Übermittlung von Zahlungsdaten an US-amerikanische Behörden

Die Übermittlung von Personendaten durch Postfinance an ein Bankinstitut auf amerikanischem Staatsgebiet muss auf einem Rechtfertigungsgrund beruhen, und die betroffene Person muss angemessen informiert werden. Auf unser Einschreiten hin hat Postfinance ihre Praxis angepasst und Massnahmen vorgeschlagen, die unseren Bemerkungen Rechnung tragen.

Ein Kunde erteilte Postfinance über Yellownet den Auftrag, eine bestimmte Summe in amerikanischen Dollars auf das Konto eines kubanischen Reiseveranstalters bei einer Bank in Zürich zu überweisen. Das Postkonto des Kunden wurde mit dem fraglichen Betrag belastet, die kubanische Firma hat ihn jedoch nicht erhalten. Auf Anfrage des Kunden antwortete ihm Postfinance, dass seine Überweisung von den US-amerikanischen Behörden wegen des gegen Kuba verhängten Embargos blockiert werde und dass sich der Betrag auf einem Konto des Finanzministeriums (U.S. Department of Treasury) befinde. Diese Situation erkläre sich dadurch, dass Geschäfte in ausländischen Währungen über ein Bankinstitut im Ausland liefen, in diesem Fall ein US-amerikanisches Bankinstitut, das der Gesetzgebung der Vereinigten Staaten unterstellt und laut diesen Vorschriften verpflichtet sei, sämtliche Finanzgeschäfte mit Verbindung zu Kuba zu melden. Der Kunde wies Postfinance darauf hin, dass seine Überweisung zwei Finanzinstitute mit Sitz in der Schweiz (Postfinance und die Bank in Zürich) betreffe und dass auf der Website von Yellownet nirgends erwähnt sei, dass Transaktionen in ausländischen Währungen innerhalb der Schweiz über einen anderen Staat erfolgen könnten.

Auf Ersuchen der betroffenen Person haben wir die von Postfinance im Zusammenhang mit dieser Angelegenheit vorgenommenen Bearbeitungen von Personendaten analysiert. Das Bundesgesetz über den Datenschutz ist auf die Übermittlung von Personendaten durch Postfinance an die Bank in den Vereinigten Staaten anwendbar. Spätere Datenweiterleitungen durch diese Bank an die US-amerikanischen Behörden sind dagegen nicht der schweizerischen, sondern der US-Gesetzgebung unterstellt. Postfinance ist nur zur Übermittlung von Personendaten an die amerikanische Bank befugt, wenn ein Rechtfertigungsgrund vorliegt. Unter einem Rechtfertigungsgrund versteht man die Einwilligung der betroffenen Person, ein überwiegendes öffentliches oder privates Interesse oder ein Gesetz. Im vorliegenden Fall kommen zwei Rechtfertigungsgründe in Betracht: die Einwilligung der betroffenen Person oder ein überwiegendes privates Interesse. Nur eine freiwillig erteilte und aufgeklärte Einwilligung ist indessen auch gültig. So muss die betroffene Person umfassend aufgeklärt sein über die Liste der Daten, die übermittelt werden sollen, und auch darüber, dass sie in einen Staat übermittelt werden, der nicht über eine Datenschutzgesetzgebung verfügt, die derjenigen der Schweiz gleichwertig ist. Die Person muss auch darüber informiert werden, dass der Empfänger der Daten auf Grund der in dem betreffenden Staat geltenden Gesetzgebung verpflichtet sein könnte, diese Daten an die Behörden auszuliefern. Abgesehen von der Einwilligung der betroffenen Person kann Postfinance auch ein überwiegendes privates Interesse an der Übermittlung der für die Erfüllung des mit ihrem Kunden abgeschlossenen Vertrags notwendigen Daten an die Bank geltend machen. Das Erfordernis der Transparenz – das sich aus dem Grundsatz von Treu und Glauben ableiten lässt – erfordert jedoch eine angemessene Information, insbesondere wenn die Persönlichkeitsrechte des Betroffenen erheblich gefährdet sein könnten, weil kein dem in der Schweiz garantierten System gleichwertiger Datenschutz vorhanden ist. Im vorliegenden Fall haben wir festgestellt, dass die Information nicht ausreichend war. Überdies muss für regelmässige Übermittlungen an einen Empfänger in einem Staat ohne gleichwertige Gesetzgebung der Lieferant der Personendaten mittels eines Vertrags mit dem Empfänger ein Datenschutzniveau garantieren, das dem nach der schweizerischen Gesetzgebung gewährleisteten Schutz gleichwertig ist.

Auf Grund der Ergebnisse unserer Analyse haben wir Postfinance ersucht, die betroffenen Personen sachgemäss zu informieren und über einen Vertrag mit dem Empfänger sicherzustellen, dass die übermittelten Daten in angemessener Weise bearbeitet werden. Als Antwort auf unsere Aufforderung schlug Postfinance Massnahmen vor, die unseren Bemerkungen Rechnung tragen. Postfinance übermittelt der Bankverbindung im Ausland lediglich den Betrag der Transaktion, den Namen und die Kontonummer der Empfängerbank in der Schweiz sowie eine Referenznummer. Wird eine Transaktion gesperrt, greift Postfinance bei den ausländischen Behörden ein, sobald sie von der betroffenen Person eine Vollmacht erhalten hat. Zur Information der Betroffenen wird Postfinance im Rahmen der nächsten Anpassungen bei den allgemeinen Geschäftsbedingungen die Datenschutzklausel ändern.

[Juli 2006]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/13--taetigkeitsbericht-2005-2006/uebermittlung-von-zahlungsdaten-an-us-amerikanische-behoerden.html