Übermittlung von Mitarbeiterdaten an US-Behörden

Verschiedene Banken haben Dokumente an US-Behörden übermittelt, welche Namen, E-Mail-Adressen und Telefonnummern von aktuellen und ehemaligen Mitarbeitenden sowie Drittpersonen enthielten. Wir haben deshalb bei fünf betroffenen Banken eine Sachverhaltsabklärung durchgeführt und danach Empfehlungen erlassen, die die Banken zu einer transparenteren Vorgehensweise verpflichten.

Mehrere Schweizer Banken hatten im Rahmen von laufenden Verhandlungen mit den US-Behörden Dokumente, die das Geschäft mit US-Kunden betreffen, an die dortigen Behörden übermittelt. In den Unterlagen waren auch die Namen von aktuellen und ehemaligen Mitarbeitenden sowie Dritten enthalten. Mehrere dieser betroffenen Personen haben sich an uns gewandt, und nachdem bekannt wurde, dass weitere Datenübermittlungen bevorstehen, haben wir zur Klärung der datenschutzrechtlichen Fragen im August 2012 eine Sachverhaltsabklärung eingeleitet. Ziel dieses Verfahrens war, einen Überblick über die erfolgten Übermittlungen zu erhalten, um beurteilen zu können, ob es zu Persönlichkeitsverletzungen gekommen war bzw. wie die betroffenen Personen zu mehr Schutz gelangen können.

Im Rahmen der Sachverhaltsabklärung haben wir mit dem Staatssekretariat für internationale Finanzfragen, der FINMA und dem Bundesamt für Justiz Gespräche geführt. Dabei wurden uns die Überlegungen erläutert, die zu den Beschlüssen des Bundesrates betreffend Kooperation der Banken mit US-Behörden geführt haben. Wir haben auch die betroffenen Banken empfangen. In einem ersten Schritt haben wir sie zum Schutz der betroffenen Personen zu einem transparenten Verhalten gegenüber den Mitarbeitenden angehalten. Dementsprechend haben sich die Banken verpflichtet, die Mitarbeitenden während der laufenden Abklärungen vor jeder weiteren Dokumentenlieferung an US-Behörden zu informieren, falls darin ihre Namen enthalten sein sollten. Weiter mussten die Banken danach einerseits einen Fragenkatalog beantworten und uns andererseits Unterlagen zustellen, die das Verfahren der Übermittlungen und die Information der Mitarbeitenden aufzeigen. Bei einzelnen Banken haben wir auch noch einen Augenschein vor Ort vorgenommen, um uns das Verfahren zur Auswahl der Unterlagen und das Informations- und Einsichtsverfahren für die Mitarbeitenden vorführen zu lassen.

Aufgrund der eingereichten Unterlagen, der dazugehörigen Erläuterungen und der verschiedenen involvierten Bundesorgane sind wir zum Schluss gekommen, dass eine Übermittlung aufgrund überwiegender öffentlicher Interessen nachvollzogen werden kann. Es wurde uns glaubhaft dargelegt, dass den Banken ernsthafte Konsequenzen drohten, wenn sie der durch die US-Behörden geforderten Übermittlung nicht nachkämen. Wir haben demnach in unseren Empfehlungen das überwiegende öffentliche Interesse bejaht, das als Voraussetzung für eine Bekanntgabe von Personendaten in ein Land mit ungenügendem Datenschutzniveau geltend gemacht wurde. Gleichzeitig haben wir aber klar aufgezeigt, dass die Banken bei den bisherigen Übermittlungen nicht in allen Punkten datenschutzkonform vorgegangen sind. So haben nicht alle Institute sämtliche betroffenen Personen über die bevorstehende Übermittlung informiert. Auch wurde nicht allen Personen Einsicht in die sie betreffenden übermittelten Dokumente gewährt. Aus diesem Grund haben wir in unseren Empfehlungen die Banken in Bezug auf die bereits erfolgten Datenlieferungen dazu verpflichtet, den betroffenen Personen (aktuelle und ehemalige Mitarbeitende sowie externe Dritte) das Auskunftsrecht zu gewähren. Bei jeder zukünftigen Datenlieferung an US-Behörden müssen die Banken die betroffenen Personen im Voraus über Umfang und Art der Dokumente, die übermittelt werden sollen, sowie über den Zeitraum, aus dem sie stammen, informieren. Auch ehemalige Mitarbeitende und externe Dritte sind zu informieren, sofern dies mit einem verhältnismässigen Aufwand möglich ist.

Die Banken müssen den betroffenen Personen danach eine angemessene Frist gewähren, innert der diese Auskunft über sämtliche, sie betreffenden Dokumente erhalten können. Spricht sich die Person nach dieser Auskunft gegen die Übermittlung der Dokumente aus, die ihren Namen enthalten, wird die Bank eine Interessenabwägung für den konkreten Einzelfall vornehmen. Will eine Bank die Dokumente trotzdem mit dem Namen des Betroffenen übermitteln, muss sie ihn darüber informieren und über seine Rechte aufklären.

Alle involvierten Banken haben unsere Empfehlungen angenommen.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/20--taetigkeitsbericht-2012-2013/uebermittlung-von-mitarbeiterdaten-an-us-behoerden.html