� EIDGENÖSSISCHER DATENSCHUTZBEAUFTRAGTER PRÉPOSÉ FÉDÉRAL À LA PROTECTION DES DONNÉES INCARICATO FEDERALE DELLA PROTEZIONE DEI DATI INCUMBENSÀ FEDERAL PER LA PROTECZIUN DA DATAS
A2001.06.07-0005 / 1999-00057 13. Juni 2001
EMPFEHLUNG
gemäss
Art. 29 Abs. 3 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992
in Sachen
Weitergabe von Personendaten aus Kontoeröffnungsanträgen der X-Bank AG
I. Der Eidg. Datenschutzbeauftragte stellt fest: 1. Die X-Bank AG bietet ihren Kundinnen und Kunden verschiedene Möglichkeiten zur Kapitalanlage an. Die entsprechenden Kontoeröffnungsanträge enthalten u.a. eine Rubrik, die sich zur Datenbearbeitung durch die Bank äussert.
2. Der Eidg. Datenschutzbeauftragte (EDSB) hat bei der X-Bank AG wiederholt wegen der Rubrik "Datenbearbeitung" interveniert. Dabei bemängelte er insbesondere, dass der Satz "Die Einwilligung zur Datenbearbeitung kann jederzeit widerrufen werden" von zahlreichen Personen missverstanden werde und dass die Umschreibung "zu der X-Group gehörende Gesellschaften" als mögliche Datenempfänger zu unbestimmt sei.
3. Erst nach mehreren Briefwechseln erklärte sich die X-Bank AG in einem Schreiben vom 25. Oktober 1999 bereit, den Forderungen des EDSB nachzukommen und die Rubrik Datenbearbeitung folgendermassen anzupassen: Der Kunde ermächtigt die Bank, Kundendaten zu bearbeiten und zum Zweck der vertieften Analyse der Kundenbedürfnisse und zur Verbesserung der Leistungserbringung an zur X-Group gehörende Gesellschaften zur Bearbeitung weiterzuleiten. Der Kunde ermächtigt die Bank, den Abschlussvermittler und dessen Arbeitgeber, beide ebenfalls dem Bankgeheimnis unterstellt, über die Kundendaten zu informieren. Der Kunde hat das Recht, bei der Bank über die Bearbeitung der ihn betreffenden Daten die gesetzlich vorgesehenen Auskünfte sowie eine Aufstellung der zur X-Group gehörende Gesellschaften zu verlangen.
4. Am 9. März 2001 intervenierte der EDSB erneut bei der X-Bank AG, weil diese noch immer Antragsformulare mit dem ursprünglichen Text zur Datenbearbeitung benützte, und bat
� � 2�
darum, die von der Bank vorgeschlagene Textversion zur Datenbearbeitung doch endlich anzuwenden.
5. Mit Schreiben vom 30. März 2001 bestätigte die X-Bank AG, dass künftig keine Antragsformulare mit der ursprünglichen Textversion mehr versandt würden. Gleichzeitig teilte sie dem EDSB auch mit, dass ab Mai 2001 der Halbsatz, wonach jeder Kunde das Recht habe, "... eine Aufstellung der zur X-Group gehörenden Gesellschaften zu verlangen", wieder gestrichen werde, weil ".... im übrigen lediglich die im Geschäftsbericht der X-Group und nicht generell alle Gruppengesellschaften bekannt gegeben werden können".
6. Weil dem EDSB erneut Kontoeröffnungsanträge mit dem ursprünglichen Text zur Datenbearbeitung vorgelegt worden sind, wandte er sich am 3. Mai 2001 wiederum an die X- Bank AG und wies bei dieser Gelegenheit nochmals darauf hin, dass der Verzicht auf eine Aufstellung aller zur X-Group gehörenden Gesellschaften nicht mit dem datenschutzrechtlichen Transparenzprinzip vereinbar sei.
7. Die X-Bank AG führte dazu in ihrer Stellungnahme vom 21. Mai 2001 aus, dass der Halbsatz "... bezüglich des Aspekts der Transparenz nichts beizutragen vermag. Da der Kunde überdies klar darauf hingewiesen wird, dass er die gesetzlich vorgesehenen Auskünfte jederzeit bei der Bank verlangen kann, ist der Bestimmung von Art. 8 des Bundesgesetzes über den Datenschutz (DSG; SR 235.1) Genüge getan."
II. Der Eidg. Datenschutzbeauftragte zieht in Erwägung: 1. Das Bundesgesetz über den Datenschutz (DSG, SR 235.1) regelt unter anderem die Bearbeitung von Daten natürlicher und juristischer Personen durch private Personen (Art. 2 Abs. 1 DSG). Die Bekanntgabe von Daten im Zusammenhang mit Anlageanträgen stellt eine Bearbeitung von Personendaten im Sinne von Art. 3 Bst. e DSG dar. Die X-Bank AG ist eine private Person und fällt daher unter die Bestimmungen des DSG (Art. 2 Abs. 1 DSG).
2. Gemäss Art. 29 DSG klärt der EDSB im Privatbereich von sich aus oder auf Meldung Dritter den Sachverhalt näher ab, namentlich wenn die Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler, Art. 29 Abs. 1 Bst. a DSG). Die Eidgenössische Datenschutzkommission hat in ihrem Entscheid vom 21. November 1996 in S. Mietwesen (VPB 1996, 62.42B) festgestellt, "dass die Empfehlungsbefugnis des EDSB nach Art. 29 Abs. 1 Bst. a DSG weiter zu interpretieren und nicht bloss auf Fehler von Informationssystemen der EDV zu beschränken sei." Mit anderen Worten ist von einem "Systemfehler" im Sinne der genannten Bestimmung auch dann zu sprechen, "wenn die Bearbeitung von Daten inhaltlich rechtswidrig, d.h. die Bearbeitung als solche so angelegt ist, dass sie geeignet ist, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen." Eine Datenbeschaffung ohne Angaben über die geplanten möglichen, zukünftigen Datenempfänger ist geeignet, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen.
3. Ausgehend vom verfassungsmässig garantierten Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten (Art. 13 Abs. 2 Bundesverfassung) muss jede Person die Herrschaft über die sie betreffenden Informationen ausüben und eine Bearbeitung dieser Daten durch Dritte einschränken können (informationelles Selbstbestimmungsrecht; vgl. BUNTSCHU, in Maurer/Vogt (Hrsg.), Kommentar zum Schweizerischen Datenschutzgesetz, Art. 1, N 14 ff.).
� � 3�
4. Ohne genaue Kenntnis der Datenempfänger ist es der betroffenen Person nicht möglich, frei zu entscheiden, ob und wem die Personendaten zugetragen werden sollen. Durch die generelle Umschreibung, gemäss welcher die Personendaten an eine für die betroffene Person unbestimmte Anzahl von Gesellschaften der X-Group weiter gegeben werden können, wird das informationelle Selbstbestimmungsrecht tangiert.
5. Zudem verstösst diese Formulierung auch gegen den Grundsatz von Treu und Glauben und das Transparenzprinzip von Art. 4 Abs. 2 DSG. Demnach muss jede Form der Bearbeitung, also auch die Weitergabe von Personendaten nach Treu und Glauben erfolgen und für die betroffene Person erkennbar sein. Dass die X-Bank AG nicht gewillt ist, alle in Frage kommenden Datenempfänger bekannt zu geben, zeigt sich auch daran, dass sie sich bei der Offenlegung lediglich auf die im Geschäftsbericht der X-Group aufgeführten Gesellschaften beschränkt, andere Datenempfänger jedoch offenbar bewusst nicht bekannt geben möchte (s. o. Ziffer I.5.).
6. Die X-Bank AG verkennt, dass das Transparenzprinzip als fundamentaler datenschutzrechtlicher Grundsatz nicht erst im Zeitpunkt einer allfällig verlangten Auskunftserteilung seine Wirkung zu entfalten hat, sondern bereits ab dem Moment der Aufnahme der Bearbeitung von Personendaten uneingeschränkt berücksichtigt werden muss.
III. Aufgrund dieser Erwägungen empfiehlt der Eidg. Datenschutzbeauftragte: 1. Die X-Bank AG übernimmt die unter Ziffer I.3. erwähnte Formulierung zur Datenbearbeitung für die Kontoeröffnungsanträge. 2. Die X-Bank AG teilt dem Eidg. Datenschutzbeauftragten innerhalb von 30 Tagen seit Erhalt dieser Empfehlung mit, ob sie die Empfehlung annimmt oder ablehnt. Wird diese Empfehlung nicht befolgt oder abgelehnt, so kann der Eidg. Datenschutzbeauftragte die Angelegenheit der Eidg. Datenschutzkommission zum Entscheid vorlegen.
3. Diese Empfehlung wird der X-Bank AG mitgeteilt.
DER EIDGENÖSSISCHE DATENSCHUTZBEAUFTRAGTE Der Beauftragte:
O. Guntern