Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 031 323 74 84, Fax 031 325 99 96 www.edoeb.admin.ch
A2012.11.05-0015 / 2012-00215 Bern, 15. Oktober 2012
Empfehlung
gemäss
Art. 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG),
betreffend
Übermittlung von Mitarbeiterdaten (inklusive ehemalige Mitarbeitende und externe Dritte) durch die HSBC Private Bank Suisse SA (HSBC) an US-Behörden
I.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest:
Mehrere Schweizer Banken haben im Rahmen von laufenden Verhandlungen mit den US-Behörden sehr grosse Mengen an Dokumenten, die das Geschäft mit US-Kunden betreffen, an die dortigen Behörden übermittelt. In den Unterlagen sind auch die Namen von aktuellen und ehemaligen Mitarbeitenden sowie Dritten enthalten. Mehrere dieser betroffenen Personen haben sich an den Eidgenössischen Datenschutz- und Öffentlich- keitsbeauftragten (EDÖB) gewandt. Der EDÖB war damals davon ausgegangen, dass es sich bei diesen Übermittlungen um eine einmalige Angelegenheit handelte und hat dem- zufolge die betroffenen Personen, die sich an ihn gewandt haben, über ihre Rechtsan- sprüche gemäss DSG informiert. Weiter wurden sowohl eine der betroffenen Banken, wie auch die Schweizerische Bankiervereinigung und die Vereinigung der Schweizer Privat- bankiers schriftlich an die Einhaltung der Datenschutzprinzipien erinnert.
Nachdem bekannt wurde, dass weitere Datenübermittlungen durch die Banken vorge- nommen werden, hat der EDÖB zur Klärung der datenschutzrechtlichen Fragen am 17. August 2012 eine Sachverhaltsabklärung gemäss Art. 29 DSG eingeleitet und die betrof- fenen 11 Banken aufgefordert, bis zum Abschluss des Verfahrens keine weiteren Perso-
2/11
nendaten ausserhalb von konkreten Amts- bzw. Rechtshilfeverfahren mehr zu übermit- teln.
1.1. Von sechs der betroffenen Banken erhielt der EDÖB dann die Bestätigung, dass bisher keine Übermittlungen von Personendaten an US-Behörden stattgefunden ha- ben und auch keine solchen geplant seien bis zum Abschluss der Sachverhaltsab- klärung.
1.2. Von den fünf anderen Banken kam die Antwort, dass Personendaten an US- Behörden geliefert worden seien, dass aber bis zu einem Gespräch mit dem EDÖB keine weiteren Lieferungen erfolgen würden.
1.3. In der Weiterführung seiner Sachverhaltsabklärung hat der EDÖB, mit Schreiben vom 24. August 2012, die Banken einerseits angewiesen Unterlagen (sämtliche re- levante Korrespondenz mit den betroffenen Bundesämtern und den US-Behörden, Informationsschreiben an die Mitarbeitenden, Datenbearbeitungsreglemente, etc.) zuzustellen und andererseits Fragen (u.a. betreffend Rechtfertigungsgrund, Informa- tion der Mitarbeitenden, Auskunftsrecht, etc.) zu beantworten.
1.4. Im Rahmen seiner Abklärungen hat der EDÖB zwischen dem 29. August und dem 3. September 2012 mit dem Staatssekretariat für internationale Finanzfragen (SIF), der Finanzmarktaufsicht (FINMA) und dem Bundesamt für Justiz (BJ) Gespräche ge- führt. In diesen wurden dem EDÖB die Überlegungen erläutert, die zu den Be- schlüssen des Bundesrates betreffend Kooperation der Banken mit US-Behörden geführt haben. Eine Übersicht über die erläuterten Schritte findet sich auf der Home- page des SIF unter http://www.sif.admin.ch/themen/00502/00783/index.html? lang=de.
1.5. Am 4. September 2012 wurden die betroffenen Banken durch den EDÖB empfan- gen. Dieser hat die Banken zum Schutz der betroffenen Personen als erste Mass- nahme zu einem transparenten Verhalten gegenüber den Mitarbeitenden angehal- ten. Dementsprechend haben sich die Banken mit Schreiben vom 6. September 2012 verpflichtet, während der laufenden Abklärungen, die Mitarbeitenden vor jeder weiteren Dokumentenlieferung an US-Behörden zu informieren, falls darin Namen von Mitarbeitenden enthalten sein sollten. Die Information hat in geeigneter Weise zu erfolgen. Insbesondere muss sie anführen, welche Kategorien von Dokumenten den US-Behörden offengelegt werden und aus welchem Zeitraum diese Dokumente stammen. Die jeweilige Bank hat dann den Mitarbeitenden eine angemessene Frist vor einer Dokumentenlieferung zu gewähren, um Auskunft darüber zu verlangen, ob ihr Name in den offenzulegenden Dokumenten vorkommt. Sie können ebenfalls Ein- sicht in die sie betreffenden Teile der Dokumente verlangen. Will eine Bank trotz ei- nes allfälligen Widerspruchs eines Mitarbeitenden Dokumente ohne Abdeckung von dessen Namen liefern, hat sie auf eigene Verantwortung eine entsprechende Inte- ressenabwägung vorzunehmen. Dies bedeutet, die Banken tragen damit weiterhin die volle zivilrechtliche Verantwortung für jede Übermittlung von Mitarbeiterdaten an die US-Behörden. Aufgrund dieser Verpflichtung beantragte der EDÖB keine vor- sorglichen Massnahmen beim Bundesverwaltungsgericht.
1.6. Die betroffenen Banken haben die verlangten Dokumente geliefert und auf die ent- sprechenden Fragen geantwortet. In den Fällen, in denen die Unterlagen nicht aus-
3/11
reichten, um die Sachverhaltsfeststellung durchzuführen, wurde zudem ein Augen- schein vor Ort durchgeführt.
Die HSBC reichte dem EDÖB mit Datum vom 24. August und vom 10. September die verlangten Unterlagen ein und beantwortete den Fragekatalog. Nach der Auswertung der Unterlagen und Fragen lässt sich der Sachverhalt somit wie folgt feststellen:
2.1. Die Bank hat aufgrund eines Schreibens des Departement of Justice (DOJ) Ge- schäftsunterlagen zum US-Geschäft, in denen Mitarbeiternamen und Namen von Dritten enthalten waren, übermittelt. Dieser Schritt sei unternommen worden, da sich die Bank durch unkooperatives Verhalten zweifellos erheblichen Risiken ausgesetzt hätte.
2.2. In einem ersten Schritt seien alle Dokumente nur über Amts- und Rechtshilfeverfah- ren übermittelt worden. Bis vor dem 4. April 2012 waren somit sämtliche Personen- daten in den Dokumenten geschwärzt. Diese Unterlagen hätten den Forderungen der US-Behörden jedoch nicht genügt, weshalb in einem zweiten Schritt, ab dem 4. April 2012, den US-Behörden dann Personendaten von Mitarbeitenden und Dritten übermittelt worden seien. Zuerst sei der Index der anonymisierten Personen übermit- telt worden. Die US-Behörden hätten sich jedoch geweigert, die Dokumente in die- sem Rahmen zu akzeptieren, weshalb Ende Mai 2012 die gleichen Dokumente ohne Abdeckung der Mitarbeiterdaten übermittelt worden seien.
2.3. Die Unterlagen, die an die US-Behörden übermittelt worden seien, hätten verschie- dene Kategorien von Dokumenten enthalten. Die HSBC habe mit Hilfe ihrer US- Anwälte die Kategorien der Dokumente selektioniert, die von den US-Behörden ver- langt worden seien. Danach seien die Dokumente durch die US-Kanzlei gesichtet und auf die relevanten Dokumente reduziert worden. Es seien weder besonders schützenswerten Daten noch Persönlichkeitsprofile übermittelt worden.
2.4. Für die Information habe die HSBC eine Hotline und eine E-Mail Adresse eingerich- tet, mittels derer die Mitarbeitenden sich melden konnten, wenn sie wissen wollten, ob sie in den übermittelten Unterlagen erscheinen. Sie hätten danach einen Termin abmachen können, um die Unterlagen, die ihren Namen enthalten, durchzuschauen. Die Mitarbeitenden seien über diese Möglichkeiten durch zwei E-Mails, die an alle Mitarbeitenden versendet wurden, informiert worden. Zwischen dem 19. April und dem 14. August 2012 habe die Bank 5 E-Mails versendet, die über den Ablauf die- ses Prozesses informiert hätten. Bei zukünftigen Übermittlungen würden nur die tat- sächlich betroffenen Personen informiert werden.
2.5. Da sich der Sachverhalt aus den Informationen, die die HSBC dem EDÖB zugestellt hatte, nicht vollständig und klar feststellen liess, führte der EDÖB am 25. September 2012 einen Augenschein bei der Bank vor Ort durch. Empfangen wurde der EDÖB durch die zuständigen Personen der Bank sowie der von HSBC beigezogenen An- waltskanzlei. Die Fragen des EDÖB bezogen sich vor allem auf die Triage der Do- kumente, die Information der Mitarbeitenden und das Auskunftsrecht. Die HSCB
4/11
bzw. die zuständige Person, stellte mittels einer Präsentation den Prozess zur Aus- wahl der übermittelten Daten vor.
2.6. Aufgrund der Forderung des DOJ hätten zuerst US-Anwälte angegeben, welche Do- kumente relevant seien. HSBC selektionierte mit Hilfe von Suchwörtern die Doku- mente. Es würde sich sowohl um elektronische Dokumente, wie auch um Archivda- ten auf Papier handeln. Die Dokumente seien sodann vor allem manuell bearbeitet worden. Nicht für das US-Geschäft relevante Daten seien geschwärzt (auch einzelne Passagen) worden. Alle Kundendaten seien anonymisiert worden (betraf alle Daten, die direkt oder indirekt dazu führen könnten, dass der Kunde identifiziert werden kann). Sämtliche ehemalige und jetzige Mitarbeitende und Dritte seien markiert und mit einem Code in einer internen Datensammlung abgelegt worden. Dieser Vorgang würde der Identifizierung und der Suche von Dokumenten dienen, wenn betroffene Personen ihr Auskunftsrecht geltend machen wollen. Alle relevanten Dokumente be- fänden sich in einer relationalen Datenbank. Auf diese Datenbank hätten drei Perso- nen einer Consulting Firma Zugriff. Gearbeitet werde mit dem Relativity System. In allen Phasen seien verschiedene Stufen des Controlling und Quality Checks vorge- sehen worden. Involviert in das Verfahren waren und seien eine US-Kanzlei, eine Schweizer Anwaltskanzlei und zwei Consulting Firmen. Die Unterlagen würden alle intern bei der HSBC in einem separaten, geschlossen IT-System bearbeitet. Die fina- le Version der zu übermittelnden Dokumente sei verschlüsselt und via FTP auf ein separates System für die Speicherung auf CD kopiert worden. Diese sei danach per US-Anwälte ans DOJ geliefert worden.
2.7. Die Information an die Mitarbeitenden über die Übermittlung von Dokumenten an die US-Behörden sei per E-Mail erfolgt. Weiter seien dann an bisher 12 Anlässen die Übermittlungen genauer erläutert worden. Personen, die von den Übermittlungen stärker betroffen waren, seien detaillierter informiert worden, als Personen, die nicht direkt ins US-Geschäft involviert gewesen sind.
2.8. Den betroffenen Personen werde das Auskunftsrecht insofern gewährt, als dass sie sich über ein Helpdesk melden können, um anzufragen, ob ihr Name in den übermit- telten Unterlagen vorkommt. Sei dies der Fall, können sie einen Termin abmachen, um danach Auskunft über sämtliche Dokumente, die ihren Namen enthalten, zu er- halten. Dafür wird eigens ein Batch (elektronische Datensammlung) kreiert, in dem nur diese Daten gespeichert werden können und für die betroffenen Person zur Ein- sicht bereit gestellt werden. Die Einsicht wird in den geschützten Räumlichkeiten in Genf, Zürich und Lugano gewährt. Betroffenen Personen aus dem Ausland können sich nur telefonisch erkunden.
Kopien der Unterlagen wurden und werden keine herausgegeben, da es sich ge- mäss der Bank um vertrauliche Geschäftsunterlagen handelt.
Sämtliche Dokumente, die den Namen einer betroffenen Person enthalten, seien genau so gezeigt worden, wie sie übermittelt wurden. Dies bedeute aber auch, dass nur die nicht relevanten Daten und die Kundendaten abgedeckt worden seien, nicht aber die Daten von Dritten (zum Beispiel weitere Mailempfänger). Dem EDÖB wurde der entsprechende Raum und das System vorgeführt, in welchem die Dokumente gesichtet werden können.
5/11
Bis zum Zeitpunkt des Augenscheins habe es 1440 Anfragen gegeben. Von diesen hätten 670 keine Treffer ergeben. Unter den 770 Personen, die in den Unterlagen erwähnt seien, befänden sich 480 Mitarbeitende und 282 externe Personen. Je ca. 80% beider Gruppen hätten die Unterlagen bei HSBC vor Ort eingesehen. Der Pro- zess von der Anfrage bis zum Termin würde ca. 10 Tage dauern.
II.
Erwägungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten:
In den Dokumenten, die von den Banken an die US-Behörden übermittelt wurden, sind Namen und Vornamen, E-Mail Adressen und Telefonnummern von aktiven und ehemali- gen Mitarbeitenden sowie externen Dritten aufgeführt. Diese Daten beziehen sich auf be- stimmte Personen. Es handelt sich somit um Personendaten gemäss Art. 3 Bst. a DSG. Werden diese Personendaten zugänglich gemacht, das heisst wird Einsicht gewährt, werden sie weitergegeben oder veröffentlicht, handelt es sich um eine Bekanntgabe nach Art. 3 Bst. f DSG. Die Personendaten wurden durch die Bank an US-Behörden übermit- telt. Dies stellt eine Bekanntgabe dar.
Die Voraussetzungen für das Eröffnen einer Sachverhaltsabklärung sind gegeben, da die Bearbeitungsmethoden grundsätzlich geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Art. 29 Abs. 1 Bst. a DSG). Der EDÖB ist dazu be- rechtigt, den Sachverhalt näher abzuklären und gestützt auf Art. 29 Abs. 3 DSG zu emp- fehlen, die Datenbearbeitung zu ändern, einzustellen oder zu unterlassen.
Rechtmässigkeit der Datenbearbeitung/Rechtfertigungsgrund
Wer gemäss Art. 12 DSG Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Er darf dabei insbesondere nicht Personendaten entgegen den Grundsätzen der Artikel 4, 5 Abs. 1 und 7 Abs. 1 DSG be- arbeiten. Zudem dürfen Personendaten nach Art. 6 DSG nicht ins Ausland übermittelt werden, wenn die Möglichkeit einer Persönlichkeitsverletzung besteht, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. Im vorliegen- den Fall wurden Dokumente, die Personendaten wie Namen, Vornamen, E-Mail
Adressen und Telefonnummern von aktiven und ehemaligen Mitarbeitenden, sowie ex- ternen Dritten enthalten, durch die Banken an die US-Behörden übermittelt. Es stellt sich somit die Frage, ob durch dieses Vorgehen eine Persönlichkeitsverletzung stattgefunden hat und ob diese allenfalls durch einen Rechtfertigungsgrund nach Art. 13 DSG gerecht- fertigt werden kann. Zudem muss untersucht werden, ob eine der Voraussetzungen ge- mäss Art. 6 Abs. 2 DSG vorliegt, unter welcher Personendaten auch in ein Land übermit- telt werden können, das keinen angemessenen Datenschutz gewährleistet.
Eine Verletzung der Persönlichkeit ist gemäss Art. 13 DSG widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches In- teresse oder durch Gesetz gerechtfertigt ist. Eine Einwilligung der betroffenen Personen sowie eine gesetzliche Grundlage liegt offensichtlich nicht vor. Grundsätzlich ist anzu- merken, dass im Arbeitsbereich die Freiwilligkeit einer Einwilligung nur in Ausnahmefäl- len angenommen werden kann. Im vorliegenden Fall könnte klarerweise nicht von der
6/11
Freiwilligkeit der Einwilligung ausgegangen werden. Es kommen somit nur die Rechtferti- gungsgründe des überwiegenden privaten oder öffentlichen Interesses in Frage.
Konkret macht die Bank geltend, dass ohne eine Übermittlung der Dokumente (die auch Personendaten beinhalten), wie sie von den US-Behörden gefordert wurde und wird, die wirtschaftliche Existenz der Bank bedroht wäre. Eine Anklage, wie sie von den US- Behörden angedroht wurde, würde die Bank einem erheblichen Risiko aussetzen. Als Beispiel dafür wird die kürzlich aufgelöste Bank Wegelin vorgebracht, welche im Januar 2012 von den USA angeklagt wurde. Die Bank beruft sich bei ihrer Argumentation auch auf einen früheren Bundesgerichtsentscheid, in dem das Gericht die Auffassung vertrat, dass im Falle einer damaligen Anklage gegen die UBS, dies mit hoher Wahrscheinlich- keit existenzbedrohende Folgen gehabt hätte. Wie hinlänglich bekannt sei, führe eine Anklageerhebung in den USA, unabhängig von ihrem Ausgang, für das betroffene Unter- nehmen zu einem nichtwiedergutzumachenden Reputations- und Vermögensverlust, der im Bankenbereich verheerende Folgen habe und rasch zu einer Überschuldung führe (BGE 137 II 431, E.4.3.1, S. 447).
Damit ein überwiegendes privates oder öffentliches Interesse angenommen werden kann, müssen gewisse Anforderungen erfüllt sein. Ob ein Rechtfertigungsgrund gegeben ist, muss aufgrund der konkreten Umstände im Einzelfall anhand einer sorgfältigen Inter- essensabwägung entschieden werden (Urteil der EDSK vom 21. November 1996, VPB 62.42B, E. V 1b). Als schützenswerte Interessen können hierbei alle „Interessen von all- gemein anerkanntem Wert“ angesehen werden (A. Bucher, natürliche Personen, S. 536 in Basler Kommentar zum DSG Corrado Rampini zu Art. 13 DSG Rz. 22). Bei der Inte- ressenabwägung sind insbesondere die Sensitivität der bearbeiteten Personendaten so- wie das Verletzungspotential der Datenbearbeitung zu beachten.
Aufgrund der Schilderungen der HSBC einerseits und der verschiedenen involvierten Bundesämter andererseits, können wir das Interesse der HSBC an der Abwehr einer Strafanklage der USA grundsätzlich nachvollziehen. Welche Gefahr eine Anklage der US-Behörden für eine Bank darstellen würde, ist mittlerweile bekannt. Weiter geht aus den verschiedenen Unterlagen und Erläuterungen hervor, dass vor einer direkten Liefe- rung von Dokumenten ohne Schwärzung der Personendaten aktueller und ehemaliger Mitarbeitetenden sowie weiterer Dritter versucht wurde, die Dokumente über Rechts- und Amtshilfeverfahren zu übermitteln. Dies wurde aber von den US-Behörden nicht akzep- tiert.
Gegen das private Interesse der Bank sind die Interessen der betroffenen Personen (ehemalige und jetzige Mitarbeitende und Dritte) abzuwägen. Diese bestehen im Schutz der Privatsphäre bzw. der persönlichen Freiheit. So besteht die Angst, durch die Über- mittlung des eigenen Namens und E-Mail Adresse, in den USA allenfalls strafrechtlich belangt zu werden. Zudem besteht die Gefahr, dass betroffene Personen aufgrund dieser Übermittlung keine neue Anstellung mehr finden.
Die Banken machen weiter geltend, dass durch einen allfälligen Konkurs einer der betrof- fenen Banken, nicht nur die Bank selbst, sondern auch die Schweiz als Finanzplatz ge- fährdet wäre. Dies umso mehr, wenn es sich um eine systemrelevante Bank handeln würde. Zudem werde auch politisch nach einer Globallösung gesucht, die für alle Banken gelten solle. Aus diesem Grunde habe der Bundesrat den Banken auch die Bewilligung nach Art. 271 StGB für eine straflose, direkte Datenübermittlung erteilt, nachdem die vor-
7/11
herigen Datenübermittlungen im Rahmen von Amts- und Rechtshilfeverfahren von den US-Behörden nicht akzeptiert worden seien.
Gemäss Art. 6 Abs. 2 DSG dürfen Personendaten nur unter gewissen Voraussetzungen in ein Land bekannt gegeben werden, in welchem eine Gesetzgebung fehlt, die einen angemessenen Datenschutz gewährleistet. Die USA gelten gemäss der Staatenliste des EDÖB als Land ohne angemessenen Schutz. Für eine datenschutzkonforme Übermitt- lung muss dementsprechend eine der Voraussetzungen nach Art. 6 Abs. 2 DSG erfüllt sein. Im vorliegenden Fall kommt nur die Voraussetzung des Art. 6 Abs. 2 Bst. d DSG in Frage. Eine Bekanntgabe ist erlaubt, wenn diese im Einzelfall entweder für die Wahrung eines überwiegenden öffentlichen Interesses oder für die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht unerlässlich ist. Vorliegend kommt nur die Wahrung überwiegender öffentlicher Interessen in Betracht. Nicht gefolgt werden kann der Argumentation der Bank betreffend die Voraussetzung der Feststellung, Aus- übung oder Durchsetzung von Rechtsansprüchen vor Gericht, da es sich bisher nur um die Androhung einer allfälligen Anklage handelt und demnach nicht um die Geltendma- chung oder die Verteidigung eines Anspruchs bzw. Rechts vor Gericht. Eine Einwilligung nach Abs. 2 lit. b DSG kommt nicht in Frage, da die Definition der freiwilligen Einwilligung im Arbeitsbereich dagegen spricht (siehe Ziffer 4). Das Vorliegen eines überwiegenden privaten Interesses kann im Rahmen von Artikel 6 Absatz 2 DSG nicht geltend gemacht werden.
Die Interessenabwägung, die hier vorliegend durch den EDÖB durchgeführt wird, bezieht sich jedoch nicht auf Einzelfälle, sondern auf die Datenübermittlung als Ganzes. In die-
8/11
sem Rahmen kann nach den Erläuterungen der involvierten Bank und der involvierten Bundesorgane von einem überwiegend öffentlichen Interesse der Banken ausgegangen werden. Nichtsdestotrotz müssen die Interessen der betroffenen Mitarbeitenden beachtet und gewichtet werden. Dabei handelt es sich vor allem um die Information der betreffen- den Mitarbeitenden und um die Einsicht in die sie betreffenden Dokumente. Dies wird in den folgenden Ziffern näher erläutert. Zudem bleibt anzumerken, dass neben dieser ge- nerellen Interessenabwägung durch den EDÖB Raum für die individuelle Interessenab- wägung im Einzelfall bleibt.
Treu und Glauben sowie Transparenzprinzip
Gemäss Art. 12 Abs. 2 Bst. a DSG begeht eine Persönlichkeitsverletzung, wer Perso- nendaten unter anderem entgegen den Grundsätzen von Art. 4 DSG bearbeitet. Zwar wurde in der vorhergehenden Ziffer ein Rechtfertigungsgrund für die Datenübermittlung bejaht, was jedoch nicht bedeutet, dass die Daten entgegen den Prinzipien des Daten- schutzgesetzes bearbeitet werden dürfen. Dies gilt auch für eine Bekanntgabe ins Aus- land nach Art. 6 DSG. Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffenen Personen erkennbar sein.
Die Bearbeitung von Personendaten muss nach Treu und Glauben erfolgen (Art. 4 Abs. 2 DSG). Daten sollen nicht in einer Art erhoben und bearbeitet werden, mit der die betrof- fene Person aus den Umständen heraus nicht rechnen musste und mit der sie nicht ein- verstanden gewesen wäre. Gegen diesen Grundsatz verstösst beispielsweise derjenige, der Daten nicht offen bearbeitet, ohne dabei gegen eine Rechtsnorm zu verstossen (Bot- schaft DSG BBl 1988 II 449). Demzufolge muss eine Datenbearbeitung für die betroffe- nen Personen transparent erfolgen. Dies bedeutet gemäss Art. 4 Abs. 4 DSG, dass für betroffene Personen die Datenbeschaffung und jede weitere Datenbearbeitung (BSK- DSG, Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 8), der Zweck jeder (weiteren) Da- tenbearbeitung, die Identität des Datenbearbeiters und – bei einer Datenbekanntgabe an Dritte – die Kategorien von möglichen Datenempfängern erkennbar sein müssen (Bot- schaft DSG BBl 2003 2125). Auch die Beschaffung von Personendaten bei Dritten muss erkennbar sein (Botschaft DSG BBl 2003 2126).
Die Anforderungen, welche an die Erkennbarkeit gestellt werden, sind nach den Umstän- den sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu be- urteilen (Botschaft DSG BBl 2003 2125). Unter dem Gesichtspunkt der Verhältnismäs- sigkeit ist zu prüfen, in welchem Mass die betroffene Person auf die wesentlichen Rah- menbedingungen der Beschaffung aufmerksam gemacht werden muss, welche Mittel dem Inhaber der Datensammlung zur Verfügung stehen, um diese Rahmenbedingungen erkennbar zu machen, und in welchem Umfang von ihm erwartet werden kann, dass er diese Mittel auch einsetzt, namentlich unter Berücksichtigung ihrer Kosten und ihrer Wirksamkeit.
9/11
vorzeitig über den Umfang und die Art der Dokumente, sowie den Zeitraum, aus dem sie stammen, informieren. Diese Information hat mit einer angemessenen Frist vor einer je- weiligen Übermittlung zu erfolgen. Zudem muss die Information so erfolgen, dass sie ge- eignet ist, die potentiell betroffenen Personen zu erreichen.
Auskunftsrecht
Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob und welche Daten über sie bearbeitet werden.
Gemäss Art. 3 Bst. g DSG gilt als Datensammlung jeder Bestand von Personenda- ten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind. Eine Datensammlung im Sinne des Gesetzes ist ein Bestand von Daten, der auf mehr als eine Person Bezug nimmt. Sie kann ganz unterschiedlich organisiert und aufgebaut sein. Datenschutzrechtlich entscheidend ist, dass die zu einer bestimmten Person gehörenden Daten auffindbar sind (Botschaft DSG, BBl 1988 II 447).
Den betroffenen Personen ist demnach das Auskunftsrecht nach Art. 8 DSG zu ge- währen. Einschränkungen können unter den Voraussetzungen von Art. 9 DSG durch die Bank geltend gemacht werden, z.B. dass überwiegende Interessen von Dritten vorliegen. Diese Einschränkung müsste jedoch im Einzelfall durch die Bank begrün- det werden.
In Art. 8 Abs. 5 DSG heisst es, dass die Auskunft in der Regel schriftlich, in Form ei- nes Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen ist. Die Bank gibt je- doch grundsätzlich keine Kopien der gesichteten Dokumente ab. Es handelt sich um eine Frage der Modalität des Auskunftsrechts nach Art. 1 der Verordnung zum Da- tenschutzgesetz (VDSG, SR 235.11). Darin heisst es in Abs. 3, dass im Einverneh- men mit dem Inhaber der Datensammlung oder auf dessen Vorschlag hin, die betrof- fene Person ihre Daten auch an Ort und Stelle einsehen kann. Die Bank macht gel- tend, dass aufgrund der Sensitivität der Dokumente betreffend Bank- und Kundenge- heimnis keine Kopien abgegeben werden können. Zudem würde ein Abgeben von Kopien den allgemeinen Sicherheitsregeln der Bank widersprechen. Der EDÖB kann dieser Argumentation insofern folgen, als dass es beim Auskunftsrecht nach Art. 8 DSG vor allem darum geht, dass die betroffenen Personen Zugang zu allen Doku- menten und Informationen haben, die ihre Person betreffen. Gleichzeitig sprechen al- lenfalls andere gesetzliche Grundlagen, wie das Bankgeheimnis nach Bankengesetz, gegen eine Abgabe von Kopien. Zudem dürfte es den Mitarbeitenden gemäss Ver- trag und internen Weisungen klar sein, dass sie grundsätzlich keine Kopien von in- ternen Dokumenten nach Hause nehmen dürfen.
10/11
Betreffend bisherige Übermittlungen ist demnach hier festzuhalten, dass den betrof- fenen Personen das Auskunftsrecht nach Art. 8 DSG, in die über sie bearbeiteten Da- ten, vollumfänglich zu gewähren ist.
Für die zukünftigen Übermittlungen gilt folgendes Vorgehen: Durch eine vorgehende Information der Mitarbeitenden wie sie in Ziffer 13 ff. beschrieben wird, hat die betrof- fene Person die Möglichkeit, über die sie betreffenden Daten Auskunft zu verlangen. Dabei muss sie Zugang zu sämtlichen Dokumenten erhalten, die Daten über sie ent- halten. Will die Person nach dieser Auskunft gegen die Übermittlung ihrer Daten op- ponieren, muss die Bank nochmals eine auf den Einzelfall bezogene Güterabwägung durchführen. Will die Bank danach die Dokumente trotzdem ohne Schwärzung des Namens übermitteln, muss die HSBC die betroffene Person darüber informieren und über seine Rechte aufklären. Damit bleibt der betroffenen Person die Möglichkeit, ih- re Rechte wahrzunehmen.
Der tatsächlich erfolgte Antrag für vorsorgliche Massnahmen eines Mitarbeiters von einer der involvierten Banken bei einem Gericht in Genf zeigt, dass durch eine vorge- hende Information durch die Bank, dem Mitarbeitenden die Möglichkeit bleibt, seine individuellen Rechte wahrzunehmen.
III.
Aufgrund dieser Erwägungen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte:
In Bezug auf die bereits erfolgten Datenlieferungen gewährt die HSCB den betroffenen Per- sonen (aktuelle und ehemalige Mitarbeitende sowie externe Dritte) das Auskunftsrecht ge- mäss Artikel 8 DSG im Sinne der Erwägungen.
2.1 In Bezug auf jede zukünftige Datenlieferung an US-Behörden informiert die HSBC gemäss Art. 4 Abs. 2 und 4 DSG im Voraus die betroffenen Personen über Umfang und Art der Do- kumente, die übermittelt werden sollen sowie über den Zeitraum aus dem sie stammen. Bei ehemaligen Mitarbeitenden und externen Dritten hat die HSBC diese Information vorzuneh- men, sofern dies mit einem verhältnismässigen Aufwand möglich ist. 2.2 Die HSBC gewährt den betroffenen Personen eine angemessene Frist, um gemäss Art. 8 DSG Auskunft über sämtliche, sie betreffende Dokumente zu erhalten.
2.3 Spricht sich eine betroffene Person gegenüber der HSBC gegen die Übermittlung von Do- kumenten aus, die ihren Namen enthalten, so nimmt die HSBC eine Interessenabwägung für den konkreten Einzelfall vor. Will die HSBC dann die Dokumente trotzdem ohne Schwärzung des Namens übermitteln, muss sie die betroffene Person darüber informieren und über ihre Rechte aufklären.
11/11
Die HSBC teilt dem EDÖB innerhalb von 14 Tagen ab Erhalt dieser Empfehlung mit, ob sie die Empfehlung annimmt oder ablehnt. Wird diese Empfehlung nicht befolgt oder abgelehnt, so kann der EDÖB die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorle- gen (Art. 29 Abs. 4 DSG).
Es ist vorgesehen, dass die vorliegende Empfehlung in Anwendung von Art. 30 Abs. 2 DSG publiziert wird.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Hanspeter Thür