[Ent­scheid vom Bun­des­ge­richt auf­ge­ho­ben; vgl. den Bericht bei swiss­blawg]

Die FINMA führt seit 2009 die Daten­samm­lung „Gewähr für ein­wand­freie Geschäfts­tä­tig­keit und Berufs­aus­übung“ mit dem Zweck „Hilfs­da­ten­samm­lung zur Beur­tei­lung, ob ein­zel­ne natür­li­che Per­so­nen für gewis­se Funk­tio­nen bei Beauf­sich­tig­ten die in den Auf­sichts­ge­set­zen ver­lang­te Gewähr bie­ten bzw. bie­ten wür­den.“

Ein ehe­ma­li­ger lei­ten­der Ange­stell­ter einer Bank, die in schwer­wie­gen­der Wei­se gegen schwei­ze­ri­sches Finanz­markt­recht ver­sto­ssen hat­te, ver­lang­te zunächst Aus­kunft in sei­ne Daten in der genann­ten Daten­samm­lung und spä­ter deren Löschung und das Unter­las­sen wei­te­rer Bear­bei­tung sei­ner Daten. Die FINMA wies die­ses Begeh­ren ab.

Das BVGer bestä­tigt die­sen Ent­scheid:

Es besteht eine gesetzliche Grundlage (DSG 17 II) für die Führung der Datensammlung:

Das in Art. 17 Abs. 2 DSG vor­ge­se­he­ne Erfor­der­nis, wonach das Bear­bei­ten beson­ders schüt­zens­wer­ter Per­so­nen­da­ten und Per­sön­lich­keits­pro­fi­le in einem Gesetz im for­mel­len Sinn ver­an­kert sein muss, ist damit erfüllt. Die Bestim­mung ent­hält auch eine aus­drück­li­che Dele­ga­ti­on, wei­te­re Ein­zel­hei­ten zu regeln. Die Auf­fas­sung des Beschwer­de­füh­rers, weil der Gesetz­ge­ber ver­schie­de­ne ande­re Daten­samm­lun­gen im jeweils mass­geb­li­chen Finanz­markt­ge­setz selbst aus­drück­lich genannt habe, sei dies für alle Daten­samm­lun­gen der Vor­in­stanz erfor­der­lich, ist ange­sichts des kla­ren Wort­lauts die­ser Dele­ga­ti­ons­norm offen­sicht­lich halt­los.

2.4.2 Gestützt auf Art. 23 Abs. 1 FINMAG erliess die Vor­in­stanz die Daten­ver­ord­nung-FIN­MA, wel­che in Art. 1 ihren Gegen­stand wie folgt umschreibt:
1 Die FINMA nimmt Daten von Per­so­nen, deren Gewähr für eine ein­wand­freie Geschäfts­tä­tig­keit nach den Finanz­markt­ge­set­zen und dem FINMAG zwei­fel­haft oder nicht gege­ben ist, in eine Daten­samm­lung auf.
2 Sie führt die Daten­samm­lung zur Sicher­stel­lung, dass nur Per­so­nen, die Gewähr für eine ein­wand­freie Geschäfts­tä­tig­keit bie­ten:
a. mit der Ver­wal­tung oder Geschäfts­füh­rung von Beauf­sich­tig­ten betraut wer­den; oder
b. mass­ge­bend an den Beauf­sich­tig­ten betei­ligt sind.“

2.4.3 Hin­sicht­lich des Zwecks der Daten­be­ar­bei­tung lässt sich Art. 23 Abs. 1 FINMAG ent­neh­men, dass die Vor­in­stanz „im Rah­men der Auf­sicht nach die­sem Gesetz und den Finanz­markt­ge­set­zen“ Per­so­nen­da­ten, ein­schliess­lich beson­ders schüt­zens­wer­ter Daten und Per­sön­lich­keits­pro­fi­le bear­bei­tet.

Die Liste nach Art. 3 der Daten-Verordnung FINMA ist nicht abschliessend:

3.1 Die Daten­ver­ord­nung-FIN­MA ent­hält in Art. 3 eine Auf­zäh­lung von Daten, wel­che in die Daten­samm­lung auf­zu­neh­men sind. Gemäss die­ser Bestim­mung ent­hält die Daten­samm­lung die fol­gen­den Daten: […].
3.1.1 Aus dem Wort­laut die­ser Bestim­mung ergibt sich nicht, ob die Liste abschlie­ssend zu ver­ste­hen ist oder nicht.

3.1.4 Die Aus­le­gung ergibt somit, dass der Auf­fas­sung des Beschwer­de­füh­rers, in die Daten­samm­lung dürf­ten nur die­je­ni­gen Daten auf­ge­nom­men wer­den, wel­che in Art. 3 Daten­ver­ord­nung-FIN­MA aus­drück­lich auf­ge­zählt sei­en, nicht gefolgt wer­den kann. Viel­mehr ist davon aus­zu­ge­hen, dass die­se Liste nicht abschlie­ssend ist und die Vor­in­stanz befugt ist, alle Daten, wel­che mit einer gewis­sen Wahr­schein­lich­keit im Hin­blick auf eine künf­ti­ge Gewährs­be­ur­tei­lung rele­vant sein könn­ten, in die Daten­samm­lung auf­zu­neh­men.

Die Aufnahme nicht rechtskräftig abgeklärter Verdachtsmomente verletzt den Richtigkeitsgrundsatz nicht:

Aus­gangs­la­ge:

Gemäss Art. 5 Abs. 1 DSG muss sich der­je­ni­ge, wel­cher Per­so­nen­da­ten bear­bei­tet, über deren Rich­tig­keit ver­ge­wis­sern. Die Bear­bei­tung unrich­ti­ger Per­so­nen­da­ten ist nur dann wider­recht­lich, wenn ihre Unrich­tig­keit auf man­geln­de Ver­ge­wis­se­rung durch den Bear­bei­ter zurück­zu­füh­ren ist. Die Ver­ge­wis­se­rungs­pflicht gemäss Art. 5 Abs. 1 DSG bringt es mit sich, dass das ver­ant­wort­li­che Bun­des­or­gan die Rich­tig­keit der von ihm bear­bei­te­ten Per­so­nen­da­ten von Amtes wegen über­prü­fen muss, sobald ihm mit einem Gesuch um Berich­ti­gung kon­kre­te Anhalts­punk­te für deren Unrich­tig­keit unter­brei­tet wer­den. Kommt es die­ser Pflicht nicht oder unge­nü­gend nach, wird die zukünf­ti­ge Bear­bei­tung der betref­fen­den Daten wider­recht­lich und begrün­det damit den Unter­las­sungs- und Berich­ti­gungs­an­spruch gemäss Art. 25 Abs. 1 Bst. a und Abs. 3 Bst. a DSG (vgl. JAN BANGERT, in: Bas­ler Kom­men­tar DSG, a.a.O., Art. 25 N. 46 f. S. 471; Yvon­ne JÖHRI, in: Hand­kom­men­tar zum Daten­schutz­ge­setz, 2008, Art. 25 N. 12 ff. S. 588; BVGE 2013/30 E. 4.1; VPB 65.51). Das Daten­schutz­ge­setz kennt kei­ne eigent­li­che Pflicht, nur rich­ti­ge Daten zu bear­bei­ten. Der Daten­be­ar­bei­ter ist ledig­lich ver­pflich­tet, sich über die Rich­tig­keit der von ihm bear­bei­te­ten Daten zu ver­ge­wis­sern. Wie­weit er bei sei­nen Abklä­run­gen über die Rich­tig­keit gehen muss, ist im Ein­zel­fall zu prü­fen. Mass­ge­bend sind dabei ins­be­son­de­re die Zweck­be­stim­mung der Daten­samm­lung, inwie­weit eine Bekannt­ga­be von Daten erfolgt sowie deren Sen­si­ti­vi­tät […].

Die FINMA hat die­se Grund­sät­ze nicht ver­letzt:

4.2 Die in Fra­ge ste­hen­de Watch­list der Vor­in­stanz dient, wie dar­ge­legt, aus­schliess­lich dem behör­den­in­ter­nen Wis­sens­ma­nage­ment. Es han­delt sich um eine rein inter­ne Daten­samm­lung, in wel­che nur weni­ge Mit­ar­bei­ter der Vor­in­stanz über­haupt Ein­sicht haben. Die Vor­in­stanz sam­melt dar­in Daten, wel­che mit einer gewis­sen Wahr­schein­lich­keit im Hin­blick auf eine künf­ti­ge Gewährs­be­ur­tei­lung rele­vant sein könn­ten. Bereits die Defi­ni­ti­on, dass in Art. 1 der Daten­ver­ord­nung-FIN­MA, wonach Daten von „Per­so­nen, deren Gewähr für eine ein­wand­freie Geschäfts­tä­tig­keit zwei­fel­haft oder nicht gege­ben sei“, gesam­melt wer­den, macht klar, dass in der Daten­samm­lung auch noch nicht rechts­kräf­tig abge­klär­te Ver­dachts­mo­men­te doku­men­tiert wer­den kön­nen.

Die Vor­in­stanz erhielt die­ses Doku­ment von der Bank X. bzw. von deren Anwäl­ten. Inter­ne Unter­su­chun­gen von inter­na­tio­nal täti­gen Ban­ken wer­den typi­scher­wei­se nicht durch die Bank selbst, son­dern von einer Anwalts­kanz­lei oder einer Prüf­ge­sell­schaft durch­ge­führt, wel­che für die Qua­li­tät und Unab­hän­gig­keit ihrer der­ar­ti­gen Unter­su­chun­gen inter­na­tio­nal ange­se­hen sind, ins­be­son­de­re auch bei den ein­schlä­gi­gen aus­län­di­schen Auf­sichts­be­hör­den. Wenn die Vor­in­stanz für ihre Daten­samm­lung Bele­ge oder Pro­to­kol­le aus einer der­ar­ti­gen inter­nen Unter­su­chung ent­ge­gen­ge­nom­men hat, kann ihr nicht vor­ge­wor­fen wer­den, sie sei ihrer Ver­ge­wis­se­rungs­pflicht nicht nach­ge­kom­men, jeden­falls solan­ge kei­ne kon­kre­ten Anhalts­punk­te vor­lie­gen, die Zwei­fel an der Echt­heit oder Rich­tig­keit der betref­fen­den Doku­men­te auf­drän­gen wür­den.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.