{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2012-10-15", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20121015----Empfehlu_2012-10-15.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/9RSieAwHwXRu/20121015%20%20-%20Empfehlung%20an%20die%20HSBC%20Private%20Bank%20Suisse%20SA.pdf", "Checksum": "2a894aa8a06b47bcb9ae92a40fbe4b83"}, "Scrapedate": "2026-04-05", "Num": ["20121015  - Empfehlung an die HSBC Private Bank Suisse SA"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 15.10.2012"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 15.10.2012"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 15.10.2012"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Empfehlung vom 15. Oktober 2012 an die HSBC Private Bank Suisse SA"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:12:05", "Checksum": "62378cdf8f2694d28ff8ba0e7bd47766", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 15.10.2012\nRegeste:\nEmpfehlung vom 15. Oktober 2012 an die HSBC Private Bank Suisse SA\n\n15. Die Bearbeitung von Personendaten muss nach Treu und Glauben erfolgen (Art. 4 Abs. 2\nDSG). Daten sollen nicht in einer Art erhoben und bearbeitet werden, mit der die betroffene Person aus den Umständen heraus nicht rechnen musste und mit der sie nicht einverstanden gewesen wäre. Gegen diesen Grundsatz verstösst beispielsweise derjenige,\nder Daten nicht offen bearbeitet, ohne dabei gegen eine Rechtsnorm zu verstossen (Botschaft DSG BBl 1988 II 449). Demzufolge muss eine Datenbearbeitung für die betroffenen Personen transparent erfolgen. Dies bedeutet gemäss Art. 4 Abs. 4 DSG, dass für\nbetroffene Personen die Datenbeschaffung und jede weitere Datenbearbeitung (BSK-\nDSG, Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 8), der Zweck jeder (weiteren) Datenbearbeitung, die Identität des Datenbearbeiters und – bei einer Datenbekanntgabe an\nDritte – die Kategorien von möglichen Datenempfängern erkennbar sein müssen (Botschaft DSG BBl 2003 2125). Auch die Beschaffung von Personendaten bei Dritten muss\nerkennbar sein (Botschaft DSG BBl 2003 2126).\n\nDie Anforderungen, welche an die Erkennbarkeit gestellt werden, sind nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen (Botschaft DSG BBl 2003 2125). Unter dem Gesichtspunkt der Verhältnismässigkeit ist zu prüfen, in welchem Mass die betroffene Person auf die wesentlichen Rahmenbedingungen der Beschaffung aufmerksam gemacht werden muss, welche Mittel\ndem Inhaber der Datensammlung zur Verfügung stehen, um diese Rahmenbedingungen\nerkennbar zu machen, und in welchem Umfang von ihm erwartet werden kann, dass er\ndiese Mittel auch einsetzt, namentlich unter Berücksichtigung ihrer Kosten und ihrer\nWirksamkeit.\n\n16. Die HSBC hat bei der ersten Übermittlung die Mitarbeitenden erst im Nachhinein informiert. Bei allen weiteren Übermittlungen wurden die Mitarbeitenden im Voraus informiert.\nDie Bank hat sich zudem am 6. September 2012 gegenüber dem EDÖB verpflichtet,\nwährend der laufenden Sachverhaltsabklärung die Mitarbeitenden im Voraus über eine\nDatenübermittlung zu informieren. Damit kann sie dem Transparenzprinzip nachkommen.\nFür zukünftige Datenübermittlungen muss die Bank somit weiterhin die Mitarbeitenden\n8/11\nvorzeitig über den Umfang und die Art der Dokumente, sowie den Zeitraum, aus dem sie\nstammen, informieren. Diese Information hat mit einer angemessenen Frist vor einer jeweiligen Übermittlung zu erfolgen. Zudem muss die Information so erfolgen, dass sie geeignet ist, die potentiell betroffenen Personen zu erreichen.\n\n17. Des Weiteren stellt sich die Frage, wie die Information an ehemalige Mitarbeitende und\nexterne Dritte zu erfolgen hat. Diese haben gemäss DSG grundsätzlich das gleiche Anrecht auf Information wie aktuelle Mitarbeitende. Soweit zumutbar, müssen demnach\nsämtliche Personen vor einer Übermittlung informiert werden, die von dieser betroffen\nsind.\n\nAuskunftsrecht\n\n18. Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft\ndarüber verlangen, ob und welche Daten über sie bearbeitet werden.\n\n19. Gemäss Art. 3 Bst. g DSG gilt als Datensammlung jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar\nsind. Eine Datensammlung im Sinne des Gesetzes ist ein Bestand von Daten, der auf\nmehr als eine Person Bezug nimmt. Sie kann ganz unterschiedlich organisiert und\naufgebaut sein. Datenschutzrechtlich entscheidend ist, dass die zu einer bestimmten\nPerson gehörenden Daten auffindbar sind (Botschaft DSG, BBl 1988 II 447).\n\n20. Den betroffenen Personen ist demnach das Auskunftsrecht nach Art. 8 DSG zu gewähren. Einschränkungen können unter den Voraussetzungen von Art. 9 DSG durch\ndie Bank geltend gemacht werden, z.B. dass überwiegende Interessen von Dritten\nvorliegen. Diese Einschränkung müsste jedoch im Einzelfall durch die Bank begründet werden.\n\n21. In Art. 8 Abs. 5 DSG heisst es, dass die Auskunft in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen ist. Die Bank gibt jedoch grundsätzlich keine Kopien der gesichteten Dokumente ab. Es handelt sich um\neine Frage der Modalität des Auskunftsrechts nach Art. 1 der Verordnung zum Datenschutzgesetz (VDSG, SR 235.11). Darin heisst es in Abs. 3, dass im Einvernehmen mit dem Inhaber der Datensammlung oder auf dessen Vorschlag hin, die betroffene Person ihre Daten auch an Ort und Stelle einsehen kann. Die Bank macht geltend, dass aufgrund der Sensitivität der Dokumente betreffend Bank- und Kundengeheimnis keine Kopien abgegeben werden können. Zudem würde ein Abgeben von\nKopien den allgemeinen Sicherheitsregeln der Bank widersprechen. Der EDÖB kann\ndieser Argumentation insofern folgen, als dass es beim Auskunftsrecht nach Art. 8\nDSG vor allem darum geht, dass die betroffenen Personen Zugang zu allen Dokumenten und Informationen haben, die ihre Person betreffen. Gleichzeitig sprechen allenfalls andere gesetzliche Grundlagen, wie das Bankgeheimnis nach Bankengesetz,\ngegen eine Abgabe von Kopien. Zudem dürfte es den Mitarbeitenden gemäss Vertrag und internen Weisungen klar sein, dass sie grundsätzlich keine Kopien von internen Dokumenten nach Hause nehmen dürfen.\n\n"}