Haben Schweizer Banken durch Übermittlung von nicht anonymisierten, internen Dokumenten an US-Behörden ihre Fürsorgepflicht und Datenschutzrecht gegenüber Arbeitnehmern verletzt?
Mehrere Schweizer Banken haben im Rahmen eines Amtshilfeverfahrens umfangreiche Bankdaten an das Department of Justice (DoJ) der USA geliefert, wobei Mitarbeiternamen verschlüsselt waren. Unverschlüsselte Daten sollten erst nach einer Ergänzung resp. Präzisierung des Amtshilfegesuches zur Verfügung gestellt werden. Das DoJ hat jedoch direkt von den Banken die sofortige Herausgabe unverschlüsselter Daten verlangt und Klagen angedroht.
Der Bundesrat ermächtigte am 04.04.2012 die Banken, Daten straflos den US-Behörden eigenverantwortlich direkt zur Verfügung zu stellen. Aus den übermittelten Daten gehen unter anderem die Namen von Mitarbeitern hervor.
Fürsorgepflicht und Persönlichkeitsschutz
Die Fürsorgepflicht des Arbeitgebers konkretisiert das allgemeine Persönlichkeitsschutzrecht und umfasst unter anderem:
- den Schutz vor (unberechtigten) Übergriffen Dritter in Zusammenhang mit dem Arbeitsverhältnis (auch auf Reisen);
- die Information über wesentliche Aspekte des Arbeitsverhältnisses, wozu die Lieferung von Arbeitnehmerdaten an ausländische Behörden gehört;
- die Wahrung berechtigter Interessen der Arbeitnehmer (u.A. Vermögen und wirtschaftliches Fortkommen), und
- den Schutz der Daten von Mitarbeitern.
Datenschutz
Arbeitgeber dürfen Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für die Stelle betreffen oder zur Durchführung des Arbeitsvertrages notwendig sind. Die Übermittlung von Daten ins Ausland gilt als Bearbeitung. Eine Übermittlung in ein Land ohne genügenden Datenschutz ist nur unter den Voraussetzungen von DSG 6 Abs. 2 zulässig.
Verletzung der Fürsorgepflicht und des Datenschutzrechts?
Die Übermittlung von Mitarbeiterdaten an die US-Behörden könnte für die betroffenen Arbeitnehmer unter Anderem:
- eine Verletzung der Privatsphäre darstellen
- die Gefahr eines (ungerechtfertigten) (Straf-)Verfahrens im Ausland bedeuten (Gefährdung der persönlichen Freiheit)
- ihre Chancen auf dem Stellenmarkt beeinträchtigen (Gefährdung des Vermögens und des wirtschaftlichen Fortkommens)
Dadurch könnten eine widerrechtliche Persönlichkeitsverletzung, ein Verstoss gegen das Datenschutzrecht und gegen die Arbeitgeberfürsorgepflicht vorliegen. Die Datenübermittlung kann jedoch zulässig sein, wenn ein Rechtfertigungsgrund vorliegt.
Rechtfertigung der Datenübermittlung?
Nachdem die Datenlieferung ausserhalb eines Amtshilfeverfahrens verlangt wurde, können sich die Banken auf keine gesetzliche Grundlage berufen. Die Ermächtigung des Bundesrates zur straflosen Datenübermittlung entbindet die Banken nicht von der Einhaltung des Arbeits- und Datenschutzrechts.
Die USA gelten gemäss Liste des Eidgenössischen Datenschutzbeauftragten als Land ohne angemessenen Datenschutz. Eine Übermittlung von Daten in die USA ist deshalb nur zulässig, wenn eine der Voraussetzungen von DSG 6 Abs. 2 erfüllt ist. In Frage kommen nur die Zustimmung des Mitarbeiters (DSG 6 Abs. 2 lit. b) oder die Wahrung überwiegender öffentlicher Interessen (DSG 6 Abs. 2 lit. d).
Mitarbeiterzustimmung
Wo die Mitarbeiterzustimmung zur Datenübermittlung vorgängig nicht ausdrücklich erteilt wurde, darf die Erteilung der Zustimmung nicht angenommen werden. Stimmt ein Mitarbeiter nach Information und Einsicht der Übermittlung nicht zu, lässt sich die Übermittlung nur durch die Wahrung überwiegender öffentlicher Interessen rechtfertigen (DSG 6 Abs. 2 lit. d). Die Banken haben im konkreten Einzelfall eine Interessenabwägung vorzunehmen.
Interessenabwägung
Die Interessen der Arbeitnehmer reichen insbesondere von der Vermeidung von (unberechtigten) Verfahren im Ausland über die Erhaltung ihrer uneingeschränkten Bewegungsfreiheit (berufliche u. private Reisen) über vermögenswerte Interessen (Einkommen und Vermögen) bis zur Reputationswahrung (berufliche und private Ehre).
Als überwiegende öffentliche Interessen werden insbesondere die Sicherung des Schweizer Finanzplatzes und die Systemrelevanz der betreffenden Banken anerkannt. Die Banken können sich nicht auf eigene (existenzielle) Interessen berufen.
Nach der Interessenabwägung im konkreten Einzelfall hat die Bank zu entscheiden, ob sie die Daten übermittelt oder nicht.
Anspruch auf Information und Einsicht
Der Eidgenössische Datenschutzbeauftragte hat an mehreren Banken Empfehlungen abgegeben, welche die Wahrung der Informationsrechte und Interessen der Arbeitnehmer bei der Übermittlung von Daten an die US-Behörden zum Gegenstand haben.
Die Mitarbeiter haben gemäss den erwähnten Empfehlungen zusammengefasst Anspruch auf:
- Information und Auskunft über sie betreffende, bereits übermittelte Daten
- Information im Voraus über eine bevorstehende Übermittlung von sie betreffende Daten
- eine Angemessene Frist, um Auskunft über die sie betreffenden Daten zu verlangen und zu erhalten
- eine angemessene Frist, um ihre Rechte wahrnehmen zu können
Spricht sich ein Mitarbeiter gegen die Übermittlung von ihn betreffende Daten aus, hat die Bank im konkreten Einzelfall eine Interessenabwägung vorzunehmen. Will die Bank die Daten nicht anonymisiert übermitteln, hat sie den betroffenen Mitarbeiter zu informieren und ihn über seine Rechte aufzuklären. Der Mitarbeiter kann gegen die Übermittlung gerichtlich vorgehen (siehe Schema).
Unterstützung, Schadenersatz und Genugtuung
Die Arbeitgeberfürsorgepflicht verpflichtet den Arbeitgeber zur Unterstützung eines Arbeitnehmers, wenn er im Ausland in Zusammenhang mit der Datenübermittlung in ein Verfahren einbezogen wird.
Einem Mitarbeiter, welchem infolge der Datenübermittlung seines Arbeitgebers an die US-Behörden in seiner Persönlichkeit widerrechtlich verletzt ist und dadurch einen Schaden erlitten hat, hat gegen den Arbeitgeber einen Anspruch auf Schadenersatz. Sofern die Schwere der Persönlichkeitsverletzung es rechtfertigt und nicht auf andere Art Wiedergutmachung geleistet wird, hat der Mitarbeiter unter Umständen Anspruch auf Genugtuung. Das vorliegen eines Rechtfertigungsgrundes schliesst Ansprüche auf Schadenersatz und Genugtuung nicht zum Vornherein aus.
Fazit
Betroffene Mitarbeiter haben Anspruch auf Information sowohl über die bereits an die US-Behörden gelieferten Daten als auch über künftige Datenübermittlungen.
Werden Mitarbeiter im Ausland infolge der Datenherausgabe in Verfahren involviert, haben sie Anspruch auf Unterstützung durch den Arbeitgeber; und wenn sie aufgrund der Datenübermittlung Schaden erlitten haben, haben sie bei gegebenen Voraussetzungen Anspruch auf Schadenersatz und allenfalls auch Genugtuung.