Auslagerung von pseudonymisierten Bankkundendaten ins Ausland

Im Rahmen der Konsultation der eidgenössischen Finanzmarktaufsicht (FINMA) im Jahr 2013 zur Teilrevision des Rundschreibens «operationelle Risiken Banken» (2008/21) haben wir unsere Position bezüglich der Pseudonymisierung von Personendaten und die damit verbundenen Folgen im Bankwesen erläutert.

Im Verlauf des Berichtsjahrs hat die FINMA uns darauf hingewiesen, dass Diskrepanzen zwischen der Umsetzung ihres Rundschreibens 2008/7 «Outsourcing Banken» in der Praxis und der Position des EDÖB bestehen. Ein Grossteil der beaufsichtigten Finanzinstitute in der Schweiz sei der Meinung, dass keine Verpflichtung bestehe, ihre Kunden über vorgenommene Auslagerungen ihrer Personendaten in pseudonymisierter Form speziell zu informieren. Die Branche vertrete nämlich die Auffassung, dass diese Daten nicht dem Geltungsbereich des Datenschutzgesetzes (DSG) unterstehen.

Diese Position beruht auf einer divergierenden Auslegung des Begriffs der Bestimmbarkeit von Personen, deren Daten pseudonymisiert wurden. Das Datenschutzgesetz sieht nämlich vor, dass alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, Personendaten sind. Die Vertreter der Finanzindustrie kommen zum Schluss, dass pseudonymisierte Daten keine Personendaten im Sinne des DSG seien, weil sie keine Rückschlüsse auf bestimmte bzw. bestimmbare Personen zuliessen. Beliebige Drittpersonen, die in den Besitz der Daten gelangen, verfügten nämlich nicht über die nötigen Informationen, um eine Reidentifikation durchzuführen. Bei dieser Argumentation werden die Daten aus Sicht des Empfängers der Pseudonyme qualifiziert, wobei davon ausgegangen wird, dass dieser nicht in der Lage ist, die erhaltenen Daten den betreffenden Personen zuzuordnen. Würde man dieser Auslegung folgen, könnte man das DSG schlicht und einfach durch technische Massnahmen aushebeln, was nicht mit dem Willen des Gesetzgebers vereinbar ist.

Um die technische Sachlage zu verstehen, ist eine klare Begriffsbestimmung vorzunehmen. Pseudonymisierte Personendaten sind Daten, bei denen mittels eines spezifischen Vorganges sämtliche Elemente, die eine Identifizierung ermöglichen, durch einen neutralen Identifikator (nämlich ein Pseudonym) ersetzt werden. Dieses Pseudonym wird parallel in einer separaten Korrespondenztabelle zusammen mit den Identifizierungselementen gespeichert und ermöglicht es den Berechtigten, eine Verknüpfung mit der betroffenen Person herzustellen, die dadurch bestimmbar im Sinne des DSG wird. Diese Methode hat zur Folge, dass derart pseudonymisierte Daten gegenüber allen Personen, die keinen Zugang zur Korrespondenztabelle haben, als nicht identifizierbar gelten. Obschon durch den Pseudonymisierungsvorgang der direkte Bezug zu einer Person für jemanden, der keine Identifizierungsmöglichkeiten besitzt, beseitigt wird, bleibt die Bestimmbarkeit seitens des Inhabers der Korrespondenztabelle bestehen.

In diesem Fall kann eine Bank zum Beispiel ihre Korrespondenztabelle geschützt in der Schweiz aufbewahren und die pseudonymisierten Bankkundendaten ins Ausland auslagern. Es stellt sich demnach die Frage, aus wessen Gesichtspunkt die massgebende Qualifikation betreffend die Bestimmbarkeit der betroffenen Personen (der sogenannte Beurteilungshorizont) zu prüfen ist: exklusiv aus Sicht des Datenempfängers (A), exklusiv aus Sicht des Datenlieferanten (B) oder braucht es eine alternative Würdigung (C)? Das DSG ist je nach gewähltem Anknüpfungspunkt anwendbar oder nicht. Bei Variante A ist eine Reidentifikation kaum mehr möglich, weshalb die ausgelagerten Informationen aus Sicht des Datenempfängers nicht mehr als Personendaten qualifiziert werden können und das DSG somit nicht anwendbar ist. Bei Variante B kommt man zur gegenteiligen Schlussfolgerung. Bei Variante C geht man von einer alternativen Sichtweise aus. Das heisst, dass die Beurteilung entweder aus Sicht der auslagernden Bank oder des Datenempfängers erfolgen kann. Bei dieser Variante ist das DSG immer anwendbar.

Das DSG enthält selbst keinen ausdrücklichen Hinweis betreffend den zum Tragen kommenden Beurteilungshorizont. Der Gesetzgeber hat aber die rasante technologische Entwicklung im digitalen Bereich erkannt und bewusst ein technisch neutrales Gesetz geschaffen, das mit den Entwicklungen des modernen Zeitalters mithalten und auf alle Sachverhalte Anwendung finden kann, die Persönlichkeitsrechte gefährden. Darüber hinaus hat das Bundesgericht unsere Position im Logistep-Entscheid (BGE 136 II 508) bestätigt (vgl. unseren 18. Tätigkeitsbericht 2010/2011, Ziff. 1.3.5). Darin hat das Bundesgericht die Voraussetzungen festgesetzt, aus welchem Blickwinkel die Qualifikation der Bestimmbarkeit zu erfolgen hat, und wendet diesbezüglich die sogenannte alternative Betrachtungsweise an.

Aus dem zuvor Gesagten geht hervor, dass das Datenschutzgesetz bei Auslagerungen von Bankkundendaten ins Ausland zur Anwendung kommt, was gewisse Verpflichtungen für die auslagernden Banken begründet. Gemäss FINMA-RS 2008/7 «Outsourcing Banken» (Rz. 35) müssen die Kunden mit einem besonderen Schreiben detailliert über die Auslagerung informiert werden. Zudem muss den Kunden bei solch einer Konstellation die Möglichkeit gewährt werden, die strittige Klausel ohne Nachteile abzulehnen (Opt-out) oder das Vertragsverhältnis abzubrechen. Dies erachten wir heutzutage im Bereich des elektronischen Finanzdatenverkehrs, wo ein latentes Risiko der Datenmanipulation und des unerlaubten Zugriffs besteht, als zwingend. Aus diesem risikobasierten Ansatz leitet sich weiterhin die Verantwortung der Finanzinstitute ab, die Erkennbarkeit dieser Art von Bearbeitungen gegenüber den betroffenen Personen zu garantieren, damit sie ihre informationellen Selbstbestimmungsrechte unvermindert geltend machen können.

Bezüglich des zu wählenden Informationsgefässes sieht das DSG keine Vorgaben vor. Eine ausführliche und präzise Information in den allgemeinen Geschäftsbedingungen (AGB) der Bank, auch betreffend die Risiken der Auslagerung, ist denkbar unter der Voraussetzung, dass der Kunde auch anderweitig informiert wird und keine Globalübernahme der AGB im Vertragswerk stattfindet. Wie oben erwähnt, muss für den Kunden diesbezüglich die Möglichkeit bestehen, ein Opt-out zu tätigen. Das heisst, dass die Bank dem Kunden eine angemessene Frist gewähren muss, innert welcher der Kunde die strittige AGB-Klausel verwerfen oder seinen Vertrag ohne Nachteile kündigen kann. Andernfalls scheitert die Einwilligung des Kunden am Tatbestandsmerkmal der Freiwilligkeit. Wird innert der angesetzten Frist kein Opt-out getätigt, kann eine stillschweigende Einwilligung des Kunden angenommen werden. Sind besonders schützenswerte Personendaten oder Persönlichkeitsprofile von der Auslagerung ins Ausland betroffen, muss zwingend eine ausdrückliche Einwilligung (Opt-in) eingeholt werden. Solange dies nicht erfolgt ist, bleibt die Auslagerungsklausel ungültig.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/22--taetigkeitsbericht-2014-2015/auslagerung-von-pseudonymisierten-bankkundendaten-ins-ausland.html