{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2012-10-15", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20121015----Empfehlu_2012-10-15.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/9RSieAwHwXRu/20121015%20%20-%20Empfehlung%20an%20die%20HSBC%20Private%20Bank%20Suisse%20SA.pdf", "Checksum": "2a894aa8a06b47bcb9ae92a40fbe4b83"}, "Scrapedate": "2026-04-05", "Num": ["20121015  - Empfehlung an die HSBC Private Bank Suisse SA"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 15.10.2012"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 15.10.2012"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 15.10.2012"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Empfehlung vom 15. Oktober 2012 an die HSBC Private Bank Suisse SA"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:12:05", "Checksum": "62378cdf8f2694d28ff8ba0e7bd47766", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 15.10.2012\nRegeste:\nEmpfehlung vom 15. Oktober 2012 an die HSBC Private Bank Suisse SA\n\n2.7. Die Information an die Mitarbeitenden über die Übermittlung von Dokumenten an die\nUS-Behörden sei per E-Mail erfolgt. Weiter seien dann an bisher 12 Anlässen die\nÜbermittlungen genauer erläutert worden. Personen, die von den Übermittlungen\nstärker betroffen waren, seien detaillierter informiert worden, als Personen, die nicht\ndirekt ins US-Geschäft involviert gewesen sind.\n\n2.8. Den betroffenen Personen werde das Auskunftsrecht insofern gewährt, als dass sie\nsich über ein Helpdesk melden können, um anzufragen, ob ihr Name in den übermittelten Unterlagen vorkommt. Sei dies der Fall, können sie einen Termin abmachen,\num danach Auskunft über sämtliche Dokumente, die ihren Namen enthalten, zu erhalten. Dafür wird eigens ein Batch (elektronische Datensammlung) kreiert, in dem\nnur diese Daten gespeichert werden können und für die betroffenen Person zur Einsicht bereit gestellt werden. Die Einsicht wird in den geschützten Räumlichkeiten in\nGenf, Zürich und Lugano gewährt. Betroffenen Personen aus dem Ausland können\nsich nur telefonisch erkunden.\n\nKopien der Unterlagen wurden und werden keine herausgegeben, da es sich gemäss der Bank um vertrauliche Geschäftsunterlagen handelt.\n\nSämtliche Dokumente, die den Namen einer betroffenen Person enthalten, seien\ngenau so gezeigt worden, wie sie übermittelt wurden. Dies bedeute aber auch, dass\nnur die nicht relevanten Daten und die Kundendaten abgedeckt worden seien, nicht\naber die Daten von Dritten (zum Beispiel weitere Mailempfänger). Dem EDÖB wurde\nder entsprechende Raum und das System vorgeführt, in welchem die Dokumente\ngesichtet werden können.\n\n4/11\nBis zum Zeitpunkt des Augenscheins habe es 1440 Anfragen gegeben. Von diesen\nhätten 670 keine Treffer ergeben. Unter den 770 Personen, die in den Unterlagen\nerwähnt seien, befänden sich 480 Mitarbeitende und 282 externe Personen. Je ca.\n80% beider Gruppen hätten die Unterlagen bei HSBC vor Ort eingesehen. Der Prozess von der Anfrage bis zum Termin würde ca. 10 Tage dauern.\n\nII.\n\nErwägungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten:\n\n1. In den Dokumenten, die von den Banken an die US-Behörden übermittelt wurden, sind\nNamen und Vornamen, E-Mail Adressen und Telefonnummern von aktiven und ehemaligen Mitarbeitenden sowie externen Dritten aufgeführt. Diese Daten beziehen sich auf bestimmte Personen. Es handelt sich somit um Personendaten gemäss Art. 3 Bst. a DSG.\nWerden diese Personendaten zugänglich gemacht, das heisst wird Einsicht gewährt,\nwerden sie weitergegeben oder veröffentlicht, handelt es sich um eine Bekanntgabe nach\nArt. 3 Bst. f DSG. Die Personendaten wurden durch die Bank an US-Behörden übermittelt. Dies stellt eine Bekanntgabe dar.\n\n2. Die Voraussetzungen für das Eröffnen einer Sachverhaltsabklärung sind gegeben, da die\nBearbeitungsmethoden grundsätzlich geeignet sind, die Persönlichkeit einer grösseren\nAnzahl von Personen zu verletzen (Art. 29 Abs. 1 Bst. a DSG). Der EDÖB ist dazu berechtigt, den Sachverhalt näher abzuklären und gestützt auf Art. 29 Abs. 3 DSG zu empfehlen, die Datenbearbeitung zu ändern, einzustellen oder zu unterlassen.\n\nRechtmässigkeit der Datenbearbeitung/Rechtfertigungsgrund\n\n3. Wer gemäss Art. 12 DSG Personendaten bearbeitet, darf dabei die Persönlichkeit der\nbetroffenen Personen nicht widerrechtlich verletzen. Er darf dabei insbesondere nicht\nPersonendaten entgegen den Grundsätzen der Artikel 4, 5 Abs. 1 und 7 Abs. 1 DSG bearbeiten. Zudem dürfen Personendaten nach Art. 6 DSG nicht ins Ausland übermittelt\nwerden, wenn die Möglichkeit einer Persönlichkeitsverletzung besteht, namentlich weil\neine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. Im vorliegenden Fall wurden Dokumente, die Personendaten wie Namen, Vornamen, E-Mail\n4. Adressen und Telefonnummern von aktiven und ehemaligen Mitarbeitenden, sowie externen Dritten enthalten, durch die Banken an die US-Behörden übermittelt. Es stellt sich\nsomit die Frage, ob durch dieses Vorgehen eine Persönlichkeitsverletzung stattgefunden\nhat und ob diese allenfalls durch einen Rechtfertigungsgrund nach Art. 13 DSG gerechtfertigt werden kann. Zudem muss untersucht werden, ob eine der Voraussetzungen gemäss Art. 6 Abs. 2 DSG vorliegt, unter welcher Personendaten auch in ein Land übermittelt werden können, das keinen angemessenen Datenschutz gewährleistet.\n\n5. Eine Verletzung der Persönlichkeit ist gemäss Art. 13 DSG widerrechtlich, wenn sie nicht\ndurch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Eine Einwilligung der betroffenen Personen\nsowie eine gesetzliche Grundlage liegt offensichtlich nicht vor. Grundsätzlich ist anzumerken, dass im Arbeitsbereich die Freiwilligkeit einer Einwilligung nur in Ausnahmefällen angenommen werden kann. Im vorliegenden Fall könnte klarerweise nicht von der\n5/11\nFreiwilligkeit der Einwilligung ausgegangen werden. Es kommen somit nur die Rechtfertigungsgründe des überwiegenden privaten oder öffentlichen Interesses in Frage.\n\n"}