315
Die Kontrolle der Einhaltung der Sorgfaltspflichten erfolgt auf drei Arten:
– | durch die FINMA für Bank- und Versicherungsinstitute sowie durch die Eidgenössische Spielbankenkommission für Spielkasinos; |
– | durch Anschluss an eine sog. SRO (Selbstregulierungsorganisation) für die übrigen Finanzintermediäre; in diesem Falle wird der FINMA die Oberaufsicht (über die SRO) übertragen; |
– | durch direkte Unterstellung unter die Aufsicht der FINMA. |
Auch ausländische Unternehmen unterstehen für ihre schweizerischen Niederlassungen der GwG-Regulierung, soweit diese als berufsmäßige Finanzintermediäre tätig sind.
316
Das Geldwäschereigesetz und die dazugehörigen Verordnungen wurden per 1.1.2016 totalrevidiert. In der Revision wurde insbesondere der Kreis politisch exponierter Personen stark ausgedehnt.
317
Die FINMA hat, als Behörde für die Bekämpfung der Geldwäscherei, die Aufgaben, Wegleitungen und Instruktionen zu erlassen, Selbstregulierungsorganisationen und andere dem Geldwäschereigesetz unterstellte juristische Personen zu kontrollieren und Untersuchungen im Gebiet der Geldwäscherei vorzunehmen oder von Banken oder Versicherungen zu verlangen, sich durch akkreditierte Prüfgesellschaften intern untersuchen zu lassen und das Ergebnis der FINMA offenzulegen.
318
Die von der FINMA zugelassenen Selbstregulierungsorganisationen führen bei ihren Mitgliedern Prüfungen durch und bilden deren Geldwäschereibeauftrage regelmäßig aus bzw. –weiter.
319
Das MROS nimmt Verdachtsmeldungen der Finanzintermediäre entgegen, analysiert diese und leitet sie an die Strafverfolgungsbehörden weiter, wenn der gemeldete Verdacht nicht von der Hand zu weisen ist. Wenn der meldende Finanzintermediär innert fünf Arbeitstagen keine Anweisungen seitens des MROS oder der Strafverfolgungsbehörden erhält, kann er über die gesperrten Gelder in eigener Verantwortung verfügen.
2. Kapitel Grundlagen für Compliance › C. Schweiz › VI. Datenschutz
1. Gesetzliche Grundlage
320
In der Schweiz existiert ein Datenschutzgesetz (DSG), das zuletzt mit Wirkung zum 1.1.2014 geändert worden ist. In den letzten Jahren hat das schweizerische Datenschutzrecht vor allem im Zusammenhang mit individuellen Informationsansprüchen (BGE 138 III 425) und der Weitergabe von Personendaten ins Ausland eine beachtliche Aufwertung bzw. einen Bedeutungszuwachs erfahren. So wird vor allem in arbeitsrechtlichen Auseinandersetzungen das DSG heute regelmäßig als Rechtsgrundlage für Versuche von Arbeitnehmeranwälten angerufen, um z.B. Einblick in Personaldossiers etc. beim Arbeitgeber zu erhalten. Die Weitergabe von Personendaten ins Ausland wurde in den letzten Jahren vor allem im Zusammenhang mit Verfahren ausländischer Behörden gegen schweizerische Banken oder andere Unternehmen thematisiert, das sich einzelne Mitarbeiter der betroffenen Banken aus Furcht vor möglichen Repressionen gegen die Weitergabe ihrer Daten an die ausländischen Behörden wehrten (vgl. z.B. BGer 4A_83/2016). Zurzeit sind Überlegungen zur Revision des DSG im Gang, um den Datenschutz zu stärken und den veränderten technologischen und gesellschaftlichen Verhältnissen anzupassen. Gleichzeitig wird die Gelegenheit genutzt, die Datenschutzkonvention des Europarates zu ratifizieren und die EU-Richtlinien über den Datenschutz im Bereich der Strafverfolgung zu übernehmen.
321
Im Compliance-Bereich hat das DSG erhebliche Bedeutung bei internen Untersuchungen, da es die Umstände und Bedingungen regelt, unter welchen Personendaten von Mitarbeitern auch ohne deren Einwilligung bearbeitet und z.B. auch ins Ausland transferiert werden können. Im Mittelpunkt steht dabei das Verhältnismäßigkeitsprinzip, wonach die Datenbearbeitung einem Unternehmen erlaubt ist, wenn sie einem legalen und legitimen Zweck dient und allfällige, der Datenbearbeitung entgegenstehende Interessen der Mitarbeiter (der sog. Datensubjekte) weniger schwer zu gewichten sind. Ob das Unternehmen den Mitarbeitern den Gebrauch des EDV-Systems auch zu privaten Zwecken erlaubt oder dies verbietet, ist dabei nach Schweizer Datenschutzrecht unwesentlich. Das Unternehmen wird nicht etwa zum Telekommunikationsanbieter und daher dem strafbewehrten Telekommunikationsgeheimnis verhaftet, wenn es den privaten Gebrauch seiner EDV-Infrastruktur nicht ausschließt. Das bedeutet de facto, dass Datenschutzrechte der Mitarbeitenden internen Compliance-Untersuchungen im Grundsatz nicht entgegenstehen.
322
Mit der Totalrevision des Datenschutzgesetzes sollen die Voraussetzungen festgelegt werden, welche für die Übermittlung von Personendaten von einem Schengen-Staat in einen Drittstaat erfüllt sein müssen. Beim Datenexport ins Ausland sind allerdings nebst der Verwendung von Modellklauseln, Datenexportverträgen, des Privacy Shields etc. auch die sogenannten „Blocking Statutes“ (Art. 271 und/oder Art. 273 StGB) zu beachten.
Diese verstärken im Ergebnis den Datenschutz bei Auslandsberührung einer Datenbearbeitungstransaktion, indem Datentransfers zu ausländischen Behörden ohne Einwilligung der Schweizer Behörden bzw. Gerichte oder ohne Beschreitung des Rechtshilfeweges unter Umständen strafbar sein können (Art. 271 StGB). Außerdem dürfen sog. schweizerische Geschäftsgeheimnisse ohne Einwilligung aller in der Schweiz wohnhaften oder domizilierten Geheimnisherren (oder alternativ ohne Anonymisierung derselben) nicht an eine ausländische Gerichts- oder Amtsstelle oder Unternehmung (sogar desselben Konzerns!) übermittelt werden (Art. 273 StGB). Auch über diese Aspekte des Informationsschutzes ist zurzeit ein Gesetzgebungs-Vorverfahren anhängig (Entwurf zu einem Bundesgesetz über die Zusammenarbeit mit ausländischen Behörden und über den Schutz der schweizerischen Souveränität).
323
Ebenso existieren Richtlinien über eine Zertifizierung eines Datenschutzmanagement-Systems, die sich an den ISO-Standard 27001:2005 anlehnen. Die auf den 1.9.2008 in Kraft getretenen Richtlinien sind inzwischen durch entsprechende Änderungen aktualisiert worden (per 1.1.2016).
2. Behörde
324
Oberste zuständige Behörde im Bereich des Datenschutzes ist der Eidgenössische Datenschutz– und Öffentlichkeitsbeauftragte (EDÖB). Seine Aufgaben im privaten Bereich reduzierten sich bisher praktisch auf die Beratung von privaten Unternehmen in rechtlichen und technischen Fragestellungen. Mit der beabsichtigten Totalrevision ist nun weiter vorgesehen, dass der EDÖB Empfehlungen der Guten Praxis, welche die Datenschutzvorschriften konkretisieren, erlässt oder genehmigt. Daneben hat er eine Rolle als Mediator bei Konflikten zwischen Privaten einerseits und Behörden oder anderen Privaten andererseits. Trotz dieser beschränkten Kognition ist die Wirkung des Datenschutzbeauftragten durch seine Möglichkeit zu öffentlichen Stellungnahmen nicht zu unterschätzen. Bei systematischen Verletzungen von Datenschutzrechten einer größeren Anzahl von Personen darf der EDÖB überdies das Bundesverwaltungsgericht auf dem Klageweg anrufen. In dem Zusammenhang betrifft der bekannteste Fall Google Streetview (BGE 138 II 346); auf Klage des EDÖB hat das Bundesverwaltungsgericht in diesem Fall Google gezwungen, Aufnahmen von Straßenszenen und Häuseraufschriften etc. besser zu anonymisieren.