Urteilskopf

138 III 425

63. Auszug aus dem Urteil der I. zivilrechtlichen Abteilung i.S. Bank X. AG gegen A.Y. und B.Y. (Beschwerde in Zivilsachen) 4A_688/2011 vom 17. April 2012

Regeste (de):

Regeste (fr):

Regesto (it):


Sachverhalt ab Seite 426

BGE 138 III 425 S. 426

A. A.Y. (Beschwerdegegnerin 1, Klägerin 1) und B.Y. (Beschwerdegegner 2, Kläger 2) unterhalten bzw. unterhielten bei der Bank X. AG (Beschwerdeführerin, Beklagte) Konto- und Depotbeziehungen. Nach ihrer Darstellung wickelte die Beschwerdeführerin im Jahre 2008 ohne entsprechende Instruktion oder Ermächtigung Optionsgeschäfte über diese Konto- und Depotbeziehungen ab, woraus erhebliche Verluste für die Beschwerdegegner resultiert hätten. Mit Schreiben vom 16. Februar 2009 und 12. März 2009 forderten die Beschwerdegegner die Beschwerdeführerin auf, ihnen die bankinterne Dokumentation insbesondere zum Kundenprofil und zum Anlageziel der Beschwerdegegner zukommen zu lassen. Die Beschwerdeführerin verweigerte die Herausgabe der verlangten bankinternen Unterlagen bzw. verwies die Beschwerdegegner betreffend die Lebensversicherung der XZ. Ltd. an diese Gesellschaft.
B. Mit Klage vom 27. Juli 2009 an das Bezirksgericht Zürich verlangten die Beschwerdegegner gestützt auf das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) Auskunft über sämtliche bankinternen Personendaten. Sie stellten folgende Anträge: "1. Es sei die Beklagte zu verpflichten, der Klägerin 1 Auskunft über sämtliche bankinternen Personendaten der Beklagten betreffend die Klägerin 1 im Sinne von Art. 3 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG und gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG, insbesondere betreffend die folgenden Kontobeziehungen: (...)
zu erteilen.
2. Es sei die Beklagte zu verpflichten, dem Kläger 2 Auskunft über sämtliche bankinternen Personendaten der Beklagten betreffend den Kläger 2 im Sinne von Art. 3 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG und gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG, insbesondere betreffend die folgenden Kontobeziehungen: (...)
zu erteilen."
Mit Urteil vom 22. April 2010 wies das Bezirksgericht die Klage ab. Zur Begründung führte es im Wesentlichen aus, die Beschwerdegegner würden das Auskunftsrecht nicht zum Schutz gegen eine Persönlichkeitsverletzung durch Datenbearbeitung, wie ihn das Datenschutzgesetz intendiere, geltend machen, sondern aus rein finanziellen bzw. zivilprozessualen Beweisinteressen im Rahmen eines Auftragsverhältnisses. Damit widerspreche das Begehren dem Zweck
BGE 138 III 425 S. 427

von Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG. Umgekehrt würde eine Auskunftsverpflichtung die Beschwerdeführerin in ihren durch das Zivil- und Zivilprozessrecht verbrieften Verteidigungsrechten beschneiden und damit deren überwiegende Interessen im Sinne von Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
aAbs. 3 (in der seit 1. Dezember 2010 geltenden Fassung: Abs. 4) DSG verletzen. Dagegen erhoben die Beschwerdegegner Berufung an das Obergericht des Kantons Zürich und verlangten die Gutheissung ihrer Klage. Am 1. Oktober 2011 entschied das Obergericht wie folgt: "1. Die Beklagte wird verpflichtet, der Klägerin 1 Auskunft über sämtliche bankinternen Personendaten, die Klägerin 1 betreffend, zu erteilen, insbesondere betreffend die Konto/Depotbeziehungen (...), mit Ausnahme sämtlicher interner Notizen zum persönlichen Gebrauch des oder der Kundenberater der Beklagten. 2. Die Beklagte wird verpflichtet, dem Kläger 2 Auskunft über sämtliche bankinternen Personendaten, den Kläger 2 betreffend, zu erteilen, insbesondere betreffend die Konto/Depotbeziehungen (...), mit Ausnahme sämtlicher interner Notizen zum persönlichen Gebrauch des oder der Kundenberater der Beklagten." Das Obergericht begründete seinen Beschluss im Wesentlichen damit, das Auskunftsrecht gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG könne grundsätzlich ohne Interessennachweis ausgeübt werden. Es brauche deshalb auch nicht datenschutzrechtlich motiviert zu sein. Datenschützerische Gründe könnten regelmässig vorgeschoben werden. Selbst wenn die Beschwerdegegner das Auskunftsrecht im Hinblick auf einen allfällig nachfolgenden Schadenersatzprozess verlangt hätten, sei dies nicht per se rechtsmissbräuchlich. Die Beschwerdeführerin habe keine schützenswerten Interessen geltend gemacht, die einer Auskunftserteilung entgegenstünden, soweit es sich nicht um interne Notizen des Kundenberaters handle.
C. Die Beschwerdeführerin beantragt mit Beschwerde in Zivilsachen u.a., die Dispositiv-Ziffern 1 und 2 des Beschlusses des Obergerichts vom 1. Oktober 2011 seien insoweit aufzuheben, als die Beschwerdeführerin zur Auskunft an die Beschwerdegegner verpflichtet wird; (...). Das Bundesgericht weist die Beschwerde ab.
(Auszug)

Erwägungen

Aus den Erwägungen:

4. Grundsätzlich nicht umstritten ist vorliegend, dass die Beschwerdeführerin Inhaberin einer Datensammlung betreffend
BGE 138 III 425 S. 428

Personendaten im Sinne von Art. 3 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
und i des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) ist.
4.1 Die Beschwerdeführerin stellt jedoch in Abrede, dass das Datenschutzgesetz überhaupt anwendbar ist. Es sei von einem hängigen Zivilprozess gemäss Art. 2 Abs. 2 lit. c
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG auszugehen. Eine korrekte Auslegung des Begriffs "hängige Zivilprozesse" sowie eine Ausrichtung dieser Auslegung auf die Regelungsabsicht des Gesetzgebers und die von ihm erkennbar getroffenen Wertentscheidungen ergebe, dass "hängige Zivilprozesse" mit "anwendbare zivilprozessuale Norm" gleichzusetzen sei. Sobald und solange eine bestimmte Materie abschliessend durch einen Verfahrenserlass geregelt werde, sei die gleichzeitige Anwendbarkeit des Datenschutzgesetzes ausgeschlossen. Insbesondere werde die Sammlung des Prozessstoffes nicht durch das Datenschutzgesetz, sondern durch den anwendbaren Verfahrenserlass geregelt. Das Zivilprozessrecht bestimme abschliessend, ob und inwiefern vor Anhebung eines Prozesses bei einem Prozessgegner Beweisausforschung betrieben werden könne oder vorprozessual Beweismittel von der Gegenpartei herausverlangt werden könnten ("pre-trial-discovery"). Vorliegend sei die vorprozessuale Edition durch § 231 aZPO/ZH geregelt und nur unter den in dieser Norm aufgestellten Voraussetzungen möglich. Das Auskunftsbegehren der Beschwerdegegner ziele auf die vorprozessuale Edition von Urkunden für einen Schadenersatzprozess gegen die Beschwerdeführerin. Darauf sei § 231 aZPO/ZH, nicht jedoch das Datenschutzgesetz anwendbar.
4.2 Demgegenüber bejahte die Vorinstanz die Anwendbarkeit des Datenschutzgesetzes. Der Zeitpunkt der Rechtshängigkeit sei in den Prozessgesetzen klar geregelt. Zwischen den Parteien sei kein Zivilprozess (ausser dem vorliegenden) hängig und daher greife auch die Ausnahmebestimmung von Art. 2 Abs. 2 lit. c
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG nicht. Eine vorsorgliche Beweisabnahme nach § 231 aZPO/ZH finde statt, bevor der Prozess rechtshängig sei. Es bestehe kein Grund, das Datenschutzgesetz nicht anzuwenden und eine Partei auf die Möglichkeit der vorsorglichen Beweisabnahme zu verweisen, zumal die Voraussetzungen für das Auskunftsrecht nach dem Datenschutzgesetz und für die vorsorgliche Beweisabnahme verschieden seien. Eine (unerwünschte) Überlagerung von zwei Gesetzen sei ausgeschlossen. Erst wenn eine vorsorgliche Beweisabnahme beantragt werde, führe dies zu einem hängigen Verfahren, das die Anwendbarkeit des Datenschutzgesetzes ausschliesse.
BGE 138 III 425 S. 429

4.3 Das Datenschutzgesetz gilt generell für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen (vgl. Art. 2 Abs. 1 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG). Das Gesetz schliesst jedoch insbesondere hängige Zivilprozesse, Strafverfahren, Verfahren der internationalen Rechtshilfe sowie staats- und verwaltungsrechtliche Verfahren mit Ausnahme erstinstanzlicher Verwaltungsverfahren von seinem Anwendungsbereich aus (Art. 2 Abs. 2 lit. c
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG). Diese Ausnahmeklausel beruht auf der Idee, dass hier der Persönlichkeitsschutz durch die Spezialbestimmungen für die entsprechenden Verfahren hinreichend gesichert und geregelt wird. Käme das Datenschutzgesetz ebenfalls zur Anwendung, würden sich zwei Gesetze mit zum Teil gleicher Zielsetzung überlagern, was zu Rechtsunsicherheiten, zu Koordinationsproblemen und schliesslich zu Verfahrensverzögerungen führen würde (Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 II 413, 443 zu Art. 2 Abs. 2; ROSENTHAL/JÖHRI, in: Handkommentar zum Datenschutzgesetz, Rosenthal/Jöhri [Hrsg.], 2008, N. 29 zu Art. 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG; MAURER-LAMBROU/KUNZ, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 27 zu Art. 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG). Was unter "hängige Zivilprozesse" zu verstehen ist, ergibt sich ohne weiteres aus dem Wortlaut und dem Zweck der Norm. Erforderlich ist, dass ein Verfahren in dem Sinn hängig ist, dass die Geltung der einschlägigen Verfahrensvorschriften ausgelöst wird. Der zivilrechtliche Konflikt muss demnach in das Stadium der gerichtlichen Auseinandersetzung gelangt sein, weil erst dann die die Persönlichkeitsrechte der betroffenen Personen regelnden Prozessgesetze (nunmehr die Schweizerische ZPO [SR 272]) zur Anwendung gelangen. Ein Zivilprozess ist im Sinne von Art. 2 Abs. 2 lit. c
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG mithin dann "hängig", wenn er vor eine gerichtliche Instanz gebracht wurde (wozu auch der Friedensrichter zählt), spätestens mit Eintritt der zivilprozessual definierten Rechtshängigkeit (vgl. nunmehr Art. 62
SR 272 Codice di diritto processuale civile svizzero del 19 dicembre 2008 (Codice di procedura civile, CPC) - Codice di procedura civile
CPC Art. 62 Inizio della pendenza della causa - 1 Il deposito dell'istanza di conciliazione, della petizione, dell'istanza introduttiva del giudizio o della richiesta comune di divorzio determina la pendenza della causa.
1    Il deposito dell'istanza di conciliazione, della petizione, dell'istanza introduttiva del giudizio o della richiesta comune di divorzio determina la pendenza della causa.
2    Alle parti è data conferma del ricevimento dell'atto.
ZPO). Eine Ausdehnung des Begriffs "hängige Zivilprozesse" auf das Vorfeld eines Zivilprozesses, in dem Informationen und Beweismittel gesammelt und die Aussichten eines allfälligen Prozesses abgeklärt werden, ist abzulehnen. Eine solche extensive Auslegung wäre vom Wortlaut der Norm nicht gedeckt und führte zu Rechtsunsicherheit, da kaum je eindeutig feststeht, wann die Vorbereitung für einen Zivilprozess begonnen hat, und somit, ab wann die Bearbeitungsgrundsätze des Datenschutzgesetzes nicht mehr gelten würden (so auch WIGET/SCHOCH, Das Auskunftsrecht nach DSG - eine
BGE 138 III 425 S. 430

unkonventionelle Art der Beschaffung von Beweismitteln?, AJP 2010 S. 999 ff., 1006). Die Anwendbarkeit des Datenschutzgesetzes beschlägt nicht nur den Bestand eines datenschutzrechtlichen Auskunftsrechts, sondern entscheidet vorab darüber, ob die vom Datenschutzgesetz aufgestellten Vorschriften über das Sammeln und Bearbeiten von Daten massgebend sind. Entsprechende zivilprozessuale Vorschriften greifen aber ausserhalb eines förmlich anhängigen Zivilprozesses nicht, weshalb zum Schutz der Betroffenen die Ausnahmeklausel vom Geltungsbereich des Datenschutzgesetzes nicht extensiv interpretiert werden darf. Umgekehrt bildet die Gefahr, dass ein datenschutzrechtliches Auskunftsbegehren zu einer verpönten Beweisausforschung des späteren Prozessgegners missbraucht werden könnte, keinen Grund, den Geltungsbereich des Datenschutzgesetzes über den Wortlaut von Art. 2 Abs. 2 lit. c
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG hinausgehend einzuschränken. Vielmehr ist dieser Umstand im Einzelfall gegebenenfalls bei der Frage zu berücksichtigen, ob eine rechtsmissbräuchliche Verwendung des Instituts des datenschutzrechtlichen Auskunftsrechts vorliegt.
4.4 Die Vorinstanz hat auch zutreffend erkannt, dass die Möglichkeit der vorprozessualen Beweissicherung nach § 231 aZPO/ZH die Anwendbarkeit des Datenschutzgesetzes nicht verdrängt. Die vorsorgliche Beweisabnahme nach § 231 aZPO/ZH und das materiellrechtliche Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG haben einen voneinander unabhängigen Anwendungsbereich und folgen eigenen Voraussetzungen und Regeln. Eine Überlagerung von Normen droht nicht: Erst, aber auch sobald eine vorsorgliche Beweisabnahme beantragt wird, ist von einem hängigen Zivilprozess auszugehen und greift die Ausnahmeklausel nach Art. 2 Abs. 2 lit. c
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG. Im Übrigen unterstellt die Beschwerdeführerin mit ihrer Argumentation, wonach ausschliesslich § 231 aZPO/ZH anwendbar sei und die Beschwerdegegner auf dieses Verfahren verwiesen werden müssten, dass deren Auskunftsbegehren einzig auf die vorprozessuale Edition von Urkunden für einen Schadenersatzprozess abziele. Unabhängig davon, ob diese Unterstellung zutrifft und Entsprechendes festgestellt wäre, ist das Motiv des Auskunftsbegehrens nicht bei der Abgrenzung des Geltungsbereichs des Datenschutzgesetzes zu berücksichtigen, sondern bei der Prüfung, ob vom Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG allenfalls rechtsmissbräuchlich Gebrauch gemacht wird oder ob die Auskunft wegen überwiegender Interessen des Auskunftspflichtigen verweigert werden kann (vgl. WIGET/SCHOCH, a.a.O., S. 1006).
BGE 138 III 425 S. 431

4.5 Die Vorinstanz verletzte mithin kein Bundesrecht, indem sie mangels hängigen Zivilprozesses die Anwendbarkeit des Datenschutzgesetzes bejahte.
5.

5.1 Die Beschwerdeführerin macht geltend, selbst wenn das Datenschutzgesetz anwendbar wäre, würden die Beschwerdegegner das Recht auf Auskunft rechtsmissbräuchlich ausüben, weil sie es einzig zwecks Beweisausforschung zur Begründung einer Schadenersatzforderung und damit zu einem datenschutzfremden Zweck ausübten. Die Vorinstanz habe Art. 2 Abs. 2
SR 210 Codice civile svizzero del 10 dicembre 1907
CC Art. 2 - 1 Ognuno è tenuto ad agire secondo la buona fede così nell'esercizio dei propri diritti come nell'adempimento dei propri obblighi.
1    Ognuno è tenuto ad agire secondo la buona fede così nell'esercizio dei propri diritti come nell'adempimento dei propri obblighi.
2    Il manifesto abuso del proprio diritto non è protetto dalla legge.
ZGB verletzt, indem sie einen Rechtsmissbrauch verneinte.
5.2 Art. 2 Abs. 2
SR 210 Codice civile svizzero del 10 dicembre 1907
CC Art. 2 - 1 Ognuno è tenuto ad agire secondo la buona fede così nell'esercizio dei propri diritti come nell'adempimento dei propri obblighi.
1    Ognuno è tenuto ad agire secondo la buona fede così nell'esercizio dei propri diritti come nell'adempimento dei propri obblighi.
2    Il manifesto abuso del proprio diritto non è protetto dalla legge.
ZGB gewährt offenbarem Rechtsmissbrauch keinen Rechtsschutz. Ob eine Berechtigung missbräuchlich ausgeübt wird, hängt stets von den Umständen des Einzelfalles ab (BGE 135 III 162 E. 3.3.1 S. 169; BGE 129 III 493 E. 5.1 S. 497; BGE 121 III 60 E. 3d S. 63). In Lehre und Rechtsprechung sind Fallgruppen anerkannt worden, in denen typischerweise ein offenbarer Missbrauch vorliegen kann. So wird etwa Rechtsmissbrauch angenommen bei zweckwidriger Verwendung eines Rechtsinstituts zur Verwirklichung von Interessen, die dieses Institut nicht schützen will (BGE 135 III 162 E. 3.3.1 S. 169; BGE 128 II 145 E. 2.2 S. 151; Urteil 4A_36/2010 vom 20. April 2010 E. 3.1 betreffend zweckwidrigen Gebrauch des Auskunfts- und Einsichtsrechts nach Art. 697
SR 220 Parte prima: Disposizioni generali Titolo primo: Delle cause delle obbligazioni Capo primo: Delle obbligazioni derivanti da contratto
CO Art. 697 - 1 Nell'assemblea generale ogni azionista può chiedere al consiglio d'amministrazione ragguagli sugli affari della società, e all'ufficio di revisione ragguagli sull'esecuzione e il risultato della sua verifica.
1    Nell'assemblea generale ogni azionista può chiedere al consiglio d'amministrazione ragguagli sugli affari della società, e all'ufficio di revisione ragguagli sull'esecuzione e il risultato della sua verifica.
2    Nelle società le cui azioni non sono quotate in borsa, azionisti che rappresentino insieme almeno il 10 per cento del capitale azionario o dei voti possono chiedere per scritto al consiglio d'amministrazione ragguagli sugli affari della società.
3    Il consiglio d'amministrazione fornisce i ragguagli entro quattro mesi. Le risposte devono inoltre essere messe a disposizione degli azionisti, perché possano prenderne visione al più tardi in occasione dell'assemblea generale successiva.
4    I ragguagli devono essere forniti nella misura in cui siano necessari per l'esercizio dei diritti dell'azionista e non compromettano segreti d'affari o altri interessi degni di protezione della società. Se i ragguagli vengono negati, la decisione dev'essere motivata per scritto.
OR). Die Beweislast für die Umstände, die auf Rechtsmissbrauch schliessen lassen, trägt derjenige, der sich auf Rechtsmissbrauch beruft (BGE 135 III 162 E. 3.3.1 S. 170; BGE 134 III 52 E. 2.1 S. 58 f.), hier mithin der Auskunftspflichtige.
5.3 Das Datenschutzgesetz dient dem Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 1 Scopo - Scopo della presente legge è proteggere la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento.
DSG). In Übereinstimmung mit dieser Zwecksetzung gilt das Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG primär als Institut zur Durchsetzung des Persönlichkeitsschutzes (BGE 120 II 118 E. 3b S. 123; JAMES THOMAS PETER, Das Datenschutzgesetz im Privatbereich, 1994, S. 211 und 232). Es ermöglicht der betroffenen Person, die über sie in einer Datensammlung eines Dritten bearbeiteten Daten zu kontrollieren mit dem Ziel, die Einhaltung der datenschutzrechtlichen Grundsätze, wie Beschaffung der Daten mit rechtmässigen Mitteln und nicht in gegen Treu und Glauben verstossender Weise oder Gewährleistung der Richtigkeit der Daten und der Verhältnismässigkeit ihrer Bearbeitung, in der Rechtswirklichkeit zu überprüfen und
BGE 138 III 425 S. 432

durchzusetzen (BBl 1988 II 433 zu Ziff. 213.1; GRAMIGNA/MAURER-LAMBROU, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 1 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG).
5.4 Das Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG kann grundsätzlich ohne Nachweis eines Interesses geltend gemacht werden; vorbehalten bleibt aber das Rechtsmissbrauchsverbot (BGE 123 II 534 E. 2e S. 538; GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 42 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG). Die Darlegung des Interesses an der Auskunft kann demnach nötig sein, um dem Vorwurf der rechtsmissbräuchlichen Ausübung des Auskunftsrechts entgegenzutreten. Ebenso kann die nach Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG gebotene Abwägung der gegenseitigen Interessen erfordern, dass der um Auskunft Ersuchende seine Interessen darlegt (GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 42 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG; DAVID ROSENTHAL, in: Handkommentar zum Datenschutzgesetz, Rosenthal/Jöhri [Hrsg.], 2008, N. 12 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG).
5.5 Obgleich das Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG grundsätzlich ohne Interessennachweis geltend gemacht werden kann, kommt dem Motiv eines Auskunftsbegehrens immerhin im Hinblick auf einen allfälligen Rechtsmissbrauch Bedeutung zu. So fällt Rechtsmissbrauch in Betracht, wenn das Auskunftsrecht zu datenschutzwidrigen Zwecken eingesetzt wird, etwa um sich die Kosten einer Datenbeschaffung zu sparen, die sonst bezahlt werden müssten (ROSENTHAL, a.a.O., N. 2 zu Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG). Zu denken ist etwa auch an eine schikanöse Rechtsausübung ohne wirkliches Interesse an der Auskunft, lediglich um den Auskunftspflichtigen zu schädigen (vgl. Urteil 4A_36/2010 vom 20. April 2010 E. 3.1). Eine zweckwidrige Verwendung des datenschutzrechtlichen Auskunftsrechts und damit Rechtsmissbrauch wäre wohl auch anzunehmen, wenn das Auskunftsbegehren einzig zum Zweck gestellt wird, die (spätere) Gegenpartei auszuforschen und Beweise zu beschaffen, an die eine Partei sonst nicht gelangen könnte. Denn das Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG will nicht die Beweismittelbeschaffung erleichtern oder in das Zivilprozessrecht eingreifen (vgl. WIGET/SCHOCH, a.a.O., S. 1005 und 1007).
5.6 Die Beschwerdeführerin steht auf dem Standpunkt, eine solche Konstellation liege hier vor. Das Auskunftsgesuch sei zur Beweisausforschung eingereicht worden. Die Beschwerdegegner hätten ihr Auskunftsrecht nur deshalb ausgeübt, um Beweise im Hinblick auf den angedrohten Schadenersatzprozess zu sammeln. Die Vorinstanz stellte fest, dass sich aus der vorprozessualen Korrespondenz zwischen den Parteien ohne weiteres ergebe, dass das
BGE 138 III 425 S. 433

klägerische Auskunftsbegehren unter dem Aspekt "Schadenersatzforderungen betreffend Optionsgeschäfte" gestellt und die "notwendigen gerichtlichen Schritte" entsprechend angekündigt worden seien. Dass es den Beschwerdegegnern aber um eine eigentliche (verpönte) Beweisausforschung gehe, wie die Beschwerdeführerin behauptet, oder dass sie Beweisurkunden verlangten, an die sie in einem Zivilprozess nicht gelangen könnten, ist nicht festgestellt. Die Beschwerdegegner haben ein Interesse an den Auskünften über die sie betreffenden Daten, um deren Richtigkeit kontrollieren zu können. Dies will ihnen das Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG gerade ermöglichen. Selbst wenn sie die Datenüberprüfung (auch) im Hinblick auf einen allfälligen Schadenersatzprozess vornehmen möchten, wäre ihr Auskunftsbegehren deshalb noch nicht rechtsmissbräuchlich. Die Vorinstanz erkannte dies zutreffend. Umstände, die einen offenbaren Rechtsmissbrauch indizieren könnten, sind nicht festgestellt. Es fehlt demnach eine tatsächliche Grundlage für die Annahme eines offenbaren Rechtsmissbrauchs, und die Vorinstanz verletzte Art. 2 Abs. 2
SR 210 Codice civile svizzero del 10 dicembre 1907
CC Art. 2 - 1 Ognuno è tenuto ad agire secondo la buona fede così nell'esercizio dei propri diritti come nell'adempimento dei propri obblighi.
1    Ognuno è tenuto ad agire secondo la buona fede così nell'esercizio dei propri diritti come nell'adempimento dei propri obblighi.
2    Il manifesto abuso del proprio diritto non è protetto dalla legge.
ZGB nicht, indem sie einen solchen verneinte.

6.

6.1 Nach Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
aAbs. 3 (seit 1. Dezember 2010: Abs. 4) DSG kann der private Inhaber einer Datensammlung die Auskunft verweigern, einschränken oder aufschieben, soweit eigene überwiegende Interessen es erfordern und er die Personendaten nicht Dritten bekannt gibt. Als Beispiele überwiegender Interessen des Auskunftspflichtigen werden etwa die Befürchtung einer Wirtschaftsspionage (BBl 1988 II 456 zu Art. 6) oder Gefährdungen oder Beeinträchtigungen der eigenen Persönlichkeitsrechte des Auskunftspflichtigen genannt (GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 29 zu Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG; ROSENTHAL, a.a.O., N. 17 zu Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG). Auch überwiegende finanzielle Interessen kommen in Betracht (ROSENTHAL, a.a.O., N. 17 zu Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG). Mithin ist eine Interessenabwägung vorzunehmen, wobei zunächst der Auskunftspflichtige seine Interessen darzutun hat. Diese sind sodann auf ihre Berechtigung zu prüfen und den Interessen des Auskunftsersuchenden gegenüberzustellen. Nur soweit Erstere die Letzteren überwiegen, kann die Auskunft verweigert, eingeschränkt oder aufgeschoben werden.
6.2 Die Vorinstanz gestand der Beschwerdeführerin zu, dass das von ihr geltend gemachte Interesse an der Auskunftsverweigerung zur Abwehr (unbegründeter) Zivilansprüche als berechtigtes Interesse
BGE 138 III 425 S. 434

anzusehen wäre, wenn mit der Auskunftsverweigerung unbegründete Zivilansprüche abgewehrt werden könnten. Dies sei jedoch nicht der Fall. Dem Argument der Beschwerdeführerin, die zivilprozessualen Besonderheiten des Editionsrechts würden untergraben, hielt die Vorinstanz entgegen, dass der Gesetzgeber die Nichtanwendung des Datenschutzgesetzes in Bezug auf Zivilprozesse in Art. 2 Abs. 2 lit. c
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG ausdrücklich geregelt habe. Hinzu komme, dass die Beschwerdeführerin nicht aufgezeigt habe, inwiefern ihre Interessen durch das zivilprozessuale Editionsrecht besser gewahrt würden. Zusammenfassend habe die Beschwerdeführerin keine schützenswerten Interessen geltend gemacht, die einer Auskunftserteilung entgegenstünden, soweit es sich nicht um interne Notizen des Kundenberaters handle.
6.3 Die Beschwerdeführerin wendet ein, die auf gesetzeskonforme Auskunftsbegehren abgestimmte Interessenabwägung gemäss Art. 9 Abs. 3
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG werde ad absurdum geführt, wenn das Auskunftsrecht aus vom Gesetzeszweck nicht gedeckten Absichten und somit aus sachfremden Interessen ausgeübt werde. So versuchten die Beschwerdegegner, sich einen von der Zivilprozessordnung nicht vorgesehenen Vorteil zu verschaffen. In einer solchen Konstellation bestünden die Interessen an der Auskunftsverweigerung in der Abwehr eines Eingriffs in die gesetzlich garantierten prozessualen Verteidigungs- und Abwehrrechte. Mit diesen Ausführungen nimmt die Beschwerdeführerin im Grunde erneut das Argument auf, dass das Datenschutzgesetz gar nicht zur Anwendung gelangen sollte. Da es den Beschwerdegegnern lediglich um die vorprozessuale Beweisausforschung gehe, müssten die zivilprozessualen Vorschriften über die vorsorgliche Beweisaufnahme bzw. die zivilprozessualen Editionspflichten zur Anwendung kommen und nicht das datenschutzrechtliche Auskunftsrecht. Sie könne mithin die Auskunft verweigern, um die Nichtanwendung ihrer zivilprozessualen Verteidigungs- und Abwehrrechte abzuwehren. Auch im vorliegenden Zusammenhang ist dieser Argumentation entgegenzuhalten, dass das Datenschutzgesetz lediglich auf hängige Zivilprozesse nicht anwendbar ist. Da (ausser dem vorliegenden) kein Zivilprozess hängig ist, greift das Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG und kommen die zivilprozessualen Bestimmungen, auch jene über die "Verteidigungs- und Abwehrrechte" der beklagten Partei, nicht zur Anwendung. Es kann daher nicht als schützenswertes Interesse
BGE 138 III 425 S. 435

der Beschwerdeführerin betrachtet werden, mit ihrer Auskunftsverweigerung die Nichtanwendung der zivilprozessualen Verteidigungs- und Abwehrrechte parieren zu wollen. Bei dieser Rechtslage ist es nicht entscheiderheblich, dass die Beschwerdeführerin zudem nicht aufgezeigt habe, inwiefern ihre Interessen durch das zivilprozessuale Editionsrecht besser gewahrt würden, wie die Vorinstanz ergänzend festhielt und was die Beschwerdeführerin als offensichtlich unrichtige Sachverhaltsfeststellung im Sinne von Art. 105 Abs. 2
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 105 Fatti determinanti - 1 Il Tribunale federale fonda la sua sentenza sui fatti accertati dall'autorità inferiore.
1    Il Tribunale federale fonda la sua sentenza sui fatti accertati dall'autorità inferiore.
2    Può rettificare o completare d'ufficio l'accertamento dei fatti dell'autorità inferiore se è stato svolto in modo manifestamente inesatto o in violazione del diritto ai sensi dell'articolo 95.
3    Se il ricorso è diretto contro una decisione d'assegnazione o rifiuto di prestazioni pecuniarie dell'assicurazione militare o dell'assicurazione contro gli infortuni, il Tribunale federale non è vincolato dall'accertamento dei fatti operato dall'autorità inferiore.96
BGG rügt. Mangels Entscheidrelevanz braucht auf diese Rüge nicht eingegangen zu werden.
6.4 Ebenso wenig führt das Argument der Beschwerdeführerin, die Beschwerdegegner hätten das Auskunftsbegehren zur Beweisausforschung gestellt, zur Anerkennung überwiegender Interessen an der Auskunftsverweigerung. Zunächst ist nicht festgestellt, dass die Beschwerdegegner sich einen von der Zivilprozessordnung nicht vorgesehenen Vorteil verschaffen wollen oder dass sie eigentliche Beweisausforschung bzw. eine verpönte "fishing expedition" betreiben. Sie verlangen lediglich Auskunft über Daten betreffend ihre eigene Person im Rahmen der bei der Beschwerdeführerin gehaltenen Konto- und Depotbeziehungen. Über diese Daten müsste die Beschwerdeführerin auch gestützt auf Art. 400
SR 220 Parte prima: Disposizioni generali Titolo primo: Delle cause delle obbligazioni Capo primo: Delle obbligazioni derivanti da contratto
CO Art. 400 - 1 Il mandatario, ad ogni richiesta del mandante, è obbligato a render conto del suo operato ed a restituire tutto ciò che per qualsiasi titolo ha ricevuto in forza del mandato.
1    Il mandatario, ad ogni richiesta del mandante, è obbligato a render conto del suo operato ed a restituire tutto ciò che per qualsiasi titolo ha ricevuto in forza del mandato.
2    Deve inoltre gli interessi sulle somme, delle quali abbia ritardato il versamento.
OR Auskunft erteilen. Der Anspruch auf Rechenschaftsablegung nach Art. 400
SR 220 Parte prima: Disposizioni generali Titolo primo: Delle cause delle obbligazioni Capo primo: Delle obbligazioni derivanti da contratto
CO Art. 400 - 1 Il mandatario, ad ogni richiesta del mandante, è obbligato a render conto del suo operato ed a restituire tutto ciò che per qualsiasi titolo ha ricevuto in forza del mandato.
1    Il mandatario, ad ogni richiesta del mandante, è obbligato a render conto del suo operato ed a restituire tutto ciò che per qualsiasi titolo ha ricevuto in forza del mandato.
2    Deve inoltre gli interessi sulle somme, delle quali abbia ritardato il versamento.
OR ist selbst dann nicht ausgeschlossen, wenn sich der Beauftragte damit Schadenersatzansprüchen aussetzen könnte (FELLMANN, Berner Kommentar, 1992, N. 85 zu Art. 400
SR 220 Parte prima: Disposizioni generali Titolo primo: Delle cause delle obbligazioni Capo primo: Delle obbligazioni derivanti da contratto
CO Art. 400 - 1 Il mandatario, ad ogni richiesta del mandante, è obbligato a render conto del suo operato ed a restituire tutto ciò che per qualsiasi titolo ha ricevuto in forza del mandato.
1    Il mandatario, ad ogni richiesta del mandante, è obbligato a render conto del suo operato ed a restituire tutto ciò che per qualsiasi titolo ha ricevuto in forza del mandato.
2    Deve inoltre gli interessi sulle somme, delle quali abbia ritardato il versamento.
OR). Entsprechend vermag der Umstand, dass die Beschwerdegegner die Auskunft auch deshalb begehren, um prüfen zu können, ob sie allenfalls rechtliche Schritte zur Geltendmachung von Schadenersatzansprüchen ergreifen wollen, der Beschwerdeführerin kein überwiegendes berechtigtes Interesse an der Auskunftsverweigerung zu verleihen. Die Vorinstanz hat dies ohne Verletzung von Bundesrecht erkannt.
6.5 Vor Bundesgericht bringt die Beschwerdeführerin vor, eine Auskunftsverpflichtung würde sie in ihren eigenen persönlichkeitsrechtlichen Interessen treffen. Denn in den verlangten bankinternen Unterlagen seien auch eigene Personendaten und solche der Mitarbeiter der Beschwerdeführerin enthalten. Es sei gerichtsnotorisch, dass sie an der Verweigerung der Herausgabe derselben ein datenschützerisches Interesse habe. Demgegenüber hätten die Beschwerdegegner kein oder höchstens ein vorgeschobenes Datenschutzinteresse.

BGE 138 III 425 S. 436

Im angefochtenen Beschluss ist nicht festgestellt, dass in den verlangten bankinternen Unterlagen auch eigene Personendaten und solche der Mitarbeiter der Beschwerdeführerin enthalten sind, ebenso wenig, dass sich eigene Personendaten der Beschwerdeführerin nicht von den verlangten Personendaten der Beschwerdegegner trennen liessen. Dieser behauptete Umstand, der keineswegs als notorisch erscheint, kann daher vom Bundesgericht nicht berücksichtigt werden (Art. 105 Abs. 1
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 105 Fatti determinanti - 1 Il Tribunale federale fonda la sua sentenza sui fatti accertati dall'autorità inferiore.
1    Il Tribunale federale fonda la sua sentenza sui fatti accertati dall'autorità inferiore.
2    Può rettificare o completare d'ufficio l'accertamento dei fatti dell'autorità inferiore se è stato svolto in modo manifestamente inesatto o in violazione del diritto ai sensi dell'articolo 95.
3    Se il ricorso è diretto contro una decisione d'assegnazione o rifiuto di prestazioni pecuniarie dell'assicurazione militare o dell'assicurazione contro gli infortuni, il Tribunale federale non è vincolato dall'accertamento dei fatti operato dall'autorità inferiore.96
BGG; vgl. dazu Urteil 4A_269/2010 vom 23. August 2010 E. 1.3, in: SJ 2011 I S. 58). Im Übrigen weisen die Beschwerdegegner zutreffend darauf hin, dass zum Schutz von in den Akten enthaltenen Personendaten Dritter deren Anonymisierung oder Abdeckung in Betracht fällt (GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 52 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG).
6.6 Die Vorinstanz verletzte mithin kein Bundesrecht, indem sie überwiegende Interessen der Beschwerdeführerin, die Auskunft zu verweigern, verneinte. Da es bereits an der Voraussetzung überwiegender Interessen an der Auskunftsverweigerung mangelt, ist unerheblich, ob die zweite Voraussetzung nach Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
aAbs. 3 DSG, dass keine Daten an Dritte weitergegeben wurden, ebenfalls erfüllt wäre. Es erübrigen sich daher Ausführungen zu der von der Beschwerdeführerin in diesem Zusammenhang erhobenen Rüge, die Vorinstanz habe den Sachverhalt offensichtlich unrichtig (Art. 105 Abs. 2
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 105 Fatti determinanti - 1 Il Tribunale federale fonda la sua sentenza sui fatti accertati dall'autorità inferiore.
1    Il Tribunale federale fonda la sua sentenza sui fatti accertati dall'autorità inferiore.
2    Può rettificare o completare d'ufficio l'accertamento dei fatti dell'autorità inferiore se è stato svolto in modo manifestamente inesatto o in violazione del diritto ai sensi dell'articolo 95.
3    Se il ricorso è diretto contro una decisione d'assegnazione o rifiuto di prestazioni pecuniarie dell'assicurazione militare o dell'assicurazione contro gli infortuni, il Tribunale federale non è vincolato dall'accertamento dei fatti operato dall'autorità inferiore.96
BGG) und in Verletzung von Art. 8
SR 210 Codice civile svizzero del 10 dicembre 1907
CC Art. 8 - Ove la legge non disponga altrimenti, chi vuol dedurre il suo diritto da una circostanza di fatto da lui asserita, deve fornirne la prova.
ZGB festgestellt, indem sie festhielt, der Einwand der Beschwerdeführerin, sie habe keine Daten an die XZ. Ltd. weitergeleitet, sei verspätet.