Übermittlung von Bankmitarbeiterdaten: Empfehlungen des EDÖB an fünf Banken
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Hanspeter Thür (EDÖB) hat die Lieferung von Mitarbeiterdaten von Schweizer Banken an US-Behörden unter die Lupe genommen. Er hat mehrere Sachverhaltsabklärungen durchgeführt und Empfehlungen an fünf betroffene Banken erlassen.
Im Zusammenhang mit den im Frühjahr 2012 publik gewordenen Übermittlungen von Personendaten aktueller oder ehemaliger Mitarbeiter sowie externer Dritter durch verschiedene Schweizer Banken an die USA hat der EDÖB am 17. August 2012 mehrere Sachverhaltsabklärungen eröffnet mit dem Ziel, die Einhaltung der datenschutzrechtlichen Grundsätze zu überprüfen. Von Seiten des Staatssekretariats für internationale Finanzfragen, der FINMA und des Bundesamts für Justiz liess sich der EDÖB die Sachlage darlegen. Die betroffenen Banken verpflichteten sich auf Veranlassung Thürs im September 2012 schriftlich dazu, gegenüber den Mitarbeitenden Transparenz zu schaffen, und kooperierten mit dem EDÖB bei dessen Sachverhaltsabklärungen. Wo nötig führte der EDÖB auch einen Augenschein vor Ort durch.
In seiner Empfehlung an die Adresse der Banken kann der EDÖB nun die von ihnen geltend gemachten öffentlichen Interessen als Rechtfertigungsgründe für die Übermittlung der Mitarbeiterdaten an die USA nachvollziehen. Er betont in einer generellen Abwägung aber die Notwendigkeit, die Interessen der betroffenen Mitarbeitenden an transparenter Information über bereits erfolgte und noch geplante Datenlieferungen sowie die Einsicht in die sie betreffenden Dokumente zu beachten und zu gewichten, und erlässt folgende Empfehlungen:
- Die Banken gewähren den Betroffenen das Auskunftsrecht gemäss Art. 8 DSG betreffend bereits erfolgte Datenlieferungen.
- Künftig müssen die Banken die betroffenen Personen im Voraus über Umfang und Art der Dokumente unterrichten, die geliefert werden sollen sowie über den Zeitraum, aus dem sie stammen. Damit wird ihnen ermöglicht, das Auskunftsrecht geltend zu machen.
- Spricht sich eine betroffene Person gegenüber der Bank gegen die Übermittlung ihres Namens aus, muss die Bank eine Interessenabwägung für den konkreten Einzelfall vornehmen. Wenn sie zum Schluss kommt, die Dokumente trotzdem nicht anonymisiert zu übermitteln, hat sie die betroffene Person darüber und über ihre Rechte zu informieren.
Der EDÖB hat den Banken eine Frist von 14 Tagen für eine Stellungnahme eingeräumt. Nach Ablauf dieser Frist werden die fünf Empfehlungen publiziert.
(EDÖB, 16.10.2012)
Kommission will weiteren Abklärungsbedarf prüfen
Die Geschäftsprüfungskommission des Nationalrates (GPK-N) hat einen Bericht des Bundesrates zu den Umständen seiner Beschlüsse vom 18. Januar und 4. April 2012 zur Übergabe von Bank- und Mitarbeiterdaten an die US-Behörden am 16. Oktober 2012 beraten. Sie kam dabei zum Schluss, dass die Beschlüsse des Bundesrats nach den damaligen Umständen und im Kontext der schwierigen Verhandlungen mit den US-Behörden zwar nachvollziehbar sind und keine Anhaltspunkte vorliegen, dass die Beschlüsse des Bundesrats nicht rechtmässig gewesen wären. Der Bundesrat forderte die Banken auch auf, die Rechte der Mitarbeitenden zu wahren. Die GPK-N hat jedoch beschlossen, das Geschäft nochmals vertieft im Hinblick auf allfälligen weiteren Handlungsbedarf zu überprüfen.
Am 18. Januar 2012 hatte der Bundesrat beschlossen, im Rahmen der Aufsichts-Amtshilfe in Bezug auf mehrere Banken, die im Visier der US-Behörden standen, bankinterne Daten (Bankkundendaten standen nicht zur Diskussion) sowie vorläufig anonymisierte Mitarbeiterdaten an die US-Behörden zu übermitteln. In der Folge beklagten sich die Banken, dass im Fall UBS uncodierte Dokumente übermittelt worden waren und sie sich aufgrund dieses Präjudizes nun in einer misslichen Lage befänden, weil die sich durch die Codierung ergebende Beschränkung der Amts- und Rechtshilfe beim DOJ auf Unverständnis stosse. Am 4. April 2012 erteilte der Bundesrat einzelnen Banken eine Bewilligung nach Artikel 271 des Strafgesetzbuches, in direkter Kooperation mit den US-Behörden bankinterne Daten (ohne Bankkundendaten) und, soweit erforderlich, auch Bankmitarbeiterdaten herauszugeben.
Die GPK-N beschloss am 5. September 2012 abzuklären, ob die Beschlüsse des Bundesrats Schweizer Recht verletzten. Insbesondere interessierte die Frage, ob damit Individualrechte von betroffenen Bankmitarbeitenden verletzt worden sind. Sie verlangte vom Bundesrat einen Bericht mit allen relevanten Bundesratsakten zu den entsprechenden Entscheiden.
Die GPK-N hat den Bericht des Bundesrats vom 10. Oktober 2012 an ihrer Sitzung vom 16. Oktober 2012 beraten. Die GPK-N stellte fest, dass der Bericht des Bundesrats aufzeigt, welche Entscheidgrundlagen dem Bundesrat vorlagen und welche sachlichen und politischen Erwägungen zu den Entscheiden geführt haben. Insofern erachtet sie die Entscheide für nachvollziehbar.
Der GPK-N liegen keine Anhaltspunkte vor, dass der Bundesrat mit seinen Entscheiden Recht verletzt hätte. Insbesondere erteilte der Bundesrat mit seinem Entscheid den Banken keinen Freibrief, mit der Übermittlung von Mitarbeiterdaten deren Arbeits- oder Datenschutzrechte zu verletzen.
Die GPK-N hat jedoch beschlossen, das Geschäft nochmals vertieft im Hinblick auf einen weiteren Handlungsbedarf seitens der parlamentarischen Oberaufsicht zu überprüfen und gegebenenfalls weitere Abklärungen vorzunehmen.
(GPK-N, 16.12.2012)