VfGH vom 17.12.2009, B504/09
Sammlungsnummer
18975
Leitsatz
Verletzung im Recht auf Datenschutz durch einen an eine Wertpapierfirma gerichteten Auftrag der Finanzmarktaufsichtsbehörde (FMA) zur Übermittlung von Kundendaten; ungeeignete bzw unverhältnismäßige Maßnahme zur Erreichung des Aufsichtsziels des präventiven Schutzes von Anlegerinteressen; Erschütterung des Kundenvertrauens in die Seriosität des Unternehmens durch die in Rede stehende Erhebung von Daten, insbesondere durch die Kundenbefragung
Spruch
Die beschwerdeführende Gesellschaft ist durch den angefochtenen Bescheid im Grundrecht auf Datenschutz verletzt worden.
Der Bescheid wird aufgehoben.
Die Finanzmarktaufsichtsbehörde ist schuldig, der beschwerdeführenden Gesellschaft zu Handen ihres Rechtsvertreters die mit € 2.620,-- bestimmten Prozesskosten binnen 14 Tagen bei Exekution zu zahlen.
Begründung
Entscheidungsgründe:
I. 1.1. Die beschwerdeführende Gesellschaft ist eine
Wertpapierfirma im Sinne des § 3 Wertpapieraufsichtsgesetz 2007, BGBl. I 60/2007 (in der Folge: WAG 2007). Mit Schreiben vom teilte ihr die Finanzmarktaufsichtsbehörde (in der Folge: FMA) mit, dass sie bei der beschwerdeführenden Gesellschaft und bei anderen Wertpapierfirmen oder Wertpapierdienstleistungsunternehmen "routinemäßige Prüfungshandlungen" setzen werde, um die Einhaltung des WAG 2007 zu überwachen. Die FMA kündigte an, dass es im Zuge dieser Prüfungshandlungen wiederholt zur Aufforderung zur Übermittlung von Informationen kommen werde und ersuchte die beschwerdeführende Gesellschaft unter Fristsetzung bis zum um Übermittlung einer "Liste derjenigen 1.000 Kunden, die zuletzt in ein Vertragsverhältnis mit [i]hrem Unternehmen getreten sind". Diese Liste sollte folgende Daten enthalten: "Stammdaten des Kunden (Vor- und Nachname, Geburtsdatum, Anschrift und Telefonnummer); das Anlagevolumen des Kunden; den Beginn des Kundenverhältnisses; den (aktuellen) Berater des Kunden inklusive Beraterkennnummer".
In Beantwortung dieses Schreibens teilte die beschwerdeführende Gesellschaft der FMA mit, dass die Verpflichtung einer Wertpapierfirma, der FMA Einsicht in Unterlagen und Datenträger zu gewähren, ihrer Auffassung nach nicht die Verpflichtung einschließe, "komplizierte Datenbankauswertungen vorzunehmen", und dass sie der Meinung sei, die angeforderte Bekanntgabe personenbezogener Daten widerspreche dem Grundrecht auf Datenschutz. Es sei zwar eine ausdrückliche gesetzliche Grundlage gegeben (§91 WAG 2007), es werde aber der Grundsatz der Verhältnismäßigkeit verletzt, weil die Übermittlung nur dann zulässig sei, wenn der "verursachte Eingriff in das Grundrecht auf Datenschutz im erforderlichen Ausmaß und mit den gelindesten Mitteln erfolgt". Aus Sicht der beschwerdeführenden Gesellschaft lasse sich dem Ersuchsschreiben der FMA vom nicht entnehmen, weshalb die Bekanntgabe der Identität, des Geburtsdatums und der Telefonnummern ihrer Kunden erforderlich sei, um der FMA die Erfüllung ihres behördlichen Auftrags zu ermöglichen. Weiters sei nicht zu ersehen, weshalb die FMA nicht auf das gelindere Mittel der Einsichtnahme in die unternehmenseigene Datenbank der beschwerdeführenden Gesellschaft zurückgreifen könne. Außerdem lasse das Aufforderungsschreiben nicht erkennen, worin der konkrete Zweck der Übermittlung der angeforderten personenbezogenen Daten liege. Aus diesen Gründen lege die beschwerdeführende Gesellschaft eine anonymisierte, nur nach Kundenkennzahlen aufgegliederte Liste vor.
Mit Bescheid vom erteilte die FMA der beschwerdeführenden Gesellschaft den Auftrag, binnen sieben Tagen "eine vollständige Liste derjenigen bestehenden 1.000 Kunden, welche zuletzt ein Vertragsverhältnis mit dem Unternehmen eingegangen sind" samt folgenden Informationen zu übermitteln:
Tabelle in neuem Fenster öffnen
"- | Stammdaten des Kunden (Vor- und Nachname, Geburtsdatum, Anschrift); |
Tabelle in neuem Fenster öffnen
- | Anlagevolumen des Kunden (bestehendes Gesamtvolumen zum zuletzt verfügbaren Bewertungsstichtag); |
Tabelle in neuem Fenster öffnen
- | Beginn des Kundenverhältnisses (Zeitpunkt des erstmaligen Vertragsabschlusses); |
Tabelle in neuem Fenster öffnen
- | Berater des Kunden (Name desjenigen Beraters, welcher den Kunden hinsichtlich dessen zuletzt getätigter Veranlagung beraten hat; der Name des Beraters kann durch eine Kennnummer ersetzt werden, sofern dadurch eine eindeutige Zuordenbarkeit gewährleistet bleibt)." |
1.2. Zur Begründung führt dieser Bescheid nach Wiedergabe des Verwaltungsgeschehens Folgendes aus:
"Gemäß § 8 Abs 1 Z 1 DSG 2000 sind bestehende schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten - um solche handelt es sich bei den von der FMA mit Schreiben vom angeforderten Kundendaten - dann nicht verletzt, wenn eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht. [Die Bestimmungen der § 91 Abs 1, Abs 3 Z 1 und 2, Abs 4 Z 5 iVm § 22 WAG 2007] stellen diese gesetzliche Ermächtigung dar.
Darüber hinaus ergibt sich aus § 8 Abs 3 Z 1 DSG 2000, dass schutzwürdige Geheimhaltungsinteressen aus dem Grunde des Abs 1 Z 4 leg.cit. (Erforderlichkeit der Verwendung der Daten auf Grund überwiegender berechtigter Interessen des Auftraggebers oder eines Dritten) dann nicht verletzt sind, wenn die Verwendung der Daten für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist. Eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung der Verwendung der Daten, wie sie § 8 Abs 1 Z 1 DSG 2000 normiert, ist in diesem Fall nicht erforderlich.
Zum anderen sind gemäß § 1 Abs 2 DSG 2000 bei der Verwendung von personenbezogenen Daten, sofern diese nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, Beschränkungen des Anspruchs auf Geheimhaltung zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art 8 Abs 2 der Europäischen Konvention zum
Schutze der Menschenrechte und Grundfreiheiten ... genannten Gründen
notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden. Als Gründe nennt Art 8 Abs 2 EMRK etwa die nationale Sicherheit, die öffentliche Ruhe und Ordnung sowie das wirtschaftliche Wohl des Landes.
Erkenntnisse aus und Analysen von Problemfällen vergangener Jahre fordern aufsichtsrechtliche Maßnahmen insbesondere auf Einzelkundenbasis, um präventiv die Interessen der Anleger effektiv schützen zu können. Derartige Maßnahmen umfassen zwingend das Ziehen repräsentativer Stichproben sowie die Einbindung der Kunden. Die Anforderung der im Spruch angeführten Kundendaten erfolgt unter Berücksichtigung der für eine unternehmensbezogen repräsentative Stichprobe entscheidenden Parameter und geht auch nicht über diese hinaus - so werden insbesondere nicht konkrete Konto- und/oder Depotnummern von Kunden angefordert. Die von der FMA gewählten Aufsichtsmittel sind daher zur abschließenden Überprüfung der Einhaltung bestimmter, für die Anleger besonders bedeutsamer Bestimmungen - wie etwa, ob Kundenverwaltungsprogramme der WPF und WPDLU mit den tatsächlichen Depotständen übereinstimmen oder ob Kundengelder im Sinne des WAG 2007 fließen - nicht nur unbedingt erforderlich, sondern stellen auch das gelindeste zur Verfügung stehende Mittel dar. Dem verfassungsgesetzlich verankerten Verhältnismäßigkeitsgrundsatz, welchem von der Behörde bereits im Vorfeld sowie bei Durchführung der gegenständlichen Maßnahmen höchste Aufmerksamkeit zukam bzw. zukommt, ist vollinhaltlich entsprochen.
Hinsichtlich der im Schreiben des Unternehmens vom enthaltenen Ausführungen, die Behörde habe nicht darlegen können, für welchen konkreten Zweck die angeforderten Daten erforderlich sind, und die bislang von der FMA übermittelten Schreiben enthielten keine Glaubhaftmachung des konkreten Übermittlungszwecks, ist zunächst festzuhalten, dass die gesetzliche Zuständigkeit und rechtliche Befugnis zur Verarbeitung von Daten im Hinblick auf den Übermittlungszweck im Sinne des § 7 Abs 2 Z 2 DSG 2000 insoweit nicht in Zweifel zu ziehen ist, als die FMA als zuständige Behörde wiederholt auf die Notwendigkeit der getroffenen Maßnahmen hingewiesen hat und der Behörde nicht grundsätzlich unterstellt werden kann, sie setze unverhältnismäßige Maßnahmen, welche weder erforderlich seien, noch das gelindeste zur Verfügung stehende Mittel darstellten.
Eine über die erfolgte Klarstellung der FMA, dass sie im Rahmen ihrer gesetzlichen Befugnisse zum Zwecke des Schutzes von Anlegerinteressen handelt, hinausgehende Glaubhaftmachung seitens der FMA gegenüber dem Unternehmen im Sinne des § 7 Abs 2 Z 2 DSG 2000 ist keinesfalls erforderlich. Nichtsdestotrotz hat die Behörde in den beiden an das Unternehmen ergangenen Schreiben vom 5. und - soweit dies möglich war, ohne den Zweck der gegenständlichen Anlegerschutzmaßnahmen zu vereiteln - deren gesetzliche Zuständigkeit bzw. rechtliche Befugnis sowie den Zweck und die Verhältnismäßigkeit der Maßnahmen dargelegt. Eine die in diesen Schreiben sowie im gegenständlichen Bescheid enthaltenen Ausführungen übersteigende Beschreibung bzw. detaillierte Offenlegung der von der Behörde durchzuführenden aufsichtsrechtlichen Maßnahmen würde deren Ziel unmittelbar gefährden und dem Zweck eines effizienten und effektiven Anlegerschutzes auf präventiver Basis massiv zuwiderlaufen."
1.3. Mit Beschluss vom , 18 Cg 56/09p, erließ das Handelsgericht Wien auf Antrag eines Kunden der beschwerdeführenden Gesellschaft eine einstweilige Verfügung, mit der der beschwerdeführenden Gesellschaft untersagt wurde, personenbezogene Daten dieses Kunden, "insbesondere Vor- und Nachnamen, Geburtsdatum, Adresse, Anlagevolumen, Beginn des Kundenverhältnisses und Daten des zuständigen Beraters an die Finanzmarktaufsicht (FMA) zu übermitteln".
2. Gegen den Bescheid der FMA richtet sich die auf Art 144 B-VG gestützte Beschwerde, in der die beschwerdeführende Gesellschaft die Verletzung im - verfassungsgesetzlich gewährleisteten - Grundrecht auf Datenschutz (§1 Datenschutzgesetz - DSG 2000) und auf Gleichheit aller Staatsbürger vor dem Gesetz (Art7 B-VG) sowie die Verletzung in Rechten wegen Anwendung eines verfassungswidrigen Gesetzes behauptet und die kostenpflichtige Aufhebung des angefochtenen Bescheides beantragt.
Die belangte Behörde legte die Akten des Verwaltungsverfahrens vor und erstattete eine Gegenschrift, in der sie die Abweisung der Beschwerde beantragt. Die beschwerdeführende Gesellschaft replizierte darauf.
II. Die maßgebliche Rechtslage stellt sich wie folgt dar:
§ 7 Abs 1 WAG 2007 lautet:
"Verschwiegenheitspflicht
§ 7. (1) Wertpapierfirmen und
Wertpapierdienstleistungsunternehmen sowie die für sie tätigen Personen sind zur Verschwiegenheit über Geheimnisse verpflichtet, die sie ausschließlich aus Wertpapiergeschäften (§1 Abs 1 Z 7 litb bis f BWG) oder Wertpapierdienstleistungen gemäß § 3 Abs 2 ihrer Kunden, die sie im Auftrag ihrer Kunden gemäß § 3 Abs 2 Z 3 vermitteln oder im Rahmen ihrer Vollmacht gemäß § 3 Abs 2 Z 2 für diese ausführen, erfahren haben, sofern dieser Verschwiegenheitspflicht keine gesetzliche Auskunftspflicht entgegensteht oder der Kunde der Offenbarung des Geheimnisses schriftlich zustimmt. Die Verschwiegenheitspflicht nach dem ersten Satz gilt weiters nicht, soweit die Offenbarung des Geheimnisses zur Klärung von Rechtsangelegenheiten aus dem Verhältnis zwischen Wertpapierfirmen oder Wertpapierdienstleistungsunternehmen und Kunden erforderlich ist.
..."
§ 22 WAG 2007 lautet:
"Verpflichtung zum Führen von Aufzeichnungen
§ 22. (1) Ein Rechtsträger hat Aufzeichnungen über alle seine
Dienstleistungen und Geschäfte zu führen, aufgrund der die FMA die Einhaltung der Anforderungen dieses Bundesgesetzes überprüfen und sich vor allem vergewissern kann, ob der Rechtsträger sämtliche Verpflichtungen gegenüber seinen Kunden eingehalten hat. Der Rechtsträger hat hierbei Art 7 und 8 der Verordnung (EG) Nr. 1287/2006 zu beachten.
(2) Ein Rechtsträger hat alle nach diesem Bundesgesetz erforderlichen Aufzeichnungen mindestens fünf Jahre lang aufzubewahren, ..."
§ 91 WAG 2007 lautet:
"Verfahrensvorschriften
§ 91. (1) Die FMA hat die Einhaltung dieses Bundesgesetzes
durch
Tabelle in neuem Fenster öffnen
1. | Wertpapierfirmen gemäß § 3, | |||||||||
2. | Wertpapierdienstleistungsunternehmen, | |||||||||
3. | - 8. ... |
zu überwachen und dabei auf das volkswirtschaftliche Interesse an einem funktionsfähigen Kapitalmarkt und auf die Interessen der Anleger Bedacht zu nehmen.
(2) Die FMA hat auf Grund der ihr nach diesem Bundesgesetz und dem BörseG zukommenden Aufgaben nach Maßgabe der Bestimmungen dieser Bundesgesetze alle Untersuchungen durchzuführen und jene Maßnahmen zu ergreifen, die erforderlich sind,
Tabelle in neuem Fenster öffnen
1. | um die Ordnungsmäßigkeit und Fairness des Handels mit Instrumenten, die auf einem geregelten Markt eines Mitgliedstaates (§2 Z 5 BWG) zugelassen sind, beurteilen und sichern zu können; |
Tabelle in neuem Fenster öffnen
2. | um bei der Erbringung von Wertpapierdienstleistungen und Anlagetätigkeiten die Wahrung der Interessen der Anleger im Sinne des 2. Hauptstücks zu gewährleisten; |
Tabelle in neuem Fenster öffnen
3. | um anderen Verwaltungsbehörden, insbesondere dem Bundesminister für Finanzen und den zuständigen Behörden (§2 Z 9 BWG) anderer Mitgliedstaaten, die zur Erfüllung ihrer Aufgaben nach dem BWG und den für Kreditinstitute geltenden sonstigen Gesetzen (§69 Abs 1 BWG) oder ihrer Aufgaben gemäß den Richtlinien 2003/6/EG, 2004/39/EG, 2004/109/EG und 2006/49/EG erforderlichen Informationen zu erteilen und um die Zusammenarbeit und den Informationsaustausch nach Abs 5, 6 und dem 4. Abschnitt zu gewährleisten; |
Tabelle in neuem Fenster öffnen
4. | um die Verfolgung von Verstößen gegen die in § 48 Abs 4 BörseG genannten Verwaltungsstraftatbestände sicherzustellen. |
(3) In Ausübung der Zuständigkeiten gemäß Abs 1 und Abs 2 ist die FMA unbeschadet der ihr auf Grund anderer bundesgesetzlicher Bestimmungen zustehenden Befugnisse jederzeit ermächtigt,
Tabelle in neuem Fenster öffnen
1. | in die Bücher, Schriftstücke und Datenträger der Unternehmen gemäß Abs 1 Einsicht zu nehmen und Kopien von ihnen zu erhalten; |
Tabelle in neuem Fenster öffnen
2. | von den Unternehmen gemäß Abs 1 und ihren Organen Auskünfte zu verlangen und gemäß den Verwaltungsverfahrensgesetzen Personen vorzuladen und zu befragen; |
Tabelle in neuem Fenster öffnen
3. | durch eigene Prüfer, Abschlussprüfer oder sonstige Sachverständige vor Ort Prüfungen durchzuführen; |
Tabelle in neuem Fenster öffnen
4. | von den Unternehmen gemäß Abs 1 bereits existierende Aufzeichnungen von Telefongesprächen und Datenübermittlungen anzufordern; |
Tabelle in neuem Fenster öffnen
5. | zur Unterbindung von Gesetzesverletzungen und zur dauernden Gewährleistung der Einhaltung der Konzessionsvoraussetzungen Maßnahmen gemäß § 92 Abs 8 dieses Bundesgesetzes in Verbindung mit § 70 Abs 4 BWG zu treffen; |
Tabelle in neuem Fenster öffnen
6. | bei der zuständigen Staatsanwaltschaft zu beantragen, dass diese bei Gericht einen Antrag auf Beschlagnahme gemäß §§109 Z 2 und 115 Abs 1 Z 3 Strafprozessordnung 1975 - StPO, BGBl. Nr. 631/1975, stellt. |
Tabelle in neuem Fenster öffnen
7. | Maßnahmen gegen Geschäftsleiter gemäß § 92 Abs 1 und Abs 8 dieses Bundesgesetzes sowie gemäß § 70 Abs 2 und 4 des Bankwesengesetzes zu treffen; |
Tabelle in neuem Fenster öffnen
8. | von den Abschlussprüfern und gesetzlichen Prüfungseinrichtungen von Unternehmen gemäß Abs 1 und den Abschlussprüfern geregelter Märkte Auskünfte einzuholen; |
Tabelle in neuem Fenster öffnen
9. | die Aussetzung des Handels mit einem Finanzinstrument durch ein Börseunternehmen gemäß § 25b Abs 3 BörseG und ein MTF gemäß § 67 Abs 7 zu verlangen; |
Tabelle in neuem Fenster öffnen
10. | den Widerruf der Zulassung eines Finanzinstruments durch Aufsichtsmaßnahmen gemäß § 45 Abs 2 und 3 BörseG oder den Handelsausschluss gemäß § 67 Abs 7 zu verlangen; | |||||||||
11. | den Verdacht strafbarer Handlungen gemäß § 78 StPO einer Staatsanwaltschaft oder Sicherheitsbehörde anzuzeigen. |
(4) Die FMA ist zur Verarbeitung von Daten im Sinne des DSG 2000 ermächtigt, soweit dies eine wesentliche Voraussetzung zur Wahrnehmung der ihr nach diesem Bundesgesetz und dem BörseG übertragenen Aufgaben in folgenden Bereichen ist:
Tabelle in neuem Fenster öffnen
1. | Konzessionen von Wertpapierfirmen und Wertpapierdienstleistungsunternehmen und die für die Erteilung maßgeblichen Umstände; |
Tabelle in neuem Fenster öffnen
2. | Leitung, verwaltungsmäßige und buchhalterische Organisation sowie interne Kontrolle und Revision von Wertpapierfirmen, Wertpapierdienstleistungsunternehmen und meldepflichtigen Instituten; |
Tabelle in neuem Fenster öffnen
3. | Zweigstellen und die Ausübung des freien Dienstleistungsverkehrs; |
Tabelle in neuem Fenster öffnen
4. | Daten meldepflichtiger Geschäfte gemäß § 64 Abs 2 und 3 und die hierüber gemäß § 64 Abs 6 eingeholten Auskünfte; |
5. Beachtung der Bestimmungen des 2. Hauptstücks;
6. Eigenkapital;
Tabelle in neuem Fenster öffnen
7. | Qualifizierte Beteiligungen an Wertpapierfirmen und Wertpapierdienstleistungsunternehmen; |
8. Jahresabschluss und Rechnungslegung;
9. aufsichtsbehördliche Maßnahmen gemäß § 92 Abs 8 bis 10;
Tabelle in neuem Fenster öffnen
10. | Verwaltungsstrafen gemäß §§94 und 95 und gemäß §§44, 48 und 48c BörseG; |
Tabelle in neuem Fenster öffnen
11. |
Tabelle in neuem Fenster öffnen
12. | Informationen, die von zuständigen Behörden im Rahmen des Informationsaustausches gemäß §§97 bis 101 oder gemäß §§47a, 48r und § 86 Abs 8 und 9 BörseG oder im Wege des § 21 FMABG erlangt wurden; |
13. Zusammenarbeit beim Früherkennungsystem gemäß § 75 Abs 9.
(5) ...
(6) ...
(7) [normiert ein Verwertungsverbot von Meldedaten gemäß § 64 Abs 2 und 4 WAG 2007 in Finanzstrafverfahren sowie Befugnisse der FMA im Fall der (internationalen) Amtshilfe]
(8) ..."
III. Vorbringen der Parteien:
1. Die beschwerdeführende Gesellschaft bringt zusammengefasst vor, dass es sich bei der Liste mit Kundendaten, zu deren Vorlage sie der angefochtene Bescheid verpflichtet, sowohl um personenbezogene Daten ihrer Kunden als auch um personenbezogene Daten der beschwerdeführenden Gesellschaft selbst handle. Kundendaten gehörten zu den wichtigsten Erfolgsfaktoren eines Unternehmens. Die beschwerdeführende Gesellschaft sei hinsichtlich der Daten ihrer Kunden Auftraggeber im Sinne des § 4 Z 4 DSG 2000 und daher verpflichtet, die schutzwürdigen Geheimhaltungsinteressen ihrer Kunden zu wahren. Mit der ihren Kunden gegenüber bestehenden Geheimhaltungsverpflichtung korrespondiere ein Auskunftsverweigerungsanspruch der beschwerdeführenden Gesellschaft gegenüber Dritten (bzw. dem Staat). Wenn die Befolgung der Aufforderung zur Bekanntgabe dieser Daten in das Grundrecht ihrer Kunden auf Datenschutz in rechtswidriger Weise eingreifen würde, sei die beschwerdeführende Gesellschaft daher sowohl berechtigt als auch verpflichtet, der FMA Auskunft über ihre Kunden zu verweigern. Dieser Rechtsansicht entsprechend habe das Handelsgericht Wien ihr die Übermittlung der Daten eines Kunden an die FMA (sohin die Befolgung des angefochtenen Bescheides) auf Antrag dieses Kunden mit einstweiliger Verfügung untersagt.
Die (bescheidmäßige Verpflichtung zur) Übermittlung von Daten an die FMA sei nach Auffassung der beschwerdeführenden Partei gemäß den Ziffern 1 bis 3 des § 7 Abs 2 DSG 2000 nur rechtmäßig, wenn 1. die Daten aus einer zulässigen Datenanwendung stammen, 2. die Behörde ihre Zuständigkeit im Hinblick auf den Ermittlungszweck glaubhaft macht und 3. durch den Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden. Nach § 6 Abs 1 Z 3 DSG 2000 setze die Zulässigkeit der Datenverwendung und -übermittlung eine strenge Zweckbindung voraus; sie dürfe nur bei Vorliegen einer der in Art 8 Abs 2 EMRK normierten Gründe, auf Grundlage eines Gesetzes und unter Einhaltung des Verhältnismäßigkeitsprinzips erfolgen.
Als gesetzliche Grundlage sei im vorliegenden Fall "am ehesten" die Bestimmung des § 91 Abs 2 Z 2 WAG 2007 heranzuziehen ("Wahrung der Anlegerinteressen"), die durch einen Verweis auf das zweite Hauptstück des WAG 2007 konkretisiert werde, in dem organisatorische Anforderungen an Wertpapierfirmen und Wertpapierdienstleistungsunternehmen festgelegt seien. Anhand der Kundenliste, deren Vorlage mit dem angefochtenen Bescheid vorgeschrieben wurde, lasse sich für die Überprüfung der Einhaltung der in diesen Rechtsvorschriften geregelten Anforderungen durch Wertpapierfirmen jedoch nichts gewinnen. Es sei nicht nachvollziehbar, inwiefern eine detaillierte, lückenlose Liste von 1.000 Kunden (einschließlich des Namens, der Anschrift, des Geburtsdatums, des Anlagevolumens und des Namens des Beraters) wesentlich und notwendig sei, damit die FMA die Anlegerinteressen wahren kann. Die Notwendigkeit und Zweckmäßigkeit der Datenverwendung müsse gemäß § 7 Abs 2 DSG 2000 durch die Behörde "glaubhaft gemacht" werden. Die Begründung des angefochtenen Bescheides genüge diesem Erfordernis nicht. Zum einen enthalte der Bescheid bloß einen pauschalen Verweis auf § 91 WAG 2007 und auf die dort aufgelisteten Tatbestände. Zum anderen sei im angefochtenen Bescheid nicht ausgeführt worden, warum nicht auch eine Liste mit weniger als 1.000 Kunden oder eine anonymisierte Liste ausreichend gewesen wäre. Auch der Hinweis des Bescheides, dass es erforderlich sei, "repräsentative Stichproben" zu ziehen, um den "Fluss" der Kundengelder "im Sinne des WAG" zu überprüfen, entspreche nicht den Erfordernissen eines konkreten Zwecks.
Aus der Pflicht, nur zweckmäßige Datenanwendungen vorzunehmen, ergebe sich grundsätzlich auch, dass die belangte Behörde keine Daten "auf Vorrat" speichern dürfe. Da die FMA "kaum in der Lage sein" werde, zehntausende Daten von einer Vielzahl von Wertpapierfirmen und Wertpapierdienstleistungsunternehmen rasch und effizient auszuwerten, bestehe die Gefahr, dass die Daten über einen längeren Zeitraum unkontrolliert und unbearbeitet gelagert werden.
§ 91 WAG 2007 sei bloß eine generelle Ermächtigung und als gesetzliche Grundlage für den angefochtenen Auftrag zur Übermittlung von Kundendaten daher nicht ausreichend. Da es sich bei dieser Ermächtigung nicht um eine im Sinne des § 8 Abs 1 Z 1 DSG 2000 "ausdrückliche gesetzliche Ermächtigung" handle und überdies die Verwendung (Übermittlung) der Daten auch nicht aufgrund "überwiegender berechtigter Interessen des Auftraggebers oder Dritter" erforderlich (§8 Abs 1 Z 4 leg.cit.) sei, seien die schutzwürdigen Geheimhaltungsinteressen der Kunden der beschwerdeführenden Gesellschaft verletzt. Insbesondere sei keiner der die Ziffer 4 des § 8 Abs 1 DSG 2000 näher konkretisierenden Tatbestände des § 8 Abs 3 leg.cit. erfüllt (wovon im gegebenen Zusammenhang hauptsächlich dessen Z 1 in Betracht komme). Nach der Z 1 des § 8 Abs 3 leg.cit. seien schutzwürdige Geheimhaltungsinteressen des Betroffenen dann nicht verletzt, wenn die Verwendung der Daten für den Auftraggeber (hier: die belangte Behörde) eine wesentliche Voraussetzung für die Wahrnehmung einer ihm (ihr) gesetzlich übertragenen Aufgabe ist. Die der FMA übertragenen Aufgaben ließen sich aber mit der angeforderten Liste von Kundendaten nicht in Angriff nehmen.
Sollten § 91 Abs 3 Z 1 und Abs 4 WAG 2007 den Inhalt haben, dass die beschwerdeführende Gesellschaft zur Übermittlung der vorliegenden Art von Kundendaten - ohne Berücksichtigung datenschutzrechtlicher Rahmenbedingungen - verpflichtet sei, so wären diese Bestimmungen nach Auffassung der beschwerdeführenden Gesellschaft verfassungswidrig.
2. Die FMA erstattete eine Gegenschrift, in der sie die Abweisung der Beschwerde beantragt und Folgendes vorbringt:
"Rechtliche Basis für die von der FMA vorgenommene Marktuntersuchung ist - wie bereits mehrfach erwähnt - der in § 91 WAG 2007 verankerte gesetzliche Auftrag der FMA, die Einhaltung des WAG 2007 durch Wertpapierfirmen und Wertpapierdienstleistungsunternehmen zu überwachen, dabei auf das volkswirtschaftliche Interesse an einem funktionsfähigen Kapitalmarkt und auf die Interessen der Anleger Bedacht zu nehmen. Aufgrund dieser Aufgabe ist die FMA insbesondere berechtigt, alle Untersuchungen durchzuführen und jene Maßnahmen zu ergreifen, die erforderlich sind, um bei der Erbringung von Wertpapierdienstleistungen die Wahrung der Interessen der Anleger zu gewährleisten.
Für das Verständnis jeder einzelnen konkreten Maßnahme im Rahmen der Marktuntersuchung erscheint es der FMA wesentlich, den Konnex mit allen weiteren Untersuchungsschritten aufzuzeigen, wie sie von der FMA gezielt nicht nur in Bezug auf die Beschwerdeführerin, sondern parallel auf eine für den österreichischen Wertpapierdienstleistungssektor repräsentative Auswahl an Wertpapierfirmen und Wertpapierdienstleistungsunternehmen bezogen gesetzt wurden.
Vorrangiges Ziel der von der FMA durchgeführten Marktuntersuchung war es, auf breiter Basis die Einhaltung der unbedingten Konzessionsvoraussetzung des § 3 Abs 5 Z 4 WAG 2007 zu überprüfen, wonach konzessionierte Wertpapierfirmen und Wertpapierdienstleistungsunternehmen keine Dienstleistungen erbringen dürfen, die das Halten von Geld, Wertpapieren oder sonstigen Instrumenten des Kunden umfassen, so dass diese Unternehmen diesbezüglich zu keiner Zeit Schuldner ihrer Kunden werden können. Hiezu ist festzuhalten, dass die auch in der Öffentlichkeit hinlänglich bekannten Betrugsfälle der Vergangenheit aus dem Kreise der Wertpapierfirmen und Wertpapierdienstleistungsunternehmen jeweils stets mit einer Missachtung dieser gesetzlichen Bestimmung bzw. deren entsprechender Norm der alten Rechtslage (§20 Abs 1 Z 4 WAG, BGBl Nr. 753/1996) einhergingen. Der Schwerpunkt der Prüfungshandlungen wurde daher auf die stichprobenartige Kontrolle der Einhaltung des Verbotes des Haltens von Kundengeldern durch alle in die Prüfungshandlungen einbezogenen Wertpapierfirmen und Wertpapierdienstleistungsunternehmen gelegt (...).
Dabei war von der FMA sowohl bei Festsetzung der Reihenfolge der einzelnen - im Folgenden kurz zusammengefassten - Untersuchungsschritte als auch bei Durchführung der jeweils parallel bei bzw. in Bezug auf 35 Wertpapierfirmen und Wertpapierdienstleistungsunternehmen vorzunehmenden Prüfungshandlungen größte Sorgfalt darauf zu legen, einerseits die berechtigten Interessen der untersuchten Wertpapierfirmen und Wertpapierdienstleistungsunternehmen sowie deren Kunden bestmöglich zu gewährleisten und andererseits die Erreichung des Zieles der Marktuntersuchung nicht zu gefährden. Wesentlich war zudem, dass die erhobenen Informationen in einem mehrstufigen Verfahren möglichst vollständig und nach objektiven Kriterien auf Richtigkeit überprüfbar eingeholt wurden, um die Behörde nicht dem Vorwurf der ungenauen, auf Auskünfte der geprüften Wertpapierdienstleister vertrauenden Aufsichtstätigkeit auszusetzen.
Demzufolge sollten die in die Untersuchung einbezogenen Wertpapierfirmen und Wertpapierdienstleistungsunternehmen in einem ersten Schritt (Schreiben der FMA vom , ON 1) ersucht werden, eine Reihe von Informationen zur Person, dem jeweiligen Umfang der Veranlagung, dem Zeitpunkt des Beginns der Kundenbeziehung sowie dem allfälligen Betreuer des Kunden an die Behörde zu übermitteln. Um die Vollständigkeit und Richtigkeit der durch dieses Schreiben von den 35 Wertpapierfirmen und Wertpapierdienstleistungsunternehmen erwarteten Kundendaten möglichst zu erreichen, konnte die FMA in dieser Phase der Untersuchung den Zweck dieser ersten Prüfungshandlung, zu der auch die bescheidmäßige Aufforderung zur Übermittlung von Kundendaten zu zählen ist, nur soweit offenlegen, als die betroffenen Unternehmen zwar darüber informiert werden mussten, dass die angeforderten Kundendaten zum Zwecke des Ziehens einer repräsentativen Stichprobe und darauffolgend zur Kontrolle der 'Einhaltung bestimmter, für den Schutz der Anleger besonders bedeutsamer Bestimmungen' - im Besonderen, ob u.a. 'Kundengelder im Sinne des WAG 2007 fließen' (vgl. Pressemitteilung der FMA vom ) - dienen sollen, dass jedoch nicht gleichzeitig durch die vollständige Offenlegung des Untersuchungsgegenstandes, allfällig gegen das Verbot des Haltens von Kundengeldern verstoßende Unternehmen - bereits zu Beginn der Untersuchung gleichsam vorgewarnt - Daten bewusst vor der Behörde zurückhielten.
Im zweiten Schritt sollten die in die Untersuchung einbezogenen Wertpapierfirmen und Wertpapierdienstleistungsunternehmen aufgefordert werden, eine vollständige Auflistung der im Rahmen der Geschäftstätigkeit des jeweiligen Unternehmens im Zeitraum vom bis verwendeten in- und ausländischen Konten, Depots und Sparbücher bzw.
Sparkonten ... unter Beifügung detaillierter Informationen und
Angaben zu den betreffenden Bankverbindungen zu übermitteln.
Im dritten Schritt sollten die durch Stichprobe aus den gemeldeten Kundenlisten aller in die Untersuchung einbezogener Wertpapierfirmen und Wertpapierdienstleistungsunternehmen ausgewählten Kunden unter ausdrücklichem Hinweis auf den rein präventiven Charakter dieser Maßnahme dahingehend um Mitwirkung ersucht werden, dass sie mittels Fragebogen Informationen zur Bank, an welche sie das zu veranlagende Geld überwiesen haben, bekannt geben. Die Ergebnisse dieser Kundenbefragung sollten schließlich mit den von den untersuchten Unternehmen in Schritt Zwei übermittelten Angaben und Informationen abgeglichen und auf allfällige Indizien für das Halten von Kundengeldern überprüft werden. Im vierten und fünften Schritt der von der FMA durchgeführten Marktuntersuchung sollten die im zweiten Schritt erhobenen Angaben der in die Untersuchung einbezogenen Unternehmen zu den im Rahmen ihrer Geschäftstätigkeit verwendeten Konten und Bankverbindungen durch einen Abgleich mit den bei österreichischen Kreditinstituten (Schritt Vier) und bei den von den Unternehmen mit der Prüfung des Jahresabschlusses bzw. der Erstellung der gesonderten Prüfungsberichte gemäß §§73 bzw. 74 WAG 2007 beauftragten Abschlussprüfern (Schritt Fünf) vorliegenden diesbezüglichen Informationen überprüft und auf mögliche Indizien für einen Verstoß gegen das Verbot des Haltens von Kundengeldern hin untersucht werden.
Die oben dargestellten Untersuchungsschritte der FMA sind zum aktuellen Zeitpunkt bereits umgesetzt bzw. in der Auswertungsphase. Lediglich hinsichtlich der mittels des angefochtenen Bescheides angeforderten Kundenlisten und der Einbindung der Kunden der Beschwerdeführerin in die Marktuntersuchung wird seitens der FMA der Ausgang des gegenständlichen Beschwerdeverfahrens vor dem VfGH abgewartet.
Das wichtigste Instrument der FMA bei der Wahrnehmung ihrer Aufgaben als Aufsichtsbehörde über Wertpapierfirmen und Wertpapierdienstleistungsunternehmen iSd § 91 WAG 2007 ist das umfassende Einsichts- und Auskunftsrecht gegenüber den beaufsichtigten Unternehmen. Gleichermaßen von Bedeutung für eine zielgerichtete Aufsicht ist der innerhalb der verfassungsrechtlichen Schranken gesetzlich eingeräumte Handlungsspielraum bei der Auswahl der einzusetzenden Aufsichtsmittel und Maßnahmen.
Wie bereits oben angeführt entschloss sich die FMA in Wahrnehmung ihrer Aufgaben als Aufsichtsbehörde gemäß § 91 WAG 2007 zur Durchführung einer repräsentativen Untersuchung des österreichischen Marktes im Hinblick auf mögliche Gefährdungen oder Verletzungen von Anlegerinteressen bei der Erbringung von Wertpapierdienstleistungen durch Wertpapierfirmen und Wertpapierdienstleistungsunternehmen, wie sie insbesondere durch Verstöße von Unternehmen aus dieser Branche gegen das Verbot des Haltens von Kundengeldern in der Vergangenheit bereits mehrfach aufgetreten sind, zum Teil erheblichen Schaden im Vermögen der betroffenen Anleger verursacht haben und dadurch das Vertrauen der Anleger in das Funktionieren des Wertpapierdienstleistungsmarktes nachhaltig beeinträchtigen.
Das mit dieser Untersuchung verfolgte Ziel erforderte zunächst die Bestimmung jener Wertpapierfirmen und Wertpapierdienstleistungsunternehmen, welche einen repräsentativen Querschnitt durch den Markt bilden. Folglich wurden sämtlich[e] marktrelevanten großen sowie eine Auswahl mittlerer Wertpapierfirmen und einige Wertpapierdienstleistungsunternehmen in die Untersuchung einbezogen, sodass schließlich von den zu Beginn der Marktuntersuchung rund 250 konzessionierten Wertpapierfirmen und Wertpapierdienstleistungsunternehmen insgesamt 35 Unternehmen umfasst waren.
In weiterer Folge waren jene o.a. Untersuchungsschritte sowie die durch diese zu erhebenden und zu überprüfenden Informationen festzulegen, welche für die Zielerreichung, ein aussagekräftiges Ergebnis hinsichtlich der Beachtung des Verbotes des Haltens von Kundengeldern durch österreichische Wertpapierfirmen und Wertpapierdienstleistungsunternehmen zu erhalten und allenfalls erforderliche individuelle Maßnahmen bei festgestellten Verstößen setzen zu können, erforderlich und geeignet sind. So wurde beschlossen, auch eine für den Wertpapierdienstleistungsmarkt repräsentative Anzahl von Einzelkunden bei Wertpapierfirmen und Wertpapierdienstleistungsunternehmen in die Untersuchung mit einzubeziehen.
Zum Zwecke der Auswahl der in die Untersuchung einzubindenden Kunden bedurfte es eines Verfahrens zur Ziehung von Kundenstichproben. Um die Kundenstichprobe für jedes untersuchte Unternehmen repräsentativ gestalten zu können, wurden von der FMA grundsätzlich vollständige Kundenlisten angefordert. Lediglich bei jenen Unternehmen, deren Kundenanzahl 1.000 Kunden überstieg, wurde die Anzahl der zu übermittelnden Kundendaten auf jene 1.000 Kunden eingeschränkt, welche zuletzt in ein Vertragsverhältnis mit dem in die Untersuchung einbezogenen Unternehmen getreten waren. Durch dieses Verfahren sollte einerseits den betroffenen Unternehmen ein übermäßiger Aufwand erspart [und] andererseits der Behörde ermöglicht werden, die Stichprobe aus einem Pool an sowohl für den Markt als auch für jedes Unternehmen repräsentativen Kunden ziehen zu können. Insgesamt wurden auf diese Weise Daten von rund 17.000 Kunden erhoben und letztlich eine Stichprobe von ca. 800 im Untersuchungsschritt Drei befragten Kunden ermöglicht."
IV. Der Verfassungsgerichtshof hat nach Durchführung einer öffentlichen mündlichen Verhandlung über die - zulässige - Beschwerde erwogen:
1. Dem - verfassungsgesetzlich gewährleisteten - Grundrecht auf Datenschutz (§1 Abs 1 Datenschutzgesetz - DSG 2000) zufolge hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit er daran ein schutzwürdiges Interesse, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, hat. Ein schutzwürdiges Interesse ist von vornherein bei allgemeiner Verfügbarkeit der Daten oder deren mangelnder Rückführbarkeit auf den Betroffenen ausgeschlossen.
Zum Gewährleistungsumfang des Grundrechts auf Datenschutz hat der Verfassungsgerichtshof sowohl zur Rechtslage vor dem DSG 2000 als auch zum DSG 2000 selbst ausgesprochen, dass Schutzobjekt des Grundrechtes auch Wirtschaftsdaten sind und dass der Anspruch auf Geheimhaltung schutzwürdiger personenbezogener Daten nicht bloß auf die Nicht-Weitergabe erhobener Daten gerichtet ist, sondern es auch verbietet, dass der Betroffene zur Offenlegung verpflichtet wird (vgl. dazu VfSlg. 12.228/1989, 12.880/1991, 16.369/2001).
Beschränkungen dieses Grundrechts sind dem Gesetzesvorbehalt des § 1 Abs 2 DSG 2000 zufolge (abgesehen vom lebenswichtigen Interesse der Betroffenen an der Verwendung personenbezogener Daten oder ihrer Zustimmung dazu) nur zur Wahrung überwiegender berechtigter Interessen eines anderen, und zwar bei Eingriffen einer staatlichen Behörde nur aufgrund von Gesetzen zulässig, die aus den in Art 8 Abs 2 EMRK genannten Gründen notwendig sind. Besondere Schutzvorkehrungen gelten ferner für "ihrer Art nach besonders schutzwürdig(e)", also sogenannte sensible Daten, die hier nicht vorliegen.
Gemäß Art 8 Abs 2 EMRK sind Eingriffe in das in diesem Artikel verbürgte Grundrecht nur statthaft, insoweit sie eine Maßnahme darstellen, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist. Auch im Fall zulässiger Beschränkungen darf gemäß dem letzten Satz des § 1 Abs 2 DSG 2000 der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
Das Grundrecht auf Datenschutz ist im Zusammenhang mit Wirtschaftsdaten daher so zu verstehen, dass die Erhebung von Wirtschaftsdaten, an denen die Wirtschaftssubjekte ein schutzwürdiges Interesse haben, gemäß § 1 DSG iVm Art 8 Abs 2 EMRK jedenfalls nur dann zulässig ist, wenn eine zur Datenerhebung ermächtigende Norm den Eingriff gestattet, dieser einem der enumerativ aufgezählten Eingriffsziele dient und auf das Erforderliche beschränkt, geeignet und verhältnismäßig ist.
Bei der Beurteilung der Frage, ob und inwiefern "überwiegende berechtigte Interessen" (§1 Abs 2 DSG 2000) den Eingriff rechtfertigen und ob dieser Eingriff verhältnismäßig ist, sind das Interesse des (der) Betroffenen an der Geheimhaltung und das Interesse am staatlichen Eingriff gegenüberzustellen und abzuwägen. In einem Fall wie dem vorliegenden, in dem eine Maßnahme strittig ist, mit der die beschwerdeführende Gesellschaft zur Übermittlung von eigenen (personenbezogener Wirtschafts)Daten verpflichtet wird, in diesen Daten aber zugleich personenbezogene Daten Dritter enthalten sind, ist der Eingriff nur zulässig, wenn das zu seiner Rechtfertigung herangezogene Interesse die schutzwürdigen Interessen sämtlicher Betroffenen überwiegt.
2. Gemäß § 91 Abs 1 Z 1 WAG 2007 hat die FMA die Einhaltung dieses Bundesgesetzes durch Wertpapierfirmen und Wertpapierdienstleistungsunternehmen zu überwachen und dabei auf das volkswirtschaftliche Interesse an einem funktionsfähigen Kapitalmarkt und auf die Interessen der Anleger Bedacht zu nehmen. Nach Abs 2 Z 2 leg.cit. hat die FMA alle Untersuchungen durchzuführen und jene Maßnahmen zu ergreifen, die erforderlich sind, um bei der Erbringung von Wertpapierdienstleistungen und Anlagetätigkeiten die Wahrung der Interessen der Anleger zu gewährleisten. Abs 3 leg.cit. umschreibt die sich daraus ergebenden konkreten Befugnisse der FMA. Diese betreffen durchwegs Maßnahmen, die sich gegen die Unternehmen und ihre Organe richten. Eine direkte Einbeziehung von Kunden ist hier nicht explizit vorgesehen. Abs 4 leg.cit. enthält die Ermächtigung der FMA zur Verarbeitung von Daten iSd DSG 2000.
Der angefochtene Bescheid bezeichnet die Anforderung der Kundendaten als aufsichtsrechtliche Maßnahme, um präventiv die Interessen der Anleger effektiv schützen zu können. Es gehe um das Ziehen "einer unternehmensbezogen repräsentativen Stichprobe" zum Zweck einer "abschließenden Überprüfung der Einhaltung bestimmter für die Anleger besonders bedeutsamer Bestimmungen". Dieses Aufsichtsmittel sei nicht nur unbedingt erforderlich, sondern stelle auch das gelindeste zur Verfügung stehende Mittel dar. In der Gegenschrift spricht die belangte Behörde von einer "stichprobenartigen Kontrolle der Einhaltung des Verbotes des Haltens von Kundengeldern". In der mündlichen Verhandlung ist klargestellt worden, dass die Umfrage einerseits das Aufdecken von Gesetzwidrigkeiten bezweckt, andererseits die Unternehmen von künftigem gesetzwidrigem Verhalten abschrecken soll, somit generalpräventiven Charakter hat. Dabei geht es, wie das Verfahren ergeben hat, in erster Linie um die Beachtung der Vorschrift des § 3 Abs 5 Z 4 WAG 2007, wonach es Wertpapierfirmen und Wertpapierdienstleistungsunternehmen nicht gestattet ist, bei der Erbringung von Wertpapierdienstleistungen Geld, Wertpapiere oder sonstige Instrumente von Kunden entgegen zu nehmen und zu halten.
Es zählt zweifellos zu den - im öffentlichen Interesse liegenden - Aufgaben der FMA, die Einhaltung dieser Vorschrift mit den gesetzlich vorgesehenen Aufsichtsmitteln zu überprüfen. Andererseits ist im Verfahren nicht bestritten worden, dass die an eine Wertpapierfirma gerichtete Aufforderung, die Namen ihrer letzten 1000 Kunden und die Höhe der jeweiligen Veranlagungen bekannt zu geben, einen Eingriff in das Grundrecht auf Datenschutz sowohl des Unternehmens als auch seiner Kunden bewirkt. Dieser Eingriff bedarf nach dem oben Gesagten einer gesetzlichen Grundlage; er ist überdies nur zulässig, wenn er - gemessen an dem zugrunde liegenden Anlass und dem angestrebten Erfolg - erforderlich, geeignet und verhältnismäßig ist.
Letzteres ist im vorliegenden Fall zu verneinen:
Auszugehen ist davon, dass die Übermittlung der Kundendaten für sich allein es der FMA nicht erlaubt, die Einhaltung der Vorschrift des § 3 Abs 5 Z 4 WAG 2007 oder anderer Bestimmungen dieses Gesetzes zu kontrollieren. Die Anforderung der Kundendaten kann daher nur vor dem Hintergrund des mit ihr verfolgten weiteren Zweckes beurteilt werden. Dieser besteht darin, das Datenmaterial für das Ziehen einer repräsentativen Kundenstichprobe zu gewinnen, mit deren Hilfe in der Folge eine Befragung von Kunden durchgeführt werden soll. Im Verfahren ist unbestritten geblieben, dass die Mitwirkung der Kunden an dieser Befragung auf freiwilliger Basis erfolgt, die FMA somit keine Handhabe hat, Auskünfte der Kunden (in Form der Beantwortung des übermittelten Fragebogens) zu erzwingen. Damit erweist sich aber die strittige Anforderung der Kundendaten als von vornherein ungeeignet, um das Aufsichtsziel zu erreichen: Bei der beabsichtigten Vorgangsweise würden nämlich zunächst ohne Wissen und Zustimmung der betroffenen Kunden Daten über ihre Identität und ihr Anlagevolumen übermittelt werden, die im Sinne des angestrebten Erfolges überhaupt nur dann verwertbar wären, wenn die Kunden in der Folge (sofern sie überhaupt in die Stichprobe einbezogen sind) zur Beantwortung des Fragebogens bereit sind. Dass die Bereitschaft zur Mitwirkung so hoch ist, dass letztlich statistisch abgesicherte Aussagen gewonnen werden können, ist dabei keineswegs gewährleistet und kann auch nicht erzwungen werden. Die belangte Behörde konnte im Verfahren aber auch nicht plausibel machen, dass mit den bei einer solchen Umfrage allenfalls gewonnenen Informationen die Einhaltung der Vorschrift des § 3 Abs 5 Z 4 WAG 2007 verlässlicher beurteilt werden kann als durch die vom Gesetz explizit vorgesehenen Aufsichtsmittel (vgl. dazu insbesondere § 22 WAG 2007). Angesichts dessen kommt dem Umstand, dass die in Rede stehende Erhebung von Kundendaten an sich, vor allem aber die persönliche Befragung der einzelnen Kunden geeignet ist, das Vertrauen der Kunden in die Seriosität des Unternehmens, dem sie ihr Geld anvertraut haben, zu erschüttern, besonderes Gewicht zu.
Die mit dem angefochtenen Bescheid intendierte Ermittlung der Kundendaten und die oben dargestellte weitere Verarbeitung der Kundendaten durch die FMA ist daher als ungeeignete bzw. unverhältnismäßige Maßnahme anzusehen und führt somit schon aus diesem Grund zu einem unzulässigen Eingriff in das Grundrecht auf Datenschutz.
3. Der angefochtene Bescheid hat somit die beschwerdeführende Gesellschaft in ihrem verfassungsgesetzlich gewährleisteten Grundrecht auf Datenschutz gemäß § 1 DSG 2000 verletzt und war daher aufzuheben.
4. Der Kostenzuspruch stützt sich auf § 88 VfGG.