Weitergabe von Daten internationaler Finanztransaktionen durch die SWIFT: Eine Beurteilung aus schweizerischer Perspektive Bericht der Geschäftsprüfungskommission des Nationalrates vom 17. April 2007

2007-1004

8391

Abkürzungsverzeichnis Abs.

Art.

Bst.

Bzw.

EBK EDÖB EFD EU f.

ff.

FATF FN GPK-N S.

SIC SNB SR SWIFT u.a.

USA Vgl.

8392

Absatz Artikel Buchstabe beziehungsweise Eidgenössische Bankenkommission Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Eidgenössisches Finanzdepartement Europäische Union folgende fortfolgende Financial Action Task Force Fussnote Geschäftsprüfungskommission des Nationalrates Seite(n) Swiss Interbank Clearing Schweizerische Nationalbank Systematische Rechtssammlung Society for Worldwide Interbank Financial Telecommunication Unter anderem United States of America (Vereinigte Staaten) Vergleiche

Bericht 1

Einleitung

1.1

Sachverhalt

Am 23. Juni 2006 veröffentlichte die «New York Times» die Information, dass die amerikanischen Behörden im Rahmen eines geheimen Programms zur Bekämpfung des Terrorismus seit dem Jahr 2001 Zugang zu den Daten der «Society for Worldwide Interbank Financial Telecommunication» (SWIFT) haben1. Bei der SWIFT handelt es sich um eine belgische Genossenschaft, welche internationale Finanztransaktionen ermöglicht, indem sie die dazu notwendigen Daten standardisiert von den die Zahlungen auslösenden Finanzinstituten zu den empfangenden Finanzinstituten übermittelt. Die Genossenschafter von SWIFT sind Finanzinstitute, welche die Dienstleistungen der Genossenschaft selbst auch in Anspruch nehmen. Die SWIFT ist die global führende und marktbeherrschende Anbieterin solcher Leistungen. Sie tätigt durchschnittlich etwa 11 Millionen Transaktionen pro Tag weltweit.

Die übermittelten Daten beinhalten im Minimum den Betrag, die Währung, das Valutadatum, den Namen des Empfängers und seines Finanzinstituts sowie den Namen des Initiators und seines Finanzinstituts2. Es handelt sich dabei also um Personendaten.

Die SWIFT ist für die internationalen Tranksaktionen eines Grossteils der schweizerischen Finanzinstitute von zentraler Bedeutung. Diese sind oft auch am Genossenschaftskapital der SWIFT beteiligt. Die Schweiz nimmt bei dem über die SWIFT laufenden Datenstrom den sechsten Rang ein.

Gemäss «New York Times» seien die Nutzniesser des geheimen Programms vor allem die «Central Intelligence Agency» (CIA), das «Federal Bureau of Investigations» (FBI) sowie weitere amerikanische Behörden, wobei die Aufsicht dem amerikanischen Finanzministerium («Treasury Department») zukomme.

Die Datenherausgabe stützt sich in den USA auf die allgemeinen Sondervollmachten des Präsidenten der Vereinigten Staaten, welche ihm im Nachgang zum Anschlag vom 11. September 2001 verliehen wurden und betrifft die sich im «Operation Center» der SWIFT in den USA befindlichen Daten. Die SWIFT betreibt weltweit zwei redundante «Operation Centers» (in den USA und den Niederlanden). In jedem der beiden Zentren sind alle Daten der SWIFT während 124 Tagen gespeichert.

1 2

Vgl. Eric Lichtblau und James Risen, Bank Data Is Sifted by U.S. in Secret to Block Terror, New York Times, 23.6.2006.

Commission de la protection de la vie privée, Royaume de Belgique, Avis N° 37 du 27.9.2006 relatif à la transmission de données à carctère personnel par la SCRL SWIFT suite aux sommations de l'UST (OFAC) (nachfolgend als Belgischer Datenschutzbericht zitiert), S. 4 (http://www.privacycommission.be/publications.htm).

8393

Abbildung 1

Die Informationen der «New York Times» wurden auch in den europäischen und schweizerischen Medien umfassend aufgenommen und breit diskutiert. Dabei wurde insbesondere das Verhältnis der Datenherausgabe an die amerikanischen Behörden zum Bankgeheimnis, zur Privatsphäre der betroffenen Bankkunden, zur Gefahr der Zweckentfremdung der erhaltenen Daten, aber auch zu existierenden zwischenstaatlichen Instrumenten der Terrorismusbekämpfung und zu weiteren Themen erörtert.

Kontroversen gab es auch darüber, wer in der Schweiz und ab welchem Zeitpunkt über das geheime Programm der Vereinigten Staaten informiert war.

Die Bezugspunkte zu den schweizerischen Akteuren sind vielfältig: Die Schweizerische Nationalbank ist am Genossenschaftskapital beteiligt und bildet zusammen mit den Zentralbanken der G10-Länder die «Oversight Group», welche Aufsichtsfunktionen ­ allerdings ohne direktes Weisungsrecht ­ über die SWIFT ausübt. Die belgische Nationalbank ist aufgrund des Firmensitzes der Genossenschaft in dieser Gruppe federführend. Die beiden schweizerischen Grossbanken haben mit je einem Vertreter im 25-köpfigen Verwaltungsrat der SWIFT Einsitz. Wie schon erwähnt sind auch viele schweizerische Finanzinstitute Genossenschafter der SWIFT.

Im Zusammenhang mit der Berichterstattung in den Medien stellten sich auch die Fragen, in welchem Umfang die amerikanischen Behörden Transaktionsdaten grundsätzlich erhalten haben, wie gezielt diese ausgewertet werden und wie lange sie durch die amerikanischen Behörden aufbewahrt werden. Unter dem Aspekt einer möglichen Verletzung von Datenschutzbestimmungen durch die Weitergabe der SWIFT-Transaktionsdaten wurden in der Europäischen Union (EU) wie auch in der Schweiz die Datenschutzbehörden aktiv und nahmen Abklärungen vor. So erfolgte eine Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten am 13. Oktober 2006, auf die in Ziffer 4.1 eingegangen wird. Die belgische Datenschutzbehörde prüfte die Rechtmässigkeit der Verarbeitung der Daten durch die SWIFT anhand des belgischen und europäischen Rechts. In ihrer Entscheidung vom 27. September 2006 stellte sie fest, dass die Übermittlung von personen8394

bezogenen Daten durch die SWIFT an ihr «Operation Center» in den USA gegen das belgische Datenschutzgesetz verstösst und dass die SWIFT die grundlegenden europäischen Datenschutzgrundsätze intransparent, systematisch, massiv und dauerhaft verletzt hat.3 Die belgische Regierung prüft nun Massnahmen zur Behebung dieser Verletzungen4. Die unabhängigen Aufsichtsbehörden für den Datenschutz in der EU (Artikel-29-Gruppe) prüften ihrerseits, ob die SWIFT die Datenschutzgrundsätze eingehalten hat, die in der europäischen Datenschutzrichtlinie enthalten sind und in den EU-Ländern umgesetzt werden. Auch sie kam zum Schluss, dass die SWIFT und die beteiligten Finanzinstitute die Vorgaben der Richtlinie nicht beachtet haben und dass in verschiedenen Bereichen ein sofortiger Handlungsbedarf besteht.5 Der Europäische Datenschutzbeauftragte äusserte sich am 1. Februar 2007 kritisch zu den Ereignissen und zur Rolle der Europäischen Zentralbank6.

Auch die zuständige Kommission des Europäischen Parlaments wie auch das Europäische Parlament selbt befassten sich mehrfach mit der SWIFT. Die Kommission führte Anhörungen durch, nachdem sich das Parlament über die Vorkommnisse besorgt gezeigt hatte. Das Parlament verabschiedete mehrere Entschliessungen7.

Im Dezember 2006 kündigte der für die Bereiche Justiz, Freiheit und Sicherheit zuständige Vizepräsident der Europäischen Kommission, Franco Frattini, an, anfangs 2007 die Diskussion mit den USA über die SWIFT-Problematik zu suchen.

Soweit bekannt, werden die Transaktionsdaten der SWIFT den amerikanischen Behörden weiterhin übermittelt8.

1.2

Vorgehen

Die Geschäftsprüfungskommission des Nationalrates (GPK-N) beschloss drei Tage nach Erscheinen des besagten Artikels in der «New York Times», den darin enthaltenen Enthüllungen aus Sicht der Schweiz nachzugehen. Sie forderte den Bundesrat auf, zur Behauptung Stellung zu nehmen, dass er, gewisse Dienststellen der schweizerischen Bundesverwaltung und auch die Schweizerische Nationalbank (SNB) von Anfang an über das amerikanische Programm zur Beschaffung dieser Daten informiert gewesen waren. Im Weiteren wollte die GPK-N vom Bundesrat wissen, welche Auswirkungen dieses Programm auf das schweizerische Bankgeheimnis und den schweizerischen Finanzplatz habe.

3 4

5

6

7

8

Vgl. FN 1.

Commission de la protection de la vie privée, Royaume de Belgique, Avis N° 47 du 20.12.2006 relatif à la préparation d'une convention conernant la transmission de données à caractère personnel par SWIFT à l'US Department of the Treasury (UST), S. 2; (http://www.privacycommission.be/actualites.htm).

Vgl. Artikel 29-Datenschutzgruppe, Stellungnahme 10/2006 zur Verarbeitung von personenbezogenen Daten durch die SWIFT vom 22.11.2006 (http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2006_de.htm).

Vgl. European Data Protection Supervisor (EDPS) opinion on the role of the European Central Bank in the SWIFT case (Stellungnahme des Europäischen Datenschutzbeauftragten), (http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/lang/en/pid/38).

Für eine Übersicht über die Aktivitäten der EU-Institutionen im Zusammenhang mit SWIFT vgl. die Stellungnahme des Europäischen Datenschutzbeauftragten vom 1.2.2007, S. 1­3 (FN 6).

Vgl. das Interview mit dem kaufmännischen Direktor von SWIFT, Francis Vanbever, in der Frankfurter Allgemeine Zeitung vom 4.12.2006, S. 11.

8395

Der Bundesrat verabschiedete am 23. August 2006 zuhanden der GPK-N seine Stellungnahme, die er am gleichen Tag im Internet veröffentlichte9. Die GPK-N nahm am 25. August 2006 davon Kenntnis und beschloss, ihre für das Eidgenössische Finanzdepartement (EFD) zuständige Subkommission mit tiefergehenden Abklärungen zu beauftragen10.

Die Arbeiten der Subkommission EFD/EVD der GPK-N erstreckten sich auf vier Sitzungen, die zwischen Anfang Oktober 2006 und März 2007 stattfanden. Die Subkommission hörte den Vorsteher des EFD, Vertreter der SNB, des Sekretariats der Eidgenössischen Bankenkommission (EBK), des Eidgenössischen Datenschutzund Öffentlichkeitsbeauftragten (EDÖB) sowie einen Bankexperten der Universität St. Gallen an. Die Ergebnisse der Abklärungen finden sich in diesem Bericht der GPK-N wieder, der von der Kommission am 17. April 2007 verabschiedet wurde.

2

Der Untersuchungsgegenstand aus der Perspektive der parlamentarischen Oberaufsicht

Die Dienstleistungen der SWIFT werden durch schweizerische Finanzinstitute in Anspruch genommen, falls sie selber oder ihre Kunden eine Finanztransaktion zugunsten eines sich im Ausland befindlichen Finanzinstituts veranlassen (und umgekehrt). Innerhalb der Schweiz wird der Zahlungsverkehr in Schweizerfranken grundsätzlich nicht über das System von SWIFT abgewickelt, sondern über das «Swiss Interbank Clearing» (SIC). Der innerschweizerische Zahlungsverkehr in Schweizer Franken ist somit vom US-amerikanischen Programm nicht betroffen.

Für Zahlungen in einer fremden Währung innerhalb der Schweiz kann hingegen auch das System von SWIFT verwendet werden. Die amerikanischen Behörden haben aufgrund der breiten Terrorismusdefinition ihrer Zwangsanordnungen11 zumindest in einer ersten Phase wohl auch Daten über Transaktionen aus der Schweiz und in die Schweiz erhalten12.

Gemäss Artikel 52 des Parlamentsgesetzes13 (ParlG) üben die Geschäftsprüfungskommissionen die Oberaufsicht über die Geschäftsführung des Bundesrates und der Bundesverwaltung, der eidgenössischen Gerichte und anderer Träger von Aufgaben des Bundes aus. Sie legen gemäss Artikel 52 Absatz 2 ParlG den Schwerpunkt ihrer Prüftätigkeit auf die Kriterien der Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit. Sie haben also nur die Tätigkeiten der Träger von Bundesaufgaben, die vorwiegend auf schweizerischem Recht und allenfalls noch auf völkerrechtlichen Verpflichtungen der Schweiz beruhen, zu beurteilen. Die GPK-N muss sich deshalb die Frage stellen, ob und allenfalls welche Bereiche der schweizerischen Rechtsordnung durch die Weitergabe von Daten zu Finanztransaktionen in die Schweiz und aus derselben beeinträchtigt wurden. Es obliegt ihr aber nicht, die Rechtmässigkeit der Datenherausgabe nach amerikanischem oder europäischem Recht zu beurteilen.

9 10 11 12

13

http://www.news-service.admin.ch/NSBSubscriber/message/attachments/3567.pdf.

Vgl. Medienmitteilung der GPK-N vom 28.8.2006 (www.parlament.ch).

Vgl. belgischer Datenschutzbericht S. 5 f.

Gemäss SWIFT können potenziell alle Transaktionsdaten durch das amerikanische Finanzministerium abgefragt werden. Vgl. Artikel 29-Datenschutzgruppe, Stellungnahme 10/2006 zur Verarbeitung von personenbezogenen Daten durch die SWIFT vom 22.11.2006, S. 19 f.

Siehe Bundesgesetz vom 13.12.2002 über die Bundesversammlung (Parlamentsgesetz, ParlG; SR 171.10).

8396

2.1

Möglicherweise betroffene Rechtsbereiche und Träger von Bundesaufgaben

Die GPK-N identifizierte folgende Bereiche, in denen sie die Möglichkeit einer Rechtsverletzung als prüfenswert erachtete: Bankgeheimnis, Datenschutz, Aufsicht durch SNB und EBK. Während bei den letzten beiden Bereichen die involvierten staatlichen Akteure und die sie betreffenden Rechtserlasse klar waren, stellte sich für die GPK-N die Frage, inwieweit der Schutz der Privatsphäre im konkreten Fall durch Bundesrat und Bundesverwaltung zu erfolgen hat und dementsprechend überhaupt in die Prüfkompetenz der GPK-N fällt.

2.2

Grundsätzliche Aspekte

Die Weitergabe von Daten internationaler Finanztransaktionen von der Schweiz und in die Schweiz an die amerikanischen Behörden weist klar einen Bezug zum Finanzplatz Schweiz und damit zu den wirtschaftlichen Interessen des Landes auf.

Auch der Schutz der Privatsphäre ist für die Schweiz von grundsätzlicher Bedeutung. Dies kommt in den Artikeln 13 und 94 der Bundesverfassung14 zum Ausdruck.

Dementsprechend ist das Handeln insbesondere des Bundesrates wie auch des zuständigen Departementsvorstehers durch die parlamentarische Oberaufsicht ebenfalls gestützt auf diese Grundsätze zu beurteilen.

Es trifft allerdings auch zu, dass die Bekämpfung des Terrorismus und seiner Finanzierung ebenfalls im Interesse der Schweiz ist und durch unser Land breit unterstützt wird. Ein Handeln oder ein Nichthandeln in diesem Spannungsfeld kann deshalb letztlich nur durch eine Interessensabwägung beurteilt werden.

3

Die Banken und das Bankgeheimnis

Gerade im politischen Gespräch wird das Bankgeheimnis oft unterschiedlich verstanden und der Begriff nicht einheitlich verwendet. Der GPK-N war es deshalb wichtig, diesen Begriff zu klären, um bei ihrer Untersuchung ein einheitliches und klar definiertes Verständnis des Bankgeheimnisses zu haben.

Das Bankgeheimnis findet seine Grundlage insbesondere in den Artikeln 27 ff.

Zivilgesetzbuch15 und im Artikel 47 des Bundesgesetzes vom 8. November 1934 über die Banken und Sparkassen (BankG)16. Artikel 47 Absatz 1 des BankG hält fest, dass wer in seiner Eigenschaft als Organ, Angestellter, Beauftragter oder Liquidator einer Bank, als Untersuchungs- oder Sanierungsbeauftragter der EBK, als Organ oder Angestellter einer anerkannten Revisionsstelle vertrauliche Informationen besitzt, diese nicht weitergeben darf. Der auf den Bankkunden ausgerichtete Schutz gilt aber nicht absolut. Die Banken können unter gewissen Voraussetzungen zur Offenlegung von Kundeninformationen im Rahmen von Zivilprozessen, Schuldbetreibungs- und Zwangsverwertungsverfahren, in Strafprozessen wie auch in Ver14 15 16

Siehe Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18.4.1999 (BV; SR 101).

Schweizerisches Zivilgesetzbuch vom 10.12.1907 (ZGB; SR 210).

SR 952.0

8397

fahren der internationalen Amts- und Rechtshilfe verpflichtet werden. Gerade im letzten Bereich ist die Herausgabe von Informationen durch die schweizerische Rechtsordnung eingeschränkt und an strenge Voraussetzungen geknüpft. Der Schutz des Bankgeheimnis wird gemäss Rechtsliteratur aber auch durch das Datenschutzgesetz mitdefiniert. Dieses ist im Verhältnis zu den Bestimmung des ZGB als lex specialis zu betrachten17.

Das Bankgeheimnis sichert in erster Linie die Privatsphäre des Bankkunden. Deshalb kann der Bankkunde seine Bank ermächtigen, den gesetzlichen Schutz einzuschränken und gewisse Daten weiterzugeben, so z.B. durch die Zustimmung zu entsprechenden Passagen der allgemeinen Geschäftsbedingungen.

Bei Finanztransaktionen vom und ins Ausland kann das Bankgeheimnis nicht mehr gewährleistet werden (vgl. auch Abb. 1). Einmal im Ausland, entziehen sich die übermittelten Daten dem schweizerischen Recht18. Allerdings gibt es durchaus auch gewisse Daten, zu deren Übermittlung sich die Schweiz aufgrund höherer Interessen verpflichtet hat. Die «Financial Action Task Force» (FATF) hat nach dem Anschlag in New York vom 11. September 2001 gefordert, dass jede Transaktion Informationen zum Auftraggeber und zum Empfänger enthält. Die Schweiz hat diese Forderung mit Artikel 15 der Verordnung der EBK vom 18. Dezember 2002 zur Verhinderung von Geldwäscherei (EBK Geldwäschereiverordnung; SR 955.022) erfüllt.

Damit wird das Finanzinstitut verpflichtet, bei allen Zahlungsaufträgen ins Ausland den Namen, die Kontonummer und das Domizil der auftraggebenden Vertragspartei oder den Namen und eine Identifizierungsnummer anzugeben19.

Zusammenfassend lässt sich also sagen, dass das gesetzlich verankerte Bankgeheimnis die Bankkundendaten gemäss schweizerischer Rechtsordnung schützt, solange sie sich in der Schweiz befinden. Befinden sich Kundendaten schweizerischer Finanzinstitute im Ausland, so unterstehen sie der Rechtsordnung des betreffenden Landes.

Eine andere Frage ist, ob die Akteure in der Schweiz, welche diese Daten ins Ausland übermittelt haben, im konkreten Fall rechtmässig gehandelt haben, beziehungsweise ob durch die Weitergabe der Transaktionsdaten durch die SWIFT an die amerikanischen Behörden das schweizerische Bankgeheimnis verletzt worden ist.

Weder die SWIFT noch die amerikanischen Behörden
wurden in der Schweiz aktiv.

Die Daten der internationalen Transaktionen, die in der Schweiz initiiert wurden, gelangten im Auftrag des jeweiligen Kunden über in der Schweiz ansässige Finanzinstitute an die SWIFT. Als mögliche Urheber einer allfälligen Verletzung des Bankgeheimnisses kommen also nur diese Finanzinstitute in Frage. Soweit die Übermittlung dieser Daten durch die Finanzinstitute eine Rechtsgrundlage aufweist (im konkreten Fall ist dies zumindest für die in Art. 15 EBK Geldwäscherei17 18

19

Vgl. Annette Althaus Stämpfli, Personendaten von Bankkunden ­ ihre Weiterleitung im Finanzkonzern und an dritte Dienstleister, Dissertation Bern, Bern, 2004, S. 35.

So treffend Bundesrat Hans-Rudolf Merz in seinem Referat am Bankiertag vom 14.9.2006 in Bern: «Die Landesgrenzen stellen auch die Grenzen der rechtlichen Durchsetzbarkeit dar. Das schweizerische Bankgeheimnis ist aufgrund des völkerrechtlichen Territorialitätsprinzips auf das Staatsgebiet der Schweiz beschränkt. Die Schweiz kann deshalb nicht verhindern, das ausländische Behörden auf Daten im Ausland zugreifen, die in der Schweiz unter das Bankgeheimnis fallen würden.» (http://www.efd.admin.ch/aktuell/reden/00465/index.html?lang=de&msg-id=7371).

Die Ausnahmebestimmung von Art. 15 Abs. 2 EBK Geldwäschereiverordnung findet gemäss dem Direktor der EBK sehr selten Anwendung, weil entsprechende Zahlungsaufträge von den empfangenden Banken oft gar nicht angenommen würden.

8398

verordnung erfassten Informationen zu bejahen) oder mit dem Einverständnis des Kunden erfolgte, ist keine Verletzung des Bankgeheimnisses ersichtlich.

4

Verhalten der einzelnen Träger von Bundesaufgaben im Licht ihres gesetzlichen Auftrags

4.1

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

4.1.1

Aufgabe des EDÖB

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und sein Sekretariat überwachen die Einhaltung des Datenschutzgesetzes (DSG)20 durch die Bundesorgane. Gemäss Artikel 29 des DSG kann der EDÖB auch Erklärungen und Empfehlungen im Privatrechtsbereich abgeben.

Der EDÖB erfuhr durch die Berichterstattung in den Medien und einen Brief des EFD, den er kurz nach den Enthüllungen der «New York Times» erhielt, von den Vorkommnissen. Er sah aufgrund der Weitergabe von Transaktionsdaten durch die SWIFT Handlungsbedarf und führte Abklärungen durch, die in seine Stellungnahme vom 13. Oktober 2006 mündeten21. Diese Stellungnahme basiert auf Abklärungen bei den wichtigsten Akteuren des schweizerischen Bankensektors, dem Bericht der belgischen «Commission de la protection de la vie privée»22 sowie auf der Stellungnahme des Bundesrates vom 23. August 2006 zuhanden der GPK-N23. Der EDÖB stellt darin fest, dass in der Schweiz keine Bearbeitung von Personendaten durch die SWIFT erfolgt und somit grundsätzlich nicht die schweizerische, sondern die belgische Datenschutzgesetzgebung auf die SWIFT anwendbar ist. Hingegen stelle sich aus Sicht des EDÖB in erster Linie die Frage nach der datenschutzrechtlichen Verantwortung der Finanzinstitute in der Schweiz.

4.1.2

Datenschutzrechtliche Verantwortung der Finanzinstitute

Der EDÖB hielt in seiner Stellungnahme fest, dass bei Finanzinstituten in der Schweiz, die an einem Zahlungsvorgang beteiligt sind, eine Bearbeitung von Personendaten im Sinne von Artikel 3 Buchstaben a und e des DSG vorliegt. Somit ist die Datenschutzgesetzgebung anwendbar, soweit sie Pflichten für Privatpersonen vorsieht24.

20 21

22 23 24

Bundesgesetz vom 19.6.1992 über den Datenschutz (DSG; SR 235.1).

Der Zugriff auf Transaktionsdaten der SWIFT ­ Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten vom 13.10.2006 (http://www.edoeb.admin.ch/themen/00794/01066/index.html?lang=de).

Vgl. FN 1.

Vgl. FN 3.

Die Privatsphäre des Bankkunden wird ebenfalls durch die allgemeinen Bestimmungen des schweizerischen Zivilgesetzbuches zum Persönlichkeitsschutz (Art. 27 ff. ZGB) geschützt.

8399

Der EDÖB kam zum Schluss, dass das DSG durch die in der Schweiz ansässigen Finanzinstitute verletzt wurde, weil sie erstens ihre Informationspflicht gegenüber ihren Kunden nicht wahrnahmen und diese nicht über die Datenweitergabe durch die SWIFT beziehungsweise die Möglichkeit der Weitergabe informierten (Art. 4 DSG).

Eine zweite Verletzung des DSG liege in der Weitergabe der Daten in die USA, wo diese bearbeitet werden, ohne dass dort ein im Vergleich zur Schweiz gleichwertiger Datenschutz gewährleistet ist (Art. 6 DSG).

Für die GPK-N stellt sich angesichts der Feststellungen des EDÖB die Frage, weshalb er bisher keine entsprechenden Empfehlungen an die Adresse der Finanzinstitute erlassen hat, um diesen andauernden Rechtsverletzungen besser entgegen zu wirken. Auch wenn die Problematik eine internationale Dimension aufweist, haben die Finanzinstitute in ihrem eigenen Kompetenzbereich durchaus Handlungsspielraum, um den Feststellungen bzw. allfälligen Empfehlungen des EDÖB Rechnung zu tragen.

4.1.3

Exkurs: Verletzung europäischer Datenschutzregeln

Die Feststellungen des EDÖB sind auch vor dem Hintergrund der Abklärungen europäischer Datenschutzbehörden zur Rechtslage in ihren Hoheitsgebieten zu beurteilen.

Die zuständige belgische Datenschutzkommission stellte ihrerseits mehrere Verletzungen des belgischen und europäischen Datenschutzrechtes durch die SWIFT fest25: So sei die SWIFT insbesondere ihrer Pflicht zur Information der ihr angeschlossenen Finanzinstitute und der europäischen Datenschutzbehörden über die Anordnungen seitens des amerikanischen Finanzministeriums zur Meldung der Datenweitergabe an die amerikanischen Behörden nicht nachgekommen. Dabei hätte sie auch den Verwendungszweck an die belgische Datenschutzkommission melden müssen. Die belgische Datenschutzkommission stellte im Weiteren eine Verletzung der Pflicht, keine Daten in Länder, die keinen gleichwertigen Datenschutz aufweisen, fest. Sie hielt aber auch fest, dass die SWIFT zum Teil widersprechenden Anforderungen der amerikanischen und der belgischen bzw. europäischen Rechtsordnung gegenüberstand. Diese Widersprüche hätten rechtzeitig auf übergeordneter Ebene gelöst werden müssen.

Die Artikel-29-Gruppe verabschiedete am 22. November 2006 ihre Stellungnahme zur Verarbeitung von personenbezogenen Daten durch die SWIFT26. Sie konstatierte zuerst einmal eine gemeinsame Verantwortung der SWIFT und der Auftrag gebenden Finanzinstitute für die Verarbeitung von personenbezogenen Daten. Gemäss der Datenschutzgruppe haben sowohl die SWIFT wie auch die Finanzinstitute in der EU die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten nicht informiert. Sie haben damit die Informationspflicht der EU-Datenschutzrichtlinie 95/46/EG verletzt. Eine weitere zentrale Feststellung ist, dass in den USA kein angemessenes Schutzniveau für die Datenübermittlungen aus der EU an die US-Organisationen existiert und die diesbezüglichen Ausnahmeregelungen der Richtlinie keine Anwendung finden. Auch in diesem Punkt wurde also die Datenschutzrichtlinie der EU verletzt. Im Weiteren stellte die Gruppe u.a. fest, dass die 25 26

Belgischer Datenschutzbericht, S. 27.

Vgl. FN 4.

8400

Weiterverarbeitung von personenbezogenen Daten durch die amerikanischen Behörden in unzulässiger Weise über die ursprüngliche kommerzielle Zweckbestimmung hinausgeht. Dementsprechend forderte die Artikel-29-Gruppe die SWIFT und die Finanzinstitute auf, unverzüglich Massnahmen zu ergreifen, welche die gegenwärtige unrechtmässige Situation beenden.

Trotz unterschiedlicher Rechtsgrundlagen stimmen die Feststellungen der europäischen Datenschutzbehörden also mit denen des EDÖB in zentralen Punkten überein

4.2

Schweizerische Nationalbank

4.2.1

Aufgaben der SNB

Die Schweizerische Nationalbank (SNB) führt die Geld- und Währungspolitik der Schweiz. Sie schützt dabei die Stabilität des Finanzsystems27. Gemäss Artikel 19 Absatz 2 Nationalbankgesetz fallen unter diese Überwachung auch Zahlungs- und Effektenabwicklungssysteme, deren Betreiber ihren Sitz im Ausland haben, wenn wesentliche Betriebsteile oder massgebliche Teilnehmer sich in der Schweiz befinden.

4.2.2

Aufsicht über die SWIFT

Die SWIFT ist gemäss der belgischen Nationalbank nicht eine Betreiberin eines eigentlichen Zahlungssystems und fällt deshalb grundsätzlich nicht in die Aufsichtskompetenz der Zentralbanken28. Allerdings bestehen seitens der Zentralbanken aufgrund der systemischen Bedeutung der SWIFT für die Stabilität des Finanzsystems berechtigte Interessen, unter dem Aspekt der Stabilität des Finanzsystems eine gewisse Aufsicht über die SWIFT wahrzunehmen.

Aus diesem Grund bildeten die Zentralbanken der G10-Länder29 wie auch die SNB30 die so genannte «Oversight Group» und schlossen eine Vereinbarung mit der SWIFT ab, die auch den Zugang zu den SWIFT-Informationen erfasst. Weder die «Oversight Group» noch die belgische Nationalbank haben aber gegenüber der SWIFT ein Weisungsrecht. Allerdings dürften allfällige Stellungnahmen der «Oversight Group» von Gewicht sein, so dass sie von der SWIFT in der einen oder anderen Form berücksichtigt würden31.

27 28

29 30

31

Art. 5 Abs. 2 Bst. e und Art. 19 Bundesgesetz vom 3.10.2003 über die schweizerische Nationalbank (Nationalbankgesetz, NBG; SR 951.11).

Vgl. Nationalbank of Belgium, Financial Stability Review 2005, S. 102 (http://www.nbb.be/pub/06_00_00_00_00/06_03_00_00_00/06_ 03_02_00_00.htm?l=de&t=ho).

USA, Kanada, Grossbritannien, Frankreich, Deutschland, Italien, Belgien, die Niederlande, Schweden und Japan.

Die SWIFT ist aufgrund ihrer Bedeutung für die Abwicklung internationaler Finanztransaktionen auch für den schweizerischen Finanzplatz sehr wichtig. Sollte sie ihre Dienstleistungen plötzlich nicht mehr erbringen können, wäre das Finanzsystem weltweit, aber auch in der Schweiz massiv beeinträchtigt.

Das Konzept basiere auf einem System des «ins Gewissen reden» («moral suasion»).

Vgl. FN 28.

8401

Aufgrund der Berichterstattung in den Medien nahm die belgische Nationalbank in einer Medienmitteilung vom 26. Juni 2006 zur Rolle der Zentralbanken bei der Aufsicht über die SWIFT Stellung32. Sie kam darin als in der «Oversight Group» federführende Behörde zum Schluss, dass die Forderungen der amerikanischen Behörden nach Herausgabe der SWIFT-Transaktionsdaten die Stabilität des Finanzsystems nicht beeinträchtigen und diese Vorkommnissse deshalb nicht in den Aufsichtsbereich der «Oversight Group» fallen. Diese Auffassung wurde vor der GPK-N durch die SNB geteilt. Der angehörte Vertreter der SNB informierte die GPK-N ebenfalls, dass an der Sitzung der «Oversight Group» von Mitte Juli 2006 die internationalen Reaktionen auf die Offenlegung der Weitergabe der Transaktionsdaten diskutiert wurden, jedoch seien in keinem einzigen Land seitens der Bankkunden Proteste oder Klagen eingegangen.33 Zu letzterem muss jedoch angefügt werden, dass der Europäische Datenschutzbeauftragte in seiner Stellungnahme von Beschwerden bei mehreren europäischen und nichteuropäischen Datenschutzbehörden spricht34.

Die Artikel-29-Gruppe forderte ihrerseits aber, dass die Aufsichtsstrukturen bei der SWIFT geklärt werden und dabei die Umsetzung von datenschutzrechtlichen Regelungen klar unter die Aufsichtspflicht fällt. Sie geht davon aus, dass die Nichtbefolgung von Datenschutzgesetzen das Vertrauen der Kunden in ihre Finanzinstitute erschüttern kann und dies auch die finanzielle Stabilität von Zahlungssystemen zu beeinträchtigen vermag.35 Der Europäische Datenschutzbeauftragte teilt diese Ansicht und sieht die finanzielle Stabilität potentiell auch durch die Datenschutzbehörden bedroht, die allenfalls Zwangsmassnahmen anwenden müssten, um die Datenschutzkonformität wieder herzustellen36.

4.2.3

Massnahmen der SNB

Der Präsident des Direktoriums der SNB erhielt am 7. Juli 2002 anlässlich einer Sitzung der G10-Zentralbanken vom Präsidenten der Federal Reserve Bank of New York erstmals Kenntnis über die Weitergabe der Transaktionsdaten der SWIFT an die amerikanischen Behörden. Er orientierte den damaligen Vorsteher des EFD zuerst mündlich und am 16. Juli 2002 schriftlich. Sowohl der Präsident als auch der Direktor der EBK wurden von ihm am 11. Juli 2002 informiert. Auf Anfrage des EFD informierte er den Vorsteher des EFD unmittelbar nach den Enthüllungen der «New York Times».

Da die SNB die Stabilität des Finanzsystems durch die Vorkommnisse nicht bedroht sah, erachtete sie sich nicht als zuständig und ergriff keine weiteren Massnahmen.

32 33

34 35 36

Vgl. http://www.nbb.be/pub/01_00_00_00_00/01_06_00_00_00/01_06_01_00_ 00/20060626_swift.htm?t=pe&l=de.

Die SNB besitzt eine weitere Schnittstelle zur SWIFT, indem sie auch mit einem geringen Anteil am Genossenschaftskapital der SWIFT beteiligt ist (weniger als ein Promille). Sie benutzt die SWIFT, um auslandsbezogene Transaktionen im Zusammenhang mit der Anlage ihrer Währungsreserven sowie für den Auslandszahlungsverkehr des Bundes.

Vgl. Stellungnahme des Europäischen Datenschutzbeauftragten, S. 1.

Vgl. Bericht der Artikel-29-Gruppe, S. 34.

Vgl. Stellungnahme des Europäischen Datenschutzbeauftragten, S. 8.

8402

4.3

Eidgenössische Bankenkommission

4.3.1

Aufgaben der EBK

Die EBK übt gemäss Artikel 23 des BankG die Aufsicht über das Bankwesen aus.

Die durch die Banken einzuhaltenden Vorschriften finden sich insbesondere im BankG und in der Bankenverordnung37 sowie in der EBK Geldwäschereiverordnung. Erhält die EBK von Verletzungen des BankG oder von sonstigen Missständen Kenntnis, so hat sie die zur Herstellung des ordnungsgemässen Zustands und zur Beseitigung der Missstände notwendigen Massnahmen zu treffen38. Sie beaufsichtigt also die einwandfreie Geschäftsführung der Banken.

Die EBK hat hingegen nicht die Aufgabe, vermutete Verletzungen des Bankgeheimnisses im Einzelfall abzuklären. Dies obliegt den kantonalen Strafbehörden39. Allerdings dürfte eine systematische Verletzung des Bankgeheimnisses Gegenstand der durch die EBK über die Banken ausgeübten Aufsicht sein, denn die einwandfreie Geschäftsführung, wie sie durch das BankG verlangt wird, wäre bei systematischer Verletzung wohl nicht mehr gewährleistet.

Wie im dritten Kapitel ausgeführt, existiert für die Übermittlung des Namens, der Kontonummer und des Domizils der auftraggebenden Partei bei Zahlungen ins Ausland eine Rechtspflicht, welche das Bankgeheimnis von Artikel 47 des BankG einschränkt40. Eine systematische Verletzung des Bankgeheimnisses wäre also erst zu prüfen, falls die Banken über die SWIFT weitergehende Personendaten ohne das Einverständnis des jeweiligen Bankkundens übermittelt hätten.

Die EBK wie übrigens auch die Schweizerische Bankiervereinigung kamen deshalb zum Schluss, dass das schweizerische Bankgeheimnis durch die schweizerischen Finanzinstitute im konkreten Fall nicht verletzt wird.

4.3.2

Einwandfreie Geschäftsführung der Banken, Datenschutz und Weitergabe von Daten an Dritte

Es ist nun abzuklären, ob im Rahmen der Weitergabe der Transaktionsdaten durch die SWIFT allenfalls weitere Mängel bei den Finanzinstituten aufgetreten sind, welche in den Aufsichtsbereich der EBK fallen beziehungsweise die einwandfreie Geschäftsführung der Banken tangieren. Der EDÖB stellte fest, dass die Finanzinstitute ihre Kunden über die Weitergabe ihrer Transaktionsdaten durch die SWIFT an die amerikanischen Behörden hätten informieren müssen, um dem im Artikel 4 Absatz 2 des DSG festgehaltenen Grundsatz von Treu und Glauben der Daten37 38 39 40

Verordnung vom 17.5.1972 über die Banken und Sparkassen (Bankenverordnung, BankV; SR 952.02).

Vgl. Art. 23ter BankG.

Vgl. Art. 51bis BankG.

Vgl. Art. 15 EBK Geldwäschereiverordnung.

Artikel 15 der EBK Geldwäschereiverordnung wurde aufgrund der Spezialempfehlung VII der FATF erlassen. Aus den Erklärungen der FATF zur Empfehlung ist ersichtlich, dass diese Informationen nebst den Strafverfolgungsbehörden u.a. auch den mit der Bekämpfung der Terrorismusfinanzierung betrauten Nachrichtendiensteinheiten grundsätzlich zur Verfügung stehen sollten; vgl. http://www.fatf-gafi.org/document/53/0,2340,en_32250379_32236947-_ 34261877_1_1_1_1,00.html#insrviii.

8403

bearbeitung Genüge zu tun. Natürlich nur soweit, als sie selbst über die Weitergabe beziehungsweise über die Möglichkeit der Zugriffnahme auf die SWIFT-Daten orientiert waren. Bisher sei dies nicht erfolgt. Aus Sicht des EDÖB besteht deshalb diese Informationspflicht weiterhin.

Hier stellt sich die Frage, ob sich die Banken darauf berufen können, dass mit der Inkraftsetzung des Artikels 15 der EBK Geldwäschereiverordnung eine öffentlich zugängliche Rechtsgrundlage für die Übermittlung gewisser Daten bei Zahlungsaufträgen ins Ausland geschaffen wurde und sie deshalb ihre Kunden über die Weitergabe der Transaktionsdaten an die amerikanischen Behörden nicht zu informieren haben41. Gemäss dem EDÖB verpflichtet die Verordnungsbestimmung die Finanzinstitute, gewisse Daten bei Auslandzahlungen anzugeben, aber sie stellt keine Rechtsgrundlage dar, um die Transaktionsdaten an Dritte weiterzugeben. Sie entbinde das Finanzinstitut insbesondere nicht von der Pflicht, gemäss Artikel 4 Absatz 2 des DSG ihre Kunden von der Weitergabe der Daten an Dritte zu informieren. Daran ändere auch nichts, dass die Öffentlichkeit insbesondere durch die Medien über die Weitergabe an die amerikanischen Behörden informiert wurde, weil es nicht als allgemein bekannt vorausgesetzt werden kann, dass der Datentransfer weiterhin stattfindet42.

Der EDÖB stellte nebst der Verletzung der Informationspflicht durch die Finanzinstitute eine weitere Verletzung des DSG fest. Gemäss Artikel 6 Absatz 1 des DSG dürfen keine Personendaten in ein Land transferiert werden, das keinen zur Schweiz gleichwertigen Datenschutz kennt, falls dadurch die Persönlichkeit der betroffenen Person schwerwiegend gefährdet würde. Die USA haben keinen zur Schweiz gleichwertigen Datenschutz43.

4.3.3

Massnahmen der EBK

Die EBK wurde im Juli 2002 durch den Präsidenten des Direktoriums der SNB über die Weitergabe der Transaktionsdaten der SWIFT an die amerikanischen Behörden informiert. Diese Information galt als sehr vertraulich, da die amerikanischen Behörden das Programm geheim hielten, um in die Terrorismusfinanzierung involvierte Personen und Finanzinstitute nicht aufzuschrecken. Aus diesem Grund leitete die EBK in Absprache mit der SNB die Information nicht weiter. Der Direktor des Sekretariats der EBK führte vor der Subkommission EFD/EVD der GPK-N aus, dass bei einer allfälligen Information durch die EBK alle Schweizer Finanzinstitute hätten informiert werden müssen, was einer Veröffentlichung der Information gleichgekommen wäre. In ihrer Güterabwägung kam die EBK zum Schluss, dass die Bekämpfung der Terrorismusfinanzierung dem Interesse der Bankkunden, über eine mögliche Überwachung ihrer internationalen Transaktionen orientiert zu werden, vorgehe. Es sei hier daran erinnert, dass die EBK ihrerseits die Einhaltung der EBK

41 42

43

Vgl. Stellungnahme EDÖB, S. 3.

Vgl. die vom EDÖB herausgegebene Liste über den Stand des Datenschutzes weltweit (Stand am 8.1.2007), S. 11; http://www.edoeb.admin.ch/themen/00794/00827/index.html?lang=de.

Vgl. die vom EDÖB herausgegebene Liste über den Stand des Datenschutzes weltweit (Stand am 8.1.2007), S. 11; http://www.edoeb.admin.ch/themen/00794/00827/index.html?lang=de.

8404

Geldwäschereiverordnung durch die Banken zu beaufsichtigen hat und somit auch diesem Ziel verpflichtet ist.

Dementsprechend ergriff die EBK im Zusammenhang mit der Weitergabe der Transaktionsdaten keine Massnahmen.

5

Eidgenössisches Finanzdepartement/Bundesrat

5.1

Aufgaben des EFD und des Bundesrates

Aus der Perspektive der parlamentarischen Oberaufsicht stellte sich sodann die Frage, welche Pflichten das EFD beziehungsweise der Bundesrat hatten, nachdem der damalige Vorsteher des EFD am 16. Juli 2002 vom Präsidenten des Direktoriums der SNB über die Weitergabe der Transaktionsdaten durch die SWIFT an die amerikanischen Behörden informiert worden war.

Der Bundesrat ist sowohl der Achtung der Privatsphäre (Art. 13 BV), der Sicherheit des Landes (Art. 57 BV) wie auch den Interessen der schweizerischen Gesamtwirtschaft (Art. 94 BV) grundsätzlich verpflichtet. Er und die ihm unterstehende Verwaltung haben dementsprechend bei Zielkonflikten, wie sie im Fall der Weitergabe der Transaktionsdaten durch die SWIFT an die amerikanischen Behörden vorliegen, im Rahmen ihrer Kompetenzen eine Interessenabwägung vorzunehmen und eine ausgewogene Lösung anzustreben. Gemäss der Organisationsverordnung für das Eidgenössische Finanzdepartement vom 11. Dezember 2000 (OV-EFD)44 wahrt dieses «in Zusammenarbeit mit dem Eidgenössischen Departement für auswärtige Angelegenheiten (EDA), dem Eidgenössischen Volkswirtschaftsdepartement (EVD; Aussenwirtschaft) und gegebenenfalls mit anderen Departementen die Interessen der Schweiz in internationalen Finanz-, Steuer- und Währungsfragen gegenüber dem Ausland».

5.2

Lagebeurteilung des Bundesrates und des EFD

In seiner Stellungnahme vom 23. August 2006 führte der Bundesrat gegenüber der GPK-N zuerst einleitend die Geschehnisse aus seiner Sicht aus. Er hielt fest, dass der inländische Zahlungsverkehr, der über das SIC läuft, durch die Weitergabe der Transaktionsdaten der SWIFT nicht tangiert ist und auch keine Verletzung der schweizerischen Souveränität durch die USA vorliegt. Der Schutz des Bankgeheimnisses sei aufgrund des Territorialitätsprinzips auf das Staatsgebiet der Schweiz beschränkt. Bezüglich des Verhaltens der Geschäftsbanken hielt er fest, dass sich die Frage stelle, ob die Geschäftsbanken ihre Kunden aus zivil- oder aus datenschutzrechtlicher Sicht über den möglichen Datenzugriff durch die amerikanischen Behörden hätten informieren oder sie mindestens in allgemeiner Form auf die Risiken des Datenzugriffs durch ausländische Behörden hätten hinweisen müssen. Allerdings obliege die Beantwortung dieser Frage den Zivilgerichten beziehungsweise dem EDÖB.

44

SR 172.215.1

8405

Der Bundesrat hätte jedoch negative Auswirkungen für den Ruf des Finanzplatzes Schweiz befürchet, wenn die schweizerischen Behörden und die involvierten Finanzplatzakteure gegen die Einsichtsnahme der USA opponiert hätten. Ein Ausscheren der Schweiz bei der Bekämpfung des Terrorismus und der Terrorismusfinanzierung hätte nach Meinung des Bundesrates den schweizerischen Interessen widersprochen und zudem die Position des Landes auf internationaler Ebene geschwächt. Der Bundesrat kam dementsprechend zum Schluss, dass keine Intervention bei den amerikanischen Behörden angezeigt gewesen war.

Anfangs 2007 erläuterte der Vorsteher des EFD der Subkommission EFD/EVD der GPK-N die Position des Bundesrates und des für dieses Geschäft federführenden EFD. Der Vorsteher des EFD führte einleitend aus, dass er aus der Medienberichterstattung von Ende Juni 2006 von der Datenweitergabe durch die SWIFT an die amerikanischen Behörden erfahren hatte.

Der Vorsteher des EFD sah nach wie vor keinen Handlungsbedarf seitens des Bundesrates, da die Souveränität der Schweiz nicht tangiert sei. Das Bankgeheimnis sei aus Sicht des Bundesrates nicht verletzt, weil es keine extraterritoriale Wirkung habe, wobei die allfällige Klärung dieser Frage letztlich den Strafbehörden obliege.

Die Verstösse gegen den Datenschutz und allenfalls gegen das Bankgeheimnis lägen nicht im Kompetenzbereich des EFD. Es bestehe somit auch keine Interventionsund Informationspflicht seitens der staatlichen Behörden. Es erstaunt dementsprechend nicht, dass die schweizerischen Staatssekretäre des EDA und des EVD anlässlich ihres Treffens mit dem Unterstaatssekretär des amerikanischen Finanzministeriums im September 2006 die Weitergabe der Transaktionsdaten an die amerikanischen Behörden nicht thematisierten. Anlässlich seiner Anhörung durch die Subkommission anfangs 2007 führte der Vorsteher des EFD ebenfalls aus, dass die Reaktionen der Finanzinstitute, der SWIFT aber auch der USA auf die Feststellungen und Empfehlungen der Artikel-29-Gruppe abgewartet werden müssten.

Zusammenfassend lässt sich also sagen, dass der damalige Vorsteher des EFD im Jahr 2002 durch die SNB informiert wurde, jedoch seitens des EFD keine Massnahmen ergriffen wurden. Das federführende EFD wie auch der Bundesrat beurteilten im Sommer 2006 nach dem Erscheinen der erwähnten
Medienberichte die Situation erneut, wobei sie seitens des Bundesrates und der Bundesverwaltung keinen Handlungsbedarf feststellten. Die in der zweiten Jahreshälfte erschienene Stellungnahme des EDÖB wie auch die Feststellungen der europäischen Datenschutzbehörden hatten bisher keinen Einfluss auf diese Lagebeurteilung, die durch den Vorsteher des EFD anfangs 2007 nochmals bestätigt wurde. Das federführende Departement beschränkt sich zurzeit auf die Beobachtung der Entwicklung.

6

Beurteilung der GPK-N und Schlussfolgerungen

Die GPK-N stellt fest, dass sowohl der Bundesrat, das EFD wie auch die EBK in der Weitergabe der Transaktionsdaten an die amerikanischen Behörden keine Verletzung des Bankgeheimnisses feststellen können. Dies zeigt aus Sicht der Kommission auf, wie beschränkt letztlich das schweizerische Bankgeheimnis ist.

Es fällt auf, dass im Zusammenhang mit der Datenweitergabe an die amerikanischen Behörden seitens der schweizerischen staatlichen Akteure ­ ausser durch den EDÖB ­ kein unmittelbarer Handlungsbedarf erkannt wird, sondern diese nur auf die 8406

Klagemöglichkeiten der Kunden der Finanzinstitute verweisen. Aufgrund der nicht erfolgten Information der Kunden der Finanzinstitute, der nur potentiellen Betroffenheit des einzelnen Kunden und wohl auch wegen des durch den Klagenden zu tragenden Prozessrisikos dürfte das Interesse des einzelnen Kunden, die Einhaltung seiner Datenschutzrechte einzufordern, jedoch klein sein. Es resultiert die unbefriedigende Situation, dass die vom EDÖB identifizierten Verletzungen des DSG, welche sinngemäss durch die Feststellungen der Artikel-29-Gruppe wie auch durch die belgische Datenschutzkommission bestätigt wurden, nicht eingeklagt und somit auch nicht gerichtlich überprüft werden. Da die Weitergabe der Transaktionsdaten weiterhin erfolgt, dauern diese Rechtsverletzungen an.

Vor diesem Hintergrund erachtet die GPK-N die Haltung des Bundesrates und des EFD als zu passiv. Nachdem der EDÖB Verletzungen des schweizerischen DSG und auch die europäischen Datenschutzbehörden entsprechende Verletzungen des europäischen Datenschutzrechtes feststellten, müsste aus Sicht der GPK-N der Bundesrat die Lage neu beurteilen. Die alleinige Berufung auf die Möglichkeiten des EDÖB beziehungsweise auf das Klagerecht der betroffenen Kunden der Finanzinstitute greift zu kurz und wird der Verfassungsvorgabe des Schutzes der Privatsphäre (Art. 13 BV) nicht gerecht. Die Rechtslehre wie auch die Rechtsprechung leiten aus Artikel 35 der Bundesverfassung auch Schutzpflichten der Exekutive gegenüber Grundrechtsträgern ab, selbst wenn der Eingriff in das Grundrecht seinen Ursprung nicht im staatlichen Handeln hat45.

Die GPK-N teilt die Ansicht des EDÖB wie auch der europäischen Datenschutzbehörden, dass das Problem letztlich nur unter Einbezug der zwischenstaatlichen Ebene gelöst werden kann und deshalb auch der für die Aussenbeziehungen der Schweiz zuständige Bundesrat beziehungsweise das EDA in Zusammenarbeit mit dem EFD den Kontakt zu den europäischen und amerikanischen Behörden suchen müssen, um eine auch mit der schweizerischen Rechtsordnung konforme Lösung zu finden. Die belgische Datenschutzkommission hat Ende Dezember 2006 zuhanden der belgischen Regierung Möglichkeiten aufgezeigt, wie sich die Bekämpfung der Terrorismusfinanzierung mit den rechtsstaatlichen Anforderungen auf internationaler Ebene vereinbaren lassen46. Auch das Europäische Parlament fordert den Abschluss eines entsprechenden internationalen Abkommens47.

45

46

47

Vgl. Schweizer Rainer J., St. Galler Kommentar zu Artikel 35 BV Randziffer 12, in: Bernhard Ehrenzeller et al. (Hrsg.), Die schweizerische Bundesverfassung, Kommentar, Zürich/Basel/Genf, 2002. Gemäss Jörg Paul Müller hat der Staat «mit all seinen Organen für die Integrität der von den Grundrechten angesprochenen Gütern zu sorgen»; vgl.

Müller Jörg Paul, Allgemeine Bemerkungen zu den Grundrechten, Randziffer 37, in: Thürer et al., Verfassungsrecht der Schweiz.

Commission de la protection de la vie privée, Royaume de Belgique, Avis N° 47 du 20.12.2006 relatif à la préparation d'une convention conernant la transmission de données à caractère personnel par SWIFT à l'US Department of the Treasury (UST), (http://www.privacycommission.be/actualites.htm).

Vgl. Entschliessung des Europäischen Parlaments zu der SWIFT, dem Abkommen über Fluggastdatensätze und dem transantlantischen Dialog über diese Themen vom 14.2.2007, Rz. 7 ff.

8407

Empfehlung Die GPK-N fordert den Bundesrat auf, mit den zuständigen Behörden der EU aktiv eine Lösung für die Weitergabe der Transaktionsdaten der SWIFT zu suchen, welche die schweizerischen Datenschutzgrundsätze wahrt.

Die SNB hat aus Sicht der GPK-N richtig gehandelt, als der Präsident ihres Direktoriums unmittelbar nachdem er über die Weitergabe der Transaktionsdaten orientiert wurde, den damaligen Vorsteher des EFD wie auch die EBK informierte. Die GPK-N geht sodann mit der Artikel-29-Gruppe überein, dass die Weitergabe der Transaktionsdaten einen Einfluss auf die Stabilität der Finanzsysteme hätte haben können und es deshalb wünschenswert ist, datenschutzrechtliche Aspekte bei der Beurteilung der Stabilität der Finanzsysteme in Zukunft miteinzubeziehen.

Mit Befremden nahm die GPK-N davon Kenntnis, dass weder der amtierende Departementsvorsteher noch der Bundesrat vor Ende Juni 2006 von der Datenweitergabe durch die SWIFT wussten, obwohl der Präsident des Direktoriums der SNB den damaligen Vorsteher des EFD wie auch die EBK darüber im Jahr 2002 informiert hatte. Die Kommission ist der Ansicht, dass eine solche Information dem Bundesrat unmittelbar nach Erhalt hätte unterbreitet werden sollen und auch bei einem Wechsel des Departementsvorstehers nicht verloren gehen darf.

Die EBK befand sich von 2002 bis Mitte 2006 im Spannungsfeld zwischen der Bekämpfung der Terrorismusfinanzierung und der Überwachung der gesetzeskonformen Geschäftstätigkeit der Finanzinstitute. Nachdem seit Mitte 2006 das Programm zur Bekämpfung der Terrorismusfinanzierung der Amerikaner nicht mehr geheim ist und sich unterdessen der EDÖB in seiner Stellungnahme zur datenschutzrechtlichen Verantwortung der Finanzinstitute äusserte, stellt sich aus Sicht der GPK-N die Frage, ob die Wahrung der Informationspflicht des DSG unter dem Aspekt der einwandfreien Geschäftsführung nicht aufsichtsrechtlich durchgesetzt werden sollte. Gemäss den Feststellungen des EDÖB verletzen nämlich die Finanzinstitute mit der Weitergabe der Daten Artikel 4 und 6 des DSG. Angesichts des engen Verhältnisses des Datenschutzgesetzes zum Bankgeheimnis48 ist für die GPK-N deshalb zu klären, ob die einwandfreie Geschäftsführung durch die Banken gewährleistet ist.

Aus Sicht der GPK-N war es richtig, dass der EDÖB angesichts der Enthüllungen der «New York
Times» tätig wurde. Er erfüllte damit nicht nur seinen gesetzlichen Auftrag, sondern leistete dadurch auch einen Beitrag zugunsten des guten Rufs der Schweiz im In- und Ausland.

48

Vgl. Ziffer 3.

8408

Die GPK-N ersucht den Bundesrat, zum vorliegenden Bericht und zu den darin enthaltenen Schlussfolgerungen bis Ende September 2007 Stellung zu nehmen.

17. April 2007

Im Namen der Geschäftsprüfungskommission des Nationalrates: Der Vizepräsident: Pierre-François Veillon Der Sekretär: Philippe Schwab Die Präsidentin der Subkommission EFD/EVD: Nationalrätin Brigitta M. Gadient Der Sekretär der Subkommission EFD/EVD: Christoph Albrecht

8409

8410