Sensible Personendaten wie Gesundheitsdaten oder Daten über die politische Ausrichtung dürfen nicht ohne ausdrückliche Einwilligung der Betroffenen bearbeitet werden. Kunden in der EU haben Anspruch auf Schadenersatz, wenn ihnen durch die Verwendung ihrer Daten ohne Rechtsgrundlage ein Schaden entsteht. Erste Urteile aus der EU zeigen, dass Betroffene ihre gemäss DSGVO zustehenden Schadenersatzansprüche vom Datenbearbeiter einfordern und Gerichte diesen Ansprüchen Recht geben.
Erste Schadenersatzurteile im EU-Raum
Wegweisend ist ein erstinstanzlicher Entscheid des Landgerichts Feldkirch (Österreich), in welchem die Österreichische Post zur Zahlung von EUR 800 als Genugtuung aufgrund unzulässiger Bearbeitung von sensiblen Personendaten verurteilt wurde. Die Post hatte auf die explizite Einwilligung des Kunden zur Bearbeitung der Daten über seine politischen Vorlieben verzichtet.
Mag diese Summe als noch verkraftbar erscheinen, so dürfte sich in diesem Zusammenhang die EUR 18 Mio. Geldbusse, die demselben Unternehmen im Anschluss an dieses Verfahren von der Österreichischen Datenschutzbehörde auferlegt wurde, wesentlich gravierender auswirken. Aktuell sind diverse weitere analoge Schadenersatzklagen gegen die Österreichische Post angekündigt oder hängig. Wenn auch das vorstehend skizzierte Urteil noch nicht in Rechtskraft ergangen ist, so geht dennoch der Tenor der involvierten Datenschutzbehörden in anderen Staaten in die gleiche Richtung.
Europaweit haben Datenschutzbehörden im Zusammenhang mit Datenlecks, Verletzung von Transparenzvorschriften oder aufgrund unerlaubter Speicherung von Personendaten bereits Bussen in Millionenhöhe gesprochen. Die fehlerhafte oder rechtswidrige Bearbeitung von Personendaten kann also teuer werden.
Was bedeutet dies nun für die Schweiz?
Aufgrund des Auswirkungsprinzips können diese Entscheide unabhängig vom Ausgang der parlamentarischen Beratungen zum revidierten Datenschutzgesetz auch Auswirkungen auf Schweizer Finanzdienstleister mit Kunden aus der EU haben.
Mit dem E-DSG liegt insofern eine Änderung der bisherigen Ausgangslage vor, als dass etwa bei einem Profiling als Bewertung bestimmter Merkmale einer Person, insbesondere etwa, um deren wirtschaftlichen Verhältnisse oder Vorlieben zu analysieren oder vorherzusagen (Art. 4 lit. f E-DSG), qua Gesetz (Art. 5 Abs. 6 E-DSG) eine explizite Einwilligung erforderlich ist. Fehlt diese Einwilligung, ist die Bearbeitung solcher Personendaten per se widerrechtlich und stellt eine Verletzung der Persönlichkeit dar. Wenn auch kein Schaden im Rechtssinne dargelegt werden kann, so dürfte in einem solchen Fall die Möglichkeit, zur Zahlung einer Genugtuungssumme verhalten zu werden, nicht auszuschliessen sein (Art. 28 Abs. 2 E-DSG i.V.m. Art. 28a Abs. 3 ZGB).
Bei einer vorsätzlichen Verletzung der Bestimmungen des DSG sind gemäss Art. 54 ff. E-DSG überdies Bussen bis CHF 250‘000 möglich. Das ist im Vergleich zu der gegenüber der Österreichischen Post verhängten Busse verhältnismässig wenig, dürfte jedoch auch so für den Gebüssten schmerzhaft sein.
Wie schützen sich Finanzdienstleister in der Schweiz?
Im Rahmen des Vertragsschlusses ist der Kunde über den Zweck, die Art und den Umfang der Be- und Verarbeitung seiner Daten zu informieren und, wo erforderlich (z.B. Profiling oder sensible Daten), ist die ausdrückliche Einwilligung des Kunden zur Beschaffung von Daten sowie deren Be- und Verarbeitung einzuholen. Für die Regelung des Umgangs mit Kundendaten ist zudem – nebst der Ergreifung technischer Massnahmen – insbesondere eine Datenschutz-Policy erforderlich.