{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2012-10-15", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20121015----Empfehlu_2012-10-15.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/9RSieAwHwXRu/20121015%20%20-%20Empfehlung%20an%20die%20HSBC%20Private%20Bank%20Suisse%20SA.pdf", "Checksum": "2a894aa8a06b47bcb9ae92a40fbe4b83"}, "Scrapedate": "2026-04-05", "Num": ["20121015  - Empfehlung an die HSBC Private Bank Suisse SA"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 15.10.2012"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 15.10.2012"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 15.10.2012"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Empfehlung vom 15. Oktober 2012 an die HSBC Private Bank Suisse SA"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:12:05", "Checksum": "62378cdf8f2694d28ff8ba0e7bd47766", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 15.10.2012\nRegeste:\nEmpfehlung vom 15. Oktober 2012 an die HSBC Private Bank Suisse SA\n\n1.6. Die betroffenen Banken haben die verlangten Dokumente geliefert und auf die entsprechenden Fragen geantwortet. In den Fällen, in denen die Unterlagen nicht aus-\n2/11\nreichten, um die Sachverhaltsfeststellung durchzuführen, wurde zudem ein Augenschein vor Ort durchgeführt.\n\n2. Sachverhalt die einzelne Bank betreffend:\n\nDie HSBC reichte dem EDÖB mit Datum vom 24. August und vom 10. September die\nverlangten Unterlagen ein und beantwortete den Fragekatalog. Nach der Auswertung der\nUnterlagen und Fragen lässt sich der Sachverhalt somit wie folgt feststellen:\n\n2.1. Die Bank hat aufgrund eines Schreibens des Departement of Justice (DOJ) Geschäftsunterlagen zum US-Geschäft, in denen Mitarbeiternamen und Namen von\nDritten enthalten waren, übermittelt. Dieser Schritt sei unternommen worden, da sich\ndie Bank durch unkooperatives Verhalten zweifellos erheblichen Risiken ausgesetzt\nhätte.\n\n2.2. In einem ersten Schritt seien alle Dokumente nur über Amts- und Rechtshilfeverfahren übermittelt worden. Bis vor dem 4. April 2012 waren somit sämtliche Personendaten in den Dokumenten geschwärzt. Diese Unterlagen hätten den Forderungen\nder US-Behörden jedoch nicht genügt, weshalb in einem zweiten Schritt, ab dem 4.\nApril 2012, den US-Behörden dann Personendaten von Mitarbeitenden und Dritten\nübermittelt worden seien. Zuerst sei der Index der anonymisierten Personen übermittelt worden. Die US-Behörden hätten sich jedoch geweigert, die Dokumente in diesem Rahmen zu akzeptieren, weshalb Ende Mai 2012 die gleichen Dokumente ohne\nAbdeckung der Mitarbeiterdaten übermittelt worden seien.\n\n2.3. Die Unterlagen, die an die US-Behörden übermittelt worden seien, hätten verschiedene Kategorien von Dokumenten enthalten. Die HSBC habe mit Hilfe ihrer US-\nAnwälte die Kategorien der Dokumente selektioniert, die von den US-Behörden verlangt worden seien. Danach seien die Dokumente durch die US-Kanzlei gesichtet\nund auf die relevanten Dokumente reduziert worden. Es seien weder besonders\nschützenswerten Daten noch Persönlichkeitsprofile übermittelt worden.\n\n2.4. Für die Information habe die HSBC eine Hotline und eine E-Mail Adresse eingerichtet, mittels derer die Mitarbeitenden sich melden konnten, wenn sie wissen wollten,\nob sie in den übermittelten Unterlagen erscheinen. Sie hätten danach einen Termin\nabmachen können, um die Unterlagen, die ihren Namen enthalten, durchzuschauen.\nDie Mitarbeitenden seien über diese Möglichkeiten durch zwei E-Mails, die an alle\nMitarbeitenden versendet wurden, informiert worden. Zwischen dem 19. April und\ndem 14. August 2012 habe die Bank 5 E-Mails versendet, die über den Ablauf dieses Prozesses informiert hätten. Bei zukünftigen Übermittlungen würden nur die tatsächlich betroffenen Personen informiert werden.\n\n2.5. Da sich der Sachverhalt aus den Informationen, die die HSBC dem EDÖB zugestellt\nhatte, nicht vollständig und klar feststellen liess, führte der EDÖB am 25. September\n2012 einen Augenschein bei der Bank vor Ort durch. Empfangen wurde der EDÖB\ndurch die zuständigen Personen der Bank sowie der von HSBC beigezogenen Anwaltskanzlei. Die Fragen des EDÖB bezogen sich vor allem auf die Triage der Dokumente, die Information der Mitarbeitenden und das Auskunftsrecht. Die HSCB\n\n3/11\nbzw. die zuständige Person, stellte mittels einer Präsentation den Prozess zur Auswahl der übermittelten Daten vor.\n\n2.6. Aufgrund der Forderung des DOJ hätten zuerst US-Anwälte angegeben, welche Dokumente relevant seien. HSBC selektionierte mit Hilfe von Suchwörtern die Dokumente. Es würde sich sowohl um elektronische Dokumente, wie auch um Archivdaten auf Papier handeln. Die Dokumente seien sodann vor allem manuell bearbeitet\nworden. Nicht für das US-Geschäft relevante Daten seien geschwärzt (auch einzelne\nPassagen) worden. Alle Kundendaten seien anonymisiert worden (betraf alle Daten,\ndie direkt oder indirekt dazu führen könnten, dass der Kunde identifiziert werden\nkann). Sämtliche ehemalige und jetzige Mitarbeitende und Dritte seien markiert und\nmit einem Code in einer internen Datensammlung abgelegt worden. Dieser Vorgang\nwürde der Identifizierung und der Suche von Dokumenten dienen, wenn betroffene\nPersonen ihr Auskunftsrecht geltend machen wollen. Alle relevanten Dokumente befänden sich in einer relationalen Datenbank. Auf diese Datenbank hätten drei Personen einer Consulting Firma Zugriff. Gearbeitet werde mit dem Relativity System. In\nallen Phasen seien verschiedene Stufen des Controlling und Quality Checks vorgesehen worden. Involviert in das Verfahren waren und seien eine US-Kanzlei, eine\nSchweizer Anwaltskanzlei und zwei Consulting Firmen. Die Unterlagen würden alle\nintern bei der HSBC in einem separaten, geschlossen IT-System bearbeitet. Die finale Version der zu übermittelnden Dokumente sei verschlüsselt und via FTP auf ein\nseparates System für die Speicherung auf CD kopiert worden. Diese sei danach per\nUS-Anwälte ans DOJ geliefert worden.\n\n"}