Urteilskopf

143 I 253

23. Auszug aus dem Urteil der I. öffentlich-rechtlichen Abteilung i.S. A. gegen Eidgenössische Finanzmarktaufsicht (Beschwerde in öffentlich-rechtlichen Angelegenheiten) 1C_214/2016 vom 22. März 2017

Regeste (de):

Regeste (fr):

Regesto (it):


Sachverhalt ab Seite 254

BGE 143 I 253 S. 254

A.

A.a Seit dem Jahr 2009 führt die Eidgenössische Finanzmarktaufsicht FINMA (nachfolgend: FINMA) die Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung", die so genannte Watchlist. Die Datensammlung ist im Register des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eingetragen.
A.b Im Rahmen eines Verwaltungsverfahrens gegen die UBS AG im Zusammenhang mit der Eingabe von Zinssätzen, insbesondere für den London Interbank Offered Rate (LIBOR), stellte die FINMA am 14. Dezember 2012 einen schweren Verstoss der Bank gegen das
BGE 143 I 253 S. 255

schweizerische Finanzmarktrecht fest. Gestützt darauf ordnete sie Massnahmen zur Verbesserung der entsprechenden Prozesse sowie die Einziehung von Gewinnen an.
A.c A. war damals Kadermitglied der UBS AG. Im Mai 2012 ersuchte er die FINMA, ihm alle in ihrer Datensammlung zu seiner Person vorhandenen Daten mitzuteilen. Die FINMA lehnte dies zunächst ab mit der Begründung, gegen ihn sei kein Verfahren hängig und es wäre unverhältnismässig, die Vielzahl derjenigen Daten, in denen er wegen seiner Funktion erwähnt werde, unter Wahrung der Interessen der Bank und allfälliger Dritter zur geeigneten Einsichtnahme aufzubereiten.
A.d Mit Schreiben vom 30. Mai 2013 informierte die FINMA A. darüber, ihn in die Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" aufgenommen zu haben, da sie festgestellt habe, dass er als Managing Director, Global Head of STIR, für die finanzmarktrechtlichen Beanstandungen mitverantwortlich sei. Im nachfolgenden Briefaustausch stellte die FINMA A. einen teilweise eingeschwärzten "Auszug Excel-Liste Interview betreffend A." mit einer Zusammenstellung von Aussagen über ihn zu, wies sein Gesuch um Einsicht in die Schlussverfügung und die Akten im Verfahren gegen die UBS AG ab und teilte ihm mit, er sei wie folgt in der Watchlist eingetragen: "Managing Director, Gobal Head of STIR, später Macro IR. Höchste Person nachweislich involviert in Zinssatzmanipulationen. UBS trennte sich von ihm." Im Anschluss an ein darauf folgendes ergänzendes Einsichts- und Auskunftsgesuch informierte die FINMA A., in die Datensammlung seien insgesamt 17 ihn betreffende Dokumente aufgenommen, stellte ihm teilweise eingeschwärzte Kopien von vier neu aufgenommenen E-Mails zu und teilte ihm mit, sie habe den Eintrag über ihn in der Watchlist wie folgt angepasst: "Managing Director, Global Head of STIR, später Macro IR. Es bestehen Hinweise, dass er über die Zinsmanipulationen informiert war. UBS trennte sich von ihm."
A.e Am 22. April 2014 beantragte A., die FINMA habe jede weitere Bearbeitung von ihn betreffenden Personendaten zu unterlassen und sämtliche in die Datensammlung aufgenommenen Daten vollumfänglich zu löschen. (...) Daraufhin schlug ihm die FINMA die folgende Änderung des Eintrags vor:
BGE 143 I 253 S. 256

"Managing Director, Global Head of STIR, später Macro IR. Es bestehen Hinweise, dass er über die Zinsmanipulationen informiert war. Das Arbeitsverhältnis mit der UBS AG wurde im gegenseitigen Einvernehmen im Rahmen eines Aufhebungsvertrags beendet." A. erklärte sich damit nicht einverstanden und verlangte, es sei eine anfechtbare Verfügung zu treffen. Mit solcher vom 5. September 2014 wies die FINMA das Gesuch um Löschung der Daten in der Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" sowie auf Unterlassen jeder weiteren Datenbearbeitung ab und trat im Übrigen auf das Gesuch nicht ein. Zur Begründung führte sie im Wesentlichen aus, im Rahmen des Verwaltungsverfahrens gegen die UBS AG sei sie in den Besitz von Unterlagen gekommen, die möglicherweise Zweifel an der Gewähr von A. erwecken könnten, falls dieser zukünftig eine Gewährsposition bei einem beaufsichtigten Institut besetzen wolle. Die Watchlist diene dazu, diese Verdachtsmomente für den Fall eines späteren Verfahrens festzuhalten. Die Einträge seien nicht unrichtig und dienten einzig dem behördeninternen Wissensmanagement. Die eigentliche Gewährsprüfung erfolge erst in einem allfälligen späteren Verfahren. (...)
B. Dagegen erhob A. Beschwerde an das Bundesverwaltungsgericht. Am 16. März 2016 wies dieses die Beschwerde ab.
C. Mit Beschwerde in öffentlich-rechtlichen Angelegenheiten vom 3. Mai 2016 an das Bundesgericht beantragt A., das Urteil des Bundesverwaltungsgerichts vom 16. März 2016 sowie die Verfügung der FINMA vom 5. September 2014 aufzuheben und die FINMA anzuweisen, jede weitere Bearbeitung von ihn betreffenden Personendaten im Rahmen der Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" zu unterlassen und sämtliche ihn betreffenden darin aufgenommenen Daten unverzüglich vollumfänglich zu vernichten bzw. zu löschen. Eventuell sei das Urteil des Bundesverwaltungsgerichts aufzuheben und die Sache mit verbindlichen Weisungen zur erneuten Beurteilung an die Vorinstanz zurückzuweisen. Zur Begründung wird im Wesentlichen geltend gemacht, (...) das Urteil des Bundesverwaltungsgerichts verletze das Datenschutzgesetz, das Recht auf informationelle Selbstbestimmung sowie die Wirtschaftsfreiheit von A. und dabei insbesondere das Legalitätsprinzip und den Grundsatz der Verhältnismässigkeit. Die FINMA schliesst auf Abweisung der Beschwerde. Das Bundesverwaltungsgericht verzichtete auf eine Stellungnahme.
BGE 143 I 253 S. 257

D. Die I. öffentlich-rechtliche Abteilung des Bundesgerichts hat am 22. März 2017 in einer öffentlichen Beratung über die Beschwerde entschieden. Das Bundesgericht heisst die Beschwerde gut, soweit es darauf eintritt. (Auszug)

Erwägungen

Aus den Erwägungen:

3.

3.1 Der Beschwerdeführer macht einen Verstoss gegen Art. 13 Abs. 2
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 13 Schutz der Privatsphäre - 1 Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
1    Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
2    Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.
BV geltend und rügt dabei insbesondere, der angefochtene Entscheid beruhe nicht auf einer genügenden gesetzlichen Grundlage.
3.2 Nach Art. 13 Abs. 2
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 13 Schutz der Privatsphäre - 1 Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
1    Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
2    Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.
BV hat jede Person Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten. Davon erfasst wird jeder Umgang mit personenbezogenen Daten, wozu auch das Aufbewahren zählt (RAINER J. SCHWEIZER, in: Die schweizerische Bundesverfassung, St. Galler Kommentar, Ehrenzeller/Schindler/Schweizer/Vallender [Hrsg.], 3. Aufl. 2014, N. 74 zu Art. 13
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 13 Schutz der Privatsphäre - 1 Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
1    Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
2    Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.
BV). Für staatliche Eingriffe gelten die Voraussetzungen von Art. 36
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 36 Einschränkungen von Grundrechten - 1 Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
1    Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
2    Einschränkungen von Grundrechten müssen durch ein öffentliches Interesse oder durch den Schutz von Grundrechten Dritter gerechtfertigt sein.
3    Einschränkungen von Grundrechten müssen verhältnismässig sein.
4    Der Kerngehalt der Grundrechte ist unantastbar.
BV, und schwere Eingriffe wie namentlich das Erstellen von Persönlichkeitsprofilen bedürfen einer Grundlage in einem formellen Gesetz (SCHWEIZER, a.a.O., N. 79 zu Art. 13
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 13 Schutz der Privatsphäre - 1 Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
1    Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
2    Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.
BV).
3.3 Art. 13 Abs. 2
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 13 Schutz der Privatsphäre - 1 Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
1    Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
2    Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.
BV wird zu einem grossen Teil im Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) konkretisiert. Da es sich beim Datenschutz um eine Querschnittsaufgabe des Staates handelt, gelangen darüber hinaus einschlägige Sonderbestimmungen mit Datenschutzcharakter in anderen Bundesgesetzen zur Anwendung. Im vorliegenden Zusammenhang trifft das insbesondere für das Bundesgesetz vom 22. Juni 2007 über die Eidgenössische Finanzmarktaufsicht (Finanzmarktaufsichtsgesetz, FINMAG; SR 956.1) und dessen Ausführungsbestimmungen zu.
3.4 Nach Art. 2 Abs. 1 lit. b
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG gilt das Datenschutzgesetz des Bundes für das Bearbeiten von Daten natürlicher und juristischer Personen durch Bundesorgane. Dazu zählt auch die FINMA (vgl. BGE 141 I 201 E. 4.5.1 S. 207 mit Hinweis). Gemäss der gesetzlichen Definition sind Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG). Für die Kategorie der so genannten besonders schützenswerten Personendaten und für Persönlichkeitsprofile gelten spezielle Regeln. Bei den
BGE 143 I 253 S. 258

besonders schützenswerten Personendaten handelt es sich um Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe sowie administrative oder strafrechtliche Verfolgungen und Sanktionen (Art. 3 lit. c
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG). Ein Persönlichkeitsprofil ist eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt (Art. 3 lit. d
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG). Jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind, stellt eine Datensammlung dar (Art. 3 lit. g
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG). Unter Bearbeiten versteht das Gesetz jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 lit. e
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG).
3.5 Gemäss Art. 17 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 17 Ausnahmen - 1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
1    Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
a  Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.
b  Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:
b1  zwischen dem Verantwortlichen und der betroffenen Person; oder
b2  zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
c  Die Bekanntgabe ist notwendig für:
c1  die Wahrung eines überwiegenden öffentlichen Interesses; oder
c2  die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
d  Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
e  Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
f  Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
2    Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
DSG dürfen Organe des Bundes Personendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht. Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen sie nach Art. 17 Abs. 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 17 Ausnahmen - 1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
1    Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
a  Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.
b  Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:
b1  zwischen dem Verantwortlichen und der betroffenen Person; oder
b2  zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
c  Die Bekanntgabe ist notwendig für:
c1  die Wahrung eines überwiegenden öffentlichen Interesses; oder
c2  die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
d  Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
e  Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
f  Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
2    Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
DSG nur bearbeiten, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht, oder ausnahmsweise, wenn es für eine in einem Gesetz im formellen Sinn klar umschriebene Aufgabe unentbehrlich ist (lit. a), wenn der Bundesrat es im Einzelfall bewilligt, weil die Rechte der betroffenen Person nicht gefährdet sind (lit. b), oder wenn die betroffene Person im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (lit. c; vgl. BGE 122 I 360 E. 5b S. 363 ff., insb. E. 5b/dd S. 365).
3.6 Nach Art. 23
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
FINMAG bearbeitet die FINMA im Rahmen der Aufsicht gemäss dem Finanzmarktaufsichtsgesetz und den übrigen Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten und Persönlichkeitsprofilen. Sie regelt die Einzelheiten (Abs. 1). Sie führt ein Verzeichnis der Beaufsichtigten, das in elektronischer Form öffentlich zugänglich ist (Abs. 2). Ergeben sich Anhaltspunkte für Verletzungen aufsichtsrechtlicher Bestimmungen und eröffnet die FINMA ein Verfahren, so zeigt sie dies gemäss Art. 30
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 30 Anzeige der Eröffnung eines Verfahrens - Ergeben sich Anhaltspunkte für Verletzungen aufsichtsrechtlicher Bestimmungen und eröffnet die FINMA ein Verfahren, so zeigt sie dies den Parteien an.
FINMAG den Parteien an.
3.7 Gemäss Art. 1 der vom Verwaltungsrat der FINMA erlassenen Verordnung der Eidgenössischen Finanzmarktaufsicht vom 8. September 2011 über die Datenbearbeitung (Datenverordnung-FINMA;
BGE 143 I 253 S. 259

SR 956.124) nimmt die FINMA Daten von Personen, deren Gewähr für eine einwandfreie Geschäftstätigkeit nach den Finanzmarktgesetzen und dem FINMAG zweifelhaft oder nicht gegeben ist, in eine Datensammlung auf (Abs. 1). Sie führt die Datensammlung zur Sicherstellung, dass nur Personen, die Gewähr für eine einwandfreie Geschäftstätigkeit bieten, mit der Verwaltung oder Geschäftsführung von Beaufsichtigten betraut werden (Abs. 2 lit. a) oder massgebend an den Beaufsichtigten beteiligt sind (Abs. 2 lit. b). Dabei handelt es sich um die so genannte Watchlist. Die Datenverordnung-FINMA enthält dazu weitere Bestimmungen.

4.

4.1 Zweck der Watchlist ist, der FINMA als Hilfsmittel zu dienen, um sicherzustellen, dass nur Personen, die Gewähr für eine einwandfreie Geschäftstätigkeit bieten, mit der Verwaltung oder Geschäftsführung von Unternehmungen bzw. von Personen, die der Beaufsichtigung durch die FINMA unterstehen, betraut werden oder sich an Beaufsichtigten beteiligen (vgl. Art. 1
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 1 Gegenstand - Diese Verordnung regelt die Einzelheiten der Bearbeitung von Personendaten durch die FINMA im Rahmen der Aufsicht nach dem FINMAG und den Finanzmarktgesetzen nach Artikel 1 Absatz 1 FINMAG.
Datenverordnung-FINMA). Die Datensammlung bildet also im Sinne einer Vorstufe die Grundlage für ein eventuelles Berufsverbot oder jedenfalls für Beschränkungen der Erwerbstätigkeit im Bereich des Finanzmarktes (vgl. dazu insbesondere Art. 33
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 33 Berufsverbot - 1 Stellt die FINMA eine schwere Verletzung aufsichtsrechtlicher Bestimmungen fest, so kann sie der verantwortlichen Person die Tätigkeit in leitender Stellung bei einer oder einem von ihr Beaufsichtigten untersagen.
1    Stellt die FINMA eine schwere Verletzung aufsichtsrechtlicher Bestimmungen fest, so kann sie der verantwortlichen Person die Tätigkeit in leitender Stellung bei einer oder einem von ihr Beaufsichtigten untersagen.
2    Das Berufsverbot kann für eine Dauer von bis zu fünf Jahren ausgesprochen werden.
FINMAG sowie beispielsweise Art. 35a
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 33 Berufsverbot - 1 Stellt die FINMA eine schwere Verletzung aufsichtsrechtlicher Bestimmungen fest, so kann sie der verantwortlichen Person die Tätigkeit in leitender Stellung bei einer oder einem von ihr Beaufsichtigten untersagen.
1    Stellt die FINMA eine schwere Verletzung aufsichtsrechtlicher Bestimmungen fest, so kann sie der verantwortlichen Person die Tätigkeit in leitender Stellung bei einer oder einem von ihr Beaufsichtigten untersagen.
2    Das Berufsverbot kann für eine Dauer von bis zu fünf Jahren ausgesprochen werden.
des Bundesgesetzes vom 24. März 1994 über die Börsen und den Effektenhandel [Börsengesetz, BEHG; SR 954.1]; vgl. auch BGE 142 II 243).
4.2 Der Beschwerdeführer macht geltend, er müsse mit einer Veröffentlichung der Daten rechnen, was für ihn schwerwiegende Nachteile mit sich bringen würde. Nach Art. 8
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 8 Aufbewahrung und Vernichtung der Personendaten - Personendaten werden bei der FINMA aufbewahrt, solange sie für die Aufsicht geeignet und erforderlich sind. Danach werden die Daten dem Bundesarchiv zur Archivierung angeboten und bei der FINMA vernichtet.
Datenverordnung-FINMA kann die FINMA Daten jedoch nur so weit bekanntgeben, als dafür eine gesetzliche Grundlage besteht oder die betroffene Person schriftlich einwilligt. Ohne einen solchen Sondertatbestand ist eine Veröffentlichung nicht zulässig. Der Beschwerdeführer befürchtet zwar, die FINMA behalte sich eine Publikation direkt gestützt auf Art. 23 Abs. 1
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
FINMAG vor, indem sie die ihr dort erteilte Befugnis zur Datenbearbeitung so auslege, dass ihr auch die Zuständigkeit zur Veröffentlichung zustehe. Obwohl Art. 3 lit. e
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG das Bekanntgeben von Daten zum Bearbeiten derselben zählt, gibt es keinen Hinweis dafür, dass die FINMA vorsieht, die Watchlist zu publizieren, zumal auch dazu davon auszugehen ist, dass es dafür einer konkreten, klaren formellgesetzlichen Grundlage bedürfte. Der
BGE 143 I 253 S. 260

Beschwerdeführer beruft sich sodann auf Art. 3
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 3 Technische und organisatorische Massnahmen - 1 Um die Vertraulichkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
1    Um die Vertraulichkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a  berechtigte Personen nur auf diejenigen Personendaten Zugriff haben, die sie zur Erfüllung ihrer Aufgaben benötigen (Zugriffskontrolle);
b  nur berechtigte Personen Zugang zu den Räumlichkeiten und Anlagen haben, in denen Personendaten bearbeitet werden (Zugangskontrolle);
c  unbefugte Personen automatisierte Datenbearbeitungssysteme nicht mittels Einrichtungen zur Datenübertragung benutzen können (Benutzerkontrolle).
2    Um die Verfügbarkeit und Integrität zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a  unbefugte Personen Datenträger nicht lesen, kopieren, verändern, verschieben, löschen oder vernichten können (Datenträgerkontrolle);
b  unbefugte Personen Personendaten im Speicher nicht speichern, lesen, ändern, löschen oder vernichten können (Speicherkontrolle);
c  unbefugte Personen bei der Bekanntgabe von Personendaten oder beim Transport von Datenträgern Personendaten nicht lesen, kopieren, verändern, löschen oder vernichten können (Transportkontrolle);
d  die Verfügbarkeit der Personendaten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können (Wiederherstellung);
e  alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität);
f  Betriebssysteme und Anwendungssoftware stets auf dem neusten Sicherheitsstand gehalten und bekannte kritische Lücken geschlossen werden (Systemsicherheit).
3    Um die Nachvollziehbarkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a  überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person im automatisierten Datenbearbeitungssystem eingegeben oder verändert werden (Eingabekontrolle);
b  überprüft werden kann, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben werden (Bekanntgabekontrolle);
c  Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden können (Beseitigung).
der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG; SR 235.11), wonach Datensammlungen beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB anzumelden sind, bevor die Sammlung eröffnet wird. Als Bundesorgan ist die FINMA gemäss Art. 11a Abs. 2
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 3 Technische und organisatorische Massnahmen - 1 Um die Vertraulichkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
1    Um die Vertraulichkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a  berechtigte Personen nur auf diejenigen Personendaten Zugriff haben, die sie zur Erfüllung ihrer Aufgaben benötigen (Zugriffskontrolle);
b  nur berechtigte Personen Zugang zu den Räumlichkeiten und Anlagen haben, in denen Personendaten bearbeitet werden (Zugangskontrolle);
c  unbefugte Personen automatisierte Datenbearbeitungssysteme nicht mittels Einrichtungen zur Datenübertragung benutzen können (Benutzerkontrolle).
2    Um die Verfügbarkeit und Integrität zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a  unbefugte Personen Datenträger nicht lesen, kopieren, verändern, verschieben, löschen oder vernichten können (Datenträgerkontrolle);
b  unbefugte Personen Personendaten im Speicher nicht speichern, lesen, ändern, löschen oder vernichten können (Speicherkontrolle);
c  unbefugte Personen bei der Bekanntgabe von Personendaten oder beim Transport von Datenträgern Personendaten nicht lesen, kopieren, verändern, löschen oder vernichten können (Transportkontrolle);
d  die Verfügbarkeit der Personendaten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können (Wiederherstellung);
e  alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität);
f  Betriebssysteme und Anwendungssoftware stets auf dem neusten Sicherheitsstand gehalten und bekannte kritische Lücken geschlossen werden (Systemsicherheit).
3    Um die Nachvollziehbarkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a  überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person im automatisierten Datenbearbeitungssystem eingegeben oder verändert werden (Eingabekontrolle);
b  überprüft werden kann, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben werden (Bekanntgabekontrolle);
c  Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden können (Beseitigung).
DSG verpflichtet, sämtliche Datensammlungen beim EDÖB zur Registrierung anzumelden. Dass die FINMA die Watchlist korrekterweise beim EDÖB angemeldet hat, bedeutet mithin nur, dass diese Datensammlung mit Wissen des EDÖB geführt wird, und nicht, dass die FINMA sie auch zu veröffentlichen gedenkt. Woraus solches abzuleiten wäre, ist nicht ersichtlich und wird vom Beschwerdeführer nicht nachvollziehbar dargetan. Es ist daher nicht zu beanstanden, wenn die Vorinstanzen davon ausgehen, die Watchlist diene einzig dem internen Wissensmanagement (gleicher Meinung ZULAUF UND ANDERE, Finanzmarktenforcement, 2. Aufl. 2014, S. 81).
4.3 Bereits die Aufnahme in die fragliche Datensammlung bedeutet allerdings, dass der Beschwerdeführer mit einem unter Umständen aufwendigen und langwierigen Verwaltungsverfahren über die Zulassung zur Berufsausübung bzw. über ein entsprechendes Berufsverbot rechnen muss, wenn er eine neue Stelle im Bereich der Finanzmarktaufsicht antreten will, oder sich einer Art Bewilligungs- oder Ausschlussverfahren für eine Beteiligung zu stellen hat, wenn er eine solche Beteiligung beabsichtigt. Er muss darüber hinaus davon ausgehen, dass die FINMA auf die bereits gesammelten Informationen abstellen würde und bei der Beurteilung seiner Eignung für die fraglichen Tätigkeiten nicht mehr völlig unbelastet wäre. Letztlich führt die Watchlist dazu, dass sich die darin Aufgenommenen von vornherein in einer ungünstigeren Ausgangslage zur Weiterführung oder Wiederaufnahme einer Erwerbstätigkeit befinden, ohne dass dazu je ein korrektes konkretes Verfahren durchgeführt worden wäre, in dem sie sich gegen die gesammelten Verdachtsmomente hätten wehren können. Es handelt sich bei den in die Datensammlung aufgenommenen Informationen mithin um sensible Daten zur Person im Sinne von Personendaten nach Art. 3 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG. Bereits dieser Zusammenhang belegt, dass die Aufnahme in die Watchlist einen Eingriff in das Recht auf informationelle Selbstbestimmung der Betroffenen darstellt.
4.4 Von Bedeutung erweist sich sodann die Qualität der in der Watchlist enthaltenen Informationen. Nach Art. 3
BGE 143 I 253 S. 261

Datenverordnung-FINMA enthält die Datensammlung verschiedene Angaben zu einer Person und deren Qualifikationen sowie zu Verfahren zu dieser bzw. über diese Person (vgl. dazu hinten E. 7.2.1). Es braucht nicht entschieden zu werden, ob die Watchlist besonders schützenswerte Personendaten führt, solange sie wie hier keine Informationen über administrative oder strafrechtliche Verfolgungen und Sanktionen gegenüber der registrierten Person wiedergibt (vgl. Art. 3 lit. c
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG). Selbst wenn sich nicht alle in Art. 3
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 3 Zuständigkeit - Jede Organisationseinheit der FINMA ist für ihre Daten zuständig.
Datenverordnung-FINMA aufgezählten Daten im Eintrag befinden, lässt sich aus derartigen Informationen ein Gesamt- oder Teilbild der Persönlichkeit der registrierten natürlichen Person ableiten, wozu hier namentlich solche im Zusammenhang mit der Erwerbstätigkeit bedeutsam erscheinen. Es ist denn auch gerade der Zweck der Watchlist, Informationen zur Eignung einer Person zur Geschäftsführung im Finanzmarktbereich zu sammeln. Insgesamt stellen solche Angaben ein eigentliches Persönlichkeitsprofil dar (vgl. Art. 3 lit. d
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG; vgl. GABOR P. BLECHTA, in: Basler Kommentar, Datenschutzgesetz, Öffentlichkeitsgesetz, 3. Aufl. 2014, N. 62 ff. zu Art. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG).

4.5 Nach Art. 9
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 9 Zweck - Die FINMA führt eine Datenbank, um die Beurteilung der Gewähr für eine einwandfreie Geschäftstätigkeit nach den Finanzmarktgesetzen sicherzustellen. Zu diesem Zweck nimmt sie diejenigen Daten in die Datenbank auf, die für den Fall einer künftigen Beurteilung der Gewähr für eine einwandfreie Geschäftstätigkeit erforderlich sind.
Datenverordnung-FINMA werden die Daten überdies während zehn Jahren nach dem letzten Eintrag aufbewahrt. Bereits die Dauer von zehn Jahren erscheint lang. Diese Frist beginnt zudem mit jedem neuen Eintrag neu zu laufen und kann sich somit unter Umständen auf die ganze Dauer der (verbleibenden) Erwerbstätigkeit einer Person erstrecken. Die Watchlist unterscheidet sich damit wesentlich von Vorabklärungen im Vorfeld allfälliger formeller Untersuchungen, bei denen ebenfalls Informationen gesammelt werden. Vorabklärungen führen jedoch entweder zur Eröffnung eines Untersuchungsverfahrens oder werden bei Ergebnislosigkeit ohne Verfahren und ohne Folgerungen eingestellt (dazu ANDRÉ E. LEBRECHT, in: Basler Kommentar, Börsengesetz Finanzmarktaufsichtsgesetz, 2. Aufl. 2011, N. 5 ff. zu Art. 53
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 53 Verwaltungsverfahren - Das Verfahren richtet sich nach den Bestimmungen des Bundesgesetzes vom 20. Dezember 1968117 über das Verwaltungsverfahren.
FINMAG; ZULAUF UND ANDERE, a.a.O., S. 66 ff.). Sie sind zielgerichtet und enden mit dem Entscheid über die Eröffnung eines Verfahrens oder mit dem Verzicht darauf und dienen nicht wie die Watchlist der Vorratshaltung von Daten auf Dauer unabhängig davon, ob es je zu einem Verfahren kommt oder nicht.

4.6 Unterstrichen wird dies im vorliegenden Fall durch die erfolgten Einträge. Nur schon der Hinweis darauf, der Beschwerdeführer habe von den seiner ehemaligen Arbeitgeberin vorgeworfenen
BGE 143 I 253 S. 262

Zinsmanipulationen Kenntnis gehabt und diese habe sich in der Folge, ob einvernehmlich oder nicht, von ihm getrennt, legt die Annahme nahe, dass er damit in irgendeiner Weise zu tun gehabt hatte, ohne dass dies explizit ausgesprochen wird und nachgewiesen wäre. In ihrem Schreiben vom 30. Mai 2013 hatte die FINMA den Beschwerdeführer im Übrigen ausdrücklich als für die gegenüber seiner damaligen Arbeitgeberin erhobenen Beanstandungen mitverantwortlich bezeichnet, was bereits eine zumindest vorläufige Einschätzung seiner Eignung für eine Tätigkeit im Finanzmarktbereich zum Ausdruck bringt. Hinzu kommt eine ganze Reihe zusätzlicher Unterlagen und E-Mails, die meist aus dem Verfahren gegen die frühere Arbeitgeberin des Beschwerdeführers stammen und offenbar auch als mögliche Beweismittel dafür dienen sollen, dass er an den Verfehlungen in irgendeiner Weise beteiligt gewesen sei. Mit dem Eintrag in die Watchlist wurde mithin die Grundlage für eine mögliche zukünftige Beurteilung gelegt, der Beschwerdeführer biete keine Gewähr für eine einwandfreie Geschäftstätigkeit im Finanzmarktbereich, womit wesentliche Aspekte seiner Persönlichkeit in Frage stehen. Ohne dass ein Fehlverhalten des Beschwerdeführers selbst bisher in einem eigentlichen Administrativverfahren mit Gelegenheit zur Wahrnehmung von Parteirechten festgestellt worden ist, erweist sich seine künftige berufliche Tätigkeit als bereits erheblich kompromittiert. Es muss davon ausgegangen werden, dass er grossen Schwierigkeiten entgegensehen müsste, möchte er künftig wieder eine gleichartige Erwerbstätigkeit wie bei seiner früheren Arbeitgeberin ausüben. Nur schon die Möglichkeit eines Verfahrens über die Feststellung der Gewähr für eine einwandfreie Geschäftstätigkeit bzw. über ein eventuelles Berufsverbot bringt angesichts des damit verbundenen Aufwands und Zeitbedarfs die erhebliche Wahrscheinlichkeit mit sich, dass ein potenzieller Arbeitgeber die Stelle anderweitig besetzen würde.
4.7 Schliesslich kennt die Verordnung zwar ein Auskunftsrecht der betroffenen Personen (Art. 6
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 6 Beschaffung von Personendaten - 1 Die FINMA kann Personendaten beschaffen bei:
1    Die FINMA kann Personendaten beschaffen bei:
a  Beaufsichtigten;
b  Arbeitgebern;
c  der betroffenen Person;
d  Gesuchstellern;
e  in- und ausländischen Behörden;
f  Verfahrensparteien;
g  Prüfgesellschaften und Beauftragten der FINMA;
h  weiteren auskunfts- und meldepflichtigen Personen.
2    Sie kann Personendaten zudem aus weiteren nicht öffentlich zugänglichen und aus öffentlich zugänglichen Quellen beschaffen.
3    Soweit es zur Erreichung des Bearbeitungszwecks unerlässlich ist, kann die FINMA Personendaten beschaffen, ohne ihre Identität offenzulegen.
Datenverordnung-FINMA). Dass diese von Amtes wegen auch dann, wenn sie sich nicht über einen allfälligen Eintrag erkundigen, darüber zu informieren wären, wird aber nicht vorgeschrieben. Auch nach Art. 30
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 30 Anzeige der Eröffnung eines Verfahrens - Ergeben sich Anhaltspunkte für Verletzungen aufsichtsrechtlicher Bestimmungen und eröffnet die FINMA ein Verfahren, so zeigt sie dies den Parteien an.
FINMAG ist die FINMA nur und erst dann zu einer entsprechenden Anzeige verpflichtet, wenn sie ein Verfahren einleitet. Es ist offensichtlich, dass die Kenntnis über den Eintrag auch Voraussetzung für einen allfälligen Rechtsschutz bildet. Ein solcher wird in der Verordnung allerdings nicht
BGE 143 I 253 S. 263

ausdrücklich vorgesehen. Zwar schreibt die Verordnung die Berichtigung oder Vernichtung unrichtiger oder unvollständiger Daten oder von solchen vor, die nicht dem Zweck der Datensammlung dienen (Art. 7
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 7 Form der Bekanntgabe von Personendaten - Die Bekanntgabe von Personendaten, einschliesslich besonders schützenswerter Personendaten, erfolgt in Papierform oder in elektronischer Form.
Datenverordnung-FINMA); auf welchem Weg dies von einer betroffenen Person zu erreichen wäre, wird aber nicht geregelt. Bei der Anlegung einer Datensammlung handelt es sich um einen Realakt, zu dem schon grundsätzlich in Anwendung von Art. 25a
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 25a - 1 Wer ein schutzwürdiges Interesse hat, kann von der Behörde, die für Handlungen zuständig ist, welche sich auf öffentliches Recht des Bundes stützen und Rechte oder Pflichten berühren, verlangen, dass sie:
1    Wer ein schutzwürdiges Interesse hat, kann von der Behörde, die für Handlungen zuständig ist, welche sich auf öffentliches Recht des Bundes stützen und Rechte oder Pflichten berühren, verlangen, dass sie:
a  widerrechtliche Handlungen unterlässt, einstellt oder widerruft;
b  die Folgen widerrechtlicher Handlungen beseitigt;
c  die Widerrechtlichkeit von Handlungen feststellt.
2    Die Behörde entscheidet durch Verfügung.
VwVG (SR 172.021) eine Verfügung der zuständigen Behörde verlangt werden kann, die namentlich auf Unterlassung bzw. Einstellung und Beseitigung widerrechtlicher Handlungen sowie subsidiär auf Feststellung der Widerrechtlichkeit gerichtet sein kann (vgl. Art. 25a Abs. 1 lit. a
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 25a - 1 Wer ein schutzwürdiges Interesse hat, kann von der Behörde, die für Handlungen zuständig ist, welche sich auf öffentliches Recht des Bundes stützen und Rechte oder Pflichten berühren, verlangen, dass sie:
1    Wer ein schutzwürdiges Interesse hat, kann von der Behörde, die für Handlungen zuständig ist, welche sich auf öffentliches Recht des Bundes stützen und Rechte oder Pflichten berühren, verlangen, dass sie:
a  widerrechtliche Handlungen unterlässt, einstellt oder widerruft;
b  die Folgen widerrechtlicher Handlungen beseitigt;
c  die Widerrechtlichkeit von Handlungen feststellt.
2    Die Behörde entscheidet durch Verfügung.
, b und c VwVG). Prioritär in Frage kommen überdies die analogen spezifischen Ansprüche nach Art. 25
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 25 Auskunftsrecht - 1 Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
1    Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
2    Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. In jedem Fall werden ihr folgende Informationen mitgeteilt:
a  die Identität und die Kontaktdaten des Verantwortlichen;
b  die bearbeiteten Personendaten als solche;
c  der Bearbeitungszweck;
d  die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
e  die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
f  gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
g  gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.
3    Personendaten über die Gesundheit können der betroffenen Person mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden.
4    Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig.
5    Niemand kann im Voraus auf das Auskunftsrecht verzichten.
6    Der Verantwortliche muss kostenlos Auskunft erteilen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.
7    Die Auskunft wird in der Regel innerhalb von 30 Tagen erteilt.
DSG (vgl. insb. Art. 25 Abs. 1 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 25 Auskunftsrecht - 1 Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
1    Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
2    Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. In jedem Fall werden ihr folgende Informationen mitgeteilt:
a  die Identität und die Kontaktdaten des Verantwortlichen;
b  die bearbeiteten Personendaten als solche;
c  der Bearbeitungszweck;
d  die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
e  die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
f  gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
g  gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.
3    Personendaten über die Gesundheit können der betroffenen Person mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden.
4    Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig.
5    Niemand kann im Voraus auf das Auskunftsrecht verzichten.
6    Der Verantwortliche muss kostenlos Auskunft erteilen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.
7    Die Auskunft wird in der Regel innerhalb von 30 Tagen erteilt.
, b und c DSG). Nachdem der Beschwerdeführer Kenntnis von der über ihn bestehenden Datensammlung erhalten hatte, konnte er die entsprechenden Anträge auch einbringen und das vorliegende Verfahren auslösen. Der zu beurteilende Fall belegt aber, dass es für den Betroffenen aufwendig und mit Mühen verbunden sein kann, sich zu wehren.
4.8 Alle diese Zusammenhänge unterstreichen die Schwere des Eingriffs. Als schwerer Eingriff in das Recht auf informationelle Selbstbestimmung nach Art. 13 Abs. 2
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 13 Schutz der Privatsphäre - 1 Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
1    Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
2    Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.
BV bedarf der Eintrag des Beschwerdeführers in der Watchlist gemäss Art. 36 Abs. 1
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 36 Einschränkungen von Grundrechten - 1 Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
1    Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
2    Einschränkungen von Grundrechten müssen durch ein öffentliches Interesse oder durch den Schutz von Grundrechten Dritter gerechtfertigt sein.
3    Einschränkungen von Grundrechten müssen verhältnismässig sein.
4    Der Kerngehalt der Grundrechte ist unantastbar.
BV einer formellgesetzlichen Grundlage. Ergänzend ergibt sich die Voraussetzung eines formellen Gesetzes aus dem Datenschutzgesetz. Da bereits die Aufnahme von Informationen in eine Datensammlung, also der Eintrag und das Aufbewahren darin, als Bearbeiten dem Datenschutzgesetz untersteht (vgl. Art. 3 lit. e
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG) und es sich um das Bearbeiten eines Persönlichkeitsprofils handelt, ist dafür gemäss und im Rahmen der Regelung von Art. 17 Abs. 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 17 Ausnahmen - 1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
1    Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
a  Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.
b  Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:
b1  zwischen dem Verantwortlichen und der betroffenen Person; oder
b2  zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
c  Die Bekanntgabe ist notwendig für:
c1  die Wahrung eines überwiegenden öffentlichen Interesses; oder
c2  die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
d  Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
e  Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
f  Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
2    Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
DSG eine formellgesetzliche Grundlage erforderlich.
4.9 Demnach setzt die Aufnahme des Beschwerdeführers in die Watchlist gestützt auf Art. 36 Abs. 1
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 36 Einschränkungen von Grundrechten - 1 Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
1    Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
2    Einschränkungen von Grundrechten müssen durch ein öffentliches Interesse oder durch den Schutz von Grundrechten Dritter gerechtfertigt sein.
3    Einschränkungen von Grundrechten müssen verhältnismässig sein.
4    Der Kerngehalt der Grundrechte ist unantastbar.
BV, auf das allgemeine Legalitätsprinzip von Art. 5 Abs. 1
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 5 Grundsätze rechtsstaatlichen Handelns - 1 Grundlage und Schranke staatlichen Handelns ist das Recht.
1    Grundlage und Schranke staatlichen Handelns ist das Recht.
2    Staatliches Handeln muss im öffentlichen Interesse liegen und verhältnismässig sein.
3    Staatliche Organe und Private handeln nach Treu und Glauben.
4    Bund und Kantone beachten das Völkerrecht.
BV sowie auf Art. 17 Abs. 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 17 Ausnahmen - 1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
1    Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
a  Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.
b  Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:
b1  zwischen dem Verantwortlichen und der betroffenen Person; oder
b2  zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
c  Die Bekanntgabe ist notwendig für:
c1  die Wahrung eines überwiegenden öffentlichen Interesses; oder
c2  die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
d  Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
e  Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
f  Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
2    Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
DSG eine Grundlage in einem formellen Gesetz voraus, weil sie in schwerwiegender Weise in das Grundrecht der informationellen Selbstbestimmung nach Art. 13 Abs. 2
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 13 Schutz der Privatsphäre - 1 Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
1    Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
2    Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.
BV eingreift und weil das Datenschutzgesetz für Persönlichkeitsprofile, wie hier eines vorliegt, ausdrücklich eine formellgesetzliche Grundlage vorschreibt.
BGE 143 I 253 S. 264

5. Der Beschwerdeführer rügt zusätzlich, der angefochtene Entscheid verstosse gegen die Wirtschaftsfreiheit nach Art. 27
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 27 Wirtschaftsfreiheit - 1 Die Wirtschaftsfreiheit ist gewährleistet.
1    Die Wirtschaftsfreiheit ist gewährleistet.
2    Sie umfasst insbesondere die freie Wahl des Berufes sowie den freien Zugang zu einer privatwirtschaftlichen Erwerbstätigkeit und deren freie Ausübung.
BV. Diese gewährleistet insbesondere den freien Zugang zu einer privatwirtschaftlichen Erwerbstätigkeit und deren freie Ausübung. Schwerwiegende Eingriffe in die Wirtschaftsfreiheit bedürfen ebenfalls einer formellgesetzlichen Grundlage (Art. 36 Abs. 1
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 36 Einschränkungen von Grundrechten - 1 Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
1    Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
2    Einschränkungen von Grundrechten müssen durch ein öffentliches Interesse oder durch den Schutz von Grundrechten Dritter gerechtfertigt sein.
3    Einschränkungen von Grundrechten müssen verhältnismässig sein.
4    Der Kerngehalt der Grundrechte ist unantastbar.
BV). Die Aufnahme des Beschwerdeführers in die Watchlist bewirkt zweifellos einen Eingriff in seine Wirtschaftsfreiheit gemäss Art. 27
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 27 Wirtschaftsfreiheit - 1 Die Wirtschaftsfreiheit ist gewährleistet.
1    Die Wirtschaftsfreiheit ist gewährleistet.
2    Sie umfasst insbesondere die freie Wahl des Berufes sowie den freien Zugang zu einer privatwirtschaftlichen Erwerbstätigkeit und deren freie Ausübung.
BV, da dadurch seine künftige berufliche Tätigkeit berührt ist. Fraglich erscheint, ob es sich auch insofern um einen schweren Eingriff handelt, da die eigentliche Erwerbstätigkeit nicht unmittelbar im jetzigen Zeitpunkt, sondern nur eventuell in Zukunft eingeschränkt wird. Zwar entschied das Bundesgericht in BGE 141 I 201 E. 4.1 S. 203 f., dass der Umgang mit Personendaten durch die Finanzmarktaufsicht einen schweren Eingriff in die Wirtschaftsfreiheit darstellen kann. Der damalige Fall ist mit dem vorliegenden aber nicht völlig vergleichbar. Wie es sich damit verhält, kann jedoch offenbleiben.
6.

6.1 Art. 36 Abs. 1
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 36 Einschränkungen von Grundrechten - 1 Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
1    Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
2    Einschränkungen von Grundrechten müssen durch ein öffentliches Interesse oder durch den Schutz von Grundrechten Dritter gerechtfertigt sein.
3    Einschränkungen von Grundrechten müssen verhältnismässig sein.
4    Der Kerngehalt der Grundrechte ist unantastbar.
BV steht in einem engen Zusammenhang mit Art. 164
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 164 Gesetzgebung - 1 Alle wichtigen rechtsetzenden Bestimmungen sind in der Form des Bundesgesetzes zu erlassen. Dazu gehören insbesondere die grundlegenden Bestimmungen über:
1    Alle wichtigen rechtsetzenden Bestimmungen sind in der Form des Bundesgesetzes zu erlassen. Dazu gehören insbesondere die grundlegenden Bestimmungen über:
a  die Ausübung der politischen Rechte;
b  die Einschränkungen verfassungsmässiger Rechte;
c  die Rechte und Pflichten von Personen;
d  den Kreis der Abgabepflichtigen sowie den Gegenstand und die Bemessung von Abgaben;
e  die Aufgaben und die Leistungen des Bundes;
f  die Verpflichtungen der Kantone bei der Umsetzung und beim Vollzug des Bundesrechts;
g  die Organisation und das Verfahren der Bundesbehörden.
2    Rechtsetzungsbefugnisse können durch Bundesgesetz übertragen werden, soweit dies nicht durch die Bundesverfassung ausgeschlossen wird.
BV. Daraus ergibt sich, dass die grundlegenden Vorschriften in den für die Rechtsunterworfenen zentralen Belangen in einem formellen Gesetz geregelt werden und kein wichtiger Regelungsbereich den direkt-demokratischen Einwirkungsmöglichkeiten entzogen wird. Liegt ein schwerer Grundrechtseingriff vor, ist eine klare und genaue Grundlage im Gesetz selbst erforderlich. Dabei muss sich aus der Auslegung des Gesetzes ergeben, dass der Verordnungsgeber zur entsprechenden Regelung ermächtigt werden sollte (vgl. BGE 131 II 13 E. 6.3 S. 27 mit Hinweisen). Umgekehrt müssen sich die Verordnungsbestimmungen an den gesetzlichen Rahmen halten. In Bezug auf die notwendige Normdichte lässt sich der Grad der erforderlichen Bestimmtheit nicht abstrakt festlegen. Er hängt unter anderem von der Vielfalt der zu ordnenden Sachverhalte, von der Komplexität und der Vorhersehbarkeit der im Einzelfall erforderlichen Entscheidungen, von den Normadressaten, von der Schwere des Eingriffs in Verfassungsrechte und von der erst bei der Konkretisierung im Einzelfall möglichen und sachgerechten Entscheidung ab (BGE 141 I 201 E. 4.1 S. 203 f.; BGE 139 II 243 E. 10 S. 252; BGE 136 I 87 E. 3.1 S. 90 f. mit Hinweisen).
6.2 Im vorliegenden Zusammenhang fällt dazu erschwerend in Betracht, dass die demokratische Herleitung des Verordnungsrechts
BGE 143 I 253 S. 265

zusätzlich abgeschwächt ist. Üblicherweise überträgt der Gesetzgeber die Verordnungskompetenz an die Exekutive, d.h. auf Bundesebene dem Bundesrat (vgl. Art. 182 Abs. 1
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 182 Rechtsetzung und Vollzug - 1 Der Bundesrat erlässt rechtsetzende Bestimmungen in der Form der Verordnung, soweit er durch Verfassung oder Gesetz dazu ermächtigt ist.
1    Der Bundesrat erlässt rechtsetzende Bestimmungen in der Form der Verordnung, soweit er durch Verfassung oder Gesetz dazu ermächtigt ist.
2    Er sorgt für den Vollzug der Gesetzgebung, der Beschlüsse der Bundesversammlung und der Urteile richterlicher Behörden des Bundes.
BV). Dieser wird zwar nicht unmittelbar vom Volk, aber doch immerhin von der Vereinigten Bundesversammlung gewählt (Art. 175 Abs. 2
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 175 Zusammensetzung und Wahl - 1 Der Bundesrat besteht aus sieben Mitgliedern.
1    Der Bundesrat besteht aus sieben Mitgliedern.
2    Die Mitglieder des Bundesrates werden von der Bundesversammlung nach jeder Gesamterneuerung des Nationalrates gewählt.
3    Sie werden aus allen Schweizerbürgerinnen und Schweizerbürgern, welche als Mitglieder des Nationalrates wählbar sind, auf die Dauer von vier Jahren gewählt.133
4    Dabei ist darauf Rücksicht zu nehmen, dass die Landesgegenden und Sprachregionen angemessen vertreten sind.134
in Verbindung mit Art. 157 Abs. 1 lit. a
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 157 Gemeinsame Verhandlung - 1 Nationalrat und Ständerat verhandeln gemeinsam als Vereinigte Bundesversammlung unter dem Vorsitz der Nationalratspräsidentin oder des Nationalratspräsidenten, um:
1    Nationalrat und Ständerat verhandeln gemeinsam als Vereinigte Bundesversammlung unter dem Vorsitz der Nationalratspräsidentin oder des Nationalratspräsidenten, um:
a  Wahlen vorzunehmen;
b  Zuständigkeitskonflikte zwischen den obersten Bundesbehörden zu entscheiden;
c  Begnadigungen auszusprechen.
2    Die Vereinigte Bundesversammlung versammelt sich ausserdem bei besonderen Anlässen und zur Entgegennahme von Erklärungen des Bundesrates.
BV). Demgegenüber delegiert Art. 23 Abs. 1
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
FINMAG die Verordnungskompetenz für die Regelung der Einzelheiten bei der Datenbearbeitung im Bereich der Finanzmarktaufsicht der FINMA, die insofern durch deren Verwaltungsrat handelt (vgl. Art. 9 Abs. 1
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 9 Verwaltungsrat - 1 Der Verwaltungsrat ist das strategische Organ der FINMA. Er hat folgende Aufgaben:
1    Der Verwaltungsrat ist das strategische Organ der FINMA. Er hat folgende Aufgaben:
a  Er legt die strategischen Ziele der FINMA fest und unterbreitet sie dem Bundesrat zur Genehmigung.
b  Er entscheidet über Geschäfte von grosser Tragweite.
c  Er erlässt die der FINMA delegierten Verordnungen und beschliesst die Rundschreiben.
d  Er überwacht die Geschäftsleitung.
e  Er setzt eine interne Revision ein und sorgt für die interne Kontrolle.
f  Er erstellt den Geschäftsbericht und unterbreitet ihn vor der Veröffentlichung dem Bundesrat zur Genehmigung.
g  Er wählt die Direktorin oder den Direktor unter Vorbehalt der Genehmigung durch den Bundesrat.
h  Er wählt die Mitglieder der Geschäftsleitung.
i  Er erlässt das Organisationsreglement und die Richtlinien über die Informationstätigkeit.
j  Er genehmigt den Voranschlag.
2    Er besteht aus sieben bis neun fachkundigen Mitgliedern, die von den Beaufsichtigten unabhängig sind. Der Verwaltungsrat wird für eine Amtsdauer von vier Jahren gewählt; jedes Mitglied kann zweimal wiedergewählt werden.
3    Der Bundesrat wählt den Verwaltungsrat. Er achtet dabei auf eine angemessene Vertretung beider Geschlechter. Er bestimmt die Präsidentin oder den Präsidenten und die Vizepräsidentin oder den Vizepräsidenten. Er legt die Entschädigungen fest. Artikel 6a des Bundespersonalgesetzes vom 24. März 200027 gilt sinngemäss.
4    Die Präsidentin oder der Präsident darf weder eine andere wirtschaftliche Tätigkeit ausüben noch ein eidgenössisches oder kantonales Amt bekleiden, es sei denn, dies liege im Interesse der Aufgabenerfüllung der FINMA.
5    Der Bundesrat beruft Mitglieder des Verwaltungsrats ab und genehmigt die Auflösung des Arbeitsverhältnisses der Direktorin oder des Direktors durch den Verwaltungsrat, wenn die Voraussetzungen für die Ausübung des Amtes nicht mehr erfüllt sind.
FINMAG), der auch die Datenverordnung-FINMA erlassen hat. Wahlorgan für den Verwaltungsrat der FINMA ist der Bundesrat (Art. 9 Abs. 3
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 9 Verwaltungsrat - 1 Der Verwaltungsrat ist das strategische Organ der FINMA. Er hat folgende Aufgaben:
1    Der Verwaltungsrat ist das strategische Organ der FINMA. Er hat folgende Aufgaben:
a  Er legt die strategischen Ziele der FINMA fest und unterbreitet sie dem Bundesrat zur Genehmigung.
b  Er entscheidet über Geschäfte von grosser Tragweite.
c  Er erlässt die der FINMA delegierten Verordnungen und beschliesst die Rundschreiben.
d  Er überwacht die Geschäftsleitung.
e  Er setzt eine interne Revision ein und sorgt für die interne Kontrolle.
f  Er erstellt den Geschäftsbericht und unterbreitet ihn vor der Veröffentlichung dem Bundesrat zur Genehmigung.
g  Er wählt die Direktorin oder den Direktor unter Vorbehalt der Genehmigung durch den Bundesrat.
h  Er wählt die Mitglieder der Geschäftsleitung.
i  Er erlässt das Organisationsreglement und die Richtlinien über die Informationstätigkeit.
j  Er genehmigt den Voranschlag.
2    Er besteht aus sieben bis neun fachkundigen Mitgliedern, die von den Beaufsichtigten unabhängig sind. Der Verwaltungsrat wird für eine Amtsdauer von vier Jahren gewählt; jedes Mitglied kann zweimal wiedergewählt werden.
3    Der Bundesrat wählt den Verwaltungsrat. Er achtet dabei auf eine angemessene Vertretung beider Geschlechter. Er bestimmt die Präsidentin oder den Präsidenten und die Vizepräsidentin oder den Vizepräsidenten. Er legt die Entschädigungen fest. Artikel 6a des Bundespersonalgesetzes vom 24. März 200027 gilt sinngemäss.
4    Die Präsidentin oder der Präsident darf weder eine andere wirtschaftliche Tätigkeit ausüben noch ein eidgenössisches oder kantonales Amt bekleiden, es sei denn, dies liege im Interesse der Aufgabenerfüllung der FINMA.
5    Der Bundesrat beruft Mitglieder des Verwaltungsrats ab und genehmigt die Auflösung des Arbeitsverhältnisses der Direktorin oder des Direktors durch den Verwaltungsrat, wenn die Voraussetzungen für die Ausübung des Amtes nicht mehr erfüllt sind.
FINMAG) und nicht die Bundesversammlung. Damit erweist sich die demokratische Legitimation der Datenverordnung-FINMA als schwächer als dies bei einer bundesrätlichen Verordnung zutrifft. Umso bestimmter hat die Verankerung im formellen Gesetz zu sein. Diese demokratische Funktion des Legalitätsprinzips findet nicht zuletzt ihren Niederschlag in Art. 17 Abs. 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 17 Ausnahmen - 1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
1    Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
a  Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.
b  Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:
b1  zwischen dem Verantwortlichen und der betroffenen Person; oder
b2  zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
c  Die Bekanntgabe ist notwendig für:
c1  die Wahrung eines überwiegenden öffentlichen Interesses; oder
c2  die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
d  Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
e  Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
f  Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
2    Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
DSG (SARAH BALLENEGGER, in: Basler Kommentar, Datenschutzgesetz, Öffentlichkeitsgesetz, 3. Aufl. 2014, N. 21 zu Art. 17
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 17 Ausnahmen - 1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
1    Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
a  Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.
b  Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:
b1  zwischen dem Verantwortlichen und der betroffenen Person; oder
b2  zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
c  Die Bekanntgabe ist notwendig für:
c1  die Wahrung eines überwiegenden öffentlichen Interesses; oder
c2  die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
d  Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
e  Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
f  Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
2    Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
DSG).
6.3 Selbst wenn die Delegationsnorm den Inhalt der zulässigen Grundrechtseingriffe nicht detailliert regeln muss, hat sich dieser doch aus dem Gesetz zu ergeben bzw. muss unmittelbar darauf zurückgeführt werden können. Soweit das formelle Gesetz somit keine inhaltlichen Konkretisierungen enthält, beschränkt sich die Delegation auf das im Rahmen der gesetzlichen Regelung zur Erreichung des gesetzlichen Zwecks Unabdingbare, d.h. minimal Notwendige. Im vorliegenden Zusammenhang muss die fragliche Datensammlung im Sinne von Art. 17 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 17 Ausnahmen - 1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
1    Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
a  Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.
b  Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:
b1  zwischen dem Verantwortlichen und der betroffenen Person; oder
b2  zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
c  Die Bekanntgabe ist notwendig für:
c1  die Wahrung eines überwiegenden öffentlichen Interesses; oder
c2  die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
d  Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
e  Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
f  Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
2    Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
DSG für eine im Gesetz im formellen Sinn klar umschriebene Aufgabe unentbehrlich sein (vgl. BGE 122 I 360 E. 5b/dd S. 365), d.h. dass die Aufgabenerfüllung ohne die fragliche Datensammlung unmöglich wäre (vgl. BALLENEGGER, a.a.O., N. 26 f. zu Art. 17
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 17 Ausnahmen - 1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
1    Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
a  Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.
b  Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:
b1  zwischen dem Verantwortlichen und der betroffenen Person; oder
b2  zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
c  Die Bekanntgabe ist notwendig für:
c1  die Wahrung eines überwiegenden öffentlichen Interesses; oder
c2  die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
d  Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
e  Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
f  Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
2    Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
DSG). Begrifflich entspricht dies nicht dem insofern etwas weiter gefassten Aspekt der Erforderlichkeit gemäss dem Verhältnismässigkeitsgrundsatz, sondern es handelt sich um eine strengere verfassungs- und gesetzesrechtliche Voraussetzung. Mit anderen Worten wird vom formellen Gesetz nur gedeckt, was sich unmittelbar darauf zurückführen lässt, wobei es allerdings nicht allein auf den Wortlaut ankommt, sondern sich der Zusammenhang auch aus dem Zweck und der Systematik des Gesetzes ergeben kann.
BGE 143 I 253 S. 266

6.4 Im vorliegenden Fall kommt einzig ein Bundesgesetz als mögliche formelle Grundlage in Frage (vgl. Art. 3 lit. j
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG; BALLENEGGER, a.a.O., N. 21 zu Art. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG). Fünf der sieben Finanzmarktgesetze des Bundes enthalten das Erfordernis, dass die mit der Verwaltung oder Geschäftsführung von Beaufsichtigten betrauten Personen Gewähr für eine einwandfreie Geschäftsführung bieten (vgl. etwa Art. 3 Abs. 2 lit. c
SR 952.0 Bundesgesetz vom 8. November 1934 über die Banken und Sparkassen (Bankengesetz, BankG) - Bankengesetz
BankG Art. 3 - 1 Die Bank bedarf zur Aufnahme der Geschäftstätigkeit einer Bewilligung der FINMA; sie darf nicht ins Handelsregister eingetragen werden, bevor diese Bewilligung erteilt ist.
1    Die Bank bedarf zur Aufnahme der Geschäftstätigkeit einer Bewilligung der FINMA; sie darf nicht ins Handelsregister eingetragen werden, bevor diese Bewilligung erteilt ist.
2    Die Bewilligung wird erteilt, wenn:
a  die Bank in ihren Statuten, Gesellschaftsverträgen und Reglementen den Geschäftskreis genau umschreibt und die ihrer Geschäftstätigkeit entsprechende Verwaltungsorganisation vorsieht; wo der Geschäftszweck oder der Geschäftsumfang es erfordert, sind besondere Organe für die Geschäftsführung einerseits und für die Oberleitung, Aufsicht und Kontrolle anderseits auszuscheiden und die Befugnisse zwischen diesen Organen so abzugrenzen, dass eine sachgemässe Überwachung der Geschäftsführung gewährleistet ist;
b  die Bank das vom Bundesrat festgelegte voll einbezahlte Mindestkapital ausweist;
c  die mit der Verwaltung und Geschäftsführung der Bank betrauten Personen einen guten Ruf geniessen und Gewähr für eine einwandfreie Geschäftstätigkeit bieten;
cbis  die natürlichen und juristischen Personen, welche direkt oder indirekt mit mindestens 10 Prozent des Kapitals oder der Stimmen an der Bank beteiligt sind oder deren Geschäftstätigkeit auf andere Weise massgebend beeinflussen können (qualifizierte Beteiligung), gewährleisten, dass sich ihr Einfluss nicht zum Schaden einer umsichtigen und soliden Geschäftstätigkeit auswirkt;
d  die mit der Geschäftsführung der Bank betrauten Personen an einem Ort Wohnsitz haben, wo sie die Geschäftsführung tatsächlich und verantwortlich ausüben können.
3    Die Bank hat der FINMA ihre Statuten, Gesellschaftsverträge und Reglemente einzureichen sowie alle späteren Änderungen daran anzuzeigen, soweit diese den Geschäftszweck, den Geschäftsbereich, das Grundkapital oder die innere Organisation betreffen. Solche Änderungen dürfen nicht ins Handelsregister eingetragen werden, bevor die FINMA sie genehmigt hat.
4    ...28
5    Jede natürliche oder juristische Person hat der FINMA Meldung zu erstatten, bevor sie direkt oder indirekt eine qualifizierte Beteiligung nach Absatz 2 Buchstabe cbis an einer nach schweizerischem Recht organisierten Bank erwirbt oder veräussert. Diese Meldepflicht besteht auch, wenn eine qualifizierte Beteiligung in solcher Weise vergrössert oder verkleinert wird, dass die Schwellen von 20, 33 oder 50 Prozent des Kapitals oder der Stimmen erreicht oder über- beziehungsweise unterschritten werden.29
6    Die Bank meldet die Personen, welche die Voraussetzungen nach Absatz 5 erfüllen, sobald sie davon Kenntnis erhält, mindestens jedoch einmal jährlich.30
7    Nach schweizerischem Recht organisierte Banken erstatten der FINMA Meldung, bevor sie im Ausland eine Tochtergesellschaft, eine Zweigniederlassung, eine Agentur oder eine Vertretung errichten.31
BankG [SR 952.0]; Art. 10 Abs. 2 lit. d
SR 954.1 Bundesgesetz vom 15. Juni 2018 über die Finanzinstitute (Finanzinstitutsgesetz, FINIG) - Börsengesetz
FINIG Art. 10 Ort der Leitung - 1 Das Finanzinstitut muss tatsächlich von der Schweiz aus geleitet werden. Ausgenommen sind allgemeine Weisungen und Entscheide im Rahmen der Konzernüberwachung, sofern das Finanzinstitut Teil einer Finanzgruppe bildet, welche einer angemessenen konsolidierten Aufsicht durch ausländische Aufsichtsbehörden untersteht.
1    Das Finanzinstitut muss tatsächlich von der Schweiz aus geleitet werden. Ausgenommen sind allgemeine Weisungen und Entscheide im Rahmen der Konzernüberwachung, sofern das Finanzinstitut Teil einer Finanzgruppe bildet, welche einer angemessenen konsolidierten Aufsicht durch ausländische Aufsichtsbehörden untersteht.
2    Die mit der Geschäftsführung des Finanzinstituts betrauten Personen müssen an einem Ort Wohnsitz haben, von dem aus sie die Geschäftsführung tatsächlich ausüben können.
BEHG [SR 954.1]). Diesem Zweck dient die Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" (vgl. Art. 1
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 1 Gegenstand - Diese Verordnung regelt die Einzelheiten der Bearbeitung von Personendaten durch die FINMA im Rahmen der Aufsicht nach dem FINMAG und den Finanzmarktgesetzen nach Artikel 1 Absatz 1 FINMAG.
Datenverordnung-FINMA; ZULAUF UND ANDERE, a.a.O., S. 80 f.), die, wie bereits aus ihrer Bezeichnung hervorgeht, eine Datensammlung im Sinne von Art. 3 lit. g
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG bildet (dazu BLECHTA, a.a.O., N. 78 ff. zu Art. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG).
6.5 Nach Art. 23
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
FINMAG bearbeitet die FINMA im Rahmen der Aufsicht nach dem Finanzmarktaufsichtsgesetz und den übrigen Finanzmarktgesetzen Personendaten und insbesondere Persönlichkeitsprofile. Sie regelt dazu die Einzelheiten (Abs. 1) und führt ein Verzeichnis der Beaufsichtigten (Abs. 2).
6.5.1 Im vorliegenden Zusammenhang geht es nicht um die Beaufsichtigten, bei denen es sich um die unmittelbar im Finanzmarkt Tätigen wie die Banken und die sonstigen Finanzintermediäre handelt, sondern um eine natürliche Person, die für eine solchermassen zu Beaufsichtigende arbeitete. Art. 23 Abs. 2
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
FINMAG entfällt daher von vornherein als einschlägige formellgesetzliche Grundlage für die Watchlist. Davon ging offenbar auch der Verwaltungsrat der FINMA als Verordnungsgeber aus, stützte er die Verordnung doch allein auf Art. 23 Abs. 1
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
FINMAG, wie aus dem Ingress der Verordnung hervorgeht.
6.5.2 Art. 23 Abs. 1
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
FINMAG erlaubt der FINMA das Bearbeiten von Persönlichkeitsprofilen und erteilt ihr die Kompetenz, dazu die Einzelheiten zu regeln. Der Begriff des Bearbeitens von Daten entspricht dabei Art. 3 lit. e
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG und schliesst das Aufbewahren derselben mit ein (vgl. HANS-PETER SCHAAD, in: Basler Kommentar, Börsengesetz, Finanzmarktaufsichtsgesetz, 2. Aufl. 2011, N. 20 zu Art. 23
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
FINMAG). Der Begriff des Persönlichkeitsprofils wiederum stimmt mit demjenigen von Art. 3 lit. d
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG überein (SCHAAD, a.a.O., N. 11 zu Art. 23
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
FINMAG). Da es sich bei der Watchlist um ein Persönlichkeitsprofil handelt, ist damit das Sammeln und Aufbewahren entsprechender Daten im Gesetz grundsätzlich vorgesehen. Die
BGE 143 I 253 S. 267

Watchlist wird zwar weder im Gesetz selbst noch in der bundesrätlichen Botschaft vom 1. Februar 2006 zum FINMAG unmittelbar genannt oder umschrieben (vgl. BBl 2006 2875 zu Art. 23 Abs. 1
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
). Nach Art. 5
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 5 Rechtsform, Sitz und Name - 1 Die Behörde, die den Finanzmarkt beaufsichtigt, ist eine öffentlich-rechtliche Anstalt mit eigener Rechtspersönlichkeit und Sitz in Bern.
1    Die Behörde, die den Finanzmarkt beaufsichtigt, ist eine öffentlich-rechtliche Anstalt mit eigener Rechtspersönlichkeit und Sitz in Bern.
2    Sie trägt den Namen «Eidgenössische Finanzmarktaufsicht (FINMA)».
3    Sie organisiert sich selbst nach den Grundsätzen einer guten Corporate Governance und wirtschaftlicher Betriebsführung. Sie führt eine eigene Rechnung.
FINMAG bezweckt das Finanzmarktaufsichtsgesetz aber den Schutz der Gläubigerinnen und Gläubiger, der Anlegerinnen und Anleger und der Versicherten sowie den Schutz der Funktionsfähigkeit der Finanzmärkte. Die als Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" bezeichnete Watchlist hat zum Ziel, sicherzustellen, dass die mit der Verwaltung oder Geschäftsführung von Beaufsichtigten betrauten Personen Gewähr für eine einwandfreie Geschäftsführung bieten (vgl. Art. 1
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 1 Gegenstand - Diese Verordnung regelt die Einzelheiten der Bearbeitung von Personendaten durch die FINMA im Rahmen der Aufsicht nach dem FINMAG und den Finanzmarktgesetzen nach Artikel 1 Absatz 1 FINMAG.
Datenverordnung-FINMA), was wiederum dem Zweck verschiedener Finanzmarktgesetze entspricht, wie er darin teilweise sogar ausdrücklich genannt wird (vgl. etwa Art. 3 Abs. 2 lit. c
SR 952.0 Bundesgesetz vom 8. November 1934 über die Banken und Sparkassen (Bankengesetz, BankG) - Bankengesetz
BankG Art. 3 - 1 Die Bank bedarf zur Aufnahme der Geschäftstätigkeit einer Bewilligung der FINMA; sie darf nicht ins Handelsregister eingetragen werden, bevor diese Bewilligung erteilt ist.
1    Die Bank bedarf zur Aufnahme der Geschäftstätigkeit einer Bewilligung der FINMA; sie darf nicht ins Handelsregister eingetragen werden, bevor diese Bewilligung erteilt ist.
2    Die Bewilligung wird erteilt, wenn:
a  die Bank in ihren Statuten, Gesellschaftsverträgen und Reglementen den Geschäftskreis genau umschreibt und die ihrer Geschäftstätigkeit entsprechende Verwaltungsorganisation vorsieht; wo der Geschäftszweck oder der Geschäftsumfang es erfordert, sind besondere Organe für die Geschäftsführung einerseits und für die Oberleitung, Aufsicht und Kontrolle anderseits auszuscheiden und die Befugnisse zwischen diesen Organen so abzugrenzen, dass eine sachgemässe Überwachung der Geschäftsführung gewährleistet ist;
b  die Bank das vom Bundesrat festgelegte voll einbezahlte Mindestkapital ausweist;
c  die mit der Verwaltung und Geschäftsführung der Bank betrauten Personen einen guten Ruf geniessen und Gewähr für eine einwandfreie Geschäftstätigkeit bieten;
cbis  die natürlichen und juristischen Personen, welche direkt oder indirekt mit mindestens 10 Prozent des Kapitals oder der Stimmen an der Bank beteiligt sind oder deren Geschäftstätigkeit auf andere Weise massgebend beeinflussen können (qualifizierte Beteiligung), gewährleisten, dass sich ihr Einfluss nicht zum Schaden einer umsichtigen und soliden Geschäftstätigkeit auswirkt;
d  die mit der Geschäftsführung der Bank betrauten Personen an einem Ort Wohnsitz haben, wo sie die Geschäftsführung tatsächlich und verantwortlich ausüben können.
3    Die Bank hat der FINMA ihre Statuten, Gesellschaftsverträge und Reglemente einzureichen sowie alle späteren Änderungen daran anzuzeigen, soweit diese den Geschäftszweck, den Geschäftsbereich, das Grundkapital oder die innere Organisation betreffen. Solche Änderungen dürfen nicht ins Handelsregister eingetragen werden, bevor die FINMA sie genehmigt hat.
4    ...28
5    Jede natürliche oder juristische Person hat der FINMA Meldung zu erstatten, bevor sie direkt oder indirekt eine qualifizierte Beteiligung nach Absatz 2 Buchstabe cbis an einer nach schweizerischem Recht organisierten Bank erwirbt oder veräussert. Diese Meldepflicht besteht auch, wenn eine qualifizierte Beteiligung in solcher Weise vergrössert oder verkleinert wird, dass die Schwellen von 20, 33 oder 50 Prozent des Kapitals oder der Stimmen erreicht oder über- beziehungsweise unterschritten werden.29
6    Die Bank meldet die Personen, welche die Voraussetzungen nach Absatz 5 erfüllen, sobald sie davon Kenntnis erhält, mindestens jedoch einmal jährlich.30
7    Nach schweizerischem Recht organisierte Banken erstatten der FINMA Meldung, bevor sie im Ausland eine Tochtergesellschaft, eine Zweigniederlassung, eine Agentur oder eine Vertretung errichten.31
BankG; Art. 10 Abs. 2 lit. d
SR 954.1 Bundesgesetz vom 15. Juni 2018 über die Finanzinstitute (Finanzinstitutsgesetz, FINIG) - Börsengesetz
FINIG Art. 10 Ort der Leitung - 1 Das Finanzinstitut muss tatsächlich von der Schweiz aus geleitet werden. Ausgenommen sind allgemeine Weisungen und Entscheide im Rahmen der Konzernüberwachung, sofern das Finanzinstitut Teil einer Finanzgruppe bildet, welche einer angemessenen konsolidierten Aufsicht durch ausländische Aufsichtsbehörden untersteht.
1    Das Finanzinstitut muss tatsächlich von der Schweiz aus geleitet werden. Ausgenommen sind allgemeine Weisungen und Entscheide im Rahmen der Konzernüberwachung, sofern das Finanzinstitut Teil einer Finanzgruppe bildet, welche einer angemessenen konsolidierten Aufsicht durch ausländische Aufsichtsbehörden untersteht.
2    Die mit der Geschäftsführung des Finanzinstituts betrauten Personen müssen an einem Ort Wohnsitz haben, von dem aus sie die Geschäftsführung tatsächlich ausüben können.
BEHG). Wie das Bundesgericht bereits in BGE 141 I 201 E. 4.5.1 S. 207 festgehalten hat, unterstehen der Aufsichtspflicht der FINMA auch alle Personen, die nicht selber direkt der Aufsicht unterstellt sind bzw. in einem Aufsichtsverfahren Parteistellung haben, aber im Finanzmarkt tätig sind, und auch zu deren Personendaten gilt die Pflicht zur Erteilung der erforderlichen Auskünfte und zur Herausgabe einschlägiger Unterlagen. Die Ereignisse auf den Finanzmärkten im ersten Jahrzehnt des 21. Jahrhunderts haben im Übrigen gezeigt, dass eine strikte Kontrolle des Geschäftsgebarens im Finanzmarkt notwendig ist. Die Watchlist ist damit in ausreichendem Mass in Art. 23 Abs. 1
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
FINMAG angelegt und lässt sich, auch wenn sie darin nicht ausdrücklich genannt wird, auf ein formelles Bundesgesetz zurückführen.

6.5.3 Aus der Zuständigkeitsregel von Art. 23 Abs. 1
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
FINMAG lässt sich jedoch nicht eine einzig auf Verdachtsmomenten beruhende Vorratshaltung von Daten herleiten. Vom formellen Gesetz gedeckt sind lediglich erhärtete Angaben zur Person in Verbindung mit zuverlässigen Daten zur Geschäftstätigkeit. Dazu zählen solche aus mit Parteirechten verbundenen Verfahren, namentlich Straf- und Administrativ- sowie Aufsichts- und Disziplinarverfahren, oder aus weiteren zuverlässigen Quellen (vgl. ZULAUF UND ANDERE, a.a.O., S. 80) wie Registereinträgen oder Ergebnissen aus korrekt durchgeführten internen oder externen Audits und Personalbeurteilungen. Nicht gesetzeskonform und damit unzulässig sind andere Daten wie von Beteiligten oder Behörden ausgesprochene Vermutungen und
BGE 143 I 253 S. 268

Anschuldigungen oder unbelegte Verdächtigungen sowie sonstige, nicht in einem kontradiktorischen oder sonst wie glaubwürdigen Verfahren erhobene und geprüfte Äusserungen mündlicher oder schriftlicher Art.
7.

7.1 Zu prüfen bleibt, ob sich die Verordnung und die gestützt darauf im vorliegenden Verfahren gesammelten Daten an diese Vorgaben halten.
7.2 Wie bereits dargelegt, bezweckt die Watchlist das Sammeln von Daten über Personen, deren Gewähr für eine einwandfreie Geschäftstätigkeit nach den Finanzmarktgesetzen und dem FINMAG zweifelhaft oder nicht gegeben ist (Art. 1
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 1 Gegenstand - Diese Verordnung regelt die Einzelheiten der Bearbeitung von Personendaten durch die FINMA im Rahmen der Aufsicht nach dem FINMAG und den Finanzmarktgesetzen nach Artikel 1 Absatz 1 FINMAG.
Datenverordnung-FINMA).
7.2.1 Die Datenverordnung-FINMA enthält verschiedene Bestimmungen zum Gegenstand, zu den Zuständigkeiten, zur Datenbeschaffung und -sicherheit, zur Aufbewahrungsdauer sowie zu den Rechten der betroffenen Personen. Art. 3 der Verordnung zählt unter der Marginalie "Inhalt der Datensammlung" die Daten auf, die darin aufgenommen werden; es handelt sich um Name und Vorname (lit. a), Geburtsdatum (lit. b), Geschlecht (lit. c), Heimatort (lit. d), Nationalität bei ausländischen Staatsangehörigen (lit. e), Adresse (lit. f), Muttersprache (lit. g), Ausbildung (lit. h), Beruf (lit. i), Arbeitsort (lit. j), Qualifikationen (lit. k), Vermögensverhältnisse (lit. l), Versicherungen (lit. m), Auszüge aus dem Handels-, dem Betreibungs- und dem Konkursregister (lit. n), Urteile von Straf-, Zivil- und Verwaltungsgerichten (lit. o), arbeitsrechtliche und administrative Massnahmen (lit. p) sowie Berichte von Prüfgesellschaften und Beauftragten der FINMA (lit. q).
7.2.2 Die Aufzählung in Art. 3
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 3 Zuständigkeit - Jede Organisationseinheit der FINMA ist für ihre Daten zuständig.
Datenverordnung-FINMA ist ausführlich, detailliert und nicht mit einer begrifflichen Beschränkung wie "namentlich" oder "insbesondere" versehen, welche die Liste als lediglich beispielhaft umschreiben würde. Die Daten gemäss lit. a bis lit. j enthalten persönliche Angaben, die insbesondere die Identifikation der erfassten Person erlauben und deren Berufstätigkeit beschreiben. Die übrigen Angaben von lit. k bis lit. q geben Auskunft darüber, ob die fragliche Person Gewähr für eine einwandfreie Geschäftstätigkeit bietet. Es handelt sich um Daten, die aus rechtlich abgestützten Verfahren stammen oder auf sonst wie glaubwürdigen bzw. zuverlässigen Quellen beruhen. Die in der Liste von
BGE 143 I 253 S. 269

Art. 3
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 3 Zuständigkeit - Jede Organisationseinheit der FINMA ist für ihre Daten zuständig.
Datenverordnung-FINMA vorgesehenen, für das Erstellen eines Persönlichkeitsprofils zu sammelnden Daten entsprechen mithin den Anforderungen an die notwendige Qualität. Für ein massgebliches Persönlichkeitsprofil müssen einerseits genügend persönliche Angaben gemäss lit. a bis lit. j vorliegen, die eine eindeutige Identifikation der fraglichen Person ermöglichen, und diese persönlichen Angaben müssen mit so vielen Daten nach lit. k bis lit. q verbunden sein, dass sie auch Rückschlüsse auf die Frage des einwandfreien Geschäftsverhaltens erlauben. Das eine macht ohne das andere keinen Sinn. Die in Art. 3
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 3 Zuständigkeit - Jede Organisationseinheit der FINMA ist für ihre Daten zuständig.
Datenverordnung-FINMA enthaltene Aufzählung ist abschliessend, was sich aus dem Wortlaut und dem Detaillierungsgrad der Bestimmung ergibt.
7.3 Im vorliegenden Fall sammelte die FINMA, wie sie im Verlauf des Verfahrens selbst erläuterte, nebst den Angaben zur Person des Beschwerdeführers einzig Unterlagen mit Verdachtselementen. Ein Grossteil der Unterlagen stammt aus dem Verwaltungsverfahren gegen die frühere Arbeitgeberin des Beschwerdeführers, in dem dieser nicht als Partei konstituiert war und woraus sich keine belegten Rückschlüsse auf sein eigenes Geschäftsverhalten ableiten lassen. Bei etlichen Unterlagen handelt es sich lediglich um E-Mails, in denen sein Name vorkommt. Weder stammen diese Daten aus einem rechtlichen Verfahren, in dem der Beschwerdeführer Parteistellung innehatte, noch beruhen sie sonst wie auf zuverlässigen Quellen, womit sie nicht als erhärtet bzw. glaubwürdig gelten können. Abgesehen von den Angaben zur Person finden sich mithin im Persönlichkeitsprofil des Beschwerdeführers keine zulässigen Daten. Die persönlichen Angaben für sich allein rechtfertigen das Anlegen eines Persönlichkeitsprofils in der Watchlist nicht. Die von der FINMA darin angelegte Datensammlung über den Beschwerdeführer entspricht damit nicht Art. 3
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 3 Zuständigkeit - Jede Organisationseinheit der FINMA ist für ihre Daten zuständig.
Datenverordnung-FINMA und findet daher darin keine rechtmässige Grundlage, weshalb sie sich als bundesrechtswidrig erweist.
7.4 Der angefochtene Entscheid verletzt Art. 13 Abs. 2
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 13 Schutz der Privatsphäre - 1 Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
1    Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
2    Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.
BV in Verbindung mit Art. 36 Abs. 1
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 36 Einschränkungen von Grundrechten - 1 Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
1    Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
2    Einschränkungen von Grundrechten müssen durch ein öffentliches Interesse oder durch den Schutz von Grundrechten Dritter gerechtfertigt sein.
3    Einschränkungen von Grundrechten müssen verhältnismässig sein.
4    Der Kerngehalt der Grundrechte ist unantastbar.
BV, Art. 17
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 17 Ausnahmen - 1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
1    Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
a  Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.
b  Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:
b1  zwischen dem Verantwortlichen und der betroffenen Person; oder
b2  zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
c  Die Bekanntgabe ist notwendig für:
c1  die Wahrung eines überwiegenden öffentlichen Interesses; oder
c2  die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
d  Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
e  Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
f  Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
2    Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
DSG sowie Art. 23 Abs. 1
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
FINMAG in Verbindung mit Art. 3
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 3 Zuständigkeit - Jede Organisationseinheit der FINMA ist für ihre Daten zuständig.
Datenverordnung-FINMA und ist aufzuheben. Auf die übrigen Rügen des Beschwerdeführers muss nicht mehr eingegangen werden. Zur Wiederherstellung einer verfassungs- und gesetzeskonformen Situation genügt die Aufhebung des Entscheids des Bundesverwaltungsgerichts jedoch nicht, sondern
BGE 143 I 253 S. 270

darüber hinaus ist die FINMA anzuweisen, die Daten über den Beschwerdeführer in der Watchlist zu löschen. Weitere Anordnungen sowie die Rückweisung an die Vorinstanz zu neuem Entscheid, wie sie der Beschwerdeführer ergänzend bzw. eventuell beantragt, sind nicht erforderlich. (...)
Entscheidinformationen   •   DEFRITEN
Dokument : 143 I 253
Datum : 22. März 2017
Publiziert : 13. Oktober 2017
Quelle : Bundesgericht
Status : 143 I 253
Sachgebiet : BGE - Verfassungsrecht
Gegenstand : Art. 13 Abs. 2 und Art. 36 Abs. 1 BV, Art. 17 Abs. 2 DSG, Art. 23 FINMAG, Datenverordnung-FINMA; Gesetzmässigkeit der von


Gesetzesregister
BV: 5 
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 5 Grundsätze rechtsstaatlichen Handelns - 1 Grundlage und Schranke staatlichen Handelns ist das Recht.
1    Grundlage und Schranke staatlichen Handelns ist das Recht.
2    Staatliches Handeln muss im öffentlichen Interesse liegen und verhältnismässig sein.
3    Staatliche Organe und Private handeln nach Treu und Glauben.
4    Bund und Kantone beachten das Völkerrecht.
13 
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 13 Schutz der Privatsphäre - 1 Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
1    Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
2    Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.
27 
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 27 Wirtschaftsfreiheit - 1 Die Wirtschaftsfreiheit ist gewährleistet.
1    Die Wirtschaftsfreiheit ist gewährleistet.
2    Sie umfasst insbesondere die freie Wahl des Berufes sowie den freien Zugang zu einer privatwirtschaftlichen Erwerbstätigkeit und deren freie Ausübung.
36 
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 36 Einschränkungen von Grundrechten - 1 Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
1    Einschränkungen von Grundrechten bedürfen einer gesetzlichen Grundlage. Schwerwiegende Einschränkungen müssen im Gesetz selbst vorgesehen sein. Ausgenommen sind Fälle ernster, unmittelbarer und nicht anders abwendbarer Gefahr.
2    Einschränkungen von Grundrechten müssen durch ein öffentliches Interesse oder durch den Schutz von Grundrechten Dritter gerechtfertigt sein.
3    Einschränkungen von Grundrechten müssen verhältnismässig sein.
4    Der Kerngehalt der Grundrechte ist unantastbar.
157 
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 157 Gemeinsame Verhandlung - 1 Nationalrat und Ständerat verhandeln gemeinsam als Vereinigte Bundesversammlung unter dem Vorsitz der Nationalratspräsidentin oder des Nationalratspräsidenten, um:
1    Nationalrat und Ständerat verhandeln gemeinsam als Vereinigte Bundesversammlung unter dem Vorsitz der Nationalratspräsidentin oder des Nationalratspräsidenten, um:
a  Wahlen vorzunehmen;
b  Zuständigkeitskonflikte zwischen den obersten Bundesbehörden zu entscheiden;
c  Begnadigungen auszusprechen.
2    Die Vereinigte Bundesversammlung versammelt sich ausserdem bei besonderen Anlässen und zur Entgegennahme von Erklärungen des Bundesrates.
164 
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 164 Gesetzgebung - 1 Alle wichtigen rechtsetzenden Bestimmungen sind in der Form des Bundesgesetzes zu erlassen. Dazu gehören insbesondere die grundlegenden Bestimmungen über:
1    Alle wichtigen rechtsetzenden Bestimmungen sind in der Form des Bundesgesetzes zu erlassen. Dazu gehören insbesondere die grundlegenden Bestimmungen über:
a  die Ausübung der politischen Rechte;
b  die Einschränkungen verfassungsmässiger Rechte;
c  die Rechte und Pflichten von Personen;
d  den Kreis der Abgabepflichtigen sowie den Gegenstand und die Bemessung von Abgaben;
e  die Aufgaben und die Leistungen des Bundes;
f  die Verpflichtungen der Kantone bei der Umsetzung und beim Vollzug des Bundesrechts;
g  die Organisation und das Verfahren der Bundesbehörden.
2    Rechtsetzungsbefugnisse können durch Bundesgesetz übertragen werden, soweit dies nicht durch die Bundesverfassung ausgeschlossen wird.
175 
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 175 Zusammensetzung und Wahl - 1 Der Bundesrat besteht aus sieben Mitgliedern.
1    Der Bundesrat besteht aus sieben Mitgliedern.
2    Die Mitglieder des Bundesrates werden von der Bundesversammlung nach jeder Gesamterneuerung des Nationalrates gewählt.
3    Sie werden aus allen Schweizerbürgerinnen und Schweizerbürgern, welche als Mitglieder des Nationalrates wählbar sind, auf die Dauer von vier Jahren gewählt.133
4    Dabei ist darauf Rücksicht zu nehmen, dass die Landesgegenden und Sprachregionen angemessen vertreten sind.134
182
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 182 Rechtsetzung und Vollzug - 1 Der Bundesrat erlässt rechtsetzende Bestimmungen in der Form der Verordnung, soweit er durch Verfassung oder Gesetz dazu ermächtigt ist.
1    Der Bundesrat erlässt rechtsetzende Bestimmungen in der Form der Verordnung, soweit er durch Verfassung oder Gesetz dazu ermächtigt ist.
2    Er sorgt für den Vollzug der Gesetzgebung, der Beschlüsse der Bundesversammlung und der Urteile richterlicher Behörden des Bundes.
BankenG: 3
SR 952.0 Bundesgesetz vom 8. November 1934 über die Banken und Sparkassen (Bankengesetz, BankG) - Bankengesetz
BankG Art. 3 - 1 Die Bank bedarf zur Aufnahme der Geschäftstätigkeit einer Bewilligung der FINMA; sie darf nicht ins Handelsregister eingetragen werden, bevor diese Bewilligung erteilt ist.
1    Die Bank bedarf zur Aufnahme der Geschäftstätigkeit einer Bewilligung der FINMA; sie darf nicht ins Handelsregister eingetragen werden, bevor diese Bewilligung erteilt ist.
2    Die Bewilligung wird erteilt, wenn:
a  die Bank in ihren Statuten, Gesellschaftsverträgen und Reglementen den Geschäftskreis genau umschreibt und die ihrer Geschäftstätigkeit entsprechende Verwaltungsorganisation vorsieht; wo der Geschäftszweck oder der Geschäftsumfang es erfordert, sind besondere Organe für die Geschäftsführung einerseits und für die Oberleitung, Aufsicht und Kontrolle anderseits auszuscheiden und die Befugnisse zwischen diesen Organen so abzugrenzen, dass eine sachgemässe Überwachung der Geschäftsführung gewährleistet ist;
b  die Bank das vom Bundesrat festgelegte voll einbezahlte Mindestkapital ausweist;
c  die mit der Verwaltung und Geschäftsführung der Bank betrauten Personen einen guten Ruf geniessen und Gewähr für eine einwandfreie Geschäftstätigkeit bieten;
cbis  die natürlichen und juristischen Personen, welche direkt oder indirekt mit mindestens 10 Prozent des Kapitals oder der Stimmen an der Bank beteiligt sind oder deren Geschäftstätigkeit auf andere Weise massgebend beeinflussen können (qualifizierte Beteiligung), gewährleisten, dass sich ihr Einfluss nicht zum Schaden einer umsichtigen und soliden Geschäftstätigkeit auswirkt;
d  die mit der Geschäftsführung der Bank betrauten Personen an einem Ort Wohnsitz haben, wo sie die Geschäftsführung tatsächlich und verantwortlich ausüben können.
3    Die Bank hat der FINMA ihre Statuten, Gesellschaftsverträge und Reglemente einzureichen sowie alle späteren Änderungen daran anzuzeigen, soweit diese den Geschäftszweck, den Geschäftsbereich, das Grundkapital oder die innere Organisation betreffen. Solche Änderungen dürfen nicht ins Handelsregister eingetragen werden, bevor die FINMA sie genehmigt hat.
4    ...28
5    Jede natürliche oder juristische Person hat der FINMA Meldung zu erstatten, bevor sie direkt oder indirekt eine qualifizierte Beteiligung nach Absatz 2 Buchstabe cbis an einer nach schweizerischem Recht organisierten Bank erwirbt oder veräussert. Diese Meldepflicht besteht auch, wenn eine qualifizierte Beteiligung in solcher Weise vergrössert oder verkleinert wird, dass die Schwellen von 20, 33 oder 50 Prozent des Kapitals oder der Stimmen erreicht oder über- beziehungsweise unterschritten werden.29
6    Die Bank meldet die Personen, welche die Voraussetzungen nach Absatz 5 erfüllen, sobald sie davon Kenntnis erhält, mindestens jedoch einmal jährlich.30
7    Nach schweizerischem Recht organisierte Banken erstatten der FINMA Meldung, bevor sie im Ausland eine Tochtergesellschaft, eine Zweigniederlassung, eine Agentur oder eine Vertretung errichten.31
DSG: 2 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
3 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
11a  17 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 17 Ausnahmen - 1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
1    Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
a  Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.
b  Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:
b1  zwischen dem Verantwortlichen und der betroffenen Person; oder
b2  zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
c  Die Bekanntgabe ist notwendig für:
c1  die Wahrung eines überwiegenden öffentlichen Interesses; oder
c2  die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
d  Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
e  Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
f  Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
2    Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
25
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 25 Auskunftsrecht - 1 Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
1    Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
2    Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. In jedem Fall werden ihr folgende Informationen mitgeteilt:
a  die Identität und die Kontaktdaten des Verantwortlichen;
b  die bearbeiteten Personendaten als solche;
c  der Bearbeitungszweck;
d  die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
e  die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
f  gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
g  gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.
3    Personendaten über die Gesundheit können der betroffenen Person mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden.
4    Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig.
5    Niemand kann im Voraus auf das Auskunftsrecht verzichten.
6    Der Verantwortliche muss kostenlos Auskunft erteilen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.
7    Die Auskunft wird in der Regel innerhalb von 30 Tagen erteilt.
DSV: 3
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 3 Technische und organisatorische Massnahmen - 1 Um die Vertraulichkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
1    Um die Vertraulichkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a  berechtigte Personen nur auf diejenigen Personendaten Zugriff haben, die sie zur Erfüllung ihrer Aufgaben benötigen (Zugriffskontrolle);
b  nur berechtigte Personen Zugang zu den Räumlichkeiten und Anlagen haben, in denen Personendaten bearbeitet werden (Zugangskontrolle);
c  unbefugte Personen automatisierte Datenbearbeitungssysteme nicht mittels Einrichtungen zur Datenübertragung benutzen können (Benutzerkontrolle).
2    Um die Verfügbarkeit und Integrität zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a  unbefugte Personen Datenträger nicht lesen, kopieren, verändern, verschieben, löschen oder vernichten können (Datenträgerkontrolle);
b  unbefugte Personen Personendaten im Speicher nicht speichern, lesen, ändern, löschen oder vernichten können (Speicherkontrolle);
c  unbefugte Personen bei der Bekanntgabe von Personendaten oder beim Transport von Datenträgern Personendaten nicht lesen, kopieren, verändern, löschen oder vernichten können (Transportkontrolle);
d  die Verfügbarkeit der Personendaten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können (Wiederherstellung);
e  alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität);
f  Betriebssysteme und Anwendungssoftware stets auf dem neusten Sicherheitsstand gehalten und bekannte kritische Lücken geschlossen werden (Systemsicherheit).
3    Um die Nachvollziehbarkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a  überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person im automatisierten Datenbearbeitungssystem eingegeben oder verändert werden (Eingabekontrolle);
b  überprüft werden kann, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben werden (Bekanntgabekontrolle);
c  Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden können (Beseitigung).
Datenverordnung-FINMA: 1 
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 1 Gegenstand - Diese Verordnung regelt die Einzelheiten der Bearbeitung von Personendaten durch die FINMA im Rahmen der Aufsicht nach dem FINMAG und den Finanzmarktgesetzen nach Artikel 1 Absatz 1 FINMAG.
3 
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 3 Zuständigkeit - Jede Organisationseinheit der FINMA ist für ihre Daten zuständig.
6 
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 6 Beschaffung von Personendaten - 1 Die FINMA kann Personendaten beschaffen bei:
1    Die FINMA kann Personendaten beschaffen bei:
a  Beaufsichtigten;
b  Arbeitgebern;
c  der betroffenen Person;
d  Gesuchstellern;
e  in- und ausländischen Behörden;
f  Verfahrensparteien;
g  Prüfgesellschaften und Beauftragten der FINMA;
h  weiteren auskunfts- und meldepflichtigen Personen.
2    Sie kann Personendaten zudem aus weiteren nicht öffentlich zugänglichen und aus öffentlich zugänglichen Quellen beschaffen.
3    Soweit es zur Erreichung des Bearbeitungszwecks unerlässlich ist, kann die FINMA Personendaten beschaffen, ohne ihre Identität offenzulegen.
7 
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 7 Form der Bekanntgabe von Personendaten - Die Bekanntgabe von Personendaten, einschliesslich besonders schützenswerter Personendaten, erfolgt in Papierform oder in elektronischer Form.
8 
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 8 Aufbewahrung und Vernichtung der Personendaten - Personendaten werden bei der FINMA aufbewahrt, solange sie für die Aufsicht geeignet und erforderlich sind. Danach werden die Daten dem Bundesarchiv zur Archivierung angeboten und bei der FINMA vernichtet.
9
SR 956.124 Verordnung der FINMA vom 4. Mai 2023 über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA) - Datenverordnung-FINMA
Art. 9 Zweck - Die FINMA führt eine Datenbank, um die Beurteilung der Gewähr für eine einwandfreie Geschäftstätigkeit nach den Finanzmarktgesetzen sicherzustellen. Zu diesem Zweck nimmt sie diejenigen Daten in die Datenbank auf, die für den Fall einer künftigen Beurteilung der Gewähr für eine einwandfreie Geschäftstätigkeit erforderlich sind.
FINIG: 10 
SR 954.1 Bundesgesetz vom 15. Juni 2018 über die Finanzinstitute (Finanzinstitutsgesetz, FINIG) - Börsengesetz
FINIG Art. 10 Ort der Leitung - 1 Das Finanzinstitut muss tatsächlich von der Schweiz aus geleitet werden. Ausgenommen sind allgemeine Weisungen und Entscheide im Rahmen der Konzernüberwachung, sofern das Finanzinstitut Teil einer Finanzgruppe bildet, welche einer angemessenen konsolidierten Aufsicht durch ausländische Aufsichtsbehörden untersteht.
1    Das Finanzinstitut muss tatsächlich von der Schweiz aus geleitet werden. Ausgenommen sind allgemeine Weisungen und Entscheide im Rahmen der Konzernüberwachung, sofern das Finanzinstitut Teil einer Finanzgruppe bildet, welche einer angemessenen konsolidierten Aufsicht durch ausländische Aufsichtsbehörden untersteht.
2    Die mit der Geschäftsführung des Finanzinstituts betrauten Personen müssen an einem Ort Wohnsitz haben, von dem aus sie die Geschäftsführung tatsächlich ausüben können.
35a
FINMAG: 5 
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 5 Rechtsform, Sitz und Name - 1 Die Behörde, die den Finanzmarkt beaufsichtigt, ist eine öffentlich-rechtliche Anstalt mit eigener Rechtspersönlichkeit und Sitz in Bern.
1    Die Behörde, die den Finanzmarkt beaufsichtigt, ist eine öffentlich-rechtliche Anstalt mit eigener Rechtspersönlichkeit und Sitz in Bern.
2    Sie trägt den Namen «Eidgenössische Finanzmarktaufsicht (FINMA)».
3    Sie organisiert sich selbst nach den Grundsätzen einer guten Corporate Governance und wirtschaftlicher Betriebsführung. Sie führt eine eigene Rechnung.
9 
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 9 Verwaltungsrat - 1 Der Verwaltungsrat ist das strategische Organ der FINMA. Er hat folgende Aufgaben:
1    Der Verwaltungsrat ist das strategische Organ der FINMA. Er hat folgende Aufgaben:
a  Er legt die strategischen Ziele der FINMA fest und unterbreitet sie dem Bundesrat zur Genehmigung.
b  Er entscheidet über Geschäfte von grosser Tragweite.
c  Er erlässt die der FINMA delegierten Verordnungen und beschliesst die Rundschreiben.
d  Er überwacht die Geschäftsleitung.
e  Er setzt eine interne Revision ein und sorgt für die interne Kontrolle.
f  Er erstellt den Geschäftsbericht und unterbreitet ihn vor der Veröffentlichung dem Bundesrat zur Genehmigung.
g  Er wählt die Direktorin oder den Direktor unter Vorbehalt der Genehmigung durch den Bundesrat.
h  Er wählt die Mitglieder der Geschäftsleitung.
i  Er erlässt das Organisationsreglement und die Richtlinien über die Informationstätigkeit.
j  Er genehmigt den Voranschlag.
2    Er besteht aus sieben bis neun fachkundigen Mitgliedern, die von den Beaufsichtigten unabhängig sind. Der Verwaltungsrat wird für eine Amtsdauer von vier Jahren gewählt; jedes Mitglied kann zweimal wiedergewählt werden.
3    Der Bundesrat wählt den Verwaltungsrat. Er achtet dabei auf eine angemessene Vertretung beider Geschlechter. Er bestimmt die Präsidentin oder den Präsidenten und die Vizepräsidentin oder den Vizepräsidenten. Er legt die Entschädigungen fest. Artikel 6a des Bundespersonalgesetzes vom 24. März 200027 gilt sinngemäss.
4    Die Präsidentin oder der Präsident darf weder eine andere wirtschaftliche Tätigkeit ausüben noch ein eidgenössisches oder kantonales Amt bekleiden, es sei denn, dies liege im Interesse der Aufgabenerfüllung der FINMA.
5    Der Bundesrat beruft Mitglieder des Verwaltungsrats ab und genehmigt die Auflösung des Arbeitsverhältnisses der Direktorin oder des Direktors durch den Verwaltungsrat, wenn die Voraussetzungen für die Ausübung des Amtes nicht mehr erfüllt sind.
23 
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 23 Datenbearbeitung - 1 Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
1    Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.
2    Sie darf dies insbesondere zum Zweck:
a  der Prüfung der Beaufsichtigten;
b  der Aufsicht;
c  der Führung eines Verfahrens;
d  der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;
e  der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder
f  der nationalen und internationalen Amts- und Rechtshilfe.
3    Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 202053 befugt.
4    Sie regelt die Einzelheiten.
30 
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 30 Anzeige der Eröffnung eines Verfahrens - Ergeben sich Anhaltspunkte für Verletzungen aufsichtsrechtlicher Bestimmungen und eröffnet die FINMA ein Verfahren, so zeigt sie dies den Parteien an.
33 
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 33 Berufsverbot - 1 Stellt die FINMA eine schwere Verletzung aufsichtsrechtlicher Bestimmungen fest, so kann sie der verantwortlichen Person die Tätigkeit in leitender Stellung bei einer oder einem von ihr Beaufsichtigten untersagen.
1    Stellt die FINMA eine schwere Verletzung aufsichtsrechtlicher Bestimmungen fest, so kann sie der verantwortlichen Person die Tätigkeit in leitender Stellung bei einer oder einem von ihr Beaufsichtigten untersagen.
2    Das Berufsverbot kann für eine Dauer von bis zu fünf Jahren ausgesprochen werden.
53
SR 956.1 Verordnung vom 16. Januar 2008 über die vorzeitige Inkraftsetzung von organisatorischen Bestimmungen des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007 - Finanzmarktaufsichtsgesetz
FINMAG Art. 53 Verwaltungsverfahren - Das Verfahren richtet sich nach den Bestimmungen des Bundesgesetzes vom 20. Dezember 1968117 über das Verwaltungsverfahren.
VwVG: 25a
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 25a - 1 Wer ein schutzwürdiges Interesse hat, kann von der Behörde, die für Handlungen zuständig ist, welche sich auf öffentliches Recht des Bundes stützen und Rechte oder Pflichten berühren, verlangen, dass sie:
1    Wer ein schutzwürdiges Interesse hat, kann von der Behörde, die für Handlungen zuständig ist, welche sich auf öffentliches Recht des Bundes stützen und Rechte oder Pflichten berühren, verlangen, dass sie:
a  widerrechtliche Handlungen unterlässt, einstellt oder widerruft;
b  die Folgen widerrechtlicher Handlungen beseitigt;
c  die Widerrechtlichkeit von Handlungen feststellt.
2    Die Behörde entscheidet durch Verfügung.
BGE Register
122-I-360 • 131-II-13 • 136-I-87 • 139-II-243 • 141-I-201 • 142-II-243 • 143-I-253
Weitere Urteile ab 2000
1C_214/2016
Stichwortregister
Sortiert nach Häufigkeit oder Alphabet
datensammlung • personendaten • gewähr für eine einwandfreie geschäftstätigkeit • betroffene person • wirtschaftsfreiheit • bundesverwaltungsgericht • besonders schützenswerte personendaten • bundesgericht • eidgenössische finanzmarktaufsicht • stelle • verwaltungsrat • datenschutz • frage • vernichtung • berufsverbot • weiler • bundesrat • kenntnis • wiese • natürliche person
... Alle anzeigen
BBl
2006/2875