Bundesverwaltungsgericht
Tribunal administratif fédéral
Tribunale amministrativo federale
Tribunal administrativ federal


Abteilung I
A-3908/2008
{T 1/2}

Urteil vom 4. August 2009

Besetzung
Richter André Moser (Vorsitz), Richter Christoph Bandli, Richterin Kathrin Dietrich,
Gerichtsschreiber Stefan von Gunten.

Parteien
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, Feldeggweg 1, 3003 Bern,
Kläger,

gegen

KSS Schaffhausen, Sport- und Freizeitanlagen Breite, Breitenaustrasse 117, 8200 Schaffhausen,
vertreten durch Rechtsanwalt lic. iur. Hans-Peter Sorg, Promenadenstrasse 17, 8201 Schaffhausen,
Beklagte,

Gegenstand
Umsetzung einer Empfehlung des EDÖB.

Sachverhalt:

A.
Nach einer halbjährigen Pilotphase haben die KSS Sport- und Freizeitanlagen Schaffhausen (KSS) im Sommer 2005 zum Zweck der Missbrauchsbekämpfung bei der Benutzung persönlicher, nicht übertragbarer Jahres- und Halbjahresabonnemente für den Eintritt ins Hallenbad und den Wellnessbereich ein neues Zugangskontrollsystem eingeführt. Langfristig ist ein Ausbau des Systems für weitere Sport- und Freizeitangebote geplant.
Für das neue System werden von den Kunden neben den Personalien - Vorname, Nachname, Adresse, Sprache und Geburtsdatum - auch digital komprimierte bzw. reduzierte Darstellungen eines biometrischen Abdrucks, im vorliegenden Fall des Fingerabdrucks, sogenannte Templates, erhoben. Das Fingerbild wird analysiert und die Merkmale des Abbilds - Anfangs- und Endpunkt, Gabelungen etc.; "Minutien" genannt - werden extrahiert. Die Minutien-Daten (insgesamt 20-50) sind für jeden Menschen einzigartig. Sie werden mittels eines mathematischen Algorithmus codiert und komprimiert, dergestalt in ein Template umgewandelt und mit den Personalien zentral in einer Datenbank der KSS gespeichert. Rohdaten des Fingerabdruckes, d.h. physische oder digitale Abbildungen biometrischer Charakteristiken, werden keine erfasst. Anhand der gespeicherten Daten lässt sich kein Fingerabdruck mehr rekonstruieren.
Der Kunde erhält zudem eine Transponderkarte in Kreditkartenformat mit einer einmaligen Karten-ID. Die Personalien des Kunden und das Template werden dieser Karten-ID zugeordnet. Auf der Karte sind keine Daten gespeichert. Sie ist lediglich mit einem Unterschriftsfeld versehen, damit sie optisch unterschieden werden kann.

B.
Um Zugang zum Hallenbad der KSS zu erhalten, muss der Kunde seine Transponderkarte in ein Lesegerät am Drehkreuz schieben und seinen Finger auf einen Scanner legen. Über die individuelle Karten-ID wird aus der zentralen Datenbank das entsprechende Template abgerufen und mit dem Fingerabdruck des Kunden verglichen. Es handelt sich deshalb um einen Verifizierungs-, nicht um einen Identifizierungsprozess. Insofern erfolgt zwischen einem biometrischen Probedatum und einem biometrischen Referenzdatum ein Vergleichsvorgang, um zu bestätigen, dass die betroffene Person diejenige ist, welche sie zu sein behauptet. Alle korrekt verifizierten und getätigten Transaktionen werden zu den Kartendaten zentral gespeichert. Dabei werden das Datum, die Uhrzeit und der Kontrollautomat des Ein- bzw. Austritts erfasst. Da alle Daten, sowohl die Personalien als auch die Minutien, in einer Datenbank gespeichert werden, ist ein Rückschluss eines Templates auf eine Person und zu einem Abonnement möglich.

C.
Infolge kritischer Reaktionen aus der Bevölkerung unterzog der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) das neue Zugangssystem einer Kontrolle. Mit Schlussbericht vom 11. April 2006 (nachfolgend Schlussbericht) empfahl er der KSS, dass:
für Personen, die nicht bereit sind, ihre biometrischen Daten für die Ausstellung einer Dauerkarte einlesen zu lassen, eine kostengleiche Alternative ohne Fingerabdruck-Verifizierung angeboten wird (Empfehlung Nr. 1);
auf die zentrale Speicherung der Templates der Fingerabdrücke verzichtet wird und diese biometrischen Daten auf einer Smartcard, welche in der Benutzersphäre und unter Kontrolle der betroffenen Person verbleibt, abgelegt werden (Empfehlung Nr. 2);
für die erhobenen Kundendaten (Anschrift und Kontaktinformationen) Löschfristen eingeführt werden (Empfehlung Nr. 3);
die Transaktionsdaten (Datum, Uhrzeit und Kontrollautomat des Badeein- bzw. des Badeaustritts) anonymisiert werden (Empfehlung Nr. 4);
bis zum Zeitpunkt, an dem die Templates dezentral auf Smartcard abgelegt werden, Löschfristen für die derzeit noch zentral gespeicherten Templates eingeführt werden (Empfehlung Nr. 5);
Im Weiteren regte der EDÖB im Sinne von Verbesserungsvorschlägen an, dass
die Kunden besser über die Bearbeitung ihrer biometrischen Daten aufgeklärt werden und dass der dafür vorgesehene Flyer den Kunden auch tatsächlich ausgehändigt wird (Verbesserungsvorschlag Nr. 1);
das System so zu modifizieren ist, dass kein Abbild des gescannten Fingerabdruckes (sog. Rohdatum) kopiert oder gespeichert werden kann (Verbesserungsvorschlag Nr. 2);
die Templates in verschlüsselter Form abgelegt werden (Verbesserungsvorschlag Nr. 3);
bei (Fern-)Wartungsarbeiten das Wartungspersonal des Systemlieferanten nur auf Testdaten zugreifen kann (Verbesserungsvorschlag Nr. 4).

D.
Am 29. Februar 2008 teilte die KSS dem EDÖB mit, dass ein Verzicht auf den Fingerprint nicht in Frage komme. Die Ausstellung einer neuen Karte (Smartcard) stelle überdies keine praktikable Lösung dar und sei unverhältnismässig.

E.
Mit Klage vom 10. Juni 2008 stellt der EDÖB (Kläger) das Begehren, die KSS sei aufzufordern, auf die zentrale Speicherung von biometrischen Daten in Form von Templates der Fingerabdrücke zu verzichten und diese biometrischen Daten - auch diejenigen, welche bereits zentral erfasst wurden - seien auf einer Sicherheitskarte (Smartcard), welche in der Einflusssphäre und unter Kontrolle der betroffenen Person verbleibt, abzulegen. Damit solle die Verifizierung der Identität ausschliesslich auf diesem Sicherheitsmedium stattfinden (Smartcard match on card), so dass die biometrischen Daten zu keinem Zeitpunkt die gesicherte Umgebung des Mediums und die Kontrolle der betroffenen Person verlassen.
Die Klage begründet er im Wesentlichen damit, dass die von der KSS durchgeführte Datenverarbeitung - zentrale Speicherung biometrischer Daten - das Recht auf informationelle Selbstbestimmung gefährde und unverhältnismässig sei. Die empfohlene Lösung greife weniger stark in die Grundrechte der Betroffenen ein und erreiche den verfolgten Zweck genauso. Die durch eine Systemänderung entstehenden Kosten hätten vermieden werden können, wenn die KSS sich vorgängig über die datenschutzrechtlichen Anforderungen informiert hätte. Es liege in der Verantwortung des Inhabers einer Datensammlung dafür zu sorgen, dass seine Anlage zum vornherein diese Voraussetzungen erfülle. Im Übrigen hätten diverse EU-Länder die dezentrale Speicherung von biometrischen Daten ebenfalls empfohlen.

F.
Mit Klageantwort vom 28. August 2008 beantragt die KSS (Beklagte) die Abweisung des Begehrens. Sie begründet ihren Antrag damit, dass das neue System seit 3 ½ Jahren bestens funktioniere und keine Beschwerden von Benutzern eingegangen seien. Es sei für jedermann möglich, ein Jahresabonnement zu erwerben, ohne dass seine Daten gespeichert würden. Diese Lösung werde allerdings nicht öffentlich bekannt gegeben. Die Empfehlung sei nicht praktikabel, weil damit zu hohe Kosten verbunden seien. Die Daten seien bisher nie sachfremd verwendet worden. Sie habe sich nach einer aufwändigen Evaluation für dieses System entschieden. Es habe dringender Handlungsbedarf bestanden und eine Antwort des Klägers wäre wohl nicht innert nützlicher Frist erfolgt. Das System sei bereits bei anderen Bade- und Sportanlagen installiert worden. Im Übrigen sei das von Bergbahnen verwendete System mit zentral gespeichertem Foto und der Registrierung jeder einzelnen Fahrt ein weitaus gravierenderer Eingriff.

G.
In der Replik vom 30. September 2008 führt der Kläger ergänzend aus, die Bearbeitung von Daten müsse auch dann verhältnismässig sein, wenn die betroffene Person zugestimmt habe und eine Alternative zum biometrischen Erkennungssystem bestehe. Die Neuanschaffungskosten seien nicht unverhältnismässig und würden wohl sowieso auf die Benutzer abgewälzt. Er bringt weiter vor, die dezentrale Speicherung bereits beim Check-In und Boarding beim Flughafen Zürich begrüsst zu haben. Der Zürcher Datenschutzbeauftragte habe zudem die dezentrale Speicherung für die Zugangskontrolle in einem Schwimmbad empfohlen.

H.
In ihrer Duplik vom 3. November 2008 macht die Beklagte ergänzend geltend, in den schweizerischen Flughäfen sollten gemäss Medien Nackt-Scanner eingesetzt werden. Dort sei der Kläger aber nicht eingeschritten. Eine Abwälzung der Neuanschaffungskosten sei aufgrund der Wirtschaftslage ausgeschlossen. Die Betroffenen könnten zudem jederzeit Einsicht in die Daten nehmen, so dass sie die Kontrolle über die Daten nicht verlieren würden. Beim Anschaffungsprozess seien bereits gleichartige Systeme in Betrieb gewesen, dennoch habe der Kläger keine Einwände vorgebracht. Sein Begehren verstosse daher auch gegen die Rechtssicherheit und den Vertrauensschutz.

I.
Mit Schreiben vom 11. bzw. 12. November 2008 haben Kläger und Beklagte auf die Durchführung einer mündlichen Vorbereitungs- und einer Hauptverhandlung verzichtet.

J.
Auf Anfrage des Bundesverwaltungsgerichts teilt die Beklagte am 16. März 2009 mit, dass es die Systemsoftware nicht erlaube, auf eine Zuordnungsliste zu verzichten, weil die verwendeten Radio Frequency Identification (RFID) - Karten (Identifizierung mit Hilfe elektromagnetischer Wellen) auf "read only" basierten.
Ebenfalls auf Anfrage des Bundesverwaltungsgerichts führt der Kläger am 18. März 2009 aus, das Vergleichsbeispiel mit den Bergbahnen unterscheide sich in wesentlichen Tatsachen vom vorliegenden Fall. Bei den Bergbahnen sei das Verwenden von biometrischen Daten in keiner Art und Weise Bestandteil der vorgenommenen Sachverhaltsabklärung gewesen. Im vorliegenden Fall habe er zum ersten Mal die Problematik der Authentifizierung von Personen zum Zweck der Zugangskontrolle unter dem Blickwinkel der Biometrie geprüft. Er sei dabei zum Schluss gekommen, dass die dezentrale Speicherung einen Hauptpunkt für eine datenschutzkonforme biometrische Verifizierung darstelle. Es sei absolut notwendig, dass für die Authentifizierung von Personen zum Zweck der Zugangskontrolle unter dem Blickwinkel der Biometrie eine Praxis respektive Rechtsprechung gebildet werde, welche dann auf alle gleichartigen Bearbeitungen von biometrischen Daten angewendet werden könne - sei es bei Sportzentren, Bergbahnen oder anderen Inhabern von Datensammlungen. Deshalb würden künftig auch Bergbahnen, wenn sie biometrische Daten einsetzen, die Anforderungen erfüllen müssen, wie sie für die Beklagte etabliert worden seien.

K.
Auf weitere Vorbringen und die sich bei den Akten befindlichen Schriftstücke wird, soweit für den Entscheid wesentlich, in den nachfolgenden Erwägungen eingegangen.

Das Bundesverwaltungsgericht zieht in Erwägung:

1.
Der EDÖB klärt von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler, Art. 29 Abs. 1 Bst. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz [DSG, SR 235.1]). Aufgrund seiner Abklärungen kann er empfehlen, das Bearbeiten zu ändern oder zu unterlassen (Art. 29 Abs. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
DSG). Wird eine solche Empfehlung nicht befolgt oder abgelehnt, kann er die Angelegenheit dem Bundesverwaltungsgericht auf dem Klageweg zum Entscheid vorlegen (Art. 29 Abs. 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
DSG i.V.m. Art. 35 Bst. b
SR 173.32 Loi du 17 juin 2005 sur le Tribunal administratif fédéral (LTAF)
LTAF Art. 35 Principe - Le Tribunal administratif fédéral connaît par voie d'action en première instance:
a  des contestations qui reposent sur des contrats de droit public signés par la Confédération, ses établissements, ses entreprises ou par des organisations visées à l'art. 33, let. h;
b  ...
c  des contestations opposant la Banque nationale et la Confédération au sujet des conventions sur les services bancaires et de la convention sur la répartition du bénéfice;
d  des demandes de confiscation de valeurs patrimoniales conformément à la loi du 18 décembre 2015 sur les valeurs patrimoniales d'origine illicite53.
des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 [VGG, SR 173.32]).

1.1 Die vorliegende Klage richtet sich gegen die Nichtbefolgung bzw. die Ablehnung einer Empfehlung des EDÖB durch die Beklagte. Insofern handelt es sich um eine Klage nach Art. 29 Abs. 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
DSG. Zunächst ist daher abzuklären, ob das DSG im vorliegenden Verfahren überhaupt Anwendung findet und der EDÖB zur vorliegenden Klageerhebung berechtigt war.

1.2 Das DSG gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen und Bundesorgane (Art. 2 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG).
1.2.1 Unter Personendaten (Daten) fallen nach Art. 3 Bst. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Darunter ist jede Art von Information zu verstehen, die auf die Vermittlung oder die Aufbewahrung von Kenntnissen ausgerichtet ist, ungeachtet dessen, ob es sich dabei um eine Tatsachenfeststellung oder um ein Werturteil handelt. Unerheblich ist auch, ob eine Aussage als Zeichen, Wort, Bild, Ton oder Kombinationen aus diesen auftritt und auf welcher Art von Datenträger die Informationen gespeichert sind. Eine Person ist dann bestimmt, wenn sich aus der Information selbst ergibt, dass es sich um diese ganz bestimmte Person handelt (Urs Belser, in: Maurer-Lambrou/Vogt [Hrsg.], Datenschutzgesetz, Basler Kommentar, 2. Aufl., Basel 2006, Rz. 5 f. zu Art. 3; nachfolgend "BSK-DSG"). Der Bezug ist dort unproblematisch, wo sich der Personenbezug aus der Natur der Information selbst ergibt, wie bei biometrischen Informationen wie Fingerabdrücken (vgl. David Rosenthal, in Rosenthal/Jöhri, Handkommentar DSG, Zürich 2008, Art. 3 Bst. a N 13; nachfolgend "Handkommentar DSG").
1.2.2 Die Beklagte erhebt von jedem Dauerkarteninhaber die Personalien, d.h. Name, Vorname, Adresse, Sprache und Geburtsdatum. Dabei handelt es sich ohne Weiteres um Personendaten, die einerseits für sich alleine (Name, Vorname), andererseits in Zusammenhang mit den weiter erhobenen Daten - ohne grossen Aufwand - auf eine bestimmte Person schliessen lassen (Adresse, Sprache, Geburtsdatum). Daneben werden den Abonnenten die Fingerabdrücke genommen bzw. deren Minutien extrahiert, mittels Algorithmus in ein Template umgewandelt und dergestalt in einer zentralen Datenbank abgelegt. Der Fingerabdruck an sich, wie auch die extrahierten Minutien sind einzigartig und nur einer bestimmten Person zuzuordnen. Der Bezug zu einer Person geht daher aus diesen selbst hervor. Auf welche Art von Datenträger (Template) sie gespeichert werden, ist unerheblich. Im Übrigen ist auch noch eine Zuordnungsliste zentral abgelegt, sodass mit dieser Rückschluss auf einen bestimmten Abonnenten genommen werden kann.
Insofern sind sämtliche hier in Frage stehenden Daten als Personendaten gemäss DSG zu qualifizieren.
1.2.3 Bearbeiten im Sinne von Art. 2 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG bedeutet jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 Bst. e
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG). Für das Bundesverwaltungsgericht besteht kein Zweifel, dass im vorliegenden Fall eine Bearbeitung nach DSG erfolgt. Dies wird im Übrigen auch nicht bestritten.
1.2.4 Wie bereits erwähnt, klärt der Beauftragte gemäss Art. 29 Abs. 1 Bst. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
DSG von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). "Systemfehler" bedeutet in diesem Zusammenhang die Eignung, eine grössere Anzahl von Personen in ihrer Persönlichkeit zu verletzen (vgl. David Rosenthal, Handkommentar DSG, Art. 29 N. 11; René Huber, BSK-DSG, Rz. 6 ff. zu Art. 29; Urteil der Eidgenössischen Datenschutzkommission [EDSK] vom 15. April 2005, veröffentlicht in Verwaltungspraxis des Bundes [VPB] 69.106, E. 3.2). Kann die fragliche Datenbearbeitung potentiell zur Schädigung einer grösseren Anzahl Betroffener führen, ist die Schwelle der "grösseren Anzahl" bereits beim Vorliegen einiger weniger Vorfälle erreicht (René Huber, BSK-DSG, Rz. 10 f. zu Art. 29). In der Klageantwort führt die Beklagte aus, dass jährlich 1'200 Dauerkarten verkauft würden. Insofern kann ohne Weiteres von einem "Systemfehler" im Sinne der Gesetzgebung ausgegangen werden.

1.3 Das DSG kommt aus diesen Gründen zur Anwendung und der Kläger war zur Erteilung der Empfehlung ermächtigt. Auf die im Weiteren form- und fristgerecht eingereichte Klage ist daher einzutreten.

1.4 Das Verfahren richtet sich gemäss Art. 44 Abs. 1
SR 173.32 Loi du 17 juin 2005 sur le Tribunal administratif fédéral (LTAF)
LTAF Art. 44 - 1 Lorsque le Tribunal administratif fédéral statue en tant que première instance, la procédure est régie par les art. 3 à 73 et 79 à 85 de la loi fédérale du 4 décembre 1947 sur la procédure civile61.
1    Lorsque le Tribunal administratif fédéral statue en tant que première instance, la procédure est régie par les art. 3 à 73 et 79 à 85 de la loi fédérale du 4 décembre 1947 sur la procédure civile61.
2    Le Tribunal administratif fédéral établit les faits d'office.
3    Les émoluments judiciaires et les dépens sont régis par les art. 63 à 65 PA62.63
VGG grundsätzlich nach den Art. 3
SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale
PCF Art. 3 - 1 Le juge examine d'office la recevabilité de l'action et de tous actes de procédure.
1    Le juge examine d'office la recevabilité de l'action et de tous actes de procédure.
2    Le juge ne peut aller au-delà des conclusions des parties, ni fonder son jugement sur d'autres faits que ceux qui ont été allégués dans l'instance. Toutefois il doit attirer l'attention des parties sur les lacunes de leurs conclusions et les engager à articuler complètement les faits et les preuves nécessaires à la manifestation de la vérité. A cet effet, il peut en tout état de cause interpeller les parties personnellement.
- 73
SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale
PCF Art. 73 - 1 La transaction passée entre les parties devant le juge ou remise au juge pour être consignée au procès-verbal, de même que le désistement d'une partie, mettent fin au procès.
1    La transaction passée entre les parties devant le juge ou remise au juge pour être consignée au procès-verbal, de même que le désistement d'une partie, mettent fin au procès.
2    La transaction judiciaire peut aussi porter sur des points qui, bien qu'étrangers au procès, sont litigieux entre les parties ou entre une partie et un tiers, en tant que cela favorise la fin du procès.
3    Lorsque le défendeur allègue par voie d'exception que la prétention est inexigible ou subordonnée à une condition ou oppose un vice de forme, le demandeur peut retirer son action en se réservant de l'introduire à nouveau dès que la prétention sera exigible, la condition accomplie ou le vice de forme réparé.
4    La transaction judiciaire et le désistement ont la force exécutoire d'un jugement.
sowie 79
SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale
PCF Art. 79 - 1 Le juge peut ordonner des mesures provisionnelles:
1    Le juge peut ordonner des mesures provisionnelles:
a  pour protéger le possesseur contre tout acte d'usurpation ou de trouble et faire rentrer une partie en possession d'une chose indûment retenue;
b  pour écarter la menace d'un dommage difficile à réparer, notamment le dommage résultant de la modification, avant l'introduction de la demande ou en cours d'instance, de l'état de choses existant.
2    Il ne peut être pris de mesures provisionnelles pour la sûreté de créances soumises à la loi fédérale du 11 avril 1889 sur la poursuite pour dettes et la faillite38.
- 85
SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale
PCF Art. 85 - Sont réservées les dispositions spéciales d'autres lois fédérales en matière de mesures provisionnelles.
des Bundesgesetzes vom 4. Dezember 1947 über den Bundeszivilprozess (BZP, SR 273). Obwohl im Bundeszivilprozess der Richter sein Urteil grundsätzlich nur auf Tatsachen gründen darf, die im Verfahren geltend gemacht worden sind (Art. 3 Abs. 2
SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale
PCF Art. 3 - 1 Le juge examine d'office la recevabilité de l'action et de tous actes de procédure.
1    Le juge examine d'office la recevabilité de l'action et de tous actes de procédure.
2    Le juge ne peut aller au-delà des conclusions des parties, ni fonder son jugement sur d'autres faits que ceux qui ont été allégués dans l'instance. Toutefois il doit attirer l'attention des parties sur les lacunes de leurs conclusions et les engager à articuler complètement les faits et les preuves nécessaires à la manifestation de la vérité. A cet effet, il peut en tout état de cause interpeller les parties personnellement.
BZP), gilt vor Bundesverwaltungsgericht infolge der spezialgesetzlichen Bestimmung von Art. 44 Abs. 2
SR 173.32 Loi du 17 juin 2005 sur le Tribunal administratif fédéral (LTAF)
LTAF Art. 44 - 1 Lorsque le Tribunal administratif fédéral statue en tant que première instance, la procédure est régie par les art. 3 à 73 et 79 à 85 de la loi fédérale du 4 décembre 1947 sur la procédure civile61.
1    Lorsque le Tribunal administratif fédéral statue en tant que première instance, la procédure est régie par les art. 3 à 73 et 79 à 85 de la loi fédérale du 4 décembre 1947 sur la procédure civile61.
2    Le Tribunal administratif fédéral établit les faits d'office.
3    Les émoluments judiciaires et les dépens sont régis par les art. 63 à 65 PA62.63
VGG der Grundsatz der Sachverhaltsabklärung von Amtes wegen.
Art. 3 Abs. 2
SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale
PCF Art. 3 - 1 Le juge examine d'office la recevabilité de l'action et de tous actes de procédure.
1    Le juge examine d'office la recevabilité de l'action et de tous actes de procédure.
2    Le juge ne peut aller au-delà des conclusions des parties, ni fonder son jugement sur d'autres faits que ceux qui ont été allégués dans l'instance. Toutefois il doit attirer l'attention des parties sur les lacunes de leurs conclusions et les engager à articuler complètement les faits et les preuves nécessaires à la manifestation de la vérité. A cet effet, il peut en tout état de cause interpeller les parties personnellement.
BZP bestimmt, dass der Richter nicht über die Rechtsbegehren der Parteien hinausgehen darf. In einem Klageverfahren wie dem vorliegenden hat die Dispositionsmaxime somit grössere Bedeutung als im Beschwerdeverfahren vor Bundesverwaltungsgericht. Im Verfahren vor dem Bundesverwaltungsgericht wird der EDÖB in der Regel verlangen, dass die von ihm empfohlenen und nun klageweise geltend gemachten Massnahmen gegenüber den betreffenden Datenbearbeitern verfügt, d.h. den Datenbearbeitern durch das Gericht in verbindlicher und erzwingbarer Form angeordnet werden. Damit wird die Empfehlung zwar nicht verbindlich, doch wird ihr - soweit begehrt und gutgeheissen - ein entsprechendes Urteil zur Seite gestellt. Das Bundesverwaltungsgericht kann aber auch weniger weit gehende Massnahmen anordnen (vgl. DAVID ROSENTHAL, Handkommentar DSG, Art. 29 Abs. 4 N 47).

2.
2.1 Der Kläger rügt vorab, das Zugangssystem der Beklagten verstosse gegen das Gebot der Zweckbindung der Datenbearbeitung nach Art. 4 Abs. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG (Ziffer 2.1 der Klage). Eine Zweckänderung sei von den Betroffenen durch die zentrale Speicherung der biometrischen Daten aber nicht kontrollierbar. Damit bestehe die Gefahr einer Verletzung der informationellen Selbstbestimmung nach Art. 13 Abs. 2
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV, SR 101). Die biometrischen Daten dürften den Kontrollbereich der betroffenen Person deshalb nicht verlassen. Er empfehle daher ein milderes Mittel, die sogenannte "Smartcard match on card". Die biometrischen Daten würden auf dem Sicherheitsmedium gespeichert und die Verifizierung finde ebenfalls darauf statt.

2.2 Es ist nicht ersichtlich und wird vom Kläger auch nicht weiter begründet, inwiefern der Grundsatz der Zweckbindung nach Art. 4 Abs. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG hier verletzt worden sein soll. Der Kläger gesteht der Beklagten denn auch zu, dass sie bisher keine Zweckänderung vorgenommen habe (Klageschrift, Ziffer 43). Er rügt unter dem Grundsatz der Zweckbindung der Datenbearbeitung nichts anderes als den Grundsatz der Verhältnismässigkeit der Datenbearbeitung gemäss Ziffer 2.2 seiner Klage. Die Klage ist denn auch (hauptsächlich) unter diesem Gesichtspunkt zu behandeln.

3.
Gemäss Art. 13 Abs. 2
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
BV hat jede Person Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten. Diesem Anspruch hat der Bundesgesetzgeber im DSG Rechnung getragen und das Bearbeiten von Daten durch Private und Bundesbehörden eingehend geregelt (Ulrich Häfelin/Walter Haller/Helen Keller, Schweizerisches Bundesstaatsrecht, 7. Aufl., Zürich/Basel/Genf 2008, Rz. 390). Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Er darf insbesondere nicht Personendaten entgegen den Grundsätzen des Artikels 4 bearbeiten (Art. 12 Abs. 1 Bst. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG).

3.1 Nach Art. 4 Abs. 2
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG muss die Bearbeitung der Daten verhältnismässig sein. Sowohl der Zweck, der mit der Datenbearbeitung verfolgt wird, als auch die Art und Weise der Bearbeitung müssen verhältnismässig sein. Dies verlangt zunächst, dass Personendaten nur soweit bearbeitet werden dürfen, als dies für einen bestimmten Zweck objektiv geeignet und tatsächlich erforderlich ist. Der Verhältnismässigkeitsgrundsatz verlangt weiter, dass die Datenbearbeitung für die betroffene Person sowohl hinsichtlich ihres Zwecks als auch hinsichtlich ihrer Mittel zumutbar ist (d.h. verhältnismässig i.e.S.). Die Prüfung der Verhältnismässigkeit verlangt eine Gesamtwürdigung aller Umstände (BGE 122 II 199), d.h. auch der Interessen des Datenbearbeiters (David Rosenthal, Handkommentar DSG, Art. 4 N 19 ff.).

3.2 Gemäss Klageschrift Ziffer 63 akzeptiert der Kläger die Einführung des biometrischen Erkennungssystems in Hinblick auf den Bearbeitungszweck unter Vorbehalt. Im Verhältnis zum Eingriff in die Grundrechte der betroffenen Person seien die von der Beklagten eingeführten Massnahmen und durchgeführten Datenbearbeitungen zwar geeignet, um das angestrebte Ziel - den Missbrauch der Dauerkarten - zu erreichen, sie stünden jedoch nicht in einem vernünftigen Verhältnis zum Eingriff in die Grundrechte der betroffenen Person. Insofern bemängelt der Kläger die Erforderlichkeit des Eingriffs.

3.3 Eine Massnahme hat zu unterbleiben, wenn eine gleich geeignete, aber mildere Massnahme für den angestrebten Erfolg ausreichen würde. Das Gebot der Erforderlichkeit einer Massnahme wird auch als Prinzip der «Notwendigkeit», des «geringst möglichen Eingriffs», der «Zweckangemessenheit» oder als «Übermassverbot» bezeichnet Ulrich Häfelin/Georg Müller/Felix Uhlmann, Allgemeines Verwaltungsrecht, 5. Aufl., Zürich/Basel/Genf 2006, Rz. 591 f.). Der Eingriff darf in sachlicher, räumlicher, zeitlicher und personeller Beziehung nicht über das Notwendige hinausgehen (Ulrich Häfelin/Walter Haller/Helen Keller, a.a.O., Rz. 322). Bei der Verifizierung der Identität der Betroffenen sollen die biometrischen Daten statt in einer zentralen Datenbank vorzugsweise auf einem gesicherten individuellen Speichermedium gespeichert werden, dessen Einsatz durch den Betroffenen kontrolliert werden kann (Urs Maurer Lambrou/Andrea Steiner, BSK-DSG, Rz. 22 zu Art. 4).

3.4 Mit dem aktuellen System werden die biometrischen Daten zusammen mit einer Zuordnungsliste auf dem Host der Beklagten gespeichert. Die Transponderkarte dient lediglich dazu, das entsprechende Template für den Überprüfungsprozess zu aktivieren, damit der Besucher über seinen Fingerabdruck als Abonnent identifiziert werden kann. Auf ihr sind keine Daten gespeichert. Der Verifizierungsprozess erfolgt auf dem Host. Jede korrekt durchgeführte Transaktion wird erfasst.

3.5 Bei dem vom Kläger empfohlenen System "Smartcard match on card" erfolgt der Vergleich zwischen der biometrischen Charakteristik (Fingerabdruck) und den lokal gespeicherten biometrischen Daten (Referenz-Template) dezentral auf der Karte, so dass der Host lediglich ein Freigabesignal von der Smartcard erhält und keine biometrischen Daten zwischen Smartcard und dem elektronischen Zugangskontrollsystem ausgetauscht werden. Damit haben die betroffenen Personen sowohl die Kontrolle über ihre biometrischen Referenzdaten als auch über die Transaktionsdaten im Rahmen des Vergleichs. In einem solchen Fall liegen lediglich Transaktionsdaten, welche zwischen der Smartcard und dem Leser ausgetauscht werden, ausserhalb des Kontrollbereichs der betroffenen Person.

3.6 Bei der Gegenüberstellung der beiden verschiedenen Zugangssysteme wird ersichtlich, dass das vom Kläger geforderte System weit weniger in das informationelle Selbstbestimmungsrecht des Betroffenen eingreift als das bis anhin verwendete System und trotzdem das verfolgte Ziel erreichen kann. Der Betroffene gibt seine Daten dabei nicht mehr aus der Hand und behält damit stets die Kontrolle. Dass der Abonnent beim derzeitigen Zugangssystem jederzeit Einsicht in seine Daten nehmen könne, wie dies die Beklagte vorbringt, vermag die Kontrollmöglichkeiten des eingeklagten Zugangssystems bei Weitem nicht zu erreichen. Zentral gespeicherte Daten ausserhalb des Herrschaftsbereichs des Abonnenten bleiben für diesen mehrheitlich unerreichbar und damit verletzlich.

3.7 Im Zusammenhang mit Art. 36 Abs. 4 Bst. c
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 36 Communication de données personnelles - 1 Les organes fédéraux ne sont en droit de communiquer des données personnelles que si une base légale au sens de l'art. 34, al. 1 à 3, le prévoit.
1    Les organes fédéraux ne sont en droit de communiquer des données personnelles que si une base légale au sens de l'art. 34, al. 1 à 3, le prévoit.
2    En dérogation à l'al. 1, ils peuvent, dans un cas d'espèce, communiquer des données personnelles si l'une des conditions suivantes est remplie:
a  la communication des données est indispensable à l'accomplissement des tâches légales du responsable du traitement ou du destinataire;
b  la personne concernée a consenti à la communication des données;
c  la communication des données est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
d  la personne concernée a rendu ses données accessibles à tout un chacun et ne s'est pas expressément opposée à la communication;
e  le destinataire rend vraisemblable que la personne concernée ne refuse son consentement ou ne s'oppose à la communication que dans le but de l'empêcher de se prévaloir de prétentions juridiques ou de faire valoir d'autres intérêts légitimes; à moins que cela ne s'avère impossible ou ne nécessite des efforts disproportionnés, la personne concernée sera auparavant invitée à se prononcer.
3    Les organes fédéraux peuvent en outre communiquer des données personnelles, d'office, dans le cadre de l'information officielle du public, ou en vertu de la loi du 17 décembre 2004 sur la transparence9, si les conditions suivantes sont réunies:
a  les données sont en rapport avec l'accomplissement de tâches publiques;
b  la communication répond à un intérêt public prépondérant.
4    Ils sont en droit de communiquer, sur demande, le nom, le prénom, l'adresse et la date de naissance d'une personne, même si les conditions des al. 1 ou 2 ne sont pas remplies.
5    Ils peuvent rendre accessibles des données personnelles à tout un chacun au moyen de services d'information et de communication automatisés lorsqu'une base légale prévoit la publication de ces données ou que ces organes communiquent des données sur la base de l'al. 3. Lorsqu'il n'existe plus d'intérêt public à rendre accessibles ces données, elles doivent être effacées du service d'information et de communication automatisé.
6    Ils refusent la communication, la restreignent ou l'assortissent de charges:
a  si un intérêt public important ou un intérêt digne de protection manifeste de la personne concernée l'exige, ou
b  si une obligation légale de garder le secret ou une disposition particulière de protection des données l'exige.
DSG, wonach der Bundesrat Bestimmungen erlassen kann, wie die Mittel zur Identifikation von Personen verwendet werden dürfen, verweist der Handkommentar DSG zudem auf den Schlussbericht des Klägers vom 11. April 2006 und begrüsst damit das vorliegende Begehren nach dezentraler Speicherung der biometrischen Daten (vgl. YVONNE JÖHRI, Handkommentar DSG, Art. 36 Abs. 4 Bst. c N 35 f.). Der Zürcher Datenschutzbeauftragte hat anlässlich seines 11. Tätigkeitsberichts 2005 ebenfalls empfohlen, dass Systeme vorzuziehen seien, bei denen die biometrischen Daten nicht bei der Schwimmbad-Betreiberin abgelegt würden (Klagebeilage 36). In diesem Sinne hat sich auch die Art. 29 - Datenschutzgruppe der EU als deren unabhängiges Beratungsgremium in Datenschutzfragen geäussert. Danach sind biometrische Daten bei der Verwendung als Zutrittskontrolle nicht auf einem Medium zu speichern, das sich nicht im Besitz der betroffenen Person befindet (vgl. Arbeitspapier über Biometrie der Art. 29 - Datenschutzgruppe vom 1. August 2003, Ziff. 3.2, S. 7). Europäische Länder sind diesen Empfehlungen gefolgt (u.a. Frankreich, vgl. Klagebeilage 38, und Italien, vgl. Klagebeilage 46, S. 3) und sprechen sich ebenfalls für die dezentrale Speicherung gemäss Klagebegehren aus. Der Kläger seinerseits hat sich im (gleichartigen) Fall des Check-In und Boarding beim Flughafen Zürich, wo auch Fingerabdrücke der Fluggäste genommen und in Form von Templates abgelegt wurden, geäussert. Auch hier hat er die dezentrale Speicherung empfohlen (Klagebeilage 37, S. 15).

3.8 Die Beklagte hat im Übrigen mit Schreiben vom 10. August 2006 (Klagebeilage 19) der Empfehlung Nr. 2 - mithin dem Klagebegehren - zugestimmt und ausgeführt, dass die Dauerkarten durch beschreibbare Medien ersetzt würden. Die Software werde so angepasst, dass die Daten auf der Karte gespeichert werden könnten. Dem Schreiben vom 29. Februar 2008 ist zudem zu entnehmen, dass die Beklagte nur die hohen Anschaffungskosten und den zusätzlichen logistischen Aufwand für das Festhalten an der bisherigen zentralen Speicherung der Daten vorbringt. Sie stellt sich hingegen nicht auf den Standpunkt, das vom Kläger begehrte Zugangssystem stelle kein milderes Mittel im Sinne der Verhältnismässigkeit dar. Dies scheint insofern auch nachvollziehbar, als kein Grund ersichtlich ist, weshalb eine zentrale Speicherung der Daten bei der Beklagten notwendig ist. Ein solcher wird von ihr auch nicht geltend gemacht.

3.9 Aus diesen Gründen steht fest, dass die zentrale Speicherung der biometrischen Daten, wie sie die Beklagte bisher handhabt, dem Gebot der Erforderlichkeit widerspricht und damit den Grundsatz der Verhältnissmässigkeit der Datenbearbeitung gemäss Art. 4 Abs. 2
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG verletzt. Es liegt daher eine Persönlichkeitsverletzung nach Art. 12 Abs. 2 Bst. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG vor.

4.
Nicht jede Verletzung der Persönlichkeit ist auch widerrechtlich; die Widerrechtlichkeit ist somit lediglich Grundsatz, von dem es Ausnahmen gibt. Eine Verletzung der Persönlichkeit ist dann nicht widerrechtlich, wenn sie u.a. durch Einwilligung des Verletzten gerechtfertigt ist (Art. 13 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG).

4.1 Die Einwilligung kann grundsätzlich jede Persönlichkeitsverletzung rechtfertigen, auch Verstösse gegen die allgemeinen Datenschutzbearbeitungsgrundsätze (vgl. dazu Corrado Rampini, BSK-DSG, Rz. 3 f. zu Art. 13). Der Gesetzgeber hat sich bei der Definition des Begriffs der Einwilligung an demjenigen der Einwilligung des aufgeklärten Patienten (vgl. BGE 119 II 456, BGE 117 Ib 197, BGE 114 Ia 350) orientiert, und zwar in dem Sinne, dass die betroffene Person über alle Informationen im konkreten Fall verfügen muss, die erforderlich sind, damit sie eine freie Entscheidung treffen kann (BBl 2003 2127). Eine rechtlich gültige Einwilligung setzt nach Art. 4 Abs. 5
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG voraus, dass eine angemessene Information bezüglich der Datenbearbeitung vorliegt, in die eingewilligt werden soll, eine Willenserklärung vorliegt, aus welcher eine Zustimmung zu dieser Datenbearbeitung entnommen werden kann und diese Willenserklärung freiwillig erfolgt (David Rosenthal, Handkommentar DSG, Art. 4 Abs. 5 N 67 f.).

4.2 Das Erfordernis einer angemessenen Information will erreichen, dass die betroffene Person ihre Einwilligung in Kenntnis der Sachlage gibt, d.h. erst entscheiden muss, wenn sie sich ein Bild (auch) über die möglichen negativen Folgen ihrer Einwilligung machen konnte. Erforderlich, aber auch genügend ist letztlich, dass sich die betroffene Person im Klaren darüber sein kann, worin sie einwilligen soll, d.h. was die Tragweite ihrer Entscheidung ist. Je nach Situation wird eine Aufklärung erforderlich sein, die nicht nur auf die Umstände der Datenbearbeitung, sondern auch auf ihre wichtigsten möglichen Risiken bzw. Folgen für die betroffene Person hinweist, insbesondere wenn diese schwerwiegend sind. Ob und wie weit diesbezüglich informiert werden muss, hängt letztlich aber von den konkreten Umständen ab (David Rosenthal, Handkommentar DSG, Art. 4 Abs. 5 N 72 f.). Eine Einwilligung muss freiwillig erfolgen, das heisst Ausdruck des freien Willens der betroffenen Person sein. Ungültig ist die durch Täuschung, Drohung oder Zwang zustande gekommene Einwilligung. Der betroffenen Person muss "eine - mit nicht unzumutbaren Nachteilen behaftete - Handlungsalternative" zur Verfügung stehen (Corrado Rampini, BSK-DSG, Rz. 6 f. zu Art. 13; vgl. auch Christian Drechsler, Die Revision des Datenschutzrechts, in Aktuelle Juristische Praxis [AJP] 2007, S. 1473). Etwas abweichend dazu äussert sich David Rosenthal im Handkommentar DSG und meint, dass dies zu weit gehe: Wo davon auszugehen sei, dass eine Einwilligung subjektiv im Interesse der betroffenen Person liege, könne normalerweise ebenfalls von einer freiwilligen Willenserklärung ausgegangen werden, selbst wenn die betroffene Person keine Handlungsalternative habe. Seine Kritik berührt den vorliegenden Fall jedoch nicht, weil die Einwilligung hier dem Betroffenen keinen Vorteil bringt, insofern nicht in dessen subjektivem Interesse liegt.

4.3 Die Beklagte bringt zum Rechtfertigungsgrund der Einwilligung vor, die Betroffenen würden beim Kauf einer Dauerkarte auf das System und die Datenbearbeitung aufmerksam gemacht. Die alternative Ausstellung von Dauerkarten ohne Finger-Print werde indes nicht öffentlich bekannt gemacht. Erst wenn sich ein Gast weigere, werde ihm die Alternativlösung angeboten. Die Betroffenen könnten zudem jederzeit Einblick in ihre Daten nehmen.

4.4 In seinem Schlussbericht führt der Kläger in Bezug auf die Einwilligung der Betroffenen aus, dass keine Alternativlösungen bestünden. Die Kunden müssten auf teurere 10-er Abonnemente ausweichen. Die Badegäste würden beim Umtausch oder Erwerb einer Dauerkarte vom Kassenpersonal über die Erhebung der biometrischen Daten und über die weitere Datenbearbeitung mündlich aufgeklärt. Bei der Sachverhaltsabklärung vor Ort seien an der Kassentheke aber keine Flyer erhältlich gewesen. Der Flyer habe ihm erst nach einer kleineren Suchaktion überreicht werden können. Er trage die Überschrift "Ist der Datenschutz bei der biometrischen Fingerabdruck Erkennung und Identifikation gewährleistet?". Der Flyer erkläre, dass keine Rohdaten gespeichert, sondern extrahierte Merkmale eines Fingerabdruckes in Form eines "codierten" Templates in der Datenbank gespeichert würden. Der Flyer führe weiter aus, wie der Abgleich der Templates vor sich gehe und dass es nicht möglich sei, aus dem "Code" das Rohdatum wieder herzustellen. Ferner werde darauf hingewiesen, dass heute gängige Personendatenbanken aus Sicht des Datenschutzes eine weit grössere Gefahr darstellten als die Information des Fingerabdruckes. Der Flyer äussere sich nur grob über die Bearbeitungsmodalitäten der erhobenen Daten. Zudem erkläre der Flyer primär, warum der Einsatz von Biometrie aus Sicht des Systemlieferanten unproblematisch sei.
In seinem Verbesserungsvorschlag Nr. 1 regt der Kläger daher an, dass der Informationsgehalt des Flyers hinsichtlich der Bearbeitungsmodalitäten der biometrischen Daten stark verbessert werden müsse. Aufgeführt werden müssten die Hauptpunkte der Datenbearbeitung, wie z.B. wo und für wie lange die Daten gespeichert würden, insbesondere was mit den Templates und den Transaktionsdaten geschehe, wer Zugriff auf die Daten habe und an wen sie - wenn überhaupt - weitergegeben würden. Er sei jedem Kunden vor dem Enrolement (Registrierung) automatisch vom Kassenpersonal und ohne Nachfrage des Kunden auszuhändigen. Dem Badegast sei genügend Zeit zur Verfügung zu stellen, ihn vorher durchzulesen. Weitere Flyer seien griffbereit an der Kassentheke aufzulegen. Mit Schreiben vom 18. Oktober 2006 (Klagebeilage 23) stimmt die Beklagte auch diesem Verbesserungsvorschlag zu und führt aus, dass dieser umgesetzt werde. Der Flyer werde vollständig überarbeitet, wobei die vom Kläger genannten Punkte berücksichtigt würden. Weiter werde ein Ablauf- und Organisationsdiagramm für das Kassenpersonal erstellt, aus welchem hervorgehe, wie bei der Herausgabe eines Abonnements (mit biometrischen Daten) vorzugehen sei. Aus den vorliegenden Unterlagen ist nicht ersichtlich, dass der Verbesserungsvorschlag von der Beklagten umgesetzt worden ist.

4.5 Dem Kläger ist zuzustimmen, dass einem Badegast (faktisch) keine Alternativlösung geboten wird, wenn er die Möglichkeit für den Erwerb eines Jahres- oder Halbjahresabonnements ohne Fingerprint-Lösung erst dann erhält, wenn er sich geweigert hat, ein solches mit dem aktuellen Zugangssystem zu akzeptieren. In den meisten Fällen wird der Gast sich (vermeintlich) mangels Alternative dazu bewegen lassen, seine biometrischen Daten zentral zu hinterlegen. Insofern kann hier nicht von Freiwilligkeit die Rede sein.

4.6 Im Weiteren wird der Gast auch nicht angemessen informiert, so dass er sich über die Tragweite seiner Entscheidung (vollends) im Klaren sein könnte. Der Flyer wird diesem offensichtlich gar nicht erst ausgehändigt. Wenn er schon bei der vorher vereinbarten Sachverhaltsfeststellung des Klägers erst nach einer kleineren Suchaktion überreicht werden kann, ist nicht davon auszugehen, dass er an einem "gewöhnlichen Tag" stets griffbereit ist, geschweige denn verteilt wird. Weiter scheint das Kassenpersonal weder spezifische Vorgaben noch eine besondere Schulung erhalten zu haben, wie beim Verkauf einer Dauerkarte vorzugehen ist. Dem Erfordernis der angemessenen Information kommt die Beklagte deshalb nicht genügend nach.
Über den Inhalt des Flyers und ob dieser ausreichend ist, braucht das Bundesverwaltungsgericht daher nicht weiter zu befinden. Zu bemerken sei hierzu lediglich, dass biometrische Daten (wohl unbestrittenermassen) sensibel sind und die Information hierüber umfassend sein müsste. Aufgrund der unbestrittenen Beschreibung des Klägers über den Informationsgehalt des Flyers und des Verbesserungsvorschlages lässt sich aber erahnen, dass dieser einer angemessenen Aufklärung nicht genügend Rechnung trägt.

5.
Eine Verletzung der Persönlichkeit ist ebenfalls nicht widerrechtlich, wenn sie durch ein überwiegendes privates Interesse gerechtfertigt ist (Art. 13 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG). Seitens des Datenbearbeiters sind nur die privaten Interessen an der zu rechtfertigenden Datenbearbeitung zu berücksichtigen. Zu ermitteln sind dabei sowohl das Interesse am Zweck als auch an den Mitteln der Datenbearbeitung, mit welchen der Zweck erreicht werden soll. Die Mittel der Datenbearbeitung umfassen insbesondere die Art und Weise der Datenbearbeitung und die Art und Auswahl der Personendaten (David Rosenthal, Handkommentar DSG, Art. 13 Abs. 1 N 8).

5.1 Die Beklagte bringt in diesem Zusammenhang vor, durch die Anpassungen im Sinne des Klagebegehrens entstünden hohe Anschaffungskosten und zusätzlicher logistischer Aufwand.

5.2 Der Kläger führt hingegen aus, es liege in der Verantwortung des Inhabers der Datensammlung dafür zu sorgen, dass eine Anlage zum vornherein datenschutzkonform sei. Insofern seien die Änderungskosten und der zusätzliche logistische Aufwand keine stichhaltigen Argumente.

5.3 Die Interessen der Beklagten sind nicht zu berücksichtigen, weil sich diese nicht auf die Datenverarbeitung selbst beziehen, sondern nur auf die Unannehmlichkeiten abstellen, die eine allfälligen Änderung im Sinne des Klägers mit sich brächten. Diese Interessen haben beim Rechtfertigungsgrund der überwiegenden privaten Interessen im Sinne von Art. 13 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG - wie den vorstehenden Erwägungen zu entnehmen ist - kein Gewicht. Insofern liegt auch keine Rechtfertigung vor.

6.
Zusammenfassend ergibt sich, dass die Beklagte mit dem bisherigen Zugangssystem und der entsprechenden Art und Weise der Bearbeitung der biometrischen Daten den Grundsatz der Verhältnismässigkeit verletzt. Diese Verletzung ist weder durch Einwilligung noch durch überwiegende private Interessen gerechtfertigt. Es kann damit offen gelassen werden, ob auch die Gefahr besteht, dass die Daten exportiert, kopiert und unbefugt weiterverarbeitet werden könnten, mithin die Datensicherheit nach Art. 7
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 7 Protection des données dès la conception et par défaut - 1 Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.
1    Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.
2    Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l'état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées.
3    Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n'en dispose pas autrement.
DSG nicht gewährleistet ist, wie dies der Kläger weiter vorbringt.
Aufgabe des Bundesverwaltungsgerichts ist es festzustellen, ob ein Zugangssystem datenschutzkonform ist. Es ist hingegen nicht dessen Aufgabe festzulegen, welche Art und Weise der Bearbeitung bei der Verwendung von biometrischen Daten angezeigt ist, mithin ein umfassendes (datenschutzkonformes) Zugangssystem zu liefern. Das vom Kläger vorgeschlagene System erscheint dem Bundesverwaltungsgericht auf den ersten Blick geeignet und den gesetzlichen Anforderungen an die Bearbeitung von biometrischen Daten gewachsen zu sein. Zumindest stellt es ein milderes Mittel im Sinne der Erforderlichkeit im Rahmen der Verhältnismässigkeitsprüfung dar. Da sich die Zuordnungsliste aus technischen Gründen nicht aus der zentralen Datenbank und daher nicht von den entsprechenden Templates entfernen lässt (Eingabe der Beklagten vom 16. März 2009), ist eine für die Beklagte weniger einschneidende Massnahme im Rahmen des vorliegenden Verfahrens nicht ersichtlich. Zur Überprüfung einer Zugangsberechtigung könnte es etwa ausreichen, die Templates ohne Zuordnungsliste zu speichern und bei der Einlasskontrolle lediglich zu prüfen, ob das präsentierte Merkmal in der Datenbank vorhanden ist. Zumindest zwischen den Matchingvorgängen bestünde dann für die speichernde Stelle bei ausreichender Grösse der Datenbank keine Möglichkeit der Herstellung eines Personenbezugs (Gerrit Hornung, Der Personenbezug biometrischer Daten, in: Zeitschrift "Datenschutz und Datensicherheit", 28 [2004] 7, S. 430).
Der Beklagten steht es indes frei, von dem bisherigen System gänzlich abzusehen. Es besteht kein Grund, der Beklagten ein anderes Zugangssystem aufzuzwingen.

7.
Im Übrigen ist der Beklagten auch insofern nicht zu folgen als sie rügt, das Vorgehen des Klägers verletze den Grundsatz der Rechtsgleichheit und des Vertrauensschutzes, indem beispielsweise das Kontrollsystem der Bergbahnen nicht bemängelt werde und der Kläger im Rahmen ihres Beschaffungsprozesses keinen Einwand erhoben habe, obwohl gleichartige Systeme bereits im Einsatz gewesen seien.
7.1.1 Der Grundsatz des Vertrauensschutzes (Art. 9
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 9 Protection contre l'arbitraire et protection de la bonne foi - Toute personne a le droit d'être traitée par les organes de l'État sans arbitraire et conformément aux règles de la bonne foi.
BV) bedeutet, dass die Privaten Anspruch darauf haben, in ihrem berechtigten Vertrauen in behördliche Zusicherungen oder in anderes, bestimmte Erwartungen begründendes Verhalten der Behörden geschützt zu werden (HÄFELIN/MÜLLER/UHLMANN, a.a.O., Rz. 627). Damit sich jemand auf den Vertrauensschutz berufen kann wird u.a. eine Vertrauensgrundlage gefordert. Dabei kommt es auf den Bestimmtheitsgrad der Grundlage an, der so gross sein muss, dass der Private daraus die für seine Dispositionen massgebenden Informationen entnehmen kann (HÄFELIN/MÜLLER/UHLMANN, a.a.O., Rz. 631). Grundsätzlich hindert die vorübergehende Duldung eines rechtswidrigen Zustandes die Behörde nicht an der späteren Behebung dieses Zustandes. Eine Vertrauensgrundlage, die der Wiederherstellung der Rechtmässigkeit ganz oder teilweise entgegensteht, wird durch behördliche Untätigkeit nur in Ausnahmefällen geschaffen (HÄFELIN/MÜLLER/UHLMANN, a.a.O., Rz. 652). Weder kann sich die Beklagte vorliegend auf eine ausreichend bestimmte Vertrauensgrundlage stützen, wie etwa eine schriftliche oder mündliche Zusicherung des Klägers, noch kann sie sich im Sinne des Vertrauensschutzes darauf berufen, dass gleichartige - allenfalls auch datenschutzwidrige - Systeme im Einsatz gewesen seien und der Kläger nicht eingeschritten sei. Ein Ausnahmefall ist hier nicht ersichtlich und wird von der Beklagten auch nicht geltend gemacht.
7.1.2 Wie nachfolgend aufgezeigt, kann sich diese auch nicht auf den Grundsatz der Gleichbehandlung berufen. Der Anspruch auf Gleichbehandlung verlangt, dass Rechte und Pflichten der Betroffenen nach dem gleichen Massstab festzusetzen sind. Gleiches ist nach Massgabe seiner Gleichheit gleich, Ungleiches nach Massgabe seiner Ungleichheit ungleich zu behandeln. Das Gleichheitsprinzip verbietet einerseits unterschiedliche Regelungen, denen keine rechtlich erheblichen Unterscheidungen zu Grunde liegen. Andererseits untersagt es aber auch die rechtliche Gleichbehandlung von Fällen, die sich in tatsächlicher Hinsicht wesentlich unterscheiden. Die Gleichbehandlung durch den Gesetzgeber oder die rechtsanwendende Behörde ist allerdings nicht nur dann geboten, wenn zwei Tatbestände in allen ihren tatsächlichen Elementen absolut identisch sind, sondern auch, wenn die im Hinblick auf die zu erlassende oder anzuwendende Norm relevanten Tatsachen gleich sind (HÄFELIN/MÜLLER/UHLMANN, a.a.O., Rz. 495). Der Grundsatz der Gesetzmässigkeit der Verwaltung geht dem Rechtsgleichheitsprinzip im Konfliktfall in der Regel vor. Wenn eine Behörde in einem Fall eine vom Gesetz abweichende Entscheidung getroffen hat, gibt das den Privaten, die sich in der gleichen Lage befinden, grundsätzlich keinen Anspruch darauf, ebenfalls abweichend von der Norm behandelt zu werden (keine Gleichbehandlung im Unrecht). Dies gilt allerdings nur dann, wenn die abweichende Behandlung lediglich in einem einzigen oder in einigen wenigen Fällen erfolgt ist. Besteht hingegen eine eigentliche Praxis und lehnt es die Behörde ab, diese aufzugeben, so können Private verlangen, dass die widerrechtliche Begünstigung, die Dritten zuteil wurde, auch ihnen gewährt werde (Urteil des Bundesverwaltungsgerichts A-5541/2008 vom 2. Juli 2009 E. 5.1 mit Hinweisen; HÄFELIN/MÜLLER/UHLMANN, a.a.O., Rz. 518). Das von der Beklagten als Vergleich herangezogene Zugangssystem der Bergbahnen unterscheidet sich in wesentlichen Zügen von ihrem Zugangssystem. Wie der Kläger ausführt, waren die biometrischen Daten beim Zugangssystem der Bergbahnen in keiner Art und Weise Bestandteil der vorgenommenen Sachverhaltsabklärung, d.h. solche werden dabei offenbar auch nicht verwendet. Insofern unterscheiden sie sich in relevanten Tatsachen und taugen daher nicht für einen Vergleich. Im Übrigen ist der Kläger gewillt, die einmal entwickelte Rechtsprechung in Bezug auf die gleichartige Bearbeitung biometrischer Daten in sämtlichen Bereichen anzuwenden und so einer einheitlichen Handhabung zu Durchbruch zu verhelfen.

8.
Aus diesen Gründen ist die Klage im Sinne der Erwägungen gutzuheissen.

9.
Gemäss Art. 69 Abs. 1
SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale
PCF Art. 69 - 1 Le tribunal statue d'office sur les frais du procès conformément aux art. 65, 66 et 68 LTF32.33
1    Le tribunal statue d'office sur les frais du procès conformément aux art. 65, 66 et 68 LTF32.33
2    Lorsqu'il y a plusieurs demandeurs ou plusieurs défendeurs, le tribunal décide selon sa libre appréciation si c'est solidairement qu'ils supportent les frais ou peuvent se les faire rembourser et dans quelle proportion entre eux, ou si c'est par tête ou proportionnelle ment à leur
3    Les parties produisent avant le jugement l'état détaillé de leurs frais.
BZP entscheidet das Gericht über die Prozesskosten von Amtes wegen nach den Art. 65
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 65 Frais judiciaires - 1 Les frais judiciaires comprennent l'émolument judiciaire, l'émolument pour la copie de mémoires, les frais de traduction, sauf d'une langue officielle à une autre, et les indemnités versées aux experts et aux témoins.
1    Les frais judiciaires comprennent l'émolument judiciaire, l'émolument pour la copie de mémoires, les frais de traduction, sauf d'une langue officielle à une autre, et les indemnités versées aux experts et aux témoins.
2    L'émolument judiciaire est calculé en fonction de la valeur litigieuse, de l'ampleur et de la difficulté de la cause, de la façon de procéder des parties et de leur situation financière.
3    Son montant est fixé en règle générale:
a  entre 200 et 5000 francs dans les contestations non pécuniaires;
b  entre 200 et 100 000 francs dans les autres contestations.
4    Il est fixé entre 200 et 1000 francs, indépendamment de la valeur litigieuse, dans les affaires qui concernent:
a  des prestations d'assurance sociale;
b  des discriminations à raison du sexe;
c  des litiges résultant de rapports de travail, pour autant que la valeur litigieuse ne dépasse pas 30 000 francs;
d  des litiges concernant les art. 7 et 8 de la loi du 13 décembre 2002 sur l'égalité pour les handicapés24.
5    Si des motifs particuliers le justifient, le Tribunal fédéral peut majorer ces montants jusqu'au double dans les cas visés à l'al. 3 et jusqu'à 10 000 francs dans les cas visés à l'al. 4.
, 66
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 66 Recouvrement des frais judiciaires - 1 En règle générale, les frais judiciaires sont mis à la charge de la partie qui succombe. Si les circonstances le justifient, le Tribunal fédéral peut les répartir autrement ou renoncer à les mettre à la charge des parties.
1    En règle générale, les frais judiciaires sont mis à la charge de la partie qui succombe. Si les circonstances le justifient, le Tribunal fédéral peut les répartir autrement ou renoncer à les mettre à la charge des parties.
2    Si une affaire est liquidée par un désistement ou une transaction, les frais judiciaires peuvent être réduits ou remis.
3    Les frais causés inutilement sont supportés par celui qui les a engendrés.
4    En règle générale, la Confédération, les cantons, les communes et les organisations chargées de tâches de droit public ne peuvent se voir imposer de frais judiciaires s'ils s'adressent au Tribunal fédéral dans l'exercice de leurs attributions officielles sans que leur intérêt patrimonial soit en cause ou si leurs décisions font l'objet d'un recours.
5    Sauf disposition contraire, les frais judiciaires mis conjointement à la charge de plusieurs personnes sont supportés par elles à parts égales et solidairement.
und 68
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 68 Dépens - 1 Le Tribunal fédéral décide, dans son arrêt, si et dans quelle mesure les frais de la partie qui obtient gain de cause sont supportés par celle qui succombe.
1    Le Tribunal fédéral décide, dans son arrêt, si et dans quelle mesure les frais de la partie qui obtient gain de cause sont supportés par celle qui succombe.
2    En règle générale, la partie qui succombe est tenue de rembourser à la partie qui a obtenu gain de cause, selon le tarif du Tribunal fédéral, tous les frais nécessaires causés par le litige.
3    En règle générale, aucuns dépens ne sont alloués à la Confédération, aux cantons, aux communes ou aux organisations chargées de tâches de droit public lorsqu'ils obtiennent gain de cause dans l'exercice de leurs attributions officielles.
4    L'art. 66, al. 3 et 5, est applicable par analogie.
5    Le Tribunal fédéral confirme, annule ou modifie, selon le sort de la cause, la décision de l'autorité précédente sur les dépens. Il peut fixer lui-même les dépens d'après le tarif fédéral ou cantonal applicable ou laisser à l'autorité précédente le soin de les fixer.
des Bundesgerichtsgesetzes vom 17. Juni 2005 (BGG, SR 173.110). Die Gerichtskosten bestehen in der Gerichtsgebühr, der Gebühr für das Kopieren von Rechtsschriften, den Auslagen für Übersetzungen, ausgenommen solche zwischen Amtssprachen, und den Entschädigungen für Sachverständige sowie für Zeugen und Zeuginnen. Die Gerichtsgebühr richtet sich nach Streitwert, Umfang und Schwierigkeit der Sache, Art der Prozessführung und finanzieller Lage der Parteien. Sie beträgt in der Regel zwischen 200-5000 Franken in Streitigkeiten ohne Vermögensinteresse (Art. 65 Abs. 1 bis
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 65 Frais judiciaires - 1 Les frais judiciaires comprennent l'émolument judiciaire, l'émolument pour la copie de mémoires, les frais de traduction, sauf d'une langue officielle à une autre, et les indemnités versées aux experts et aux témoins.
1    Les frais judiciaires comprennent l'émolument judiciaire, l'émolument pour la copie de mémoires, les frais de traduction, sauf d'une langue officielle à une autre, et les indemnités versées aux experts et aux témoins.
2    L'émolument judiciaire est calculé en fonction de la valeur litigieuse, de l'ampleur et de la difficulté de la cause, de la façon de procéder des parties et de leur situation financière.
3    Son montant est fixé en règle générale:
a  entre 200 et 5000 francs dans les contestations non pécuniaires;
b  entre 200 et 100 000 francs dans les autres contestations.
4    Il est fixé entre 200 et 1000 francs, indépendamment de la valeur litigieuse, dans les affaires qui concernent:
a  des prestations d'assurance sociale;
b  des discriminations à raison du sexe;
c  des litiges résultant de rapports de travail, pour autant que la valeur litigieuse ne dépasse pas 30 000 francs;
d  des litiges concernant les art. 7 et 8 de la loi du 13 décembre 2002 sur l'égalité pour les handicapés24.
5    Si des motifs particuliers le justifient, le Tribunal fédéral peut majorer ces montants jusqu'au double dans les cas visés à l'al. 3 et jusqu'à 10 000 francs dans les cas visés à l'al. 4.
3 Bst. a BGG). Für das vorliegende Klageverfahren werden die Kosten auf Fr. 1'500.-- bestimmt.

9.1 Nach Art. 66
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 66 Recouvrement des frais judiciaires - 1 En règle générale, les frais judiciaires sont mis à la charge de la partie qui succombe. Si les circonstances le justifient, le Tribunal fédéral peut les répartir autrement ou renoncer à les mettre à la charge des parties.
1    En règle générale, les frais judiciaires sont mis à la charge de la partie qui succombe. Si les circonstances le justifient, le Tribunal fédéral peut les répartir autrement ou renoncer à les mettre à la charge des parties.
2    Si une affaire est liquidée par un désistement ou une transaction, les frais judiciaires peuvent être réduits ou remis.
3    Les frais causés inutilement sont supportés par celui qui les a engendrés.
4    En règle générale, la Confédération, les cantons, les communes et les organisations chargées de tâches de droit public ne peuvent se voir imposer de frais judiciaires s'ils s'adressent au Tribunal fédéral dans l'exercice de leurs attributions officielles sans que leur intérêt patrimonial soit en cause ou si leurs décisions font l'objet d'un recours.
5    Sauf disposition contraire, les frais judiciaires mis conjointement à la charge de plusieurs personnes sont supportés par elles à parts égales et solidairement.
BGG werden die Gerichtskosten in der Regel der unterliegenden Partei auferlegt. Vorliegend besteht kein Anlass, von dieser Regel abzuweichen. Gemäss Ausgang dieses Verfahrens trägt daher die Beklagte als unterliegende Partei die Verfahrenskosten in der Höhe von Fr. 1'500.--. Der Betrag ist innert 30 Tagen nach Eintritt der Rechtskraft des vorliegenden Urteils zu Gunsten der Gerichtskasse zu überweisen.

9.2 Im Urteil wird bestimmt, ob und in welchem Mass die Kosten der obsiegenden Partei von der unterliegenden zu ersetzen sind. Bund, Kantonen und Gemeinden sowie mit öffentlich-rechtlichen Aufgaben betrauten Organisationen wird in der Regel keine Parteikostenentschädigung zugesprochen, wenn sie in ihrem amtlichen Wirkungskreis obsiegen (Art. 68 Abs. 1
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 68 Dépens - 1 Le Tribunal fédéral décide, dans son arrêt, si et dans quelle mesure les frais de la partie qui obtient gain de cause sont supportés par celle qui succombe.
1    Le Tribunal fédéral décide, dans son arrêt, si et dans quelle mesure les frais de la partie qui obtient gain de cause sont supportés par celle qui succombe.
2    En règle générale, la partie qui succombe est tenue de rembourser à la partie qui a obtenu gain de cause, selon le tarif du Tribunal fédéral, tous les frais nécessaires causés par le litige.
3    En règle générale, aucuns dépens ne sont alloués à la Confédération, aux cantons, aux communes ou aux organisations chargées de tâches de droit public lorsqu'ils obtiennent gain de cause dans l'exercice de leurs attributions officielles.
4    L'art. 66, al. 3 et 5, est applicable par analogie.
5    Le Tribunal fédéral confirme, annule ou modifie, selon le sort de la cause, la décision de l'autorité précédente sur les dépens. Il peut fixer lui-même les dépens d'après le tarif fédéral ou cantonal applicable ou laisser à l'autorité précédente le soin de les fixer.
und 3
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 68 Dépens - 1 Le Tribunal fédéral décide, dans son arrêt, si et dans quelle mesure les frais de la partie qui obtient gain de cause sont supportés par celle qui succombe.
1    Le Tribunal fédéral décide, dans son arrêt, si et dans quelle mesure les frais de la partie qui obtient gain de cause sont supportés par celle qui succombe.
2    En règle générale, la partie qui succombe est tenue de rembourser à la partie qui a obtenu gain de cause, selon le tarif du Tribunal fédéral, tous les frais nécessaires causés par le litige.
3    En règle générale, aucuns dépens ne sont alloués à la Confédération, aux cantons, aux communes ou aux organisations chargées de tâches de droit public lorsqu'ils obtiennent gain de cause dans l'exercice de leurs attributions officielles.
4    L'art. 66, al. 3 et 5, est applicable par analogie.
5    Le Tribunal fédéral confirme, annule ou modifie, selon le sort de la cause, la décision de l'autorité précédente sur les dépens. Il peut fixer lui-même les dépens d'après le tarif fédéral ou cantonal applicable ou laisser à l'autorité précédente le soin de les fixer.
BGG). Der obsiegende Kläger hat in diesem Sinne keinen Anspruch auf eine Parteikostenentschädigung.

Demnach erkennt das Bundesverwaltungsgericht:

1.
Die Klage wird im Sinne der Erwägungen gutgeheissen.

2.
Die Verfahrenskosten von Fr. 1'500.-- werden der Beklagten auferlegt. Der Betrag ist innert 30 Tagen nach Eintritt der Rechtskraft des vorliegenden Urteils zu Gunsten der Gerichtskasse zu überweisen. Die Zustellung des Einzahlungsscheins erfolgt mit separater Post.

3.
Es wird keine Parteikostenentschädigung gesprochen.

4.
Dieses Urteil geht an:
den Kläger (Gerichtsurkunde)
die Beklagte (Gerichtsurkunde)

Der vorsitzende Richter: Der Gerichtsschreiber:

André Moser Stefan von Gunten

Rechtsmittelbelehrung:
Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bundesgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Angelegenheiten geführt werden (Art. 82 ff
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 82 Principe - Le Tribunal fédéral connaît des recours:
a  contre les décisions rendues dans des causes de droit public;
b  contre les actes normatifs cantonaux;
c  qui concernent le droit de vote des citoyens ainsi que les élections et votations populaires.
., 90 ff. und 100 des Bundesgerichtsgesetzes vom 17. Juni 2005 [BGG, SR 173.110]). Die Rechtsschrift ist in einer Amtssprache abzufassen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie die beschwerdeführende Partei in Händen hat, beizulegen (vgl. Art. 42
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 42 Mémoires - 1 Les mémoires doivent être rédigés dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signés.
1    Les mémoires doivent être rédigés dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signés.
2    Les motifs doivent exposer succinctement en quoi l'acte attaqué viole le droit. Si le recours n'est recevable que lorsqu'il soulève une question juridique de principe ou qu'il porte sur un cas particulièrement important pour d'autres motifs, il faut exposer en quoi l'affaire remplit la condition exigée.15 16
3    Les pièces invoquées comme moyens de preuve doivent être jointes au mémoire, pour autant qu'elles soient en mains de la partie; il en va de même de la décision attaquée si le mémoire est dirigé contre une décision.
4    En cas de transmission électronique, le mémoire doit être muni de la signature électronique qualifiée de la partie ou de son mandataire au sens de la loi du 18 mars 2016 sur la signature électronique17. Le Tribunal fédéral détermine dans un règlement:
a  le format du mémoire et des pièces jointes;
b  les modalités de la transmission;
c  les conditions auxquelles il peut exiger, en cas de problème technique, que des documents lui soient adressés ultérieurement sur papier.18
5    Si la signature de la partie ou de son mandataire, la procuration ou les annexes prescrites font défaut, ou si le mandataire n'est pas autorisé, le Tribunal fédéral impartit un délai approprié à la partie pour remédier à l'irrégularité et l'avertit qu'à défaut le mémoire ne sera pas pris en considération.
6    Si le mémoire est illisible, inconvenant, incompréhensible ou prolixe ou qu'il n'est pas rédigé dans une langue officielle, le Tribunal fédéral peut le renvoyer à son auteur; il impartit à celui-ci un délai approprié pour remédier à l'irrégularité et l'avertit qu'à défaut le mémoire ne sera pas pris en considération.
7    Le mémoire de recours introduit de manière procédurière ou à tout autre égard abusif est irrecevable.
BGG).

Versand:
Information de décision   •   DEFRITEN
Document : A-3908/2008
Date : 04 août 2009
Publié : 12 août 2009
Source : Tribunal administratif fédéral
Statut : Publié comme BVGE-2009-44
Domaine : protection des données
Objet : Umsetzung einer Empfehlung des EDÖB


Répertoire des lois
Cst: 9 
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 9 Protection contre l'arbitraire et protection de la bonne foi - Toute personne a le droit d'être traitée par les organes de l'État sans arbitraire et conformément aux règles de la bonne foi.
13
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
LPD: 2 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
3 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
4 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
7 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 7 Protection des données dès la conception et par défaut - 1 Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.
1    Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.
2    Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l'état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées.
3    Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n'en dispose pas autrement.
12 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
13 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
29 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
36
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 36 Communication de données personnelles - 1 Les organes fédéraux ne sont en droit de communiquer des données personnelles que si une base légale au sens de l'art. 34, al. 1 à 3, le prévoit.
1    Les organes fédéraux ne sont en droit de communiquer des données personnelles que si une base légale au sens de l'art. 34, al. 1 à 3, le prévoit.
2    En dérogation à l'al. 1, ils peuvent, dans un cas d'espèce, communiquer des données personnelles si l'une des conditions suivantes est remplie:
a  la communication des données est indispensable à l'accomplissement des tâches légales du responsable du traitement ou du destinataire;
b  la personne concernée a consenti à la communication des données;
c  la communication des données est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
d  la personne concernée a rendu ses données accessibles à tout un chacun et ne s'est pas expressément opposée à la communication;
e  le destinataire rend vraisemblable que la personne concernée ne refuse son consentement ou ne s'oppose à la communication que dans le but de l'empêcher de se prévaloir de prétentions juridiques ou de faire valoir d'autres intérêts légitimes; à moins que cela ne s'avère impossible ou ne nécessite des efforts disproportionnés, la personne concernée sera auparavant invitée à se prononcer.
3    Les organes fédéraux peuvent en outre communiquer des données personnelles, d'office, dans le cadre de l'information officielle du public, ou en vertu de la loi du 17 décembre 2004 sur la transparence9, si les conditions suivantes sont réunies:
a  les données sont en rapport avec l'accomplissement de tâches publiques;
b  la communication répond à un intérêt public prépondérant.
4    Ils sont en droit de communiquer, sur demande, le nom, le prénom, l'adresse et la date de naissance d'une personne, même si les conditions des al. 1 ou 2 ne sont pas remplies.
5    Ils peuvent rendre accessibles des données personnelles à tout un chacun au moyen de services d'information et de communication automatisés lorsqu'une base légale prévoit la publication de ces données ou que ces organes communiquent des données sur la base de l'al. 3. Lorsqu'il n'existe plus d'intérêt public à rendre accessibles ces données, elles doivent être effacées du service d'information et de communication automatisé.
6    Ils refusent la communication, la restreignent ou l'assortissent de charges:
a  si un intérêt public important ou un intérêt digne de protection manifeste de la personne concernée l'exige, ou
b  si une obligation légale de garder le secret ou une disposition particulière de protection des données l'exige.
LTAF: 35 
SR 173.32 Loi du 17 juin 2005 sur le Tribunal administratif fédéral (LTAF)
LTAF Art. 35 Principe - Le Tribunal administratif fédéral connaît par voie d'action en première instance:
a  des contestations qui reposent sur des contrats de droit public signés par la Confédération, ses établissements, ses entreprises ou par des organisations visées à l'art. 33, let. h;
b  ...
c  des contestations opposant la Banque nationale et la Confédération au sujet des conventions sur les services bancaires et de la convention sur la répartition du bénéfice;
d  des demandes de confiscation de valeurs patrimoniales conformément à la loi du 18 décembre 2015 sur les valeurs patrimoniales d'origine illicite53.
44
SR 173.32 Loi du 17 juin 2005 sur le Tribunal administratif fédéral (LTAF)
LTAF Art. 44 - 1 Lorsque le Tribunal administratif fédéral statue en tant que première instance, la procédure est régie par les art. 3 à 73 et 79 à 85 de la loi fédérale du 4 décembre 1947 sur la procédure civile61.
1    Lorsque le Tribunal administratif fédéral statue en tant que première instance, la procédure est régie par les art. 3 à 73 et 79 à 85 de la loi fédérale du 4 décembre 1947 sur la procédure civile61.
2    Le Tribunal administratif fédéral établit les faits d'office.
3    Les émoluments judiciaires et les dépens sont régis par les art. 63 à 65 PA62.63
LTF: 42 
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 42 Mémoires - 1 Les mémoires doivent être rédigés dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signés.
1    Les mémoires doivent être rédigés dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signés.
2    Les motifs doivent exposer succinctement en quoi l'acte attaqué viole le droit. Si le recours n'est recevable que lorsqu'il soulève une question juridique de principe ou qu'il porte sur un cas particulièrement important pour d'autres motifs, il faut exposer en quoi l'affaire remplit la condition exigée.15 16
3    Les pièces invoquées comme moyens de preuve doivent être jointes au mémoire, pour autant qu'elles soient en mains de la partie; il en va de même de la décision attaquée si le mémoire est dirigé contre une décision.
4    En cas de transmission électronique, le mémoire doit être muni de la signature électronique qualifiée de la partie ou de son mandataire au sens de la loi du 18 mars 2016 sur la signature électronique17. Le Tribunal fédéral détermine dans un règlement:
a  le format du mémoire et des pièces jointes;
b  les modalités de la transmission;
c  les conditions auxquelles il peut exiger, en cas de problème technique, que des documents lui soient adressés ultérieurement sur papier.18
5    Si la signature de la partie ou de son mandataire, la procuration ou les annexes prescrites font défaut, ou si le mandataire n'est pas autorisé, le Tribunal fédéral impartit un délai approprié à la partie pour remédier à l'irrégularité et l'avertit qu'à défaut le mémoire ne sera pas pris en considération.
6    Si le mémoire est illisible, inconvenant, incompréhensible ou prolixe ou qu'il n'est pas rédigé dans une langue officielle, le Tribunal fédéral peut le renvoyer à son auteur; il impartit à celui-ci un délai approprié pour remédier à l'irrégularité et l'avertit qu'à défaut le mémoire ne sera pas pris en considération.
7    Le mémoire de recours introduit de manière procédurière ou à tout autre égard abusif est irrecevable.
65 
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 65 Frais judiciaires - 1 Les frais judiciaires comprennent l'émolument judiciaire, l'émolument pour la copie de mémoires, les frais de traduction, sauf d'une langue officielle à une autre, et les indemnités versées aux experts et aux témoins.
1    Les frais judiciaires comprennent l'émolument judiciaire, l'émolument pour la copie de mémoires, les frais de traduction, sauf d'une langue officielle à une autre, et les indemnités versées aux experts et aux témoins.
2    L'émolument judiciaire est calculé en fonction de la valeur litigieuse, de l'ampleur et de la difficulté de la cause, de la façon de procéder des parties et de leur situation financière.
3    Son montant est fixé en règle générale:
a  entre 200 et 5000 francs dans les contestations non pécuniaires;
b  entre 200 et 100 000 francs dans les autres contestations.
4    Il est fixé entre 200 et 1000 francs, indépendamment de la valeur litigieuse, dans les affaires qui concernent:
a  des prestations d'assurance sociale;
b  des discriminations à raison du sexe;
c  des litiges résultant de rapports de travail, pour autant que la valeur litigieuse ne dépasse pas 30 000 francs;
d  des litiges concernant les art. 7 et 8 de la loi du 13 décembre 2002 sur l'égalité pour les handicapés24.
5    Si des motifs particuliers le justifient, le Tribunal fédéral peut majorer ces montants jusqu'au double dans les cas visés à l'al. 3 et jusqu'à 10 000 francs dans les cas visés à l'al. 4.
66 
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 66 Recouvrement des frais judiciaires - 1 En règle générale, les frais judiciaires sont mis à la charge de la partie qui succombe. Si les circonstances le justifient, le Tribunal fédéral peut les répartir autrement ou renoncer à les mettre à la charge des parties.
1    En règle générale, les frais judiciaires sont mis à la charge de la partie qui succombe. Si les circonstances le justifient, le Tribunal fédéral peut les répartir autrement ou renoncer à les mettre à la charge des parties.
2    Si une affaire est liquidée par un désistement ou une transaction, les frais judiciaires peuvent être réduits ou remis.
3    Les frais causés inutilement sont supportés par celui qui les a engendrés.
4    En règle générale, la Confédération, les cantons, les communes et les organisations chargées de tâches de droit public ne peuvent se voir imposer de frais judiciaires s'ils s'adressent au Tribunal fédéral dans l'exercice de leurs attributions officielles sans que leur intérêt patrimonial soit en cause ou si leurs décisions font l'objet d'un recours.
5    Sauf disposition contraire, les frais judiciaires mis conjointement à la charge de plusieurs personnes sont supportés par elles à parts égales et solidairement.
68 
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 68 Dépens - 1 Le Tribunal fédéral décide, dans son arrêt, si et dans quelle mesure les frais de la partie qui obtient gain de cause sont supportés par celle qui succombe.
1    Le Tribunal fédéral décide, dans son arrêt, si et dans quelle mesure les frais de la partie qui obtient gain de cause sont supportés par celle qui succombe.
2    En règle générale, la partie qui succombe est tenue de rembourser à la partie qui a obtenu gain de cause, selon le tarif du Tribunal fédéral, tous les frais nécessaires causés par le litige.
3    En règle générale, aucuns dépens ne sont alloués à la Confédération, aux cantons, aux communes ou aux organisations chargées de tâches de droit public lorsqu'ils obtiennent gain de cause dans l'exercice de leurs attributions officielles.
4    L'art. 66, al. 3 et 5, est applicable par analogie.
5    Le Tribunal fédéral confirme, annule ou modifie, selon le sort de la cause, la décision de l'autorité précédente sur les dépens. Il peut fixer lui-même les dépens d'après le tarif fédéral ou cantonal applicable ou laisser à l'autorité précédente le soin de les fixer.
82
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 82 Principe - Le Tribunal fédéral connaît des recours:
a  contre les décisions rendues dans des causes de droit public;
b  contre les actes normatifs cantonaux;
c  qui concernent le droit de vote des citoyens ainsi que les élections et votations populaires.
PCF: 3 
SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale
PCF Art. 3 - 1 Le juge examine d'office la recevabilité de l'action et de tous actes de procédure.
1    Le juge examine d'office la recevabilité de l'action et de tous actes de procédure.
2    Le juge ne peut aller au-delà des conclusions des parties, ni fonder son jugement sur d'autres faits que ceux qui ont été allégués dans l'instance. Toutefois il doit attirer l'attention des parties sur les lacunes de leurs conclusions et les engager à articuler complètement les faits et les preuves nécessaires à la manifestation de la vérité. A cet effet, il peut en tout état de cause interpeller les parties personnellement.
69 
SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale
PCF Art. 69 - 1 Le tribunal statue d'office sur les frais du procès conformément aux art. 65, 66 et 68 LTF32.33
1    Le tribunal statue d'office sur les frais du procès conformément aux art. 65, 66 et 68 LTF32.33
2    Lorsqu'il y a plusieurs demandeurs ou plusieurs défendeurs, le tribunal décide selon sa libre appréciation si c'est solidairement qu'ils supportent les frais ou peuvent se les faire rembourser et dans quelle proportion entre eux, ou si c'est par tête ou proportionnelle ment à leur
3    Les parties produisent avant le jugement l'état détaillé de leurs frais.
73 
SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale
PCF Art. 73 - 1 La transaction passée entre les parties devant le juge ou remise au juge pour être consignée au procès-verbal, de même que le désistement d'une partie, mettent fin au procès.
1    La transaction passée entre les parties devant le juge ou remise au juge pour être consignée au procès-verbal, de même que le désistement d'une partie, mettent fin au procès.
2    La transaction judiciaire peut aussi porter sur des points qui, bien qu'étrangers au procès, sont litigieux entre les parties ou entre une partie et un tiers, en tant que cela favorise la fin du procès.
3    Lorsque le défendeur allègue par voie d'exception que la prétention est inexigible ou subordonnée à une condition ou oppose un vice de forme, le demandeur peut retirer son action en se réservant de l'introduire à nouveau dès que la prétention sera exigible, la condition accomplie ou le vice de forme réparé.
4    La transaction judiciaire et le désistement ont la force exécutoire d'un jugement.
79 
SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale
PCF Art. 79 - 1 Le juge peut ordonner des mesures provisionnelles:
1    Le juge peut ordonner des mesures provisionnelles:
a  pour protéger le possesseur contre tout acte d'usurpation ou de trouble et faire rentrer une partie en possession d'une chose indûment retenue;
b  pour écarter la menace d'un dommage difficile à réparer, notamment le dommage résultant de la modification, avant l'introduction de la demande ou en cours d'instance, de l'état de choses existant.
2    Il ne peut être pris de mesures provisionnelles pour la sûreté de créances soumises à la loi fédérale du 11 avril 1889 sur la poursuite pour dettes et la faillite38.
85
SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale
PCF Art. 85 - Sont réservées les dispositions spéciales d'autres lois fédérales en matière de mesures provisionnelles.
Répertoire ATF
114-IA-350 • 117-IB-197 • 119-II-456 • 122-II-193
Répertoire de mots-clés
Trié par fréquence ou alphabet
défendeur • personne concernée • tribunal administratif fédéral • empreinte digitale • données personnelles • base de données • chemin de fer de montagne • protection des données • intérêt privé • biométrie • jour • hameau • emploi • nécessité • utilisation • piscine • réponse • abonnement • sport • langue • prénom • état de fait • adresse • traitement électronique des données • frais judiciaires • égalité de traitement • demande • illicéité • constatation des faits • conclusions • autorisation ou approbation • frais de la procédure • proportionnalité • loi fédérale sur le tribunal fédéral • nombre • communication • greffier • média • partie intégrante • question • norme • volonté • langue officielle • préposé à la protection des données • moyen de preuve • fichier de données • sécurité des données • d'office • assurance donnée • hors • frais d'acquisition • acte judiciaire • chèque • transaction financière • aéroport • loi sur le tribunal administratif fédéral • décision • document écrit • pratique judiciaire et administrative • condition • installation sportive • duplique • réplique • étendue • constitution fédérale • avantage • déterminabilité • frais • jugement de valeur • sécurité du droit • organisation de l'état et administration • identité • président • jour déterminant • technologie rfid • loi fédérale de procédure civile fédérale • loi fédérale sur la protection des données • commission de la protection des données • maître du fichier • légalité • exception • dommage • accès • nullité • confédération • photographie • début • autorité judiciaire • examen • forme et contenu • motivation de la décision • recours en matière de droit public • dépense • excusabilité • calcul • fin • distance • lieu • rejet de la demande • étiquetage • inscription • déclaration • information • obligation de renseigner • offre de contracter • but • dividende • application ratione materiae • but de l'aménagement du territoire • force obligatoire • dimensions de la construction • travaux d'entretien • constitution d'un droit réel • application du droit • mesure • personne morale • tribunal fédéral • avocat • lausanne • copie • commune • france • connaissance • maxime de disposition • conseil fédéral • remplacement • comportement • mesure moins grave • tolérance • poids • indication des voies de droit • pierre • intermédiaire • témoin • délai • sortie • doute • bulletin de versement • italien • rencontre • peintre • signature • valeur litigieuse • consentement du lésé • patient • destruction • présentation
... Ne pas tout montrer
BVGer
A-3908/2008 • A-5541/2008
FF
2003/2127