- Der EDÖB hat am 4. August 2021 zur Zulässigkeit der Datenübermittlung an die SEC Stellung genommen.
- Schweizer Finanzunternehmen müssen auf Anfrage der SEC bestimmte Unterlagen bereitstellen, z.B. Kundenverträge und Transaktionsdokumentationen.
- Die FINMA hat die Direktübermittlung von Informationen an die SEC in bestimmten Fällen bestätigt.
- Eine Einwilligung kann erforderlich sein, um die Übermittlung von Daten an ein unsicheres Drittland zu rechtfertigen.
- Es gibt kein Nachinformationspflicht bei Änderungen der Datenverarbeitung, wenn die ursprüngliche Beschaffung transparent war.
Der EDÖB hat mit Datum vom 4. August 2021 gegenüber der US-Börsenaufsichtsbehörde SEC zur Frage der Zulässigkeit der Datenübermittlung durch bestimmte Schweizer Finanzunternehmen an die SEC eine Stellungnahme abgegeben und veröffenlicht.
Hintergrund der Stellungnahme ist eine Anforderung des US-Rechts: Auch schweizerische Finanzunternehmen müssen der SEC auf Anfrage bestimmte Unterlagen zur Verfügung stellen, wenn sie bei der SEC in bestimmter Eigenschaft (z.B. als Vermögensverwalter/Anlageberater, als Broker-Dealer oder als SBSD, Security-based Swap Dealer) registriert oder registrierungspflichtig sind oder sie von der SEC reguliert sind. Das betrifft derzeit offenbar rund 75 in der Schweiz niedergelassene Unternehmen oder Niederlassungen. Die SEC kann im Rahmen einer Prüfung direkt vom betroffenen Unternehmen bestimmte Information herausverlangen, je nach dem konkreten Prüfgegenstand, bspw. interne Prozessdokumentationen, Mitarbeiterlisten, VR-Protokolle, Kundenverträge, Transaktionsdokumentationen usw. Diese Angaben behandle die SEC vertraulich, wie sie gegenüber dem EDÖB mitteilt (wiedergegeben in der Stellungnahme des EDÖB), doch können Angaben an andere Behörden weitergereicht werden, und offenbar unterliegen sie dem US-Öffentlichkeitsrecht (freedom of information).
Der EDÖB beurteilt das relevante schweizerische Recht in diesem Zusammenhang wie folgt:
Anwendbare Bestimmungen
Nicht Gegenstand der Stellungnahme des EDÖB ist die Rechtslage nach der DSGVO, obwohl diese auf die relevanten schweizerischen Unternehmen zur Anwendung kommen kann. Das DSG kommt aber zur Anwendung. Die Anwendungsausschlüsse von Art. 2 des heutigen DSG greifen nicht, insbesondere nicht der Ausschluss des hängigen Verfahrens nach Art. 2 Abs. 2 lit. c DSG.
Art. 42c FINMAG
Der EDÖB äussert sich zunächst zu Art. 42c Abs. 1 FINMAG. Diese Bestimmung erlaubt die Direktübermittlung von nicht-öffentlichen Informationen durch beaufsichtigte Unternehmen an die zuständigen ausländischen Finanzmarktaufsichtsbehörden und sonstige mit der Aufsicht betrauten ausländischen Stellen. Dadurch wird in diesem Fall auch Art. 271 StGB nicht verletzt (auf Basis von Art. 14 StGB). Diese Direktübermittlung – anders als jene nach Art. 42c Abs. 2 FINMAG – ist nur zulässig an Behörden, die diese Informationen ausschliesslich zum Vollzug des Finanzmarktrechts verwenden oder nur zu diesem Zweck an andere Behörden, Gerichte oder Organe weiterleiten und die an ein Amts- oder Berufsgeheimnis gebunden sind (Art. 42c Abs. 1 i.V.m. Art. 42 Abs. 2 FINMAG). Zudem müssen stets die Rechte der betroffenen Personen gewahrt bleiben. – Die FINMA hat dazu das kürzlich teilrevidierte Rundschreiben Direktübermittlung veröffentlicht. Sie veröffentlicht auch eine Liste von Behörden, die die Anforderungen erfüllen sollen, darunter die SEC.
Der EDÖB begnügt sich hier mit einem Hinweis auf die Behördenliste und ergänzt, die FINMA habe kürzlich bestätigt (wem gegenüber und wann, bleibt offen), es bestehe kein Grund zur Annahme, dass eine Direktübermittlung an die SEC den Anforderungen von Art. 42c Abs. 1 nicht genüge. Offenbar sieht die FINMA auch das Spezialitätsprinzip (Art. 42c Abs. 1 i.V.m. Art. 42 Abs. 2 FINMAG) gewahrt, obwohl die SEC gegenüber dem EDÖB bestätigt hat, sie gebe Angaben u.U. an andere Behörden weiter.
Zulässigkeit der Bekanntgabe nach Art. 6 DSG
Mit Bezug auf Art. 6 DSG hält der EDÖB fest, Art. 42c FINMAG sei keine Grundlage für die Übermittlung in einen unsicheren Drittstaat wie die USA, zumal Art. 42c Abs. 1 FINMAG festhält, dass die Rechte der Kunden und Dritten zu wahren sind, und das erwähnte FINMA-RS sagt, unter diesem Titel seien das Bankkundengeheimnis, die Bestimmungen über den Datenschutz sowie die Rechte aus dem Arbeitsverhältnis zu schützen.
Immerhin könne aber Art. 6 Abs. 2 DSG helfen:
Es könne u.U. eine Einwilligung in die Übermittlung von den betroffenen Personen eingeholt werden (Art. 6 Abs. 2 lit. b DSG):
- Eine solche Einwilligung sei freiwillig, und zwar auch dann, wenn das betroffene Unternehmen ohne eine solche Einwilligung keinen Vertrag mit der betroffenen Person einginge. Dies begründet der EDÖB mit der faktischen Notwendigkeit der Übermittlung in die USA, also wohl damit, dass es nicht missbräuchlich ist, hier eine Einwilligung zu verlangen. Die Einwilligung könne auch in AGB eingeholt werden.
- Widerruft ein Kunde die Einwilligung, müsse die Kundenbeziehung gekündigt werden, damit das Unternehmen nicht gegen US-Recht verstösst.
- Im Fall einer Kündigung des Vertrags könne die Einwilligung nicht länger eine Basis für die Übermittlung sein. Das dürfte falsch sein; es spricht nichts dagegen, in AGB eine den Vertrag überdauernde Einwilligung einzuholen. Die AGB sollten aber ausdrücklich festhalten, dass die Einwilligung den Vertrag überdauert.
- Ein Arbeitnehmer könne keinesfalls freiwillig in eine Bekanntgabe seiner Daten an die SEC einwilligen, weil er u.U. nicht freiwillig bei einem entsprechenden Unternehmen arbeite und der Verlust der Stelle nicht hinzunehmen sei.
Ebenfalls greife die Ausnahme der Vertragsabwicklung (Art. 6 Abs. 2 lit. c DSG), weil die Bekanntgabe notwendig sei für die Durchführung des Vertrags des informationspflichtigen Unternehmens mit dem Kunden:
- Das gelte selbst dann, wenn der betreffende Vertrag nicht mehr bestehe, also nach einer Vertragsbeendigung. Es sei allerdings zudem eine Interessenabwägung durchzuführen: Der Vertragskontext erlaube keine Bekanntgabe an beliebige Behörden; zu prüfen sei bspw., ob das relevante ausländische Recht mit dem schweizerischen Recht vergleichbar ist und die ausländische Behörde angemessenen Vertraulichkeitsbestimmungen untersteht. Beides sei hier der Fall.
- Art. 6 Abs. 2 lit. c DSG greife auch bei bei Arbeitnehmerdaten, soweit die Bekanntgabe an die SEC mit dem Arbeitsverhältnis in einem unmittelbaren Zusammenhang steht; auch Art. 328b OR stehe dem nicht entgegen. Hier sei aber wiederum zu prüfen, ob wirklich ein überwiegendes Interesse an der Bekanntgabe besteht.
Zudem bestehe auch ein überwiegendes öffentliches Interesse an der Bekanntgabe an die SEC. Zwar müsse ein öffentliches Interesse nach Art. 6 Abs. 2 lit. d DSG mit Bezug auf den Einzelfall geprüft werden, nicht mit Bezug auf eine allgemeine Praxis. Aber der Gesetzgeber habe in Art. 42c FINMAG bereits eine Wertung vorgenommen, dass eine Direktübermittlung erfolgen können soll.
Zusätzliche Interessenabwägung bei Rechtfertigung durch Vertragskonnex?
Der EDÖB hält fest, auch dann, wenn die Bekanntgabe an sich durch den Vertragskonnex gerechtfertigt ist, sei eine zusätzliche Interessenabwägung durchzuführen:
The FDPIC […] is […] of the opinion that – from the perspective of data protection – a cross-border transfer of data to the SEC can be justified either by contract (Art. 6 para. 2 let. c FADP; see above 2.4.3 and 2.4.4) or by an overriding public interest (Art. 6 para. 2 let. d FADP; see above 2.4.5), provided that, in the individual case, there are not any overweighing interests of the data subject that do not allow for the disclosure. It is the duty and responsibility of the relevant Swiss firm to analyze whether there could be such overweighing interests of the data subject.
Worauf der EDÖB diese Anforderung stützt, bleibt aber unklar und wird auch nicht begründet (ausser mit einer Verweisung auf den eigentlich nicht einschlägigen Art. 13 DSG). Art. 6 Abs. 2 lit. c DSG (Vertragskonnex) ist bereits Ausdruck einer gesetzlichen Interessenabwägung; für eine weitere Interessenabwägung besteht kein Raum (anders als beim überwiegenden öffentlichen Interesse). Das Gebot, die Interessen der Betroffenen zu berücksichtigen, kann zwar auch mit dem Fairnessgebot und im Arbeitsverhältnis mit der Fürsorgepflicht begründet werden, aber auch dann sollten sich die expliziten gesetzgeberischen Wertungen nicht in einer Wolke allgemeiner Interessenabwägung auflösen. Im Ergebnis läge es näher, die Anwendung von Art. 6 Abs. 2 lit. c DSG (Vertragskonnex) genügen zu lassen und besondere entgegenstehende Interessen nur zu prüfen, wenn sie der Betroffene aktiv vorgebracht und begründet hat und wenn sie besonderes Gewicht haben.
Transparenz
Der EDÖB hält fest, dass sich sowohl der Grundsatz der Transparenz als auch die Informationspflicht nach dem revDSG auf das Stadium der Beschaffung und nicht einer sonstigen Bearbeitung bezieht. Das meldepflichtige Unternehmen informiere i.d.R. bei der Begründung der Vertragsbeziehung über die vertragliche Beziehung. Das genüge; in diesem Fall müsse das Unternehmen über die tatsächlich erfolgte Bekanntgabe bzw. die damit zusammenhängenden Bearbeitungen nicht nochmals informieren.
Damit hält der EDÖB auch fest, dass es im Grundsatz keine Nachinformationspflicht gibt, wenn sich die Beschaffung später ändert (unter Vorbehalt wohl der Zweckänderung, wenn man diese als erneute Beschaffung betrachtet, und unter Vorbehalt einer Einwilligung im Einzelfall).
Grosse und kleine Berufsgeheimnisse
Der EDÖB lässt ausdrücklich offen, ob eine Bekanntgabe auch unter dem Titel eines besonderen Berufsgeheimnisses (Bankkundengeheimnis, FINIG-Geheimnis usw.) zulässig ist bzw. ob ein Waiver eingeholt werden muss. Hier wäre aber jedenfalls denkbar, in den AGB einen Waiver einzuholen. Denkbar, aber wohl heikler wäre auch lediglich ein klarer Hinweis auf Übermittlungen an die SEC. Ein Kunde, der dennoch einen Vertrag mit dem informationspflichtigen Unternehmen schliesst, hat konkludent eingewilligt und kann schon im Tatbestand keinen erkennbaren Geheimniswillen haben, dass eine solche Übermittlung unterbleibt.
Der EDÖB spricht sodann auch Art. 35 DSG und Art. 62 revDSG an, d.h. das “kleine Berufsgeheimnis” bzw. “Datengeheimnis”, also das Verbot der Bekanntgabe geheimer, berufsbezogener Daten (nach Art. 62 revDSG; nur von Persönlichkeitsprofilen oder besonders schützenswerten Daten nach dem DSG). Er geht hier nicht auf Details ein, hält aber fest, dass eine datenschutzkonforme Bekanntgabe nach seiner Auffassung nicht gegen Art. 35 DSG oder Art. 62 revDSG verstosse. Das ist nach unserer Auffassung richtig. Die Rechtsnatur von Art. 62 revDSG ist zwar nicht klar und bereits strittig, aber nach unserer Auslegung kann eine Bekanntgabe geheimer Personendaten nicht tatbestandsmässig sein, wenn sie den Anforderungen des Datenschutzrechts entspricht. In diesem Sinne ist Art. 62 revDSG eine datenschutzrechtliche Norm.