Urteilskopf

138 III 425

63. Auszug aus dem Urteil der I. zivilrechtlichen Abteilung i.S. Bank X. AG gegen A.Y. und B.Y. (Beschwerde in Zivilsachen) 4A_688/2011 vom 17. April 2012

Regeste (de):

Regeste (fr):

Regesto (it):


Sachverhalt ab Seite 426

BGE 138 III 425 S. 426

A. A.Y. (Beschwerdegegnerin 1, Klägerin 1) und B.Y. (Beschwerdegegner 2, Kläger 2) unterhalten bzw. unterhielten bei der Bank X. AG (Beschwerdeführerin, Beklagte) Konto- und Depotbeziehungen. Nach ihrer Darstellung wickelte die Beschwerdeführerin im Jahre 2008 ohne entsprechende Instruktion oder Ermächtigung Optionsgeschäfte über diese Konto- und Depotbeziehungen ab, woraus erhebliche Verluste für die Beschwerdegegner resultiert hätten. Mit Schreiben vom 16. Februar 2009 und 12. März 2009 forderten die Beschwerdegegner die Beschwerdeführerin auf, ihnen die bankinterne Dokumentation insbesondere zum Kundenprofil und zum Anlageziel der Beschwerdegegner zukommen zu lassen. Die Beschwerdeführerin verweigerte die Herausgabe der verlangten bankinternen Unterlagen bzw. verwies die Beschwerdegegner betreffend die Lebensversicherung der XZ. Ltd. an diese Gesellschaft.
B. Mit Klage vom 27. Juli 2009 an das Bezirksgericht Zürich verlangten die Beschwerdegegner gestützt auf das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) Auskunft über sämtliche bankinternen Personendaten. Sie stellten folgende Anträge: "1. Es sei die Beklagte zu verpflichten, der Klägerin 1 Auskunft über sämtliche bankinternen Personendaten der Beklagten betreffend die Klägerin 1 im Sinne von Art. 3 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG und gemäss Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG, insbesondere betreffend die folgenden Kontobeziehungen: (...)
zu erteilen.
2. Es sei die Beklagte zu verpflichten, dem Kläger 2 Auskunft über sämtliche bankinternen Personendaten der Beklagten betreffend den Kläger 2 im Sinne von Art. 3 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG und gemäss Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG, insbesondere betreffend die folgenden Kontobeziehungen: (...)
zu erteilen."
Mit Urteil vom 22. April 2010 wies das Bezirksgericht die Klage ab. Zur Begründung führte es im Wesentlichen aus, die Beschwerdegegner würden das Auskunftsrecht nicht zum Schutz gegen eine Persönlichkeitsverletzung durch Datenbearbeitung, wie ihn das Datenschutzgesetz intendiere, geltend machen, sondern aus rein finanziellen bzw. zivilprozessualen Beweisinteressen im Rahmen eines Auftragsverhältnisses. Damit widerspreche das Begehren dem Zweck
BGE 138 III 425 S. 427

von Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG. Umgekehrt würde eine Auskunftsverpflichtung die Beschwerdeführerin in ihren durch das Zivil- und Zivilprozessrecht verbrieften Verteidigungsrechten beschneiden und damit deren überwiegende Interessen im Sinne von Art. 9
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
1    Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
a  seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
b  aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
2    Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
3    Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
4    Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.
aAbs. 3 (in der seit 1. Dezember 2010 geltenden Fassung: Abs. 4) DSG verletzen. Dagegen erhoben die Beschwerdegegner Berufung an das Obergericht des Kantons Zürich und verlangten die Gutheissung ihrer Klage. Am 1. Oktober 2011 entschied das Obergericht wie folgt: "1. Die Beklagte wird verpflichtet, der Klägerin 1 Auskunft über sämtliche bankinternen Personendaten, die Klägerin 1 betreffend, zu erteilen, insbesondere betreffend die Konto/Depotbeziehungen (...), mit Ausnahme sämtlicher interner Notizen zum persönlichen Gebrauch des oder der Kundenberater der Beklagten. 2. Die Beklagte wird verpflichtet, dem Kläger 2 Auskunft über sämtliche bankinternen Personendaten, den Kläger 2 betreffend, zu erteilen, insbesondere betreffend die Konto/Depotbeziehungen (...), mit Ausnahme sämtlicher interner Notizen zum persönlichen Gebrauch des oder der Kundenberater der Beklagten." Das Obergericht begründete seinen Beschluss im Wesentlichen damit, das Auskunftsrecht gemäss Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG könne grundsätzlich ohne Interessennachweis ausgeübt werden. Es brauche deshalb auch nicht datenschutzrechtlich motiviert zu sein. Datenschützerische Gründe könnten regelmässig vorgeschoben werden. Selbst wenn die Beschwerdegegner das Auskunftsrecht im Hinblick auf einen allfällig nachfolgenden Schadenersatzprozess verlangt hätten, sei dies nicht per se rechtsmissbräuchlich. Die Beschwerdeführerin habe keine schützenswerten Interessen geltend gemacht, die einer Auskunftserteilung entgegenstünden, soweit es sich nicht um interne Notizen des Kundenberaters handle.
C. Die Beschwerdeführerin beantragt mit Beschwerde in Zivilsachen u.a., die Dispositiv-Ziffern 1 und 2 des Beschlusses des Obergerichts vom 1. Oktober 2011 seien insoweit aufzuheben, als die Beschwerdeführerin zur Auskunft an die Beschwerdegegner verpflichtet wird; (...). Das Bundesgericht weist die Beschwerde ab.
(Auszug)

Erwägungen

Aus den Erwägungen:

4. Grundsätzlich nicht umstritten ist vorliegend, dass die Beschwerdeführerin Inhaberin einer Datensammlung betreffend
BGE 138 III 425 S. 428

Personendaten im Sinne von Art. 3 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
und i des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) ist.
4.1 Die Beschwerdeführerin stellt jedoch in Abrede, dass das Datenschutzgesetz überhaupt anwendbar ist. Es sei von einem hängigen Zivilprozess gemäss Art. 2 Abs. 2 lit. c
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG auszugehen. Eine korrekte Auslegung des Begriffs "hängige Zivilprozesse" sowie eine Ausrichtung dieser Auslegung auf die Regelungsabsicht des Gesetzgebers und die von ihm erkennbar getroffenen Wertentscheidungen ergebe, dass "hängige Zivilprozesse" mit "anwendbare zivilprozessuale Norm" gleichzusetzen sei. Sobald und solange eine bestimmte Materie abschliessend durch einen Verfahrenserlass geregelt werde, sei die gleichzeitige Anwendbarkeit des Datenschutzgesetzes ausgeschlossen. Insbesondere werde die Sammlung des Prozessstoffes nicht durch das Datenschutzgesetz, sondern durch den anwendbaren Verfahrenserlass geregelt. Das Zivilprozessrecht bestimme abschliessend, ob und inwiefern vor Anhebung eines Prozesses bei einem Prozessgegner Beweisausforschung betrieben werden könne oder vorprozessual Beweismittel von der Gegenpartei herausverlangt werden könnten ("pre-trial-discovery"). Vorliegend sei die vorprozessuale Edition durch § 231 aZPO/ZH geregelt und nur unter den in dieser Norm aufgestellten Voraussetzungen möglich. Das Auskunftsbegehren der Beschwerdegegner ziele auf die vorprozessuale Edition von Urkunden für einen Schadenersatzprozess gegen die Beschwerdeführerin. Darauf sei § 231 aZPO/ZH, nicht jedoch das Datenschutzgesetz anwendbar.
4.2 Demgegenüber bejahte die Vorinstanz die Anwendbarkeit des Datenschutzgesetzes. Der Zeitpunkt der Rechtshängigkeit sei in den Prozessgesetzen klar geregelt. Zwischen den Parteien sei kein Zivilprozess (ausser dem vorliegenden) hängig und daher greife auch die Ausnahmebestimmung von Art. 2 Abs. 2 lit. c
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG nicht. Eine vorsorgliche Beweisabnahme nach § 231 aZPO/ZH finde statt, bevor der Prozess rechtshängig sei. Es bestehe kein Grund, das Datenschutzgesetz nicht anzuwenden und eine Partei auf die Möglichkeit der vorsorglichen Beweisabnahme zu verweisen, zumal die Voraussetzungen für das Auskunftsrecht nach dem Datenschutzgesetz und für die vorsorgliche Beweisabnahme verschieden seien. Eine (unerwünschte) Überlagerung von zwei Gesetzen sei ausgeschlossen. Erst wenn eine vorsorgliche Beweisabnahme beantragt werde, führe dies zu einem hängigen Verfahren, das die Anwendbarkeit des Datenschutzgesetzes ausschliesse.
BGE 138 III 425 S. 429

4.3 Das Datenschutzgesetz gilt generell für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen (vgl. Art. 2 Abs. 1 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG). Das Gesetz schliesst jedoch insbesondere hängige Zivilprozesse, Strafverfahren, Verfahren der internationalen Rechtshilfe sowie staats- und verwaltungsrechtliche Verfahren mit Ausnahme erstinstanzlicher Verwaltungsverfahren von seinem Anwendungsbereich aus (Art. 2 Abs. 2 lit. c
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG). Diese Ausnahmeklausel beruht auf der Idee, dass hier der Persönlichkeitsschutz durch die Spezialbestimmungen für die entsprechenden Verfahren hinreichend gesichert und geregelt wird. Käme das Datenschutzgesetz ebenfalls zur Anwendung, würden sich zwei Gesetze mit zum Teil gleicher Zielsetzung überlagern, was zu Rechtsunsicherheiten, zu Koordinationsproblemen und schliesslich zu Verfahrensverzögerungen führen würde (Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 II 413, 443 zu Art. 2 Abs. 2; ROSENTHAL/JÖHRI, in: Handkommentar zum Datenschutzgesetz, Rosenthal/Jöhri [Hrsg.], 2008, N. 29 zu Art. 2
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG; MAURER-LAMBROU/KUNZ, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 27 zu Art. 2
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG). Was unter "hängige Zivilprozesse" zu verstehen ist, ergibt sich ohne weiteres aus dem Wortlaut und dem Zweck der Norm. Erforderlich ist, dass ein Verfahren in dem Sinn hängig ist, dass die Geltung der einschlägigen Verfahrensvorschriften ausgelöst wird. Der zivilrechtliche Konflikt muss demnach in das Stadium der gerichtlichen Auseinandersetzung gelangt sein, weil erst dann die die Persönlichkeitsrechte der betroffenen Personen regelnden Prozessgesetze (nunmehr die Schweizerische ZPO [SR 272]) zur Anwendung gelangen. Ein Zivilprozess ist im Sinne von Art. 2 Abs. 2 lit. c
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG mithin dann "hängig", wenn er vor eine gerichtliche Instanz gebracht wurde (wozu auch der Friedensrichter zählt), spätestens mit Eintritt der zivilprozessual definierten Rechtshängigkeit (vgl. nunmehr Art. 62
SR 272 Code de procédure civile du 19 décembre 2008 (CPC) - Loi sur les fors
CPC Art. 62 Début de la litispendance - 1 L'instance est introduite par le dépôt de la requête de conciliation, de la demande ou de la requête en justice, ou de la requête commune en divorce.
1    L'instance est introduite par le dépôt de la requête de conciliation, de la demande ou de la requête en justice, ou de la requête commune en divorce.
2    Une attestation de dépôt de l'acte introductif d'instance est délivrée aux parties.
ZPO). Eine Ausdehnung des Begriffs "hängige Zivilprozesse" auf das Vorfeld eines Zivilprozesses, in dem Informationen und Beweismittel gesammelt und die Aussichten eines allfälligen Prozesses abgeklärt werden, ist abzulehnen. Eine solche extensive Auslegung wäre vom Wortlaut der Norm nicht gedeckt und führte zu Rechtsunsicherheit, da kaum je eindeutig feststeht, wann die Vorbereitung für einen Zivilprozess begonnen hat, und somit, ab wann die Bearbeitungsgrundsätze des Datenschutzgesetzes nicht mehr gelten würden (so auch WIGET/SCHOCH, Das Auskunftsrecht nach DSG - eine
BGE 138 III 425 S. 430

unkonventionelle Art der Beschaffung von Beweismitteln?, AJP 2010 S. 999 ff., 1006). Die Anwendbarkeit des Datenschutzgesetzes beschlägt nicht nur den Bestand eines datenschutzrechtlichen Auskunftsrechts, sondern entscheidet vorab darüber, ob die vom Datenschutzgesetz aufgestellten Vorschriften über das Sammeln und Bearbeiten von Daten massgebend sind. Entsprechende zivilprozessuale Vorschriften greifen aber ausserhalb eines förmlich anhängigen Zivilprozesses nicht, weshalb zum Schutz der Betroffenen die Ausnahmeklausel vom Geltungsbereich des Datenschutzgesetzes nicht extensiv interpretiert werden darf. Umgekehrt bildet die Gefahr, dass ein datenschutzrechtliches Auskunftsbegehren zu einer verpönten Beweisausforschung des späteren Prozessgegners missbraucht werden könnte, keinen Grund, den Geltungsbereich des Datenschutzgesetzes über den Wortlaut von Art. 2 Abs. 2 lit. c
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG hinausgehend einzuschränken. Vielmehr ist dieser Umstand im Einzelfall gegebenenfalls bei der Frage zu berücksichtigen, ob eine rechtsmissbräuchliche Verwendung des Instituts des datenschutzrechtlichen Auskunftsrechts vorliegt.
4.4 Die Vorinstanz hat auch zutreffend erkannt, dass die Möglichkeit der vorprozessualen Beweissicherung nach § 231 aZPO/ZH die Anwendbarkeit des Datenschutzgesetzes nicht verdrängt. Die vorsorgliche Beweisabnahme nach § 231 aZPO/ZH und das materiellrechtliche Auskunftsrecht nach Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG haben einen voneinander unabhängigen Anwendungsbereich und folgen eigenen Voraussetzungen und Regeln. Eine Überlagerung von Normen droht nicht: Erst, aber auch sobald eine vorsorgliche Beweisabnahme beantragt wird, ist von einem hängigen Zivilprozess auszugehen und greift die Ausnahmeklausel nach Art. 2 Abs. 2 lit. c
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG. Im Übrigen unterstellt die Beschwerdeführerin mit ihrer Argumentation, wonach ausschliesslich § 231 aZPO/ZH anwendbar sei und die Beschwerdegegner auf dieses Verfahren verwiesen werden müssten, dass deren Auskunftsbegehren einzig auf die vorprozessuale Edition von Urkunden für einen Schadenersatzprozess abziele. Unabhängig davon, ob diese Unterstellung zutrifft und Entsprechendes festgestellt wäre, ist das Motiv des Auskunftsbegehrens nicht bei der Abgrenzung des Geltungsbereichs des Datenschutzgesetzes zu berücksichtigen, sondern bei der Prüfung, ob vom Auskunftsrecht nach Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG allenfalls rechtsmissbräuchlich Gebrauch gemacht wird oder ob die Auskunft wegen überwiegender Interessen des Auskunftspflichtigen verweigert werden kann (vgl. WIGET/SCHOCH, a.a.O., S. 1006).
BGE 138 III 425 S. 431

4.5 Die Vorinstanz verletzte mithin kein Bundesrecht, indem sie mangels hängigen Zivilprozesses die Anwendbarkeit des Datenschutzgesetzes bejahte.
5.

5.1 Die Beschwerdeführerin macht geltend, selbst wenn das Datenschutzgesetz anwendbar wäre, würden die Beschwerdegegner das Recht auf Auskunft rechtsmissbräuchlich ausüben, weil sie es einzig zwecks Beweisausforschung zur Begründung einer Schadenersatzforderung und damit zu einem datenschutzfremden Zweck ausübten. Die Vorinstanz habe Art. 2 Abs. 2
SR 210 Code civil suisse du 10 décembre 1907
CC Art. 2 - 1 Chacun est tenu d'exercer ses droits et d'exécuter ses obligations selon les règles de la bonne foi.
1    Chacun est tenu d'exercer ses droits et d'exécuter ses obligations selon les règles de la bonne foi.
2    L'abus manifeste d'un droit n'est pas protégé par la loi.
ZGB verletzt, indem sie einen Rechtsmissbrauch verneinte.
5.2 Art. 2 Abs. 2
SR 210 Code civil suisse du 10 décembre 1907
CC Art. 2 - 1 Chacun est tenu d'exercer ses droits et d'exécuter ses obligations selon les règles de la bonne foi.
1    Chacun est tenu d'exercer ses droits et d'exécuter ses obligations selon les règles de la bonne foi.
2    L'abus manifeste d'un droit n'est pas protégé par la loi.
ZGB gewährt offenbarem Rechtsmissbrauch keinen Rechtsschutz. Ob eine Berechtigung missbräuchlich ausgeübt wird, hängt stets von den Umständen des Einzelfalles ab (BGE 135 III 162 E. 3.3.1 S. 169; BGE 129 III 493 E. 5.1 S. 497; BGE 121 III 60 E. 3d S. 63). In Lehre und Rechtsprechung sind Fallgruppen anerkannt worden, in denen typischerweise ein offenbarer Missbrauch vorliegen kann. So wird etwa Rechtsmissbrauch angenommen bei zweckwidriger Verwendung eines Rechtsinstituts zur Verwirklichung von Interessen, die dieses Institut nicht schützen will (BGE 135 III 162 E. 3.3.1 S. 169; BGE 128 II 145 E. 2.2 S. 151; Urteil 4A_36/2010 vom 20. April 2010 E. 3.1 betreffend zweckwidrigen Gebrauch des Auskunfts- und Einsichtsrechts nach Art. 697
SR 220 Première partie: Dispositions générales Titre premier: De la formation des obligations Chapitre I: Des obligations résultant d'un contrat
CO Art. 697 - 1 Lors de l'assemblée générale, tout actionnaire peut demander des renseignements au conseil d'administration sur les affaires de la société et à l'organe de révision sur l'exécution et le résultat de sa vérification.
1    Lors de l'assemblée générale, tout actionnaire peut demander des renseignements au conseil d'administration sur les affaires de la société et à l'organe de révision sur l'exécution et le résultat de sa vérification.
2    Dans les sociétés dont les actions ne sont pas cotées en bourse, des actionnaires représentant ensemble au moins 10 % du capital-actions ou des voix peuvent demander par écrit des renseignements au conseil d'administration sur les affaires de la société.
3    Le conseil d'administration fournit les renseignements dans un délai de quatre mois. Les réponses du conseil d'administration sont mises à la disposition des actionnaires pour consultation au plus tard lors de l'assemblée générale suivante.
4    Les renseignements doivent être fournis dans la mesure où ils sont nécessaires à l'exercice des droits de l'actionnaire et ne compromettent pas le secret des affaires ni d'autres intérêts sociaux dignes de protection. Tout refus de fournir les renseignements demandés doit être motivé par écrit.
OR). Die Beweislast für die Umstände, die auf Rechtsmissbrauch schliessen lassen, trägt derjenige, der sich auf Rechtsmissbrauch beruft (BGE 135 III 162 E. 3.3.1 S. 170; BGE 134 III 52 E. 2.1 S. 58 f.), hier mithin der Auskunftspflichtige.
5.3 Das Datenschutzgesetz dient dem Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 1 But - La présente loi vise à protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l'objet d'un traitement.
DSG). In Übereinstimmung mit dieser Zwecksetzung gilt das Auskunftsrecht nach Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG primär als Institut zur Durchsetzung des Persönlichkeitsschutzes (BGE 120 II 118 E. 3b S. 123; JAMES THOMAS PETER, Das Datenschutzgesetz im Privatbereich, 1994, S. 211 und 232). Es ermöglicht der betroffenen Person, die über sie in einer Datensammlung eines Dritten bearbeiteten Daten zu kontrollieren mit dem Ziel, die Einhaltung der datenschutzrechtlichen Grundsätze, wie Beschaffung der Daten mit rechtmässigen Mitteln und nicht in gegen Treu und Glauben verstossender Weise oder Gewährleistung der Richtigkeit der Daten und der Verhältnismässigkeit ihrer Bearbeitung, in der Rechtswirklichkeit zu überprüfen und
BGE 138 III 425 S. 432

durchzusetzen (BBl 1988 II 433 zu Ziff. 213.1; GRAMIGNA/MAURER-LAMBROU, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 1 zu Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG).
5.4 Das Auskunftsrecht nach Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG kann grundsätzlich ohne Nachweis eines Interesses geltend gemacht werden; vorbehalten bleibt aber das Rechtsmissbrauchsverbot (BGE 123 II 534 E. 2e S. 538; GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 42 zu Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG). Die Darlegung des Interesses an der Auskunft kann demnach nötig sein, um dem Vorwurf der rechtsmissbräuchlichen Ausübung des Auskunftsrechts entgegenzutreten. Ebenso kann die nach Art. 9
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
1    Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
a  seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
b  aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
2    Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
3    Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
4    Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.
DSG gebotene Abwägung der gegenseitigen Interessen erfordern, dass der um Auskunft Ersuchende seine Interessen darlegt (GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 42 zu Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG; DAVID ROSENTHAL, in: Handkommentar zum Datenschutzgesetz, Rosenthal/Jöhri [Hrsg.], 2008, N. 12 zu Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG).
5.5 Obgleich das Auskunftsrecht nach Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG grundsätzlich ohne Interessennachweis geltend gemacht werden kann, kommt dem Motiv eines Auskunftsbegehrens immerhin im Hinblick auf einen allfälligen Rechtsmissbrauch Bedeutung zu. So fällt Rechtsmissbrauch in Betracht, wenn das Auskunftsrecht zu datenschutzwidrigen Zwecken eingesetzt wird, etwa um sich die Kosten einer Datenbeschaffung zu sparen, die sonst bezahlt werden müssten (ROSENTHAL, a.a.O., N. 2 zu Art. 9
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
1    Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
a  seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
b  aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
2    Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
3    Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
4    Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.
DSG). Zu denken ist etwa auch an eine schikanöse Rechtsausübung ohne wirkliches Interesse an der Auskunft, lediglich um den Auskunftspflichtigen zu schädigen (vgl. Urteil 4A_36/2010 vom 20. April 2010 E. 3.1). Eine zweckwidrige Verwendung des datenschutzrechtlichen Auskunftsrechts und damit Rechtsmissbrauch wäre wohl auch anzunehmen, wenn das Auskunftsbegehren einzig zum Zweck gestellt wird, die (spätere) Gegenpartei auszuforschen und Beweise zu beschaffen, an die eine Partei sonst nicht gelangen könnte. Denn das Auskunftsrecht nach Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG will nicht die Beweismittelbeschaffung erleichtern oder in das Zivilprozessrecht eingreifen (vgl. WIGET/SCHOCH, a.a.O., S. 1005 und 1007).
5.6 Die Beschwerdeführerin steht auf dem Standpunkt, eine solche Konstellation liege hier vor. Das Auskunftsgesuch sei zur Beweisausforschung eingereicht worden. Die Beschwerdegegner hätten ihr Auskunftsrecht nur deshalb ausgeübt, um Beweise im Hinblick auf den angedrohten Schadenersatzprozess zu sammeln. Die Vorinstanz stellte fest, dass sich aus der vorprozessualen Korrespondenz zwischen den Parteien ohne weiteres ergebe, dass das
BGE 138 III 425 S. 433

klägerische Auskunftsbegehren unter dem Aspekt "Schadenersatzforderungen betreffend Optionsgeschäfte" gestellt und die "notwendigen gerichtlichen Schritte" entsprechend angekündigt worden seien. Dass es den Beschwerdegegnern aber um eine eigentliche (verpönte) Beweisausforschung gehe, wie die Beschwerdeführerin behauptet, oder dass sie Beweisurkunden verlangten, an die sie in einem Zivilprozess nicht gelangen könnten, ist nicht festgestellt. Die Beschwerdegegner haben ein Interesse an den Auskünften über die sie betreffenden Daten, um deren Richtigkeit kontrollieren zu können. Dies will ihnen das Auskunftsrecht nach Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG gerade ermöglichen. Selbst wenn sie die Datenüberprüfung (auch) im Hinblick auf einen allfälligen Schadenersatzprozess vornehmen möchten, wäre ihr Auskunftsbegehren deshalb noch nicht rechtsmissbräuchlich. Die Vorinstanz erkannte dies zutreffend. Umstände, die einen offenbaren Rechtsmissbrauch indizieren könnten, sind nicht festgestellt. Es fehlt demnach eine tatsächliche Grundlage für die Annahme eines offenbaren Rechtsmissbrauchs, und die Vorinstanz verletzte Art. 2 Abs. 2
SR 210 Code civil suisse du 10 décembre 1907
CC Art. 2 - 1 Chacun est tenu d'exercer ses droits et d'exécuter ses obligations selon les règles de la bonne foi.
1    Chacun est tenu d'exercer ses droits et d'exécuter ses obligations selon les règles de la bonne foi.
2    L'abus manifeste d'un droit n'est pas protégé par la loi.
ZGB nicht, indem sie einen solchen verneinte.

6.

6.1 Nach Art. 9
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
1    Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
a  seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
b  aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
2    Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
3    Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
4    Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.
aAbs. 3 (seit 1. Dezember 2010: Abs. 4) DSG kann der private Inhaber einer Datensammlung die Auskunft verweigern, einschränken oder aufschieben, soweit eigene überwiegende Interessen es erfordern und er die Personendaten nicht Dritten bekannt gibt. Als Beispiele überwiegender Interessen des Auskunftspflichtigen werden etwa die Befürchtung einer Wirtschaftsspionage (BBl 1988 II 456 zu Art. 6) oder Gefährdungen oder Beeinträchtigungen der eigenen Persönlichkeitsrechte des Auskunftspflichtigen genannt (GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 29 zu Art. 9
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
1    Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
a  seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
b  aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
2    Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
3    Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
4    Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.
DSG; ROSENTHAL, a.a.O., N. 17 zu Art. 9
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
1    Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
a  seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
b  aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
2    Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
3    Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
4    Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.
DSG). Auch überwiegende finanzielle Interessen kommen in Betracht (ROSENTHAL, a.a.O., N. 17 zu Art. 9
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
1    Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
a  seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
b  aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
2    Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
3    Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
4    Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.
DSG). Mithin ist eine Interessenabwägung vorzunehmen, wobei zunächst der Auskunftspflichtige seine Interessen darzutun hat. Diese sind sodann auf ihre Berechtigung zu prüfen und den Interessen des Auskunftsersuchenden gegenüberzustellen. Nur soweit Erstere die Letzteren überwiegen, kann die Auskunft verweigert, eingeschränkt oder aufgeschoben werden.
6.2 Die Vorinstanz gestand der Beschwerdeführerin zu, dass das von ihr geltend gemachte Interesse an der Auskunftsverweigerung zur Abwehr (unbegründeter) Zivilansprüche als berechtigtes Interesse
BGE 138 III 425 S. 434

anzusehen wäre, wenn mit der Auskunftsverweigerung unbegründete Zivilansprüche abgewehrt werden könnten. Dies sei jedoch nicht der Fall. Dem Argument der Beschwerdeführerin, die zivilprozessualen Besonderheiten des Editionsrechts würden untergraben, hielt die Vorinstanz entgegen, dass der Gesetzgeber die Nichtanwendung des Datenschutzgesetzes in Bezug auf Zivilprozesse in Art. 2 Abs. 2 lit. c
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG ausdrücklich geregelt habe. Hinzu komme, dass die Beschwerdeführerin nicht aufgezeigt habe, inwiefern ihre Interessen durch das zivilprozessuale Editionsrecht besser gewahrt würden. Zusammenfassend habe die Beschwerdeführerin keine schützenswerten Interessen geltend gemacht, die einer Auskunftserteilung entgegenstünden, soweit es sich nicht um interne Notizen des Kundenberaters handle.
6.3 Die Beschwerdeführerin wendet ein, die auf gesetzeskonforme Auskunftsbegehren abgestimmte Interessenabwägung gemäss Art. 9 Abs. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
1    Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
a  seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
b  aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
2    Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
3    Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
4    Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.
DSG werde ad absurdum geführt, wenn das Auskunftsrecht aus vom Gesetzeszweck nicht gedeckten Absichten und somit aus sachfremden Interessen ausgeübt werde. So versuchten die Beschwerdegegner, sich einen von der Zivilprozessordnung nicht vorgesehenen Vorteil zu verschaffen. In einer solchen Konstellation bestünden die Interessen an der Auskunftsverweigerung in der Abwehr eines Eingriffs in die gesetzlich garantierten prozessualen Verteidigungs- und Abwehrrechte. Mit diesen Ausführungen nimmt die Beschwerdeführerin im Grunde erneut das Argument auf, dass das Datenschutzgesetz gar nicht zur Anwendung gelangen sollte. Da es den Beschwerdegegnern lediglich um die vorprozessuale Beweisausforschung gehe, müssten die zivilprozessualen Vorschriften über die vorsorgliche Beweisaufnahme bzw. die zivilprozessualen Editionspflichten zur Anwendung kommen und nicht das datenschutzrechtliche Auskunftsrecht. Sie könne mithin die Auskunft verweigern, um die Nichtanwendung ihrer zivilprozessualen Verteidigungs- und Abwehrrechte abzuwehren. Auch im vorliegenden Zusammenhang ist dieser Argumentation entgegenzuhalten, dass das Datenschutzgesetz lediglich auf hängige Zivilprozesse nicht anwendbar ist. Da (ausser dem vorliegenden) kein Zivilprozess hängig ist, greift das Auskunftsrecht nach Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG und kommen die zivilprozessualen Bestimmungen, auch jene über die "Verteidigungs- und Abwehrrechte" der beklagten Partei, nicht zur Anwendung. Es kann daher nicht als schützenswertes Interesse
BGE 138 III 425 S. 435

der Beschwerdeführerin betrachtet werden, mit ihrer Auskunftsverweigerung die Nichtanwendung der zivilprozessualen Verteidigungs- und Abwehrrechte parieren zu wollen. Bei dieser Rechtslage ist es nicht entscheiderheblich, dass die Beschwerdeführerin zudem nicht aufgezeigt habe, inwiefern ihre Interessen durch das zivilprozessuale Editionsrecht besser gewahrt würden, wie die Vorinstanz ergänzend festhielt und was die Beschwerdeführerin als offensichtlich unrichtige Sachverhaltsfeststellung im Sinne von Art. 105 Abs. 2
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 105 Faits déterminants - 1 Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
1    Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
2    Il peut rectifier ou compléter d'office les constatations de l'autorité précédente si les faits ont été établis de façon manifestement inexacte ou en violation du droit au sens de l'art. 95.
3    Lorsque la décision qui fait l'objet d'un recours concerne l'octroi ou le refus de prestations en espèces de l'assurance-accidents ou de l'assurance militaire, le Tribunal fédéral n'est pas lié par les faits établis par l'autorité précédente.99
BGG rügt. Mangels Entscheidrelevanz braucht auf diese Rüge nicht eingegangen zu werden.
6.4 Ebenso wenig führt das Argument der Beschwerdeführerin, die Beschwerdegegner hätten das Auskunftsbegehren zur Beweisausforschung gestellt, zur Anerkennung überwiegender Interessen an der Auskunftsverweigerung. Zunächst ist nicht festgestellt, dass die Beschwerdegegner sich einen von der Zivilprozessordnung nicht vorgesehenen Vorteil verschaffen wollen oder dass sie eigentliche Beweisausforschung bzw. eine verpönte "fishing expedition" betreiben. Sie verlangen lediglich Auskunft über Daten betreffend ihre eigene Person im Rahmen der bei der Beschwerdeführerin gehaltenen Konto- und Depotbeziehungen. Über diese Daten müsste die Beschwerdeführerin auch gestützt auf Art. 400
SR 220 Première partie: Dispositions générales Titre premier: De la formation des obligations Chapitre I: Des obligations résultant d'un contrat
CO Art. 400 - 1 Le mandataire est tenu, à la demande du mandant, de lui rendre en tout temps compte de sa gestion et de lui restituer tout ce qu'il a reçu de ce chef, à quelque titre que ce soit.
1    Le mandataire est tenu, à la demande du mandant, de lui rendre en tout temps compte de sa gestion et de lui restituer tout ce qu'il a reçu de ce chef, à quelque titre que ce soit.
2    Il doit l'intérêt des sommes pour le versement desquelles il est en retard.
OR Auskunft erteilen. Der Anspruch auf Rechenschaftsablegung nach Art. 400
SR 220 Première partie: Dispositions générales Titre premier: De la formation des obligations Chapitre I: Des obligations résultant d'un contrat
CO Art. 400 - 1 Le mandataire est tenu, à la demande du mandant, de lui rendre en tout temps compte de sa gestion et de lui restituer tout ce qu'il a reçu de ce chef, à quelque titre que ce soit.
1    Le mandataire est tenu, à la demande du mandant, de lui rendre en tout temps compte de sa gestion et de lui restituer tout ce qu'il a reçu de ce chef, à quelque titre que ce soit.
2    Il doit l'intérêt des sommes pour le versement desquelles il est en retard.
OR ist selbst dann nicht ausgeschlossen, wenn sich der Beauftragte damit Schadenersatzansprüchen aussetzen könnte (FELLMANN, Berner Kommentar, 1992, N. 85 zu Art. 400
SR 220 Première partie: Dispositions générales Titre premier: De la formation des obligations Chapitre I: Des obligations résultant d'un contrat
CO Art. 400 - 1 Le mandataire est tenu, à la demande du mandant, de lui rendre en tout temps compte de sa gestion et de lui restituer tout ce qu'il a reçu de ce chef, à quelque titre que ce soit.
1    Le mandataire est tenu, à la demande du mandant, de lui rendre en tout temps compte de sa gestion et de lui restituer tout ce qu'il a reçu de ce chef, à quelque titre que ce soit.
2    Il doit l'intérêt des sommes pour le versement desquelles il est en retard.
OR). Entsprechend vermag der Umstand, dass die Beschwerdegegner die Auskunft auch deshalb begehren, um prüfen zu können, ob sie allenfalls rechtliche Schritte zur Geltendmachung von Schadenersatzansprüchen ergreifen wollen, der Beschwerdeführerin kein überwiegendes berechtigtes Interesse an der Auskunftsverweigerung zu verleihen. Die Vorinstanz hat dies ohne Verletzung von Bundesrecht erkannt.
6.5 Vor Bundesgericht bringt die Beschwerdeführerin vor, eine Auskunftsverpflichtung würde sie in ihren eigenen persönlichkeitsrechtlichen Interessen treffen. Denn in den verlangten bankinternen Unterlagen seien auch eigene Personendaten und solche der Mitarbeiter der Beschwerdeführerin enthalten. Es sei gerichtsnotorisch, dass sie an der Verweigerung der Herausgabe derselben ein datenschützerisches Interesse habe. Demgegenüber hätten die Beschwerdegegner kein oder höchstens ein vorgeschobenes Datenschutzinteresse.

BGE 138 III 425 S. 436

Im angefochtenen Beschluss ist nicht festgestellt, dass in den verlangten bankinternen Unterlagen auch eigene Personendaten und solche der Mitarbeiter der Beschwerdeführerin enthalten sind, ebenso wenig, dass sich eigene Personendaten der Beschwerdeführerin nicht von den verlangten Personendaten der Beschwerdegegner trennen liessen. Dieser behauptete Umstand, der keineswegs als notorisch erscheint, kann daher vom Bundesgericht nicht berücksichtigt werden (Art. 105 Abs. 1
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 105 Faits déterminants - 1 Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
1    Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
2    Il peut rectifier ou compléter d'office les constatations de l'autorité précédente si les faits ont été établis de façon manifestement inexacte ou en violation du droit au sens de l'art. 95.
3    Lorsque la décision qui fait l'objet d'un recours concerne l'octroi ou le refus de prestations en espèces de l'assurance-accidents ou de l'assurance militaire, le Tribunal fédéral n'est pas lié par les faits établis par l'autorité précédente.99
BGG; vgl. dazu Urteil 4A_269/2010 vom 23. August 2010 E. 1.3, in: SJ 2011 I S. 58). Im Übrigen weisen die Beschwerdegegner zutreffend darauf hin, dass zum Schutz von in den Akten enthaltenen Personendaten Dritter deren Anonymisierung oder Abdeckung in Betracht fällt (GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 52 zu Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG).
6.6 Die Vorinstanz verletzte mithin kein Bundesrecht, indem sie überwiegende Interessen der Beschwerdeführerin, die Auskunft zu verweigern, verneinte. Da es bereits an der Voraussetzung überwiegender Interessen an der Auskunftsverweigerung mangelt, ist unerheblich, ob die zweite Voraussetzung nach Art. 9
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
1    Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
a  seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
b  aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
2    Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
3    Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
4    Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.
aAbs. 3 DSG, dass keine Daten an Dritte weitergegeben wurden, ebenfalls erfüllt wäre. Es erübrigen sich daher Ausführungen zu der von der Beschwerdeführerin in diesem Zusammenhang erhobenen Rüge, die Vorinstanz habe den Sachverhalt offensichtlich unrichtig (Art. 105 Abs. 2
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 105 Faits déterminants - 1 Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
1    Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
2    Il peut rectifier ou compléter d'office les constatations de l'autorité précédente si les faits ont été établis de façon manifestement inexacte ou en violation du droit au sens de l'art. 95.
3    Lorsque la décision qui fait l'objet d'un recours concerne l'octroi ou le refus de prestations en espèces de l'assurance-accidents ou de l'assurance militaire, le Tribunal fédéral n'est pas lié par les faits établis par l'autorité précédente.99
BGG) und in Verletzung von Art. 8
SR 210 Code civil suisse du 10 décembre 1907
CC Art. 8 - Chaque partie doit, si la loi ne prescrit le contraire, prouver les faits qu'elle allègue pour en déduire son droit.
ZGB festgestellt, indem sie festhielt, der Einwand der Beschwerdeführerin, sie habe keine Daten an die XZ. Ltd. weitergeleitet, sei verspätet.
Information de décision   •   DEFRITEN
Document : 138 III 425
Date : 17 avril 2012
Publié : 11 octobre 2012
Source : Tribunal fédéral
Statut : 138 III 425
Domaine : ATF - Droit civil
Objet : Art. 2 al. 2 let. c, art. 8 et 9 ancien al. 3 (al. 4 dans la version en vigueur depuis le 1er décembre 2010) LPD, art. 2


Répertoire des lois
CC: 2 
SR 210 Code civil suisse du 10 décembre 1907
CC Art. 2 - 1 Chacun est tenu d'exercer ses droits et d'exécuter ses obligations selon les règles de la bonne foi.
1    Chacun est tenu d'exercer ses droits et d'exécuter ses obligations selon les règles de la bonne foi.
2    L'abus manifeste d'un droit n'est pas protégé par la loi.
8
SR 210 Code civil suisse du 10 décembre 1907
CC Art. 8 - Chaque partie doit, si la loi ne prescrit le contraire, prouver les faits qu'elle allègue pour en déduire son droit.
CO: 400 
SR 220 Première partie: Dispositions générales Titre premier: De la formation des obligations Chapitre I: Des obligations résultant d'un contrat
CO Art. 400 - 1 Le mandataire est tenu, à la demande du mandant, de lui rendre en tout temps compte de sa gestion et de lui restituer tout ce qu'il a reçu de ce chef, à quelque titre que ce soit.
1    Le mandataire est tenu, à la demande du mandant, de lui rendre en tout temps compte de sa gestion et de lui restituer tout ce qu'il a reçu de ce chef, à quelque titre que ce soit.
2    Il doit l'intérêt des sommes pour le versement desquelles il est en retard.
697
SR 220 Première partie: Dispositions générales Titre premier: De la formation des obligations Chapitre I: Des obligations résultant d'un contrat
CO Art. 697 - 1 Lors de l'assemblée générale, tout actionnaire peut demander des renseignements au conseil d'administration sur les affaires de la société et à l'organe de révision sur l'exécution et le résultat de sa vérification.
1    Lors de l'assemblée générale, tout actionnaire peut demander des renseignements au conseil d'administration sur les affaires de la société et à l'organe de révision sur l'exécution et le résultat de sa vérification.
2    Dans les sociétés dont les actions ne sont pas cotées en bourse, des actionnaires représentant ensemble au moins 10 % du capital-actions ou des voix peuvent demander par écrit des renseignements au conseil d'administration sur les affaires de la société.
3    Le conseil d'administration fournit les renseignements dans un délai de quatre mois. Les réponses du conseil d'administration sont mises à la disposition des actionnaires pour consultation au plus tard lors de l'assemblée générale suivante.
4    Les renseignements doivent être fournis dans la mesure où ils sont nécessaires à l'exercice des droits de l'actionnaire et ne compromettent pas le secret des affaires ni d'autres intérêts sociaux dignes de protection. Tout refus de fournir les renseignements demandés doit être motivé par écrit.
CPC: 62
SR 272 Code de procédure civile du 19 décembre 2008 (CPC) - Loi sur les fors
CPC Art. 62 Début de la litispendance - 1 L'instance est introduite par le dépôt de la requête de conciliation, de la demande ou de la requête en justice, ou de la requête commune en divorce.
1    L'instance est introduite par le dépôt de la requête de conciliation, de la demande ou de la requête en justice, ou de la requête commune en divorce.
2    Une attestation de dépôt de l'acte introductif d'instance est délivrée aux parties.
LPD: 1 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 1 But - La présente loi vise à protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l'objet d'un traitement.
2 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
3 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
8 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
9
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
1    Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
a  seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
b  aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
2    Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
3    Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
4    Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.
LTF: 105
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 105 Faits déterminants - 1 Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
1    Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
2    Il peut rectifier ou compléter d'office les constatations de l'autorité précédente si les faits ont été établis de façon manifestement inexacte ou en violation du droit au sens de l'art. 95.
3    Lorsque la décision qui fait l'objet d'un recours concerne l'octroi ou le refus de prestations en espèces de l'assurance-accidents ou de l'assurance militaire, le Tribunal fédéral n'est pas lié par les faits établis par l'autorité précédente.99
Répertoire ATF
120-II-118 • 121-III-60 • 123-II-534 • 128-II-145 • 129-III-493 • 134-III-52 • 135-III-162 • 138-III-425
Weitere Urteile ab 2000
4A_269/2010 • 4A_36/2010 • 4A_688/2011
Répertoire de mots-clés
Trié par fréquence ou alphabet
intimé • procédure civile • données personnelles • autorité inférieure • défendeur • abus de droit • requête exploratoire • obligation de renseigner • norme • volonté • fichier de données • tribunal fédéral • clause d'exception • exactitude • loi fédérale sur la protection des données • preuve de l'intérêt • recours en matière civile • document écrit • traitement électronique des données • protection de la personnalité
... Les montrer tous
FF
1988/II/413 • 1988/II/433 • 1988/II/456
PJA
2010 S.999
SJ
2011 I S.58