[Entscheid vom Bundesgericht aufgehoben; vgl. den Bericht bei swissblawg]
Die FINMA führt seit 2009 die Datensammlung „Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung“ mit dem Zweck „Hilfsdatensammlung zur Beurteilung, ob einzelne natürliche Personen für gewisse Funktionen bei Beaufsichtigten die in den Aufsichtsgesetzen verlangte Gewähr bieten bzw. bieten würden.“
Ein ehemaliger leitender Angestellter einer Bank, die in schwerwiegender Weise gegen schweizerisches Finanzmarktrecht verstossen hatte, verlangte zunächst Auskunft in seine Daten in der genannten Datensammlung und später deren Löschung und das Unterlassen weiterer Bearbeitung seiner Daten. Die FINMA wies dieses Begehren ab.
Das BVGer bestätigt diesen Entscheid:
Es besteht eine gesetzliche Grundlage (DSG 17 II) für die Führung der Datensammlung:
Das in Art. 17 Abs. 2 DSG vorgesehene Erfordernis, wonach das Bearbeiten besonders schützenswerter Personendaten und Persönlichkeitsprofile in einem Gesetz im formellen Sinn verankert sein muss, ist damit erfüllt. Die Bestimmung enthält auch eine ausdrückliche Delegation, weitere Einzelheiten zu regeln. Die Auffassung des Beschwerdeführers, weil der Gesetzgeber verschiedene andere Datensammlungen im jeweils massgeblichen Finanzmarktgesetz selbst ausdrücklich genannt habe, sei dies für alle Datensammlungen der Vorinstanz erforderlich, ist angesichts des klaren Wortlauts dieser Delegationsnorm offensichtlich haltlos.
2.4.2 Gestützt auf Art. 23 Abs. 1 FINMAG erliess die Vorinstanz die Datenverordnung-FINMA, welche in Art. 1 ihren Gegenstand wie folgt umschreibt:
„1 Die FINMA nimmt Daten von Personen, deren Gewähr für eine einwandfreie Geschäftstätigkeit nach den Finanzmarktgesetzen und dem FINMAG zweifelhaft oder nicht gegeben ist, in eine Datensammlung auf.
2 Sie führt die Datensammlung zur Sicherstellung, dass nur Personen, die Gewähr für eine einwandfreie Geschäftstätigkeit bieten:
a. mit der Verwaltung oder Geschäftsführung von Beaufsichtigten betraut werden; oder
b. massgebend an den Beaufsichtigten beteiligt sind.“2.4.3 Hinsichtlich des Zwecks der Datenbearbeitung lässt sich Art. 23 Abs. 1 FINMAG entnehmen, dass die Vorinstanz „im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen“ Personendaten, einschliesslich besonders schützenswerter Daten und Persönlichkeitsprofile bearbeitet.
Die Liste nach Art. 3 der Daten-Verordnung FINMA ist nicht abschliessend:
3.1 Die Datenverordnung-FINMA enthält in Art. 3 eine Aufzählung von Daten, welche in die Datensammlung aufzunehmen sind. Gemäss dieser Bestimmung enthält die Datensammlung die folgenden Daten: […].
3.1.1 Aus dem Wortlaut dieser Bestimmung ergibt sich nicht, ob die Liste abschliessend zu verstehen ist oder nicht.
3.1.4 Die Auslegung ergibt somit, dass der Auffassung des Beschwerdeführers, in die Datensammlung dürften nur diejenigen Daten aufgenommen werden, welche in Art. 3 Datenverordnung-FINMA ausdrücklich aufgezählt seien, nicht gefolgt werden kann. Vielmehr ist davon auszugehen, dass diese Liste nicht abschliessend ist und die Vorinstanz befugt ist, alle Daten, welche mit einer gewissen Wahrscheinlichkeit im Hinblick auf eine künftige Gewährsbeurteilung relevant sein könnten, in die Datensammlung aufzunehmen.
Die Aufnahme nicht rechtskräftig abgeklärter Verdachtsmomente verletzt den Richtigkeitsgrundsatz nicht:
Ausgangslage:
Gemäss Art. 5 Abs. 1 DSG muss sich derjenige, welcher Personendaten bearbeitet, über deren Richtigkeit vergewissern. Die Bearbeitung unrichtiger Personendaten ist nur dann widerrechtlich, wenn ihre Unrichtigkeit auf mangelnde Vergewisserung durch den Bearbeiter zurückzuführen ist. Die Vergewisserungspflicht gemäss Art. 5 Abs. 1 DSG bringt es mit sich, dass das verantwortliche Bundesorgan die Richtigkeit der von ihm bearbeiteten Personendaten von Amtes wegen überprüfen muss, sobald ihm mit einem Gesuch um Berichtigung konkrete Anhaltspunkte für deren Unrichtigkeit unterbreitet werden. Kommt es dieser Pflicht nicht oder ungenügend nach, wird die zukünftige Bearbeitung der betreffenden Daten widerrechtlich und begründet damit den Unterlassungs- und Berichtigungsanspruch gemäss Art. 25 Abs. 1 Bst. a und Abs. 3 Bst. a DSG (vgl. JAN BANGERT, in: Basler Kommentar DSG, a.a.O., Art. 25 N. 46 f. S. 471; Yvonne JÖHRI, in: Handkommentar zum Datenschutzgesetz, 2008, Art. 25 N. 12 ff. S. 588; BVGE 2013/30 E. 4.1; VPB 65.51). Das Datenschutzgesetz kennt keine eigentliche Pflicht, nur richtige Daten zu bearbeiten. Der Datenbearbeiter ist lediglich verpflichtet, sich über die Richtigkeit der von ihm bearbeiteten Daten zu vergewissern. Wieweit er bei seinen Abklärungen über die Richtigkeit gehen muss, ist im Einzelfall zu prüfen. Massgebend sind dabei insbesondere die Zweckbestimmung der Datensammlung, inwieweit eine Bekanntgabe von Daten erfolgt sowie deren Sensitivität […].
Die FINMA hat diese Grundsätze nicht verletzt:
4.2 Die in Frage stehende Watchlist der Vorinstanz dient, wie dargelegt, ausschliesslich dem behördeninternen Wissensmanagement. Es handelt sich um eine rein interne Datensammlung, in welche nur wenige Mitarbeiter der Vorinstanz überhaupt Einsicht haben. Die Vorinstanz sammelt darin Daten, welche mit einer gewissen Wahrscheinlichkeit im Hinblick auf eine künftige Gewährsbeurteilung relevant sein könnten. Bereits die Definition, dass in Art. 1 der Datenverordnung-FINMA, wonach Daten von „Personen, deren Gewähr für eine einwandfreie Geschäftstätigkeit zweifelhaft oder nicht gegeben sei“, gesammelt werden, macht klar, dass in der Datensammlung auch noch nicht rechtskräftig abgeklärte Verdachtsmomente dokumentiert werden können.
Die Vorinstanz erhielt dieses Dokument von der Bank X. bzw. von deren Anwälten. Interne Untersuchungen von international tätigen Banken werden typischerweise nicht durch die Bank selbst, sondern von einer Anwaltskanzlei oder einer Prüfgesellschaft durchgeführt, welche für die Qualität und Unabhängigkeit ihrer derartigen Untersuchungen international angesehen sind, insbesondere auch bei den einschlägigen ausländischen Aufsichtsbehörden. Wenn die Vorinstanz für ihre Datensammlung Belege oder Protokolle aus einer derartigen internen Untersuchung entgegengenommen hat, kann ihr nicht vorgeworfen werden, sie sei ihrer Vergewisserungspflicht nicht nachgekommen, jedenfalls solange keine konkreten Anhaltspunkte vorliegen, die Zweifel an der Echtheit oder Richtigkeit der betreffenden Dokumente aufdrängen würden.