BGE 143 I 253 | |||
| |||
Bearbeitung, zuletzt am 15.03.2020, durch: DFR-Server (automatisch) | |||
23. Auszug aus dem Urteil der I. öffentlich-rechtlichen Abteilung i.S. A. gegen Eidgenössische Finanzmarktaufsicht (Beschwerde in öffentlich-rechtlichen Angelegenheiten) |
1C_214/2016 vom 22. März 2017 | |
Regeste |
Art. 13 Abs. 2 und Art. 36 Abs. 1 BV, Art. 17 Abs. 2 DSG, Art. 23 FINMAG, Datenverordnung-FINMA; Gesetzmässigkeit der von der FINMA geführten sog. Watchlist. |
Ob auch ein schwerer Eingriff in die Wirtschaftsfreiheit vorliegt, kann offenbleiben (E. 5). |
Art. 23 FINMAG stellt eine genügende gesetzliche Grundlage für die Aufnahme von erhärteten Daten zur Person in Verbindung mit zuverlässigen Daten zur Geschäftstätigkeit in die Watchlist dar (E. 6). |
Die in der Datenverordnung-FINMA vorgesehene Datenbank ist grundsätzlich mit dem Gesetz vereinbar. Bei den im vorliegenden Fall gesammelten Informationen handelt es sich aber nicht um zuverlässige Daten, für die eine rechtmässige Grundlage bestehen würde (E. 7). | |
Sachverhalt | |
1 | |
A.a Seit dem Jahr 2009 führt die Eidgenössische Finanzmarktaufsicht FINMA (nachfolgend: FINMA) die Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung", die so genannte Watchlist. Die Datensammlung ist im Register des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eingetragen.
| 2 |
A.b Im Rahmen eines Verwaltungsverfahrens gegen die UBS AG im Zusammenhang mit der Eingabe von Zinssätzen, insbesondere für den London Interbank Offered Rate (LIBOR), stellte die FINMA am 14. Dezember 2012 einen schweren Verstoss der Bank gegen das schweizerische Finanzmarktrecht fest. Gestützt darauf ordnete sie Massnahmen zur Verbesserung der entsprechenden Prozesse sowie die Einziehung von Gewinnen an.
| 3 |
A.c A. war damals Kadermitglied der UBS AG. Im Mai 2012 ersuchte er die FINMA, ihm alle in ihrer Datensammlung zu seiner Person vorhandenen Daten mitzuteilen. Die FINMA lehnte dies zunächst ab mit der Begründung, gegen ihn sei kein Verfahren hängig und es wäre unverhältnismässig, die Vielzahl derjenigen Daten, in denen er wegen seiner Funktion erwähnt werde, unter Wahrung der Interessen der Bank und allfälliger Dritter zur geeigneten Einsichtnahme aufzubereiten.
| 4 |
A.d Mit Schreiben vom 30. Mai 2013 informierte die FINMA A. darüber, ihn in die Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" aufgenommen zu haben, da sie festgestellt habe, dass er als Managing Director, Global Head of STIR, für die finanzmarktrechtlichen Beanstandungen mitverantwortlich sei. Im nachfolgenden Briefaustausch stellte die FINMA A. einen teilweise eingeschwärzten "Auszug Excel-Liste Interview betreffend A." mit einer Zusammenstellung von Aussagen über ihn zu, wies sein Gesuch um Einsicht in die Schlussverfügung und die Akten im Verfahren gegen die UBS AG ab und teilte ihm mit, er sei wie folgt in der Watchlist eingetragen:
| 5 |
"Managing Director, Gobal Head of STIR, später Macro IR. Höchste Person nachweislich involviert in Zinssatzmanipulationen. UBS trennte sich von ihm."
| 6 |
Im Anschluss an ein darauf folgendes ergänzendes Einsichts- und Auskunftsgesuch informierte die FINMA A., in die Datensammlung seien insgesamt 17 ihn betreffende Dokumente aufgenommen, stellte ihm teilweise eingeschwärzte Kopien von vier neu aufgenommenen E-Mails zu und teilte ihm mit, sie habe den Eintrag über ihn in der Watchlist wie folgt angepasst:
| 7 |
"Managing Director, Global Head of STIR, später Macro IR. Es bestehen Hinweise, dass er über die Zinsmanipulationen informiert war. UBS trennte sich von ihm."
| 8 |
A.e Am 22. April 2014 beantragte A., die FINMA habe jede weitere Bearbeitung von ihn betreffenden Personendaten zu unterlassen und sämtliche in die Datensammlung aufgenommenen Daten vollumfänglich zu löschen. (...) Daraufhin schlug ihm die FINMA die folgende Änderung des Eintrags vor:
| 9 |
10 | |
A. erklärte sich damit nicht einverstanden und verlangte, es sei eine anfechtbare Verfügung zu treffen. Mit solcher vom 5. September 2014 wies die FINMA das Gesuch um Löschung der Daten in der Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" sowie auf Unterlassen jeder weiteren Datenbearbeitung ab und trat im Übrigen auf das Gesuch nicht ein. Zur Begründung führte sie im Wesentlichen aus, im Rahmen des Verwaltungsverfahrens gegen die UBS AG sei sie in den Besitz von Unterlagen gekommen, die möglicherweise Zweifel an der Gewähr von A. erwecken könnten, falls dieser zukünftig eine Gewährsposition bei einem beaufsichtigten Institut besetzen wolle. Die Watchlist diene dazu, diese Verdachtsmomente für den Fall eines späteren Verfahrens festzuhalten. Die Einträge seien nicht unrichtig und dienten einzig dem behördeninternen Wissensmanagement. Die eigentliche Gewährsprüfung erfolge erst in einem allfälligen späteren Verfahren. (...)
| 11 |
B. Dagegen erhob A. Beschwerde an das Bundesverwaltungsgericht. Am 16. März 2016 wies dieses die Beschwerde ab.
| 12 |
C. Mit Beschwerde in öffentlich-rechtlichen Angelegenheiten vom 3. Mai 2016 an das Bundesgericht beantragt A., das Urteil des Bundesverwaltungsgerichts vom 16. März 2016 sowie die Verfügung der FINMA vom 5. September 2014 aufzuheben und die FINMA anzuweisen, jede weitere Bearbeitung von ihn betreffenden Personendaten im Rahmen der Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" zu unterlassen und sämtliche ihn betreffenden darin aufgenommenen Daten unverzüglich vollumfänglich zu vernichten bzw. zu löschen. Eventuell sei das Urteil des Bundesverwaltungsgerichts aufzuheben und die Sache mit verbindlichen Weisungen zur erneuten Beurteilung an die Vorinstanz zurückzuweisen. Zur Begründung wird im Wesentlichen geltend gemacht, (...) das Urteil des Bundesverwaltungsgerichts verletze das Datenschutzgesetz, das Recht auf informationelle Selbstbestimmung sowie die Wirtschaftsfreiheit von A. und dabei insbesondere das Legalitätsprinzip und den Grundsatz der Verhältnismässigkeit.
| 13 |
Die FINMA schliesst auf Abweisung der Beschwerde. Das Bundesverwaltungsgericht verzichtete auf eine Stellungnahme.
| 14 |
15 | |
Das Bundesgericht heisst die Beschwerde gut, soweit es darauf eintritt.
| 16 |
(Auszug)
| 17 |
Aus den Erwägungen: | |
Erwägung 3 | |
18 | |
19 | |
20 | |
3.4 Nach Art. 2 Abs. 1 lit. b DSG gilt das Datenschutzgesetz des Bundes für das Bearbeiten von Daten natürlicher und juristischer Personen durch Bundesorgane. Dazu zählt auch die FINMA (vgl. BGE 141 I 201 E. 4.5.1 S. 207 mit Hinweis). Gemäss der gesetzlichen Definition sind Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). Für die Kategorie der so genannten besonders schützenswerten Personendaten und für Persönlichkeitsprofile gelten spezielle Regeln. Bei den besonders schützenswerten Personendaten handelt es sich um Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe sowie administrative oder strafrechtliche Verfolgungen und Sanktionen (Art. 3 lit. c DSG). Ein Persönlichkeitsprofil ist eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt (Art. 3 lit. d DSG). Jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind, stellt eine Datensammlung dar (Art. 3 lit. g DSG). Unter Bearbeiten versteht das Gesetz jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 lit. e DSG).
| 21 |
3.5 Gemäss Art. 17 Abs. 1 DSG dürfen Organe des Bundes Personendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht. Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen sie nach Art. 17 Abs. 2 DSG nur bearbeiten, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht, oder ausnahmsweise, wenn es für eine in einem Gesetz im formellen Sinn klar umschriebene Aufgabe unentbehrlich ist (lit. a), wenn der Bundesrat es im Einzelfall bewilligt, weil die Rechte der betroffenen Person nicht gefährdet sind (lit. b), oder wenn die betroffene Person im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (lit. c; vgl. BGE 122 I 360 E. 5b S. 363 ff., insb. E. 5b/dd S. 365).
| 22 |
23 | |
3.7 Gemäss Art. 1 der vom Verwaltungsrat der FINMA erlassenen Verordnung der Eidgenössischen Finanzmarktaufsicht vom 8. September 2011 über die Datenbearbeitung (Datenverordnung-FINMA; SR 956.124) nimmt die FINMA Daten von Personen, deren Gewähr für eine einwandfreie Geschäftstätigkeit nach den Finanzmarktgesetzen und dem FINMAG zweifelhaft oder nicht gegeben ist, in eine Datensammlung auf (Abs. 1). Sie führt die Datensammlung zur Sicherstellung, dass nur Personen, die Gewähr für eine einwandfreie Geschäftstätigkeit bieten, mit der Verwaltung oder Geschäftsführung von Beaufsichtigten betraut werden (Abs. 2 lit. a) oder massgebend an den Beaufsichtigten beteiligt sind (Abs. 2 lit. b). Dabei handelt es sich um die so genannte Watchlist. Die Datenverordnung-FINMA enthält dazu weitere Bestimmungen.
| 24 |
Erwägung 4 | |
25 | |
4.2 Der Beschwerdeführer macht geltend, er müsse mit einer Veröffentlichung der Daten rechnen, was für ihn schwerwiegende Nachteile mit sich bringen würde. Nach Art. 8 Datenverordnung-FINMA kann die FINMA Daten jedoch nur so weit bekanntgeben, als dafür eine gesetzliche Grundlage besteht oder die betroffene Person schriftlich einwilligt. Ohne einen solchen Sondertatbestand ist eine Veröffentlichung nicht zulässig. Der Beschwerdeführer befürchtet zwar, die FINMA behalte sich eine Publikation direkt gestützt auf Art. 23 Abs. 1 FINMAG vor, indem sie die ihr dort erteilte Befugnis zur Datenbearbeitung so auslege, dass ihr auch die Zuständigkeit zur Veröffentlichung zustehe. Obwohl Art. 3 lit. e DSG das Bekanntgeben von Daten zum Bearbeiten derselben zählt, gibt es keinen Hinweis dafür, dass die FINMA vorsieht, die Watchlist zu publizieren, zumal auch dazu davon auszugehen ist, dass es dafür einer konkreten, klaren formellgesetzlichen Grundlage bedürfte. Der Beschwerdeführer beruft sich sodann auf Art. 3 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG; SR 235.11), wonach Datensammlungen beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB anzumelden sind, bevor die Sammlung eröffnet wird. Als Bundesorgan ist die FINMA gemäss Art. 11a Abs. 2 DSG verpflichtet, sämtliche Datensammlungen beim EDÖB zur Registrierung anzumelden. Dass die FINMA die Watchlist korrekterweise beim EDÖB angemeldet hat, bedeutet mithin nur, dass diese Datensammlung mit Wissen des EDÖB geführt wird, und nicht, dass die FINMA sie auch zu veröffentlichen gedenkt. Woraus solches abzuleiten wäre, ist nicht ersichtlich und wird vom Beschwerdeführer nicht nachvollziehbar dargetan. Es ist daher nicht zu beanstanden, wenn die Vorinstanzen davon ausgehen, die Watchlist diene einzig dem internen Wissensmanagement (gleicher Meinung ZULAUF UND ANDERE, Finanzmarktenforcement, 2. Aufl. 2014, S. 81).
| 26 |
27 | |
4.4 Von Bedeutung erweist sich sodann die Qualität der in der Watchlist enthaltenen Informationen. Nach Art. 3 Datenverordnung-FINMA enthält die Datensammlung verschiedene Angaben zu einer Person und deren Qualifikationen sowie zu Verfahren zu dieser bzw. über diese Person (vgl. dazu hinten E. 7.2.1). Es braucht nicht entschieden zu werden, ob die Watchlist besonders schützenswerte Personendaten führt, solange sie wie hier keine Informationen über administrative oder strafrechtliche Verfolgungen und Sanktionen gegenüber der registrierten Person wiedergibt (vgl. Art. 3 lit. c DSG). Selbst wenn sich nicht alle in Art. 3 Datenverordnung-FINMA aufgezählten Daten im Eintrag befinden, lässt sich aus derartigen Informationen ein Gesamt- oder Teilbild der Persönlichkeit der registrierten natürlichen Person ableiten, wozu hier namentlich solche im Zusammenhang mit der Erwerbstätigkeit bedeutsam erscheinen. Es ist denn auch gerade der Zweck der Watchlist, Informationen zur Eignung einer Person zur Geschäftsführung im Finanzmarktbereich zu sammeln. Insgesamt stellen solche Angaben ein eigentliches Persönlichkeitsprofil dar (vgl. Art. 3 lit. d DSG; vgl. GABOR P. BLECHTA, in: Basler Kommentar, Datenschutzgesetz, Öffentlichkeitsgesetz, 3. Aufl. 2014, N. 62 ff. zu Art. 3 DSG).
| 28 |
29 | |
4.6 Unterstrichen wird dies im vorliegenden Fall durch die erfolgten Einträge. Nur schon der Hinweis darauf, der Beschwerdeführer habe von den seiner ehemaligen Arbeitgeberin vorgeworfenen Zinsmanipulationen Kenntnis gehabt und diese habe sich in der Folge, ob einvernehmlich oder nicht, von ihm getrennt, legt die Annahme nahe, dass er damit in irgendeiner Weise zu tun gehabt hatte, ohne dass dies explizit ausgesprochen wird und nachgewiesen wäre. In ihrem Schreiben vom 30. Mai 2013 hatte die FINMA den Beschwerdeführer im Übrigen ausdrücklich als für die gegenüber seiner damaligen Arbeitgeberin erhobenen Beanstandungen mitverantwortlich bezeichnet, was bereits eine zumindest vorläufige Einschätzung seiner Eignung für eine Tätigkeit im Finanzmarktbereich zum Ausdruck bringt. Hinzu kommt eine ganze Reihe zusätzlicher Unterlagen und E-Mails, die meist aus dem Verfahren gegen die frühere Arbeitgeberin des Beschwerdeführers stammen und offenbar auch als mögliche Beweismittel dafür dienen sollen, dass er an den Verfehlungen in irgendeiner Weise beteiligt gewesen sei. Mit dem Eintrag in die Watchlist wurde mithin die Grundlage für eine mögliche zukünftige Beurteilung gelegt, der Beschwerdeführer biete keine Gewähr für eine einwandfreie Geschäftstätigkeit im Finanzmarktbereich, womit wesentliche Aspekte seiner Persönlichkeit in Frage stehen. Ohne dass ein Fehlverhalten des Beschwerdeführers selbst bisher in einem eigentlichen Administrativverfahren mit Gelegenheit zur Wahrnehmung von Parteirechten festgestellt worden ist, erweist sich seine künftige berufliche Tätigkeit als bereits erheblich kompromittiert. Es muss davon ausgegangen werden, dass er grossen Schwierigkeiten entgegensehen müsste, möchte er künftig wieder eine gleichartige Erwerbstätigkeit wie bei seiner früheren Arbeitgeberin ausüben. Nur schon die Möglichkeit eines Verfahrens über die Feststellung der Gewähr für eine einwandfreie Geschäftstätigkeit bzw. über ein eventuelles Berufsverbot bringt angesichts des damit verbundenen Aufwands und Zeitbedarfs die erhebliche Wahrscheinlichkeit mit sich, dass ein potenzieller Arbeitgeber die Stelle anderweitig besetzen würde.
| 30 |
4.7 Schliesslich kennt die Verordnung zwar ein Auskunftsrecht der betroffenen Personen (Art. 6 Datenverordnung-FINMA). Dass diese von Amtes wegen auch dann, wenn sie sich nicht über einen allfälligen Eintrag erkundigen, darüber zu informieren wären, wird aber nicht vorgeschrieben. Auch nach Art. 30 FINMAG ist die FINMA nur und erst dann zu einer entsprechenden Anzeige verpflichtet, wenn sie ein Verfahren einleitet. Es ist offensichtlich, dass die Kenntnis über den Eintrag auch Voraussetzung für einen allfälligen Rechtsschutz bildet. Ein solcher wird in der Verordnung allerdings nicht ausdrücklich vorgesehen. Zwar schreibt die Verordnung die Berichtigung oder Vernichtung unrichtiger oder unvollständiger Daten oder von solchen vor, die nicht dem Zweck der Datensammlung dienen (Art. 7 Datenverordnung-FINMA); auf welchem Weg dies von einer betroffenen Person zu erreichen wäre, wird aber nicht geregelt. Bei der Anlegung einer Datensammlung handelt es sich um einen Realakt, zu dem schon grundsätzlich in Anwendung von Art. 25a VwVG (SR 172.021) eine Verfügung der zuständigen Behörde verlangt werden kann, die namentlich auf Unterlassung bzw. Einstellung und Beseitigung widerrechtlicher Handlungen sowie subsidiär auf Feststellung der Widerrechtlichkeit gerichtet sein kann (vgl. Art. 25a Abs. 1 lit. a, b und c VwVG). Prioritär in Frage kommen überdies die analogen spezifischen Ansprüche nach Art. 25 DSG (vgl. insb. Art. 25 Abs. 1 lit. a, b und c DSG). Nachdem der Beschwerdeführer Kenntnis von der über ihn bestehenden Datensammlung erhalten hatte, konnte er die entsprechenden Anträge auch einbringen und das vorliegende Verfahren auslösen. Der zu beurteilende Fall belegt aber, dass es für den Betroffenen aufwendig und mit Mühen verbunden sein kann, sich zu wehren.
| 31 |
32 | |
33 | |
5. Der Beschwerdeführer rügt zusätzlich, der angefochtene Entscheid verstosse gegen die Wirtschaftsfreiheit nach Art. 27 BV. Diese gewährleistet insbesondere den freien Zugang zu einer privatwirtschaftlichen Erwerbstätigkeit und deren freie Ausübung. Schwerwiegende Eingriffe in die Wirtschaftsfreiheit bedürfen ebenfalls einer formellgesetzlichen Grundlage (Art. 36 Abs. 1 BV). Die Aufnahme des Beschwerdeführers in die Watchlist bewirkt zweifellos einen Eingriff in seine Wirtschaftsfreiheit gemäss Art. 27 BV, da dadurch seine künftige berufliche Tätigkeit berührt ist. Fraglich erscheint, ob es sich auch insofern um einen schweren Eingriff handelt, da die eigentliche Erwerbstätigkeit nicht unmittelbar im jetzigen Zeitpunkt, sondern nur eventuell in Zukunft eingeschränkt wird. Zwar entschied das Bundesgericht in BGE 141 I 201 E. 4.1 S. 203 f., dass der Umgang mit Personendaten durch die Finanzmarktaufsicht einen schweren Eingriff in die Wirtschaftsfreiheit darstellen kann. Der damalige Fall ist mit dem vorliegenden aber nicht völlig vergleichbar. Wie es sich damit verhält, kann jedoch offenbleiben.
| 34 |
Erwägung 6 | |
6.1 Art. 36 Abs. 1 BV steht in einem engen Zusammenhang mit Art. 164 BV. Daraus ergibt sich, dass die grundlegenden Vorschriften in den für die Rechtsunterworfenen zentralen Belangen in einem formellen Gesetz geregelt werden und kein wichtiger Regelungsbereich den direkt-demokratischen Einwirkungsmöglichkeiten entzogen wird. Liegt ein schwerer Grundrechtseingriff vor, ist eine klare und genaue Grundlage im Gesetz selbst erforderlich. Dabei muss sich aus der Auslegung des Gesetzes ergeben, dass der Verordnungsgeber zur entsprechenden Regelung ermächtigt werden sollte (vgl. BGE 131 II 13 E. 6.3 S. 27 mit Hinweisen). Umgekehrt müssen sich die Verordnungsbestimmungen an den gesetzlichen Rahmen halten. In Bezug auf die notwendige Normdichte lässt sich der Grad der erforderlichen Bestimmtheit nicht abstrakt festlegen. Er hängt unter anderem von der Vielfalt der zu ordnenden Sachverhalte, von der Komplexität und der Vorhersehbarkeit der im Einzelfall erforderlichen Entscheidungen, von den Normadressaten, von der Schwere des Eingriffs in Verfassungsrechte und von der erst bei der Konkretisierung im Einzelfall möglichen und sachgerechten Entscheidung ab (BGE 141 I 201 E. 4.1 S. 203 f.; BGE 139 II 243 E. 10 S. 252; BGE 136 I 87 E. 3.1 S. 90 f. mit Hinweisen).
| 35 |
6.2 Im vorliegenden Zusammenhang fällt dazu erschwerend in Betracht, dass die demokratische Herleitung des Verordnungsrechts zusätzlich abgeschwächt ist. Üblicherweise überträgt der Gesetzgeber die Verordnungskompetenz an die Exekutive, d.h. auf Bundesebene dem Bundesrat (vgl. Art. 182 Abs. 1 BV). Dieser wird zwar nicht unmittelbar vom Volk, aber doch immerhin von der Vereinigten Bundesversammlung gewählt (Art. 175 Abs. 2 in Verbindung mit Art. 157 Abs. 1 lit. a BV). Demgegenüber delegiert Art. 23 Abs. 1 FINMAG die Verordnungskompetenz für die Regelung der Einzelheiten bei der Datenbearbeitung im Bereich der Finanzmarktaufsicht der FINMA, die insofern durch deren Verwaltungsrat handelt (vgl. Art. 9 Abs. 1 FINMAG), der auch die Datenverordnung-FINMA erlassen hat. Wahlorgan für den Verwaltungsrat der FINMA ist der Bundesrat (Art. 9 Abs. 3 FINMAG) und nicht die Bundesversammlung. Damit erweist sich die demokratische Legitimation der Datenverordnung-FINMA als schwächer als dies bei einer bundesrätlichen Verordnung zutrifft. Umso bestimmter hat die Verankerung im formellen Gesetz zu sein. Diese demokratische Funktion des Legalitätsprinzips findet nicht zuletzt ihren Niederschlag in Art. 17 Abs. 2 DSG (SARAH BALLENEGGER, in: Basler Kommentar, Datenschutzgesetz, Öffentlichkeitsgesetz, 3. Aufl. 2014, N. 21 zu Art. 17 DSG).
| 36 |
6.3 Selbst wenn die Delegationsnorm den Inhalt der zulässigen Grundrechtseingriffe nicht detailliert regeln muss, hat sich dieser doch aus dem Gesetz zu ergeben bzw. muss unmittelbar darauf zurückgeführt werden können. Soweit das formelle Gesetz somit keine inhaltlichen Konkretisierungen enthält, beschränkt sich die Delegation auf das im Rahmen der gesetzlichen Regelung zur Erreichung des gesetzlichen Zwecks Unabdingbare, d.h. minimal Notwendige. Im vorliegenden Zusammenhang muss die fragliche Datensammlung im Sinne von Art. 17 Abs. 2 lit. a DSG für eine im Gesetz im formellen Sinn klar umschriebene Aufgabe unentbehrlich sein (vgl. BGE 122 I 360 E. 5b/dd S. 365), d.h. dass die Aufgabenerfüllung ohne die fragliche Datensammlung unmöglich wäre (vgl. BALLENEGGER, a.a.O., N. 26 f. zu Art. 17 DSG). Begrifflich entspricht dies nicht dem insofern etwas weiter gefassten Aspekt der Erforderlichkeit gemäss dem Verhältnismässigkeitsgrundsatz, sondern es handelt sich um eine strengere verfassungs- und gesetzesrechtliche Voraussetzung. Mit anderen Worten wird vom formellen Gesetz nur gedeckt, was sich unmittelbar darauf zurückführen lässt, wobei es allerdings nicht allein auf den Wortlaut ankommt, sondern sich der Zusammenhang auch aus dem Zweck und der Systematik des Gesetzes ergeben kann.
| 37 |
6.4 Im vorliegenden Fall kommt einzig ein Bundesgesetz als mögliche formelle Grundlage in Frage (vgl. Art. 3 lit. j DSG; BALLENEGGER, a.a.O., N. 21 zu Art. 3 DSG). Fünf der sieben Finanzmarktgesetze des Bundes enthalten das Erfordernis, dass die mit der Verwaltung oder Geschäftsführung von Beaufsichtigten betrauten Personen Gewähr für eine einwandfreie Geschäftsführung bieten (vgl. etwa Art. 3 Abs. 2 lit. c BankG [SR 952.0]; Art. 10 Abs. 2 lit. d BEHG [SR 954.1]). Diesem Zweck dient die Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" (vgl. Art. 1 Datenverordnung-FINMA; ZULAUF UND ANDERE, a.a.O., S. 80 f.), die, wie bereits aus ihrer Bezeichnung hervorgeht, eine Datensammlung im Sinne von Art. 3 lit. g DSG bildet (dazu BLECHTA, a.a.O., N. 78 ff. zu Art. 3 DSG).
| 38 |
39 | |
40 | |
6.5.2 Art. 23 Abs. 1 FINMAG erlaubt der FINMA das Bearbeiten von Persönlichkeitsprofilen und erteilt ihr die Kompetenz, dazu die Einzelheiten zu regeln. Der Begriff des Bearbeitens von Daten entspricht dabei Art. 3 lit. e DSG und schliesst das Aufbewahren derselben mit ein (vgl. HANS-PETER SCHAAD, in: Basler Kommentar, Börsengesetz, Finanzmarktaufsichtsgesetz, 2. Aufl. 2011, N. 20 zu Art. 23 FINMAG). Der Begriff des Persönlichkeitsprofils wiederum stimmt mit demjenigen von Art. 3 lit. d DSG überein (SCHAAD, a.a.O., N. 11 zu Art. 23 FINMAG). Da es sich bei der Watchlist um ein Persönlichkeitsprofil handelt, ist damit das Sammeln und Aufbewahren entsprechender Daten im Gesetz grundsätzlich vorgesehen. Die Watchlist wird zwar weder im Gesetz selbst noch in der bundesrätlichen Botschaft vom 1. Februar 2006 zum FINMAG unmittelbar genannt oder umschrieben (vgl. BBl 2006 2875 zu Art. 23 Abs. 1). Nach Art. 5 FINMAG bezweckt das Finanzmarktaufsichtsgesetz aber den Schutz der Gläubigerinnen und Gläubiger, der Anlegerinnen und Anleger und der Versicherten sowie den Schutz der Funktionsfähigkeit der Finanzmärkte. Die als Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" bezeichnete Watchlist hat zum Ziel, sicherzustellen, dass die mit der Verwaltung oder Geschäftsführung von Beaufsichtigten betrauten Personen Gewähr für eine einwandfreie Geschäftsführung bieten (vgl. Art. 1 Datenverordnung-FINMA), was wiederum dem Zweck verschiedener Finanzmarktgesetze entspricht, wie er darin teilweise sogar ausdrücklich genannt wird (vgl. etwa Art. 3 Abs. 2 lit. c BankG; Art. 10 Abs. 2 lit. d BEHG). Wie das Bundesgericht bereits in BGE 141 I 201 E. 4.5.1 S. 207 festgehalten hat, unterstehen der Aufsichtspflicht der FINMA auch alle Personen, die nicht selber direkt der Aufsicht unterstellt sind bzw. in einem Aufsichtsverfahren Parteistellung haben, aber im Finanzmarkt tätig sind, und auch zu deren Personendaten gilt die Pflicht zur Erteilung der erforderlichen Auskünfte und zur Herausgabe einschlägiger Unterlagen. Die Ereignisse auf den Finanzmärkten im ersten Jahrzehnt des 21. Jahrhunderts haben im Übrigen gezeigt, dass eine strikte Kontrolle des Geschäftsgebarens im Finanzmarkt notwendig ist. Die Watchlist ist damit in ausreichendem Mass in Art. 23 Abs. 1 FINMAG angelegt und lässt sich, auch wenn sie darin nicht ausdrücklich genannt wird, auf ein formelles Bundesgesetz zurückführen.
| 41 |
6.5.3 Aus der Zuständigkeitsregel von Art. 23 Abs. 1 FINMAG lässt sich jedoch nicht eine einzig auf Verdachtsmomenten beruhende Vorratshaltung von Daten herleiten. Vom formellen Gesetz gedeckt sind lediglich erhärtete Angaben zur Person in Verbindung mit zuverlässigen Daten zur Geschäftstätigkeit. Dazu zählen solche aus mit Parteirechten verbundenen Verfahren, namentlich Straf- und Administrativ- sowie Aufsichts- und Disziplinarverfahren, oder aus weiteren zuverlässigen Quellen (vgl. ZULAUF UND ANDERE, a.a.O., S. 80) wie Registereinträgen oder Ergebnissen aus korrekt durchgeführten internen oder externen Audits und Personalbeurteilungen. Nicht gesetzeskonform und damit unzulässig sind andere Daten wie von Beteiligten oder Behörden ausgesprochene Vermutungen und Anschuldigungen oder unbelegte Verdächtigungen sowie sonstige, nicht in einem kontradiktorischen oder sonst wie glaubwürdigen Verfahren erhobene und geprüfte Äusserungen mündlicher oder schriftlicher Art.
| 42 |
Erwägung 7 | |
43 | |
44 | |
45 | |
7.2.2 Die Aufzählung in Art. 3 Datenverordnung-FINMA ist ausführlich, detailliert und nicht mit einer begrifflichen Beschränkung wie "namentlich" oder "insbesondere" versehen, welche die Liste als lediglich beispielhaft umschreiben würde. Die Daten gemäss lit. a bis lit. j enthalten persönliche Angaben, die insbesondere die Identifikation der erfassten Person erlauben und deren Berufstätigkeit beschreiben. Die übrigen Angaben von lit. k bis lit. q geben Auskunft darüber, ob die fragliche Person Gewähr für eine einwandfreie Geschäftstätigkeit bietet. Es handelt sich um Daten, die aus rechtlich abgestützten Verfahren stammen oder auf sonst wie glaubwürdigen bzw. zuverlässigen Quellen beruhen. Die in der Liste von Art. 3 Datenverordnung-FINMA vorgesehenen, für das Erstellen eines Persönlichkeitsprofils zu sammelnden Daten entsprechen mithin den Anforderungen an die notwendige Qualität. Für ein massgebliches Persönlichkeitsprofil müssen einerseits genügend persönliche Angaben gemäss lit. a bis lit. j vorliegen, die eine eindeutige Identifikation der fraglichen Person ermöglichen, und diese persönlichen Angaben müssen mit so vielen Daten nach lit. k bis lit. q verbunden sein, dass sie auch Rückschlüsse auf die Frage des einwandfreien Geschäftsverhaltens erlauben. Das eine macht ohne das andere keinen Sinn. Die in Art. 3 Datenverordnung-FINMA enthaltene Aufzählung ist abschliessend, was sich aus dem Wortlaut und dem Detaillierungsgrad der Bestimmung ergibt.
| 46 |
47 | |
7.4 Der angefochtene Entscheid verletzt Art. 13 Abs. 2 BV in Verbindung mit Art. 36 Abs. 1 BV, Art. 17 DSG sowie Art. 23 Abs. 1 FINMAG in Verbindung mit Art. 3 Datenverordnung-FINMA und ist aufzuheben. Auf die übrigen Rügen des Beschwerdeführers muss nicht mehr eingegangen werden. Zur Wiederherstellung einer verfassungs- und gesetzeskonformen Situation genügt die Aufhebung des Entscheids des Bundesverwaltungsgerichts jedoch nicht, sondern darüber hinaus ist die FINMA anzuweisen, die Daten über den Beschwerdeführer in der Watchlist zu löschen. Weitere Anordnungen sowie die Rückweisung an die Vorinstanz zu neuem Entscheid, wie sie der Beschwerdeführer ergänzend bzw. eventuell beantragt, sind nicht erforderlich. (...)
| 48 |
© 1994-2020 Das Fallrecht (DFR). |