Tribunal fédéral
Tribunale federale
Tribunal federal
{T 0/2}
1C_214/2016
Urteil vom 22. März 2017
I. öffentlich-rechtliche Abteilung
Besetzung
Bundesrichter Merkli, Präsident,
Bundesrichter Karlen, Fonjallaz, Eusebio, Kneubühler,
Gerichtsschreiber Uebersax.
Verfahrensbeteiligte
A.________,
Beschwerdeführer,
vertreten durch Rechtsanwälte Dr. Roberto Dallafior
und/oder Patrik Salzmann,
gegen
Eidgenössische Finanzmarktaufsicht,
Laupenstrasse 27, 3003 Bern.
Gegenstand
Löschung von Daten (Watchlist),
Beschwerde gegen das Urteil vom 16. März 2016 des Bundesverwaltungsgerichts, Abteilung II.
Sachverhalt:
A.
A.a. Seit dem Jahr 2009 führt die Eidgenössische Finanzmarktaufsicht FINMA (nachfolgend: FINMA) die Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung", die so genannte Watchlist. Die Datensammlung ist im Register des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eingetragen.
A.b. Im Rahmen eines Verwaltungsverfahrens gegen die UBS AG im Zusammenhang mit der Eingabe von Zinssätzen, insbesondere für den London Interbank Offered Rate (LIBOR), stellte die FINMA am 14. Dezember 2012 einen schweren Verstoss der Bank gegen das schweizerische Finanzmarktrecht fest. Gestützt darauf ordnete sie Massnahmen zur Verbesserung der entsprechenden Prozesse sowie die Einziehung von Gewinnen an.
A.c. A.________ war damals Kadermitglied der UBS AG. Im Mai 2012 ersuchte er die FINMA, ihm alle in ihrer Datensammlung zu seiner Person vorhandenen Daten mitzuteilen. Die FINMA lehnte dies zunächst ab mit der Begründung, gegen ihn sei kein Verfahren hängig und es wäre unverhältnismässig, die Vielzahl derjenigen Daten, in denen er wegen seiner Funktion erwähnt werde, unter Wahrung der Interessen der Bank und allfälliger Dritter zur geeigneten Einsichtnahme aufzubereiten.
A.d. Mit Schreiben vom 30. Mai 2013 informierte die FINMA A.________ darüber, ihn in die Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" aufgenommen zu haben, da sie festgestellt habe, dass er als Managing Director, Global Head of STIR, für die finanzmarktrechtlichen Beanstandungen mitverantwortlich sei. Im nachfolgenden Briefaustausch stellte die FINMA A.________ einen teilweise eingeschwärzten "Auszug Excel-Liste Interview betreffend A.________" mit einer Zusammenstellung von Aussagen über ihn zu, wies sein Gesuch um Einsicht in die Schlussverfügung und die Akten im Verfahren gegen die UBS AG ab und teilte ihm mit, er sei wie folgt in der Watchlist eingetragen:
"Managing Director, Gobal Head of STIR, später Macro IR. Höchste Person nachweislich involviert in Zinssatzmanipulationen. UBS trennte sich von ihm."
Im Anschluss an ein darauf folgendes ergänzendes Einsichts- und Auskunftsgesuch informierte die FINMA A.________, in die Datensammlung seien insgesamt 17 ihn betreffende Dokumente aufgenommen, stellte ihm teilweise eingeschwärzte Kopien von vier neu aufgenommenen E-Mails zu und teilte ihm mit, sie habe den Eintrag über ihn in der Watchlist wie folgt angepasst:
"Managing Director, Global Head of STIR, später Macro IR. Es bestehen Hinweise, dass er über die Zinsmanipulationen informiert war. UBS trennte sich von ihm."
A.e. Am 22. April 2014 beantragte A.________, die FINMA habe jede weitere Bearbeitung von ihn betreffenden Personendaten zu unterlassen und sämtliche in die Datensammlung aufgenommenen Daten vollumfänglich zu löschen. Eventuell sei ein Verwaltungsverfahren über die Einträge in die Watchlist zu eröffnen. Daraufhin schlug ihm die FINMA die folgende Änderung des Eintrags vor:
"Managing Director, Global Head of STIR, später Macro IR. Es bestehen Hinweise, dass er über die Zinsmanipulationen informiert war. Das Arbeitsverhältnis mit der UBS AG wurde im gegenseitigen Einvernehmen im Rahmen eines Aufhebungsvertrags beendet."
A.________ erklärte sich damit nicht einverstanden und verlangte, es sei eine anfechtbare Verfügung zu treffen. Mit solcher vom 5. September 2014 wies die FINMA das Gesuch um Löschung der Daten in der Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" sowie auf Unterlassen jeder weiteren Datenbearbeitung ab und trat im Übrigen auf das Gesuch nicht ein. Zur Begründung führte sie im Wesentlichen aus, im Rahmen des Verwaltungsverfahrens gegen die UBS AG sei sie in den Besitz von Unterlagen gekommen, die möglicherweise Zweifel an der Gewähr von A.________ erwecken könnten, falls dieser zukünftig eine Gewährsposition bei einem beaufsichtigten Institut besetzen wolle. Die Watchlist diene dazu, diese Verdachtsmomente für den Fall eines späteren Verfahrens festzuhalten. Die Einträge seien nicht unrichtig und dienten einzig dem behördeninternen Wissensmanagement. Die eigentliche Gewährsprüfung erfolge erst in einem allfälligen späteren Verfahren. Ohne konkrete Aussicht auf eine neue Gewährsposition könne auf die im Eventualbegehren beantragte Einleitung eines solchen Verwaltungsverfahrens nicht eingetreten werden.
B.
Dagegen erhob A.________ Beschwerde an das Bundesverwaltungsgericht. Am 16. März 2016 wies dieses die Beschwerde ab.
C.
Mit Beschwerde in öffentlich-rechtlichen Angelegenheiten vom 3. Mai 2016 an das Bundesgericht beantragt A.________, das Urteil des Bundesverwaltungsgerichts vom 16. März 2016 sowie die Verfügung der FINMA vom 5. September 2014 aufzuheben und die FINMA anzuweisen, jede weitere Bearbeitung von ihn betreffenden Personendaten im Rahmen der Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" zu unterlassen und sämtliche ihn betreffenden darin aufgenommenen Daten unverzüglich vollumfänglich zu vernichten bzw. zu löschen. Eventuell sei das Urteil des Bundesverwaltungsgerichts aufzuheben und die Sache mit verbindlichen Weisungen zur erneuten Beurteilung an die Vorinstanz zurückzuweisen. Zur Begründung wird im Wesentlichen geltend gemacht, die Feststellung, es handle sich bei der Watchlist um eine rein interne Datensammlung, sei offensichtlich unrichtig, diese beruhe nicht auf einer genügenden gesetzlichen Grundlage und der Eintrag sei auch inhaltlich falsch. Das Urteil des Bundesverwaltungsgerichts verletze daher das Datenschutzgesetz, das Recht auf informationelle Selbstbestimmung sowie die Wirtschaftsfreiheit von A.________ und dabei insbesondere das Legalitätsprinzip und den Grundsatz der Verhältnismässigkeit.
Die FINMA schliesst auf Abweisung der Beschwerde. Das Bundesverwaltungsgericht verzichtete auf eine Stellungnahme.
D.
Die I. öffentlich-rechtliche Abteilung des Bundesgerichts hat am 22. März 2017 in einer öffentlichen Beratung über die Beschwerde entschieden.
Erwägungen:
1.
1.1. Gemäss Art. 82 lit. a BGG beurteilt das Bundesgericht Beschwerden in Angelegenheiten des öffentlichen Rechts. Dieses Rechtsmittel steht auch auf dem Gebiet des Datenschutzrechts offen. Beim angefochtenen Entscheid handelt es sich um einen beschwerdefähigen Endentscheid des Bundesverwaltungsgerichts (vgl. Art. 86 Abs. 1 lit. a und Art. 90 BGG).
1.2. Anfechtbar ist allerdings nur das Urteil des Bundesverwaltungsgerichts (sog. Devolutiveffekt); dem Antrag des Beschwerdeführers auf Aufhebung auch der Verfügung der FINMA kann daher von vornherein nicht stattgegeben werden. Immerhin gelten Entscheide unterer Instanzen als inhaltlich mitangefochten (vgl. BGE 134 II 142 E. 1.4 S. 144; 129 II 438 E. 1 S. 441).
1.3. Der Beschwerdeführer war am vorinstanzlichen Verfahren beteiligt und ist als ursprünglicher Gesuchsteller um Löschung des Eintrags und direkter Adressat des angefochtenen Entscheids gemäss Art. 89 Abs. 1 BGG zur Beschwerde legitimiert.
1.4. Mit der Beschwerde an das Bundesgericht kann insbesondere die Verletzung von Bundesrecht gerügt werden (Art. 95 lit. a BGG). Das Bundesgericht wendet das Recht von Amtes wegen an (Art. 106 Abs. 1 BGG), prüft die bei ihm angefochtenen Entscheide aber grundsätzlich nur auf Rechtsverletzungen hin, die von den Beschwerdeführern geltend gemacht und begründet werden (vgl. Art. 42 Abs. 2 BGG).
1.5. Das Bundesgericht legt seinem Urteil den von der Vorinstanz festgestellten Sachverhalt zugrunde (Art. 105 Abs. 1 BGG), es sei denn, dieser sei offensichtlich unrichtig oder beruhe auf einer Rechtsverletzung im Sinne von Art. 95 BGG (vgl. Art. 97 Abs. 1 und Art. 105 Abs. 2 BGG).
2.
Der Beschwerdeführer rügt als offensichtlich unrichtige Tatsachenfeststellung, dass das Bundesverwaltungsgericht mit der FINMA davon ausgegangen sei, es handle sich bei der fraglichen Watchlist um eine rein interne Datensammlung. Ob diese nur internen Zwecken dient oder auch nach aussen publik gemacht oder weitergegeben bzw. verwendet werden kann, ist jedoch eine Rechtsfrage. Darauf wird daher unter rechtlichen Gesichtspunkten einzugehen sein.
3.
3.1. Der Beschwerdeführer macht einen Verstoss gegen Art. 13 Abs. 2 BV geltend und rügt dabei insbesondere, der angefochtene Entscheid beruhe nicht auf einer genügenden gesetzlichen Grundlage.
3.2. Nach Art. 13 Abs. 2 BV hat jede Person Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten. Davon erfasst wird jeder Umgang mit personenbezogenen Daten, wozu auch das Aufbewahren zählt (RAINER J. SCHWEIZER, in: Ehrenzeller/Schindler/Schweizer/Val-lender [Hrsg.], Die schweizerische Bundesverfassung, St. Galler Kommentar, 3. Aufl., 2014, N. 74 zu Art. 13 BV). Für staatliche Eingriffe gelten die Voraussetzungen von Art. 36 BV, und schwere Eingriffe wie namentlich das Erstellen von Persönlichkeitsprofilen bedürfen einer Grundlage in einem formellen Gesetz (SCHWEIZER, a.a.O., N. 79 zu Art. 13 BV).
3.3. Art. 13 Abs. 2 BV wird zu einem grossen Teil im Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) konkretisiert. Da es sich beim Datenschutz um eine Querschnittsaufgabe des Staates handelt, gelangen darüber hinaus einschlägige Sonderbestimmungen mit Datenschutzcharakter in anderen Bundesgesetzen zur Anwendung. Im vorliegenden Zusammenhang trifft das insbesondere für das Bundesgesetz vom 22. Juni 2007 über die Eidgenössische Finanzmarktaufsicht (Finanzmarktaufsichtsgesetz, FINMAG; SR 956.1) und dessen Ausführungsbestimmungen zu.
3.4. Nach Art. 2 Abs. 1 lit. b DSG gilt das Datenschutzgesetz des Bundes für das Bearbeiten von Daten natürlicher und juristischer Personen durch Bundesorgane. Dazu zählt auch die FINMA (vgl. BGE 141 I 201 E. 4.5.1 S. 207, mit Hinweis). Gemäss der gesetzlichen Definition sind Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). Für die Kategorie der so genannten besonders schützenswerten Personendaten und für Persönlichkeitsprofile gelten spezielle Regeln. Bei den besonders schützenswerten Personendaten handelt es sich um Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe sowie administrative oder strafrechtliche Verfolgungen und Sanktionen (Art. 3 lit. c DSG). Ein Persönlichkeitsprofil ist eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt (Art. 3 lit. d DSG). Jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind, stellt eine Datensammlung dar (Art. 3 lit. g DSG). Unter Bearbeiten versteht
das Gesetz jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 lit. e DSG).
3.5. Gemäss Art. 17 Abs. 1 DSG dürfen Organe des Bundes Personendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht. Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen sie nach Art. 17 Abs. 2 DSG nur bearbeiten, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht, oder ausnahmsweise, wenn es für eine in einem Gesetz im formellen Sinn klar umschriebene Aufgabe unentbehrlich ist (lit. a), wenn der Bundesrat es im Einzelfall bewilligt, weil die Rechte der betroffenen Person nicht gefährdet sind (lit. b), oder wenn die betroffene Person im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (lit. c; vgl. BGE 122 I 360 E. 5b S. 363 ff., insbes. E. 5b/dd S. 365).
3.6. Nach Art. 23
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 30 Annonce de l'ouverture d'une procédure - Si des indices donnent à penser que le droit de la surveillance a été enfreint et que la FINMA ouvre une procédure, elle en avise les parties. |
3.7. Gemäss Art. 1 der vom Verwaltungsrat der FINMA erlassenen Verordnung der Eidgenössischen Finanzmarktaufsicht über die Datenbearbeitung vom 8. September 2011 (Datenverordnung-FINMA; SR 956.124) nimmt die FINMA Daten von Personen, deren Gewähr für eine einwandfreie Geschäftstätigkeit nach den Finanzmarktgesetzen und dem FINMAG zweifelhaft oder nicht gegeben ist, in eine Datensammlung auf (Abs. 1). Sie führt die Datensammlung zur Sicherstellung, dass nur Personen, die Gewähr für eine einwandfreie Geschäftstätigkeit bieten, mit der Verwaltung oder Geschäftsführung von Beaufsichtigten betraut werden (Abs. 2 lit. a) oder massgebend an den Beaufsichtigten beteiligt sind (Abs. 2 lit. b). Dabei handelt es sich um die so genannte Watchlist. Die Datenverordnung-FINMA enthält dazu weitere Bestimmungen.
4.
4.1. Zweck der Watchlist ist, der FINMA als Hilfsmittel zu dienen, um sicherzustellen, dass nur Personen, die Gewähr für eine einwandfreie Geschäftstätigkeit bieten, mit der Verwaltung oder Geschäftsführung von Unternehmungen bzw. von Personen, die der Beaufsichtigung durch die FINMA unterstehen, betraut werden oder sich an Beaufsichtigten beteiligen (vgl. Art. 1
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 1 Objet - La présente ordonnance règle les modalités du traitement de données personnelles par la FINMA dans le cadre de la surveillance conformément à la LFINMA et aux lois sur les marchés financiers citées à l'art. 1, al. 1, LFINMA. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 33 Interdiction d'exercer - 1 Si la FINMA constate une violation grave du droit de la surveillance, elle peut interdire à l'auteur d'exercer une fonction dirigeante dans l'établissement d'un assujetti. |
|
1 | Si la FINMA constate une violation grave du droit de la surveillance, elle peut interdire à l'auteur d'exercer une fonction dirigeante dans l'établissement d'un assujetti. |
2 | L'interdiction peut être prononcée pour une durée de cinq ans au plus. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 33 Interdiction d'exercer - 1 Si la FINMA constate une violation grave du droit de la surveillance, elle peut interdire à l'auteur d'exercer une fonction dirigeante dans l'établissement d'un assujetti. |
|
1 | Si la FINMA constate une violation grave du droit de la surveillance, elle peut interdire à l'auteur d'exercer une fonction dirigeante dans l'établissement d'un assujetti. |
2 | L'interdiction peut être prononcée pour une durée de cinq ans au plus. |
4.2. Der Beschwerdeführer macht geltend, er müsse mit einer Veröffentlichung der Daten rechnen, was für ihn schwerwiegende Nachteile mit sich bringen würde. Nach Art. 8
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 8 Conservation et destruction des données personnelles - Les données personnelles sont conservées auprès de la FINMA aussi longtemps qu'elles sont pertinentes et nécessaires à la surveillance. Ensuite, les données sont proposées aux Archives fédérales pour archivage et détruites à la FINMA. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 3 Mesures techniques et organisationnelles - 1 Pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que: |
|
1 | Pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que: |
a | les personnes autorisées n'aient accès qu'aux données personnelles dont elles ont besoin pour accomplir leurs tâches (contrôle de l'accès aux données); |
b | seules les personnes autorisées puissent accéder aux locaux et aux installations utilisés pour le traitement de données (contrôle de l'accès aux locaux et aux installations); |
c | les personnes non autorisées ne puissent pas utiliser les systèmes de traitement automatisé de données personnelles à l'aide d'installations de transmission (contrôle d'utilisation). |
2 | Pour assurer la disponibilité et l'intégrité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que: |
a | les personnes non autorisées ne puissent pas lire, copier, modifier, déplacer, effacer ou détruire des supports de données (contrôle des supports de données); |
b | les personnes non autorisées ne puissent pas enregistrer, lire, modifier, effacer ou détruire des données personnelles dans la mémoire (contrôle de la mémoire); |
c | les personnes non autorisées ne puissent pas lire, copier, modifier, effacer ou détruire des données personnelles lors de leur communication ou lors du transport de supports de données (contrôle du transport); |
d | la disponibilité des données personnelles et l'accès à celles-ci puissent être rapidement restaurés en cas d'incident physique ou technique (restauration); |
e | toutes les fonctions du système de traitement automatisé de données personnelles soient disponibles (disponibilité), que les dysfonctionnements soient signalés (fiabilité) et que les données personnelles stockées ne puissent pas être endommagées en cas de dysfonctionnements du système (intégrité des données); |
f | les systèmes d'exploitation et les logiciels d'application soient toujours maintenus à jour en matière de sécurité et que les failles critiques connues soient corrigées (sécurité du système). |
3 | Pour assurer la traçabilité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que: |
a | il soit possible de vérifier quelles données personnelles sont saisies ou modifiées dans le système de traitement automatisé de données, par quelle personne et à quel moment (contrôle de la saisie); |
b | il soit possible de vérifier à qui sont communiquées les données personnelles à l'aide d'installations de transmission (contrôle de la communication); |
c | les violations de la sécurité des données puissent être rapidement détectées (détection) et que des mesures puissent être prises pour atténuer ou éliminer les conséquences (réparation). |
Als Bundesorgan ist die FINMA gemäss Art. 11a Abs. 2
SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 3 Mesures techniques et organisationnelles - 1 Pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que: |
|
1 | Pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que: |
a | les personnes autorisées n'aient accès qu'aux données personnelles dont elles ont besoin pour accomplir leurs tâches (contrôle de l'accès aux données); |
b | seules les personnes autorisées puissent accéder aux locaux et aux installations utilisés pour le traitement de données (contrôle de l'accès aux locaux et aux installations); |
c | les personnes non autorisées ne puissent pas utiliser les systèmes de traitement automatisé de données personnelles à l'aide d'installations de transmission (contrôle d'utilisation). |
2 | Pour assurer la disponibilité et l'intégrité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que: |
a | les personnes non autorisées ne puissent pas lire, copier, modifier, déplacer, effacer ou détruire des supports de données (contrôle des supports de données); |
b | les personnes non autorisées ne puissent pas enregistrer, lire, modifier, effacer ou détruire des données personnelles dans la mémoire (contrôle de la mémoire); |
c | les personnes non autorisées ne puissent pas lire, copier, modifier, effacer ou détruire des données personnelles lors de leur communication ou lors du transport de supports de données (contrôle du transport); |
d | la disponibilité des données personnelles et l'accès à celles-ci puissent être rapidement restaurés en cas d'incident physique ou technique (restauration); |
e | toutes les fonctions du système de traitement automatisé de données personnelles soient disponibles (disponibilité), que les dysfonctionnements soient signalés (fiabilité) et que les données personnelles stockées ne puissent pas être endommagées en cas de dysfonctionnements du système (intégrité des données); |
f | les systèmes d'exploitation et les logiciels d'application soient toujours maintenus à jour en matière de sécurité et que les failles critiques connues soient corrigées (sécurité du système). |
3 | Pour assurer la traçabilité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que: |
a | il soit possible de vérifier quelles données personnelles sont saisies ou modifiées dans le système de traitement automatisé de données, par quelle personne et à quel moment (contrôle de la saisie); |
b | il soit possible de vérifier à qui sont communiquées les données personnelles à l'aide d'installations de transmission (contrôle de la communication); |
c | les violations de la sécurité des données puissent être rapidement détectées (détection) et que des mesures puissent être prises pour atténuer ou éliminer les conséquences (réparation). |
4.3. Bereits die Aufnahme in die fragliche Datensammlung bedeutet allerdings, dass der Beschwerdeführer mit einem unter Umständen aufwendigen und langwierigen Verwaltungsverfahren über die Zulassung zur Berufsausübung bzw. über ein entsprechendes Berufsverbot rechnen muss, wenn er eine neue Stelle im Bereich der Finanzmarktaufsicht antreten will, oder sich einer Art Bewilligungs- oder Ausschlussverfahren für eine Beteiligung zu stellen hat, wenn er eine solche Beteiligung beabsichtigt. Er muss darüber hinaus davon ausgehen, dass die FINMA auf die bereits gesammelten Informationen abstellen würde und bei der Beurteilung seiner Eignung für die fraglichen Tätigkeiten nicht mehr völlig unbelastet wäre. Letztlich führt die Watchlist dazu, dass sich die darin Aufgenommenen von vornherein in einer ungünstigeren Ausgangslage zur Weiterführung oder Wiederaufnahme einer Erwerbstätigkeit befinden, ohne dass dazu je ein korrektes konkretes Verfahren durchgeführt worden wäre, in dem sie sich gegen die gesammelten Verdachtsmomente hätten wehren können. Es handelt sich bei den in die Datensammlung aufgenommenen Informationen mithin um sensible Daten zur Person im Sinne von Personendaten nach Art. 3 lit. a DSG. Bereits dieser Zusammenhang belegt,
dass die Aufnahme in die Watchlist einen Eingriff in das Recht auf informationelle Selbstbestimmung der Betroffenen darstellt.
4.4. Von Bedeutung erweist sich sodann die Qualität der in der Watchlist enthaltenen Informationen. Nach Art. 3
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données. |
Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., 2014, N. 62 ff. zu Art. 3
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données. |
4.5. Nach Art. 9
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 9 But - La FINMA tient une banque de données pour assurer l'évaluation des garanties d'une activité irréprochable au sens des lois sur les marchés financiers. À cet effet, elle saisit dans la banque de données les données nécessaires pour le cas où une évaluation future des garanties d'une activité irréprochable serait réalisée. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 53 Procédure administrative - La procédure est régie par la loi fédérale du 20 décembre 1968 sur la procédure administrative117. |
4.6. Unterstrichen wird dies im vorliegenden Fall durch die erfolgten Einträge. Nur schon der Hinweis darauf, der Beschwerdeführer habe von den seiner ehemaligen Arbeitgeberin vorgeworfenen Zinsmanipulationen Kenntnis gehabt und diese habe sich in der Folge, ob einvernehmlich oder nicht, von ihm getrennt, legt die Annahme nahe, dass er damit in irgendeiner Weise zu tun gehabt hatte, ohne dass dies explizit ausgesprochen wird und nachgewiesen wäre. In ihrem Schreiben vom 30. Mai 2013 hatte die FINMA den Beschwerdeführer im Übrigen ausdrücklich als für die gegenüber seiner damaligen Arbeitgeberin erhobenen Beanstandungen mitverantwortlich bezeichnet, was bereits eine zumindest vorläufige Einschätzung seiner Eignung für eine Tätigkeit im Finanzmarktbereich zum Ausdruck bringt. Hinzu kommt eine ganze Reihe zusätzlicher Unterlagen und E-Mails, die meist aus dem Verfahren gegen die frühere Arbeitgeberin des Beschwerdeführers stammen und offenbar auch als mögliche Beweismittel dafür dienen sollen, dass er an den Verfehlungen in irgendeiner Weise beteiligt gewesen sei. Mit dem Eintrag in die Watchlist wurde mithin die Grundlage für eine mögliche zukünftige Beurteilung gelegt, der Beschwerdeführer biete keine Gewähr für eine einwandfreie
Geschäftstätigkeit im Finanzmarktbereich, womit wesentliche Aspekte seiner Persönlichkeit in Frage stehen. Ohne dass ein Fehlverhalten des Beschwerdeführers selbst bisher in einem eigentlichen Administrativverfahren mit Gelegenheit zur Wahrnehmung von Parteirechten festgestellt worden ist, erweist sich seine künftige berufliche Tätigkeit als bereits erheblich kompromittiert. Es muss davon ausgegangen werden, dass er grossen Schwierigkeiten entgegensehen müsste, möchte er künftig wieder eine gleichartige Erwerbstätigkeit wie bei seiner früheren Arbeitgeberin ausüben. Nur schon die Möglichkeit eines Verfahrens über die Feststellung der Gewähr für eine einwandfreie Geschäftstätigkeit bzw. über ein eventuelles Berufsverbot bringt angesichts des damit verbundenen Aufwands und Zeitbedarfs die erhebliche Wahrscheinlichkeit mit sich, dass ein potenzieller Arbeitgeber die Stelle anderweitig besetzen würde.
4.7. Schliesslich kennt die Verordnung zwar ein Auskunftsrecht der betroffenen Personen (Art. 6
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 6 Collecte des données personnelles |
|
1 | La FINMA peut collecter des données personnelles auprès: |
a | des assujettis; |
b | des employeurs; |
c | de la personne concernée; |
d | des requérants; |
e | des autorités nationales et étrangères; |
f | des parties à la procédure; |
g | des sociétés d'audit et des personnes mandatées par la FINMA; |
h | d'autres personnes soumises à des obligations de renseigner ou d'annoncer. |
2 | Elle peut en outre collecter des données personnelles à partir d'autres sources non accessibles au public et de sources accessibles au public. |
3 | Pour autant que cela soit indispensable à la finalité du traitement des données, la FINMA peut collecter des données personnelles sans révéler son identité. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 30 Annonce de l'ouverture d'une procédure - Si des indices donnent à penser que le droit de la surveillance a été enfreint et que la FINMA ouvre une procédure, elle en avise les parties. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
Widerrechtlichkeit gerichtet sein kann (vgl. Art. 25a Abs. 1 lit. a
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
4.8. Alle diese Zusammenhänge unterstreichen die Schwere des Eingriffs. Als schwerer Eingriff in das Recht auf informationelle Selbstbestimmung nach Art. 13 Abs. 2 BV bedarf der Eintrag des Beschwerdeführers in der Watchlist gemäss Art. 36 Abs. 1
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
4.9. Demnach setzt die Aufnahme des Beschwerdeführers in die Watchlist gestützt auf Art. 36 Abs. 1
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
5.
Der Beschwerdeführer rügt zusätzlich, der angefochtene Entscheid verstosse gegen die Wirtschaftsfreiheit nach Art. 27
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
6.
6.1. Art. 36 Abs. 1
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
Hinweisen).
6.2. Im vorliegenden Zusammenhang fällt dazu erschwerend in Betracht, dass die demokratische Herleitung des Verordnungsrechts zusätzlich abgeschwächt ist. Üblicherweise überträgt der Gesetzgeber die Verordnungskompetenz an die Exekutive, d.h. auf Bundesebene dem Bundesrat (vgl. Art. 182 Abs. 1
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 9 Conseil d'administration - 1 Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
|
1 | Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
a | fixer les objectifs stratégiques de la FINMA et les soumettre à l'approbation du Conseil fédéral; |
b | statuer sur les affaires de grande portée; |
c | édicter les ordonnances relevant de la compétence de la FINMA et arrêter des circulaires; |
d | superviser la direction; |
e | instituer une révision interne et assurer le contrôle interne; |
f | élaborer le rapport d'activités, le soumettre à l'approbation du Conseil fédéral et le publier; |
g | nommer le directeur de la FINMA sous réserve de l'approbation du Conseil fédéral; |
h | nommer les membres de la direction; |
i | édicter le règlement d'organisation et les directives relatives à l'information; |
j | approuver le budget. |
2 | Le conseil d'administration se compose de sept à neuf membres experts en la matière, qui doivent être indépendants des établissements assujettis. Les membres sont nommés pour une période de quatre ans et leur mandat peut être renouvelé deux fois. |
3 | Le Conseil fédéral nomme les membres du conseil d'administration. Il veille à une représentation appropriée des deux sexes. Le Conseil fédéral désigne le président et le vice-président. Il fixe le montant de leurs indemnités. L'art. 6a de la loi du 24 mars 2000 sur le personnel de la Confédération27 est applicable par analogie. |
4 | Le président ne peut exercer aucune autre activité économique ni remplir de fonction pour le compte de la Confédération ou d'un canton, sauf si elle est utile à l'accomplissement des tâches de la FINMA. |
5 | Le Conseil fédéral révoque les membres du conseil d'administration et approuve la résiliation des rapports de travail du directeur par le conseil d'administration si les conditions requises pour l'exercice de leurs fonctions ne sont plus remplies. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 9 Conseil d'administration - 1 Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
|
1 | Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
a | fixer les objectifs stratégiques de la FINMA et les soumettre à l'approbation du Conseil fédéral; |
b | statuer sur les affaires de grande portée; |
c | édicter les ordonnances relevant de la compétence de la FINMA et arrêter des circulaires; |
d | superviser la direction; |
e | instituer une révision interne et assurer le contrôle interne; |
f | élaborer le rapport d'activités, le soumettre à l'approbation du Conseil fédéral et le publier; |
g | nommer le directeur de la FINMA sous réserve de l'approbation du Conseil fédéral; |
h | nommer les membres de la direction; |
i | édicter le règlement d'organisation et les directives relatives à l'information; |
j | approuver le budget. |
2 | Le conseil d'administration se compose de sept à neuf membres experts en la matière, qui doivent être indépendants des établissements assujettis. Les membres sont nommés pour une période de quatre ans et leur mandat peut être renouvelé deux fois. |
3 | Le Conseil fédéral nomme les membres du conseil d'administration. Il veille à une représentation appropriée des deux sexes. Le Conseil fédéral désigne le président et le vice-président. Il fixe le montant de leurs indemnités. L'art. 6a de la loi du 24 mars 2000 sur le personnel de la Confédération27 est applicable par analogie. |
4 | Le président ne peut exercer aucune autre activité économique ni remplir de fonction pour le compte de la Confédération ou d'un canton, sauf si elle est utile à l'accomplissement des tâches de la FINMA. |
5 | Le Conseil fédéral révoque les membres du conseil d'administration et approuve la résiliation des rapports de travail du directeur par le conseil d'administration si les conditions requises pour l'exercice de leurs fonctions ne sont plus remplies. |
Lambrou/Blechta [Hrsg.], Datenschutzgesetz Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., 2014, N. 21 zu Art. 17
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 9 Conseil d'administration - 1 Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
|
1 | Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
a | fixer les objectifs stratégiques de la FINMA et les soumettre à l'approbation du Conseil fédéral; |
b | statuer sur les affaires de grande portée; |
c | édicter les ordonnances relevant de la compétence de la FINMA et arrêter des circulaires; |
d | superviser la direction; |
e | instituer une révision interne et assurer le contrôle interne; |
f | élaborer le rapport d'activités, le soumettre à l'approbation du Conseil fédéral et le publier; |
g | nommer le directeur de la FINMA sous réserve de l'approbation du Conseil fédéral; |
h | nommer les membres de la direction; |
i | édicter le règlement d'organisation et les directives relatives à l'information; |
j | approuver le budget. |
2 | Le conseil d'administration se compose de sept à neuf membres experts en la matière, qui doivent être indépendants des établissements assujettis. Les membres sont nommés pour une période de quatre ans et leur mandat peut être renouvelé deux fois. |
3 | Le Conseil fédéral nomme les membres du conseil d'administration. Il veille à une représentation appropriée des deux sexes. Le Conseil fédéral désigne le président et le vice-président. Il fixe le montant de leurs indemnités. L'art. 6a de la loi du 24 mars 2000 sur le personnel de la Confédération27 est applicable par analogie. |
4 | Le président ne peut exercer aucune autre activité économique ni remplir de fonction pour le compte de la Confédération ou d'un canton, sauf si elle est utile à l'accomplissement des tâches de la FINMA. |
5 | Le Conseil fédéral révoque les membres du conseil d'administration et approuve la résiliation des rapports de travail du directeur par le conseil d'administration si les conditions requises pour l'exercice de leurs fonctions ne sont plus remplies. |
6.3. Selbst wenn die Delegationsnorm den Inhalt der zulässigen Grundrechtseingriffe nicht detailliert regeln muss, hat sich dieser doch aus dem Gesetz zu ergeben bzw. muss unmittelbar darauf zurückgeführt werden können. Soweit das formelle Gesetz somit keine inhaltlichen Konkretisierungen enthält, beschränkt sich die Delegation auf das im Rahmen der gesetzlichen Regelung zur Erreichung des gesetzlichen Zwecks Unabdingbare, d.h. minimal Notwendige. Im vorliegenden Zusammenhang muss die fragliche Datensammlung im Sinne von Art. 17 Abs. 2 lit. a
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 9 Conseil d'administration - 1 Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
|
1 | Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
a | fixer les objectifs stratégiques de la FINMA et les soumettre à l'approbation du Conseil fédéral; |
b | statuer sur les affaires de grande portée; |
c | édicter les ordonnances relevant de la compétence de la FINMA et arrêter des circulaires; |
d | superviser la direction; |
e | instituer une révision interne et assurer le contrôle interne; |
f | élaborer le rapport d'activités, le soumettre à l'approbation du Conseil fédéral et le publier; |
g | nommer le directeur de la FINMA sous réserve de l'approbation du Conseil fédéral; |
h | nommer les membres de la direction; |
i | édicter le règlement d'organisation et les directives relatives à l'information; |
j | approuver le budget. |
2 | Le conseil d'administration se compose de sept à neuf membres experts en la matière, qui doivent être indépendants des établissements assujettis. Les membres sont nommés pour une période de quatre ans et leur mandat peut être renouvelé deux fois. |
3 | Le Conseil fédéral nomme les membres du conseil d'administration. Il veille à une représentation appropriée des deux sexes. Le Conseil fédéral désigne le président et le vice-président. Il fixe le montant de leurs indemnités. L'art. 6a de la loi du 24 mars 2000 sur le personnel de la Confédération27 est applicable par analogie. |
4 | Le président ne peut exercer aucune autre activité économique ni remplir de fonction pour le compte de la Confédération ou d'un canton, sauf si elle est utile à l'accomplissement des tâches de la FINMA. |
5 | Le Conseil fédéral révoque les membres du conseil d'administration et approuve la résiliation des rapports de travail du directeur par le conseil d'administration si les conditions requises pour l'exercice de leurs fonctions ne sont plus remplies. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 9 Conseil d'administration - 1 Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
|
1 | Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
a | fixer les objectifs stratégiques de la FINMA et les soumettre à l'approbation du Conseil fédéral; |
b | statuer sur les affaires de grande portée; |
c | édicter les ordonnances relevant de la compétence de la FINMA et arrêter des circulaires; |
d | superviser la direction; |
e | instituer une révision interne et assurer le contrôle interne; |
f | élaborer le rapport d'activités, le soumettre à l'approbation du Conseil fédéral et le publier; |
g | nommer le directeur de la FINMA sous réserve de l'approbation du Conseil fédéral; |
h | nommer les membres de la direction; |
i | édicter le règlement d'organisation et les directives relatives à l'information; |
j | approuver le budget. |
2 | Le conseil d'administration se compose de sept à neuf membres experts en la matière, qui doivent être indépendants des établissements assujettis. Les membres sont nommés pour une période de quatre ans et leur mandat peut être renouvelé deux fois. |
3 | Le Conseil fédéral nomme les membres du conseil d'administration. Il veille à une représentation appropriée des deux sexes. Le Conseil fédéral désigne le président et le vice-président. Il fixe le montant de leurs indemnités. L'art. 6a de la loi du 24 mars 2000 sur le personnel de la Confédération27 est applicable par analogie. |
4 | Le président ne peut exercer aucune autre activité économique ni remplir de fonction pour le compte de la Confédération ou d'un canton, sauf si elle est utile à l'accomplissement des tâches de la FINMA. |
5 | Le Conseil fédéral révoque les membres du conseil d'administration et approuve la résiliation des rapports de travail du directeur par le conseil d'administration si les conditions requises pour l'exercice de leurs fonctions ne sont plus remplies. |
Zweck und der Systematik des Gesetzes ergeben kann.
6.4. Im vorliegenden Fall kommt einzig ein Bundesgesetz als mögliche formelle Grundlage in Frage (vgl. Art. 3 lit. j
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 9 Conseil d'administration - 1 Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
|
1 | Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
a | fixer les objectifs stratégiques de la FINMA et les soumettre à l'approbation du Conseil fédéral; |
b | statuer sur les affaires de grande portée; |
c | édicter les ordonnances relevant de la compétence de la FINMA et arrêter des circulaires; |
d | superviser la direction; |
e | instituer une révision interne et assurer le contrôle interne; |
f | élaborer le rapport d'activités, le soumettre à l'approbation du Conseil fédéral et le publier; |
g | nommer le directeur de la FINMA sous réserve de l'approbation du Conseil fédéral; |
h | nommer les membres de la direction; |
i | édicter le règlement d'organisation et les directives relatives à l'information; |
j | approuver le budget. |
2 | Le conseil d'administration se compose de sept à neuf membres experts en la matière, qui doivent être indépendants des établissements assujettis. Les membres sont nommés pour une période de quatre ans et leur mandat peut être renouvelé deux fois. |
3 | Le Conseil fédéral nomme les membres du conseil d'administration. Il veille à une représentation appropriée des deux sexes. Le Conseil fédéral désigne le président et le vice-président. Il fixe le montant de leurs indemnités. L'art. 6a de la loi du 24 mars 2000 sur le personnel de la Confédération27 est applicable par analogie. |
4 | Le président ne peut exercer aucune autre activité économique ni remplir de fonction pour le compte de la Confédération ou d'un canton, sauf si elle est utile à l'accomplissement des tâches de la FINMA. |
5 | Le Conseil fédéral révoque les membres du conseil d'administration et approuve la résiliation des rapports de travail du directeur par le conseil d'administration si les conditions requises pour l'exercice de leurs fonctions ne sont plus remplies. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 9 Conseil d'administration - 1 Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
|
1 | Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
a | fixer les objectifs stratégiques de la FINMA et les soumettre à l'approbation du Conseil fédéral; |
b | statuer sur les affaires de grande portée; |
c | édicter les ordonnances relevant de la compétence de la FINMA et arrêter des circulaires; |
d | superviser la direction; |
e | instituer une révision interne et assurer le contrôle interne; |
f | élaborer le rapport d'activités, le soumettre à l'approbation du Conseil fédéral et le publier; |
g | nommer le directeur de la FINMA sous réserve de l'approbation du Conseil fédéral; |
h | nommer les membres de la direction; |
i | édicter le règlement d'organisation et les directives relatives à l'information; |
j | approuver le budget. |
2 | Le conseil d'administration se compose de sept à neuf membres experts en la matière, qui doivent être indépendants des établissements assujettis. Les membres sont nommés pour une période de quatre ans et leur mandat peut être renouvelé deux fois. |
3 | Le Conseil fédéral nomme les membres du conseil d'administration. Il veille à une représentation appropriée des deux sexes. Le Conseil fédéral désigne le président et le vice-président. Il fixe le montant de leurs indemnités. L'art. 6a de la loi du 24 mars 2000 sur le personnel de la Confédération27 est applicable par analogie. |
4 | Le président ne peut exercer aucune autre activité économique ni remplir de fonction pour le compte de la Confédération ou d'un canton, sauf si elle est utile à l'accomplissement des tâches de la FINMA. |
5 | Le Conseil fédéral révoque les membres du conseil d'administration et approuve la résiliation des rapports de travail du directeur par le conseil d'administration si les conditions requises pour l'exercice de leurs fonctions ne sont plus remplies. |
SR 954.1 Loi fédérale du 15 juin 2018 sur les établissements financiers (LEFin) - Loi sur les bourses LEFin Art. 10 Lieu de la direction effective - 1 La direction effective de l'établissement financier doit être en Suisse. Font exception les directives générales et les décisions relatives à la surveillance des groupes, lorsque l'établissement financier fait partie d'un groupe financier soumis à la surveillance d'autorités étrangères sur une base consolidée appropriée. |
|
1 | La direction effective de l'établissement financier doit être en Suisse. Font exception les directives générales et les décisions relatives à la surveillance des groupes, lorsque l'établissement financier fait partie d'un groupe financier soumis à la surveillance d'autorités étrangères sur une base consolidée appropriée. |
2 | Les personnes chargées de la gestion de l'établissement financier ont leur domicile en un lieu qui leur permette d'exercer la gestion effective des affaires. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 1 Objet - La présente ordonnance règle les modalités du traitement de données personnelles par la FINMA dans le cadre de la surveillance conformément à la LFINMA et aux lois sur les marchés financiers citées à l'art. 1, al. 1, LFINMA. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données. |
6.5. Nach Art. 23
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
6.5.1. Im vorliegenden Zusammenhang geht es nicht um die Beaufsichtigten, bei denen es sich um die unmittelbar im Finanzmarkt Tätigen wie die Banken und die sonstigen Finanzintermediäre handelt, sondern um eine natürliche Person, die für eine solchermassen zu Beaufsichtigende arbeitete. Art. 23 Abs. 2
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
6.5.2. Art. 23 Abs. 1
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 5 Forme juridique, siège et désignation - 1 L'autorité chargée de surveiller les marchés financiers est un établissement de droit public doté d'une personnalité juridique propre; son siège est à Berne. |
|
1 | L'autorité chargée de surveiller les marchés financiers est un établissement de droit public doté d'une personnalité juridique propre; son siège est à Berne. |
2 | Elle porte le nom d'Autorité fédérale de surveillance des marchés financiers («FINMA»). |
3 | La FINMA règle elle-même son organisation selon les principes d'une gouvernance d'entreprise de qualité et d'une gestion économique des affaires. Elle tient sa propre comptabilité. |
der Verwaltung oder Geschäftsführung von Beaufsichtigten betrauten Personen Gewähr für eine einwandfreie Geschäftsführung bieten (vgl. Art. 1
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 1 Objet - La présente ordonnance règle les modalités du traitement de données personnelles par la FINMA dans le cadre de la surveillance conformément à la LFINMA et aux lois sur les marchés financiers citées à l'art. 1, al. 1, LFINMA. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 9 Conseil d'administration - 1 Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
|
1 | Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
a | fixer les objectifs stratégiques de la FINMA et les soumettre à l'approbation du Conseil fédéral; |
b | statuer sur les affaires de grande portée; |
c | édicter les ordonnances relevant de la compétence de la FINMA et arrêter des circulaires; |
d | superviser la direction; |
e | instituer une révision interne et assurer le contrôle interne; |
f | élaborer le rapport d'activités, le soumettre à l'approbation du Conseil fédéral et le publier; |
g | nommer le directeur de la FINMA sous réserve de l'approbation du Conseil fédéral; |
h | nommer les membres de la direction; |
i | édicter le règlement d'organisation et les directives relatives à l'information; |
j | approuver le budget. |
2 | Le conseil d'administration se compose de sept à neuf membres experts en la matière, qui doivent être indépendants des établissements assujettis. Les membres sont nommés pour une période de quatre ans et leur mandat peut être renouvelé deux fois. |
3 | Le Conseil fédéral nomme les membres du conseil d'administration. Il veille à une représentation appropriée des deux sexes. Le Conseil fédéral désigne le président et le vice-président. Il fixe le montant de leurs indemnités. L'art. 6a de la loi du 24 mars 2000 sur le personnel de la Confédération27 est applicable par analogie. |
4 | Le président ne peut exercer aucune autre activité économique ni remplir de fonction pour le compte de la Confédération ou d'un canton, sauf si elle est utile à l'accomplissement des tâches de la FINMA. |
5 | Le Conseil fédéral révoque les membres du conseil d'administration et approuve la résiliation des rapports de travail du directeur par le conseil d'administration si les conditions requises pour l'exercice de leurs fonctions ne sont plus remplies. |
SR 954.1 Loi fédérale du 15 juin 2018 sur les établissements financiers (LEFin) - Loi sur les bourses LEFin Art. 10 Lieu de la direction effective - 1 La direction effective de l'établissement financier doit être en Suisse. Font exception les directives générales et les décisions relatives à la surveillance des groupes, lorsque l'établissement financier fait partie d'un groupe financier soumis à la surveillance d'autorités étrangères sur une base consolidée appropriée. |
|
1 | La direction effective de l'établissement financier doit être en Suisse. Font exception les directives générales et les décisions relatives à la surveillance des groupes, lorsque l'établissement financier fait partie d'un groupe financier soumis à la surveillance d'autorités étrangères sur une base consolidée appropriée. |
2 | Les personnes chargées de la gestion de l'établissement financier ont leur domicile en un lieu qui leur permette d'exercer la gestion effective des affaires. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
6.5.3. Aus der Zuständigkeitsregel von Art. 23 Abs. 1
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
7.
7.1. Zu prüfen bleibt, ob sich die Verordnung und die gestützt darauf im vorliegenden Verfahren gesammelten Daten an diese Vorgaben halten.
7.2. Wie bereits dargelegt, bezweckt die Watchlist das Sammeln von Daten über Personen, deren Gewähr für eine einwandfreie Geschäftstätigkeit nach den Finanzmarktgesetzen und dem FINMAG zweifelhaft oder nicht gegeben ist (Art. 1
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 1 Objet - La présente ordonnance règle les modalités du traitement de données personnelles par la FINMA dans le cadre de la surveillance conformément à la LFINMA et aux lois sur les marchés financiers citées à l'art. 1, al. 1, LFINMA. |
7.2.1. Die Datenverordnung-FINMA enthält verschiedene Bestimmungen zum Gegenstand, zu den Zuständigkeiten, zur Datenbeschaffung und -sicherheit, zur Aufbewahrungsdauer sowie zu den Rechten der betroffenen Personen. Art. 3 der Verordnung zählt unter der Marginalie "Inhalt der Datensammlung" die Daten auf, die darin aufgenommen werden; es handelt sich um Name und Vorname (lit. a), Geburtsdatum (lit. b), Geschlecht (lit. c), Heimatort (lit. d), Nationalität bei ausländischen Staatsangehörigen (lit. e), Adresse (lit. f), Muttersprache (lit. g), Ausbildung (lit. h), Beruf (lit. i), Arbeitsort (lit. j), Qualifikationen (lit. k), Vermögensverhältnisse (lit. l), Versicherungen (lit. m), Auszüge aus dem Handels-, dem Betreibungs- und dem Konkursregister (lit. n), Urteile von Straf-, Zivil- und Verwaltungsgerichten (lit. o), arbeitsrechtliche und administrative Massnahmen (lit. p) sowie Berichte von Prüfgesellschaften und Beauftragten der FINMA (lit. q).
7.2.2. Die Aufzählung in Art. 3
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données. |
Geschäftsverhaltens erlauben. Das eine macht ohne das andere keinen Sinn. Die in Art. 3
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données. |
7.3. Im vorliegenden Fall sammelte die FINMA, wie sie im Verlauf des Verfahrens selbst erläuterte, nebst den Angaben zur Person des Beschwerdeführers einzig Unterlagen mit Verdachtselementen. Ein Grossteil der Unterlagen stammt aus dem Verwaltungsverfahren gegen die frühere Arbeitgeberin des Beschwerdeführers, in dem dieser nicht als Partei konstituiert war und woraus sich keine belegten Rückschlüsse auf sein eigenes Geschäftsverhalten ableiten lassen. Bei etlichen Unterlagen handelt es sich lediglich um E-Mails, in denen sein Name vorkommt. Weder stammen diese Daten aus einem rechtlichen Verfahren, in dem der Beschwerdeführer Parteistellung innehatte, noch beruhen sie sonst wie auf zuverlässigen Quellen, womit sie nicht als erhärtet bzw. glaubwürdig gelten können. Abgesehen von den Angaben zur Person finden sich mithin im Persönlichkeitsprofil des Beschwerdeführers keine zulässigen Daten. Die persönlichen Angaben für sich allein rechtfertigen das Anlegen eines Persönlichkeitsprofils in der Watchlist nicht. Die von der FINMA darin angelegte Datensammlung über den Beschwerdeführer entspricht damit nicht Art. 3
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données. |
7.4. Der angefochtene Entscheid verletzt Art. 13 Abs. 2 BV in Verbindung mit Art. 36 Abs. 1
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 9 Conseil d'administration - 1 Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
|
1 | Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes: |
a | fixer les objectifs stratégiques de la FINMA et les soumettre à l'approbation du Conseil fédéral; |
b | statuer sur les affaires de grande portée; |
c | édicter les ordonnances relevant de la compétence de la FINMA et arrêter des circulaires; |
d | superviser la direction; |
e | instituer une révision interne et assurer le contrôle interne; |
f | élaborer le rapport d'activités, le soumettre à l'approbation du Conseil fédéral et le publier; |
g | nommer le directeur de la FINMA sous réserve de l'approbation du Conseil fédéral; |
h | nommer les membres de la direction; |
i | édicter le règlement d'organisation et les directives relatives à l'information; |
j | approuver le budget. |
2 | Le conseil d'administration se compose de sept à neuf membres experts en la matière, qui doivent être indépendants des établissements assujettis. Les membres sont nommés pour une période de quatre ans et leur mandat peut être renouvelé deux fois. |
3 | Le Conseil fédéral nomme les membres du conseil d'administration. Il veille à une représentation appropriée des deux sexes. Le Conseil fédéral désigne le président et le vice-président. Il fixe le montant de leurs indemnités. L'art. 6a de la loi du 24 mars 2000 sur le personnel de la Confédération27 est applicable par analogie. |
4 | Le président ne peut exercer aucune autre activité économique ni remplir de fonction pour le compte de la Confédération ou d'un canton, sauf si elle est utile à l'accomplissement des tâches de la FINMA. |
5 | Le Conseil fédéral révoque les membres du conseil d'administration et approuve la résiliation des rapports de travail du directeur par le conseil d'administration si les conditions requises pour l'exercice de leurs fonctions ne sont plus remplies. |
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
|
1 | Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles. |
2 | Elle peut le faire en particulier pour: |
a | le contrôle de l'assujetti; |
b | la surveillance; |
c | la conduite de procédures; |
d | l'évaluation des garanties d'une activité irréprochable; |
e | l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier; |
f | l'entraide administrative et judiciaire nationale et internationale. |
3 | Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e. |
4 | Elle règle les modalités. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données. |
8.
Die Beschwerde erweist sich als begründet und ist gutzuheissen, soweit darauf eingetreten werden kann. Das Urteil des Bundesverwaltungsgerichts vom 16. März 2016 ist ersatzlos aufzuheben, und die FINMA ist anzuweisen, die Daten über den Beschwerdeführer in der Watchlist zu löschen.
Bei diesem Verfahrensausgang sind keine Kosten zu erheben (vgl. Art. 66 Abs. 4
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données. |
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données. |
Demnach erkennt das Bundesgericht:
1.
1.1. Die Beschwerde wird gutgeheissen, soweit darauf einzutreten ist, und das Urteil des Bundesverwaltungsgerichts vom 16. März 2016 wird aufgehoben.
1.2. Die Eidgenössische Finanzmarktaufsicht FINMA wird angewiesen, die Daten über den Beschwerdeführer in ihrer Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" zu löschen.
2.
Es werden keine Gerichtskosten erhoben.
3.
Die Eidgenössische Finanzmarktaufsicht FINMA hat den Beschwerdeführer für das bundesgerichtliche Verfahren mit Fr. 4'000.-- zu entschädigen.
4.
Dieses Urteil wird dem Beschwerdeführer, der Eidgenössischen Finanzmarktaufsicht FINMA und dem Bundesverwaltungsgericht, Abteilung II, schriftlich mitgeteilt.
Lausanne, 22. März 2017
Im Namen der I. öffentlich-rechtlichen Abteilung
des Schweizerischen Bundesgerichts
Der Präsident: Merkli
Der Gerichtsschreiber: Uebersax