{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2012-10-15", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20121015---Empfehlun_2012-10-15.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/IA1nMj5Dot-R/20121015%20-%20Empfehlung%20an%20die%20Credit%20Suisse%20AG.pdf", "Checksum": "6f9a19cd881504eac6216e36994f4066"}, "Scrapedate": "2026-04-14", "Num": ["20121015 - Empfehlung an die Credit Suisse AG"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 15.10.2012"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 15.10.2012"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 15.10.2012"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Empfehlung vom 15. Oktober 2012 an die Credit Suisse AG"}], "ScrapyJob": "446973/66/2079", "Zeit UTC": "14.04.2026 03:12:28", "Checksum": "99a52613612a64723615822d9fd67b3e", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 15.10.2012\nRegeste:\nEmpfehlung vom 15. Oktober 2012 an die Credit Suisse AG\n\n13. Gemäss Art. 12 Abs. 2 Bst. a DSG begeht eine Persönlichkeitsverletzung, wer Personendaten unter anderem entgegen den Grundsätzen von Art. 4 DSG bearbeitet. Zwar\nwurde in der vorhergehenden Ziffer ein Rechtfertigungsgrund für die Datenübermittlung\nbejaht, was jedoch nicht bedeutet, dass die Daten entgegen den Prinzipien des Datenschutzgesetzes bearbeitet werden dürfen. Dies gilt auch für eine Bekanntgabe ins Ausland nach Art. 6 DSG. Die Beschaffung von Personendaten und insbesondere der Zweck\nihrer Bearbeitung müssen für die betroffenen Personen erkennbar sein.\n\n14. Die Bearbeitung von Personendaten muss nach Treu und Glauben erfolgen (Art. 4 Abs. 2\nDSG). Daten sollen nicht in einer Art erhoben und bearbeitet werden, mit der die betroffene Person aus den Umständen heraus nicht rechnen musste und mit der sie nicht einverstanden gewesen wäre. Gegen diesen Grundsatz verstösst beispielsweise derjenige,\nder Daten nicht offen bearbeitet, ohne dabei gegen eine Rechtsnorm zu verstossen (Botschaft DSG BBl 1988 II 449). Demzufolge muss eine Datenbearbeitung für die betroffenen Personen transparent erfolgen. Dies bedeutet gemäss Art. 4 Abs. 4 DSG, dass für\nbetroffene Personen die Datenbeschaffung und jede weitere Datenbearbeitung (BSK-\nDSG, Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 8), der Zweck jeder (weiteren) Datenbearbeitung, die Identität des Datenbearbeiters und – bei einer Datenbekanntgabe an\nDritte – die Kategorien von möglichen Datenempfängern erkennbar sein müssen (Botschaft DSG BBl 2003 2125). Auch die Beschaffung von Personendaten bei Dritten muss\nerkennbar sein (Botschaft DSG BBl 2003 2126).\n\nDie Anforderungen, welche an die Erkennbarkeit gestellt werden, sind nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen (Botschaft DSG BBl 2003 2125). Unter dem Gesichtspunkt der Verhältnismässigkeit ist zu prüfen, in welchem Mass die betroffene Person auf die wesentlichen Rahmenbedingungen der Beschaffung aufmerksam gemacht werden muss, welche Mittel\ndem Inhaber der Datensammlung zur Verfügung stehen, um diese Rahmenbedingungen\nerkennbar zu machen, und in welchem Umfang von ihm erwartet werden kann, dass er\n8/11\ndiese Mittel auch einsetzt, namentlich unter Berücksichtigung ihrer Kosten und ihrer\nWirksamkeit.\n\n15. Die CS hat bei den bisherigen Übermittlungen die Mitarbeitenden erst im Nachhinein\ninformiert. Die Bank hat sich jedoch am 6. September 2012 gegenüber dem EDÖB verpflichtet, während der laufenden Sachverhaltsabklärung die Mitarbeitenden im Voraus\nüber eine Datenübermittlung zu informieren. Damit kann sie dem Transparenzprinzip\nnachkommen. Für zukünftige Datenübermittlungen muss die Bank somit weiterhin die\nMitarbeitenden vorzeitig über den Umfang und die Art der Dokumente, sowie den Zeitraum, aus dem sie stammen, informieren. Diese Information hat mit einer angemessenen\nFrist vor einer jeweiligen Übermittlung zu erfolgen. Zudem muss die Information so erfolgen, dass sie geeignet ist, die potentiell betroffenen Personen zu erreichen.\n\n16. Des Weiteren stellt sich die Frage, wie die Information an ehemalige Mitarbeitende und\nexterne Dritte zu erfolgen hat. Diese haben gemäss DSG grundsätzlich das gleiche Anrecht auf Information wie aktuelle Mitarbeitende. Soweit zumutbar, müssen demnach\nsämtliche Personen vor einer Übermittlung informiert werden, die von dieser betroffen\nsind.\n\nAuskunftsrecht\n\n17. Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob und welche Daten über sie bearbeitet werden.\n\n18. Gemäss Art. 3 Bst. g DSG gilt als Datensammlung jeder Bestand von Personendaten,\nder so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind. Eine\nDatensammlung im Sinne des Gesetzes ist ein Bestand von Daten, der auf mehr als eine\nPerson Bezug nimmt. Sie kann ganz unterschiedlich organisiert und aufgebaut sein. Datenschutzrechtlich entscheidend ist, dass die zu einer bestimmten Person gehörenden\nDaten auffindbar sind (Botschaft DSG, BBl 1988 II 447).\n\n19. Die CS stellt sich grundsätzlich auf den Standpunkt, dass es sich bei den übermittelten\nDaten nicht um eine Datensammlung gemäss DSG handelt und deswegen Art. 8 DSG\ngar nicht anwendbar ist. Ihrer Ansicht nach fehle die personenbezogene, systematische\nAnordnung der Daten, die für eine Datensammlung notwendig sei. Hierzu ist festzustellen, dass es sich, bei der hier in Frage stehenden Datensammlung, um einen Zusammenzug verschiedener Unterlagen und Dokumente der Bank handelt. Diese wurden alle\nvon Personen, die in der Bank arbeiten oder gearbeitet haben, erstellt. Durch die Triage\nwurden die Dokumente ermittelt, die danach an die US-Behörden übermittelt wurden.\nDieser Vorgang erfolgte auch durch die Suche nach Personendaten (Namen von Kundenberatern beispielsweise). Dies bedeutet, dass eine Suche bzw. Erschliessung der\nDokumente nach Personendaten durchaus möglich ist. Gleichzeitig konnte die Bank auf\nBegehren von betroffenen Personen in den übermittelten Dokumenten nach den Namen\nder Personen suchen. Auch dies zeigt, dass es sich um eine Datensammlung gemäss\nArt. 3 Bst. g DSG handelt.\n\n"}