Datenbeschaffung von Dritten
im Bankbereich
RADr.DavidVasella
TagungdesVSKB,18.September2017
Material:
– EntwurfundBotschaft
– GegenüberstellungderTextfassungen:https://goo.gl/ChsupW
InformationsquellenzurweiterenBeobachtung:
– BeratungdesGeschäfts(17.059)imParlament:https://goo.gl/W9ew1f – www.datenrecht.ch
– www.dataprotection.ch – www.swissblawg.ch
– www.lawblogswitzerland.ch
Informationen zur Revision des DSG
DavidVasella,TagungVSKB(Bern,18.9.2017)
– DatenbeschaffungzurAkquise(Adresskauf, Internetrecherchenetc.)
– UserTrackingaufInternetͲSeiten – TeilnahmeanInformationsͲPools(z.B.
hedonischeImmobilienschätzung)
Themenübersicht
3 Datenschutz
BankkundenͲ geheimnis UWG
AllgemeineGrundsätzebei Datenbearbeitungen(Auswahl):
– TransparenzundZweckbindung – Verhältnismässigkeit
– Richtigkeit
Rechtfertigungsgründe:Gesetz,
Einwilligung,überwiegendeInteressen Weitere Pflichten:z.B.
Informationspflicht beiderBeschaffung heikler Daten
Risiken:delegelatafastnur Reputationsrisiken
Datenschutzrechtlicher Rahmen
RevisiondesDSG:
– kaumÄnderungenbeiden GrundsätzenundRechtfertigung – erheblicheÄnderungu.a.beiden
Informationspflichten – neueBussenrisiken
Informations-
beschaffung zur Akquise
Worumgeht’s?
– KaufvonAdressenundweiteren Informationenvonspezialisierten Brokern
– DatenbeschaffungüberInternetͲ Quellen
– GoogleStreetView – Firmenwebsites – etc.
Informationsquellen und allgemeine Risiken
Risiken
– Datenschutzverletzungen – VerletzungendesUWG – Vertragsverletzungen
– Reputationsrisiken,negative Kundenreaktionen
DavidVasella,TagungVSKB(Bern,18.9.2017)
Informationsbroker
7
Datenquellen des Brokers
– öffentlicheQuellen,z.B.Register(Handelsregister,Grundbuch,etc.)und Telefonbuch
– privateQuellen,andereBroker(AdressͲWeiterverkauf)
DavidVasella,TagungVSKB(Bern,18.9.2017)
1.Bearbeitungsgrundsätze:
– ErkennbarkeitderBeschaffungzu Werbezwecken:jenachQuellefehlend oderzweifelhaft
– Datenrichtigkeit?
– Verhältnismässigkeit?
– Rechtfertigungdurchüberwiegendes privatesInteresseunwahrscheinlich – ÖffentlichverfügbareAngaben:Art.12
Abs.3DSGgreiftoftnicht(vgl.BVGer,AͲ 4086/2007)
Informationsbeschaffung zur Akquise
9
keineÄnderungmitdemEͲDSG:
– keineÄnderungdesallg.
Transparenzgrundsatzes – keineLockerungder
Zweckbindung(trotzneuer Formulierung)
– keineÄnderungdes Richtigkeitsgrundsatzes – keineÄnderungbeider
Interessenabwägung
*ArtikelangabenbeziehensichaufdasgeltendeDSG.
Informationsbeschaffung zur Akquise
*ArtikelangabenbeziehensichaufdasgeltendeDSG.
DavidVasella,TagungVSKB(Bern,18.9.2017)
2.Pflichtzuraktiven Information:
– AktiveInformation:de legelatanur(i)bei Beschaffung (ii) besonders schützenswerter Personendatenund Profilen(Art.14)
– giltselbstbeiveröffentͲ lichtenDateni.S.v.Art.
12Abs.3
Informationsbeschaffung zur Akquise
11
ErheblicheÄnderungmitdemEͲDSG:
– AktiveInformationbeiBeschaffung beliebiger Personendaten(Art.17ff.EͲDSG)– strafbewehrt!
– GeneralklauselundMindestangaben: RechtsunͲ sicherheit – undgenügende Bestimmheit?
– ArtundWeisederInformation:z.B.inAGB;Website nurbeiDirektbeschaffung
– Zeitpunkt:nachmax.1Monatoderfrüherbei Drittbekanntgabe
– Ausnahmen(Art.18EͲDSG):u.a.fallsunverhältnisͲ mässigaufwendig;Zweckvereitelung;überwiegende Interessen(sofernkeineDrittbekanntgabe)
– Übergangsfrist(Art.63Abs.1EͲDSG)
3.VertraglicheSchranken:AGBder Adressbroker(Beispiele)
– PflichtzurAdressprüfungnachErhalt – AusschlussderGewährleistungbeiListͲ
BrokerͲAdressenmitAbtretungder Ansprüche
– SchadloshaltungzugunstendesBrokers – Zweckbindung
Informationsbeschaffung zur Akquise
– VerbotdesAbgleichsmit eigenenAdressen
– VerbotderErstellungvon Profilen
– Konventionalstrafe
DavidVasella,TagungVSKB(Bern,18.9.2017)
4.WeiterePunkte
– Werbeverbotbei«Sterncheneintrag»
auflocal.ch(Art.3Abs.1lit.uUWG;
inZukunft:auchfehlenderEintrag)
– Massenwerbung(Art.3Abs.1lit.oUWG):
Einwilligungzwingend
(engeAusnahmebeiBestandskunden)
Informationsbeschaffung zur Akquise
13
5.Risiken
– UntersuchungundVerfügung durchdenEDÖB
(Pflicht/Opportunitätsprinzip, Art.43EͲDSG)
– ZivilansprüchenachArt.28ff.ZGB undArt.41ff.OR(theoretisch;
andersEU:«immaterieller»Schaden
Informationsbeschaffung zur Akquise
– Busse:nuraufAntragbei vorsätzlicherVerletzungder
Informationspflicht(Art.54Abs.1EͲ DSG)oderZuwiderhandlunggegen VerfügungdesEDÖB(Art.57EͲDSG)
(BussebisCHF250’000fürPersoneni.S.v.Art.
29StGB/Art.6VStrR)
DavidVasella,TagungVSKB(Bern,18.9.2017)
6.Auskunftsbegehren:
– Quellenangabeverpflichtend – PflichtzurWeiterleitungan
Datenverkäufer – Bussenrisiko:
– falscheoderunvollständige Auskunft
– keineStrafbarkeit:ungerechtͲ fertigteBerufungauf
Ausnahme
– unklar:falscheBerufungauf fehlendeAnwendbarkeitdes Auskunftsrechts
(vgl.BotEͲDSG,167)
Informationsbeschaffung zur Akquise
15 UrteilBVGerAͲ4232/2015– Moneyhouse,E.8.2
Empfehlungen:
– VerzichtaufunnötigeDatenerhebungund aufDatenausunklarenQuellen
– getrennteAufbewahrunggekaufterAdressen undInformationen
– keineWeitergabeanechteDritte (auchnichtimKonzern)
– beiAdresskaufundOnlineͲQuellen:
PrüfungderAGB/Nutzungsbestimmungen
Informationsbeschaffung zur Akquise
User Tracking
AnwendungderDSGVO nachArt.3Abs.2lit.b:
– Verhaltensbeobachtung:
Onlineaktivitäten,auchunabsichtlich undinEinzelfällen;abernurmit Personenbezug
– IPͲAdressenundandereIdentifier:
– wohlweiterhin«relativer»Ansatz undIdentifizierung
– keine«Singularisierung»
– i.d.R.daherkeine Personendaten
a.A.:EDÖB,https://goo.gl/3wQUTW
Anwendbarkeit der DSGVO
Art.3Abs.2DSGVO:«[...]Anwendungaufdie VerarbeitungpersonenbezogenerDatenvon betroffenenPersonen,diesichinderUnion befinden[...]wenndieDatenverarbeitungim Zusammenhangdamitsteht
a)[...]
b)dasVerhaltenbetroffenerPersonenzu beobachten,soweitihrVerhalteninderUnion erfolgt.»
ErwGr 24:«[...],obihreInternetaktivitäten nachvollzogenwerden,[...]»
Art.4Nr.1DSGVO:«[...]alsidentifizierbarwird einenatürlichePersonangesehen,diedirektoder indirekt,insbesonderemittelsZuordnungzueiner KennungwieeinemNamen,zueiner
Kennnummer,zuStandortdaten,zueinerOnlineͲ Kennung[...]»
DavidVasella,TagungVSKB(Bern,18.9.2017)
BegriffdesPersonendatums:
– keineÄnderungder
«Bestimmbarkeit»
– Singularisierungnichtausreichend – relativerAnsatzgiltweiterhin(BGE
136II508– Logistep)
Erfassung durch E-DSG
19
BotschaftEͲDSG:
«VielmehrmussdieGesamtheitderMittel betrachtetwerden,dievernünftigerweise eingesetztwerdenkönnen,umeinePersonzu identifizieren[...]mitBlickaufdieUmstände,etwa denzeitlichenundfinanziellenAufwandfürdie Identifizierung[...]
DasGesetzgiltnichtfüranonymisierteDaten, wenneineReidentifizierung durchDritte
unmöglichist(dieDatenwurdenvollständigund endgültiganonymisiert)oderwenndiesnurmit einemhohenAufwandmöglichwäre,denkein Interessentaufsichnehmenwürde.Dasgilt ebenfallsfürpseudonymisierteDaten.»
– Prüfung«datenschutzfreundlicher»Tools(z.B.Piwik) oderEinstellungen(z.B.«IPTransaktion»)
– Erkennbarkeitschaffendurchentsprechende Datenschutzerklärung
z.T.nachdenAnbieterͲAGBverpflichtend,z.B.https://goo.gl/ckQ9zg
– keinEinsatzvonAnalyticsͲToolsaufSeiten mitKundenlogin
– ggf.AufbaueinerDatenschutzͲInformationsseite
Empfehlungen
Teilnahme an
Informationspools
Beispiel«hedonische»
Immobilienbewertung
– MarktvergleichmitDatenaus Hypothekenvergaben
– IAZIAG:rund70Eigenschaften (Standort,Wohnfläche,
Grundstücksgrösseetc.) – Schätzungauchvon
Luxusliegenschaftenundz.T.von Spezialobjekten
Teilnahme an Informationspools
Herausforderung:Einspeiseneigener InformationenohneOffenbarungder Kundenbeziehung
– «Offenbaren»=miteiner
KenntnisnahmedesGeheimnissesist zurechnen
– nichtabstraktes,sondernkonkretes Risiko
їPrüfunganhandderUmstände, u.a.vertraglicheVerboteund Interessenlage
RADr.DavidVasella WalderWyssAG
david.vasella@walderwyss.com +41586585287
+41794172322