Direkte Übermittlung von Informationen an die SEC

(Übersetzt von DeepL)

In einem Memorandum vom 25. Juni 2021 äußert sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte zur Rechtmäßigkeit der Übermittlung personenbezogener Daten an die Securities and Exchange Commission (SEC) durch Schweizer Unternehmen, die bei dieser US-Behörde registriert sind.

Die SEC hatte den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten im Dezember 2020 kontaktiert, um zu erfahren, ob und unter welchen Bedingungen Schweizer Unternehmen ihr im Rahmen ihrer Aufsicht personenbezogene Daten übermitteln dürfen. Auch wenn das Memorandum nicht darauf eingeht, kann man sich vorstellen, dass die SEC befürchtete, dass Schweizer Unternehmen sich auf den Datenschutz berufen könnten, um nicht uneingeschränkt mit ihr zusammenzuarbeiten.

Der Beauftragte erinnert zunächst an den Wortlaut von Art. 42c des FINMAG. Diese Bestimmung regelt die Bedingungen, unter denen die Beaufsichtigten Informationen direkt an ausländische Finanzmarktaufsichtsbehörden weitergeben dürfen. Eine dieser Bedingungen besteht in der Gewährleistung der Rechte von Kunden und Dritten, insbesondere ihres Rechts auf Datenschutz (siehe FINMA-Rundschreiben 2017/6, Rz. 30).

Der Beauftragte prüft daher, ob die Übermittlung von Daten an die SEC dem schweizerischen Datenschutzrecht entspricht, insbesondere den Vorschriften über die grenzüberschreitende Übermittlung von Daten (Art. 6 DSG).

Art. 6 Abs. 2 DSG unterwirft die Übermittlung personenbezogener Daten ins Ausland in einen Staat, der nicht über eine Gesetzgebung verfügt, die ein angemessenes Schutzniveau gewährleistet, alternativen Bedingungen. Da die Vereinigten Staaten über kein solches Schutzniveau verfügen, prüft der Datenschutzbeauftragte, ob eine der in Art. 6 Abs. 2 DSG vorgesehenen Bedingungen erfüllt ist.

In erster Linie ist eine solche Mitteilung gültig, wenn die betroffene Person frei darin einwilligt. Wenn die Person ohne Einwilligung benachteiligt wird, kann diese dennoch gültig sein, wenn zwei kumulative Bedingungen erfüllt sind : (1) Es muss eine Beziehung zwischen der Benachteiligung und dem Zweck der Verarbeitung bestehen und (2) die Benachteiligung darf nicht offensichtlich unverhältnismäßig sein.

Im vorliegenden Fall macht die Tatsache, dass der Person jegliche vertragliche Beziehung verweigert wird, wenn sie ihre Zustimmung nicht gibt, die Zustimmung in den Augen des Datenschutzbeauftragten nicht ungültig. Tatsächlich kann ein Schweizer Unternehmen seine Dienstleistungen nicht Kunden anbieten, die der Übermittlung ihrer Daten an die SEC nicht zustimmen würden. Es besteht also ein Zusammenhang zwischen der Zustimmung und dem vom Schweizer Unternehmen verfolgten Zweck, und der Nachteil ist für die Kunden nicht unverhältnismäßig. Im Gegenteil, für die Arbeitnehmer kann die Einwilligung nicht frei gegeben werden, da der daraus resultierende Nachteil im Verlust ihres Arbeitsplatzes bestünde. Dieser Nachteil wäre somit unverhältnismäßig.

Die Einwilligung muss in Kenntnis der Sachlage gegeben werden, d. h. die betroffene Person muss darüber informiert worden sein, dass ihre Daten an die SEC übermittelt werden können. Darüber hinaus kann die Einwilligung jederzeit widerrufen werden. Schließlich kann laut Datenschutzbeauftragten bei einer Vertragsauflösung die Einwilligung nicht mehr als Rechtfertigungsgrund für eine Datenübermittlung dienen.

In einem zweiten Schritt gilt die Übermittlung ins Ausland auch, wenn „die Bearbeitung in direktem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht und die bearbeiteten Daten die Vertragspartei betreffen“ (Art. 6 Abs. 2 lit. c DSG).

Der Datenschutzbeauftragte ist der Ansicht, dass diese Bedingung im vorliegenden Fall grundsätzlich erfüllt ist, auch nach der Kündigung des Vertrags. Dennoch kann die betroffene Person (Kunde oder Mitarbeiter) über überwiegende private Interessen verfügen. Das Schweizer Unternehmen muss daher von Fall zu Fall analysieren, ob solche überwiegenden privaten Interessen bestehen, bevor es die Daten an die SEC übermittelt. Darüber hinaus nimmt der Beauftragte ausdrücklich keine Stellung zur Vereinbarkeit der Datenübermittlung mit dem Strafrecht, insbesondere unter dem Gesichtspunkt des Bankgeheimnisses (Art. 47 BankG).

Drittens ist die Weitergabe ins Ausland zulässig, wenn ein überwiegendes öffentliches Interesse besteht (Art. 6 Abs. 2 lit. d DSG). Da die FINMA der Ansicht ist, dass Art. 42c des FINMAG die direkte Übermittlung von Informationen an die SEC ausdrücklich zulässt, leitet der Datenschutzbeauftragte daraus auch ab, dass grundsätzlich ein überwiegendes öffentliches Interesse besteht. Wie beim Vertrag muss der für die Datenverarbeitung Verantwortliche jedoch noch prüfen, ob die betroffene Person über überwiegende private Interessen verfügen kann.

In einem zweiten Teil prüft der Beauftragte, ob die Übermittlung an die SEC die anderen Bestimmungen des DSG einhält, insbesondere die Grundsätze von Treu und Glauben und der Erkennbarkeit (Art. 4 Abs. 2 und 4 DSG). Der Beauftragte ist der Ansicht, dass die Unternehmen die betroffenen Personen im Voraus über die mögliche Übermittlung ihrer Daten an die SEC informieren müssen, sie aber nicht informieren dürfen, nachdem sie diese auf Anfrage konkret an die SEC übermittelt haben.

Schließlich betont der Beauftragte in Bezug auf die Geheimhaltungspflicht, deren Verletzung strafbar ist (Art. 35 DSG), dass diese Bestimmung einen begrenzten Anwendungsbereich hat. Sie bezieht sich nur auf sensible Daten. Finanzdaten sind jedoch an sich keine sensiblen Daten. Obwohl die überarbeitete Fassung dieser Norm alle personenbezogenen Daten betrifft (Art. 62 nDSG), sollte diese Norm nicht gelten, wenn die Kommunikation den Datenschutz respektiert.

Diese Stellungnahme des Beauftragten wird von Vasella auf datenrecht.ch kritisiert. Dieser Autor betont insbesondere, dass die Zustimmung nach Beendigung eines Vertragsverhältnisses bestehen bleiben kann, wenn die Allgemeinen Geschäftsbedingungen dies ausdrücklich vorsehen. Darüber hinaus stellt er fest, dass, wenn die Kommunikation in direktem Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags steht, es nicht mehr erforderlich ist, zu prüfen, ob noch ein mögliches überwiegendes privates Interesse besteht, entgegen der Behauptung des Beauftragten.

Der Beauftragte betont, dass sich seine Prüfung auf das Schweizer Recht beschränkt und das europäische Recht nicht abdeckt. In Bezug auf die Übermittlung von Daten an die SEC unter dem Gesichtspunkt der DSGVO (Datenschutz-Grundverordnung) ist das Information Commissioner’s Office (britische Datenschutzbehörde) der Ansicht, dass das öffentliche Interesse eine solche Übermittlung zulässt (Art. 49 Abs. 1 lit. d DSGVO). Wenn diese Behörde weder die Möglichkeit der Einwilligung noch die der Vertragserfüllung erwähnt, lässt sich dies wahrscheinlich durch den europäischen Ansatz erklären, der viel strenger ist als der unsere (siehe EDPB, Guidelines 05/2020 on consent under Regulation 2016/679, N 13 und 30).