Skip to content

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 03.06.2014

3 giugno 2014·Deutsch·CH·Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz·PDF·5,228 parole·~26 min·1
Vedi originale su entscheidsuche.ch

Riassunto

Schlussbericht vom 3. Juni 2014 betreffend Risikomanagementsystem eines Finanzdienstleisters

Testo integrale

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB

Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch

A2014.05.12-0010 12.05.2014

Schlussbericht vom

3. Juni 2014

zur Abklärung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäss Art. 29 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1)

betreffend die Datenbearbeitung im Zusammenhang mit der Datensammlung

von

AG

A2014.05.12-0010

I

Inhaltsverzeichnis

Inhaltsverzeichnis .................................................................................................................................. I

1. Ausgangslage der Abklärung .......................................................................................................... 1

2. Umfang der Kontrolle ........................................................................................................................ 1

3. Chronologie der Kontrolle ................................................................................................................ 1

4. Sachverhalt: Sachverhaltsfeststellung vom 9. August 2013 ........................................................ 2

5. Vorbemerkungen ............................................................................................................................... 2

6. Bankenrechtliche Beurteilung ......................................................................................................... 3

6.1 Einführung ......................................................................................................................................... 3 6.2 Gesetzliche Grundlagen .................................................................................................................... 3 6.3 Bewilligung zum Geschäftsbetrieb .................................................................................................... 3 6.3.1 Organisation und Überwachung der Geschäftsführung ................................................................. 4 6.3.2 Organisationsanforderungen im weiteren Sinne – Risikomanagement im Konzern...................... 4 6.4 Beurteilung ........................................................................................................................................ 5

7. Datenschutzrechtliche Beurteilung ................................................................................................. 5

7.1 Einführung ......................................................................................................................................... 5 7.2 Personendaten, besonders schützenswerte Personendaten und Persönlichkeitsprofile ................. 6 7.2.1 Ausgangslage ................................................................................................................................. 6 7.2.2 Beurteilung ..................................................................................................................................... 7 7.3. Zweck der Datenbearbeitung ........................................................................................................... 8 7.3.1 Ausgangslage ................................................................................................................................. 8 7.3.2 Beurteilung ..................................................................................................................................... 8 7.4 Rechtmässigkeit der Datenbeschaffung ........................................................................................... 8 7.4.1 Ausgangslage ................................................................................................................................. 8 7.4.2 Beurteilung ..................................................................................................................................... 8 7.5 Bearbeitung nach Treu und Glauben / Transparenz ......................................................................... 8 7.5.1 Ausgangslage ................................................................................................................................. 8 7.5.2 Beurteilung ................................................................................................................................... 10 7.5.2.1 Transparenz, Erkennbarkeit und Bearbeitung nach Treu und Glauben in ....................... 10 7.5.2.2 Informationspflicht bei der Bearbeitung von besonders schützenswerte Daten ....................... 10 7.6 Verhältnismässigkeit der Datenbearbeitung ................................................................................... 11 7.6.1 Ausgangslage ............................................................................................................................... 11 7.6.1.1 Verhältnismässigkeit in inhaltlicher Hinsicht – Ausgangslage .................................................. 12 7.6.1.2 Beurteilung der inhaltlichen Verhältnismässigkeit ..................................................................... 12 7.6.2.1 Verhältnismässigkeit in zeitlicher Hinsicht – Ausgangslage ..................................................... 12 7.6.2.2 Beurteilung der zeitlichen Verhältnismässigkeit ........................................................................ 13 7.7. Zweckbindung der Datenbearbeitung ............................................................................................ 13 7.7.1 Ausgangslage ............................................................................................................................... 13 7.7.2 Beurteilung ................................................................................................................................... 14 7.8 Anmeldung der Datensammlung ..................................................................................................... 14

A2014.05.12-0010

II

7.9 Richtigkeit der Daten ....................................................................................................................... 14 7.9.1 Ausgangslage ............................................................................................................................... 14 7.9.2 Beurteilung ................................................................................................................................... 14

8. Schlussfolgerungen ........................................................................................................................ 15

8.1 Fazit ................................................................................................................................................. 15 8.2 Verfahren und weiteres Vorgehen .................................................................................................. 15

A2014.05.12-0010

1/16

1. Ausgangslage der Abklärung

Im Verlauf des Jahres 2012 wurde der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (nachfolgend: EDÖB) auf Medienberichte aufmerksam gemacht, in denen von einer angeblich datenschutzwidrigen und geheimen Datenbank AG (nachfolgend: ) namens (nachfolgend: ) die Rede war. Darin seien Personendaten über Kunden, Mitarbeiter und Dritte, zum Teil ohne deren Kenntnis, gespeichert. Dies hat den EDÖB dazu veranlasst, bei der eine Sachverhaltsabklärung gemäss Artikel 29 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1) durchzuführen und die Datensammlung auf die Konformität mit dem DSG zu überprüfen.

2. Umfang der Kontrolle

Die Sachverhaltsabklärung beschränkt sich auf die Analyse der Applikation und der dazugehörenden Datensammlung. Besonderes Augenmerk wird dabei auf die Bearbeitungsprozesse und ihre Rechtmässigkeit gelegt. Bezüglich der Frage der Datensicherheit beschränkt sich die Abklärung auf die grundsätzliche Umsetzung des DSG bzw. dessen Verordnung. Aus Gründen der Praktikabilität wurde auf eine vertiefte Analyse der Datensicherheit verzichtet. Beim Augenschein wurden zum einen die Antworten der auf den Fragenkatalog des EDÖB vom 12. November 2012 besprochen. Zum anderen wurde uns das Testsystem von vorgeführt.

Der Schlussbericht und die darin enthaltenen Erwägungen basieren ausschliesslich auf der definitiven Sachverhaltsfeststellung vom 9. August 2013, den Stellungnahmen sowie der von ihr zugestellten Dokumentation.

3. Chronologie der Kontrolle

07.05.2012

Schreiben an mit Bitte um Stellungnahme zum Artikel 15.05.2012

Zustellung einer ersten Dokumentation zu durch 13.11.2012

Ankündigung der Sachverhaltsabklärung mit Fragenkatalog

A2014.05.12-0010

2/16

21.12.2012

Fristgerechtes Eintreffen der Antworten und Beilagen 27.03.2013

Augenschein in den Räumlichkeiten 09.08.2013

Sachverhaltsfeststellung 23.09.2013

Stellungnahme zur Sachverhaltsfeststellung vom 09.08.2013

08.11.2013

Übernahme der von vorgeschlagenen Änderungen, sofern sie keine rechtliche Beurteilung beinhalteten

02.12.2013 Gegenzeichnung der Sachverhaltsfeststellung vom 09.08.2013 durch

03. 06. 2014 Schlussbericht

4. Sachverhalt: Sachverhaltsfeststellung vom 9. August 2013

5. Vorbemerkungen

Artikel 12 und 13 DSG legen die Voraussetzungen fest, unter denen die Bearbeitung von Personendaten durch Private rechtmässig ist. Wer im privaten Bereich Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen (Art. 12 Abs. 1 DSG). Gemäss Art. 12 Abs. 2 DSG darf er insbesondere nicht:

a. Personendaten entgegen den Grundsätzen der Art. 4, 5 Abs. 1 und 7 Abs. 1 DSG bearbeiten; b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten; c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekannt geben.

In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Art. 12 Abs. 3 DSG).

Das Bundesgericht hat im Entscheid BGE 136 II 508 vom 8. September 2010, in Erwägung 5.2.4, zu den Rechtfertigungsgründen betreffend Art. 12 Abs. 2 lit. a DSG Folgendes festgehalten: Eine strikt systematische Auslegung, wonach lediglich bei lit. b. und c, nicht aber bei lit. a von Art. 12 Abs. 2 DSG das Geltendmachen eines Rechtfertigungsgrunds zulässig sein soll, erweist sich als verfehlt. Art. 12 Abs. 2 lit. a DSG ist daher so auszulegen, dass eine Rechtfertigung der Bearbeitung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG zwar nicht generell ausgeschlossen ist, im konkreten Fall aber nur mit grosser Zurückhaltung bejaht werden kann.

Mit Blick auf den vorliegenden Schlussbericht bedeutet dies, dass – falls Personendaten entgegen den oben aufgeführten Grundsätzen bearbeitet – Rechtfertigungsgründe geprüft werden, deren Vorliegen aber nur mit Zurückhaltung anzunehmen ist. Um diese Beurteilung im vorliegenden Fall vornehmen zu können, müssen allfällige spezialgesetzliche Pflichten aus dem Bankenrecht berücksichtigt werden. Daher enthält dieser Bericht sowohl eine banken- wie auch eine datenschutzrechtliche Beurteilung (Ziff. 6 ff. resp. Ziff. 7 ff.).

A2014.05.12-0010

3/16

6. Bankenrechtliche Beurteilung 6.1 Einführung

Die Sachverhaltsfeststellung hat gezeigt, dass eine Datenbank zur Erfassung von sicherheitsrelevanten Ereignissen führt.

Dies hat auch Folgen für den Datenschutz, da natürliche und juristische Personen in erfasst sind Demzufolge sind die von ihr vorgenommenen sicherheitsrelevanten Datenbearbeitungen geeignet, die Persönlichkeit einer grösseren Anzahl von Personen gemäss Art. 29 Abs. 1 lit. a DSG zu verletzen (Systemfehler).

macht in dieser Hinsicht geltend, sie sei aufgrund spezialgesetzlicher Bestimmungen zu diesen Datenbearbeitungen in verpflichtet. Bei diesen handle es sich um Art. 3f des Bundesgesetzes vom 8. November 1934 über die Banken und Sparkassen (BankG; SR 952.0) und Art. 6 der Verordnung der Eidgenössischen Finanzmarktaufsicht vom 8. Dezember 2010 über die Verhinderung von Geldwäscherei und Terrorismusfinanzierung (GwV-FINMA; SR 955.033.0). Zudem richte sie sich diesbezüglich der Erfassung der Risiken nach den Vorgaben von Art. 9 Abs. 2 der Verordnung vom 17. Mai 1972 über die Banken und Sparkassen (BankV; SR 952.02). Letztendlich macht sie auch ein überwiegendes Privatinteresse zur Datenverarbeitung, i.S.v. Art. 13 Abs. 1 DSG geltend.

6.2 Gesetzliche Grundlagen

Die untersteht dem Geltungsbereich der von ihr für die Bearbeitung geltend gemachten Gesetze. Sie sind nachfolgend aufgelistet und werden im Rahmen dieses Schlussberichts berücksichtigt:

 Bundesgesetz vom 8. November 1934 über die Banken und Sparkassen (BankG; SR 952.0);  Verordnung vom 17. Mai 1972 über die Banken und Sparkassen (BankV; SR 952.02);  Verordnung der Eidgenössischen Finanzmarktaufsicht vom 8. Dezember 2010 über die Verhinderung von Geldwäscherei und Terrorismusfinanzierung (GwV-FINMA; SR 955.033.0);

Eine Auslegung dieser Bestimmungen ist erforderlich, um die Absicht des Gesetzgebers und der verantwortlichen Regulierungsbehörden im Gebiet der Sicherheit und Organisation von Finanzkonzernen zu eruieren. Die nachfolgende rechtliche Beurteilung berücksichtigt auch die einschlägigen Rundschreiben der FINMA, welche den regulatorischen Rechtsrahmen setzt. Bei der Verwendung von technischen Begriffen aus dem Gebiet der Risikobearbeitung stützt sich dieser Bericht auf den ISO- Standard 3100:2009.

Nachfolgend wird geprüft, ob die erwähnten spezialgesetzlichen Bestimmungen eine Bearbeitung im Sinne von Art. 12 Abs. 2 DSG rechtfertigen (vgl. BGE 136 II 508, E.5.2.4).

6.3 Bewilligung zum Geschäftsbetrieb

Art. 3 BankG unterstellt die Banktätigkeit dem Erfordernis einer Bewilligung (Polizeierlaubnis).

A2014.05.12-0010

4/16

Massgebende Bewilligungsvoraussetzungen im Rahmen dieser Abklärung werden insbesondere in Art. 3 Abs. 2 lit. a und c sowie Art 3f BankG aufgeführt. Diese Bestimmungen nennen als dauernd einzuhaltende Bewilligungsvoraussetzungen Organisationsanforderungen sowie Gewährspflichten.

6.3.1 Organisation und Überwachung der Geschäftsführung

Gestützt auf Art. 3 Abs. 2 lit. a BankG ist die funktionelle wie personelle Trennung der strategischen Leitung (Verwaltungsrat) von der operationellen Führung (Geschäftsleitung) im Bankwesen eine der Voraussetzungen dafür, dass die Geschäftsleitung die effektive Überwachung der Geschäftsführung wahrnehmen kann (Art. 3 Abs. 2 lit. a in fine BankG).

Aus dieser Aufsichtspflicht leitet sich das Gebot zur internen Überwachung von Risiken ab, die mit der Geschäftstätigkeit der Bank zusammenhängen. Diese Kontrolle muss dem überwachten Bereich angepasst sein. In Sachen Risikoüberwachung heisst das, dass sie sich mit Rücksicht auf Grösse, Komplexität, Struktur und Risikoprofil 1 des Instituts gestalten muss 2 .

6.3.2 Organisationsanforderungen im weiteren Sinne – Risikomanagement im Konzern

Die Pflicht zur internen Risikoüberwachung ist in Art. 3f Abs. 2 BankG und Art. 14a Abs. 1 BankV vorgesehen. Daraus geht hervor, dass Finanzgruppen so organisiert sein müssen, dass sie insbesondere alle wesentlichen Risiken erfassen, begrenzen und überwachen können. Wie dies in den Grundzügen geschehen soll, ist in Art. 14a Abs. 1 BankV sowie im FINMA-Rundschreiben 2008/24 „Überwachung und interne Kontrolle Banken“ definiert. Letzteres sieht z.B. vor, dass eine in die Gesamtorganisation des Instituts einzugliedernde Kontrolle auch von Bereichen, die unabhängig von den ertragsorientierten Geschäftsaktivitäten der Bank sind, zu schaffen ist 3 . Das bedeutet, dass in Anbetracht der beträchtliche Risikoexposition 4 die Anforderungen an, die Organisation der Bank im Risikobereich umso grösser sind. Die interne Kontrolle von Risiken 5 muss eine effiziente Überwachung der Geschäftsführung auf Konzernebene ermöglichen, um den gesetzlichen Organisationsanforderungen gewachsen zu sein.

Praktisch heisst das, dass geeignete Prozesse und Risikoüberwachungssysteme für die Identifikation, Messung, Bewertung, Beurteilung und Kontrolle der durch das Institut eingegangenen finanziellen und nichtfinanziellen Risiken eingesetzt werden müssen 6 . Aus dem Gesagten geht zum einen hervor, dass Risikomanagement alle Prozesse und Verhaltensweisen umfasst, die darauf ausgerichtet sind, eine Organisation bezüglich Risiken zu steuern 7 und zum anderen, dass Risikomanagement Bestandteil einer modernen Konzernführung und -organisation ist. Überdies ist es sogar eine gesetzliche Pflicht für Finanzgruppen. So sieht Art. 9 Abs. 2 BankV ausdrücklich ein Risikomanagement vor, mit dem insbesondere Markt-, Kredit-, Ausfall-, Abwicklungs-, Liquiditäts- und Imagerisiken sowie operationelle und rechtliche Risiken erfasst, begrenzt und überwacht werden sollen.

Weniger spezifisch ist die Generalklausel von Art. 3f Abs. 1 BankG, die die Gewährspflicht umschreibt. Vorgesehen ist, dass diejenigen Personen der Finanzgruppe, die mit der Geschäftsführung einerseits

1 Gemäss ISO 3100:2009: Beschreibung und Struktur einer Anzahl von Risiken. 2 FINMA-RS 2008/24, Rz 9. 3 a.a.O., Rz 113. 4 Gemäss ISO 3100:2009: Zustand, in dem Menschen, Sachen oder die Umwelt einer oder mehreren Gefahren ausgesetzt sind. 5 FINMA-RS 2008/24, Rz 9. 6 a.a.O., Rz 81. 7 ISO 31000:2009, Ziff. 2.2.

A2014.05.12-0010

5/16

und der Oberleitung, Aufsicht und Kontrolle andererseits betraut sind, einen guten Ruf geniessen und Gewähr für eine einwandfreie Geschäftstätigkeit bieten müssen. Durch das Einfallstor des Risikomanagements bietet Art. 3f Abs. 1 BankG sodann die Möglichkeit auch die weniger greifbaren ethischen und rechtspolitischen Anforderungen an die Bankenaufsicht zu erfassen 8 . Insofern diente z.B. diese Bestimmung vor Erlass des Bundesgesetzes über die Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung im Finanzsektor vom 10. Oktober 1997 (RS 955.0; GwG) der Konkretisierung von Massnahmen gegen die Geldwäscherei 9 . Heute wird die globale Erfassung von mit Geldwäscherei und Terrorismusfinanzierung zusammenhängenden Rechts- und Reputationsrisiken explizit in Art. 6 Abs. 1 GwV-FINMA vorgeschrieben.

6.4 Beurteilung

Wir kommen in dieser Hinsicht zum Schluss, dass das Zusammenspiel der von der geltend gemachten Bestimmungen die gesetzliche Grundlage für den Einsatz eines konzernweiten und globalen Risikomanagements bildet. Die Implementierung von und der darin erfolgenden Datenbearbeitungen ist gerechtfertigt, da sie der Gewährleistung der operativen Umsetzung des Risikomanagements dienen.

Aus diesen Bestimmungen kann jedoch kein Rechtfertigungsgrund für die Bearbeitung von Personendaten entgegen den Datenschutzgrundsätzen im Sinne von Art. 12 abs. 2 lit. a DSG abgeleitet werden. Sie stellen zwar Spezialnormen dar, die Vorrang gegenüber dem allgemeinen Gesetz geniessen, in diesem Fall vor dem DSG. Nur sehen sie inhaltlich keine gegenteilige Regelung zu Art. 12 abs. 2 lit. a DSG vor.

Folglich ist eine weitere Prüfung der Datenschutzkonformität der Bearbeitungen erforderlich.

7. Datenschutzrechtliche Beurteilung 7.1 Einführung

In werden Personendaten bearbeitet, die in Verbindung mit einem sicherheitsrelevanten Ereignis stehen. Ein ereignisunabhängiger Eintrag in ist gemäss nicht möglich.

Aus dem bankenrechtlichen Teil dieses Berichts geht hervor, dass gesetzliche Grundlagen die Verwendung von zum Zwecke des Risikomanagements rechtfertigen. Ob ein überwiegendes Privatinteresse i.S.v. Art. 13 DSG vorhanden ist, braucht somit nicht geprüft zu werden.

8 BSK BankG WINZELER, Art. 3, N 25. 9 a.a.O.

A2014.05.12-0010

6/16

7.2 Personendaten, besonders schützenswerte Personendaten und Persönlichkeitsprofile 7.2.1 Ausgangslage

Das DSG findet dort Anwendung, wo Personendaten i.S.v. Art. 3 lit. a DSG bearbeitet werden. Als Personendaten gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare (natürliche oder juristische) Person beziehen. Bestimmbar ist die Person, wenn aufgrund zusätzlicher Informationen auf sie geschlossen werden kann 10 . Gestützt auf Art. 3 lit. c DSG sind besonders schützenswerte Personendaten Daten über:

1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, 2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, 3. Massnahmen der sozialen Hilfe, 4. administrative oder strafrechtliche Verfolgungen und Sanktionen.

Bei können zu folgenden Personenkategorien, die mit in irgendeiner Art und Weise interagieren, Personendaten erhoben werden:

 Mitarbeiter,  Kunden,  Lieferanten/Subunternehmer,  und andere Personenkategorien.

Unter „andere Personenkategorien“ sind gemäss sämtliche Personen, welche nicht in eine der oben aufgeführten Kategorien fallen, zu verstehen;

Identifikationsdaten:

Individuelle Daten:

Zusätzliche Daten:

10 BGE 136 II 508 E. 3.2.

A2014.05.12-0010

7/16

Besonders schützenswerte Daten:

Gemäss werden mittels keine Persönlichkeitsprofile erstellt.

7.2.2 Beurteilung

Im vorliegenden Fall ist unbestritten, dass detaillierte Informationen über Personen i.S.v. Art. 3 lit. a DSG in bearbeitet werden. Auch die Bearbeitung von besonders schützenswerte Daten i.S.v. Art. 3 lit. c DSG ist offensichtlich. Betreffend Persönlichkeitsprofile i.S.v. Art. 3 lit. d DSG stellt sich jedoch auf den Standpunkt, dass keine solchen in erstellt werden.

Obwohl die heutigen technischen Möglichkeiten die Schaffung von Persönlichkeitsprofilen sehr leicht machen, wird auf die Erklärung der es würden keine Persönlichkeitsprofile in erstellt, abgestützt. Eine unabhängige Schlussfolgerung des EDÖB in dieser Hinsicht setzte eine forensische Datenanalyse von voraus, was den Rahmen dieser Sachverhaltsabklärung sprengen würde.

Zusammenfassend kann festgehalten werden, dass die in bearbeiteten Daten stets einen Bezug zu einer bestimmten Person aufweisen. Damit gelten sie als Personendaten i.S.v. Art. 3 lit. a DSG. Insbesondere müssen gemäss Art. 14 DSG betroffene Personen informiert werden, wenn über sie besonders schützenswerte Personendaten bearbeitet werden (siehe dazu Ziff. 7.5 ff.). Diese Informationspflicht gilt nicht nur für die Beschaffung von besonders schützenswerten Personendaten, sondern auch, wenn Daten beschafft werden, die sich erst zu einem späteren Zeitpunkt zu einem Persönlichkeitsprofil verdichten.

Da der zufolge in keine systematische Verwendung von AHV-Nummern stattfindet, ist keine Meldung an die Zentrale Ausgleichsstelle (ZAS) im Sinne von Art. 134ter Abs. 1 der Alters- und Hinterlassenenversicherung vom 31.10.2012 (SR 831.101; AHVV) erforderlich.

A2014.05.12-0010

8/16

7.3. Zweck der Datenbearbeitung 7.3.1 Ausgangslage

Personendaten dürfen nur für den Zweck bearbeitet werden, welcher bei der Beschaffung angegeben worden ist oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Der Verwendungszweck der Daten muss also bereits bei der Datenbeschaffung feststehen und die Daten dürfen nicht zu anderen Zwecken verwendet werden.

7.3.2 Beurteilung

Der von angegebene Zweck der Datenbearbeitung in betrachten wir zusammengefasst als Risikomanagement (siehe Ziff. 6.3.2). Aus den bankenrechtlichen Erwägungen (siehe Ziff. 6 ff.) ergibt sich, dass ein Risikomanagement in diesem Fall gesetzlich vorgeschrieben ist.

7.4 Rechtmässigkeit der Datenbeschaffung 7.4.1 Ausgangslage

In werden Personendaten im Sinne des Datenschutzgesetzes erfasst, für deren Bearbeitung ein Rechtfertigungsgrund benötigt wird (Art. 12 und 13 DSG).

Als Rechtfertigung der Datenbearbeitung stützt sich die im vorliegenden Fall auf folgende Bestimmungen:

 Art. 3 Abs. 2 lit. a und c BankG i.V.m. Art. 3f BankG  Art. 9 BankV  Art. 6 GwV-FINMA

7.4.2 Beurteilung

Die erwähnten bankenrechtlichen Bestimmungen rechtfertigen eine Datenbearbeitung respektive Datenbeschaffung zwecks Risikomanagement (siehe Ziff. 6 ff.).

7.5 Bearbeitung nach Treu und Glauben / Transparenz 7.5.1 Ausgangslage

Transparenz und Information der betroffenen Personen in Bezug auf die Beschaffung und Verwendung der Daten bilden die eigentlichen Eckpfeiler einer datenschutzkonformen Datenbearbeitung 11 .

Die Bearbeitung von Personendaten muss nach Treu und Glauben erfolgen (Art. 4 Abs. 2 DSG). Daten sollen nicht in einer Art erhoben und bearbeitet werden, mit der die betroffene Person aus den

11 Botschaft DSG, BBl 2003 2126.

A2014.05.12-0010

9/16

Umständen heraus nicht rechnen musste und mit der sie nicht einverstanden gewesen wäre. Gegen diesen Grundsatz verstösst beispielsweise derjenige, der Daten nicht offen bearbeitet, ohne dabei gegen eine Rechtsnorm zu verstossen 12 . Demzufolge muss eine Datenbearbeitung für die betroffenen Personen transparent erfolgen. Dies bedeutet gemäss Art. 4 Abs. 4 DSG, dass für betroffene Personen die Datenbeschaffung und jede weitere Datenbearbeitung 13 , der Zweck jeder (weiteren) Datenbearbeitung, die Identität des Datenbearbeiters und – bei einer Datenbekanntgabe an Dritte – die Kategorien von möglichen Datenempfängern erkennbar sein müssen 14 . Auch die Beschaffung von Personendaten bei Dritten muss erkennbar sein 15 .

Die Anforderungen, welche an die Erkennbarkeit gestellt werden, sind nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen 16 . Unter dem Gesichtspunkt der Verhältnismässigkeit ist zu prüfen, in welchem Mass die betroffene Person auf die wesentlichen Rahmenbedingungen der Beschaffung aufmerksam gemacht werden muss, welche Mittel dem Inhaber der Datensammlung zur Verfügung stehen, um diese Rahmenbedingungen erkennbar zu machen, und in welchem Umfang von ihm erwartet werden kann, dass er diese Mittel auch einsetzt, namentlich unter Berücksichtigung ihrer Kosten und ihrer Wirksamkeit. Zu berücksichtigen sind ferner die in der Branche oder für die betreffende Art von Transaktionen geltenden Usanzen. Für die einfachen Transaktionen des täglichen Lebens, die so geartet sind, dass die Beschaffung und ihr Zweck sowie die Identität des Inhabers der Datensammlung für die betroffene Person auf Anhieb leicht und deutlich erkennbar sind, bringt Art. 4 Abs. 4 DSG keine neue Verpflichtung mit sich. Ist eine Beschaffung auf Grund der Umstände hingegen weniger deutlich erkennbar, muss die betroffene Person umso eher mit angemessenen Mitteln auf die Erhebung und ihre wesentlichen Rahmenbedingungen aufmerksam gemacht werden. Im Internet ist ein Hinweis auf dem Eingangsportal in einer genügend sichtbaren Rubrik, der auf weitere Angaben zur Beschaffung und Verwendung der Daten verweist, in den meisten Fällen ein einfaches und angemessenes Informationsmittel 17 .

Werden Daten aus allgemein zugänglichen Quellen beschafft und hat die betroffene Person deren Bearbeitung nicht ausdrücklich untersagt (Art. 12 Abs. 3 DSG), so sind grundsätzlich keine weiteren Massnahmen bezüglich Gewährleistung der Erkennbarkeit der Beschaffung und Bearbeitung nötig.

Über die in bearbeiteten Personendaten, respektive besonders schützenswerten Daten, wird ausserhalb eines Auskunftsbegehrens nicht informiert. D.h., dass bei der Erhebung, Beschaffung usw. von Personendaten und weiteren Datenbearbeitungen die betroffenen Personen keine Kenntnis davon erhalten, dass Daten zu ihrer Person in einer sicherheitsrelevanten Datenbank gespeichert werden.

nimmt diesbezüglich für sich in Anspruch, dass bei die Informationspflicht gestützt auf Art. 14 Abs. 4 und Abs. 5 DSG i.V.m. Art. 9 Abs. 1 und 4 DSG entfällt.

12 Botschaft DSG, BBl 1988 II 449. 13 BSK-DSG, MAURER-LAMBROU/STEINER, Art. 4 N 8. 14 Botschaft DSG BBl 2003 2125. 15 a.a.O., 2126. 16 a.a.O., 2125. 17 a.a.O., 2126.

A2014.05.12-0010

10/16

7.5.2 Beurteilung 7.5.2.1 Transparenz, Erkennbarkeit und Bearbeitung nach Treu und Glauben in

Im Folgenden ist zu prüfen, inwieweit den Anforderungen von Art. 4 Abs. 2 und 4 DSG in Bezug auf Transparenz und Erkennbarkeit der in vorgenommenen Datenbearbeitung Rechnung trägt.

bestreitet nicht, dass sie diesen Anforderungen bezüglich nicht nachkommt. Eine allfällige Information über die Datenbearbeitung sieht erst vor, wenn bei ihr ein Auskunftsbegehren geltend gemacht wird. Die Anforderungen an die Erkennbarkeit und die Bearbeitung nach Treu und Glauben setzen jedoch voraus, dass, unabhängig vom Tätig werden eines Auskunftsersuchenden, auf die wesentlichen Rahmenbedingungen der Beschaffung aufmerksam gemacht werden muss.

Zusammenfassend geht aus den vorhergehenden Ausführungen hervor, dass die Erkennbarkeit der Bearbeitung von Personendaten in nicht gewährleistet ist und somit die Grundsätze in Art 4 Abs. 2 und 4 DSG verletzt werden.

Änderungsvorschlag 1: Die informiert die Allgemeinheit auf klare Weise über den Einsatz von und dessen Zweck (insbesondere mittels Webseite und/oder AGB). Sie macht die Informationen einfach zugänglich.

7.5.2.2 Informationspflicht bei der Bearbeitung von besonders schützenswerte Daten

Weiterhin unbestritten ist die Tatsache, dass die besonders schützenswerte Daten in bearbeitet (siehe Ziff. 7.2 ff.). Personen, die von solch einer Datenbearbeitung betroffen sind, müssen zwingend im Sinne von Art. 14 DSG informiert werden. Um sich bei der Bearbeitung von besonders schützenswerten Personendaten auf ein Entfallen der Informationspflicht berufen zu können, müssen die strengen Voraussetzungen von Art. 14 Abs. 4 erfüllt sein. Das heisst in Fällen, in denen die Daten nicht bei der betroffenen Person beschafft worden sind: a. und die Bearbeitung der Daten ausdrücklich im Gesetz vorgesehen ist; b. oder die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist, ist eine Information nicht erforderlich.

Im Fall von sieht keine Bestimmung ausdrücklich vor, dass besonders schützenswerte Personendaten bearbeitet werden müssen. Die in Art. 14 Abs. 4 lit. a DSG vorgesehene Ausnahme kommt somit nicht zum Tragen.

Allerdings ist es vorstellbar, dass in gewissen Situationen die nicht oder nur mit unverhältnismässigem Aufwand informieren könnte. Insofern muss zwischen drei Personenkategorien unterschieden werden: Die erste betrifft Personen, die kein Vertragsverhältnis zur haben (nachfolgend: erste Kategorie). Die zweite betrifft Personen die ein vertragliches Verhältnis zur unterhalten, jedoch keine Kunden sind (nachfolgend: zweite Kategorie). Und die dritte Kategorie betrifft -Kunden (nachfolgend: dritte Kategorie).

A2014.05.12-0010

11/16

Werden besonders schützenswerte Daten zu einer Person der ersten Kategorie nicht bei dieser selbst beschafft sondern über Dritte, kann davon ausgegangen werden, dass das Einhalten ihrer Informationspflichten für die einen unverhältnismässigen Aufwand darstellen würde. Dies ist aber nur in den Fällen zu bejahen, bei denen die über keine Kontaktangaben der betroffenen Personen verfügt und diese nur mit einem unverhältnismässigen Aufwand beschaffen könnte. In diesen Fällen entfällt die Informationspflicht i.S.v. Art. 14 Abs. 4 lit. b DSG.

Bei den anderen zwei Kategorien kann indes auch ohne unverhältnismässigen Aufwand informiert werden, da entweder ein Kundenvertrag oder ein anderes Vertragsverhältnis, die Person zur bindet und die Bank dementsprechend über die nötigen Kontaktangaben verfügt, um ihren Informationspflichten nachzukommen. In diesen Fällen bleibt die Informationspflicht bestehen.

Weiter ist zu prüfen ob die Ausnahmetatbestände von 14 Abs. 5 i.V.m. Art. 9 Abs. 1 und 4 DSG zur Verweigerung, Einschränkung oder Aufschiebung der Information erfüllt sind. Dafür muss die Bank von Fall zu Fall überprüfen, ob ein Gesetz im formellen Sinn die genannten Möglichkeiten tatsächlich vorsieht.

Ein überwiegendes Interesse Dritter, die Informationspflicht gemäss Art. 14 Abs. 5 i.V.m. Art. 9 Abs. 1 lit. b DSG einzuschränken, zu verweigern oder aufzuschieben können wir mangels Substantiierung dieses Arguments nicht bejahen. Aus demselben Grund kann letztlich auch kein überwiegendes Interesse der im Sinne von Art. 14 Abs. 5 i.V.m. Art. 9 Abs. 4 DSG angenommen werden.

Zusammenfassend geht aus dem oben Gesagten hervor, dass die Information bei der Bearbeitung von besonders schützenswerten Daten von Personen der zweiten und dritten Kategorie zwingend stattfinden muss.

7.6 Verhältnismässigkeit der Datenbearbeitung 7.6.1 Ausgangslage

Die Bearbeitung von Personendaten hat sich am Grundsatz der Verhältnismässigkeit auszurichten (Art. 4 Abs. 2 DSG). Verhältnismässigkeit bedeutet, dass ein Datenbearbeiter nur diejenigen Daten bearbeiten darf, die zur Erreichung eines bestimmten Zwecks objektiv geeignet und tatsächlich erforderlich sind, und dass die Nachteile, die mit der Bearbeitung verbunden sind, in einem angemessenen Verhältnis zu den Vorteilen stehen müssen. Die Datenbearbeitung muss für die betroffene Person sowohl hinsichtlich ihres Zwecks als auch hinsichtlich ihrer Mittel zumutbar sein (d.h. verhältnismässig i.e.S.). Dazu muss geprüft werden, ob zwischen dem Bearbeitungszweck und einer im Hinblick darauf nötigen (d.h. durch die Art und Weise der Bearbeitung gegebenenfalls bewirkte) Persönlichkeitsbeeinträchtigung ein vernünftiges Verhältnis besteht 18 . Es hat also eine Abwägung von Zweck und Wirkung des Eingriffs stattzufinden und es ist zu prüfen, ob nicht ein milderes Mittel ebenso zum Ziel führt. Die Prüfung der Verhältnismässigkeit verlangt eine Gesamtwürdigung aller Umstände.

18 Botschaft DSG, BBl 1988 II 450. Änderungsvorschlag 2: Die in Ziff. 7.5.2.2 beschriebenen Personenkategorien Zwei (Vertragsverhältnis zur und Drei (Kunden der müssen bei der Bearbeitung von besonders schützenswerten Daten in in geeigneter Art und Weise informiert werden.

A2014.05.12-0010

12/16

Im Folgenden wird die Verhältnismässigkeit der Datenbearbeitung in inhaltlicher sowie zeitlicher Hinsicht untersucht.

7.6.1.1 Verhältnismässigkeit in inhaltlicher Hinsicht – Ausgangslage

Eine Datenbearbeitung ist dann verhältnismässig, wenn sie inhaltlich auf das absolut Notwendige beschränkt wird, um ein bestimmtes Ziel zu erreichen. Die inhaltliche Verhältnismässigkeit fordert einen möglichst schonenden Umgang mit Personendaten. Dies bedingt auch, dass keine für den verfolgten Zweck nicht benötigten Überschussinformationen anfallen dürfen. Ebenso ist es unzulässig, Personendaten auf Vorrat zu erheben, sofern der damit verfolgte Zweck dies nicht unabdingbar erfordert 19 .

7.6.1.2 Beurteilung der inhaltlichen Verhältnismässigkeit

Für eine inhaltlich verhältnismässige Datenbearbeitung ist grundlegend, dass ein Eintrag nur vorgenommen wird, wenn ein sicherheitsrelevantes Ereignis vorliegt.

Allerdings ist die von vorgenommene Begriffsbestimmung des sicherheitsrelevanten Ereignisses dermassen unbestimmt, dass sie momentan den Eintrag nahezu jedes beliebigen Lebenssachverhalts ohne Rücksicht auf die Verhältnismässigkeit zulässt.

Änderungsvorschlag 3: Der Begriff des sicherheitsrelevanten Ereignisses soll präziser umschrieben werden.

7.6.2.1 Verhältnismässigkeit in zeitlicher Hinsicht – Ausgangslage

Das Erfordernis der Verhältnismässigkeit begrenzt die Datenbearbeitung auch in zeitlicher Hinsicht. Sofern personenbezogene Daten für den verfolgten Zweck nicht mehr gebraucht werden, sind sie zu vernichten oder zu anonymisieren. Dabei ist eine frühestmögliche Löschung/Anonymisierung vorzusehen.

19 BGE 125 II 473 E. 4.b S. 476.

A2014.05.12-0010

13/16

7.6.2.2 Beurteilung der zeitlichen Verhältnismässigkeit

Die Dauer der Speicherung von Personendaten und die vorgesehenen Löschungsmechanismen in erfüllen so, wie sie aktuell vorgesehen sind nicht die Vorgaben einer in zeitlicher Hinsicht verhältnismässigen Datenbearbeitung. Die aktuelle Speicherungsdauer und die Löschungsmechanismen sind zwar geeignet und zweckmässig, um die von verfolgten Zielen zu erreichen, jedoch scheitert das aktuelle Löschkonzept bei der Prüfung der Erforderlichkeit.

Die hat aber in diesem Belangen bereits Anpassungen geplant, die der Verhältnismässigkeit der Bearbeitung in zeitlicher Hinsicht besser Rechnung trägt

Änderungsvorschlag 4: Die in der beschriebenen Systemanpassungen sind innert einem Jahr ab Annahme des Änderungsvorschlags operativ umzusetzen.

7.7. Zweckbindung der Datenbearbeitung 7.7.1 Ausgangslage

Personendaten dürfen nur für den Zweck bearbeitet werden, welcher bei der Beschaffung angegeben worden ist oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Der Verwendungszweck der Daten muss bereits bei der Datenbeschaffung ersichtlich sein oder sonst feststehen. Ein Sammeln und weiteres Bearbeiten von Daten – quasi auf „Vorrat“ – ohne dass ein bestimmter Zweck feststeht oder angegeben wird, ist unzulässig. Wird vom ursprünglich angegebenen oder aus den Umständen ersichtlichen Zweck abgewichen, sind die betroffenen Personen darüber zu informieren. Die Zweckbindung der Datenbearbeitung ist auch bei Weitergabe der Daten einzuhalten.

A2014.05.12-0010

14/16

7.7.2 Beurteilung

Die Organisation der , die ihr zugrunde liegenden Berechtigungskonzepte sowie die datenschutzrechtlichen Vorgaben bzw. Weisungen, die innerhalb der gelten, weisen auf eine zweckgebundene Datenbearbeitung von Personendaten in hin.

7.8 Anmeldung der Datensammlung

Da die Ausnahmebedingung von Art. 11a Abs. 5 lit. e DSG in diesem Fall erfüllt ist, kann von einer Anmeldung der Datensammlung beim EDÖB abgesehen werden.

7.9 Richtigkeit der Daten 7.9.1 Ausgangslage

Gestützt auf Art. 5 Abs. 1 DSG hat sich wer Personendaten bearbeitet, über deren Richtigkeit zu vergewissern. Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind.

7.9.2 Beurteilung

hat eine höhere Sorgfaltsplicht bei der Benutzung ihrer externen respektive öffentlich zugänglichen Quellen an den Tag zu legen, insbesondere bei der Datenbeschaffung aus dem Internet. Die Richtigkeit von Informationen aus dem Internet ist vielmals nicht verifizierbar. Verwendet unwissentlich falsche Informationen, kann dies negative Konsequenzen für die betroffene Person haben. Auch ist es für diese schwierig, die verbreiteten Informationen zu widerlegen.

Auch bei der Inanspruchnahme der Dienstleistungen von Kreditauskunfteien ist verstärkt auf die Datenqualität zu achten.

A2014.05.12-0010

15/16

Basierend auf dieser Sachverhaltsabklärung besteht kein Anlass daran zu zweifeln, dass die alle angemessenen Massnahmen ergriffen hat, um die Richtigkeit der bearbeiteten Personendaten in zu gewährleisten. Wir kommen zum Schluss, dass die von der geschilderten Prozesse zur Gewährleistung der Datenrichtigkeit angemessen sind i.S.v. Art. 5 Abs. 1 DSG.

8. Schlussfolgerungen 8.1 Fazit

Die durchgeführte Datenschutzkontrolle konnte dem EDÖB einen vertieften Einblick in liefern. Die von der zugestellten Unterlagen und Dokumente haben es dem EDÖB erlaubt, die damit verbundene Datenbearbeitung auf die Einhaltung der Datenschutzbestimmungen zu überprüfen. Die Datenschutzkontrolle hat gezeigt, dass nicht in allen Aspekten datenschutzkonform verläuft. Wo Änderungen vorgenommen werden müssen, hat dies der EDÖB mit Begründung erläutert. Die im Rahmen der Sachverhaltsabklärung angehörten Beteiligten zeigten durchwegs eine der Sache angemessene Sensibilität für datenschutzrechtliche Fragen. Wir sind überzeugt, dass die vorgeschlagenen Verbesserungen zur Erhöhung des Datenschutzniveaus beitragen, ohne die Funktionalität und Praktikabilität des Systems unangemessen zu beeinträchtigen.

8.2 Verfahren und weiteres Vorgehen

Der vorliegende Kontrollbericht enthält eine Reihe von Feststellungen sowie Änderungsvorschlägen, welche vom EDÖB auf Basis der durchgeführten Kontrolle verfasst wurden. Der Bericht wird zur Kenntnisnahme zugestellt. Innert Frist von 30 Tagen nach Zustellung hat dem EDÖB mitzuteilen, ob ihrerseits allfällige Bemerkungen dazu vorliegen und ob sie die Änderungsvorschläge akzeptiert. Sollte sich nach der Stellungnahme erweisen, dass keine Einigung über die im Schlussbericht enthaltenen Änderungsvorschlägen erzielt werden kann, wird zum Abschluss der Sachverhaltsabklärung eine Empfehlung erlassen. Werden die Empfehlungen nicht akzeptiert oder umgesetzt, kann der EDÖB die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).

Es besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für die vorliegende Art der Datenerhebung zu sensibilisieren und sie insbesondere über die erfolgte Datenschutzkontrolle bei und die diesbezüglichen Ergebnisse zu informieren. Gestützt auf Art. 30 Abs. 2 DSG wird der EDÖB daher den vorliegenden Kontrollbericht in einer angepassten Version publizieren. Die Publikation erfolgt unter dem Vorbehalt, dass keine Daten, die aus Sicht vertraulich sind, Geschäftsgeheimnisse offenbaren oder die Konkurrenzfähigkeit beeinflussen könnten, bekannt gegeben werden. wird daher aufgefordert, den Schlussbericht auf solche vertraulichen Inhalte hin zu prüfen und dem EDÖB mit Frist von 30 Tagen entsprechend schriftlich Rückmeldung zu erstatten.

A2014.05.12-0010

16/16

Mit freundlichen Grüssen

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Der Beauftragte Verfahrensleitender Jurist

Hanspeter Thür Quentin Van Beek

schlussbericht_betreffendrisikomanagementsystemeinesfinanzdienst — Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 03.06.2014 — Swissrulings