Kunden der Zürcher Kantonalbank (ZKB) konnten über die E-Banking-App kurzzeitig die Daten anderer Kunden sehen. Die ZKB sprach von einer «technischen Störung» nach einer Aktualisierung der App und erklärte, man entschuldige sich bei den betroffenen Kunden.
Die Datenpanne weckt Erinnerungen an einen Fehlversand der damaligen Bank Coop im Jahr 2014. Die Bank Coop, die heute Bank Cler heisst, hatte mehreren 10’000 Kunden die Kontoauszüge und andere vertrauliche Unterlagen anderer Kunden per Briefpost geschickt.
Bei der ZKB halten sich erfreulicherweise die Folgen in Grenzen, weil die Datenpanne anscheinend schnell entdeckt wurde. Die App konnte dadurch schon nach kurzer Zeit für die Fehlerbehebung offline genommen werden.
Die Datenschutzbeauftragte des Kantons Zürich, Dr. Dominika Blonski, äusserte sich unter anderem wie folgt zur Datenpanne:
«‹Wenn Personendaten unberechtigterweise Dritten zugänglich waren, wurde die Datensicherheit verletzt.› Die ZKB habe die Vorgaben zur Datensicherheit gemäss Datenschutzgesetz einzuhalten. ‹Sie hat geeignete technische und organisatorische Massnahmen zu ergreifen, um Verletzungen der Datensicherheit zu vermeiden.›»
Die ZKB erklärte, man stehe mit den betroffenen Kunden in Kontakt. In diesem Zusammenhang sagte die Datenschutzbeauftragte des Kantons Zürich:
«Dazu wäre sie laut der Zürcher Datenschutzbeauftragten Blonski nur dann zwingend verpflichtet, ‹wenn es zu ihrem Schutz erforderlich ist oder wenn die Datenschutzbeauftragte dies verlangt.› Dies sei zum Beispiel der Fall, wenn die betroffenen Personen selber Schutzmassnahmen ergreifen müssten.»
Besonderer Schutzbedarf der betroffenen Personen ist nicht ersichtlich (Art. 24 Abs. 4 DSG e contrario).
Datenschutzrechtliche Aufsicht: Wieso ist die Datenschutzbeauftragte des Kantons Zürich für die ZKB zuständig?
Interessant ist, dass die Datenschutzbeauftragte des Kantons Zürich für die datenschutzrechtliche Aufsicht über die ZKB zuständig ist.
Das Zürcher Datenschutzgesetz, das Gesetz über die Information und den Datenschutz (IDG), ist für die ZKB eigentlich nicht anwendbar:
«Die ZKB ist eine selbstständige Anstalt des kantonalen Rechts. Sie steht im wirtschaftlichen Wettbewerb und handelt nicht hoheitlich. Sie untersteht deshalb nicht den Bestimmungen des Gesetzes über die Information und den Datenschutz (IDG). Die Datenschutzbeauftragte ist seit Juni 2020 für die Aufsicht über die Datenbearbeitungen der ZKB zuständig. Sie wendet das Bundesgesetz über den Datenschutz (DSG) an.»
Gemäss § 2 c Abs. 1 IDG ist das IDG nicht anwendbar …
«Dieses Gesetz gilt nicht, soweit öffentliche Organe am wirtschaftlichen Wettbewerb teilnehmen und dabei nicht hoheitlich handeln.»
… erklärt aber im Widerspruch dazu im unmittelbar darauf folgenden Abs. 2 die Datenschutzbeauftragte des Kantons Zürich zur Aufsichtsbehörde:
«Für das Bearbeiten von Personendaten ist das Bundesgesetz über den Datenschutz sinngemäss anwendbar. Die Aufsicht wird von der oder dem Beauftragten für den Datenschutz gemäss §§ 30 ff. ausgeübt.»
Die Bestimmung wurde mit der IDG-Revision von 2018 / 2019 eingeführt. Der Regierungsrat des Kantons Zürich schrieb damals:
«Bereits unter geltendem Recht galt das IDG nicht für das privatwirtschaftliche Handeln öffentlicher Organe. Soweit öffentliche Organe privatrechtlich handeln, sollen die Regeln des IDG weiterhin nicht gelten. Die Regelung des bisherigen Rechts in § 2 Abs. 2 lit. a wird deshalb unverändert übernommen. Allerdings müssen nach den neuen Vorgaben auch für sie – wie für Private, die dem Bundesgesetz über den Datenschutz unterstehen – Datenschutzregeln gelten. Es ist zulässig, die Regeln des Bundesgesetzes über den Datenschutz für privates Datenbearbeiten anwendbar zu erklären. Da solche kantonalen öffentlichen Organe jedoch öffentliche Organe bleiben und nicht Private werden, sondern nur wie Private handeln, bleibt – analog zur Regelung im Bund (Art. 23 Abs. 2 DSG und Art. 32 Abs. 2 E-DSG) – die kantonale Aufsichtsbehörde zuständig. Da es sich zudem um kantonale Organe handelt, sind die Bestimmungen des Bundesgesetzes über den Datenschutz sinngemäss anwendbar. Festzuhalten ist allerdings, dass sich die Regeln für privatrechtliche handelnde öffentliche Organe erst nach der Änderung des Bundesgesetzes über den Datenschutz ändern werden.
Damit die Regeln des geänderten Bundesgesetzes über den Datenschutz ohne weitere Änderung des kantonalen Rechts gelten, ist bei der Verweisung auf das Bundesgesetz über den Datenschutz ausnahmsweise auf ein Datum zu verzichten, mithin eine dynamische Verweisung einzufügen. »
Interessant ist auch die Krisenkommunikation der ZKB. In der Kommunikation, die – soweit ersichtlich – nur direkt gegenüber Medien, aber nicht mit Medienmitteilungen erfolgte, wird versucht, den Fokus auf die nicht betroffenen Kundengelder und damit weg von den betroffenen Kundendaten zu lenken:
«Die Gelder der Kundinnen und Kunden seien zu keinem Zeitpunkt betroffen gewesen.»
Interessant ist schliesslich auch, dass die ZKB schreibt, man entschuldige sich. Die ZKB überlässt es damit nicht den betroffenen Kunden, ob sie die Entschuldigung annehmen möchten oder nicht. Normalerweise bittet man um Entschuldigung, denn eine Entschuldigung ist kein einseitiger Akt, sondern muss – um wirksam zu sein – angenommen werden.
Mit strafrechtlichen Folgen für einzelne verantwortliche Personen bei der ZKB rechne ich nicht.
Bei der Bank Coop damals scheiterte die Strafverfolgung – mindestens offiziell – an der Diffusion der Verantwortung auf Seiten der Bank:
«[…] Es bedurfte jedoch des Zusammenspiels all dieser einzelnen Schritte, welche durch verschiedene Mitarbeitende in verschiedenen Funktionen begangen bzw. unterlassen wurden, um schlussendlich die Jahresendauszüge falsch zuzustellen. Es war keinem dieser Mitarbeitenden bewusst, dass durch den von ihnen zu erledigenden Arbeitsschritt schlussendlich die Bankauszüge falsch zugestellt werden würden. Es kann demzufolge weder einem der involvierten Mitarbeitenden noch den Mitgliedern der Geschäftsleitung der Vorwurf gemacht werden, dass aufgrund ihrer Unachtsamkeit die Jahresendauszüge falsch zugestellt und somit das Bankkundengeheimnis verletzt wurde. Dies würde bedingen, dass die Fehlzustellung für den einzelnen Mitarbeitenden zum Zeitpunkt der Erledigung des Arbeitsschrittes bereits voraussehbar gewesen wäre.»
Nachtrag: Der unglücklich formulierte § 2 c im heutigen IDG wird im Rahmen der laufenden Totalrevision durch die beiden folgenden Bestimmungen ersetzt:
«Soweit öffentliche Organe am wirtschaftlichen Wettbewerb teilnehmen und dabei privatrechtlich handeln, ist das Bundesgesetz vom 25. September 2020 über den Datenschutz sinngemäss anwendbar.»
§ 2 Abs. 2 revIDG
Und:
«Die oder der Beauftragte beaufsichtigt die Bearbeitung von Personendaten durch die öffentlichen Organe, auch wenn diese am wirtschaftlichen Wettbewerb teilnehmen und dabei privatrechtlich handeln.»
§ 50 Abs. 1 revIDG
Yes!! Das denke ich jedes Mal, wenn sich jemand entschuldigt.