EDÖB: Stel­lung­nah­me zur Bekannt­ga­be von Per­so­nen­da­ten an die ame­ri­ka­ni­sche SEC

Der EDÖB hat mit Datum vom 4. August 2021 gegen­über der US-Bör­sen­auf­sichts­be­hör­de SEC eine Stel­lung­nah­me zur Fra­ge der Zuläs­sig­keit der Daten­über­mitt­lung durch bestimm­te Schwei­zer Finanz­un­ter­neh­men an die SEC eine Stel­lung­nah­me abge­ge­ben und ver­öf­fen­licht.

Hin­ter­grund der Stel­lung­nah­me ist eine Anfor­de­rung des US-Rechts: Auch schwei­ze­ri­sche Finanz­un­ter­neh­men müs­sen der SEC auf Anfra­ge bestimm­te Unter­la­gen zur Ver­fü­gung stel­len, wenn sie bei der SEC in bestimm­ter Eigen­schaft (z.B. als Vermögensverwalter/Anlageberater, als Bro­ker-Dea­ler oder als SBSD, Secu­ri­ty-based Swap Dea­ler) regi­striert oder regi­strie­rungs­pflich­tig sind oder sie von der SEC regu­liert sind. Das betrifft der­zeit offen­bar rund 75 in der Schweiz nie­der­ge­las­se­ne Unter­neh­men oder Nie­der­las­sun­gen. Die SEC kann im Rah­men einer Prü­fung direkt vom betrof­fe­nen Unter­neh­men bestimm­te Infor­ma­ti­on her­aus­ver­lan­gen, je nach dem kon­kre­ten Prüf­ge­gen­stand, bspw. inter­ne Pro­zess­do­ku­men­ta­tio­nen, Mit­ar­bei­ter­li­sten, VR-Pro­to­kol­le, Kun­den­ver­trä­ge, Trans­ak­ti­ons­do­ku­men­ta­tio­nen usw. Die­se Anga­ben behand­le die SEC ver­trau­lich, wie sie gegen­über dem EDÖB mit­teilt (wie­der­ge­ge­ben in der Stel­lung­nah­me des EDÖB), doch kön­nen Anga­ben an ande­re Behör­den wei­ter­ge­reicht wer­den, und offen­bar unter­lie­gen sie dem US-Öffent­lich­keits­recht (free­dom of information).

Der EDÖB beur­teilt das rele­van­te schwei­ze­ri­sche Recht in die­sem Zusam­men­hang wie folgt:

Anwend­ba­re Bestimmungen

Nicht Gegen­stand der Stel­lung­nah­me des EDÖB ist die Rechts­la­ge nach der DSGVO, obwohl die­se auf die rele­van­ten schwei­ze­ri­schen Unter­neh­men zur Anwen­dung kom­men kann. Das DSG kommt aber zur Anwen­dung. Die Anwen­dungs­aus­schlüs­se von Art. 2 des heu­ti­gen DSG grei­fen nicht, ins­be­son­de­re nicht der Aus­schluss des hän­gi­gen Ver­fah­rens nach Art. 2 Abs. 2 lit. c DSG.

Art. 42c FINMAG

Der EDÖB äussert sich zunächst zu Art. 42c Abs. 1 FINMAG. Die­se Bestim­mung erlaubt die Direkt­über­mitt­lung von nicht-öffent­li­chen Infor­ma­tio­nen durch beauf­sich­tig­te Unter­neh­men an die zustän­di­gen aus­län­di­schen Finanzmarktaufsichtsbe­hörden und son­sti­ge mit der Auf­sicht betrau­ten aus­län­di­schen Stel­len. Dadurch wird in die­sem Fall auch Art. 271 StGB nicht ver­letzt (auf Basis von Art. 14 StGB). Die­se Direkt­über­mitt­lung – anders als jene nach Art. 42c Abs. 2 FINMAG – ist nur zuläs­sig an Behör­den, die die­se Infor­ma­tio­nen aus­schliess­lich zum Voll­zug des Finanz­markt­rechts ver­wen­den oder nur zu die­sem Zweck an ande­re Behör­den, Gerich­te oder Orga­ne wei­ter­lei­ten und die an ein Amts- oder Berufs­ge­heim­nis gebun­den sind (Art. 42c Abs. 1 i.V.m. Art. 42 Abs. 2 FINMAG). Zudem müs­sen stets die Rech­te der betrof­fe­nen Per­so­nen gewahrt blei­ben. – Die FINMA hat dazu das kürz­lich teil­re­vi­dier­te Rund­schrei­ben Direkt­über­mitt­lung ver­öf­fent­licht. Sie ver­öf­fent­licht auch eine Liste von Behör­den, die die Anfor­de­run­gen erfül­len sol­len, dar­un­ter die SEC.

Der EDÖB begnügt sich hier mit einem Hin­weis auf die Behör­den­li­ste und ergänzt, die FINMA habe kürz­lich bestä­tigt (wem gegen­über und wann, bleibt offen), es bestehe kein Grund zur Annah­me, dass eine Direkt­über­mitt­lung an die SEC den Anfor­de­run­gen von Art. 42c Abs. 1 nicht genü­ge. Offen­bar sieht die FINMA auch das Spe­zia­li­täts­prin­zip (Art. 42c Abs. 1 i.V.m. Art. 42 Abs. 2 FINMAG) gewahrt, obwohl die SEC gegen­über dem EDÖB bestä­tigt hat, sie gebe Anga­ben u.U. an ande­re Behör­den weiter.

Zuläs­sig­keit der Bekannt­ga­be nach Art. 6 DSG

Mit Bezug auf Art. 6 DSG hält der EDÖB fest, Art. 42c FINMAG sei kei­ne Grund­la­ge für die Über­mitt­lung in einen unsi­che­ren Dritt­staat wie die USA, zumal Art. 42c Abs. 1 FINMAG fest­hält, dass die Rech­te der Kun­den und Drit­ten zu wah­ren sind, und das erwähn­te FINMA-RS sagt, unter die­sem Titel sei­en das Bank­kun­den­ge­heim­nis, die Bestim­mun­gen über den Daten­schutz sowie die Rech­te aus dem Arbeits­ver­hält­nis zu schützen.

Immer­hin kön­ne aber Art. 6 Abs. 2 DSG helfen:

Es kön­ne u.U. eine Ein­wil­li­gung in die Über­mitt­lung von den betrof­fe­nen Per­so­nen ein­ge­holt wer­den (Art. 6 Abs. 2 lit. b DSG):

  • Eine sol­che Ein­wil­li­gung sei frei­wil­lig, und zwar auch dann, wenn das betrof­fe­ne Unter­neh­men ohne eine sol­che Ein­wil­li­gung kei­nen Ver­trag mit der betrof­fe­nen Per­son ein­gin­ge. Dies begrün­det der EDÖB mit der fak­ti­schen Not­wen­dig­keit der Über­mitt­lung in die USA, also wohl damit, dass es nicht miss­bräuch­lich ist, hier eine Ein­wil­li­gung zu ver­lan­gen. Die Ein­wil­li­gung kön­ne auch in AGB ein­ge­holt werden.
  • Wider­ruft ein Kun­de die Ein­wil­li­gung, müs­se die Kun­den­be­zie­hung gekün­digt wer­den, damit das Unter­neh­men nicht gegen US-Recht verstösst.
  • Im Fall einer Kün­di­gung des Ver­trags kön­ne die Ein­wil­li­gung nicht län­ger eine Basis für die Über­mitt­lung sein. Das dürf­te falsch sein; es spricht nichts dage­gen, in AGB eine den Ver­trag über­dau­ern­de Ein­wil­li­gung ein­zu­ho­len. Die AGB soll­ten aber aus­drück­lich fest­hal­ten, dass die Ein­wil­li­gung den Ver­trag überdauert.
  • Ein Arbeit­neh­mer kön­ne kei­nes­falls frei­wil­lig in eine Bekannt­ga­be sei­ner Daten an die SEC ein­wil­li­gen, weil er u.U. nicht frei­wil­lig bei einem ent­spre­chen­den Unter­neh­men arbei­te und der Ver­lust der Stel­le nicht hin­zu­neh­men sei.

Eben­falls grei­fe die Aus­nah­me der Ver­trags­ab­wick­lung (Art. 6 Abs. 2 lit. c DSG), weil die Bekannt­ga­be not­wen­dig sei für die Durch­füh­rung des Ver­trags des infor­ma­ti­ons­pflich­ti­gen Unter­neh­mens mit dem Kunden:

  • Das gel­te selbst dann, wenn der betref­fen­de Ver­trag nicht mehr bestehe, also nach einer Ver­trags­be­en­di­gung. Es sei aller­dings zudem eine Inter­es­sen­ab­wä­gung durch­zu­füh­ren: Der Ver­trags­kon­text erlau­be kei­ne Bekannt­ga­be an belie­bi­ge Behör­den; zu prü­fen sei bspw., ob das rele­van­te aus­län­di­sche Recht mit dem schwei­ze­ri­schen Recht ver­gleich­bar ist und die aus­län­di­sche Behör­de ange­mes­se­nen Ver­trau­lich­keits­be­stim­mun­gen unter­steht. Bei­des sei hier der Fall.
  • Art. 6 Abs. 2 lit. c DSG grei­fe auch bei bei Arbeit­neh­mer­da­ten, soweit die Bekannt­ga­be an die SEC mit dem Arbeits­ver­hält­nis in einem unmit­tel­ba­ren Zusam­men­hang steht; auch Art. 328b OR ste­he dem nicht ent­ge­gen. Hier sei aber wie­der­um zu prü­fen, ob wirk­lich ein über­wie­gen­des Inter­es­se an der Bekannt­ga­be besteht.

Zudem bestehe auch ein über­wie­gen­des öffent­li­ches Inter­es­se an der Bekannt­ga­be an die SEC. Zwar müs­se ein öffent­li­ches Inter­es­se nach Art. 6 Abs. 2 lit. d DSG mit Bezug auf den Ein­zel­fall geprüft wer­den, nicht mit Bezug auf eine all­ge­mei­ne Pra­xis. Aber der Gesetz­ge­ber habe in Art. 42c FINMAG bereits eine Wer­tung vor­ge­nom­men, dass eine Direkt­über­mitt­lung erfol­gen kön­nen soll.

Zusätz­li­che Inter­es­sen­ab­wä­gung bei Recht­fer­ti­gung durch Vertragskonnex?

Der EDÖB hält fest, auch dann, wenn die Bekannt­ga­be an sich durch den Ver­trags­kon­nex gerecht­fer­tigt ist, sei eine zusätz­li­che Inter­es­sen­ab­wä­gung durchzuführen:

The FDPIC […] is […] of the opi­ni­on that – from the per­spec­ti­ve of data pro­tec­tion – a cross-bor­der trans­fer of data to the SEC can be justi­fied eit­her by con­tract (Art. 6 para. 2 let. c FADP; see abo­ve 2.4.3 and 2.4.4) or by an over­ri­ding public inte­rest (Art. 6 para. 2 let. d FADP; see abo­ve 2.4.5), pro­vi­ded that, in the indi­vi­du­al case, the­re are not any over­weig­hing inte­rests of the data sub­ject that do not allow for the dis­clo­sure. It is the duty and respon­si­bi­li­ty of the rele­vant Swiss firm to ana­ly­ze whe­ther the­re could be such over­weig­hing inte­rests of the data sub­ject.

Wor­auf der EDÖB die­se Anfor­de­rung stützt, bleibt aber unklar und wird auch nicht begrün­det (ausser mit einer Ver­wei­sung auf den eigent­lich nicht ein­schlä­gi­gen Art. 13 DSG). Art. 6 Abs. 2 lit. c DSG (Ver­trags­kon­nex) ist bereits Aus­druck einer gesetz­li­chen Inter­es­sen­ab­wä­gung; für eine wei­te­re Inter­es­sen­ab­wä­gung besteht kein Raum (anders als beim über­wie­gen­den öffent­li­chen Inter­es­se). Das Gebot, die Inter­es­sen der Betrof­fe­nen zu berück­sich­ti­gen, kann zwar auch mit dem Fair­ness­ge­bot und im Arbeits­ver­hält­nis mit der Für­sor­ge­pflicht begrün­det wer­den, aber auch dann soll­ten sich die expli­zi­ten gesetz­ge­be­ri­schen Wer­tun­gen nicht in einer Wol­ke all­ge­mei­ner Inter­es­sen­ab­wä­gung auf­lö­sen. Im Ergeb­nis läge es näher, die Anwen­dung von Art. 6 Abs. 2 lit. c DSG (Ver­trags­kon­nex) genü­gen zu las­sen und beson­de­re ent­ge­gen­ste­hen­de Inter­es­sen nur zu prü­fen, wenn sie der Betrof­fe­ne aktiv vor­ge­bracht und begrün­det hat und wenn sie beson­de­res Gewicht haben.

Trans­pa­renz

Der EDÖB hält fest, dass sich sowohl der Grund­satz der Trans­pa­renz als auch die Infor­ma­ti­ons­pflicht nach dem revDSG auf das Sta­di­um der Beschaf­fung und nicht einer son­sti­gen Bear­bei­tung bezieht. Das mel­de­pflich­ti­ge Unter­neh­men infor­mie­re i.d.R. bei der Begrün­dung der Ver­trags­be­zie­hung über die ver­trag­li­che Bezie­hung. Das genü­ge; in die­sem Fall müs­se das Unter­neh­men über die tat­säch­lich erfolg­te Bekannt­ga­be bzw. die damit zusam­men­hän­gen­den Bear­bei­tun­gen nicht noch­mals informieren.

Damit hält der EDÖB auch fest, dass es im Grund­satz kei­ne Nach­in­for­ma­ti­ons­pflicht gibt, wenn sich die Beschaf­fung spä­ter ändert (unter Vor­be­halt wohl der Zweck­än­de­rung, wenn man die­se als erneu­te Beschaf­fung betrach­tet, und unter Vor­be­halt einer Ein­wil­li­gung im Einzelfall).

Gro­sse und klei­ne Berufsgeheimnisse

Der EDÖB lässt aus­drück­lich offen, ob eine Bekannt­ga­be auch unter dem Titel eines beson­de­ren Berufs­ge­heim­nis­ses (Bank­kun­den­ge­heim­nis, FINIG-Geheim­nis usw.) zuläs­sig ist bzw. ob ein Wai­ver ein­ge­holt wer­den muss. Hier wäre aber jeden­falls denk­bar, in den AGB einen Wai­ver ein­zu­ho­len. Denk­bar, aber wohl heik­ler wäre auch ledig­lich ein kla­rer Hin­weis auf Über­mitt­lun­gen an die SEC. Ein Kun­de, der den­noch einen Ver­trag mit dem infor­ma­ti­ons­pflich­ti­gen Unter­neh­men schliesst, hat kon­klu­dent ein­ge­wil­ligt und kann schon im Tat­be­stand kei­nen erkenn­ba­ren Geheim­nis­wil­len haben, dass eine sol­che Über­mitt­lung unterbleibt.

Der EDÖB spricht sodann auch Art. 35 DSG und Art. 62 revDSG an, d.h. das “klei­ne Berufs­ge­heim­nis” bzw. “Daten­ge­heim­nis”, also das Ver­bot der Bekannt­ga­be gehei­mer, berufs­be­zo­ge­ner Daten (nach Art. 62 revDSG; nur von Per­sön­lich­keits­pro­fi­len oder beson­ders schüt­zens­wer­ten Daten nach dem DSG). Er geht hier nicht auf Details ein, hält aber fest, dass eine daten­schutz­kon­for­me Bekannt­ga­be nach sei­ner Auf­fas­sung nicht gegen Art. 35 DSG oder Art. 62 revDSG ver­sto­sse. Das ist nach unse­rer Auf­fas­sung rich­tig. Die Rechts­na­tur von Art. 62 revDSG ist zwar nicht klar und bereits strit­tig, aber nach unse­rer Aus­le­gung kann eine Bekannt­ga­be gehei­mer Per­so­nen­da­ten nicht tat­be­stands­mä­ssig sein, wenn sie den Anfor­de­run­gen des Daten­schutz­rechts ent­spricht. In die­sem Sin­ne ist Art. 62 revDSG eine daten­schutz­recht­li­che Norm.