Urteilskopf

138 III 425

63. Auszug aus dem Urteil der I. zivilrechtlichen Abteilung i.S. Bank X. AG gegen A.Y. und B.Y. (Beschwerde in Zivilsachen) 4A_688/2011 vom 17. April 2012

Regeste (de):

Regeste (fr):

Regesto (it):


Sachverhalt ab Seite 426

BGE 138 III 425 S. 426

A. A.Y. (Beschwerdegegnerin 1, Klägerin 1) und B.Y. (Beschwerdegegner 2, Kläger 2) unterhalten bzw. unterhielten bei der Bank X. AG (Beschwerdeführerin, Beklagte) Konto- und Depotbeziehungen. Nach ihrer Darstellung wickelte die Beschwerdeführerin im Jahre 2008 ohne entsprechende Instruktion oder Ermächtigung Optionsgeschäfte über diese Konto- und Depotbeziehungen ab, woraus erhebliche Verluste für die Beschwerdegegner resultiert hätten. Mit Schreiben vom 16. Februar 2009 und 12. März 2009 forderten die Beschwerdegegner die Beschwerdeführerin auf, ihnen die bankinterne Dokumentation insbesondere zum Kundenprofil und zum Anlageziel der Beschwerdegegner zukommen zu lassen. Die Beschwerdeführerin verweigerte die Herausgabe der verlangten bankinternen Unterlagen bzw. verwies die Beschwerdegegner betreffend die Lebensversicherung der XZ. Ltd. an diese Gesellschaft.
B. Mit Klage vom 27. Juli 2009 an das Bezirksgericht Zürich verlangten die Beschwerdegegner gestützt auf das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) Auskunft über sämtliche bankinternen Personendaten. Sie stellten folgende Anträge: "1. Es sei die Beklagte zu verpflichten, der Klägerin 1 Auskunft über sämtliche bankinternen Personendaten der Beklagten betreffend die Klägerin 1 im Sinne von Art. 3 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG und gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG, insbesondere betreffend die folgenden Kontobeziehungen: (...)
zu erteilen.
2. Es sei die Beklagte zu verpflichten, dem Kläger 2 Auskunft über sämtliche bankinternen Personendaten der Beklagten betreffend den Kläger 2 im Sinne von Art. 3 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG und gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG, insbesondere betreffend die folgenden Kontobeziehungen: (...)
zu erteilen."
Mit Urteil vom 22. April 2010 wies das Bezirksgericht die Klage ab. Zur Begründung führte es im Wesentlichen aus, die Beschwerdegegner würden das Auskunftsrecht nicht zum Schutz gegen eine Persönlichkeitsverletzung durch Datenbearbeitung, wie ihn das Datenschutzgesetz intendiere, geltend machen, sondern aus rein finanziellen bzw. zivilprozessualen Beweisinteressen im Rahmen eines Auftragsverhältnisses. Damit widerspreche das Begehren dem Zweck
BGE 138 III 425 S. 427

von Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG. Umgekehrt würde eine Auskunftsverpflichtung die Beschwerdeführerin in ihren durch das Zivil- und Zivilprozessrecht verbrieften Verteidigungsrechten beschneiden und damit deren überwiegende Interessen im Sinne von Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
aAbs. 3 (in der seit 1. Dezember 2010 geltenden Fassung: Abs. 4) DSG verletzen. Dagegen erhoben die Beschwerdegegner Berufung an das Obergericht des Kantons Zürich und verlangten die Gutheissung ihrer Klage. Am 1. Oktober 2011 entschied das Obergericht wie folgt: "1. Die Beklagte wird verpflichtet, der Klägerin 1 Auskunft über sämtliche bankinternen Personendaten, die Klägerin 1 betreffend, zu erteilen, insbesondere betreffend die Konto/Depotbeziehungen (...), mit Ausnahme sämtlicher interner Notizen zum persönlichen Gebrauch des oder der Kundenberater der Beklagten. 2. Die Beklagte wird verpflichtet, dem Kläger 2 Auskunft über sämtliche bankinternen Personendaten, den Kläger 2 betreffend, zu erteilen, insbesondere betreffend die Konto/Depotbeziehungen (...), mit Ausnahme sämtlicher interner Notizen zum persönlichen Gebrauch des oder der Kundenberater der Beklagten." Das Obergericht begründete seinen Beschluss im Wesentlichen damit, das Auskunftsrecht gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG könne grundsätzlich ohne Interessennachweis ausgeübt werden. Es brauche deshalb auch nicht datenschutzrechtlich motiviert zu sein. Datenschützerische Gründe könnten regelmässig vorgeschoben werden. Selbst wenn die Beschwerdegegner das Auskunftsrecht im Hinblick auf einen allfällig nachfolgenden Schadenersatzprozess verlangt hätten, sei dies nicht per se rechtsmissbräuchlich. Die Beschwerdeführerin habe keine schützenswerten Interessen geltend gemacht, die einer Auskunftserteilung entgegenstünden, soweit es sich nicht um interne Notizen des Kundenberaters handle.
C. Die Beschwerdeführerin beantragt mit Beschwerde in Zivilsachen u.a., die Dispositiv-Ziffern 1 und 2 des Beschlusses des Obergerichts vom 1. Oktober 2011 seien insoweit aufzuheben, als die Beschwerdeführerin zur Auskunft an die Beschwerdegegner verpflichtet wird; (...). Das Bundesgericht weist die Beschwerde ab.
(Auszug)

Erwägungen

Aus den Erwägungen:

4. Grundsätzlich nicht umstritten ist vorliegend, dass die Beschwerdeführerin Inhaberin einer Datensammlung betreffend
BGE 138 III 425 S. 428

Personendaten im Sinne von Art. 3 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
und i des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) ist.
4.1 Die Beschwerdeführerin stellt jedoch in Abrede, dass das Datenschutzgesetz überhaupt anwendbar ist. Es sei von einem hängigen Zivilprozess gemäss Art. 2 Abs. 2 lit. c
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG auszugehen. Eine korrekte Auslegung des Begriffs "hängige Zivilprozesse" sowie eine Ausrichtung dieser Auslegung auf die Regelungsabsicht des Gesetzgebers und die von ihm erkennbar getroffenen Wertentscheidungen ergebe, dass "hängige Zivilprozesse" mit "anwendbare zivilprozessuale Norm" gleichzusetzen sei. Sobald und solange eine bestimmte Materie abschliessend durch einen Verfahrenserlass geregelt werde, sei die gleichzeitige Anwendbarkeit des Datenschutzgesetzes ausgeschlossen. Insbesondere werde die Sammlung des Prozessstoffes nicht durch das Datenschutzgesetz, sondern durch den anwendbaren Verfahrenserlass geregelt. Das Zivilprozessrecht bestimme abschliessend, ob und inwiefern vor Anhebung eines Prozesses bei einem Prozessgegner Beweisausforschung betrieben werden könne oder vorprozessual Beweismittel von der Gegenpartei herausverlangt werden könnten ("pre-trial-discovery"). Vorliegend sei die vorprozessuale Edition durch § 231 aZPO/ZH geregelt und nur unter den in dieser Norm aufgestellten Voraussetzungen möglich. Das Auskunftsbegehren der Beschwerdegegner ziele auf die vorprozessuale Edition von Urkunden für einen Schadenersatzprozess gegen die Beschwerdeführerin. Darauf sei § 231 aZPO/ZH, nicht jedoch das Datenschutzgesetz anwendbar.
4.2 Demgegenüber bejahte die Vorinstanz die Anwendbarkeit des Datenschutzgesetzes. Der Zeitpunkt der Rechtshängigkeit sei in den Prozessgesetzen klar geregelt. Zwischen den Parteien sei kein Zivilprozess (ausser dem vorliegenden) hängig und daher greife auch die Ausnahmebestimmung von Art. 2 Abs. 2 lit. c
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG nicht. Eine vorsorgliche Beweisabnahme nach § 231 aZPO/ZH finde statt, bevor der Prozess rechtshängig sei. Es bestehe kein Grund, das Datenschutzgesetz nicht anzuwenden und eine Partei auf die Möglichkeit der vorsorglichen Beweisabnahme zu verweisen, zumal die Voraussetzungen für das Auskunftsrecht nach dem Datenschutzgesetz und für die vorsorgliche Beweisabnahme verschieden seien. Eine (unerwünschte) Überlagerung von zwei Gesetzen sei ausgeschlossen. Erst wenn eine vorsorgliche Beweisabnahme beantragt werde, führe dies zu einem hängigen Verfahren, das die Anwendbarkeit des Datenschutzgesetzes ausschliesse.
BGE 138 III 425 S. 429

4.3 Das Datenschutzgesetz gilt generell für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen (vgl. Art. 2 Abs. 1 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG). Das Gesetz schliesst jedoch insbesondere hängige Zivilprozesse, Strafverfahren, Verfahren der internationalen Rechtshilfe sowie staats- und verwaltungsrechtliche Verfahren mit Ausnahme erstinstanzlicher Verwaltungsverfahren von seinem Anwendungsbereich aus (Art. 2 Abs. 2 lit. c
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG). Diese Ausnahmeklausel beruht auf der Idee, dass hier der Persönlichkeitsschutz durch die Spezialbestimmungen für die entsprechenden Verfahren hinreichend gesichert und geregelt wird. Käme das Datenschutzgesetz ebenfalls zur Anwendung, würden sich zwei Gesetze mit zum Teil gleicher Zielsetzung überlagern, was zu Rechtsunsicherheiten, zu Koordinationsproblemen und schliesslich zu Verfahrensverzögerungen führen würde (Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 II 413, 443 zu Art. 2 Abs. 2; ROSENTHAL/JÖHRI, in: Handkommentar zum Datenschutzgesetz, Rosenthal/Jöhri [Hrsg.], 2008, N. 29 zu Art. 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG; MAURER-LAMBROU/KUNZ, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 27 zu Art. 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG). Was unter "hängige Zivilprozesse" zu verstehen ist, ergibt sich ohne weiteres aus dem Wortlaut und dem Zweck der Norm. Erforderlich ist, dass ein Verfahren in dem Sinn hängig ist, dass die Geltung der einschlägigen Verfahrensvorschriften ausgelöst wird. Der zivilrechtliche Konflikt muss demnach in das Stadium der gerichtlichen Auseinandersetzung gelangt sein, weil erst dann die die Persönlichkeitsrechte der betroffenen Personen regelnden Prozessgesetze (nunmehr die Schweizerische ZPO [SR 272]) zur Anwendung gelangen. Ein Zivilprozess ist im Sinne von Art. 2 Abs. 2 lit. c
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG mithin dann "hängig", wenn er vor eine gerichtliche Instanz gebracht wurde (wozu auch der Friedensrichter zählt), spätestens mit Eintritt der zivilprozessual definierten Rechtshängigkeit (vgl. nunmehr Art. 62
SR 272 Schweizerische Zivilprozessordnung vom 19. Dezember 2008 (Zivilprozessordnung, ZPO) - Gerichtsstandsgesetz
ZPO Art. 62 Beginn der Rechtshängigkeit - 1 Die Einreichung eines Schlichtungsgesuches, einer Klage, eines Gesuches oder eines gemeinsamen Scheidungsbegehrens begründet Rechtshängigkeit.
1    Die Einreichung eines Schlichtungsgesuches, einer Klage, eines Gesuches oder eines gemeinsamen Scheidungsbegehrens begründet Rechtshängigkeit.
2    Der Eingang dieser Eingaben wird den Parteien bestätigt.
ZPO). Eine Ausdehnung des Begriffs "hängige Zivilprozesse" auf das Vorfeld eines Zivilprozesses, in dem Informationen und Beweismittel gesammelt und die Aussichten eines allfälligen Prozesses abgeklärt werden, ist abzulehnen. Eine solche extensive Auslegung wäre vom Wortlaut der Norm nicht gedeckt und führte zu Rechtsunsicherheit, da kaum je eindeutig feststeht, wann die Vorbereitung für einen Zivilprozess begonnen hat, und somit, ab wann die Bearbeitungsgrundsätze des Datenschutzgesetzes nicht mehr gelten würden (so auch WIGET/SCHOCH, Das Auskunftsrecht nach DSG - eine
BGE 138 III 425 S. 430

unkonventionelle Art der Beschaffung von Beweismitteln?, AJP 2010 S. 999 ff., 1006). Die Anwendbarkeit des Datenschutzgesetzes beschlägt nicht nur den Bestand eines datenschutzrechtlichen Auskunftsrechts, sondern entscheidet vorab darüber, ob die vom Datenschutzgesetz aufgestellten Vorschriften über das Sammeln und Bearbeiten von Daten massgebend sind. Entsprechende zivilprozessuale Vorschriften greifen aber ausserhalb eines förmlich anhängigen Zivilprozesses nicht, weshalb zum Schutz der Betroffenen die Ausnahmeklausel vom Geltungsbereich des Datenschutzgesetzes nicht extensiv interpretiert werden darf. Umgekehrt bildet die Gefahr, dass ein datenschutzrechtliches Auskunftsbegehren zu einer verpönten Beweisausforschung des späteren Prozessgegners missbraucht werden könnte, keinen Grund, den Geltungsbereich des Datenschutzgesetzes über den Wortlaut von Art. 2 Abs. 2 lit. c
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG hinausgehend einzuschränken. Vielmehr ist dieser Umstand im Einzelfall gegebenenfalls bei der Frage zu berücksichtigen, ob eine rechtsmissbräuchliche Verwendung des Instituts des datenschutzrechtlichen Auskunftsrechts vorliegt.
4.4 Die Vorinstanz hat auch zutreffend erkannt, dass die Möglichkeit der vorprozessualen Beweissicherung nach § 231 aZPO/ZH die Anwendbarkeit des Datenschutzgesetzes nicht verdrängt. Die vorsorgliche Beweisabnahme nach § 231 aZPO/ZH und das materiellrechtliche Auskunftsrecht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG haben einen voneinander unabhängigen Anwendungsbereich und folgen eigenen Voraussetzungen und Regeln. Eine Überlagerung von Normen droht nicht: Erst, aber auch sobald eine vorsorgliche Beweisabnahme beantragt wird, ist von einem hängigen Zivilprozess auszugehen und greift die Ausnahmeklausel nach Art. 2 Abs. 2 lit. c
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG. Im Übrigen unterstellt die Beschwerdeführerin mit ihrer Argumentation, wonach ausschliesslich § 231 aZPO/ZH anwendbar sei und die Beschwerdegegner auf dieses Verfahren verwiesen werden müssten, dass deren Auskunftsbegehren einzig auf die vorprozessuale Edition von Urkunden für einen Schadenersatzprozess abziele. Unabhängig davon, ob diese Unterstellung zutrifft und Entsprechendes festgestellt wäre, ist das Motiv des Auskunftsbegehrens nicht bei der Abgrenzung des Geltungsbereichs des Datenschutzgesetzes zu berücksichtigen, sondern bei der Prüfung, ob vom Auskunftsrecht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG allenfalls rechtsmissbräuchlich Gebrauch gemacht wird oder ob die Auskunft wegen überwiegender Interessen des Auskunftspflichtigen verweigert werden kann (vgl. WIGET/SCHOCH, a.a.O., S. 1006).
BGE 138 III 425 S. 431

4.5 Die Vorinstanz verletzte mithin kein Bundesrecht, indem sie mangels hängigen Zivilprozesses die Anwendbarkeit des Datenschutzgesetzes bejahte.
5.

5.1 Die Beschwerdeführerin macht geltend, selbst wenn das Datenschutzgesetz anwendbar wäre, würden die Beschwerdegegner das Recht auf Auskunft rechtsmissbräuchlich ausüben, weil sie es einzig zwecks Beweisausforschung zur Begründung einer Schadenersatzforderung und damit zu einem datenschutzfremden Zweck ausübten. Die Vorinstanz habe Art. 2 Abs. 2
SR 210 Schweizerisches Zivilgesetzbuch vom 10. Dezember 1907
ZGB Art. 2 - 1 Jedermann hat in der Ausübung seiner Rechte und in der Erfüllung seiner Pflichten nach Treu und Glauben zu handeln.
1    Jedermann hat in der Ausübung seiner Rechte und in der Erfüllung seiner Pflichten nach Treu und Glauben zu handeln.
2    Der offenbare Missbrauch eines Rechtes findet keinen Rechtsschutz.
ZGB verletzt, indem sie einen Rechtsmissbrauch verneinte.
5.2 Art. 2 Abs. 2
SR 210 Schweizerisches Zivilgesetzbuch vom 10. Dezember 1907
ZGB Art. 2 - 1 Jedermann hat in der Ausübung seiner Rechte und in der Erfüllung seiner Pflichten nach Treu und Glauben zu handeln.
1    Jedermann hat in der Ausübung seiner Rechte und in der Erfüllung seiner Pflichten nach Treu und Glauben zu handeln.
2    Der offenbare Missbrauch eines Rechtes findet keinen Rechtsschutz.
ZGB gewährt offenbarem Rechtsmissbrauch keinen Rechtsschutz. Ob eine Berechtigung missbräuchlich ausgeübt wird, hängt stets von den Umständen des Einzelfalles ab (BGE 135 III 162 E. 3.3.1 S. 169; BGE 129 III 493 E. 5.1 S. 497; BGE 121 III 60 E. 3d S. 63). In Lehre und Rechtsprechung sind Fallgruppen anerkannt worden, in denen typischerweise ein offenbarer Missbrauch vorliegen kann. So wird etwa Rechtsmissbrauch angenommen bei zweckwidriger Verwendung eines Rechtsinstituts zur Verwirklichung von Interessen, die dieses Institut nicht schützen will (BGE 135 III 162 E. 3.3.1 S. 169; BGE 128 II 145 E. 2.2 S. 151; Urteil 4A_36/2010 vom 20. April 2010 E. 3.1 betreffend zweckwidrigen Gebrauch des Auskunfts- und Einsichtsrechts nach Art. 697
SR 220 Erste Abteilung: Allgemeine Bestimmungen Erster Titel: Die Entstehung der Obligationen Erster Abschnitt: Die Entstehung durch Vertrag
OR Art. 697 - 1 Jeder Aktionär ist berechtigt, an der Generalversammlung vom Verwaltungsrat Auskunft über die Angelegenheiten der Gesellschaft und von der Revisionsstelle Auskunft über Durchführung und Ergebnis ihrer Prüfung zu verlangen.
1    Jeder Aktionär ist berechtigt, an der Generalversammlung vom Verwaltungsrat Auskunft über die Angelegenheiten der Gesellschaft und von der Revisionsstelle Auskunft über Durchführung und Ergebnis ihrer Prüfung zu verlangen.
2    In Gesellschaften, deren Aktien nicht an einer Börse kotiert sind, können Aktionäre, die zusammen mindestens 10 Prozent des Aktienkapitals oder der Stimmen vertreten, vom Verwaltungsrat schriftlich Auskunft über die Angelegenheiten der Gesellschaft verlangen.
3    Der Verwaltungsrat erteilt die Auskunft innert vier Monaten. Die Antworten des Verwaltungsrats sind zudem spätestens an der nächsten Generalversammlung zur Einsicht für die Aktionäre aufzulegen.
4    Die Auskunft muss erteilt werden, soweit sie für die Ausübung der Aktionärsrechte erforderlich ist und soweit keine Geschäftsgeheimnisse oder anderen schutzwürdigen Interessen der Gesellschaft gefährdet werden. Eine Verweigerung der Auskunft ist schriftlich zu begründen.
OR). Die Beweislast für die Umstände, die auf Rechtsmissbrauch schliessen lassen, trägt derjenige, der sich auf Rechtsmissbrauch beruft (BGE 135 III 162 E. 3.3.1 S. 170; BGE 134 III 52 E. 2.1 S. 58 f.), hier mithin der Auskunftspflichtige.
5.3 Das Datenschutzgesetz dient dem Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 1 Zweck - Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden.
DSG). In Übereinstimmung mit dieser Zwecksetzung gilt das Auskunftsrecht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG primär als Institut zur Durchsetzung des Persönlichkeitsschutzes (BGE 120 II 118 E. 3b S. 123; JAMES THOMAS PETER, Das Datenschutzgesetz im Privatbereich, 1994, S. 211 und 232). Es ermöglicht der betroffenen Person, die über sie in einer Datensammlung eines Dritten bearbeiteten Daten zu kontrollieren mit dem Ziel, die Einhaltung der datenschutzrechtlichen Grundsätze, wie Beschaffung der Daten mit rechtmässigen Mitteln und nicht in gegen Treu und Glauben verstossender Weise oder Gewährleistung der Richtigkeit der Daten und der Verhältnismässigkeit ihrer Bearbeitung, in der Rechtswirklichkeit zu überprüfen und
BGE 138 III 425 S. 432

durchzusetzen (BBl 1988 II 433 zu Ziff. 213.1; GRAMIGNA/MAURER-LAMBROU, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 1 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG).
5.4 Das Auskunftsrecht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG kann grundsätzlich ohne Nachweis eines Interesses geltend gemacht werden; vorbehalten bleibt aber das Rechtsmissbrauchsverbot (BGE 123 II 534 E. 2e S. 538; GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 42 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG). Die Darlegung des Interesses an der Auskunft kann demnach nötig sein, um dem Vorwurf der rechtsmissbräuchlichen Ausübung des Auskunftsrechts entgegenzutreten. Ebenso kann die nach Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG gebotene Abwägung der gegenseitigen Interessen erfordern, dass der um Auskunft Ersuchende seine Interessen darlegt (GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 42 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG; DAVID ROSENTHAL, in: Handkommentar zum Datenschutzgesetz, Rosenthal/Jöhri [Hrsg.], 2008, N. 12 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG).
5.5 Obgleich das Auskunftsrecht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG grundsätzlich ohne Interessennachweis geltend gemacht werden kann, kommt dem Motiv eines Auskunftsbegehrens immerhin im Hinblick auf einen allfälligen Rechtsmissbrauch Bedeutung zu. So fällt Rechtsmissbrauch in Betracht, wenn das Auskunftsrecht zu datenschutzwidrigen Zwecken eingesetzt wird, etwa um sich die Kosten einer Datenbeschaffung zu sparen, die sonst bezahlt werden müssten (ROSENTHAL, a.a.O., N. 2 zu Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG). Zu denken ist etwa auch an eine schikanöse Rechtsausübung ohne wirkliches Interesse an der Auskunft, lediglich um den Auskunftspflichtigen zu schädigen (vgl. Urteil 4A_36/2010 vom 20. April 2010 E. 3.1). Eine zweckwidrige Verwendung des datenschutzrechtlichen Auskunftsrechts und damit Rechtsmissbrauch wäre wohl auch anzunehmen, wenn das Auskunftsbegehren einzig zum Zweck gestellt wird, die (spätere) Gegenpartei auszuforschen und Beweise zu beschaffen, an die eine Partei sonst nicht gelangen könnte. Denn das Auskunftsrecht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG will nicht die Beweismittelbeschaffung erleichtern oder in das Zivilprozessrecht eingreifen (vgl. WIGET/SCHOCH, a.a.O., S. 1005 und 1007).
5.6 Die Beschwerdeführerin steht auf dem Standpunkt, eine solche Konstellation liege hier vor. Das Auskunftsgesuch sei zur Beweisausforschung eingereicht worden. Die Beschwerdegegner hätten ihr Auskunftsrecht nur deshalb ausgeübt, um Beweise im Hinblick auf den angedrohten Schadenersatzprozess zu sammeln. Die Vorinstanz stellte fest, dass sich aus der vorprozessualen Korrespondenz zwischen den Parteien ohne weiteres ergebe, dass das
BGE 138 III 425 S. 433

klägerische Auskunftsbegehren unter dem Aspekt "Schadenersatzforderungen betreffend Optionsgeschäfte" gestellt und die "notwendigen gerichtlichen Schritte" entsprechend angekündigt worden seien. Dass es den Beschwerdegegnern aber um eine eigentliche (verpönte) Beweisausforschung gehe, wie die Beschwerdeführerin behauptet, oder dass sie Beweisurkunden verlangten, an die sie in einem Zivilprozess nicht gelangen könnten, ist nicht festgestellt. Die Beschwerdegegner haben ein Interesse an den Auskünften über die sie betreffenden Daten, um deren Richtigkeit kontrollieren zu können. Dies will ihnen das Auskunftsrecht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG gerade ermöglichen. Selbst wenn sie die Datenüberprüfung (auch) im Hinblick auf einen allfälligen Schadenersatzprozess vornehmen möchten, wäre ihr Auskunftsbegehren deshalb noch nicht rechtsmissbräuchlich. Die Vorinstanz erkannte dies zutreffend. Umstände, die einen offenbaren Rechtsmissbrauch indizieren könnten, sind nicht festgestellt. Es fehlt demnach eine tatsächliche Grundlage für die Annahme eines offenbaren Rechtsmissbrauchs, und die Vorinstanz verletzte Art. 2 Abs. 2
SR 210 Schweizerisches Zivilgesetzbuch vom 10. Dezember 1907
ZGB Art. 2 - 1 Jedermann hat in der Ausübung seiner Rechte und in der Erfüllung seiner Pflichten nach Treu und Glauben zu handeln.
1    Jedermann hat in der Ausübung seiner Rechte und in der Erfüllung seiner Pflichten nach Treu und Glauben zu handeln.
2    Der offenbare Missbrauch eines Rechtes findet keinen Rechtsschutz.
ZGB nicht, indem sie einen solchen verneinte.

6.

6.1 Nach Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
aAbs. 3 (seit 1. Dezember 2010: Abs. 4) DSG kann der private Inhaber einer Datensammlung die Auskunft verweigern, einschränken oder aufschieben, soweit eigene überwiegende Interessen es erfordern und er die Personendaten nicht Dritten bekannt gibt. Als Beispiele überwiegender Interessen des Auskunftspflichtigen werden etwa die Befürchtung einer Wirtschaftsspionage (BBl 1988 II 456 zu Art. 6) oder Gefährdungen oder Beeinträchtigungen der eigenen Persönlichkeitsrechte des Auskunftspflichtigen genannt (GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 29 zu Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG; ROSENTHAL, a.a.O., N. 17 zu Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG). Auch überwiegende finanzielle Interessen kommen in Betracht (ROSENTHAL, a.a.O., N. 17 zu Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG). Mithin ist eine Interessenabwägung vorzunehmen, wobei zunächst der Auskunftspflichtige seine Interessen darzutun hat. Diese sind sodann auf ihre Berechtigung zu prüfen und den Interessen des Auskunftsersuchenden gegenüberzustellen. Nur soweit Erstere die Letzteren überwiegen, kann die Auskunft verweigert, eingeschränkt oder aufgeschoben werden.
6.2 Die Vorinstanz gestand der Beschwerdeführerin zu, dass das von ihr geltend gemachte Interesse an der Auskunftsverweigerung zur Abwehr (unbegründeter) Zivilansprüche als berechtigtes Interesse
BGE 138 III 425 S. 434

anzusehen wäre, wenn mit der Auskunftsverweigerung unbegründete Zivilansprüche abgewehrt werden könnten. Dies sei jedoch nicht der Fall. Dem Argument der Beschwerdeführerin, die zivilprozessualen Besonderheiten des Editionsrechts würden untergraben, hielt die Vorinstanz entgegen, dass der Gesetzgeber die Nichtanwendung des Datenschutzgesetzes in Bezug auf Zivilprozesse in Art. 2 Abs. 2 lit. c
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG ausdrücklich geregelt habe. Hinzu komme, dass die Beschwerdeführerin nicht aufgezeigt habe, inwiefern ihre Interessen durch das zivilprozessuale Editionsrecht besser gewahrt würden. Zusammenfassend habe die Beschwerdeführerin keine schützenswerten Interessen geltend gemacht, die einer Auskunftserteilung entgegenstünden, soweit es sich nicht um interne Notizen des Kundenberaters handle.
6.3 Die Beschwerdeführerin wendet ein, die auf gesetzeskonforme Auskunftsbegehren abgestimmte Interessenabwägung gemäss Art. 9 Abs. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG werde ad absurdum geführt, wenn das Auskunftsrecht aus vom Gesetzeszweck nicht gedeckten Absichten und somit aus sachfremden Interessen ausgeübt werde. So versuchten die Beschwerdegegner, sich einen von der Zivilprozessordnung nicht vorgesehenen Vorteil zu verschaffen. In einer solchen Konstellation bestünden die Interessen an der Auskunftsverweigerung in der Abwehr eines Eingriffs in die gesetzlich garantierten prozessualen Verteidigungs- und Abwehrrechte. Mit diesen Ausführungen nimmt die Beschwerdeführerin im Grunde erneut das Argument auf, dass das Datenschutzgesetz gar nicht zur Anwendung gelangen sollte. Da es den Beschwerdegegnern lediglich um die vorprozessuale Beweisausforschung gehe, müssten die zivilprozessualen Vorschriften über die vorsorgliche Beweisaufnahme bzw. die zivilprozessualen Editionspflichten zur Anwendung kommen und nicht das datenschutzrechtliche Auskunftsrecht. Sie könne mithin die Auskunft verweigern, um die Nichtanwendung ihrer zivilprozessualen Verteidigungs- und Abwehrrechte abzuwehren. Auch im vorliegenden Zusammenhang ist dieser Argumentation entgegenzuhalten, dass das Datenschutzgesetz lediglich auf hängige Zivilprozesse nicht anwendbar ist. Da (ausser dem vorliegenden) kein Zivilprozess hängig ist, greift das Auskunftsrecht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG und kommen die zivilprozessualen Bestimmungen, auch jene über die "Verteidigungs- und Abwehrrechte" der beklagten Partei, nicht zur Anwendung. Es kann daher nicht als schützenswertes Interesse
BGE 138 III 425 S. 435

der Beschwerdeführerin betrachtet werden, mit ihrer Auskunftsverweigerung die Nichtanwendung der zivilprozessualen Verteidigungs- und Abwehrrechte parieren zu wollen. Bei dieser Rechtslage ist es nicht entscheiderheblich, dass die Beschwerdeführerin zudem nicht aufgezeigt habe, inwiefern ihre Interessen durch das zivilprozessuale Editionsrecht besser gewahrt würden, wie die Vorinstanz ergänzend festhielt und was die Beschwerdeführerin als offensichtlich unrichtige Sachverhaltsfeststellung im Sinne von Art. 105 Abs. 2
SR 173.110 Bundesgesetz vom 17. Juni 2005 über das Bundesgericht (Bundesgerichtsgesetz, BGG) - Bundesgerichtsgesetz
BGG Art. 105 Massgebender Sachverhalt - 1 Das Bundesgericht legt seinem Urteil den Sachverhalt zugrunde, den die Vorinstanz festgestellt hat.
1    Das Bundesgericht legt seinem Urteil den Sachverhalt zugrunde, den die Vorinstanz festgestellt hat.
2    Es kann die Sachverhaltsfeststellung der Vorinstanz von Amtes wegen berichtigen oder ergänzen, wenn sie offensichtlich unrichtig ist oder auf einer Rechtsverletzung im Sinne von Artikel 95 beruht.
3    Richtet sich die Beschwerde gegen einen Entscheid über die Zusprechung oder Verweigerung von Geldleistungen der Militär- oder Unfallversicherung, so ist das Bundesgericht nicht an die Sachverhaltsfeststellung der Vorinstanz gebunden.95
BGG rügt. Mangels Entscheidrelevanz braucht auf diese Rüge nicht eingegangen zu werden.
6.4 Ebenso wenig führt das Argument der Beschwerdeführerin, die Beschwerdegegner hätten das Auskunftsbegehren zur Beweisausforschung gestellt, zur Anerkennung überwiegender Interessen an der Auskunftsverweigerung. Zunächst ist nicht festgestellt, dass die Beschwerdegegner sich einen von der Zivilprozessordnung nicht vorgesehenen Vorteil verschaffen wollen oder dass sie eigentliche Beweisausforschung bzw. eine verpönte "fishing expedition" betreiben. Sie verlangen lediglich Auskunft über Daten betreffend ihre eigene Person im Rahmen der bei der Beschwerdeführerin gehaltenen Konto- und Depotbeziehungen. Über diese Daten müsste die Beschwerdeführerin auch gestützt auf Art. 400
SR 220 Erste Abteilung: Allgemeine Bestimmungen Erster Titel: Die Entstehung der Obligationen Erster Abschnitt: Die Entstehung durch Vertrag
OR Art. 400 - 1 Der Beauftragte ist schuldig, auf Verlangen jederzeit über seine Geschäftsführung Rechenschaft abzulegen und alles, was ihm infolge derselben aus irgendeinem Grunde zugekommen ist, zu erstatten.
1    Der Beauftragte ist schuldig, auf Verlangen jederzeit über seine Geschäftsführung Rechenschaft abzulegen und alles, was ihm infolge derselben aus irgendeinem Grunde zugekommen ist, zu erstatten.
2    Gelder, mit deren Ablieferung er sich im Rückstande befindet, hat er zu verzinsen.
OR Auskunft erteilen. Der Anspruch auf Rechenschaftsablegung nach Art. 400
SR 220 Erste Abteilung: Allgemeine Bestimmungen Erster Titel: Die Entstehung der Obligationen Erster Abschnitt: Die Entstehung durch Vertrag
OR Art. 400 - 1 Der Beauftragte ist schuldig, auf Verlangen jederzeit über seine Geschäftsführung Rechenschaft abzulegen und alles, was ihm infolge derselben aus irgendeinem Grunde zugekommen ist, zu erstatten.
1    Der Beauftragte ist schuldig, auf Verlangen jederzeit über seine Geschäftsführung Rechenschaft abzulegen und alles, was ihm infolge derselben aus irgendeinem Grunde zugekommen ist, zu erstatten.
2    Gelder, mit deren Ablieferung er sich im Rückstande befindet, hat er zu verzinsen.
OR ist selbst dann nicht ausgeschlossen, wenn sich der Beauftragte damit Schadenersatzansprüchen aussetzen könnte (FELLMANN, Berner Kommentar, 1992, N. 85 zu Art. 400
SR 220 Erste Abteilung: Allgemeine Bestimmungen Erster Titel: Die Entstehung der Obligationen Erster Abschnitt: Die Entstehung durch Vertrag
OR Art. 400 - 1 Der Beauftragte ist schuldig, auf Verlangen jederzeit über seine Geschäftsführung Rechenschaft abzulegen und alles, was ihm infolge derselben aus irgendeinem Grunde zugekommen ist, zu erstatten.
1    Der Beauftragte ist schuldig, auf Verlangen jederzeit über seine Geschäftsführung Rechenschaft abzulegen und alles, was ihm infolge derselben aus irgendeinem Grunde zugekommen ist, zu erstatten.
2    Gelder, mit deren Ablieferung er sich im Rückstande befindet, hat er zu verzinsen.
OR). Entsprechend vermag der Umstand, dass die Beschwerdegegner die Auskunft auch deshalb begehren, um prüfen zu können, ob sie allenfalls rechtliche Schritte zur Geltendmachung von Schadenersatzansprüchen ergreifen wollen, der Beschwerdeführerin kein überwiegendes berechtigtes Interesse an der Auskunftsverweigerung zu verleihen. Die Vorinstanz hat dies ohne Verletzung von Bundesrecht erkannt.
6.5 Vor Bundesgericht bringt die Beschwerdeführerin vor, eine Auskunftsverpflichtung würde sie in ihren eigenen persönlichkeitsrechtlichen Interessen treffen. Denn in den verlangten bankinternen Unterlagen seien auch eigene Personendaten und solche der Mitarbeiter der Beschwerdeführerin enthalten. Es sei gerichtsnotorisch, dass sie an der Verweigerung der Herausgabe derselben ein datenschützerisches Interesse habe. Demgegenüber hätten die Beschwerdegegner kein oder höchstens ein vorgeschobenes Datenschutzinteresse.

BGE 138 III 425 S. 436

Im angefochtenen Beschluss ist nicht festgestellt, dass in den verlangten bankinternen Unterlagen auch eigene Personendaten und solche der Mitarbeiter der Beschwerdeführerin enthalten sind, ebenso wenig, dass sich eigene Personendaten der Beschwerdeführerin nicht von den verlangten Personendaten der Beschwerdegegner trennen liessen. Dieser behauptete Umstand, der keineswegs als notorisch erscheint, kann daher vom Bundesgericht nicht berücksichtigt werden (Art. 105 Abs. 1
SR 173.110 Bundesgesetz vom 17. Juni 2005 über das Bundesgericht (Bundesgerichtsgesetz, BGG) - Bundesgerichtsgesetz
BGG Art. 105 Massgebender Sachverhalt - 1 Das Bundesgericht legt seinem Urteil den Sachverhalt zugrunde, den die Vorinstanz festgestellt hat.
1    Das Bundesgericht legt seinem Urteil den Sachverhalt zugrunde, den die Vorinstanz festgestellt hat.
2    Es kann die Sachverhaltsfeststellung der Vorinstanz von Amtes wegen berichtigen oder ergänzen, wenn sie offensichtlich unrichtig ist oder auf einer Rechtsverletzung im Sinne von Artikel 95 beruht.
3    Richtet sich die Beschwerde gegen einen Entscheid über die Zusprechung oder Verweigerung von Geldleistungen der Militär- oder Unfallversicherung, so ist das Bundesgericht nicht an die Sachverhaltsfeststellung der Vorinstanz gebunden.95
BGG; vgl. dazu Urteil 4A_269/2010 vom 23. August 2010 E. 1.3, in: SJ 2011 I S. 58). Im Übrigen weisen die Beschwerdegegner zutreffend darauf hin, dass zum Schutz von in den Akten enthaltenen Personendaten Dritter deren Anonymisierung oder Abdeckung in Betracht fällt (GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 52 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG).
6.6 Die Vorinstanz verletzte mithin kein Bundesrecht, indem sie überwiegende Interessen der Beschwerdeführerin, die Auskunft zu verweigern, verneinte. Da es bereits an der Voraussetzung überwiegender Interessen an der Auskunftsverweigerung mangelt, ist unerheblich, ob die zweite Voraussetzung nach Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
aAbs. 3 DSG, dass keine Daten an Dritte weitergegeben wurden, ebenfalls erfüllt wäre. Es erübrigen sich daher Ausführungen zu der von der Beschwerdeführerin in diesem Zusammenhang erhobenen Rüge, die Vorinstanz habe den Sachverhalt offensichtlich unrichtig (Art. 105 Abs. 2
SR 173.110 Bundesgesetz vom 17. Juni 2005 über das Bundesgericht (Bundesgerichtsgesetz, BGG) - Bundesgerichtsgesetz
BGG Art. 105 Massgebender Sachverhalt - 1 Das Bundesgericht legt seinem Urteil den Sachverhalt zugrunde, den die Vorinstanz festgestellt hat.
1    Das Bundesgericht legt seinem Urteil den Sachverhalt zugrunde, den die Vorinstanz festgestellt hat.
2    Es kann die Sachverhaltsfeststellung der Vorinstanz von Amtes wegen berichtigen oder ergänzen, wenn sie offensichtlich unrichtig ist oder auf einer Rechtsverletzung im Sinne von Artikel 95 beruht.
3    Richtet sich die Beschwerde gegen einen Entscheid über die Zusprechung oder Verweigerung von Geldleistungen der Militär- oder Unfallversicherung, so ist das Bundesgericht nicht an die Sachverhaltsfeststellung der Vorinstanz gebunden.95
BGG) und in Verletzung von Art. 8
SR 210 Schweizerisches Zivilgesetzbuch vom 10. Dezember 1907
ZGB Art. 8 - Wo das Gesetz es nicht anders bestimmt, hat derjenige das Vorhandensein einer behaupteten Tatsache zu beweisen, der aus ihr Rechte ableitet.
ZGB festgestellt, indem sie festhielt, der Einwand der Beschwerdeführerin, sie habe keine Daten an die XZ. Ltd. weitergeleitet, sei verspätet.
Entscheidinformationen   •   DEFRITEN
Dokument : 138 III 425
Datum : 17. April 2012
Publiziert : 11. Oktober 2012
Quelle : Bundesgericht
Status : 138 III 425
Sachgebiet : BGE - Zivilrecht
Gegenstand : Art. 2 Abs. 2 lit. c, Art. 8 und 9 aAbs. 3 (in der seit 1. Dezember 2010 geltenden Fassung: Abs. 4) DSG, Art. 2 ZGB. Verpflichtung


Gesetzesregister
BGG: 105
SR 173.110 Bundesgesetz vom 17. Juni 2005 über das Bundesgericht (Bundesgerichtsgesetz, BGG) - Bundesgerichtsgesetz
BGG Art. 105 Massgebender Sachverhalt - 1 Das Bundesgericht legt seinem Urteil den Sachverhalt zugrunde, den die Vorinstanz festgestellt hat.
1    Das Bundesgericht legt seinem Urteil den Sachverhalt zugrunde, den die Vorinstanz festgestellt hat.
2    Es kann die Sachverhaltsfeststellung der Vorinstanz von Amtes wegen berichtigen oder ergänzen, wenn sie offensichtlich unrichtig ist oder auf einer Rechtsverletzung im Sinne von Artikel 95 beruht.
3    Richtet sich die Beschwerde gegen einen Entscheid über die Zusprechung oder Verweigerung von Geldleistungen der Militär- oder Unfallversicherung, so ist das Bundesgericht nicht an die Sachverhaltsfeststellung der Vorinstanz gebunden.95
DSG: 1 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 1 Zweck - Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden.
2 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
3 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
8 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
OR: 400 
SR 220 Erste Abteilung: Allgemeine Bestimmungen Erster Titel: Die Entstehung der Obligationen Erster Abschnitt: Die Entstehung durch Vertrag
OR Art. 400 - 1 Der Beauftragte ist schuldig, auf Verlangen jederzeit über seine Geschäftsführung Rechenschaft abzulegen und alles, was ihm infolge derselben aus irgendeinem Grunde zugekommen ist, zu erstatten.
1    Der Beauftragte ist schuldig, auf Verlangen jederzeit über seine Geschäftsführung Rechenschaft abzulegen und alles, was ihm infolge derselben aus irgendeinem Grunde zugekommen ist, zu erstatten.
2    Gelder, mit deren Ablieferung er sich im Rückstande befindet, hat er zu verzinsen.
697
SR 220 Erste Abteilung: Allgemeine Bestimmungen Erster Titel: Die Entstehung der Obligationen Erster Abschnitt: Die Entstehung durch Vertrag
OR Art. 697 - 1 Jeder Aktionär ist berechtigt, an der Generalversammlung vom Verwaltungsrat Auskunft über die Angelegenheiten der Gesellschaft und von der Revisionsstelle Auskunft über Durchführung und Ergebnis ihrer Prüfung zu verlangen.
1    Jeder Aktionär ist berechtigt, an der Generalversammlung vom Verwaltungsrat Auskunft über die Angelegenheiten der Gesellschaft und von der Revisionsstelle Auskunft über Durchführung und Ergebnis ihrer Prüfung zu verlangen.
2    In Gesellschaften, deren Aktien nicht an einer Börse kotiert sind, können Aktionäre, die zusammen mindestens 10 Prozent des Aktienkapitals oder der Stimmen vertreten, vom Verwaltungsrat schriftlich Auskunft über die Angelegenheiten der Gesellschaft verlangen.
3    Der Verwaltungsrat erteilt die Auskunft innert vier Monaten. Die Antworten des Verwaltungsrats sind zudem spätestens an der nächsten Generalversammlung zur Einsicht für die Aktionäre aufzulegen.
4    Die Auskunft muss erteilt werden, soweit sie für die Ausübung der Aktionärsrechte erforderlich ist und soweit keine Geschäftsgeheimnisse oder anderen schutzwürdigen Interessen der Gesellschaft gefährdet werden. Eine Verweigerung der Auskunft ist schriftlich zu begründen.
ZGB: 2 
SR 210 Schweizerisches Zivilgesetzbuch vom 10. Dezember 1907
ZGB Art. 2 - 1 Jedermann hat in der Ausübung seiner Rechte und in der Erfüllung seiner Pflichten nach Treu und Glauben zu handeln.
1    Jedermann hat in der Ausübung seiner Rechte und in der Erfüllung seiner Pflichten nach Treu und Glauben zu handeln.
2    Der offenbare Missbrauch eines Rechtes findet keinen Rechtsschutz.
8
SR 210 Schweizerisches Zivilgesetzbuch vom 10. Dezember 1907
ZGB Art. 8 - Wo das Gesetz es nicht anders bestimmt, hat derjenige das Vorhandensein einer behaupteten Tatsache zu beweisen, der aus ihr Rechte ableitet.
ZPO: 62
SR 272 Schweizerische Zivilprozessordnung vom 19. Dezember 2008 (Zivilprozessordnung, ZPO) - Gerichtsstandsgesetz
ZPO Art. 62 Beginn der Rechtshängigkeit - 1 Die Einreichung eines Schlichtungsgesuches, einer Klage, eines Gesuches oder eines gemeinsamen Scheidungsbegehrens begründet Rechtshängigkeit.
1    Die Einreichung eines Schlichtungsgesuches, einer Klage, eines Gesuches oder eines gemeinsamen Scheidungsbegehrens begründet Rechtshängigkeit.
2    Der Eingang dieser Eingaben wird den Parteien bestätigt.
BGE Register
120-II-118 • 121-III-60 • 123-II-534 • 128-II-145 • 129-III-493 • 134-III-52 • 135-III-162 • 138-III-425
Weitere Urteile ab 2000
4A_269/2010 • 4A_36/2010 • 4A_688/2011
Stichwortregister
Sortiert nach Häufigkeit oder Alphabet
beschwerdegegner • zivilprozess • personendaten • vorinstanz • beklagter • rechtsmissbrauch • beweisausforschung • auskunftspflicht • norm • wille • datensammlung • bundesgericht • ausnahmeklausel • richtigkeit • bundesgesetz über den datenschutz • interessennachweis • beschwerde in zivilsachen • schriftstück • vorsorgliche beweisführung • elektronische datenverarbeitung
... Alle anzeigen
BBl
1988/II/413 • 1988/II/433 • 1988/II/456
AJP
2010 S.999
SJ
2011 I S.58