Datenschutz als Hilfe für den wirtschaftlich Berechtigten

(Übersetzt von DeepL)

Die DSGVO schützt auch Bankdaten von juristischen Personen, wenn der wirtschaftlich Berechtigte der Übermittlung der Daten an das Department of Justice widerspricht (Urteil Nr. 141/23-II-CIV vom 6. Dezember 2023 des Obersten Gerichtshofs von Luxemburg).

Eine Person ist Inhaber von Bankkonten bei der luxemburgischen Niederlassung einer Schweizer Bank. Sie ist außerdem wirtschaftlich Berechtigter einer Gesellschaft, die zwei Bankkonten bei dieser Niederlassung unterhält. Eine weitere Gesellschaft, an der die Ex-Frau und der Sohn des Kunden wirtschaftlich berechtigt sind, hat ebenfalls ein Konto bei dieser Niederlassung.

Gegen die Schweizer Bank läuft in den USA ein Strafverfahren wegen Beihilfe zur Steuerhinterziehung. Aus diesem Grund teilt sie dem Kunden mit, dass sie gezwungen ist, dem Department of Justice (DoJ) Informationen über sein Konto und die Konten der beiden Unternehmen zu liefern.

Der Kunde verklagt das zuständige luxemburgische Gericht, damit der Schweizer Bank gemäß der DSGVO untersagt wird, Daten über sein Konto und die Konten der beiden Unternehmen an das DoJ zu übermitteln. Das Gericht gab der Klage in Bezug auf das persönliche Konto in vollem Umfang statt, in Bezug auf die Konten der Gesellschaften jedoch nur in Bezug auf seine Eigenschaft als wirtschaftlich Berechtigter. Tatsächlich würden Bankdaten von juristischen Personen nach der DSGVO keinen Schutz genießen.

Der Kunde focht die Entscheidung vor dem Obersten Gerichtshof (dem höchsten Gericht in Luxemburg) an. Er argumentiert insbesondere, dass die DSGVO alle Kontoinformationen von Unternehmen schützt. Die Bank entgegnet, dass der wirtschaftlich Berechtigte gegenüber Konten, die von Gesellschaften eröffnet wurden, keine Rechte hat, da die DSGVO nur natürliche Personen, nicht aber juristische Personen schützt.

Bevor das Gericht die Frage des Datenschutzes von juristischen Personen untersucht, erinnert es daran, dass Art. 4 Abs. 1 DSGVO personenbezogene Daten als alle Informationen definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dieser Begriff wird weit ausgelegt (vgl. EuGH, C-582/14) und umfasst auch pseudonymisierte Daten (vgl. Erw. 26 DSGVO).

Im vorliegenden Fall beabsichtigt die Schweizer Bank, dem DoJ ähnliche Daten zu übermitteln, wie sie sich aus den vom DoJ im Rahmen des Swiss Banks Program erstellten Listen II.D.2 ergeben. Die Bank räumt ein, dass es sich dabei um pseudonymisierte Daten handelt, die letztendlich die Identifizierung einer Person im Rahmen eines Rechtshilfeersuchens ermöglichen. Es handelt sich also um personenbezogene Daten, die durch die DSGVO geschützt sind.

In Bezug auf den Schutz der Daten von juristischen Personen erinnert der Gerichtshof daran, dass diese nicht durch die DSGVO geschützt sind. Davon abgesehen können Daten über eine juristische Person personenbezogene Daten einer natürlichen Person darstellen. Es reicht aus, dass diese Daten die direkte oder indirekte Identifizierung der natürlichen Person ermöglichen, damit sie als personenbezogene Daten gelten.

Im vorliegenden Fall ist der Kunde der wirtschaftlich Berechtigte der ersten Gesellschaft, die Konten bei der Bank unterhält. Die Informationen über diese Konten sind geeignet, den wirtschaftlich Berechtigten zu identifizieren. Sie stellen daher persönliche Daten des wirtschaftlich Berechtigten dar. Dasselbe gilt für die Daten des Unternehmens, dessen Sohn und Ex-Frau wirtschaftlich berechtigt sind. Die Identifizierung dieser beiden Personen als wirtschaftlich Berechtigte ermöglicht nämlich die Identifizierung des Kunden.

Daher verbot das Gericht der Schweizer Bank, die Bankdaten an das DoJ weiterzuleiten, einschließlich aller Daten zu den Bankkonten der Unternehmen. Im Gegensatz zur Vorinstanz unterscheidet das Gericht nicht zwischen dem persönlichen Konto, den Konten der Gesellschaft, an der der Kunde wirtschaftlich berechtigt ist, und dem Konto der Gesellschaft, an der sein Sohn und seine Ex-Frau wirtschaftlich berechtigt sind.

In einem Urteil aus dem Jahr 2018 hatte sich das Bundesgericht auch mit der Problematik der Übermittlung pseudonymisierter Bankdaten an das DoJ befasst. Es hatte ebenfalls festgehalten, dass die in der Liste II.D.2 enthaltenen Daten pseudonymisierte Daten darstellen, die durch das DSG geschützt sind (vgl. Hirsch Célian/Jacot-Guillarmod Emilie. Les données bancaires pseudonymisées : du secret bancaire à la protection des données, RSDA 2020, S. 151-167).

Das luxemburgische Urteil scheint uns in Bezug auf den Datenschutz juristischer Personen wichtig zu sein. Denn das DSG und die DSGVO schützen nur die Daten natürlicher Personen (im Gegensatz zum aLPD, das auch die Daten juristischer Personen schützte). Davon abgesehen betreffen Unternehmensdaten auch natürliche Personen, insbesondere den wirtschaftlich Berechtigten. Nach dem hier kommentierten Urteil kann sich der wirtschaftlich Berechtigte daher auf die DSGVO (oder das DSG) berufen, um die Daten der juristischen Person zu schützen. Die Daten der Gesellschaft betreffen ihn nämlich, wenn er identifizierbar ist.

Ein solcher Schutz der Daten juristischer Personen ist in diesem Fall gerechtfertigt. Denn der Zweck der Übermittlung von Bankdaten an das DoJ besteht darin, die natürliche Person zu identifizieren, und nicht nur die kontoführenden Unternehmen. Es entsprach daher in casu dem Zweck des Datenschutzes, die DSGVO anzuwenden, um die Übermittlung von Informationen über Bankkonten, die Unternehmen gehören, zu blockieren. Davon abgesehen ist ein solcher Schutz nicht unbedingt verallgemeinerbar. Erstens ist der wirtschaftlich Berechtigte für den Datenempfänger je nach den übermittelten Daten nicht immer identifizierbar (die Register der wirtschaftlich Berechtigten sind nicht mehr öffentlich, siehe Hirsch, cdbf.ch/1259/). Der wirtschaftlich Berechtigte könnte sich daher nicht auf den Datenschutz berufen. Zweitens könnte der wirtschaftlich Berechtigte, der sich zugunsten der Gesellschaft auf das DSG beruft, einen Rechtsmissbrauch begehen (Art. 2 Abs. 2 ZGB), wenn er nicht in letzter Konsequenz auf den Schutz seiner Daten abzielt, auch wenn die Informationen über die Gesellschaft Personendaten darstellen können.