzeichne (vgl. z. B. Simone Luchetta, Viren und Spam machen E-Mail zum Ärgernis, Tages-Anzeiger vom 23. August 2004, mit weiteren Hinweisen).

Selbst wenn man diese Zahlen noch stark nach unten korrigieren wollte, so versteht es sich, dass die bestehenden Datenleitungen und E-Mailboxen durch atypisch hohe Massen von Werbesendungen belastet und die Übertragungskapazitäten beeinträchtigt werden. Die Internet-Service-Provider kämpfen zusehends, unter diesen Bedingungen befriedigende Dienstleistungen anbieten zu können. Von verschiedenen Seiten wird aufgrund dieser Entwicklungen sogar ein Zusammenbruch der gesamten elektronischen Post befürchtet (Oliver Arter, Lauterkeitsrechtliche Aspekte von Werbung mittels E-Mail, Aktuelle Juristische Praxis [AJP] 9/2004, S. 1069, Fn. 26, mit Nachweisen).

Bereits jetzt empfinden viele Internet-Nutzer eine gewisse Skepsis gegenüber E-Mail. Bei manchen Benutzern macht unerbetene Werbung schon seit Jahren die Mehrheit ihres E-Mail-Aufkommens aus. Gemäss einer britischen Studie empfinden 68% der Befragten unverlangte E-Mail-Werbung als einen wesentlichen Faktor für Stress und Aggressivität am Arbeitsplatz (Arter, a.a.O., S. 1069, Fn. 27, mit Nachweis). Mehr als 90% der Verbraucher fühlen sich durch Werbung per E-Mail belästigt (M.C. Senn, Werbung mit E-Mails, Zeitschrift für Immaterialgüter-, Informations- und Wettbewerbsrecht [sic!] 2002, S. 86, mit Nachweisen). Dieser Vertrauensverlust beeinträchtigt nicht nur die elektronische Kommunikation an sich, sondern auch das Internet-Shopping sowie jeden Dienst, für dessen Benutzung die Angabe einer E-Mail-Adresse erforderlich ist.

Ausgehend von der Annahme, dass jede der 1,7 Mio. beruflich auf Computerkommunikation angewiesene Person in der Schweiz täglich 5 Minuten einsetzt, um den Inhalt ihres elektronischen Postfaches von unerwünschten Sendungen zu säubern, wird der auf Produktionsverluste zurückzuführende Schaden für die Schweiz auf 4 Milliarden Franken pro Jahr geschätzt (Bernhard Plattner in: Tages-Anzeiger vom 24. Juni 2004, S. 10). Schon vor drei Jahren rechnete eine europäische Studie allein für die Zeit, die das Herunterladen von Werbe-E-Mails erfordert, mit weltweiten Kosten in Höhe von 10 Milliarden Euro pro Jahr (Gauthronet/Drouard, a.a.O., S. 11).

In den vorgenannten Zahlen sind die Auslagen für Wartung und Kauf von Hard- und Software zum Schutz vor unverlangter Werbung und vor Viren nicht enthalten. Eine in neuerer Zeit verschiedentlich beklagte Zusammenarbeit von «Spam»-Versendern und Virenschreibern verschärft die aufgezeigte Problematik, da immer öfter «Spam»-Versender mittels heimlich eingeschleuster Programme die Computer ahnungsloser Benutzer für den Massenversand von E-Mails missbrauchen.

Es ist eine Eigenheit des E-Mail-Direktmarketings, auf die auch der EDSB hinweist, dass es sich für den Versender um eine extrem billige Werbemethode handelt, welche hingegen beim Empfänger Auslagen und sonstigen Aufwand entstehen lässt, unabhängig davon, ob dieser mit diesem Werbungsversand einverstanden ist oder nicht. Bei der Nutzung der bisher bekannten Werbekanäle mittels adressierten Direktwerbung per Brief oder Telefax oder bei unadressierten Streuwerbungen über private Verteilorganisationen entstanden dem kommerziellen Versender hohe Kosten für Druckmaterial und/oder Beförderungsgebühren, bei den Empfängern der unerwünschten Werbepost hingegen kein vergleichbar hoher Aufwand für die Entsorgung. Insbesondere verhinderten die hohen beim Versender anfallenden Werbekosten zum vornherein, dass dieser unüberschaubare Mengen an unverlangter Werbung an beliebige viele potenzielle Konsumenten verschickte. Umgekehrt ist es hingegen heute bei der Nutzung von E-Mail: unter minimalstem Einsatz von Kosten und Zeit kann ein Versender über Internet z. B. 1'000'000 Werbemails absetzen, für deren Empfang und Vernichtung die Empfänger Kosten und Zeit aufwenden müssen. Aus diesem Grunde werden Sammlungen von E-Mail-Adressen heute im
grossen Stil gehandelt. Selbst wenn ein Werbeversand für einen Artikel z. B. an 1'000'000 E-Mail-Adressaten nur eine Rücklaufquote von 0,05% zu erzielen vermag, so würde dies 500 Abnehmer für das beworbene Produkt bringen. Angesichts der geschilderten Kosten wird verständlich, weshalb immer mehr Anbieter weltweit den Streuversand von Werbung per E-Mail als interessantes Werbemedium für die verschiedensten Produkte betrachten. Demgegenüber müssen alle übrigen 999'500 E-Mail-Empfänger die unverlangte Werbung herunterladen, öffnen, lesen oder zumindest löschen, d. h. - zumal bei Benutzung eines POP[1]-Mailservers - Zeit und Kosten aufwenden, ganz zu schweigen von Internet-Service-Providern und den Datenleitungen, deren Kapazitäten ebenfalls 999'500 mal unnütz belastet bzw. beansprucht werden. Zwar bieten Filterprogramme mittlerweile einen gewissen Schutz für die E-Mail-Adressaten, und die Entwicklung technologischer Lösungen wird vorangetrieben (zum Beispiel Lösungen zur Absender-Authentifizierung), doch wird damit die Problematik nur um eine Stufe vor den Adressaten zurückgeschoben. Der Anfall von unnützen Kosten und Beanspruchungen, die von den «Spam»-Versendern verursacht werden, bleibt weiterhin aktuell.

2.2. Das DSG gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen und Bundesorgane (Art. 2 Abs. 1 DSG). Als Personendaten gelten dabei alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 Bst. a DSG). Bestimmbar ist die Person auch dann, wenn sie zwar allein durch die Daten nicht eindeutig identifiziert wird, aber aus den Umständen, das heisst dem Kontext einer Information auf sie geschlossen werden kann (Botschaft zum DSG vom 23. März 1988, BBl 1988 II 413, S. 444).

2.3. Das DSG bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG). Dem Gesetz liegt - neben der Wahrung der Privatsphäre im Sinne von Art. 8 Ziff. 1 der Konvention vom 4. November 1950 zum Schutze der Menschenrechte und Grundfreiheiten (EMRK, SR 0.101) - der Gedanke der informationellen Selbstbestimmung zugrunde, ein Aspekt der persönlichen Freiheit, welcher auch in die schweizerische Rechtsprechung Eingang gefunden hat. Das Bundesgericht hat unter der alten Bundesverfassung der Schweizerischen Eidgenossenschaft vom 29. Mai 1874 (aBV[2]) ab 1987 diesen Gedanken aufgenommen und anerkannt, dass es ein ungeschriebenes Grundrecht auf informationelle Selbstbestimmung gibt (BGE 113 Ia 1, BGE 113 Ia 257, BGE 120 II 118, BGE 122 I 153, BGE 127 III 481 usw.).

Dem Kerngehalt dieses Grundrechts nach muss die einzelne Person gegenüber fremden staatlichen oder privaten Bearbeitungen von sie betreffenden Informationen letztlich bestimmen können, ob und zu welchem Zweck diese Informationen über sie bearbeitet werden. Nur wenn der einzelnen Person das Recht auf Einwilligung oder Widerspruch gegenüber staatlichen Stellen und privaten Interessenten zuerkannt wird, kann sie sich gegen unmittelbare oder mittelbare Beeinträchtigungen durch Informationstätigkeiten wehren. Müsste sie hingegen das Erforschen von Konsumgewohnheiten, eine Kreditauskunft, eine geheime Sicherheitsprüfung als «Missbrauch von persönlichen Daten» nachweisen, könnte sie sich nur in Ausnahmefällen gegen staatliche und private Informationstätigkeiten wehren (R. J. Schweizer, St. Galler Kommentar zur schweizerischen Bundesverfassung, Zürich 2002, Art. 13 Rz. 38, mit weiteren Hinweisen). Seit Inkrafttreten der neuen Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV, SR 101) sind der Anspruch auf Schutz der Privatsphäre und das Recht auf informationelle Selbstbestimmung explizit geregelt (Art. 13 Abs. 1 bzw. Abs. 2 BV).

Die Entwicklungen der letzten Jahrzehnte im Bereich der Informationstechnologie haben zu einer Intensivierung der allgemeinen Datenschutzdiskussion und zu einer zunehmenden Gefährdung der Persönlichkeitsrechte und der Privatsphäre geführt. Bei der Beurteilung von unverlangter E-Mail-Werbung unter dem Aspekt des Datenschutzes ist dieser Ausgangslage Beachtung zu schenken.

2.4. Der Beklagte 1 verwendete gemäss eigener Darstellung für den elektronischen Versand von Werbung E-Mail-Adressen, welche ihm im Rahmen bestehender Kundenbeziehungen mitgeteilt wurden, ferner auch solche, die er im Internet gesammelt habe und von denen er die Empfänger häufig nicht identifizieren könne.

Ob es sich bei den E-Mail-Adressen seiner Kunden um Personendaten handelt, lässt der Beklagte 1 offen. Er bestreitet dies aber entschieden für die häufigen Fälle, in welchen er Adressen im Internet gesammelt hat und die er überhaupt nicht oder nur mit grossem Aufwand einer bestimmten Person zuordnen kann. Lässt sich zeigen, dass E-Mail-Adressen mit Phantasiebezeichnungen u. Ä. Personendaten sind, so gilt dies auch für E-Mail-Adressen, die leicht auf ihre Halter schliessen lassen.

E-Mail stellt heute, zusammen mit dem World Wide Web, das populärste und meistgenutzte Angebot des Internets dar. Es handelt sich dabei um ein neueres, schriftliches, elektronisches und teilweise auch automatisiertes - vor allem für den Absender kostengünstiges - Mittel der Kommunikation, das sich von der herkömmlichen Briefpost nicht nur in seiner Konzeption, sondern auch in seiner Anwendung wesentlich unterscheidet.

E-Mail-Adressen werden im Format xxx@provider.top-level-domain dargestellt. Dabei wird jede einzelne Adresse weltweit nur ein einziges Mal an einen einzigen Adressaten vergeben. Jede natürliche oder juristische Person kann sich daher eine absolut unverwechselbare und nur ihr zugeschriebene E-Mail-Adresse geben lassen. Dabei kann sie - bei Beachtung der Einzigartigkeit - auf die Gestaltung der Adresse Einfluss nehmen, indem sie entweder auf eine leichte Identifizierungsmöglichkeit achtet oder aber eine solche durch eine Phantasiebezeichnung eher ausschliesst. So oder so aber stellt diese Adresse einen unmittelbaren und direkten Bezug zu genau dieser Person her. Es verhält sich hier gleich wie mit einer Telefonnummer, die ebenfalls nur einmal vergeben wird und ebenfalls einen unmittelbaren und direkten Bezug zum fraglichen Abonnenten herstellt, unabhängig davon, ob die Nummer allgemein bekannt ist und offensichtlich mit diesem in Verbindung gebracht wird oder nicht. Bereits in ihrem Urteil vom 12. März 1999 (VPB 64.73) hat die EDSK das DSG auf Telefonnummern angewendet. Damals ging es um die datenschutzrechtliche Zulässigkeit der Rufnummeranzeige im Telefonverkehr, welche die PTT (Post-, Telefon- und Telegrafenbetriebe,
heute Swisscom) bei Einführung des ISDN ohne bzw. gegen den Willen der Abonnenten eingeführt hatte und für deren Unterdrückung sie Gebühren erheben wollte. Die EDSK stellte fest, dass es sich bei den für die Unterdrückung berechneten Kosten um eine Gebühr für die Ausübung des Sperrrechts nach Art. 20 DSG handelte, welche eine gesetzliche Grundlage erforderte.

Adressen im Format vorname.name@provider.land beziehen sich auf bestimmte oder einfach bestimmbare Personen, sofern es sich um seltene Namen handelt; dasselbe gilt für die ebenfalls verbreiteten Adressen im Format vorname.name@arbeitgeber.land, ausser bei Arbeitgebern mit sehr grossem Personalbestand. Weil über Telefonverzeichnisse u. Ä. mit geringem Aufwand die Person hinter der Adresse auch namentlich zu bestimmen ist, bestreiten auch die Beklagten in solchen Fällen das Merkmal der Bestimmbarkeit nicht. Bei Adressen, die aus verbreiteten Namen zusammengestellt sind oder bei Phantasieadressen soll sich hingegen nach ihrer Meinung die Bestimmbarkeit nicht ohne weiteres ergeben.

Zur Frage der Bestimmbarkeit ist daher ein Blick auf den Schutzzweck des DSG geboten:

Nicht bei allen Daten über Personen ist der Schutz des DSG erforderlich. Sind zum Beispiel Daten über eine Person dergestalt anonymisiert worden, dass jeder Bezug zwischen der konkreten Person und ihren Daten verloren geht, so ist sie allein gestützt auf diese Daten nicht mehr auffindbar bzw. nicht mehr bestimmbar. Bei dieser Art der Datensammlung liegt eine Entkoppelung der Daten von der liefernden Person vor. Der Sinn eines solchen Vorgehens liegt darin, den Datenlieferanten vor unerwünschter Ausforschung durch unbefugte Dritte zu schützen. Aus diesem Grund fallen solche Daten ohne weiteres aus dem Schutzbereich des DSG heraus. Wo aber die in Frage stehenden Daten die Kommunikationswege kennzeichnen, die eine Person ihrem Beziehungsfeld zur Verfügung stellt, liegt ein eindeutiger Bezug zwischen den Daten und der Person vor. Dies gilt sowohl für deren Adressen (Postfach, Postlager, Wohnadresse, E-Mail-Adresse) wie auch für ihre Telefon- und Telefax-Nummern. Unter allen diesen Daten wird ein bestimmter Mieter, Eigentümer, Abonnent usw. erreicht.

Selbst wenn - wie die Beklagten geltend machen - nicht einmal der Provider imstande wäre, einer E-Mail-Adresse den Namen einer Person zuzuordnen, liegt gleichwohl Bestimmbarkeit des Adressinhabers im Sinne des DSG vor. Denn wenn Personen aktive Kommunikationswege (Telefonnummern, E-Mail-Adressen) zur Verfügung stellen und über diese erreicht werden können, liegt eine eindeutige Koppelung zwischen den Personen und diesen Daten vor. Der Schutz der informationellen Selbstbestimmung steht in dem ihr gesetzlich gewährten Rahmen der Person zu. Von daher bestimmt - vorbehältlich anderer Regelung - nur sie allein, ob ihre Daten bearbeitet werden dürfen oder nicht. Dabei kann keine Rolle spielen, ob diese Daten aus Zahlenfolgen oder Phantasiebezeichnungen bestehen, sofern sie eindeutig zu einer Person gehören. Bei Telefonnummern leuchtet dies von vornherein ein. Bei E-Mail-Adressen verhält es sich nicht anders.

Die Frage, ob Personendaten im Sinne des DSG vorliegen oder nicht, hängt nicht davon ab, welchen Mühen sich die Beklagten unterziehen wollen oder können, um die Personen hinter ihren E-Mail-Adresssammlungen und deren Interessen zu identifizieren, bevor sie diesen E-Mail-Werbung senden. Die Entscheidung, ob Personendaten vorliegen, hängt vielmehr einzig davon ab, ob diese Daten einer bestimmten Person zugeordnet werden können oder nicht. Wie gesagt definiert eine E-Mail-Adresse unzweideutig den Kommunikationsweg zu einem bestimmten Adressaten. Gerade weil es so ist, machen sich Personen wie die Beklagten überhaupt die Mühe, im Internet E-Mail-Adressen zu sammeln, deren Halter sie nicht identifizieren können. Denn zumindest können sie damit rechnen, dass die an aktive Adressen versandte E-Mail-Werbung ankommt und von den Empfängern zur Kenntnis genommen wird. Dabei entsteht die Chance, dass sie auf einen potenziellen Kunden für die feilgehaltenen Produkte oder Dienstleistungen trifft. Ist eine E-Mail-Adresse erst einmal in eine anonyme Adressdaten-Sammlung eingeflossen und kommt diese gar in den E-Mail-Adresshandel, können beliebige Anbieter weltweit ausprobieren, ob sich dahinter ein möglicher Kunde für ein beliebiges
Angebot findet oder nicht.

Demnach sind E-Mail-Adressen - unabhängig davon, ob es sich um Phantasiebezeichnungen handelt oder nicht - Personendaten im Sinne von Art. 3 Abs. 1 Bst. a DSG.

2.5. Unter «Bearbeiten» ist jeder Umgang mit Personendaten zu verstehen, dabei insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 Bst. e DSG). Im vorliegenden Fall interessiert vorab das Beschaffen, Aufbewahren und Verwenden von E-Mail-Adressen. Ihre Verwendung zum Versand von Werbematerial stellt zweifelsfrei eine Bearbeitung im Sinne von Art. 3 Bst. e DSG dar.

2.6. Dass, wie von den Beklagten angeführt, allenfalls (auch) ein lauterkeitsrechtliches Problem vorliegt, hindert die Anwendung von Datenschutzrecht auf den vorliegenden Sachverhalt nicht. Ebenso wenig gilt dies für den Umstand, dass das in Revision stehende Fernmeldegesetz Massnahmen gegen unlautere Massenwerbung ins Auge fasst. Gegenteils wird in der bundesrätlichen Botschaft zur Änderung des Fernmeldegesetzes (FMG) vom 12. November 2003 das DSG ausdrücklich vorbehalten (vgl. BBl 2003 7951 ff., 7991).

Das DSG ist demnach auf den vorliegenden Sachverhalt anwendbar und damit auch die Kompetenz des EDSB zum Erlass von Empfehlungen und deren Weiterziehung an die EDSK grundsätzlich gegeben.

3. Zuständigkeit des EDSB/Legitimation zur Weiterziehung

3.1. Der EDSB klärt von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungsmethoden Privater geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler, Art. 29 Abs. 1 Bst. a DSG). Aufgrund seiner Abklärungen kann er empfehlen, das Bearbeiten zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG). Wird eine solche Empfehlung des EDSB abgelehnt oder nicht befolgt, kann er die Angelegenheit der EDSK zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).

Die Empfehlung des EDSB unterscheidet nicht zwischen den beiden Fällen, die die Beklagten geltend machen. Sie ist allgemein abgefasst: der Beklagte 1 soll bei allen E-Mail-Empfängern die Art seiner Datenbearbeitung ändern. In seiner Begründung lässt der EDSB aber erkennen, dass er in erster Linie die unerbetene E-Mail-Massenwerbung der Beklagten im Auge hat. Diese liegt auch verschiedenen Beschwerden aus dem Publikum zugrunde.

Die Unterscheidung von vorbestandenem Kundenkreis und unbekannten Dritten ist indessen von Bedeutung, weil der EDSB gestützt darauf entscheiden muss, ob er in beiden Fällen eine fehlerhafte Datenbearbeitung feststellt und ob in beiden Fällen ein Systemfehler vorliegt. Falls es nicht - wie vorliegend - um blosse E-Mail-Listen, sondern um bearbeitete Datenbestände geht, ist eventuell auch an eine dritte Kategorie, z. B. an besondere Zielgruppen zu denken, zu denen ein Anbieter im einzelnen noch keine Kundenbeziehungen unterhält, bei denen aber ein bestimmtes Interesse für das betreffende Angebot vermutet wird. Je nachdem dürften dann auch die Empfehlungen des EDSB für diese verschiedenen Kategorien von E-Mail-Adressaten unterschiedlich ausfallen, um eine fehlerhafte Datenbearbeitung zu verhindern.

Im vorliegenden Fall wurde die Empfehlung gesamthaft abgelehnt bzw. nicht befolgt, das heisst sowohl mit Bezug auf die vorbestandenen Kunden als auch mit Bezug auf die nicht bekannten Dritten. Bei Ablehnung einer Empfehlung steht dem EDSB gemäss Art. 29 Abs. 4 DSG die Möglichkeit offen, die Empfehlung der EDSK zum Entscheid vorzulegen.

Die Beklagten halten die Empfehlung allgemein - bzw. mit Bezug auf die Bewerbung ihrer Kunden wie auch für die Bewerbung unbekannter Dritter - für nicht weiterziehungsfähig. Dies ist nachfolgend zu prüfen.

3.2. In der Lehre wird als zusammenfassende Bezeichnung für die Eignung einer Verletzung einer grösseren Anzahl von Personen in ihrer Persönlichkeit der Begriff «Systemfehler» verwendet (R. Bründler, Kommentar zum DSG, Urs Maurer/Nedim Peter Vogt, 1995, Art. 29 N. 3). In ihrer bisherigen Rechtsprechung hat die EDSK die Empfehlungsbefugnis des EDSB weit interpretiert (erstmals Nr. 1/95; EDSB gegen Schweiz. Verband der Immobilien-Treuhänder u. a.; Urteile vom 15. Dezember 1995/21. November 1996, VPB 62.42 A, VPB 62.42 B S. 350 ff.).

Im vorliegenden Fall sind von der vom EDSB beanstandeten Bearbeitung von Daten zahlreiche Personen betroffen. Nach eigener Darstellung der Beklagten benutzen sie ihre teilweise im Internet gesammelten E-Mail-Adressen heute zu Werbezwecken für den Versandhandel der Beklagten 2, während der Beklagte 1 zumindest bis vor 2 Jahren unter dem Namen X E-Marketing auftrat und über E-Mail Werbung im Internet betrieb. Beide Beklagten berufen sich überdies ausdrücklich auf die ihnen verfassungsmässig zustehende Wirtschaftsfreiheit.

Im Bereich des E-Mail-Marketings sind - wenn es um die Grösse von Adresssammlungen geht - sechs- oder gar siebenstellige Zahlen die Regel (vgl. Blätter für Zürcherische Rechtsprechung [ZR] 102 Nr. 39, S. 198; Bruno Glaus, medialex 1/02 S. 3; Gauthronet/Drouard, a.a.O., S. 5 ff.). Bei einem gewerblichen Versand von Direktwerbung ist somit das Tatbestandselement der «grösseren Anzahl» im Sinne von Art. 29 Abs. 1 Bst. a DSG offensichtlich erfüllt und wird von den Beklagten auch nicht bestritten.

4. Passivlegitimation der Beklagten

Die Beklagten bestreiten weiter ihre Passivlegitimation sowie die Zulässigkeit des vom EDSB empfohlenen «Opting Out» mittels E-Mail, was nachfolgend zu prüfen ist.

4.1. Die Empfehlung des EDSB vom 24. Januar 2003 richtet sich laut Rubrum an den Beklagten 1 (X) und die Beklagte 2 (Y GmbH). In der Sachverhaltsfeststellung wird erwähnt, das beanstandete Verhalten betreffe den Beklagten 1, der unter dem Namen X E-Marketing handle, ferner auch die Beklagte 2. In den Erwägungen des EDSB und im Empfehlungs-Dispositiv hingegen wird allein der Beklagte 1 als Empfehlungsadressat ins Recht gefasst. Der Beklagte 1 ist eine natürliche Person und klar zu unterscheiden von der Beklagten 2, einer juristischen Person. Im Weiterziehungsbegehren vom 6. Oktober 2003 spricht der EDSB vom «Empfehlungsadressaten», welchen er als «X bzw. Y GmbH» bezeichnet. In der Sachverhaltsschilderung heisst es, der Empfehlungsadressat sei eine «Unternehmung im Bereich e-Marketing». In der Replik führt der EDSB sodann aus, er hätte auch eine gleiche Empfehlung an die Adresse der Beklagten 2 richten können, weil der Beklagte 1 ausgeführt habe, nur als Organ tätig gewesen zu sein. Darauf sei aber verzichtet worden (act. 1 S. 3 f.).

Der EDSB hält daran fest, dass er die Empfehlung mindestens (auch) gegen die Beklagte 2 überprüfen und durchsetzen lassen will, obwohl sich jene im Dispositiv ausschliesslich gegen den Beklagten 1 persönlich richtet.

4.2. Eine Empfehlung des EDSB hat keinen Zwangscharakter (Bründler, a.a.O., Art. 29 N. 13) und stellt keine Verfügung im Sinne von Art. 5 des Bundesgesetzes vom 20. Dezember 1968 über das Verwaltungsverfahren (VwVG, SR 172.021) dar (Botschaft zum DSG, a.a.O., S. 480), ist aber getragen von der fachlichen und hoheitlichen Autorität der Aufsichtsbehörde (Bründler, a.a.O., Art. 29 N. 13). Empfehlungen sind formell und inhaltlich korrekt zu erlassen. Dazu gehört vorab, dass eine Empfehlung einem oder mehreren Adressaten eindeutig zugeordnet werden kann.

4.3. Passivlegitimiert als Partei im Weiterziehungsverfahren nach Art. 29 Abs. 4 DSG kann nur sein, wer Adressat der weitergezogenen Empfehlung nach Art. 29 Abs. 3 DSG ist und diese nicht befolgt oder ablehnt. Die Legitimation der Parteien wird - anders als im Zivilprozess - als subjektive Prozessvoraussetzung betrachtet, bei deren Fehlen ein Nichteintretensentscheid zu fällen ist.

4.3.1. Im vorliegenden Fall leidet die streitige Empfehlung mit Bezug auf die Beklagte 2 an einem Widerspruch. Im Rubrum erwähnt sie zwar beide Beklagten, ebenso wie in den Tatsachenfeststellungen und - weniger klar - in den Erwägungen. Die vier Empfehlungen gemäss Dispositiv richten sich jedoch ausdrücklich nur gegen den Beklagten 1. Der EDSB beantragt, dass die EDSK eine Empfehlung gegen die Beklagte 2 für vollziehbar erklärt, die er selbst im Dispositiv nur gegen den Beklagten 1 ausgesprochen hat. Dies ist im Weiterziehungsverfahren nicht möglich. Bezüglich der Beklagten 2 ist mangels Vorliegen einer weiterzugsfähigen Empfehlung nicht einzutreten. Es bleibt dem EDSB unbenommen, gegen die Beklagte 2, wie schon früher ins Auge gefasst, eine eigene Empfehlung auszusprechen.

4.3.2. Der Beklagte 1 hält sich für nicht passivlegitimiert gestützt auf die Angabe, dass er nie persönlich, sondern höchstens als Hilfsperson der Beklagten 2 gehandelt habe. Diese Sachdarstellung wird durch die Akten nicht gestützt. Darüber hinaus wird der Beklagte 1 sowohl in der vorliegenden Empfehlung wie auch im Weiterziehungsbegehren vom EDSB eindeutig ins Recht gefasst. Unerheblich ist, ob der Beklagte 1 zur Zeit persönlich Personendaten in datenschutzrelevanter Weise bearbeitet oder nicht. Zunächst einmal besteht jederzeit die Möglichkeit, dass er Personendaten auch als Einzelperson wieder bearbeiten könnte. Selbst wenn er angibt, Personendaten heute nur als Hilfsperson (richtig: Organ) der Beklagten 2 zu bearbeiten, so lehnt er es dennoch ab, die gegen ihn persönlich ausgesprochene Empfehlung des EDSB zu befolgen. Unter diesem Gesichtspunkt kann der EDSB die Empfehlung gegen ihn weiterziehen.

Der Beklagte 1 ist somit passivlegitimiert und auf das Weiterziehungsbegehren vom 6. Oktober 2003 ist daher, soweit ihn betreffend, einzutreten.

5. Datenschutzrechtliche Beurteilung der Massenwerbung per E-Mail

Somit ist nachfolgend die Rechtmässigkeit der Bearbeitung von Personendaten durch den Beklagten 1 zu prüfen.

5.1. Für die Beurteilung der datenschutzrechtlichen Zulässigkeit von Werbung per E-Mail ist wie gesagt zwischen verschiedenen Konstellationen zu unterscheiden. Erstens kann E-Mail-Werbung dazu verwendet werden, Personen, zu denen bereits eine Kundenbeziehung besteht, über Angebote auf dem Laufenden zu halten. Als zweite Möglichkeit ist denkbar, dass E-Mail-Adressen einer Zielgruppe gesammelt werden, um innerhalb dieser Gruppe neue Kunden zu gewinnen. Unter eine Zielgruppe fallen beispielsweise Adressaten, die aufgrund bekannter Umstände am fraglichen Angebot interessiert sein könnten. In diesem Fall werden bearbeitete Adressbestände verwendet. Schliesslich gibt es eine dritte Form der E-Mail-Werbung: der unverlangte Massenversand an wahllos bediente Empfänger. Diese Vorgehensweise zeichnet sich dadurch aus, dass Adressen verwendet werden, von denen der Versender nicht weiss, zu welchen Personen sie gehören. Solche Adressaten fallen zum vornherein nicht unter die erste und die zweite Gruppe von E-Mail-Empfängern. Die Zulässigkeit dieser dritten Form der E-Mail-Werbung soll im Folgenden untersucht werden, denn der Beklagte 1 versandte seine Werbung anerkanntermassen an eigene Kunden, aber auch an E-Mail-Adressaten, die er
gemäss eigener Angabe entweder nicht identifizieren kann oder die gemäss aktenkundigen Beschwerden an seinen Zusendungen kein Interesse bekundeten bzw. sich solche Zusendungen ausdrücklich verbaten. Bezüglich der wahllosen Streuwerbung räumte der Beklagte 1 selber ein, Adressen für den Versand von unverlangten Werbe-E-Mails verwendet zu haben, deren Inhaber ihm völlig unbekannt sind. Es versteht sich daher von selbst, dass er sich auf kein bekanntes oder vermutetes Interesse der E-Mail-Adressaten an seiner Werbung zu berufen vermag. Der Beklagte 1 geht davon aus, dass im Internet gesammelte Adressen ohne ausdrückliches Werbeverbot beliebig für kommerzielle Zwecke benutzt werden dürften. Wie es sich damit verhält, ist nachfolgend zu prüfen.

5.2. Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen (Art. 12 Abs. 1 DSG). Insbesondere dürfen nicht ohne Rechtfertigungsgrund Personendaten entgegen den Grundsätzen von Art. 4 DSG oder gegen den ausdrücklichen Willen der betroffenen Person bearbeitet werden (Art. 12 Abs. 2 Bst. a und b DSG). In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Art. 12 Abs. 3 DSG). Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist (Art. 13 Abs. 1 DSG).

5.3. Art. 4 DSG verlangt, dass Personendaten nur rechtmässig beschafft werden dürfen, dass ihre Bearbeitung nach Treu und Glauben zu erfolgen hat, dass sie verhältnismässig sein muss und dass Daten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, der aus den Umständen ersichtlich oder der gesetzlich vorgesehen ist. Verstösst eine Bearbeitung von allgemein zugänglich gemachten Daten gegen Treu und Glauben oder gegen den Grundsatz der Verhältnismässigkeit im Sinne von Art. 4 Abs. 2 DSG, so liegt darin ein Verstoss gegen die allgemeinen Grundsätze des Datenschutzes. Ebenfalls verletzt werden die allgemeinen Grundsätze des Datenschutzrechts, wenn Personendaten gemäss Art. 4 Abs. 3 DSG zu einem Zweck bearbeitet werden, der bei der Beschaffung nicht angegeben wurde oder der aus den Umständen nicht ersichtlich war.

5.4. E-Mail-Adressen werden auf verschiedene Arten beschafft. Einerseits können bestehende Adresssammlungen gekauft werden. Hierbei handelt es sich in der Regel um Hunderttausende von Adressen. Ein gewisser Teil ist erfahrungsgemäss unbrauchbar. Aufgrund der tiefen Kosten wird das aber in Kauf genommen. Wer keine fertige Adresssammlung kaufen will, kann Software erwerben, welche ihn beim Anlegen einer eigenen Sammlung unterstützt. Einerseits gibt es Programme, so genannte «Crawler»- oder «Spider»-Software, welche das Internet automatisiert nach veröffentlichten E-Mail-Adressen absucht und diese sammelt. Eine weitere Möglichkeit - auch für diese ist Software erhältlich - ist das Generieren von E-Mail-Adressen aus Internetadressen. Damit wird die Tatsache ausgenutzt, dass es sehr viele Adressen im Format info@domain, webmaster@domain u. Ä. gibt. Selbstverständlich können auch E-Mail-Adressverzeichnisse ausgebeutet werden.

Nach der allgemeinen Lebenserfahrung stellt eine Person Kommunikationswege zur Verfügung, damit gezielte Kontaktaufnahmen durch Personen, Institutionen und Unternehmen hergestellt werden können, die mit ihr in Verbindung treten wollen. Rein beliebige, zufällige Kontaktaufnahmen werden toleriert, soweit sie ein bestimmtes Mass an Beanspruchung nicht übersteigen (z. B. telefonische Meinungsumfragen, Telefonverkäufer, Verkaufsangebote per Telefax). Beim Kommunikationsweg über Internet ist neu, dass dem E-Mail-Empfänger - im Gegensatz etwa zum Brief- oder Telefonempfänger - nebst der zeitlichen Beanspruchung auch Kosten für den Empfang von Daten entstehen können. In gewissem Ausmass gilt dies zwar auch schon für den Empfang von Telefaxsendungen, die zu automatischem Papier- und Farbverbrauch auf Empfängerseite führen. Immerhin entsteht aber beim Telefon-, Brief- und Faxverkehr der Grossteil der Umtriebe und Kosten auf Seiten des Versenders, so dass sich schon von daher das Mass der Beanspruchung der Adressaten durch wahllose Mitteilungen seitens beliebiger Dritter in Grenzen hält.

Wer eine Website betreibt und darauf seine E-Mail-Adresse vermerkt, will damit - wie schon bei Eröffnung eines Kommunikationsweges durch den Postbriefkasten, das Telefon oder den Telefax - auch über Internet eine gezielte Kontaktaufnahme für Personen und Unternehmen anbieten, die mit ihm in Verbindung treten wollen. Da ihm bei Beanspruchung dieses Kommunikationsweges durch Dritte aber automatisch auch Kosten anfallen können, ist der E-Mail-Adressat darauf angewiesen, dass diese Dritten davon besonnenen Gebrauch machen. Selbst wenn eine Person Werbung tolerieren will, so kann dies in guten Treuen nicht als Aufforderung für Millionen von Verkäufern und Dienstleistern weltweit verstanden werden, ihr per E-Mail wahllos beliebige Angebote zuzusenden und ihr damit den bereits näher dargelegten Aufwand aufzubürden. Da indessen das System für die Versender kostengünstig und daher für Anbieter attraktiv ist, greift ein zunehmend leichtfertiger und rücksichtsloser Umgang mit dieser Technologie um sich. Es werden Befürchtungen laut, dass das gesamte System wegen Überlastung zusammenbrechen werde.

Der Beklagte 1 sammelte nach eigener Darstellung E-Mail-Adressen im Internet ein und stellte daraus Listen zusammen. Nach eigener Darstellung achtete er bei der Sammlung der E-Mail-Adressen angeblich nur darauf, ob diese mit einem Bearbeitungsverbot versehen seien. Er gibt an, seine E-Mail-Adresslisten völlig anonym und ohne jede Referenz zu ihren Haltern anzulegen und zu verwenden. Dabei nimmt der Beklagte 1 als versierter Internet-Nutzer in Kauf, dass den von ihm wahllos mit Werbung eingedeckten Adressaten beachtliche Kosten und Umtriebe entstehen.

5.5. Der Beklagte 1 geht davon aus, die uneingeschränkte Nutzung einer E-Mail-Adresssammlung zu kommerziellen Werbezwecken stehe ihm - und damit natürlich auch jedem anderen Marktteilnehmer - beliebig oft frei, unabhängig davon, ob und welchen Aufwand bzw. welche Kosten er damit bei den Empfängern seiner Anpreisungen auslöst. Seine E-Mail-Adresslisten legt er ohne Personenbezug an. Damit wird nicht nur eine zielgruppenorientierte Werbung unmöglich; vor allem können solche Listen auch nicht anhand inzwischen publizierter Werbeverbote aktualisiert werden. Mit seinem Eingeständnis, die hinter den gesammelten Adressen stehenden Personen häufig nicht identifizieren zu können, nimmt er es gerade in Kauf, dass Tausende von uninteressierten Personen und Firmen seine unverlangten Werbe-E-Mails herunterladen, visionieren und mangels Interesse löschen müssen, nur damit er - zufällig - einzelne neue Kunden gewinnen kann.

Das DSG unterstellt die Bearbeitung von Personendaten dem Grundsatz von Treu und Glauben (Art. 4 Abs. 2 DSG). Die Bundesverfassung erhebt in Art. 5 Abs. 3 BV den Grundsatz von Treu und Glauben zum Verfassungsprinzip, das auch unter Privaten unmittelbar anwendbar ist (Y. Hangartner, St. Galler Kommentar zur schweizerischen Bundesverfassung, Zürich, 2002, Art. 5 Abs. 3 Rz. 37). Dieser Grundsatz gilt auch im Privatrechtsbereich (Art. 2 des Schweizerischen Zivilgesetzbuchs vom 10. Dezember 1907 [ZGB], SR 210) und in verwaltungsrechtlichen Verhältnissen. Er gebietet ein loyales und vertrauenswürdiges Verhalten im Rechtsverkehr. Im Geschäftsverkehr hat Treu und Glauben eine herausragende Bedeutung. Das Gebot von Treu und Glauben im Geschäftsverkehr, welches wie das Rechtsmissbrauchsverbot eine Ausprägung des gleichen Grundsatzes ist, gehört zum Kreis der universell anerkannten Rechtsgüter, deren Schutz der positive «Ordre public» dient (BGE 128 III 201, BGE 128 III 207).

Von einem loyalen und vertrauenswürdigen Verhalten im Geschäftsverkehr kann jedoch keine Rede sein, wenn eine an einer Geschäftsanbahnung interessierte Partei es in Kauf nimmt, zur Gewinnung einzelner Kunden systematisch eine Vielzahl von nicht einmal ansatzweise identifizierten Adressaten wahllos mit beliebiger Streuwerbung zu bedienen. Dies gilt erst recht, wenn dieser Vielzahl von Empfängern in voraussehbarer Weise gänzlich nutzlose Auslagen und Umtriebe anfallen, wie dies vorliegend der Fall ist. Insbesondere darf nicht vermutet werden, dass eine Person ihre E-Mail-Adresse bekannt gibt, damit ihr jeder beliebige Anbieter im World Wide Web seine Angebote für die Anbahnung von Geschäftsbeziehungen unterbreiten kann. Der Grundsatz von Treu und Glauben greift schon im vorvertraglichen Bereich. Daher hat die an einer Geschäftsanbahnung interessierte Partei die Privatsphäre und die Interessen des anderen zu respektieren. Dazu gehört, dass der Geschäftswillige nicht ungefragt und systematisch massenhaft nutzlose Auslagen und Umtriebe bei Dritten verursacht. Bei wahlloser Streuwerbung an nicht identifizierte Dritte ist zu beachten, dass der Anbieter nur über vage bzw. ganz und gar zufällige Aussichten auf eine
Geschäftsmöglichkeit verfügt, wenn er seine Werbung an Personen und Unternehmen adressiert, von denen er nicht einmal im Ansatz weiss, um wen es sich dabei handelt und welche Interessenlage bei diesen herrscht.

Es verstösst somit gegen Treu und Glauben, wenn ein an Geschäftsanbahnung Interessierter systematisch Tausenden von Adressaten ungefragt und nutzlos beachtliche Kosten und Umtriebe für die Zustellung seiner Werbung zumutet, nur um zufällig zu einzelnen Geschäftsabschlüssen zu gelangen. Ein solches Verhalten missachtet den Willen der Personen, die ihre E-Mail-Adressen im Internet für gezielte Kontaktaufnahmen und Werbung zugänglich gemacht haben. Demzufolge liegt in der Verwendung von wahllos gesammelten, nicht identifizierten E-Mail-Adressen zum Zweck der Zustellung unverlangter Streuwerbung ein Verstoss gegen den Grundsatz von Treu und Glauben im Sinne von Art. 4 Abs. 2 DSG (ebenso, wenn auch aus wettbewerbsrechtlicher Sicht, ZR 102 Nr. 39; sic! 7/8/2003).

5.6. Der Beklagte 1 gibt an, dass er die von ihm verwendeten E-Mail-Adressen unter anderem aus dem Internet bezogen habe. Die Sammlung und Verwendung von E-Mail-Adressen, die gestützt auf automatisierte Routinen im Internet gesammelt wurden, ohne dass eine Zuordnung der Adresse zu ihrem Halter erfolgt oder gewollt ist, verstösst je nachdem auch gegen den Grundsatz von Art. 4 Abs. 3 DSG. Nach dieser Bestimmung dürfen Personendaten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, der aus den Umständen ersichtlich oder der gesetzlich vorgesehen ist.

Das automatisierte Sammeln von Adressdaten im Internet mittels entsprechender Software-Instrumente, ebenso wie das Generieren von E-Mail-Adressen aus allgemein zugänglichen Informationen, geschieht ohne Wissen der Adressinhaber. Solches Vorgehen schliesst es aus, einem E-Mail-Adressinhaber im Moment der Beschaffung anzugeben, für welchen Zweck seine E-Mail-Adresse beschafft, aufbewahrt und verwendet werden soll. Erst recht sind keine «Umstände ersichtlich», die den Schluss erlauben würden, die durch automatisierte Routinen generierten Adresssammlungen beruhten auf der Zustimmung der hinter diesen Adressen stehenden Halter. Somit kann auch Art. 4 Abs. 3 DSG verletzt sein, wenn sich ein Versender solcher wahllos gesammelter E-Mail-Adressen für unerbetene Streuwerbung bedient.

5.7. Der Beklagte 1 wendet ein, dass - abgesehen von Kundenadressen - nur solche E-Mail-Adressen verwendet würden, bei welchen die Adressaten kein ausdrückliches Bearbeitungsverbot ausgesprochen hätten. Damit beruft er sich auf Art. 12 Abs. 3 DSG.

Nach Art. 12 Abs. 3 DSG liegt in der Regel keine Persönlichkeitsverletzung vor, wenn eine Person ihre Kontaktangaben allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat. Im Regelfall ist daher für die Zulässigkeit der Datenbearbeitung kein Rechtfertigungsgrund erforderlich (M. Hünig, Kommentar zum DSG, Urs Maurer/Nedim Peter Vogt, 1995, Art. 12 N. 17). Das Vorliegen dieser Voraussetzungen hat der Bearbeiter, der sich darauf berufen will, zu beweisen.

Wie oben gezeigt, können E-Mail-Adresslisten ab öffentlich zugänglichen Verzeichnissen selbst zusammengestellt oder - für wenig Geld - käuflich erworben werden. Es kann hier offen bleiben, ob eine einmal im Internet zugänglich gemachte E-Mail-Adresse als «öffentlich zugänglich gemacht» im Sinne des DSG gilt, wenn andererseits gemäss Art. 4 Abs. 3 DSG Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde oder der aus den Umständen ersichtlich ist. Im vorliegenden Fall muss die Berufung des Beklagten 1 auf Art. 12 Abs. 3 DSG schon deshalb scheitern, weil aus den aktenkundigen Publikumsbeschwerden hervorgeht, dass er wiederholt ausdrückliche Bearbeitungsverbote nicht beachtet hat. Dies wurde vom Beklagten 1 nicht bestritten. Damit erübrigen sich weitere Ausführungen zu diesem Punkt.

Ausserdem ist im vorliegenden Fall von einem Verstoss gegen den Grundsatz von Treu und Glauben im Sinne von Art. 4 Abs. 2 DSG auszugehen, der systematische Züge trägt. Wer einer immensen Anzahl ihm völlig unbekannter, wahllos angeschriebener Personen ungefragt Auslagen und Umstände aufbürdet und dabei sogar die Funktionsfähigkeit der elektronischen Kommunikation als ganzer bedroht, nur um selber neue Kunden zu gewinnen, kann sich nicht auf Art. 12 Abs. 3 DSG berufen. Die Exkulpation hat der Gesetzgeber nur für den Regelfall vorgesehen. Ein Regelfall ist nicht anzunehmen angesichts der hier beschriebenen Schwere des Verstosses gegen einen Grundsatz von Verfassungsrang.

5.8. Somit könnte die Zusendung von Werbemails an unbekannte Dritte alleine aufgrund eines Rechtfertigungsgrundes im Sinne von Art. 13 DSG zulässig sein. Demnach liegt eine widerrechtliche Persönlichkeitsverletzung vor, wenn diese nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates Interesse, durch ein öffentliches Interesse oder durch Gesetz gerechtfertigt ist.

5.8.1. Die Veröffentlichung einer E-Mail-Adresse auf dem Internet ohne ausdrückliches Werbeverbot stellt nach dem Gesagten keine (stillschweigende) Einwilligung des Betroffenen in die Zustellung massenhafter und wahlloser Streuwerbung per E-Mail im Sinne von Art. 13 Abs. 1 DSG dar. Aufgrund der geschilderten Umstände - insbesondere aufgrund der im Vergleich mit herkömmlicher Massenwerbung umgekehrten Kostenallokation im vorliegenden Fall - schliesst der Grundsatz von Treu und Glauben im Geschäftsverkehr die Vermutung aus, das Fehlen eines ausdrücklichen Werbezustellungsverbotes stelle eine Einwilligung in eine im Sinne von Art. 4 DSG rechtswidrige Datenbearbeitung dar.

Es kommt hinzu, dass sich ein Internet-Teilnehmer durch ein ausdrücklich im Internet placiertes Bearbeitungsverbot nach der allgemeinen Lebenserfahrung kaum vor der Zustellung unzulässiger Werbesendungen per E-Mail zu schützen vermag. Solche Bearbeitungsverbote bleiben unwirksam, weil die Programme zur automatisierten Adresssammlung so ausgelegt sind, dass sie E-Mail-Adressen erkennen, nicht aber sonstigen Inhalt einer Website wie etwa Mitteilungen von rechtserheblicher Bedeutung. So genannte «Spider»- oder «Crawler»-Software zur automatisierten Adresssammlung nimmt nur die Adresse - im Format xxxx@yyyy.zz - wahr und registriert diese, nicht aber den zusätzlichen Hinweis des E-Mail-Adressinhabers, wonach er Adresshandel oder Werbezusendungen verbiete. Fallen nur die Adressen, nicht aber die Bearbeitungsverbote bei den professionellen Adresssammlern an, so werden sie nicht verarbeitet, geschweige denn berücksichtigt. Erst recht bleiben sie bei den Abnehmern von Adressdatenbanken auf dem Adresshandelsmarkt wirkungslos. Ihre Bedeutung würden sie demnach regelmässig erst dann entfalten, wenn die widerrechtliche Persönlichkeitsverletzung bereits eingetreten ist und der Verletzte Klage einreicht. Der Gefahr eines Systemfehlers
kann auf diese Weise nicht begegnet werden.

Es ist dem E-Mail-Adressinhaber auch nicht zuzumuten, dass er seinerseits Massnahmen ergreift, die eine solche automatisierte Adresssammlung unterlaufen, indem er etwa seine Adresse codiert, um sie für solche Programme unleserlich darzustellen. Es kommt hinzu, dass auch eine Codierung der E-Mail-Adresse eine weitere Art der Adressdatenbeschaffung, die so genannte Generierung der E-Mail-Adresse (Umformung einer Internet-Adresse in eine E-Mail-Adresse), nicht verhindern kann (vgl. dazu, aus wettbewerbsrechtlicher Sicht, ZR 102 Nr. 39, Bezirksgericht Zürich, Entscheid vom 6. Dezember 2002; sic! 7/8/2003, S. 620).

Schliesslich bleibt festzuhalten, dass dem einzelnen Internet-Teilnehmer die Publikation eines Werbeverbotes nichts mehr nützt, wenn seine Adresse bereits zuvor eingesammelt wurde und in eine reine E-Mail-Liste ohne Personenbezug eingeflossen ist, wie der Beklagte 1 sie führt, und so Bestandteil des E-Mail-Adressenhandels geworden ist. Denn wie vom Beklagten 1 detailliert geschildert, ist es in diesen Fällen oft nicht mehr möglich, die hinter den E-Mail-Adressen stehenden Personen zu eruieren und die gehandelten E-Mail-Adresslisten entsprechend dem Willen der Adressinhaber zu aktualisieren. Auch müsste ein Datenbearbeiter die vorhandene bzw. fortbestehende Einwilligung des E-Mail-Adressaten vor jeder Verwendung zwecks Streuwerbungsversand belegen können, was kaum möglich sein dürfte in denjenigen Fällen, in welchen er - wie der Beklagte 1 - die hinter seinen E-Mail-Adressen stehenden Personen nicht identifizieren kann.

5.8.2. Der Beklagte 1 beruft sich für sein Recht, wahllos Streuwerbung an ihm nicht bekannte E-Mail-Adressaten zu versenden, auf die Wirtschaftsfreiheit. Wie schon angeführt, zielt er damit offenbar auf den Rechtfertigungsgrund des überwiegenden privaten Interesses gemäss Art. 13 Abs. 1 DSG. Das Interesse des Beklagten 1 an seiner freien wirtschaftlichen Entfaltung ist indessen nicht absolut geschützt, sondern findet seine Grenze an der verfassungsmässig geschützten persönlichen Freiheit und an der geschützten Privatsphäre der E-Mail-Benutzer. Diese Interessen sind gegeneinander abzuwägen.

Die Wirtschaftsfreiheit gewährleistet insbesondere den freien Zugang zu einer privatwirtschaftlichen Erwerbstätigkeit (Art. 27 Abs. 2 BV; vgl. BGE 130 I 24 E. 4.1 S. 40 mit vielen Hinweisen). Unter ihrem Schutz steht jede gewerbsmässig ausgeübte, privatwirtschaftliche Tätigkeit, die der Erzielung eines Gewinnes oder Erwerbseinkommens dient (BGE 124 I 310 E. 3a S. 313, BGE 123 I 212 E. 3a S. 217; je mit Hinweisen). Vorbehalten bleiben jedoch Bestimmungen, die die Ausübung von Handel und Gewerbe einschränken. Solche Einschränkungen können dem Schutz der öffentlichen Ordnung, der Gesundheit, Sittlichkeit und Sicherheit oder von Treu und Glauben im Geschäftsverkehr dienen (BGE 125 I 267 E. 2 b, BGE 124 I 310 E. 3a S. 313, BGE 118 Ia 175 E. 1 S. 176 f., BGE 114 Ia 34 E. 2a S. 36). Sodann kann die Wirtschaftsfreiheit nach Art. 36 BV eingeschränkt werden, wenn hierfür eine genügende gesetzliche Grundlage besteht, die Einschränkung im öffentlichen Interesse liegt, die entsprechende Massnahme verhältnismässig erscheint und zudem rechtsgleich erfolgt. Unzulässig sind wirtschaftspolitische oder standespolitische Massnahmen, die den freien Wettbewerb behindern, um gewisse Gewerbezweige oder Bewirtschaftungsformen zu sichern oder zu
begünstigen, oder sonstwie den Wettbewerb verzerren (Art. 94 Abs. 4 BV; BGE 128 I 3 E. 3a S. 9 f., BGE 125 I 276 E. 3a S. 277, BGE 125 I 322 E. 3a S. 326, BGE 125 I 335 E. 2a S. 337, BGE 124 I 310 E. 3a S. 313, BGE 123 I 12 E. 2a S. 15, BGE 123 I 212 E. 3a S. 217).

Gestützt auf die bisherigen Ausführungen ist kein Vorrang der wirtschaftlichen Interessen des Beklagten 1 ersichtlich, wenn er seine Produkte nach eigener Darstellung Personen anbietet, von denen er gerade nicht weiss, welche Interessen diese verfolgen. Vielmehr versendet er wahllos Werbe-Mails, bei welchen ihm die Identität und die Interessenlage der jeweiligen Adressaten unbekannt - und im Einzelfall wohl auch keineswegs wichtig - sind. Aufgrund der extrem tiefen Kosten eines automatisierten E-Mail-Versands scheint sich die Bearbeitung der Datenbestände z. B. nach Zielgruppen nicht zu lohnen bzw. rentiert der Rücklauf der Bestellungen offenbar auch dann, wenn zahlreiche Unbekannte gänzlich unnötig mit Werbung eingedeckt werden. Da die tiefe Erfolgsquote solcher Mailings bekannt ist, geschieht der Versand im Bewusstsein, dass er beim weit überwiegenden Teil der Adressaten sinnlos ist und empfängerseitig ausschliesslich Kosten und Umtriebe verursachen wird.

Während zielgruppenorientierte E-Mail-Werbung durchaus eine zulässige wirtschaftliche Entfaltung darstellen kann, lässt sich bei massenhafter Streuwerbung per E-Mail von einer legitimen Grundrechtsverwirklichung nicht mehr sprechen. Erst recht gilt dies, wenn - wie hier dargelegt - wahlloser Massenversand von Streuwerbung gegen Treu und Glauben im Geschäftsverkehr bzw. gegen Art. 5 Abs. 3 BV und Art. 4 DSG verstösst. Solches Geschäftsgebaren - soweit überhaupt ein rechtlich legitimes Interesse daran unterstellt werden soll - überwiegt jedenfalls nicht das verfassungsmässig geschützte Recht des Einzelnen auf Wahrung seiner Privatsphäre bzw. den Anspruch auf Schutz vor Missbrauch seiner persönlichen Daten im Sinne von Art. 13 Abs. 2 BV, den auch Private zu respektieren haben (Schweizer, a.a.O., Art. 13 Rz. 40). Es liegt auch auf der Hand, dass keiner der vom DSG als Anwendungsfälle eines relevanten privaten Interesses angeführten Tatbestände (Art. 13 Abs. 2 Bst. a-f) ernsthaft in Betracht fällt.

Auch laut der anhand der Gesetzgebung zum unlauteren Wettbewerb (Bundesgesetz vom 19. Dezember 1986 gegen den unlauteren Wettbewerb [UWG], SR 241) entwickelten Rechtsprechung ist die gezielte Natur von E-Mail-Werbung - im Gegensatz zu Streuwerbung - eine Voraussetzung für ihre Lauterkeit gemäss UWG (s. ZR 102 Nr. 39). Unter diesen Umständen erübrigen sich weitere Ausführungen zur Frage, ob der Massenversand unerbetener Streuwerbung als überwiegendes privates Interesse im Sinne von Art. 13 Abs. 1 DSG in Betracht fällt.

5.8.3. Dass ein überwiegendes öffentliches Interesse in Frage komme, macht der Beklagte 1 zu Recht nicht geltend. Umgekehrt liegt es gerade im öffentlichen Interesse, Treu und Glauben im Geschäftsverkehr zu schützen (BGE 125 I 369, BGE 125 I 383).

5.9. Demnach ist allein die ausdrückliche vorherige Einwilligung der Betroffenen geeignet, bei Massenversand von E-Mail-Werbung eine widerrechtliche Persönlichkeitsverletzung im Sinne des DSG auszuschliessen. Damit entspricht die Rechtslage dem so genannten «Opt-In»-Prinzip. Das «Opt-In»-Prinzip bedeutet, dass die Zustellung von E-Mail-Werbung nur nach vorheriger Einwilligung der Adressaten zulässig ist.

Demgegenüber sieht das Weiterziehungsbegehren des EDSB vor, dem Beklagten 1 das «Opt-Out»-Prinzip vorzuschreiben. Dies ist indessen - zumindest für die Fälle des massenhaften Versands unverlangter E-Mail-Werbung an unidentifizierte Empfänger - aus datenschutzrechtlicher Sicht allein nicht ausreichend.

5.10. Dieses Ergebnis fügt sich nahtlos in die schweizerische und die europäische Rechtslage ein.

5.10.1. Ein Blick über die Grenze auf die datenschutzrechtlichen Regelungen der Europäischen Union (EU) führt zum gleichen Ergebnis. Seit Inkraftsetzung der Datenschutzrichtlinie für die elektronische Kommunikation 2002/58/EG vom 12. Juli 2002 gilt, dass das unaufgeforderte Versenden von Werbung per E-Mail bei fehlender Geschäftsbeziehung grundsätzlich unzulässig ist, sofern nicht eine vorherige Einwilligung des Empfängers vorliegt (Art. 13 Abs. 1 der Richtlinie 2002/58/EG). Im europäischen Rechtsraum lässt sich ein eindeutiger Trend zu dieser so genannten «Opt-In»-Lösung feststellen. Bereits bei der Umsetzung der Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation hatten sich mehrere europäische Länder für das «Opt-In»-Modell entschieden, welches E-Mail-Werbung nur bei ausdrücklicher vorheriger Zustimmung des Empfängers zulässt (Österreich, Dänemark, Finnland, Italien; Gauthronet/Drouard, a.a.O., S. 18).

5.10.2. Im geltenden Schweizer Recht findet sich ausserhalb des Datenschutzrechts zur Zeit noch keine Bestimmung, welche sich ausdrücklich mit der hier behandelten Problematik befasst. Immerhin weisen bestimmte gesetzliche Bestimmungen, laufende gesetzgeberische Revisionsbemühungen sowie vereinzelte Gerichtsentscheide bereits in die Richtung, dem Massenversand unverlangter Werbe-E-Mails Einhalt zu gebieten.

Für ein zivilrechtliches Vorgehen nach schweizerischem Recht liesse sich an die Regeln des Persönlichkeitsschutzes im Sinne von Art. 28 ff . ZGB denken. Hauptsächlich wurde allerdings bisher gegen die Versender von E-Mail-Massenwerbung gestützt auf Wettbewerbsrecht vorgegangen. Im Rahmen der anstehenden Revision des Fernmeldegesetzes vom 30. April 1997 (FMG, SR 784.10) ist vorgesehen, das UWG um eine ausdrücklich der elektronischen Massenwerbung gewidmete Bestimmung zu ergänzen. Nach Art. 3 Bst. o (neu) UWG handelt unlauter, wer Massenwerbung ohne Zusammenhang mit einem angeforderten Inhalt fernmeldetechnisch sendet und es dabei unterlässt, vorher die Einwilligung der Kunden einzuholen, den korrekten Absender anzugeben oder auf eine problemlose und kostenlose Ablehnungsmöglichkeit hinzuweisen. Gemäss Art. 45a des revidierten FMG sollen die Anbieterinnen von Fernmeldediensten unlautere Massenwerbung nach Art. 3 Bst. o (neu) UWG bekämpfen. Mit dem Inkrafttreten dieses neuen Art. 3 Bst. o UWG soll ein erstmaliger Massenversand von unverlangten Werbe-E-Mails an beliebige Adressaten ohne deren vorherige Einwilligung auch strafrechtlich verfolgt werden können.

5.11. Zusammenfassend ist somit festzuhalten:

Die Zustellung von unverlangter E-Mail-Massenwerbung an unbekannte und wahllos zusammengestellte Adressen, welche im Internet gesammelt wurden, stellt eine widerrechtliche Persönlichkeitsverletzung im Sinne von Art. 12 Abs. 2 Bst. a in Verbindung mit Art. 4 DSG dar, wenn hierfür kein Rechtfertigungsgrund gemäss Art. 13 Abs. 1 DSG oder keine Grundlage gemäss Art. 13 Abs. 2 DSG besteht, unabhängig davon, ob die E-Mail-Adressen mit oder ohne Beifügung eines Bearbeitungsverbots publiziert wurden.

6. Empfehlung des EDSB: Schaffung der Möglichkeit des «Opting Out»

6.1. Der EDSB will den Empfehlungsadressaten auffordern, den Empfängern seiner Werbemails eine Möglichkeit zur Verfügung zu stellen, ihr Recht auf «Opting Out» mittels des gleichen Kommunikationsmittels, mit dem Werbung zugestellt wurde, wahrzunehmen. Der Beklagte 1 bestreitet, dass eine Grundlage bestehe, ihn zur Bereitstellung von solchen Möglichkeiten anzuhalten und hält sie überdies für unpraktikabel. Er stellt sich gar auf den Standpunkt, eine solche Lösung verletzte Datenschutzrecht, weil man gestützt auf einen blossen E-Mail-Eingang die fraglichen Adressen gar nicht löschen dürfte, zum einen wegen der Manipulationsgefahr im Internet, zum anderen mangels sicherer Identifikation der Absender.

6.2. Die Datenbearbeitung durch Private darf nicht gegen den ausdrücklichen Willen der Betroffenen erfolgen (Art. 12 Abs. 2 Bst. b DSG). Dieses Sperr- oder Widerspruchsrecht garantiert und schützt das Selbstbestimmungsrecht der von Datenbearbeitung betroffenen Personen (Hünig, a.a.O., Art. 12 N. 14, mit Hinweis auf die Materialien).

6.3. Unter «Opting Out» ist die Möglichkeit für den Empfänger einer Nachricht zu verstehen, dem Absender mitzuteilen, dass keine weiteren Sendungen erwünscht seien und die betreffende Adresse aus dessen Sammlung zu entfernen sei. Die betroffene Person bringt damit ihren ausdrücklichen Willen zum Ausdruck, dass der Versender ihr keine Sendungen zugehen lassen soll. Im herkömmlichen Postverkehr stellt ein entsprechender Aufkleber am Briefkasten des Empfängers eine Form des «Opting Out» dar, der dem Verteiler von Streuwerbung signalisiert, dass der Briefkastenhalter keine unadressierten Wurfsendungen wünscht. In diesen Fällen bleibt in der Regel - anders als beim E-Mail-Verkehr - schon eine Erstzustellung von unverlangter Werbung aus (vgl. Art. 926 ff . ZGB).

Mit der Wahrnehmung einer «Opt-Out»-Möglichkeit wird gezielt gegenüber einem bestimmten Datenbearbeiter ein ausdrückliches Verbot ausgesprochen. Im täglichen E-Mail-Verkehr spielt sich dies so ab, dass ein Adressat eine Mitteilung per E-Mail erhält und gleichzeitig eingeladen wird, sein allfälliges Desinteresse an weiteren Zusendungen durch Absetzen einer Rückantwort bekannt zu geben.

Im Falle einer zulässigen Erstzustellung kann eine «Opt-Out»-Möglichkeit ein geeignetes Mittel sein, um sicherzustellen, dass auch in Zukunft Persönlichkeitsrechte der Betroffenen respektiert werden. Das Versenden von unverlangter E-Mail-Streuwerbung an unbekannte Adressaten ist nach dem Gesagten hingegen unzulässig. Daher vermag die Bereitstellung einer «Opt-Out»-Möglichkeit einen Versand von unverlangter E-Mail-Streuwerbung nicht zu legitimieren und den Rechtsbruch nicht zu heilen. Denn wenn ein E-Mail-Adressat vom «Opting Out» Gebrauch macht, so betrifft dies naturgemäss nur weitere Datenbearbeitungen. Eine zulässige Erstzustellung setzt allerdings - unabhängig von der Möglichkeit eines «Opting Out» - voraus, dass dem DSG auch hinsichtlich der allgemeinen Grundsätze Genüge getan wurde. Dies heisst insbesondere auch, dass bei der Beschaffung von E-Mail-Adressen angegeben werden muss oder aus den Umständen ersichtlich sein muss, dass sie zu Werbezwecken verwendet werden sollen (Art. 4 Abs. 3 DSG).

6.4. Zu beachten ist weiter, dass, wer vom «Opting Out» Gebrauch macht, dem Absender signalisiert, dass seine E-Mail-Adresse tatsächlich gültig und weiterhin aktiv ist. Dies erhöht deren Wert auf dem florierenden E-Mail-Adressenhandel-Markt beträchtlich. Wer somit auf unbestellte Werbe-E-Mails im Sinne eines «Opting Out» antwortet, riskiert, erst recht viele weitere Werbesendungen per E-Mail zu erhalten. Das «Opting Out»-Prinzip zwingt den Empfänger, aktiv zu werden. Dadurch entstehen beim wahllos angeschriebenen Adressaten Auslagen und Kosten, die ihm nicht zuzumuten sind.

Unter diesen Umständen ist nicht einzusehen, weshalb der Empfänger von unverlangt zugestellten Massen-E-Mails verpflichtet werden soll, für die Entfernung seines Eintrags in einer Datensammlung selber Aufwand zu treiben, sei es, dass er selbst eine «Opting Out»-Mitteilung versenden muss, sei es, dass er sich in so genannte «Robinson-Listen» einträgt. Erst recht ist nicht einzusehen, weshalb zusätzlich den Providern die Nachschau in Robinson-Listen aufgebürdet werden sollte.

6.5. Eine «Opt-Out»-Möglichkeit in einem unangeforderten Werbe-E-Mail hebt demnach die Rechtswidrigkeit von unzulässigerweise versandten E-Mails nicht auf. Hingegen wäre sie geeignet, in Werbe-Mails, die zulässigerweise versandt werden, die Ausübung des Selbstbestimmungsrechts der Betroffenen bezüglich künftiger weiterer Datenbearbeitung zu unterstützen.

Aus allen diesen Gründen wird die der Weiterziehung zugrundeliegende Empfehlung - soweit sie den Beklagten 1 betrifft - aufgehoben.

[1] «Post Office Protocol»: Bezeichnung für ein im Internet gebräuchliches Übertragungsprotokoll, das die Übertragung von E-Mails vom Mail-Server zum Empfänger regelt (Anm. der Redaktion).
[2] Zu lesen auf der Internetseite des Bundesamtes für Justiz unter http://www.ofj.admin.ch/etc/medialib/data/staat_buerger/gesetzgebung/bundesverfassung.Par.0006.File.tmp/bv-alt-d.pdf

Dokumente der EDSK

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
¹	Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
²	Le registre du responsable du traitement contient au moins les indications suivantes:
^a	l'identité du responsable du traitement;
^b	la finalité du traitement;
^c	une description des catégories de personnes concernées et des catégories de données personnelles traitées;
^d	les catégories de destinataires;
^e	dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
^f	dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
^g	en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
³	Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
⁴	Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
⁵	Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
¹	Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
²	Il ne peut exercer aucune surveillance sur:
^a	l'Assemblée fédérale;
^b	le Conseil fédéral;
^c	les tribunaux fédéraux;
^d	le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
^e	les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
¹	Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
²	Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
¹	Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
²	Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 15 Obligations du représentant - 1 Le représentant tient un registre des activités de traitement du responsable du traitement qui contient les indications mentionnées à l'art. 12, al. 2.
¹	Le représentant tient un registre des activités de traitement du responsable du traitement qui contient les indications mentionnées à l'art. 12, al. 2.
²	Il fournit sur demande au PFPDT les indications contenues dans ce registre.
³	Il fournit sur demande à la personne concernée des renseignements concernant l'exercice de ses droits.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
¹	La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
^a	des personnes privées;
^b	des organes fédéraux.
²	Elle ne s'applique pas:
^a	aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
^b	aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
^c	aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
³	Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
⁴	Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
¹	La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
²	Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.

IR 0.101 Convention du 4 novembre 1950 de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH) CEDH Art. 8 Droit au respect de la vie privée et familiale - 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
¹	Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
²	Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 20 Exceptions au devoir d'informer et restrictions - 1 Le responsable du traitement est délié du devoir d'information au sens de l'art. 19 si l'une des conditions suivantes est remplie:
¹	Le responsable du traitement est délié du devoir d'information au sens de l'art. 19 si l'une des conditions suivantes est remplie:
^a	la personne concernée dispose déjà des informations correspondantes;
^b	le traitement des données personnelles est prévu par la loi;
^c	le responsable du traitement est une personne privée et il est lié par une obligation légale de garder le secret;
^d	les conditions de l'art. 27 sont remplies.
²	Lorsque les données personnelles ne sont pas collectées auprès de la personne concernée, le devoir d'information ne s'applique pas non plus dans les cas suivants:
^a	l'information est impossible à donner;
^b	elle nécessite des efforts disproportionnés.
³	Le responsable du traitement peut restreindre ou différer la communication des informations, ou y renoncer, si l'une des conditions suivantes est remplie:
^a	les intérêts prépondérants d'un tiers l'exigent;
^b	l'information empêche le traitement d'atteindre son but;
^c	lorsque le responsable du traitement est une personne privée et que les conditions suivantes sont remplies:
^c1	ses intérêts prépondérants l'exigent,
^c2	il ne communique pas les données à un tiers;
^d	lorsque le responsable du traitement est un organe fédéral:
^d1	si un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Suisse, l'exige, ou
^d2	si la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative.
⁴	Les entreprises appartenant au même groupe ne sont pas considérées comme des tiers au sens de l'al. 3, let. c, ch. 2.

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 5 - 1 Sont considérées comme décisions les mesures prises par les autorités dans des cas d'espèce, fondées sur le droit public fédéral et ayant pour objet:
¹	Sont considérées comme décisions les mesures prises par les autorités dans des cas d'espèce, fondées sur le droit public fédéral et ayant pour objet:
^a	de créer, de modifier ou d'annuler des droits ou des obligations;
^b	de constater l'existence, l'inexistence ou l'étendue de droits ou d'obligations;
^c	de rejeter ou de déclarer irrecevables des demandes tendant à créer, modifier, annuler ou constater des droits ou obligations.
²	Sont aussi considérées comme des décisions les mesures en matière d'exécution (art. 41, al. 1, let. a et b), les décisions incidentes (art. 45 et 46), les décisions sur opposition (art. 30, al. 2, let. b, et 74), les décisions sur recours (art. 61), les décisions prises en matière de révision (art. 68) et d'interprétation (art. 69).25
³	Lorsqu'une autorité rejette ou invoque des prétentions à faire valoir par voie d'action, sa déclaration n'est pas considérée comme décision.

SR 210 Code civil suisse du 10 décembre 1907 CC Art. 2 - 1 Chacun est tenu d'exercer ses droits et d'exécuter ses obligations selon les règles de la bonne foi.
¹	Chacun est tenu d'exercer ses droits et d'exécuter ses obligations selon les règles de la bonne foi.
²	L'abus manifeste d'un droit n'est pas protégé par la loi.

SR 210 Code civil suisse du 10 décembre 1907 CC Art. 28 - 1 Celui qui subit une atteinte illicite à sa personnalité peut agir en justice pour sa protection contre toute personne qui y participe.
¹	Celui qui subit une atteinte illicite à sa personnalité peut agir en justice pour sa protection contre toute personne qui y participe.
²	Une atteinte est illicite, à moins qu'elle ne soit justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.

SR 784.10 Loi du 30 avril 1997 sur les télécommunications (LTC) LTC Art. 45^a - 1 Les fournisseurs de services de télécommunication luttent contre la publicité déloyale au sens de l'art. 3, al. 1, let. o, u et v, de la loi fédérale du 19 décembre 1986 contre la concurrence déloyale159.160
¹	Les fournisseurs de services de télécommunication luttent contre la publicité déloyale au sens de l'art. 3, al. 1, let. o, u et v, de la loi fédérale du 19 décembre 1986 contre la concurrence déloyale159.160
²	Le Conseil fédéral peut déterminer les mesures de lutte appropriées qui s'imposent.

SR 210 Code civil suisse du 10 décembre 1907 CC Art. 926 - 1 Le possesseur a le droit de repousser par la force tout acte d'usurpation ou de trouble.
¹	Le possesseur a le droit de repousser par la force tout acte d'usurpation ou de trouble.
²	Il peut, lorsque la chose lui a été enlevée par violence ou clandestinement, la reprendre aussitôt, en expulsant l'usurpateur s'il s'agit d'un immeuble et, s'il s'agit d'une chose mobilière, en l'arrachant au spoliateur surpris en flagrant délit ou arrêté dans sa fuite.
³	Il doit s'abstenir de toutes voies de fait non justifiées par les circonstances.