Bundesgericht
Tribunal fédéral
Tribunale federale
Tribunal federal

4A 125/2020

Urteil vom 10. Dezember 2020

I. zivilrechtliche Abteilung

Besetzung
Bundesrichterin Kiss, Präsidentin,
Bundesrichterinnen Hohl, Niquille,
Bundesrichter Rüedi,
Bundesrichterin May Canellas
Gerichtsschreiber Luczak.

Verfahrensbeteiligte
1. A.A.________ AG,
2. A.B.________ AG,
3. A.C.________ AG,
alle drei vertreten durch
Rechtsanwalt Dr. Peter Hafner,
Beschwerdeführerinnen,

gegen

1. D.D.________,
2. E.D.________,
beide vertreten durch
Rechtsanwalt Dr. Valentin Landmann,
Beschwerdegegner.

Gegenstand
Datenschutz; Auskunft über Herkunftsangaben,

Beschwerde gegen das Urteil des Obergerichts des Kantons Zürich, I. Zivilkammer, vom 30. Januar 2020 (PP190037-O/U).

Sachverhalt:

A.

A.a. Die A.A.________ AG (Beschwerdeführerin 1) und die A.B.________ AG (Beschwerdeführerin 2) betreiben das Bankgeschäft. Deren Beteiligungen hält die A.C.________ AG (Beschwerdeführerin 3) als Holdinggesellschaft.
D.D.________ (Beschwerdegegner) und E.D.________ (Beschwerdegegnerin) unterhielten zunächst eine Geschäftsbeziehung zur Beschwerdeführerin 2. Diese Beziehung ging am 21. November 2016 zusammen mit den Datensammlungen über die Beschwerdegegner auf die Beschwerdeführerin 1 über.

A.b. Im April 2013 wurde der Beschwerdegegner von den US-amerikanischen Strafverfolgungsbehörden wegen Beihilfe zu Steuerdelikten angeklagt, was seinen Ausschluss aus der Anwaltskanzlei F.________ AG zur Folge hatte. Daraus resultierte ein Rechtsstreit zwischen der Anwaltskanzlei und dem Beschwerdegegner. Am 15. Dezember 2015 überwies die Anwaltskanzlei aus diesem Rechtsstreit Fr. 566'000.-- auf das Konto des Beschwerdegegners bei der Beschwerdeführerin 2.

A.c. Im Januar 2016 informierte die Beschwerdeführerin 2 die Beschwerdegegner, sie beabsichtige, die Geschäftsbeziehung mit dem Beschwerdegegner zu beenden. Am 24. und 25. Mai 2016 wurden die auf den Beschwerdegegner und auf beide Beschwerdegegner lautenden Konten saldiert. Am 11. Oktober 2016 wurde der Beschwerdegegner in der Datenbank der Beschwerdeführerin 2 mit der Bezeichnung "A.X.________" als "unerwünschter Kunde" (Code "UK") erfasst. Im November 2016 kündigte die Kreditkartengesellschaft G.________ GmbH das Kreditkartenkonto des Beschwerdegegners mit sofortiger Wirkung. Die Geschäftsbeziehung mit der Beschwerdegegnerin lösten die Beschwerdeführerinnen im Januar 2017 auf.

A.d. Die Beschwerdeführerin 2 hatte im Mai 2014 im Steuerstreit mit den US-amerikanischen Behörden einer Vergleichsvereinbarung mit der New Yorker Aufsichtsbehörde zugestimmt. Die Beschwerdeführerinnen behaupten im Wesentlichen, die Beschwerdeführerin 2 habe bei der Umsetzung der Vergleichsvereinbarung im November 2015 entschieden, die Geschäftsbeziehungen zu Personen zu beenden, die in den USA wegen Beihilfe zu Steuerdelikten angeklagt oder verurteilt worden seien. Dies schliesse den Beschwerdegegner ein. Im Dezember 2015 habe die Beschwerdeführerin 2 mit der Umsetzung dieses Entscheids begonnen.

A.e. Die Beschwerdegegner halten diese Begründung für vorgeschoben. Geht es nach ihnen, kontaktierte ein Partner der Anwaltskanzlei den General Counsel der Beschwerdeführerin 3 und informierte diesen, dass der Beschwerdegegner bei der Beschwerdeführerin 1 eine Bankkundenbeziehung habe. Dies sei angereichert worden mit der personenbezogenen Information, wonach der Beschwerdegegner in den USA wegen Beihilfe zur Steuerhinterziehung angeklagt sei und man der Bank rate, die Bankkundenbeziehung zu beenden. Darauf habe der General Counsel am Morgen des 21. Dezember 2015 von einem Mitarbeiter eine Liste der Personen angefordert, die in den USA wegen Beihilfe zu Steuerdelikten angeklagt oder verurteilt worden seien und deren Geschäftsbeziehungen gemäss einem bereits im November 2015 gefassten Beschluss beendet werden sollten. In der Folge habe man die Umsetzung des Entscheids veranlasst, wonach sämtliche Konten von Bankkunden, welche in den USA angeklagt waren, geschlossen würden, darunter jenes des Beschwerdegegners.

B.

B.a. Nach erfolglosem Schlichtungsversuch klagten die Beschwerdegegner beim Bezirksgericht Zürich auf Auskunft gemäss Datenschutzgesetz. An der Hauptverhandlung zog die Beschwerdegegnerin ihre Klagebegehren vollumfänglich zurück und der Beschwerdegegner teilweise. Mit den noch hängigen Rechtsbegehren verlangte der Beschwerdegegner im Wesentlichen (Ziff. 1) Auskunft über sämtliche Personendaten der Beschwerdeführerinnen mit inhaltlichem Bezug auf ihn und zwar konkret gemäss Ziff. 1 (iii) seiner Begehren betreffend die konsultierten und verwendeten Personendaten im Zusammenhang mit dem Zahlungseingang von Fr. 566'000.-- per 15. Dezember 2015. Dieses Begehren erfasste gemäss Rechtsbegehren Ziff. 3 mit gewissen Einschränkungen nicht nur den Datenbestand, der mittels EDV-Techniken erschliessbar ist, sondern auch den E-Mail- und Faxverkehr, soweit ihn der Beschwerdegegner nicht erhalten hatte, sowie Telefon- und Gesprächsnotizen sowie interne Unterlagen und Notizen.
Das Bezirksgericht erliess am 29. Juli 2019 eine Beweisverfügung, worin es Zeugenbefragungen des angesprochenen Partners der Anwaltskanzlei und eines weiteren Anwalts sowie eine Parteibefragung des General Counsel vorsah, und zwar gemäss Dispositivziffer 1 der Verfügung zu folgenden Behauptungen der Beschwerdegegner:

B.a.a.a.a) Dass im Zusammenhang mit der Zahlung von Fr. 566'000.-- an den Beschwerdegegner zwischen dem General Counsel der Beschwerdeführerin 3 und einem Partner der Anwaltskanzlei ein Gespräch stattgefunden hat.

B.a.a.a.b) Dass der Partner der Anwaltskanzlei im Zuge dieses Gesprächs dem General Counsel der Beschwerdeführerin 3 personenbezogene Informationen über den Beschwerdegegner mitgeteilt hat.

B.a.a.a.c) Dass der General Counsel der Beschwerdeführerin 3 den Inhalt dieses Gesprächs einer anderen Person schriftlich mitgeteilt hat oder dass der General Counsel der Beschwerdeführerin 3 den Inhalt dieses Gesprächs einem Mitarbeiter oder Organ einer der Beschwerdeführerinnen mündlich mitgeteilt hat, worauf diese Person den Inhalt dieses Gesprächs schriftlich festgehalten hat.

B.b. Gegen diese Beweisverfügung erhoben die Beschwerdeführerinnen Beschwerde, welche das Obergericht des Kantons Zürich am 30. Januar 2020 abwies, soweit es darauf eintrat. Es kam im Wesentlichen zum Schluss, die mit den Beweissätzen a) bis c) zum Beweis verstellten Tatsachen seien durch den Auskunftsanspruch gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, Datenschutzgesetz; SR 235.1) gedeckt. In Bezug auf die Beschwerdegegnerin hielt das Obergericht fest, ein formeller Abschreibungsbeschluss sei noch nicht erfolgt, vielmehr sei sie in der angefochtenen Verfügung immer noch als Partei aufgeführt. Da ein Klagerückzug die Wirkung eines rechtskräftigen Entscheides habe, stelle sich die Frage der Parteistellung der Beschwerdegegnerin im Beschwerdeverfahren. Da die Beschwerdeführerinnen mit ihrer Beschwerde nicht durchdrangen, liess das Obergericht aber offen, ob insofern die Eintretensvoraussetzungen erfüllt seien.

C.
Die Beschwerdeführerinnen beantragen mit Beschwerde in Zivilsachen, der Entscheid des Obergerichts vom 30. Januar 2020 sei teilweise aufzuheben, die Beschwerde gegen die Beweisverfügung des Bezirksgerichts vom 29. Juli 2019 sei gutzuheissen und die Sache sei an das Obergericht zurückzuweisen mit der Weisung, die Sache an das Bezirksgericht zum Entscheid in der Hauptsache zurückzuweisen, unter ausgangsgemässer Verteilung der Prozesskosten vor Obergericht. Eventualiter sei die Sache zur Neubeurteilung an das Obergericht zurückzuweisen. Dem Gesuch der Beschwerdeführerinnen, ihrer Beschwerde die aufschiebende Wirkung zu erteilen, wurde am 9. April 2020 entsprochen. Die Beschwerdegegner beantragen, die Beschwerde sei abzuweisen. Das Obergericht hat auf eine Vernehmlassung verzichtet. Die Parteien haben unaufgefordert repliziert und dupliziert.

Erwägungen:

1.
Das Bundesgericht prüft von Amtes wegen und mit freier Kognition, ob ein Rechtsmittel zulässig ist (Art. 29 Abs. 1
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 29 Esame - 1 Il Tribunale federale esamina d'ufficio la sua competenza.
1    Il Tribunale federale esamina d'ufficio la sua competenza.
2    In caso di dubbio, procede a uno scambio di opinioni con l'autorità che presume competente.
BGG; BGE 143 III 140 E. 1 S. 143; 141 III 395 E. 2.1 S. 397; je mit Hinweisen).

1.1. Die Beweisverfügung stellt als prozessleitende Verfügung einen Zwischenentscheid dar. Die dagegen gerichtete Beschwerde wies die Vorinstanz ab, soweit sie darauf eintrat. Entscheide, mit denen ein Rechtsmittel gegen einen Zwischenentscheid abgewiesen wird, sind ihrerseits regelmässig Zwischenentscheide. Anders wäre lediglich dann zu entscheiden, wenn durch den Entscheid der letzten kantonalen Instanz ein Zwischenentscheid der ersten Instanz umgestossen und das erstinstanzliche Verfahren damit abgeschlossen würde (BGE 139 V 339 E. 3.2 S. 341, 604 E. 2.1 S. 606; vgl. zum Fall des Nichteintretens der Vorinstanz auf das Rechtsmittel: BGE 137 III 380 E. 1.1 S. 382; Urteile 4A 697/2016 vom 14. März 2017 E. 1.1; 4A 542/2009 vom 27. April 2010 E. 3).

1.2. Bei Zwischenentscheiden folgt der Rechtsweg jenem der Hauptsache (BGE 137 III 380 E. 1.1 S. 382; 133 III 645 E. 2.2 S. 647 f.). Der angefochtene Entscheid erging in Anwendung des Datenschutzgesetzes. Es geht um eine zivilrechtliche Klage zur Durchsetzung des Auskunftsrechts nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG, wobei der klagenden privaten Partei (Bankkunde) eine private Inhaberin einer Datensammlung (Bank) gegenübersteht. In einer solchen Konstellation mit zwei privaten Parteien handelt es sich um eine zivilrechtliche Streitigkeit, weshalb die Beschwerde in Zivilsachen grundsätzlich das zulässige Rechtsmittel an das Bundesgericht ist (Art. 72
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 72 Principio - 1 Il Tribunale federale giudica i ricorsi contro le decisioni pronunciate in materia civile.
1    Il Tribunale federale giudica i ricorsi contro le decisioni pronunciate in materia civile.
2    Al ricorso in materia civile soggiacciono anche:
a  le decisioni in materia di esecuzione e fallimento;
b  le decisioni in rapporto diretto con il diritto civile pronunciate in applicazione di norme di diritto pubblico, segnatamente le decisioni:
b1  sul riconoscimento e l'esecuzione di decisioni e sull'assistenza giudiziaria in materia civile,
b2  sulla tenuta del registro fondiario, dei registri dello stato civile, del registro di commercio e dei registri in materia di marchi, disegni e modelli, brevetti d'invenzione, varietà vegetali e topografie,
b3  sull'autorizzazione al cambiamento del nome,
b4  in materia di vigilanza sulle fondazioni, eccettuati gli istituti di previdenza e di libero passaggio,
b5  in materia di vigilanza sugli esecutori testamentari e altri rappresentanti previsti dal diritto successorio,
b6  in materia di protezione dei minori e degli adulti,
b7  ...
BGG). Das Streitwerterfordernis gilt nicht, da die vorliegende Angelegenheit, bei der nicht vermögensrechtliche Interessen im Vordergrund stehen, als nicht vermögensrechtlich zu betrachten ist (vgl. Urteile 4A 688/2011 vom 17. April 2012 E. 1; 5C.15/2001 vom 16. August 2001 E. 1).

1.3. Gegen selbständig eröffnete Vor- und Zwischenentscheide, die weder die Zuständigkeit noch den Ausstand betreffen, ist die Beschwerde zulässig, wenn sie einen nicht wieder gutzumachenden Nachteil bewirken können (Art. 93 Abs. 1 lit. a
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 93 Altre decisioni pregiudiziali e incidentali - 1 Il ricorso è ammissibile contro altre decisioni pregiudiziali e incidentali notificate separatamente se:
1    Il ricorso è ammissibile contro altre decisioni pregiudiziali e incidentali notificate separatamente se:
a  esse possono causare un pregiudizio irreparabile; o
b  l'accoglimento del ricorso comporterebbe immediatamente una decisione finale consentendo di evitare una procedura probatoria defatigante o dispendiosa.
2    Le decisioni pregiudiziali e incidentali nel campo dell'assistenza giudiziaria internazionale in materia penale e nel campo dell'asilo non sono impugnabili.86 Rimangono salvi i ricorsi contro le decisioni sulla carcerazione in vista d'estradizione come anche sul sequestro di beni e valori, sempreché siano adempiute le condizioni di cui al capoverso 1.
3    Se il ricorso in virtù dei capoversi 1 e 2 non è ammissibile o non è stato interposto, le decisioni pregiudiziali e incidentali possono essere impugnate mediante ricorso contro la decisione finale in quanto influiscano sul contenuto della stessa.
BGG) oder wenn die Gutheissung der Beschwerde sofort einen Endentscheid herbeiführen und damit einen bedeutenden Aufwand an Zeit oder Kosten für ein weitläufiges Beweisverfahren ersparen würde (Art. 93 Abs. 1 lit. b
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 93 Altre decisioni pregiudiziali e incidentali - 1 Il ricorso è ammissibile contro altre decisioni pregiudiziali e incidentali notificate separatamente se:
1    Il ricorso è ammissibile contro altre decisioni pregiudiziali e incidentali notificate separatamente se:
a  esse possono causare un pregiudizio irreparabile; o
b  l'accoglimento del ricorso comporterebbe immediatamente una decisione finale consentendo di evitare una procedura probatoria defatigante o dispendiosa.
2    Le decisioni pregiudiziali e incidentali nel campo dell'assistenza giudiziaria internazionale in materia penale e nel campo dell'asilo non sono impugnabili.86 Rimangono salvi i ricorsi contro le decisioni sulla carcerazione in vista d'estradizione come anche sul sequestro di beni e valori, sempreché siano adempiute le condizioni di cui al capoverso 1.
3    Se il ricorso in virtù dei capoversi 1 e 2 non è ammissibile o non è stato interposto, le decisioni pregiudiziali e incidentali possono essere impugnate mediante ricorso contro la decisione finale in quanto influiscano sul contenuto della stessa.
BGG). Die zweite Variante fällt hier ausser Betracht.
Nach der Rechtsprechung muss es sich um einen Nachteil rechtlicher Natur handeln, der auch durch einen für die beschwerdeführende Partei günstigen Entscheid in der Zukunft nicht mehr behoben werden kann (BGE 143 III 416 E. 1.3 S. 419; 141 III 80 E. 1.2, 395 E. 2.5 S. 399 f.; je mit Hinweisen). Rein tatsächliche Nachteile wie die Verlängerung oder Verteuerung des Verfahrens reichen nicht aus (BGE 142 III 798 E. 2.2 S. 801; 141 III 80 E. 1.2, 395 E. 2.5 S. 399 f. mit Hinweisen). Die selbständige Anfechtbarkeit von Zwischenentscheiden bildet aus prozessökonomischen Gründen eine Ausnahme vom Grundsatz, dass sich das Bundesgericht mit jeder Angelegenheit nur einmal befassen soll (BGE 142 III 798 E. 2.2 S. 801; 141 III 80 E. 1.2 S. 81). Die Ausnahme ist restriktiv zu handhaben (BGE 144 III 475 E. 1.2 S. 479 mit Hinweisen).
Es obliegt der beschwerdeführenden Partei darzutun, dass die Voraussetzungen von Art. 93
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 93 Altre decisioni pregiudiziali e incidentali - 1 Il ricorso è ammissibile contro altre decisioni pregiudiziali e incidentali notificate separatamente se:
1    Il ricorso è ammissibile contro altre decisioni pregiudiziali e incidentali notificate separatamente se:
a  esse possono causare un pregiudizio irreparabile; o
b  l'accoglimento del ricorso comporterebbe immediatamente una decisione finale consentendo di evitare una procedura probatoria defatigante o dispendiosa.
2    Le decisioni pregiudiziali e incidentali nel campo dell'assistenza giudiziaria internazionale in materia penale e nel campo dell'asilo non sono impugnabili.86 Rimangono salvi i ricorsi contro le decisioni sulla carcerazione in vista d'estradizione come anche sul sequestro di beni e valori, sempreché siano adempiute le condizioni di cui al capoverso 1.
3    Se il ricorso in virtù dei capoversi 1 e 2 non è ammissibile o non è stato interposto, le decisioni pregiudiziali e incidentali possono essere impugnate mediante ricorso contro la decisione finale in quanto influiscano sul contenuto della stessa.
BGG erfüllt sind, soweit deren Vorliegen nicht offensichtlich in die Augen springt (BGE 142 V 26 E. 1.2 S. 28; 141 III 80 E. 1.2 S. 81, 395 E. 2.5 S. 400; je mit Hinweisen).

1.4. Nach der bundesgerichtlichen Rechtsprechung bewirken Anordnungen betreffend die Beweisführung in aller Regel keinen nicht wieder gutzumachenden Nachteil, da mit Beschwerde gegen den Endentscheid für gewöhnlich erreicht werden kann, dass ein zu Unrecht verweigerter Beweis abgenommen oder ein zu Unrecht erhobener Beweis aus den Akten gewiesen wird (BGE 141 III 80 E. 1.2 S. 81; Urteile 5A 745/2014 vom 16. März 2015 E. 1.2.2; 5A 315/2012 vom 28. August 2012 E. 1.2.1). Davon gibt es Ausnahmen, so namentlich, wenn im Rahmen von Beweismassnahmen Geschäftsgeheimnisse offen gelegt werden müssen (zit. Urteil 5A 745/2014 E. 1.2.2; Urteile 4A 269/2011 vom 10. November 2011 E. 1.3 mit Hinweisen). Ferner liegt eine Ausnahme vor, wenn durch die Beweisabnahme Informationen offenbart würden, obwohl in der Hauptsache darüber gestritten wird, ob eben diese Informationen herausgegeben werden müssen. Auch in diesen Fällen kann mit der späteren Beschwerde gegen den Endentscheid keine Remedur mehr geschaffen werden (vgl. Urteil 4A 195/2010 vom 8. Juni 2010 E. 1.1.2).

1.5. Die Beschwerdegegner machen geltend, das Beweisverfahren solle aufzeigen, ob Personendaten über den Beschwerdegegner vorhanden seien, über die keine Auskunft erteilt worden sei. Gefragt sei also, ob solche Daten vorhanden seien und nicht, welchen Inhalt sie hätten. Der vorliegende Fall unterscheide sich vom Urteil 4A 195/2010 vom 8. Juni 2010. Denn die Beschwerdeführerinnen zeigten nicht auf, dass die Tatsachen, auf welche die Beweisverfügung ziele, objektiv schützenswert seien. Vielmehr habe die Erstinstanz einen Verweigerungsgrund nach Art. 9 Abs. 4
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG wegen Geheimhaltungsinteresses ausdrücklich verneint. Dies hätten die Beschwerdeführerinnen vor Vorinstanz nicht angefochten, weshalb es damit sein Bewenden habe.

1.6. Die Beschwerdeführerinnen tragen vor, die streitige Beweisverfügung verpflichte sie zu einer Auskunftserteilung, die über Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG hinausgehe. Ziele die Beweisabnahme über den materiellrechtlichen Anspruch hinaus, werde die betroffene Partei zu einer Auskunft verpflichtet, auf die von vornherein kein Anspruch bestehe. In diesem Fall schaffe ein zu Unrecht abgenommener Beweis einen rechtlichen Nachteil, der mit einem Rechtsmittel gegen den Endentscheid nicht behoben werden könne.

1.7. Im zu beurteilenden Fall sind zwei Aspekte auseinanderzuhalten: Einerseits die Tragweite des eingeklagten materiellen Anspruchs auf Auskunftserteilung gemäss Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG und andererseits die Voraussetzungen und der Umfang des Anspruchs auf Beweisabnahme nach Art. 150 Abs.1
SR 272 Codice di diritto processuale civile svizzero del 19 dicembre 2008 (Codice di procedura civile, CPC) - Codice di procedura civile
CPC Art. 150 Oggetto della prova - 1 Oggetto della prova sono i fatti controversi, se giuridicamente rilevanti.
1    Oggetto della prova sono i fatti controversi, se giuridicamente rilevanti.
2    Possono pure essere oggetto della prova l'uso e gli usi locali e, in caso di controversie patrimoniali, il diritto straniero.
und 152 Abs. 1
SR 272 Codice di diritto processuale civile svizzero del 19 dicembre 2008 (Codice di procedura civile, CPC) - Codice di procedura civile
CPC Art. 152 Diritto alla prova - 1 Ogni parte può pretendere che il giudice assuma tutti i pertinenti mezzi di prova offerti tempestivamente e nelle forme prescritte.
1    Ogni parte può pretendere che il giudice assuma tutti i pertinenti mezzi di prova offerti tempestivamente e nelle forme prescritte.
2    Il giudice prende in considerazione mezzi di prova ottenuti illecitamente soltanto se l'interesse all'accertamento della verità prevale.
ZPO (vgl. BGE 138 III 425 E. 4.4 S. 430 sowie im Zusammenhang mit der Auskunftspflicht nach Art. 170
SR 210 Codice civile svizzero del 10 dicembre 1907
CC Art. 170 - 1 Ciascun coniuge può esigere che l'altro lo informi su i suoi redditi, la sua sostanza e i suoi debiti.
1    Ciascun coniuge può esigere che l'altro lo informi su i suoi redditi, la sua sostanza e i suoi debiti.
2    A sua istanza, il giudice può obbligare l'altro coniuge o terzi a dare le informazioni occorrenti e a produrre i documenti necessari.
3    Resta salvo il segreto professionale degli avvocati, dei notai, dei medici, degli ecclesiastici e dei loro ausiliari.
ZGB: Urteile des Bundesgerichts 5A 635/2013 vom 28. Juli 2014 E. 3.2; 5A 421/2013 vom 19. August 2013 E. 1.2.1 f.).

1.7.1. Die Einvernahme eines Zeugen oder einer Partei im Prozess unterliegt prozessrechtlichen Regeln (Art. 160 ff
SR 272 Codice di diritto processuale civile svizzero del 19 dicembre 2008 (Codice di procedura civile, CPC) - Codice di procedura civile
CPC Art. 160 Obbligo di cooperazione - 1 Le parti e i terzi sono tenuti a cooperare all'assunzione delle prove. Devono in particolare:
1    Le parti e i terzi sono tenuti a cooperare all'assunzione delle prove. Devono in particolare:
a  in qualità di parte o testimone, dire la verità;
b  produrre documenti; sono eccettuati i documenti inerenti ai contatti tra una parte o un terzo e un avvocato autorizzato a esercitare la rappresentanza professionale in giudizio o un consulente in brevetti ai sensi dell'articolo 2 della legge del 20 marzo 200964 sui consulenti in brevetti;
c  tollerare l'ispezione oculare della loro persona o dei loro beni da parte di un consulente tecnico.
2    Il giudice decide secondo il proprio apprezzamento in merito all'obbligo di cooperazione dei minori. Prende in considerazione il bene del minore.
3    I terzi tenuti a cooperare hanno diritto a un adeguato indennizzo.
. ZPO). Der Umfang des eingeklagten materiellen Anspruchs auf Auskunftserteilung nach Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG beeinflusst den Umfang des Anspruchs auf Beweisabnahme im Prozess (Art. 8
SR 210 Codice civile svizzero del 10 dicembre 1907
CC Art. 8 - Ove la legge non disponga altrimenti, chi vuol dedurre il suo diritto da una circostanza di fatto da lui asserita, deve fornirne la prova.
ZGB; Art. 152
SR 272 Codice di diritto processuale civile svizzero del 19 dicembre 2008 (Codice di procedura civile, CPC) - Codice di procedura civile
CPC Art. 152 Diritto alla prova - 1 Ogni parte può pretendere che il giudice assuma tutti i pertinenti mezzi di prova offerti tempestivamente e nelle forme prescritte.
1    Ogni parte può pretendere che il giudice assuma tutti i pertinenti mezzi di prova offerti tempestivamente e nelle forme prescritte.
2    Il giudice prende in considerazione mezzi di prova ottenuti illecitamente soltanto se l'interesse all'accertamento della verità prevale.
ZPO) aber insoweit, als Gegenstand des Beweises ausschliesslich rechtserhebliche, streitige Tatsachen bilden (Art. 150 Abs. 1
SR 272 Codice di diritto processuale civile svizzero del 19 dicembre 2008 (Codice di procedura civile, CPC) - Codice di procedura civile
CPC Art. 150 Oggetto della prova - 1 Oggetto della prova sono i fatti controversi, se giuridicamente rilevanti.
1    Oggetto della prova sono i fatti controversi, se giuridicamente rilevanti.
2    Possono pure essere oggetto della prova l'uso e gli usi locali e, in caso di controversie patrimoniali, il diritto straniero.
ZPO). Beweismittel, wie die Zeugenbefragung oder das Institut der prozessualen Edition, können indessen nicht als Instrument der Informationsbeschaffung dienen, sondern stellen nach der ZPO Mittel der Beweiserhebung dar (vgl. für die Edition: BGE 141 III 281 E. 3.4.3 S. 286). Hier besteht, wenn materielle Ansprüche auf Auskunft im Streit stehen, die Gefahr, dass das Beweisverfahren zur Anspruchsdurchsetzung ohne Prüfung der Anspruchsvoraussetzungen missbraucht werden könnte und mit dem Beweisverfahren faktisch über den eingeklagten Anspruch entschieden wird, bevor geklärt ist, ob eine Pflicht zur Auskunft besteht. So hat das Bundesgericht beispielsweise im Zusammenhang mit einer vorsorglichen Beweisführung entschieden, im Rahmen einer solchen könne nicht vorsorglich eine Aktenherausgabe verlangt
werden, wenn zwischen den Parteien umstritten sei, ob der Kläger gestützt auf Art. 400
SR 220 Parte prima: Disposizioni generali Titolo primo: Delle cause delle obbligazioni Capo primo: Delle obbligazioni derivanti da contratto
CO Art. 400 - 1 Il mandatario, ad ogni richiesta del mandante, è obbligato a render conto del suo operato ed a restituire tutto ciò che per qualsiasi titolo ha ricevuto in forza del mandato.
1    Il mandatario, ad ogni richiesta del mandante, è obbligato a render conto del suo operato ed a restituire tutto ciò che per qualsiasi titolo ha ricevuto in forza del mandato.
2    Deve inoltre gli interessi sulle somme, delle quali abbia ritardato il versamento.
OR materiell einen entsprechenden Anspruch erheben kann (BGE 141 III 564 E. 4.2.1 f.; 138 III 728 E. 2.7 S. 732 f.).

1.7.2. Sowohl für den materiellen Anspruch auf Auskunft nach Datenschutzgesetz als auch für den zivilprozessualen Anspruch auf Beweisabnahme gilt sodann, dass diese nicht zu einer verpönten Beweisausforschung missbraucht werden dürfen (vgl. BGE 138 III 425 E. 4.3 S. 430). Mit Blick auf das Datenschutzgesetz fällt Rechtsmissbrauch in Betracht, wenn das Auskunftsrecht zu datenschutzwidrigen Zwecken eingesetzt wird, etwa um sich die Kosten einer Datenbeschaffung zu sparen, die sonst bezahlt werden müssten. Zu denken ist etwa auch an eine schikanöse Rechtsausübung ohne wirkliches Interesse an der Auskunft, lediglich um den Auskunftspflichtigen zu schädigen. Eine zweckwidrige Verwendung des datenschutzrechtlichen Auskunftsrechts (beziehungsweise der Beweisabnahme in einem Prozess um das Auskunftsrecht) wäre wohl auch anzunehmen, wenn das Auskunftsbegehren einzig zum Zweck gestellt wird, eine (spätere) Gegenpartei auszuforschen und Beweise zu beschaffen, an die eine Partei sonst nicht gelangen könnte (BGE 141 III 119 E. 7.1.1 S. 127 f.; 138 III 425 E. 5.5 S. 432; Urteil 4A 277/2020 vom 18. November 2020 E. 5.3 f.; je mit Hinweisen). Denn das Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG will nicht die Beweismittelbeschaffung erleichtern oder in das
Zivilprozessrecht eingreifen (BGE 138 III 425 E. 5.5 S. 432; zit. Urteil 4A 277/2020 E. 5.3).

1.7.3. Für die Eintretensvoraussetzungen ist zu beachten, dass eine einmal erteilte Auskunft nicht mehr rückgängig gemacht werden kann. Dies spricht für die Annahme eines nicht wieder gutzumachenden Nachteils (vgl. Urteil des Bundesgerichts 4A 713/2014 E. 2.2). Müsste die beklagte Partei im Rahmen der Abnahme der Beweismittel in der Tat den eingeklagten Anspruch erfüllen, könnte sich sogar die Frage stellen, ob das Gericht nicht unter dem Deckmantel der Beweisanordnung bereits materiell in der Sache entschieden hat (vgl. zum analogen Problem im Rahmen von Schiedsverfahren: BGE 136 III 200 E. 2.3.1 S. 204; und allgemein mit Bezug auf die Kognition des Bundesgerichts in Fällen, in denen im Rahmen einer beantragten Massnahme bereits definitiv über den streitigen Anspruch entschieden wird: BGE 138 III 728 E. 2.4 S. 731) und der Entscheid als anfechtbarer Endentscheid (Art. 90
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 90 Decisioni finali - Il ricorso è ammissibile contro le decisioni che pongono fine al procedimento.
BGG) zu qualifizieren wäre. Diese Frage braucht nicht vertieft zu werden: Die Beweisverfügung sieht Zeugenbefragungen und eine Parteibefragung zur Ermittlung der Herkunft von Personendaten vor. Die Beschwerdeführerinnen stellen sich auf den Standpunkt, Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG verschaffe keinen Anspruch auf Herausgabe dieser Informationen. Würde Beweis
abgenommen, dann wäre der umstrittene Auskunftsanspruch zumindest insoweit erfüllt, als den Beschwerdegegnern gewisse Informationen bereits zugekommen wären, womit der Endentscheid präjudiziert wäre. Daher könnte die Beweisabnahme einen nicht wieder gutzumachenden Nachteil gemäss Art. 93 Abs. 1 lit. a
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 93 Altre decisioni pregiudiziali e incidentali - 1 Il ricorso è ammissibile contro altre decisioni pregiudiziali e incidentali notificate separatamente se:
1    Il ricorso è ammissibile contro altre decisioni pregiudiziali e incidentali notificate separatamente se:
a  esse possono causare un pregiudizio irreparabile; o
b  l'accoglimento del ricorso comporterebbe immediatamente una decisione finale consentendo di evitare una procedura probatoria defatigante o dispendiosa.
2    Le decisioni pregiudiziali e incidentali nel campo dell'assistenza giudiziaria internazionale in materia penale e nel campo dell'asilo non sono impugnabili.86 Rimangono salvi i ricorsi contro le decisioni sulla carcerazione in vista d'estradizione come anche sul sequestro di beni e valori, sempreché siano adempiute le condizioni di cui al capoverso 1.
3    Se il ricorso in virtù dei capoversi 1 e 2 non è ammissibile o non è stato interposto, le decisioni pregiudiziali e incidentali possono essere impugnate mediante ricorso contro la decisione finale in quanto influiscano sul contenuto della stessa.
BGG bewirken. Auf die Beschwerde ist daher - unter Vorbehalt einer rechtsgenüglichen Begründung (vgl. unten, Erwägung 2) - einzutreten.

2.
Mit Beschwerde in Zivilsachen können Rechtsverletzungen nach Art. 95
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 95 Diritto svizzero - Il ricorrente può far valere la violazione:
a  del diritto federale;
b  del diritto internazionale;
c  dei diritti costituzionali cantonali;
d  delle disposizioni cantonali in materia di diritto di voto dei cittadini e di elezioni e votazioni popolari;
e  del diritto intercantonale.
und 96
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 96 Diritto estero - Il ricorrente può far valere che:
a  non è stato applicato il diritto estero richiamato dal diritto internazionale privato svizzero;
b  il diritto estero richiamato dal diritto internazionale privato svizzero non è stato applicato correttamente, sempreché la decisione non concerna una causa di natura pecuniaria.
BGG gerügt werden. Die Beschwerde ist hinreichend zu begründen, andernfalls wird darauf nicht eingetreten (BGE 134 II 244 E. 2.1 S. 245 f.). In der Beschwerdeschrift ist in gedrängter Form darzulegen, inwiefern der angefochtene Akt Recht verletzt (Art. 42 Abs. 2
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 42 Atti scritti - 1 Gli atti scritti devono essere redatti in una lingua ufficiale, contenere le conclusioni, i motivi e l'indicazione dei mezzi di prova ed essere firmati.
1    Gli atti scritti devono essere redatti in una lingua ufficiale, contenere le conclusioni, i motivi e l'indicazione dei mezzi di prova ed essere firmati.
2    Nei motivi occorre spiegare in modo conciso perché l'atto impugnato viola il diritto. Qualora il ricorso sia ammissibile soltanto se concerne una questione di diritto di importanza fondamentale o un caso particolarmente importante per altri motivi, occorre spiegare perché la causa adempie siffatta condizione.14 15
3    Se sono in possesso della parte, i documenti indicati come mezzi di prova devono essere allegati; se l'atto scritto è diretto contro una decisione, anche questa deve essere allegata.
4    In caso di trasmissione per via elettronica, la parte o il suo patrocinatore deve munire l'atto scritto di una firma elettronica qualificata secondo la legge del 18 marzo 201616 sulla firma elettronica. Il Tribunale federale determina mediante regolamento:
a  il formato dell'atto scritto e dei relativi allegati;
b  le modalità di trasmissione;
c  le condizioni alle quali può essere richiesta la trasmissione successiva di documenti cartacei in caso di problemi tecnici.17
5    Se mancano la firma della parte o del suo patrocinatore, la procura dello stesso o gli allegati prescritti, o se il patrocinatore non è autorizzato in quanto tale, è fissato un congruo termine per sanare il vizio, con la comminatoria che altrimenti l'atto scritto non sarà preso in considerazione.
6    Gli atti illeggibili, sconvenienti, incomprensibili, prolissi o non redatti in una lingua ufficiale possono essere del pari rinviati al loro autore affinché li modifichi.
7    Gli atti scritti dovuti a condotta processuale da querulomane o altrimenti abusiva sono inammissibili.
BGG; BGE 140 III 86 E. 2 S. 89, 115 E. 2 S. 116).

2.1. Das Bundesgericht legt seinem Urteil den Sachverhalt zugrunde, den die Vorinstanz festgestellt hat (Art. 105 Abs. 1
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 105 Fatti determinanti - 1 Il Tribunale federale fonda la sua sentenza sui fatti accertati dall'autorità inferiore.
1    Il Tribunale federale fonda la sua sentenza sui fatti accertati dall'autorità inferiore.
2    Può rettificare o completare d'ufficio l'accertamento dei fatti dell'autorità inferiore se è stato svolto in modo manifestamente inesatto o in violazione del diritto ai sensi dell'articolo 95.
3    Se il ricorso è diretto contro una decisione d'assegnazione o rifiuto di prestazioni pecuniarie dell'assicurazione militare o dell'assicurazione contro gli infortuni, il Tribunale federale non è vincolato dall'accertamento dei fatti operato dall'autorità inferiore.96
BGG). Dazu gehören sowohl die Feststellungen über den streitgegenständlichen Lebenssachverhalt als auch jene über den Ablauf des vor- und erstinstanzlichen Verfahrens, also die Feststellungen über den Prozesssachverhalt (BGE 140 III 16 E. 1.3.1 S. 17 f. mit Hinweisen). Es kann die Sachverhaltsfeststellung der Vorinstanz nur berichtigen oder ergänzen, wenn sie offensichtlich unrichtig ist oder auf einer Rechtsverletzung im Sinne von Art. 95
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 95 Diritto svizzero - Il ricorrente può far valere la violazione:
a  del diritto federale;
b  del diritto internazionale;
c  dei diritti costituzionali cantonali;
d  delle disposizioni cantonali in materia di diritto di voto dei cittadini e di elezioni e votazioni popolari;
e  del diritto intercantonale.
BGG beruht (Art. 105 Abs. 2
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 105 Fatti determinanti - 1 Il Tribunale federale fonda la sua sentenza sui fatti accertati dall'autorità inferiore.
1    Il Tribunale federale fonda la sua sentenza sui fatti accertati dall'autorità inferiore.
2    Può rettificare o completare d'ufficio l'accertamento dei fatti dell'autorità inferiore se è stato svolto in modo manifestamente inesatto o in violazione del diritto ai sensi dell'articolo 95.
3    Se il ricorso è diretto contro una decisione d'assegnazione o rifiuto di prestazioni pecuniarie dell'assicurazione militare o dell'assicurazione contro gli infortuni, il Tribunale federale non è vincolato dall'accertamento dei fatti operato dall'autorità inferiore.96
BGG). "Offensichtlich unrichtig" bedeutet dabei "willkürlich" (BGE 140 III 115 E. 2 S. 117, 264 E. 2.3 S. 266). Überdies muss die Behebung des Mangels für den Ausgang des Verfahrens entscheidend sein können (Art. 97 Abs. 1
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 97 Accertamento inesatto dei fatti - 1 Il ricorrente può censurare l'accertamento dei fatti soltanto se è stato svolto in modo manifestamente inesatto o in violazione del diritto ai sensi dell'articolo 95 e l'eliminazione del vizio può essere determinante per l'esito del procedimento.
1    Il ricorrente può censurare l'accertamento dei fatti soltanto se è stato svolto in modo manifestamente inesatto o in violazione del diritto ai sensi dell'articolo 95 e l'eliminazione del vizio può essere determinante per l'esito del procedimento.
2    Se il ricorso è diretto contro una decisione d'assegnazione o rifiuto di prestazioni pecuniarie dell'assicurazione militare o dell'assicurazione contro gli infortuni, può essere censurato qualsiasi accertamento inesatto o incompleto dei fatti giuridicamente rilevanti.87
BGG).

2.2. Für eine Kritik am festgestellten Sachverhalt gilt das strenge Rügeprinzip von Art. 106 Abs. 2
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 106 Applicazione del diritto - 1 Il Tribunale federale applica d'ufficio il diritto.
1    Il Tribunale federale applica d'ufficio il diritto.
2    Esamina la violazione di diritti fondamentali e di disposizioni di diritto cantonale e intercantonale soltanto se il ricorrente ha sollevato e motivato tale censura.
BGG (BGE 140 III 264 E. 2.3 S. 266 mit Hinweisen). Die Partei, welche die Sachverhaltsfeststellung der Vorinstanz anfechten will, muss klar und substanziiert aufzeigen, inwiefern die in E. 2.1 hiervor genannten Voraussetzungen erfüllt sein sollen (BGE 140 III 16 E. 1.3.1 S. 18 mit Hinweisen). Wenn sie den Sachverhalt ergänzen will, hat sie zudem mit präzisen Aktenhinweisen darzulegen, dass sie entsprechende rechtsrelevante Tatsachen und taugliche Beweismittel bereits bei den Vorinstanzen prozesskonform eingebracht hat (BGE 140 III 86 E. 2 S. 90). Genügt die Kritik diesen Anforderungen nicht, können Vorbringen mit Bezug auf einen Sachverhalt, der vom angefochtenen Entscheid abweicht, nicht berücksichtigt werden (BGE 140 III 16 E. 1.3.1 S. 18). Neue Vorbringen und Beweismittel sind nur zulässig, soweit erst der angefochtene Entscheid dazu Anlass gibt (Art. 99 Abs. 1
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 99 - 1 Possono essere addotti nuovi fatti e nuovi mezzi di prova soltanto se ne dà motivo la decisione dell'autorità inferiore.
1    Possono essere addotti nuovi fatti e nuovi mezzi di prova soltanto se ne dà motivo la decisione dell'autorità inferiore.
2    Non sono ammissibili nuove conclusioni.
BGG), was wiederum näher darzulegen ist (BGE 139 III 120 E. 3.1.2 S. 123; 134 V 223 E. 2.2.1 S. 226; 133 III 393 E. 3 S. 395).

2.3. Dieselben Begründungsanforderungen gelten auch für die Beschwerdeantwort, wenn darin Erwägungen der Vorinstanz beanstandet werden, die sich für die im kantonalen Verfahren obsiegende Partei ungünstig auswirken können (BGE 140 III 115 E. 2 S. 116; Urteil 4A 438/2010 vom 15. November 2010 E. 1.2 in fine, nicht publ. in: BGE 136 III 545; Urteil 4A 347/2009 vom 16. November 2009 E. 4.1 in fine, nicht publ. in: BGE 136 III 96).

3.
Die Beschwerdeführerinnen machen geltend, die Vorinstanz habe die Tragweite des datenschutzrechtlichen Auskunftsanspruchs verkannt und Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG sowie Art. 150
SR 272 Codice di diritto processuale civile svizzero del 19 dicembre 2008 (Codice di procedura civile, CPC) - Codice di procedura civile
CPC Art. 150 Oggetto della prova - 1 Oggetto della prova sono i fatti controversi, se giuridicamente rilevanti.
1    Oggetto della prova sono i fatti controversi, se giuridicamente rilevanti.
2    Possono pure essere oggetto della prova l'uso e gli usi locali e, in caso di controversie patrimoniali, il diritto straniero.
ZPO unrichtig angewendet.

3.1. Gemäss Art. 8 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Insbesondere muss der Inhaber der Datensammlung der betroffenen Person alle über sie in der Datensammlung vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten mitteilen (Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG).
Aus dem französischen und italienischen Wortlaut ergibt sich nichts anderes: Mitzuteilen sind "alle (...) vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten" ("toutes les données [...] qui sont contenues dans le fichier, y compris les informations disponibles sur l'origine des données"; "tutti i dati [...] contenuti nella collezione, comprese le informazioni disponibili sull'origine dei dati").
Das Auskunftsrecht ist mit einer Strafdrohung bewehrt: Verletzt eine private Person ihre Auskunftspflicht, indem sie vorsätzlich eine falsche oder eine unvollständige Auskunft erteilt, dann wird sie auf Antrag mit Busse bestraft (Art. 34 Abs. 1 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 34 Basi legali - 1 Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
1    Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
2    La base legale deve figurare in una legge in senso formale nei casi seguenti:
a  sono trattati dati personali degni di particolare protezione;
b  è effettuata una profilazione;
c  lo scopo del trattamento o il tipo di trattamento può comportare una grave ingerenza nei diritti fondamentali della persona interessata.
3    Per il trattamento di dati personali secondo il capoverso 2 lettere a e b è sufficiente una base legale figurante in una legge in senso materiale se:
a  il trattamento è indispensabile per l'adempimento di un compito stabilito in una legge in senso formale; e
b  lo scopo del trattamento non comporta rischi particolari per i diritti fondamentali della persona interessata.
4    In deroga ai capoversi 1-3, gli organi federali possono trattare dati personali se:
a  il Consiglio federale ha autorizzato il trattamento poiché non ritiene pregiudicati i diritti delle persone interessate;
b  la persona interessata ha dato, nel caso specifico, il suo consenso al trattamento oppure ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente al trattamento; o
c  il trattamento è necessario per proteggere la vita o l'integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine ragionevole.
DSG).
Die Lehre versteht den Begriff der "Personendaten (Daten) " gemäss Art. 3 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG "weit" (DAVID ROSENTHAL, in: Handkommentar zum Datenschutzgesetz, Rosenthal/Jöhri [Hrsg.], 2008, N. 2 zu Art. 3
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG, N. 13 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG), "extensiv" (BLECHTA, in: Basler Kommentar, Datenschutzgesetz Öffentlichkeitsgesetz, Maurer-Lambrou/Blechta [Hrsg.], 3. Aufl. 2014, N. 7 zu Art. 3
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG) oder "ausserordentlich weit" (OLIVER GNEHM, Das datenschutzrechtliche Auskunftsrecht, in: Durchsetzung der Rechte der Betroffenen im Bereich des Datenschutzes, Epiney/Nüesch [Hrsg.], 2015, S. 77 ff., S. 90). Auch der Begriff der Datensammlung gemäss Art. 3 lit. g
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG wird im Schrifttum weit gefasst (GNEHM, a.a.O., S. 91 f.; BLECHTA, a.a.O., N. 78 ff. zu Art. 3
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG).

3.1.1. Gemäss Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG erstreckt sich das Auskunftsrecht auf alle über eine Person in einer Datensammlung vorhandenen Daten, d.h. auf alle Angaben, die sich auf diese Person beziehen (Art. 3 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG) und ihr zugeordnet werden können (Art. 3 lit. g
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG). Unerheblich ist die Art der Speicherung oder die Bezeichnung der Datensammlung durch den Inhaber. Das Auskunftsrecht kann nicht dadurch unterlaufen werden, dass z.B. neben der "offiziellen Datensammlung auch eine "inoffizielle" geführt wird. Insoweit kann sich der Auskunftsanspruch gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG auch auf "interne" Akten beziehen (BGE 125 II 473 E. 4b S. 475 mit Hinweis). In diesem Rahmen können mithin auch ausserhalb der eigentlichen Datensammlung abgelegte Datenbestände vom Auskunftsrecht erfasst sein, soweit sie objektiv nach Personen erschliessbar sind und an den anderen Ablageorten ein gezielter Zugriff möglich ist (vgl. ROSENTHAL, a.a.O., N. 15 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG; GRAMIGNA/MAURER-LAMBROU, in: Basler Kommentar, a.a.O., N. 26 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG; NICOLAS DOMMER, Die Auskunftspflichten der Bank gegenüber Vermögensverwaltungskunden, 2018, S. 51 Rz. 126). Voraussetzung freilich bildet, dass wenigstens eine Datensammlung gemäss Art. 3 lit. g
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG existiert, ansonsten
fehlt es am Gegenstand des Auskunftsrechts nach Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG (GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 26 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG).

3.1.2. Die zu erteilende Auskunft muss wahr und vollständig sein (vgl. Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz [DSG], BBl 1988 II 453 Ziff. 221.2 zu Art. 5 Abs. 2 E
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 5 Definizioni - Nella presente legge s'intende per:
a  dati personali: tutte le informazioni concernenti una persona fisica identificata o identificabile;
b  persona interessata: la persona fisica i cui dati personali sono oggetto di trattamento;
c  dati personali degni di particolare protezione:
c1  i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali,
c2  i dati concernenti la salute, la sfera intima o l'appartenenza a una razza o a un'etnia,
c3  i dati genetici,
c4  i dati biometrici che identificano in modo univoco una persona fisica,
c5  i dati concernenti perseguimenti e sanzioni amministrativi e penali,
c6  i dati concernenti le misure d'assistenza sociale;
d  trattamento: qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l'utilizzazione, la modificazione, la comunicazione, l'archiviazione, la cancellazione o la distruzione di dati;
e  comunicazione: la trasmissione di dati personali o il fatto di renderli accessibili;
f  profilazione: trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere aspetti concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, i luoghi di permanenza e gli spostamenti di tale persona;
g  profilazione a rischio elevato: profilazione che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata poiché comporta un collegamento tra dati che permette di valutare aspetti essenziali della personalità di una persona fisica;
h  violazione della sicurezza dei dati: violazione della sicurezza in seguito alla quale, in modo accidentale o illecito, dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate;
i  organo federale: autorità o servizio della Confederazione, oppure persona cui sono affidati compiti federali;
j  titolare del trattamento: il privato o l'organo federale che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento;
k  responsabile del trattamento: il privato o l'organo federale che tratta dati personali per conto del titolare del trattamento.
-DSG), wofür der Inhaber einer Datensammlung im Streitfall beweispflichtig ist (Urteil 1C 59/2015 vom 17. September 2015 E. 3.2 mit Hinweisen). Das Auskunftsrecht erstreckt sich nach der Rechtsprechung und dem Gesetzeswortlaut nur auf noch vorhandene Daten (BGE 136 II 508 E. 3.7 S. 517). Der Umstand, dass wie hier negative Tatsachen, namentlich das Nichtvorhandensein zusätzlicher, nicht bereits ausgehändigter Informationen über den Beschwerdegegner, bewiesen werden müssen, ändert grundsätzlich nichts an der Beweislast (BGE 139 II 451 E. 2.4 S. 451; 133 V 205 E. 5.5 S. 217 mit Hinweisen; zit. Urteil 1C 59/2015 E. 3.2). Da es aber naturgemäss einfacher ist, das Vorhandensein von Tatsachen zu beweisen als deren Nichtvorhandensein, ist die Schwelle der rechtsgenüglichen Beweiserhebung vernünftig anzusetzen. Wo der beweisbelasteten Partei der regelmässig äusserst schwierige Beweis des Nichtvorhandenseins einer Tatsache obliegt, ist die Gegenpartei nach Treu und Glauben gehalten, ihrerseits verstärkt bei der Beweisführung mitzuwirken, namentlich
indem sie einen Gegenbeweis erbringt oder zumindest konkrete Anhaltspunkte für das Vorhandensein weiterer Daten aufzeigt (Urteil 1C 59/2015 vom 17. September 2015 E. 3.2 mit Hinweisen).

3.2. Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG wurde erst nachträglich um die Verpflichtung ergänzt, Informationen über die Herkunft der Daten bekannt zu geben (Fassung gemäss Ziff. I des Bundesgesetzes vom 24. März 2006, in Kraft seit 1. Januar 2008 [AS 2007 4985]). Danach sind alle verfügbaren "Angaben über die Herkunft der Daten" mitzuteilen ("les informations disponibles sur l'origine des données"; "le informazioni disponibili sull'origine dei dati"). Der Bundesrat führte in seiner Botschaft aus, die betroffene Person könne ein legitimes Interesse daran haben, die Herkunft der Daten zu kennen, beispielsweise, um auf die Datenquellen zurückzugreifen oder die Korrektur von Fehlern zu veranlassen. Die Präzisierung könne auch eine präventive Wirkung haben, indem bei der Beschaffung von Daten berücksichtigt werden müsse, dass die betroffene Person Informationen über deren Herkunft verlangen könne (Botschaft vom 19. Februar 2003 zur Änderung des Bundesgesetzes über den Datenschutz [DSG], BBl 2003 2101 ff., 2134 f. Ziff. 2.7).
Auch auf europäischer Ebene hat die betroffene Person unter bestimmten Voraussetzungen das Recht, alle verfügbaren Informationen über die Herkunft der Daten zu erhalten (Art. 15 Abs. 1 lit. g
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
der Verordnung [EU] 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG).

3.2.1. Den Inhaber der Datensammlung trifft keine Pflicht, die Herkunftsangaben zu speichern (RENÉ HUBER, Die Teilrevision des Eidg. Datenschutzgesetzes - ungenügende Pinselrenovation, recht 24/2006 S. 205 ff., 208; BEAT RUDIN, in: Datenschutzgesetz [DSG], Baeriswyl/ Pärli [Hrsg.], 2015, N. 36 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG; MICHAEL WIDMER, Rechte der Datenschutzsubjekte, in: Datenschutzrecht, Beraten in Privatwirtschaft und öffentlicher Verwaltung, Passadelis/Rosenthal/Thür [Hrsg.], 2015, S. 149 ff., 157 Rz. 5.32; PHILIPPE MEIER, Protection des données, Fondements, principes généraux et droit privé, 2011, S. 382 Rz. 1038; EPINEY/FASNACHT, in: Datenschutzrecht, Grundlagen und öffentliches Recht, Belser/Epiney/Waldmann [Hrsg.], 2011, S. 617 § 11 Rz. 25). Im Nationalrat wurde ein Minderheitsantrag, der einen weitergehenden Rechtsanspruch verschaffen wollte, abgelehnt (AB 2005 N 1438-1441).
Würden in der Datenbank vorhandene Angaben über die Herkunft der Daten allerdings nach Eingang eines Auskunftsbegehrens gelöscht, läge ein Verstoss gegen Treu und Glauben vor (ROSENTHAL, a.a.O., N. 13 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG; MEIER, a.a.O., S. 382 Rz. 1039; DOMMER, a.a.O., S. 52 Rz. 129), und der Inhaber der Datensammlung liefe Gefahr, sich gemäss Art. 34 Abs. 1 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 34 Basi legali - 1 Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
1    Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
2    La base legale deve figurare in una legge in senso formale nei casi seguenti:
a  sono trattati dati personali degni di particolare protezione;
b  è effettuata una profilazione;
c  lo scopo del trattamento o il tipo di trattamento può comportare una grave ingerenza nei diritti fondamentali della persona interessata.
3    Per il trattamento di dati personali secondo il capoverso 2 lettere a e b è sufficiente una base legale figurante in una legge in senso materiale se:
a  il trattamento è indispensabile per l'adempimento di un compito stabilito in una legge in senso formale; e
b  lo scopo del trattamento non comporta rischi particolari per i diritti fondamentali della persona interessata.
4    In deroga ai capoversi 1-3, gli organi federali possono trattare dati personali se:
a  il Consiglio federale ha autorizzato il trattamento poiché non ritiene pregiudicati i diritti delle persone interessate;
b  la persona interessata ha dato, nel caso specifico, il suo consenso al trattamento oppure ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente al trattamento; o
c  il trattamento è necessario per proteggere la vita o l'integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine ragionevole.
DSG strafbar zu machen (MEIER, a.a.O., S. 382 Rz. 1039; DOMMER, a.a.O., S. 52 Rz. 129).

3.2.2. Im vorliegenden Fall geht es um die Auskunftspflicht einer Bank. Bei Finanzinstituten kommen als Angaben über die Herkunft der Daten beispielsweise die Mittel der Abklärungen in Frage, die in Art. 16 der Verordnung vom 3. Juni 2015 der Eidgenössischen Finanzmarktaufsicht über die Bekämpfung von Geldwäscherei und Terrorismusfinanzierung im Finanzsektor (Geldwäschereiverordnung-FINMA, GwV-FINMA; SR 955.033.0) aufgelistet sind.
Zu denken ist an das Einholen schriftlicher oder mündlicher Auskünfte (Art. 16 Abs. 1 lit. a
SR 955.033.0 Ordinanza del 3 giugno 2015 dell'Autorità federale di vigilanza sui mercati finanziari sulla lotta contro il riciclaggio di denaro e il finanziamento del terrorismo nel settore finanziario (Ordinanza FINMA sul riciclaggio di denaro, ORD-FINMA) - Ordinanza 3 FINMA sul riciclaggio di denaro
ORD-FINMA Art. 16 Mezzi di chiarimento - 1 Secondo le circostanze, i chiarimenti comprendono segnatamente:
1    Secondo le circostanze, i chiarimenti comprendono segnatamente:
a  informazioni raccolte per scritto o oralmente presso la controparte, i detentori del controllo o gli aventi economicamente diritto dei valori patrimoniali;
b  visite nei luoghi in cui la controparte, i detentori del controllo o gli aventi economicamente diritto svolgono la loro attività;
c  la consultazione delle fonti e delle banche dati pubblicamente accessibili;
d  in caso di necessità, informazioni presso persone degne di fiducia.
2    L'intermediario finanziario verifica se i risultati dei chiarimenti sono plausibili e li documenta.
GwV-FINMA), Besuche am Ort der Geschäftstätigkeit (Art. 16 Abs. 1 lit. b
SR 955.033.0 Ordinanza del 3 giugno 2015 dell'Autorità federale di vigilanza sui mercati finanziari sulla lotta contro il riciclaggio di denaro e il finanziamento del terrorismo nel settore finanziario (Ordinanza FINMA sul riciclaggio di denaro, ORD-FINMA) - Ordinanza 3 FINMA sul riciclaggio di denaro
ORD-FINMA Art. 16 Mezzi di chiarimento - 1 Secondo le circostanze, i chiarimenti comprendono segnatamente:
1    Secondo le circostanze, i chiarimenti comprendono segnatamente:
a  informazioni raccolte per scritto o oralmente presso la controparte, i detentori del controllo o gli aventi economicamente diritto dei valori patrimoniali;
b  visite nei luoghi in cui la controparte, i detentori del controllo o gli aventi economicamente diritto svolgono la loro attività;
c  la consultazione delle fonti e delle banche dati pubblicamente accessibili;
d  in caso di necessità, informazioni presso persone degne di fiducia.
2    L'intermediario finanziario verifica se i risultati dei chiarimenti sono plausibili e li documenta.
GwV-FINMA), die Konsultation von allgemein zugänglichen öffentlichen Quellen und Datenbanken (Art. 16 Abs. 1 lit. c
SR 955.033.0 Ordinanza del 3 giugno 2015 dell'Autorità federale di vigilanza sui mercati finanziari sulla lotta contro il riciclaggio di denaro e il finanziamento del terrorismo nel settore finanziario (Ordinanza FINMA sul riciclaggio di denaro, ORD-FINMA) - Ordinanza 3 FINMA sul riciclaggio di denaro
ORD-FINMA Art. 16 Mezzi di chiarimento - 1 Secondo le circostanze, i chiarimenti comprendono segnatamente:
1    Secondo le circostanze, i chiarimenti comprendono segnatamente:
a  informazioni raccolte per scritto o oralmente presso la controparte, i detentori del controllo o gli aventi economicamente diritto dei valori patrimoniali;
b  visite nei luoghi in cui la controparte, i detentori del controllo o gli aventi economicamente diritto svolgono la loro attività;
c  la consultazione delle fonti e delle banche dati pubblicamente accessibili;
d  in caso di necessità, informazioni presso persone degne di fiducia.
2    L'intermediario finanziario verifica se i risultati dei chiarimenti sono plausibili e li documenta.
GwV-FINMA) sowie Erkundigungen bei vertrauenswürdigen Personen (Art. 16 Abs. 1 lit. d
SR 955.033.0 Ordinanza del 3 giugno 2015 dell'Autorità federale di vigilanza sui mercati finanziari sulla lotta contro il riciclaggio di denaro e il finanziamento del terrorismo nel settore finanziario (Ordinanza FINMA sul riciclaggio di denaro, ORD-FINMA) - Ordinanza 3 FINMA sul riciclaggio di denaro
ORD-FINMA Art. 16 Mezzi di chiarimento - 1 Secondo le circostanze, i chiarimenti comprendono segnatamente:
1    Secondo le circostanze, i chiarimenti comprendono segnatamente:
a  informazioni raccolte per scritto o oralmente presso la controparte, i detentori del controllo o gli aventi economicamente diritto dei valori patrimoniali;
b  visite nei luoghi in cui la controparte, i detentori del controllo o gli aventi economicamente diritto svolgono la loro attività;
c  la consultazione delle fonti e delle banche dati pubblicamente accessibili;
d  in caso di necessità, informazioni presso persone degne di fiducia.
2    L'intermediario finanziario verifica se i risultati dei chiarimenti sono plausibili e li documenta.
GwV-FINMA).
Geht es nach DOMMER, so unterliegen solche Informationen dem Auskunftsrecht, sofern sie verfügbar sind. Dabei müsse die Angabe der Quelle möglichst spezifisch sein. Falls die Bank die Daten von vertrauenswürdigen Personen erhalte, habe sie deren Identität bekanntzugeben. Die Bekanntgabe der Identität verstosse nicht gegen die Grundsätze von Art. 4
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 4 Incaricato federale della protezione dei dati e della trasparenza - 1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
1    L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
2    Non sono sottoposti alla vigilanza dell'IFPDT:
a  l'Assemblea federale;
b  il Consiglio federale;
c  i tribunali della Confederazione;
d  il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;
e  le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale.
DSG, da sie in Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG gesetzlich vorgesehen sei (DOMMER, a.a.O., S. 52 f. Rz. 130).

3.3. Die Vorinstanz hielt unter Hinweis auf eine Kommentarstelle zu Art. 3 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG (ROSENTHAL, a.a.O., N. 11 zu Art. 3
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG) fest, mit "Angaben" betreffend die Herkunft der Daten im Sinne von Art. 8 Abs. 2 lit a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG seien (gleich wie mit dem Begriff "Angaben" in der Legaldefinition nach Art. 3 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG) sowohl strukturierte Informationen (wie Datenbanken mit Kundenadressen, eine Buchhaltung mit Buchungssätzen) wie unstrukturierte Daten (Informationen in einem Aufsatz oder Brief oder der Inhalt eines Telefongesprächs) gemeint. Der Informationsträger müsse keine Sache sein, die Speicherung im menschlichen Gedächtnis genüge. Mit Blick auf den konkreten Fall kam die Vorinstanz zum Schluss, von der Auskunftspflicht über die Herkunft der Daten könnten auch ausserhalb der Datensammlung vorhandene Informationen erfasst werden. Sie könnten namentlich in Form eines Gesprächs bestehen, wobei als Informationsträger die Speicherung im Gedächtnis genüge. Ob Herkunftsangaben im Sinne von Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG verfügbar seien, werde das Beweisergebnis nach Durchführung der Zeugen- und Parteibefragungen zeigen.

3.4. Mit ihrer Interpretation überdehnt die Vorinstanz das Auskunftsrecht und verkennt die Tragweite der von ihr zitierten Literaturstelle:

3.4.1. An der von der Vorinstanz zitierten Stelle geht es um den Begriff der "Personendaten" im Sinne von Art. 3 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG, der weit zu verstehen ist (ROSENTHAL, a.a.O., N. 2 zu Art. 3
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG; vgl. E. 3.1 hiervor). Das Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG besteht aber nicht in Bezug auf sämtliche Informationen, die nach der Legaldefinition als Personendaten anzusehen sind. Mitgeteilt werden müssen nur Personendaten, die sich in einer Datensammlung befinden (ROSENTHAL, a.a.O., N. 15 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG). Das Auskunftsrecht richtet sich gegen den Inhaber der Datensammlung. Es bezieht sich nach dem Gesetzestext einerseits auf die in der Datensammlung vorhandenen Daten und schliesst andererseits die verfügbaren Angaben über die Herkunft der Daten ein (Art. 8 Abs. 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
lit. DSG). Den Begriff der Datensammlung definiert der von der Vorinstanz zitierte Autor, auch wenn er ihn grundsätzlich weit versteht (ROSENTHAL, a.a.O., N. 15 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG), in seiner Besprechung von Art. 3 lit. g
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG indessen einschränkend. Er wendet sich ausdrücklich gegen die in der Lehre vertretene Auffassung, wonach praktisch jeder Datenbestand, der mittels EDV-Techniken mindestens nach Personen erschliessbar sein kann, eine Datensammlung im Sinne des DSG darstellen könne. Er ist
der Auffassung, die Erschliessbarkeit sei nur eines von mehreren Kriterien. Im Rahmen der Auslegung der Legaldefinition müssten ebenso eine Reihe weiterer Elemente berücksichtigt werden, die sich teilweise aus dem Wortlaut, aber auch dem Sinn und Zweck der Legaldefinition ergäben. Zu berücksichtigen sei aber auch die Art und Weise, wie die Sonderpflichten (darunter auch die Auskunftspflicht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG) ausgestaltet seien, die das Vorliegen einer Datensammlung auslöse, da die Ausgestaltung dieser Pflichten Aufschluss darüber gebe, was genau sich der Gesetzgeber unter einer Datensammlung vorgestellt habe (ROSENTHAL, a.a.O., N. 82 zu Art. 3
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG).

3.4.2. Das Auskunftsrecht steht nach Art. 8 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG jeder Person zu. Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen (Art. 8 Abs. 5
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG). Die Auskunft kann nach Art. 1 Abs. 3 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (SR 235.11; nachfolgend: VDSG) auch mündlich erteilt werden, wenn die betroffene Person eingewilligt hat und vom Inhaber identifiziert worden ist. Nur ausnahmsweise kann eine angemessene Beteiligung an den Kosten von maximal Fr. 300.-- verlangt werden. Bei einem erstmaligen Gesuch um Auskunft wird dafür vorausgesetzt, dass die Auskunftserteilung mit einem besonders grossen Arbeitsaufwand verbunden war (Art. 2 Abs. 1 lit. b
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 2 Obiettivi - Conformemente alla necessità di protezione, il titolare del trattamento e il responsabile del trattamento adottano provvedimenti tecnici e organizzativi affinché i dati trattati:
a  siano accessibili solo alle persone autorizzate (confidenzialità);
b  siano disponibili quando necessario (disponibilità);
c  non siano modificati indebitamente o inavvertitamente (integrità);
d  siano trattati in modo tracciabile (tracciabilità).
und Abs. 2 VDSG). Die Datensammlungen sind so zu gestalten, dass die betroffenen Personen ihr Auskunftsrecht und ihr Recht auf Berichtigung wahrnehmen können (Art. 9 Abs. 2
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 9 Clausole contrattuali di protezione dei dati e garanzie specifiche - 1 Le clausole contrattuali di protezione dei dati di un contratto secondo l'articolo 16 capoverso 2 lettera b LPD e le garanzie specifiche secondo l'articolo 16 capoverso 2 lettera c LPD contengono almeno i seguenti punti:
1    Le clausole contrattuali di protezione dei dati di un contratto secondo l'articolo 16 capoverso 2 lettera b LPD e le garanzie specifiche secondo l'articolo 16 capoverso 2 lettera c LPD contengono almeno i seguenti punti:
a  l'applicazione dei principi della liceità, della buona fede, della proporzionalità, della trasparenza, della finalità e dell'esattezza;
b  le categorie dei dati personali comunicati e delle persone interessate;
c  il tipo e lo scopo della comunicazione dei dati personali;
d  all'occorrenza, il nome degli Stati o degli organismi internazionali cui sono comunicati dati personali nonché i requisiti della comunicazione;
e  i requisiti della conservazione, della cancellazione e della distruzione di dati personali;
f  i destinatari o le categorie dei destinatari;
g  i provvedimenti per garantire la sicurezza dei dati;
h  l'obbligo di comunicare le violazioni della sicurezza dei dati;
i  se i destinatari sono titolari del trattamento, l'obbligo di informare le persone interessate dal trattamento;
j  i diritti della persona interessata, segnatamente:
j1  il diritto d'accesso e il diritto alla consegna o alla trasmissione dei dati,
j2  il diritto di opporsi alla comunicazione dei dati,
j3  il diritto di chiedere la rettifica, la cancellazione o la distruzione dei dati che la concernono,
j4  il diritto di chiedere tutela giurisdizionale a un'autorità indipendente.
2    Il titolare del trattamento e, nel caso di clausole contrattuali sulla protezione dei dati, il responsabile del trattamento prendono misure adeguate per garantire che il destinatario rispetti dette clausole o le garanzie specifiche.
3    Se l'IFPDT è stato informato sulle clausole contrattuali di protezione dei dati o sulle garanzie specifiche, l'obbligo di informare è considerato adempiuto per tutte le ulteriori comunicazioni che:
a  si basano sulle medesime clausole contrattuali o garanzie, sempre che le categorie dei destinatari, la finalità del trattamento o le categorie di dati rimangano sostanzialmente immutate; o
b  sono effettuate in seno alla medesima persona giuridica o società o tra imprese che appartengono allo stesso gruppo.
VDSG).

3.4.3. Die Ausgestaltung der Pflichten des Inhabers der Datensammlung in Gesetz und Verordnung lässt Rückschlüsse auf die Tragweite des Auskunftsrechts zu: Die Auskünfte sind grundsätzlich voraussetzungslos geschuldet, ohne jeden Interessennachweis (BGE 141 III 119 E. 7.1.1 S. 127; 138 III 425 E. 5.5 S. 432; je mit Hinweisen). Sie sind in der Regel kostenlos und schriftlich zu erteilen. Dass ein derart voraussetzungs- und kostenloses Auskunftsrecht vorgesehen ist, zeigt, dass der Gesetzgeber davon ausgeht, eine Auskunftserteilung sei bei gesetzes- und verordnungskonformer Gestaltung der Datensammlung (Art. 9 Abs. 2
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 9 Clausole contrattuali di protezione dei dati e garanzie specifiche - 1 Le clausole contrattuali di protezione dei dati di un contratto secondo l'articolo 16 capoverso 2 lettera b LPD e le garanzie specifiche secondo l'articolo 16 capoverso 2 lettera c LPD contengono almeno i seguenti punti:
1    Le clausole contrattuali di protezione dei dati di un contratto secondo l'articolo 16 capoverso 2 lettera b LPD e le garanzie specifiche secondo l'articolo 16 capoverso 2 lettera c LPD contengono almeno i seguenti punti:
a  l'applicazione dei principi della liceità, della buona fede, della proporzionalità, della trasparenza, della finalità e dell'esattezza;
b  le categorie dei dati personali comunicati e delle persone interessate;
c  il tipo e lo scopo della comunicazione dei dati personali;
d  all'occorrenza, il nome degli Stati o degli organismi internazionali cui sono comunicati dati personali nonché i requisiti della comunicazione;
e  i requisiti della conservazione, della cancellazione e della distruzione di dati personali;
f  i destinatari o le categorie dei destinatari;
g  i provvedimenti per garantire la sicurezza dei dati;
h  l'obbligo di comunicare le violazioni della sicurezza dei dati;
i  se i destinatari sono titolari del trattamento, l'obbligo di informare le persone interessate dal trattamento;
j  i diritti della persona interessata, segnatamente:
j1  il diritto d'accesso e il diritto alla consegna o alla trasmissione dei dati,
j2  il diritto di opporsi alla comunicazione dei dati,
j3  il diritto di chiedere la rettifica, la cancellazione o la distruzione dei dati che la concernono,
j4  il diritto di chiedere tutela giurisdizionale a un'autorità indipendente.
2    Il titolare del trattamento e, nel caso di clausole contrattuali sulla protezione dei dati, il responsabile del trattamento prendono misure adeguate per garantire che il destinatario rispetti dette clausole o le garanzie specifiche.
3    Se l'IFPDT è stato informato sulle clausole contrattuali di protezione dei dati o sulle garanzie specifiche, l'obbligo di informare è considerato adempiuto per tutte le ulteriori comunicazioni che:
a  si basano sulle medesime clausole contrattuali o garanzie, sempre che le categorie dei destinatari, la finalità del trattamento o le categorie di dati rimangano sostanzialmente immutate; o
b  sono effettuate in seno alla medesima persona giuridica o società o tra imprese che appartengono allo stesso gruppo.
VDSG) in aller Regel ohne grossen Aufwand möglich. Die Auskunftspflicht bezieht sich auf alle in der Datensammlung vorhandenen Daten, weil mit Blick auf die Definition der Datensammlung und die Pflicht, diese den Anforderungen von Art. 9 Abs. 2
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 9 Clausole contrattuali di protezione dei dati e garanzie specifiche - 1 Le clausole contrattuali di protezione dei dati di un contratto secondo l'articolo 16 capoverso 2 lettera b LPD e le garanzie specifiche secondo l'articolo 16 capoverso 2 lettera c LPD contengono almeno i seguenti punti:
1    Le clausole contrattuali di protezione dei dati di un contratto secondo l'articolo 16 capoverso 2 lettera b LPD e le garanzie specifiche secondo l'articolo 16 capoverso 2 lettera c LPD contengono almeno i seguenti punti:
a  l'applicazione dei principi della liceità, della buona fede, della proporzionalità, della trasparenza, della finalità e dell'esattezza;
b  le categorie dei dati personali comunicati e delle persone interessate;
c  il tipo e lo scopo della comunicazione dei dati personali;
d  all'occorrenza, il nome degli Stati o degli organismi internazionali cui sono comunicati dati personali nonché i requisiti della comunicazione;
e  i requisiti della conservazione, della cancellazione e della distruzione di dati personali;
f  i destinatari o le categorie dei destinatari;
g  i provvedimenti per garantire la sicurezza dei dati;
h  l'obbligo di comunicare le violazioni della sicurezza dei dati;
i  se i destinatari sono titolari del trattamento, l'obbligo di informare le persone interessate dal trattamento;
j  i diritti della persona interessata, segnatamente:
j1  il diritto d'accesso e il diritto alla consegna o alla trasmissione dei dati,
j2  il diritto di opporsi alla comunicazione dei dati,
j3  il diritto di chiedere la rettifica, la cancellazione o la distruzione dei dati che la concernono,
j4  il diritto di chiedere tutela giurisdizionale a un'autorità indipendente.
2    Il titolare del trattamento e, nel caso di clausole contrattuali sulla protezione dei dati, il responsabile del trattamento prendono misure adeguate per garantire che il destinatario rispetti dette clausole o le garanzie specifiche.
3    Se l'IFPDT è stato informato sulle clausole contrattuali di protezione dei dati o sulle garanzie specifiche, l'obbligo di informare è considerato adempiuto per tutte le ulteriori comunicazioni che:
a  si basano sulle medesime clausole contrattuali o garanzie, sempre che le categorie dei destinatari, la finalità del trattamento o le categorie di dati rimangano sostanzialmente immutate; o
b  sono effettuate in seno alla medesima persona giuridica o società o tra imprese che appartengono allo stesso gruppo.
VDSG entsprechend zu gestalten, davon auszugehen ist, die Daten seien objektiv erschliessbar und ein gezielter Zugriff möglich (vgl. E. 3.1.1 hiervor), sodass die Auskunft in aller Regel ohne grösseren Aufwand erteilt werden kann. Auch in diesem Rahmen verlangt der von der Vorinstanz zitierte Autor vom Auskunftspflichtigen aber nicht die Durchführung aller technisch möglichen
Datenabfragen (ROSENTHAL, a.a.O., N. 15 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG mit Hinweis).
Auch die Modalitäten der Auskunftserteilung sprechen dafür, dass das Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG primär schriftlich festgehaltene Daten erfasst: Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie zu erteilen (Art. 8 Abs. 5
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG). Eine mündliche Auskunftserteilung oder Einsicht vor Ort erfordert das Einverständnis beider Parteien (Art. 1 Abs. 3
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 1 Principi - 1 Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
1    Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
2    La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri:
a  tipo di dati trattati;
b  scopo, tipo, portata e circostanze del trattamento.
3    Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri:
a  cause del rischio;
b  pericolo sostanziale;
c  provvedimenti adottati o previsti per minimizzare il rischio;
d  probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti.
4    Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri:
a  lo stato della tecnica;
b  le spese di implementazione.
5    La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l'intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati.
VDSG; BGE 125 II 321 E. 3 S. 322 ff.; ROSENTHAL, a.a.O., N. 23 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG). Diese Modalitäten sprechen dagegen, dass der Auskunftsersuchende einfach einen Verdacht betreffend die Herkunft einer Angabe aus einem Gespräch äussern und diesen durch Partei- und Zeugenbefragung verifizieren lassen kann. Der datenschutzrechtliche Auskunftsanspruch erfasst kein allgemeines Recht, durch Partei- und Zeugenbefragung zu erfahren, zwischen wem wann worüber ein personenbezogenes Gespräch stattgefunden hat. Vielmehr erhellt aus der gesetzlichen Regelung der Formalitäten der Auskunftserteilung, dass es dem Gesetzgeber darum geht, schriftlich bzw. "physisch" vorhandene, und deshalb auf Dauer objektiv einsehbare Datensammlungen zu erfassen, nicht aber bloss im Gedächtnis abrufbare Daten.

3.4.4. In Bezug auf Angaben über die Herkunft der Daten vertritt der genannte Autor die Auffassung, alle (in- oder ausserhalb der Datensammlung) vorhandenen Angaben müssten mitgeteilt werden, soweit dies für den Antragsteller nötig ist, seine Rechte auch gegenüber diesen Quellen geltend zu machen (ROSENTHAL, a.a.O., N. 13 zu Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG). Die Beschwerdeführerinnen sind der Ansicht, die Herkunftsangaben müssten nur übermittelt werden, wenn sie sich in der Datensammlung befinden. Entgegen ihren Ausführungen lässt sich dies indessen nicht aus dem Wortlaut von Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG in den drei massgebenden Landessprachen (vgl. E. 3.1 hiervor) ableiten. Denn die Wendung "einschliesslich" ("y compris"; "comprese") bezieht sich nicht zwingend auf Personendaten innerhalb der Datenbank. Hätte der Gesetzgeber dies gewollt, hätte er die Pflicht zur Mitteilung schlicht auf "alle in der Datensammlung vorhandenen Daten einschliesslich der darin enthaltenen Angaben über deren Herkunft" beschränken können. Eine derartige Einschränkung liesse sich mit dem Zweck von Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG aber nicht in Einklang bringen, zumal sich der Inhaber der Datensammlung unter dieser Voraussetzung seiner Auskunftspflicht ohne Weiteres entziehen könnte,
indem er die Herkunftsangaben separat aufbewahrt. Eine präventive Wirkung (vgl. E. 3.2 hiervor) liesse sich so nicht erzielen.

3.4.5. Der Gesetzgeber spricht aber von "verfügbaren" Herkunftsangaben (so auch im neuen Datenschutzgesetz: Art. 25 Abs. 2 lit. e
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 25 Diritto d'accesso - 1 Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
1    Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
2    Alla persona interessata sono fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati. In ogni caso le sono fornite le informazioni seguenti:
a  l'identità e i dati di contatto del titolare del trattamento;
b  i dati personali trattati in quanto tali;
c  lo scopo del trattamento;
d  la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata;
e  le informazioni disponibili sulla provenienza dei dati personali che non sono stati raccolti presso la persona interessata;
f  se del caso, l'esistenza di una decisione individuale automatizzata e la logica su cui si fonda la decisione;
g  se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali, nonché le informazioni di cui all'articolo 19 capoverso 4.
3    I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata.
4    Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento.
5    Nessuno può rinunciare preventivamente al diritto d'accesso.
6    Il titolare del trattamento fornisce gratuitamente le informazioni. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se l'informazione richiede un onere sproporzionato.
7    Di norma l'informazione è fornita entro 30 giorni.
E-DSG; BBl 2020 7651) und hat das Auskunftsrecht auch insoweit grundsätzlich voraussetzungs- und kostenlos ausgestaltet (Art. 8 Abs. 5
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG). Dies spricht ebenso wie die Verknüpfung mit dem Wort einschliesslich dafür, dass auch diese Auskunft in aller Regel nicht zu einer wesentlichen Mehrbelastung des Auskunftspflichtigen führen soll. Auch hier wird mithin implizit vorausgesetzt, dass der Inhaber der Datensammlung, wenn er die Herkunftsangaben aufbewahrt (wozu er allerdings nicht verpflichtet ist; vgl. E. 3.2.1 hiervor), dies so gestalten kann (Art. 9 Abs. 2
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 9 Clausole contrattuali di protezione dei dati e garanzie specifiche - 1 Le clausole contrattuali di protezione dei dati di un contratto secondo l'articolo 16 capoverso 2 lettera b LPD e le garanzie specifiche secondo l'articolo 16 capoverso 2 lettera c LPD contengono almeno i seguenti punti:
1    Le clausole contrattuali di protezione dei dati di un contratto secondo l'articolo 16 capoverso 2 lettera b LPD e le garanzie specifiche secondo l'articolo 16 capoverso 2 lettera c LPD contengono almeno i seguenti punti:
a  l'applicazione dei principi della liceità, della buona fede, della proporzionalità, della trasparenza, della finalità e dell'esattezza;
b  le categorie dei dati personali comunicati e delle persone interessate;
c  il tipo e lo scopo della comunicazione dei dati personali;
d  all'occorrenza, il nome degli Stati o degli organismi internazionali cui sono comunicati dati personali nonché i requisiti della comunicazione;
e  i requisiti della conservazione, della cancellazione e della distruzione di dati personali;
f  i destinatari o le categorie dei destinatari;
g  i provvedimenti per garantire la sicurezza dei dati;
h  l'obbligo di comunicare le violazioni della sicurezza dei dati;
i  se i destinatari sono titolari del trattamento, l'obbligo di informare le persone interessate dal trattamento;
j  i diritti della persona interessata, segnatamente:
j1  il diritto d'accesso e il diritto alla consegna o alla trasmissione dei dati,
j2  il diritto di opporsi alla comunicazione dei dati,
j3  il diritto di chiedere la rettifica, la cancellazione o la distruzione dei dati che la concernono,
j4  il diritto di chiedere tutela giurisdizionale a un'autorità indipendente.
2    Il titolare del trattamento e, nel caso di clausole contrattuali sulla protezione dei dati, il responsabile del trattamento prendono misure adeguate per garantire che il destinatario rispetti dette clausole o le garanzie specifiche.
3    Se l'IFPDT è stato informato sulle clausole contrattuali di protezione dei dati o sulle garanzie specifiche, l'obbligo di informare è considerato adempiuto per tutte le ulteriori comunicazioni che:
a  si basano sulle medesime clausole contrattuali o garanzie, sempre che le categorie dei destinatari, la finalità del trattamento o le categorie di dati rimangano sostanzialmente immutate; o
b  sono effettuate in seno alla medesima persona giuridica o società o tra imprese che appartengono allo stesso gruppo.
VDSG), dass auch die Herkunftsangaben objektiv erschliessbar sind und ein gezielter Zugriff darauf möglich ist, auch wenn sie ausserhalb der eigentlichen Datensammlung aufbewahrt werden.

3.4.6. Entgegen der Auffassung der Vorinstanz werden Angaben über die Herkunft von Daten, die allenfalls im Gehirn unter den gewöhnlichen Erinnerungen einer Person gespeichert sein könnten (und nicht etwa auf Geheiss des Inhabers der Datensammlung auswendig gelernt wurden), nicht vom Auskunftsrecht erfasst. Denn über derartige Informationen kann der Inhaber der Datensammlung nicht verfügen. Er kann, ohne Nachforschungen bei der betroffenen Person anzustellen, objektiv nicht wissen, ob die Herkunftsangaben zu einem gegebenen Zeitpunkt noch vorhanden sind. Im Rahmen der voraussetzungslos geschuldeten Auskunft nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG kann von ihm nicht verlangt werden, dass er diesbezüglich bei jedem Auskunftsbegehren Abklärungen vornimmt. Da die zu erteilende Auskunft wahr und vollständig sein muss (vgl. E. 3.1.2 hiervor), wäre er dazu aber verpflichtet und zwar selbst dann, wenn die Herkunftsangaben für den Auskunftsberechtigten gar nicht von Interesse sind. Dass sich die Herkunft der Daten im Rahmen entsprechender Abklärungen allenfalls rekonstruieren lässt, bedeutet mithin nicht, dass diese Angaben verfügbar im Sinne von Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG sind. Wird vom Inhaber der Datensammlung nicht verlangt, die Herkunftsangaben zu speichern,
kann von ihm im Rahmen von Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG auch nicht verlangt werden, dass er Nachforschungen nach Herkunftsangaben anstellt, die er nicht aufbewahrt hat.

3.5. Vor diesem Hintergrund betreffen die Beweissätze keine prozessrelevanten Punkte:

3.5.1. Selbst wenn im Zusammenhang mit der Zahlung von Fr. 566'000.-- an den Beschwerdegegner zwischen dem General Counsel der Beschwerdeführerin 3 und einem Partner der Anwaltskanzlei ein Gespräch stattgefunden haben sollte, lässt sich daraus nicht ableiten, dass für die Beschwerdeführerinnen im Rahmen von Art. 8 Abs. 2 lit. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG eine entsprechende Auskunftspflicht besteht, denn dazu müsste diese Angabe verfügbar sein, das heisst ohne Nachforschungen beim Betroffenen erteilt werden können.

3.5.2. Auch dass der Partner der Anwaltskanzlei im Zuge dieses Gesprächs dem General Counsel der Beschwerdeführerin 3 allenfalls personenbezogene Informationen über den Beschwerdegegner mitgeteilt haben könnte, sagt nichts über die Verfügbarkeit der Angaben betreffend die Herkunft der Daten aus. Da der Inhalt des Gesprächs nicht zum Beweissatz gehört, könnten auch keine inhaltlichen Rückschlüsse auf die Vollständigkeit der erteilten Auskünfte gezogen werden.

3.5.3. Dass der General Counsel der Beschwerdeführerin 3 den Inhalt dieses Gesprächs einer anderen Person schriftlich mitgeteilt haben könnte oder dass der General Counsel der Beschwerdeführerin 3 den Inhalt dieses Gesprächs einem Mitarbeiter oder Organ einer der Beschwerdeführerinnen mündlich mitgeteilt haben könnte, worauf diese Person den Inhalt dieses Gesprächs schriftlich festgehalten hat, bildet zwar eine Voraussetzung dafür, dass überhaupt eine Auskunftspflicht in Betracht fällt, nämlich sofern das erwähnte Schriftstück nicht lediglich zum vorübergehenden Gebrauch bestimmt war, sondern vielmehr aufbewahrt wurde, so dass ein gezielter Zugriff darauf möglich wäre. Aus der Tatsache allein, dass ein entsprechendes Schriftstück allenfalls einmal verfasst wurde, folgt dies aber nicht. Da der Inhalt des Gesprächs wieder nicht zum Beweissatz gehört, könnten zudem auch hier keine inhaltlichen Rückschlüsse auf die Vollständigkeit der erteilten Auskünfte gezogen werden.

4.
Damit erweisen sich die Beanstandungen der Beschwerdeführerinnen als begründet. Die Beschwerdegegner werfen den Beschwerdeführerinnen allerdings treuwidriges Verhalten vor. Sie machen gelten, die Erstinstanz habe den Parteien angeboten, die in der Beweisverfügung genannten zwei Zeugen und die Auskunftsperson zu den darin aufgeführten Beweisthemen vorzuladen, wenn die Beschwerdegegner die übrigen Klagebegehren zurückziehen würden. Die Beschwerdeführerinnen hätten diesem Vorschlag zugestimmt, worauf die Beschwerdegegner die übrigen Klagebegehren zurückgezogen hätten und die Beweisverfügung erlassen worden sei. Entsprechendes lässt sich den Feststellungen des angefochtenen Entscheides aber nicht entnehmen, und die Beschwerdegegner erheben keine hinreichend begründete Sachverhaltsrüge, die dem Bundesgericht eine Ergänzung des Sachverhalts erlauben würde (vgl. E. 2.1 - 2.3 hiervor). Damit sind sie nicht zu hören.
Der Vorwurf der Treuwidrigkeit bzw. des Rechtsmissbrauchs könnte vielmehr auf die Beschwerdegegner fallen, indem die Vorinstanzen im Rahmen der Beurteilung in der Sache auch zu prüfen haben werden, ob die Beschwerdegegner mit ihren sehr weit gefassten, über die erhaltenen Informationen hinausgehenden Auskunftsbegehren wirklich datenschutzrechtliche Interessen verfolgen, oder allenfalls ein zweckwidriger Gebrauch des Instituts des datenschutzrechtlichen Auskunftsanspruchs vorliegt (vgl. E. 1.7.2 hiervor).

5.
Damit erweist sich die Beschwerde als begründet. Der angefochtene Entscheid ist aufzuheben ebenso wie die mit der kantonalen Beschwerde angefochtene Beweisverfügung des Bezirksgerichts Zürich vom 29. Juli 2019. Die Vorinstanz hat allerdings die Frage nach der Parteistellung der Beschwerdegegnerin im Beschwerdeverfahren offengelassen. Da sich die Begründung, dass die Beschwerdeführerinnen mit ihrer kantonalen Beschwerde nicht durchdringen, als nicht tragfähig erwiesen hat, ist die Sache in diesem Punkt an die Vorinstanz zu neuer Entscheidung zurückzuweisen. In diesem Rahmen wird sie auch die Prozesskosten für das kantonale Verfahren neu zu verlegen haben. Im Übrigen wird das Bezirksgericht die Sache nun wieder aufnehmen müssen zum Entscheid in der Hauptsache ohne Vornahme der aufgehobenen Beweisanordnung.
Vor Bundesgericht muss auf die Frage der Parteistellung im kantonalen Beschwerdeverfahren nicht eingegangen werden, zumal die Beschwerdegegner sich dazu nicht äussern und ihnen zumindest für das Verfahren vor Bundesgericht beiden Parteistellung zukommt. Dem Ausgang des Verfahrens entsprechend werden sie unter solidarischer Haftbarkeit kosten- und entschädigungspflichtig. Es handelt sich um eine nichtvermögensrechtliche Streitigkeit (BGE 142 III 145 E. 6.3 S. 151 f.). Die Höhe der Gerichtskosten bestimmt sich daher gestützt auf Art. 65 Abs. 3 lit. a
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 65 Spese giudiziarie - 1 Le spese giudiziarie comprendono la tassa di giustizia, l'emolumento per la copia di atti scritti, le spese per le traduzioni in o da una lingua non ufficiale e le indennità versate a periti e testimoni.
1    Le spese giudiziarie comprendono la tassa di giustizia, l'emolumento per la copia di atti scritti, le spese per le traduzioni in o da una lingua non ufficiale e le indennità versate a periti e testimoni.
2    La tassa di giustizia è stabilita in funzione del valore litigioso, dell'ampiezza e della difficoltà della causa, del modo di condotta processuale e della situazione finanziaria delle parti.
3    Di regola, il suo importo è di:
a  200 a 5000 franchi nelle controversie senza interesse pecuniario;
b  200 a 100 000 franchi nelle altre controversie.
4    È di 200 a 1000 franchi, a prescindere dal valore litigioso, nelle controversie:
a  concernenti prestazioni di assicurazioni sociali;
b  concernenti discriminazioni fondate sul sesso;
c  risultanti da un rapporto di lavoro, sempreché il valore litigioso non superi 30 000 franchi;
d  secondo gli articoli 7 e 8 della legge del 13 dicembre 200223 sui disabili.
5    Se motivi particolari lo giustificano, il Tribunale federale può aumentare tali importi, ma al massimo fino al doppio nei casi di cui al capoverso 3 e fino a 10 000 franchi nei casi di cui al capoverso 4.
BGG.

Demnach erkennt das Bundesgericht:

1.
In Gutheissung der Beschwerde wird der angefochtene Entscheid aufgehoben. Die Beweisverfügung des Bezirksgerichts Zürich vom 29. Juli 2019 wird aufgehoben.

2.
Die Sache wird zu neuer Entscheidung über die Parteikosten sowie über die Parteistellung der Beschwerdegegnerin im kantonalen Beschwerdeverfahren an das Obergericht des Kantons Zürich zurückgewiesen.

3.
Die Gerichtskosten von Fr. 1'000.-- werden unter solidarischer Haftbarkeit den Beschwerdegegnern auferlegt.

4.
Die Beschwerdegegner haben die Beschwerdeführerinnen für das bundesgerichtliche Verfahren unter solidarischer Haftbarkeit mit insgesamt Fr. 2'500.-- zu entschädigen.

5.
Dieses Urteil wird den Parteien und dem Obergericht des Kantons Zürich, I. Zivilkammer, schriftlich mitgeteilt.

Lausanne, 10. Dezember 2020

Im Namen der I. zivilrechtlichen Abteilung
des Schweizerischen Bundesgerichts

Die Präsidentin: Kiss

Der Gerichtsschreiber: Luczak
Informazioni decisione   •   DEFRITEN
Documento : 4A_125/2020
Data : 10. dicembre 2020
Pubblicato : 28. dicembre 2020
Sorgente : Tribunale federale
Stato : Pubblicato come BGE-147-III-139
Ramo giuridico : Proprietà intellettuale, concorrenza e cartelli
Oggetto : Datenschutz; Auskunft über Herkunftsangaben,


Registro di legislazione
CC: 8 
SR 210 Codice civile svizzero del 10 dicembre 1907
CC Art. 8 - Ove la legge non disponga altrimenti, chi vuol dedurre il suo diritto da una circostanza di fatto da lui asserita, deve fornirne la prova.
170
SR 210 Codice civile svizzero del 10 dicembre 1907
CC Art. 170 - 1 Ciascun coniuge può esigere che l'altro lo informi su i suoi redditi, la sua sostanza e i suoi debiti.
1    Ciascun coniuge può esigere che l'altro lo informi su i suoi redditi, la sua sostanza e i suoi debiti.
2    A sua istanza, il giudice può obbligare l'altro coniuge o terzi a dare le informazioni occorrenti e a produrre i documenti necessari.
3    Resta salvo il segreto professionale degli avvocati, dei notai, dei medici, degli ecclesiastici e dei loro ausiliari.
CO: 400
SR 220 Parte prima: Disposizioni generali Titolo primo: Delle cause delle obbligazioni Capo primo: Delle obbligazioni derivanti da contratto
CO Art. 400 - 1 Il mandatario, ad ogni richiesta del mandante, è obbligato a render conto del suo operato ed a restituire tutto ciò che per qualsiasi titolo ha ricevuto in forza del mandato.
1    Il mandatario, ad ogni richiesta del mandante, è obbligato a render conto del suo operato ed a restituire tutto ciò che per qualsiasi titolo ha ricevuto in forza del mandato.
2    Deve inoltre gli interessi sulle somme, delle quali abbia ritardato il versamento.
CPC: 150 
SR 272 Codice di diritto processuale civile svizzero del 19 dicembre 2008 (Codice di procedura civile, CPC) - Codice di procedura civile
CPC Art. 150 Oggetto della prova - 1 Oggetto della prova sono i fatti controversi, se giuridicamente rilevanti.
1    Oggetto della prova sono i fatti controversi, se giuridicamente rilevanti.
2    Possono pure essere oggetto della prova l'uso e gli usi locali e, in caso di controversie patrimoniali, il diritto straniero.
152 
SR 272 Codice di diritto processuale civile svizzero del 19 dicembre 2008 (Codice di procedura civile, CPC) - Codice di procedura civile
CPC Art. 152 Diritto alla prova - 1 Ogni parte può pretendere che il giudice assuma tutti i pertinenti mezzi di prova offerti tempestivamente e nelle forme prescritte.
1    Ogni parte può pretendere che il giudice assuma tutti i pertinenti mezzi di prova offerti tempestivamente e nelle forme prescritte.
2    Il giudice prende in considerazione mezzi di prova ottenuti illecitamente soltanto se l'interesse all'accertamento della verità prevale.
160
SR 272 Codice di diritto processuale civile svizzero del 19 dicembre 2008 (Codice di procedura civile, CPC) - Codice di procedura civile
CPC Art. 160 Obbligo di cooperazione - 1 Le parti e i terzi sono tenuti a cooperare all'assunzione delle prove. Devono in particolare:
1    Le parti e i terzi sono tenuti a cooperare all'assunzione delle prove. Devono in particolare:
a  in qualità di parte o testimone, dire la verità;
b  produrre documenti; sono eccettuati i documenti inerenti ai contatti tra una parte o un terzo e un avvocato autorizzato a esercitare la rappresentanza professionale in giudizio o un consulente in brevetti ai sensi dell'articolo 2 della legge del 20 marzo 200964 sui consulenti in brevetti;
c  tollerare l'ispezione oculare della loro persona o dei loro beni da parte di un consulente tecnico.
2    Il giudice decide secondo il proprio apprezzamento in merito all'obbligo di cooperazione dei minori. Prende in considerazione il bene del minore.
3    I terzi tenuti a cooperare hanno diritto a un adeguato indennizzo.
LPD: 3 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
4 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 4 Incaricato federale della protezione dei dati e della trasparenza - 1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
1    L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
2    Non sono sottoposti alla vigilanza dell'IFPDT:
a  l'Assemblea federale;
b  il Consiglio federale;
c  i tribunali della Confederazione;
d  il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;
e  le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale.
5 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 5 Definizioni - Nella presente legge s'intende per:
a  dati personali: tutte le informazioni concernenti una persona fisica identificata o identificabile;
b  persona interessata: la persona fisica i cui dati personali sono oggetto di trattamento;
c  dati personali degni di particolare protezione:
c1  i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali,
c2  i dati concernenti la salute, la sfera intima o l'appartenenza a una razza o a un'etnia,
c3  i dati genetici,
c4  i dati biometrici che identificano in modo univoco una persona fisica,
c5  i dati concernenti perseguimenti e sanzioni amministrativi e penali,
c6  i dati concernenti le misure d'assistenza sociale;
d  trattamento: qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l'utilizzazione, la modificazione, la comunicazione, l'archiviazione, la cancellazione o la distruzione di dati;
e  comunicazione: la trasmissione di dati personali o il fatto di renderli accessibili;
f  profilazione: trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere aspetti concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, i luoghi di permanenza e gli spostamenti di tale persona;
g  profilazione a rischio elevato: profilazione che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata poiché comporta un collegamento tra dati che permette di valutare aspetti essenziali della personalità di una persona fisica;
h  violazione della sicurezza dei dati: violazione della sicurezza in seguito alla quale, in modo accidentale o illecito, dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate;
i  organo federale: autorità o servizio della Confederazione, oppure persona cui sono affidati compiti federali;
j  titolare del trattamento: il privato o l'organo federale che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento;
k  responsabile del trattamento: il privato o l'organo federale che tratta dati personali per conto del titolare del trattamento.
8 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
9 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
25 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 25 Diritto d'accesso - 1 Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
1    Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
2    Alla persona interessata sono fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati. In ogni caso le sono fornite le informazioni seguenti:
a  l'identità e i dati di contatto del titolare del trattamento;
b  i dati personali trattati in quanto tali;
c  lo scopo del trattamento;
d  la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata;
e  le informazioni disponibili sulla provenienza dei dati personali che non sono stati raccolti presso la persona interessata;
f  se del caso, l'esistenza di una decisione individuale automatizzata e la logica su cui si fonda la decisione;
g  se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali, nonché le informazioni di cui all'articolo 19 capoverso 4.
3    I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata.
4    Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento.
5    Nessuno può rinunciare preventivamente al diritto d'accesso.
6    Il titolare del trattamento fornisce gratuitamente le informazioni. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se l'informazione richiede un onere sproporzionato.
7    Di norma l'informazione è fornita entro 30 giorni.
34
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 34 Basi legali - 1 Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
1    Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
2    La base legale deve figurare in una legge in senso formale nei casi seguenti:
a  sono trattati dati personali degni di particolare protezione;
b  è effettuata una profilazione;
c  lo scopo del trattamento o il tipo di trattamento può comportare una grave ingerenza nei diritti fondamentali della persona interessata.
3    Per il trattamento di dati personali secondo il capoverso 2 lettere a e b è sufficiente una base legale figurante in una legge in senso materiale se:
a  il trattamento è indispensabile per l'adempimento di un compito stabilito in una legge in senso formale; e
b  lo scopo del trattamento non comporta rischi particolari per i diritti fondamentali della persona interessata.
4    In deroga ai capoversi 1-3, gli organi federali possono trattare dati personali se:
a  il Consiglio federale ha autorizzato il trattamento poiché non ritiene pregiudicati i diritti delle persone interessate;
b  la persona interessata ha dato, nel caso specifico, il suo consenso al trattamento oppure ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente al trattamento; o
c  il trattamento è necessario per proteggere la vita o l'integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine ragionevole.
LTF: 29 
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 29 Esame - 1 Il Tribunale federale esamina d'ufficio la sua competenza.
1    Il Tribunale federale esamina d'ufficio la sua competenza.
2    In caso di dubbio, procede a uno scambio di opinioni con l'autorità che presume competente.
42 
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 42 Atti scritti - 1 Gli atti scritti devono essere redatti in una lingua ufficiale, contenere le conclusioni, i motivi e l'indicazione dei mezzi di prova ed essere firmati.
1    Gli atti scritti devono essere redatti in una lingua ufficiale, contenere le conclusioni, i motivi e l'indicazione dei mezzi di prova ed essere firmati.
2    Nei motivi occorre spiegare in modo conciso perché l'atto impugnato viola il diritto. Qualora il ricorso sia ammissibile soltanto se concerne una questione di diritto di importanza fondamentale o un caso particolarmente importante per altri motivi, occorre spiegare perché la causa adempie siffatta condizione.14 15
3    Se sono in possesso della parte, i documenti indicati come mezzi di prova devono essere allegati; se l'atto scritto è diretto contro una decisione, anche questa deve essere allegata.
4    In caso di trasmissione per via elettronica, la parte o il suo patrocinatore deve munire l'atto scritto di una firma elettronica qualificata secondo la legge del 18 marzo 201616 sulla firma elettronica. Il Tribunale federale determina mediante regolamento:
a  il formato dell'atto scritto e dei relativi allegati;
b  le modalità di trasmissione;
c  le condizioni alle quali può essere richiesta la trasmissione successiva di documenti cartacei in caso di problemi tecnici.17
5    Se mancano la firma della parte o del suo patrocinatore, la procura dello stesso o gli allegati prescritti, o se il patrocinatore non è autorizzato in quanto tale, è fissato un congruo termine per sanare il vizio, con la comminatoria che altrimenti l'atto scritto non sarà preso in considerazione.
6    Gli atti illeggibili, sconvenienti, incomprensibili, prolissi o non redatti in una lingua ufficiale possono essere del pari rinviati al loro autore affinché li modifichi.
7    Gli atti scritti dovuti a condotta processuale da querulomane o altrimenti abusiva sono inammissibili.
65 
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 65 Spese giudiziarie - 1 Le spese giudiziarie comprendono la tassa di giustizia, l'emolumento per la copia di atti scritti, le spese per le traduzioni in o da una lingua non ufficiale e le indennità versate a periti e testimoni.
1    Le spese giudiziarie comprendono la tassa di giustizia, l'emolumento per la copia di atti scritti, le spese per le traduzioni in o da una lingua non ufficiale e le indennità versate a periti e testimoni.
2    La tassa di giustizia è stabilita in funzione del valore litigioso, dell'ampiezza e della difficoltà della causa, del modo di condotta processuale e della situazione finanziaria delle parti.
3    Di regola, il suo importo è di:
a  200 a 5000 franchi nelle controversie senza interesse pecuniario;
b  200 a 100 000 franchi nelle altre controversie.
4    È di 200 a 1000 franchi, a prescindere dal valore litigioso, nelle controversie:
a  concernenti prestazioni di assicurazioni sociali;
b  concernenti discriminazioni fondate sul sesso;
c  risultanti da un rapporto di lavoro, sempreché il valore litigioso non superi 30 000 franchi;
d  secondo gli articoli 7 e 8 della legge del 13 dicembre 200223 sui disabili.
5    Se motivi particolari lo giustificano, il Tribunale federale può aumentare tali importi, ma al massimo fino al doppio nei casi di cui al capoverso 3 e fino a 10 000 franchi nei casi di cui al capoverso 4.
72 
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 72 Principio - 1 Il Tribunale federale giudica i ricorsi contro le decisioni pronunciate in materia civile.
1    Il Tribunale federale giudica i ricorsi contro le decisioni pronunciate in materia civile.
2    Al ricorso in materia civile soggiacciono anche:
a  le decisioni in materia di esecuzione e fallimento;
b  le decisioni in rapporto diretto con il diritto civile pronunciate in applicazione di norme di diritto pubblico, segnatamente le decisioni:
b1  sul riconoscimento e l'esecuzione di decisioni e sull'assistenza giudiziaria in materia civile,
b2  sulla tenuta del registro fondiario, dei registri dello stato civile, del registro di commercio e dei registri in materia di marchi, disegni e modelli, brevetti d'invenzione, varietà vegetali e topografie,
b3  sull'autorizzazione al cambiamento del nome,
b4  in materia di vigilanza sulle fondazioni, eccettuati gli istituti di previdenza e di libero passaggio,
b5  in materia di vigilanza sugli esecutori testamentari e altri rappresentanti previsti dal diritto successorio,
b6  in materia di protezione dei minori e degli adulti,
b7  ...
90 
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 90 Decisioni finali - Il ricorso è ammissibile contro le decisioni che pongono fine al procedimento.
93 
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 93 Altre decisioni pregiudiziali e incidentali - 1 Il ricorso è ammissibile contro altre decisioni pregiudiziali e incidentali notificate separatamente se:
1    Il ricorso è ammissibile contro altre decisioni pregiudiziali e incidentali notificate separatamente se:
a  esse possono causare un pregiudizio irreparabile; o
b  l'accoglimento del ricorso comporterebbe immediatamente una decisione finale consentendo di evitare una procedura probatoria defatigante o dispendiosa.
2    Le decisioni pregiudiziali e incidentali nel campo dell'assistenza giudiziaria internazionale in materia penale e nel campo dell'asilo non sono impugnabili.86 Rimangono salvi i ricorsi contro le decisioni sulla carcerazione in vista d'estradizione come anche sul sequestro di beni e valori, sempreché siano adempiute le condizioni di cui al capoverso 1.
3    Se il ricorso in virtù dei capoversi 1 e 2 non è ammissibile o non è stato interposto, le decisioni pregiudiziali e incidentali possono essere impugnate mediante ricorso contro la decisione finale in quanto influiscano sul contenuto della stessa.
95 
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 95 Diritto svizzero - Il ricorrente può far valere la violazione:
a  del diritto federale;
b  del diritto internazionale;
c  dei diritti costituzionali cantonali;
d  delle disposizioni cantonali in materia di diritto di voto dei cittadini e di elezioni e votazioni popolari;
e  del diritto intercantonale.
96 
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 96 Diritto estero - Il ricorrente può far valere che:
a  non è stato applicato il diritto estero richiamato dal diritto internazionale privato svizzero;
b  il diritto estero richiamato dal diritto internazionale privato svizzero non è stato applicato correttamente, sempreché la decisione non concerna una causa di natura pecuniaria.
97 
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 97 Accertamento inesatto dei fatti - 1 Il ricorrente può censurare l'accertamento dei fatti soltanto se è stato svolto in modo manifestamente inesatto o in violazione del diritto ai sensi dell'articolo 95 e l'eliminazione del vizio può essere determinante per l'esito del procedimento.
1    Il ricorrente può censurare l'accertamento dei fatti soltanto se è stato svolto in modo manifestamente inesatto o in violazione del diritto ai sensi dell'articolo 95 e l'eliminazione del vizio può essere determinante per l'esito del procedimento.
2    Se il ricorso è diretto contro una decisione d'assegnazione o rifiuto di prestazioni pecuniarie dell'assicurazione militare o dell'assicurazione contro gli infortuni, può essere censurato qualsiasi accertamento inesatto o incompleto dei fatti giuridicamente rilevanti.87
99 
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 99 - 1 Possono essere addotti nuovi fatti e nuovi mezzi di prova soltanto se ne dà motivo la decisione dell'autorità inferiore.
1    Possono essere addotti nuovi fatti e nuovi mezzi di prova soltanto se ne dà motivo la decisione dell'autorità inferiore.
2    Non sono ammissibili nuove conclusioni.
105 
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 105 Fatti determinanti - 1 Il Tribunale federale fonda la sua sentenza sui fatti accertati dall'autorità inferiore.
1    Il Tribunale federale fonda la sua sentenza sui fatti accertati dall'autorità inferiore.
2    Può rettificare o completare d'ufficio l'accertamento dei fatti dell'autorità inferiore se è stato svolto in modo manifestamente inesatto o in violazione del diritto ai sensi dell'articolo 95.
3    Se il ricorso è diretto contro una decisione d'assegnazione o rifiuto di prestazioni pecuniarie dell'assicurazione militare o dell'assicurazione contro gli infortuni, il Tribunale federale non è vincolato dall'accertamento dei fatti operato dall'autorità inferiore.96
106
SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria
LTF Art. 106 Applicazione del diritto - 1 Il Tribunale federale applica d'ufficio il diritto.
1    Il Tribunale federale applica d'ufficio il diritto.
2    Esamina la violazione di diritti fondamentali e di disposizioni di diritto cantonale e intercantonale soltanto se il ricorrente ha sollevato e motivato tale censura.
OPDa: 1 
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 1 Principi - 1 Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
1    Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
2    La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri:
a  tipo di dati trattati;
b  scopo, tipo, portata e circostanze del trattamento.
3    Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri:
a  cause del rischio;
b  pericolo sostanziale;
c  provvedimenti adottati o previsti per minimizzare il rischio;
d  probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti.
4    Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri:
a  lo stato della tecnica;
b  le spese di implementazione.
5    La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l'intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati.
2 
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 2 Obiettivi - Conformemente alla necessità di protezione, il titolare del trattamento e il responsabile del trattamento adottano provvedimenti tecnici e organizzativi affinché i dati trattati:
a  siano accessibili solo alle persone autorizzate (confidenzialità);
b  siano disponibili quando necessario (disponibilità);
c  non siano modificati indebitamente o inavvertitamente (integrità);
d  siano trattati in modo tracciabile (tracciabilità).
9
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 9 Clausole contrattuali di protezione dei dati e garanzie specifiche - 1 Le clausole contrattuali di protezione dei dati di un contratto secondo l'articolo 16 capoverso 2 lettera b LPD e le garanzie specifiche secondo l'articolo 16 capoverso 2 lettera c LPD contengono almeno i seguenti punti:
1    Le clausole contrattuali di protezione dei dati di un contratto secondo l'articolo 16 capoverso 2 lettera b LPD e le garanzie specifiche secondo l'articolo 16 capoverso 2 lettera c LPD contengono almeno i seguenti punti:
a  l'applicazione dei principi della liceità, della buona fede, della proporzionalità, della trasparenza, della finalità e dell'esattezza;
b  le categorie dei dati personali comunicati e delle persone interessate;
c  il tipo e lo scopo della comunicazione dei dati personali;
d  all'occorrenza, il nome degli Stati o degli organismi internazionali cui sono comunicati dati personali nonché i requisiti della comunicazione;
e  i requisiti della conservazione, della cancellazione e della distruzione di dati personali;
f  i destinatari o le categorie dei destinatari;
g  i provvedimenti per garantire la sicurezza dei dati;
h  l'obbligo di comunicare le violazioni della sicurezza dei dati;
i  se i destinatari sono titolari del trattamento, l'obbligo di informare le persone interessate dal trattamento;
j  i diritti della persona interessata, segnatamente:
j1  il diritto d'accesso e il diritto alla consegna o alla trasmissione dei dati,
j2  il diritto di opporsi alla comunicazione dei dati,
j3  il diritto di chiedere la rettifica, la cancellazione o la distruzione dei dati che la concernono,
j4  il diritto di chiedere tutela giurisdizionale a un'autorità indipendente.
2    Il titolare del trattamento e, nel caso di clausole contrattuali sulla protezione dei dati, il responsabile del trattamento prendono misure adeguate per garantire che il destinatario rispetti dette clausole o le garanzie specifiche.
3    Se l'IFPDT è stato informato sulle clausole contrattuali di protezione dei dati o sulle garanzie specifiche, l'obbligo di informare è considerato adempiuto per tutte le ulteriori comunicazioni che:
a  si basano sulle medesime clausole contrattuali o garanzie, sempre che le categorie dei destinatari, la finalità del trattamento o le categorie di dati rimangano sostanzialmente immutate; o
b  sono effettuate in seno alla medesima persona giuridica o società o tra imprese che appartengono allo stesso gruppo.
ORD-FINMA: 16
SR 955.033.0 Ordinanza del 3 giugno 2015 dell'Autorità federale di vigilanza sui mercati finanziari sulla lotta contro il riciclaggio di denaro e il finanziamento del terrorismo nel settore finanziario (Ordinanza FINMA sul riciclaggio di denaro, ORD-FINMA) - Ordinanza 3 FINMA sul riciclaggio di denaro
ORD-FINMA Art. 16 Mezzi di chiarimento - 1 Secondo le circostanze, i chiarimenti comprendono segnatamente:
1    Secondo le circostanze, i chiarimenti comprendono segnatamente:
a  informazioni raccolte per scritto o oralmente presso la controparte, i detentori del controllo o gli aventi economicamente diritto dei valori patrimoniali;
b  visite nei luoghi in cui la controparte, i detentori del controllo o gli aventi economicamente diritto svolgono la loro attività;
c  la consultazione delle fonti e delle banche dati pubblicamente accessibili;
d  in caso di necessità, informazioni presso persone degne di fiducia.
2    L'intermediario finanziario verifica se i risultati dei chiarimenti sono plausibili e li documenta.
UE: 15
Registro DTF
125-II-321 • 125-II-473 • 133-III-393 • 133-III-645 • 133-V-205 • 134-II-244 • 134-V-223 • 136-II-508 • 136-III-200 • 136-III-545 • 136-III-96 • 137-III-380 • 138-III-425 • 138-III-728 • 139-II-451 • 139-III-120 • 139-V-339 • 140-III-115 • 140-III-16 • 140-III-264 • 140-III-86 • 141-III-119 • 141-III-281 • 141-III-395 • 141-III-564 • 141-III-80 • 142-III-145 • 142-III-798 • 142-V-26 • 143-III-140 • 143-III-416 • 144-III-475
Weitere Urteile ab 2000
1C_59/2015 • 4A_125/2020 • 4A_195/2010 • 4A_269/2011 • 4A_277/2020 • 4A_347/2009 • 4A_438/2010 • 4A_542/2009 • 4A_688/2011 • 4A_697/2016 • 4A_713/2014 • 5A_315/2012 • 5A_421/2013 • 5A_635/2013 • 5A_745/2014 • 5C.15/2001
Parole chiave
Elenca secondo la frequenza o in ordine alfabetico
intimato • collezione di dati • autorità inferiore • tribunale federale • obbligo di informazione • detentore di una collezione di dati • dati personali • persona interessata • decisione incidentale • fattispecie • quesito • decisione finale • posto • banca dati • mezzo di prova • legge federale sulla protezione dei dati • rimedio giuridico • fuori • cosa principale • usa • conclusioni • ricorso in materia civile • protezione dei dati • volontà • testimone • spese giudiziarie • avvocato • decisione • procedura cantonale • condannato • cancelliere • abuso di diritto • violazione del diritto • principio della buona fede • accertamento dei fatti • prova • assunzione delle prove • comunicazione • direttiva • documento interno • onere della prova • durata • estensione • obbligo di edizione di documenti • ripetibili • risposta al ricorso • informazione • sottrazione d'imposta • convenuto • informazione erronea • procedura • ordinanza sulla protezione dei dati • accoglimento • misura di protezione • autorizzazione o approvazione • indicazione di provenienza • utilizzazione • danno • direttiva • prova dell'interesse • potere cognitivo • inchiesta • motivazione della decisione • forma e contenuto • consulenza giuridica • parte alla procedura • condizione • condizione del diritto alla prestazione assicurativa • presupposto processuale • partecipazione o collaborazione • dibattimento • dichiarazione • etichettatura • domanda indirizzata all'autorità • esame • indicazione erronea • proposta di contratto • obbligo di collaborare • campo d'applicazione materiale • dimensioni della costruzione • trasmissione allo stato richiedente • scopo • obiettivo della pianificazione del territorio • amministrazione • telefono • lettera • atto di ricorso • rimedio giuridico esperibile • effetto sospensivo • sospetto • comportamento • e-mail • consiglio federale • persona fisica • parlamento europeo • all'interno • d'ufficio • informatore • società holding • parte interessata • coscienza • casale • ricusazione • lingua nazionale • prima istanza • economia privata • prato • multa • losanna • consiglio nazionale
... Non tutti
AS
AS 2007/4985
FF
1988/II/453 • 2003/2101 • 2020/7651
BO
2005 N 1438
EU Richtlinie
1995/46