A-5225/2015 - 2017-04-12 - protection des données - Umsetzung von Empfehlungen des EDÖB

Bundesverwaltungsgericht
Tribunal administratif fédéral
Tribunale amministrativo federale
Tribunal administrativ federal

Abteilung I

A-5225/2015

Urteil vom 12. April 2017

Richterin Christine Ackermann (Vorsitz),

Besetzung Richterin Claudia Pasqualetto Péquignot,
Richter Jérôme Candrian,

Gerichtsschreiber Pascal Baur.

Eidgenössischer Datenschutz- und
Öffentlichkeitsbeauftragter EDÖB,
Parteien Feldeggweg 1, 3003 Bern,

Kläger,

gegen

Lucency AG,
Mittlere Dorfstrasse 3, 8598 Bottighofen,

Beklagte,

Gegenstand Umsetzung von Empfehlungen des EDÖB.

Sachverhalt:

A.
Die Lucency AG ist seit dem 23. Oktober 2014 im Handelsregister des Kantons Thurgau eingetragen und hat ihren Sitz in Bottighofen. Zuvor hatte sie ihren Sitz in Rorschach, Kanton St. Gallen, noch früher, bis Januar 2013, in Zürich. In der Rubrik "Personalangaben" des Handelsregistereintrags wird einzig Stephan Schellscheidt, deutscher Staatsangehöriger, in Rorschach, als Mitglied (des Verwaltungsrats) mit Einzelunterschrift genannt. Der Zweck der Gesellschaft wird wie folgt angegeben:

Zweck der Gesellschaft ist der Betrieb einer Mediaagentur und dergleichen für die Erstellung und den Verkauf von innovativen Dienstleistungen im Bereich Kommunikation und Marketing, Unternehmens- und Finanzberatung, Datenverarbeitung und -analyse, Adressenmitteilung und -verwaltung, Optimierung von Zielgruppen, Konzeption und Durchführung von Direktwerbeaktionen, Beschaffung bzw. Produktion der erforderlichen Materialien und Werbeerfolgskontrolle. Die Gesellschaft kann internationale Handels- und Beratergeschäfte abwickeln, Zweigniederlassungen und Tochtergesellschaften errichten und sich an anderen Unternehmen im In- und Ausland beteiligen und Beteiligungen erwerben. Die Gesellschaft ist berechtigt, Grundeigentum/Immobilien zu erwerben, zu belasten, zu veräussern und zu verwalten. Die Gesellschaft kann im übrigen alle Geschäfte tätigen, die geeignet sind, die Entwicklung des Unternehmens und die Erreichung des Gesellschaftszwecks zu fördern.

B.

B.a Ende Januar bzw. Anfang März 2012 wandten sich drei in Deutschland wohnhafte Personen in separaten Eingaben an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB und baten diesen zuständigkeitshalber um Unterstützung bei ihrem datenschutzrechtlichen Vorgehen gegen die Lucency AG. Die drei Personen hatten unerwünschte Werbeschreiben der Targobank AG & Co. KGaA (nachfolgend: Targobank) in Deutschland erhalten. Nachfragen bei dieser und bei der für deren Werbeaktion zuständigen Indima direct GmbH in Pforzheim, Deutschland, hatten ergeben, dass ihre Adressdaten von der Lucency AG bezogen worden waren, die damals Sitz in Zürich sowie eine Anschrift in Neukirchen-Vluyn, Deutschland, hatte. An letztere Anschrift gerichtete Auskunftsersuchen sowie ein Begehren auf Löschung der Adressdaten waren unbeantwortet geblieben, ebenso direkt an den Sitz in der Schweiz gerichtete Auskunftsersuchen.

B.b Mit Schreiben vom April bzw. Mai 2012 gelangte der EDÖB unter Bezugnahme auf die Eingaben der drei betroffenen Personen an die Lucency AG in Zürich und ersuchte diese - je nach Begehren der betroffenen Person bei ihm - um Auskunftserteilung über die bearbeiteten Adressdaten, Löschung dieser Daten oder beides zusammen. Mit Schreiben vom 31. Mai 2012 erteilte die Lucency AG den betroffenen Personen jeweils Auskunft über die bearbeiteten Adressdaten und stellte deren Sperrung (falls gewünscht) oder deren Löschung (falls gewünscht oder keine Rückmeldung) in Aussicht. Über diese Schreiben informierte sie den EDÖB. Zugleich teilte sie ihm mit, sie habe den Anlass genutzt, die internen Abläufe zu beschleunigen, damit künftig für eine umgehende Beantwortung entsprechender Begehren gesorgt sei.

C.

C.a In der Folge meldeten sich allerdings drei weitere in Deutschland wohnhafte Personen wegen vergleichbarer Sachverhalte beim EDÖB und ersuchten diesen um Unterstützung bei ihrem datenschutzrechtlichen Vorgehen gegen die Lucency AG (Auskunfts- und Löschungsbegehren). Der EDÖB wandte sich deshalb mit Schreiben vom 13. November 2012, 16. Oktober 2013 und 16. Juni 2014 erneut an die Lucency AG und ersuchte diese, den betroffenen Personen Auskunft über die bearbeiteten Adressdaten zu erteilen und diese zu löschen. Die Lucency AG reagierte auf diese Schreiben nicht und kam der Aufforderung des EDÖB nicht nach.

C.b Am 17. September 2014 erliess der EDÖB deshalb eine Empfehlung nach Art. 29 Abs. 3 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG, SR 235.1) "betreffend die Umsetzung der Auskunfts- und Widerspruchsrechte bei der Lucency AG". In seinen Erwägungen stellte er fest, die Lucency AG erfülle ihre Auskunftspflicht nach Art. 8 DSG nicht und setze die Anforderungen an das Widerrufsrecht nach Art. 12 Abs. 2 Bst. b DSG nicht um. Zudem sei sie bis anhin ihrer Meldepflicht nach Art. 11a DSG nicht nachgekommen. Gestützt auf seine Erwägungen empfahl er Folgendes:

1. Innert der gesetzlichen Frist von 30 Tagen beantwortet die Lucency AG die Auskunftsbegehren (Art. 8 DSG) oder gibt an, aus welchem Grund sie die Auskunft verweigert, einschränkt oder aufschiebt (Art. 9 DSG). Insbesondere muss die Lucency AG betroffenen Personen alle über sie in der Datensammlung vorhandenen Daten, einschliesslich der verfügbaren Angaben über die Herkunft der Daten, bekannt geben.

2. Adressdaten werden nach Art. 12 Abs. 2 lit. b DSG auf Antrag gelöscht bzw. gesperrt (ausser wenn ein Rechtfertigungsgrund nach Art. 13 DSG vorliegt). Die betroffenen Personen werden von der Lucency AG entsprechend informiert.

3. Die Lucency AG meldet ihre Datensammlung(en) im Sinne von Art. 11a Abs. 3 Bst. b beim EDÖB an oder gibt an, welche Ausnahme nach Art. 11a Abs. 5 DSG für sie anwendbar ist.

Er forderte die Lucency AG auf, ihm innert der angesetzten Frist mitzuteilen, ob sie die Empfehlung annehme oder ablehne. Ausserdem wies er darauf hin, dass er die Angelegenheit dem Bundesverwaltungsgericht vorlegen könne, wenn die Empfehlung nicht befolgt oder abgelehnt werde. Die Empfehlung wurde am 17. September sowie am 3. und 15. Oktober 2014 per Einschreiben versandt; die Lucency AG holte die Einschreibesendungen jedoch nicht ab.

D.
Am 10. Dezember 2014 und 27. Januar 2015 ersuchten zwei weitere in Deutschland wohnhafte Personen den EDÖB um Unterstützung bei ihrem datenschutzrechtlichen Vorgehen gegen die Lucency AG (Auskunfts- und Löschungs- bzw. Sperrbegehren). Eine dritte in Deutschland wohnhafte Person hatte zudem bereits am 13. August 2014 ein schon früher beim EDÖB eingereichtes entsprechendes Ersuchen bekräftigt. Jeweils mit Schreiben vom 19. März 2015 ersuchte der EDÖB die Lucency AG, den betroffenen Personen Auskunft über die bearbeiteten Adressdaten zu erteilen und diese zu löschen. Ausserdem versandte er seine Empfehlung vom 17. September 2014 erneut per Einschreiben, verbunden mit der Aufforderung, ihm mitzuteilen, ob sie angenommen werde. Die Lucency AG holte das Einschreiben diesmal zwar ab, kam der Aufforderung des EDÖB jedoch nicht nach. Anfang Mai und Mitte Juli 2015 gingen bei diesem erneut zwei Unterstützungsersuchen von in Deutschland wohnhaften Personen ein.

E.

E.a Am 27. August 2015 reicht der EDÖB (nachfolgend: Kläger) beim Bundesverwaltungsgericht gestützt auf Art. 29 Abs. 4 DSG in Verbindung mit Art. 35 Bst. b VGG Klage gegen die Lucency AG (nachfolgend: Beklagte) ein, mit folgenden Begehren:

1. Die Beklagte sei zu verpflichten, innert der gesetzlichen Frist von 30 Tagen Auskunftsgesuche nach Art. 8 DSG zu beantworten. Insbesondere muss die Beklagte betroffenen Personen alle über sie in der Datensammlung vorhandenen Daten - einschliesslich der verfügbaren Angaben über die Herkunft dieser Daten - bekannt geben oder jeweils angeben, aus welchem Grund sie die Auskunft verweigert, einschränkt oder aufschiebt.

2. Die Beklagte sei zu verpflichten, Personendaten auf Antrag zu sperren
oder zu löschen bzw. das Vorliegen eines Rechtfertigungsgrundes darzulegen und die betroffenen Personen entsprechend zu informieren.

3. Die Beklagte sei zu verpflichten, ihre Datensammlung bzw. ihre Datensammlungen beim Kläger anzumelden, einen Datenschutzverantwortlichen nach Art. 11a Abs. 5 Bst. e DSG zu bezeichnen, das Ergebnis der Bewertung eines Zertifizierungsverfahrens nach Art. 11a Abs. 5 Bst. f DSG mitzuteilen oder anzugeben, welche weitere Ausnahme nach Art. 11a Abs. 5 DSG für sie anwendbar ist.

4. Unter Kosten- und Entschädigungsfolge zulasten der Beklagten.

E.b Hinsichtlich der Begehren 1 und 2 bringt der EDÖB vor, er habe mehrere Beschwerden von Personen erhalten, die bei der Beklagten ohne Erfolg Auskunfts- und Löschungs- bzw. Sperrbegehren gestellt hätten. Auf sein Verlangen hin habe die Beklagte lediglich in den drei Anfang Januar 2012 gemeldeten Fällen (vgl. Bst. B.a) Auskunft erteilt und die Löschung bzw. Sperrung der Daten bestätigt; auf seine weiteren Schreiben habe sie hingegen nicht reagiert. Er stelle somit fest, dass sie ihre Auskunftspflicht nach Art. 8 DSG sowie die Anforderungen an das Widerspruchsrecht nach Art. 12 Abs. 2 Bst. b DSG nicht erfülle.

E.c Zu Begehren 3 führt er aus, die Adressdaten der betroffenen Personen seien im Rahmen von Marktforschungs-, Werbe- und Vertriebstätigkeiten gewonnen und im System der Beklagten gespeichert worden. Es müsse davon ausgegangen werden, dass die Beklagte eine Datensammlung im Sinne von Art. 3 Bst. g bzw. Art. 11a DSG führe. Da sie die Daten Drittfirmen für Werbezwecke verkaufe, würden zudem im Sinne von Art. 11a Abs. 3 Bst. b DSG regelmässig Personendaten an Dritte bekannt gegeben. Die Beklagte habe somit ihre Datensammlung bzw. ihre Datensammlungen nach Art. 11 Abs. 3 DSG grundsätzlich anzumelden, es sei denn, es liege eine Ausnahme nach Art. 11a Abs. 5 DSG vor. Eine Anmeldung sei bislang jedoch nicht erfolgt, das Bestehen einer Ausnahme nicht dargelegt worden.

F.
Mit Verfügung vom 31. August 2015 setzt die Instruktionsrichterin der Beklagten Frist bis zum 1. Oktober 2015 an, um eine Klageantwort einzureichen. Nach unbenutztem Ablauf der Frist setzt sie der Beklagten mit Verfügung vom 20. Oktober 2015 eine neue Frist bis zum 9. November 2015 zur Einreichung einer Klageantwort an, dies unter Hinweis darauf, dass bei unbenutztem Ablauf auch dieser Frist das Klageverfahren gemäss Art. 12 Abs. 1 des Bundesgesetzes über den Zivilprozess vom 4. Dezember 1947 (BZP, SR 273) ohne Klageantwort fortgesetzt werde.

G.
Da die Beklagte auch innert der zweiten Frist keine Klageantwort einreicht, erklärt die Instruktionsrichterin mit Verfügung vom 20. November 2015 den Schriftenwechsel für abgeschlossen. Zugleich ersucht sie die Parteien, bis zum 7. Dezember 2015 mitzuteilen, ob sie eine mündliche Vorbereitungsverhandlung im Sinne von Art. 34 f . BZP und eine Hauptverhandlung im Sinne von Art. 66 ff . BZP wünschten oder auf diese Verhandlungen verzichteten. Mit Eingabe vom 27. November 2015 teilt der Kläger mit, er verzichte auf diese Verhandlungen. Die Beklagte äussert sich innert Frist nicht.

H.
Auf telefonische Rückfrage der Instruktionsrichterin bei der Beklagten am 18. Dezember 2015 erklärt der einzelzeichnungsberechtigte Stephan Schellscheidt, er habe Anfang bis Juli 2014 eine schwierige Situation bei der Beklagten angetreten und sich unter anderem zuerst einen Überblick verschaffen müssen. In der vorliegenden Sache werde er sich gegenüber dem Gericht am Montag, 21. Dezember 2015, schriftlich vernehmen lassen und Belege zu seinen Ausführungen einreichen. Zur Frage einer Vorbereitungs- und/oder Hauptverhandlung werde er sich ebenfalls Gedanken machen. Unter Bezugnahme auf dieses Telefongespräch setzt die Instruktionsrichterin der Beklagten am 18. Dezember 2015 eine Frist bis zum 4. Januar 2016 an, um sich in der Sache und bezüglich eines eventuellen Verzichts auf die Vorbereitungs- und/oder Hauptverhandlung schriftlich vernehmen zu lassen sowie Belege zum Ausgeführten einzureichen.

I.
Am 5. Januar 2016 reicht Stephan Schellscheidt für die Beklagte per Fax eine rund zweiseitige Stellungnahme ein. Darin erläutert er zum einen, wie sich die Situation der Beklagten ab etwa Mitte Januar 2014 bis im Jahr 2015 entwickelt habe. In diesem Zusammenhang hält er insbesondere fest, zu den von ihm bereits in dieser Zeit empfohlenen Massnahmen habe "die Einstellung der Vermietung von Postadressen an Dritte beziehungsweise Werbetreibende" gehört. Diese Empfehlung habe primär auf der Erkenntnis basiert, dass für diesen Geschäftsbereich weder "eine sinnvolle Wirtschaftlichkeit" habe bestätigt werden können noch die Folgen der unzureichenden Bearbeitung von Anfragen bzw. Beschwerden überschaubar gewesen seien. Zum anderen geht er auf die Empfehlung des Klägers vom 17. September 2014 ein. Er erklärt, diese werde vollumfänglich angenommen. Die Beklagte verpflichte sich, die "Vermietung gewonnener Postadressen an Dritte sowie jegliche werbliche Nutzung ausnahmslos einzustellen". Eine Wiederaufnahme dieser Tätigkeit finde nur nach vorheriger Abklärung mit den zuständigen Behörden (Kläger) und einer allfälligen ausdrücklichen Genehmigung statt, wobei in diesem Fall ein Datenschutzbeauftragter gewählt würde. Die Geschäftstätigkeit werde sich künftig auf die Weiterentwicklung und Vermarktung der seit Mitte 2013 entwickelten Software- und Analysewerkzeuge beschränken. Parallel zu seiner Eingabe werde im Weiteren die Beantwortung aller der Beklagten "bekanntgewordenen Anfragen zu Auskunfts- und Löschungsbegehren gem. Art. 8 beziehungsweise Art. 12 Abs. 2 DSG" nachgeholt. Eine Aufstellung hierzu nebst einer Kopie der diesbezüglichen Schreiben werde dem Kläger bis spätestens 15. Januar 2016 zugehen. Die Beklagte werde diesen darüber hinaus umgehend kontaktieren, um sicherzustellen, dass alle bekanntgewordenen Anfragen bearbeitet worden bzw. Teil der genannten Aufstellung seien.

J.

J.a Am 5. Februar 2016 nimmt der Kläger zur Faxeingabe der Beklagten Stellung. Er bringt vor, bis anhin seien keine Kopien von Auskunftserteilungen bzw. Sperrbestätigungen bei ihm eingegangen, ebenso wenig habe er eine Aufstellung über entsprechende Schreiben erhalten; die Beklagte habe ihn in dieser Hinsicht auch nicht kontaktiert. Konkrete Massnahmen zur Wahrung der Datenschutzrechte (Art. 8 DSG und Widerspruchsrecht nach Art. 12 Abs. 2 Bst. b DSG) seien somit nicht erfolgt bzw. dargelegt worden. Trotz der in der Eingabe vom 5. Januar 2016 erklärten Annahme seiner Empfehlungen müsse daher davon ausgegangen werden, die Beklagte erfülle ihre Datenschutzpflichten weiterhin nicht.

J.b Die Beklagte habe im Weiteren sämtliche Schreiben von ihm ignoriert bzw. nicht entgegengenommen. Auch im vorliegenden Klageverfahren habe sie zunächst nicht auf die Verfügungen der Instruktionsrichterin reagiert, zudem halte sie Fristen und ihre Versprechungen nicht ein. Unter diesen Umständen halte er ihre Glaubwürdigkeit und Kooperationsbereitschaft für zweifelhaft und den Abschluss eines Vergleichs für schwierig. Ein solcher setze voraus, dass die Beklagte die versprochenen Nachweise fristgerecht lückenlos einreiche und einen detaillierten schriftlichen Vorschlag mache, mit welchen Massnahmen sie seine Empfehlungen umsetzen wolle. Aufgrund des bisherigen Verhaltens der Beklagten sei zu befürchten, sie lasse ihren Zugeständnissen und Versprechen keine Taten folgen. Es sei daher die Ungehorsamsstrafe nach Art. 292 StGB anzudrohen. Er verlange zudem, dass die Beklagte technische und organisatorische Massnahmen ergreife, um die Wahrung der Auskunfts- und Widerspruchsrechte sicherzustellen, und ihm diese Massnahmen vorlege. Weiter seien alle pendenten Auskunfts- und Widerspruchsbegehren sowie allfällige künftige entsprechende Begehren zu behandeln bzw. zu beantworten. Die Klagebegehren seien im Sinne einer Klageänderung gemäss Art. 26 BZP somit wie folgt zu konkretisieren bzw. zu ändern (Änderungen kursiv):

1.

a) Die Beklagte sei zu verpflichten, innert der gesetzlichen Frist von 30 Tagen Auskunftsgesuche nach Art. 8 DSG zu beantworten, inklusive die pendenten Auskunftsbegehren. Insbesondere muss die Beklagte betroffenen Personen alle über sie in der Datensammlung vorhandenen Daten - einschliesslich der verfügbaren Angaben über die Herkunft dieser Daten - bekannt geben oder jeweils angeben, aus welchem Grund sie die Auskunft verweigert, einschränkt oder aufschiebt.

b) Die Beklagte sei zu verpflichten, die für die Umsetzung des Begehrens 1a notwendigen technischen und organisatorischen Massnahmen vorzulegen.

unter Strafandrohung des Artikels 292 des Strafgesetzbuches

2.

Die Beklagte sei zu verpflichten, Personendaten auf Antrag zu sperren
oder zu löschen (inklusive pendente Anträge) bzw. das Vorliegen eines Rechtfertigungsgrundes darzulegen und die betroffenen Personen entsprechend zu informieren.

unter Strafandrohung des Artikels 292 des Strafgesetzbuches

3.

Die Beklagte sei zu verpflichten, ihre Datensammlung bzw. ihre Datensammlungen beim Kläger anzumelden, einen Datenschutzverantwortlichen nach Art. 11a Abs. 5 Bst. e DSG zu bezeichnen, das Ergebnis der Bewertung eines Zertifizierungsverfahrens nach Art. 11a Abs. 5 Bst. f DSG mitzuteilen oder anzugeben, welche weitere Ausnahme nach Art. 11a Abs. 5 DSG für sie anwendbar ist.

4.

Unter Kosten- und Entschädigungsfolge zulasten der Beklagten.

J.c Vor dem dargelegten Hintergrund erscheine sodann die Aussage der Beklagten, die "Vermietung der Postadressen an Dritte" sei eingestellt worden, zumindest als fragwürdig; diesbezügliche Belege seien nicht eingereicht worden. Zwar sei die Massnahme nicht Teil seiner Empfehlungen. Da eine tatsächliche Einstellung der "Vermietung der Postadressen an Dritte" mögliche Auswirkungen auf den dargelegten Sachverhalt bzw. auf das Klagebegehren 3 haben könnte, erachte er einen solchen Nachweis aber als notwendig. Die Beklagte habe dabei nachzuweisen, dass keine Datenbekanntgabe an Dritte - also nicht nur keine "Vermietung der Postadressen an Dritte" - mehr erfolge und keine weitere Konstellation der Meldepflicht nach Art. 11a DSG vorliege, also auch keine Bearbeitung besonders schützenswerter Personendaten oder Persönlichkeitsprofile. In diesem Zusammenhang habe sie zudem auszuführen, welche Datenbearbeitungen die "Weiterentwicklung und Vermarktung der entwickelten Software- und Analysewerkzeuge" beinhalte.

K.
Mit Verfügung vom 8. Februar 2016 räumt die Instruktionsrichterin der Beklagten die Möglichkeit ein, sich bis zum 11. März 2016 zur Stellungnahme des Klägers vom 5. Februar 2016 vernehmen zu lassen. Diese Frist verstreicht unbenutzt. Auf telefonische Nachfrage vonseiten des Gerichts am 17. März 2016 erklärt Stephan Schellscheidt, er habe die Verfügung und die Stellungnahme des Klägers nie erhalten, und nennt als Grund Unstimmigkeiten bei der Entgegennahme von Zustellungen in den Zeiten, in denen er nicht vor Ort sei. Auf sein Ersuchen hin werden ihm die Verfügung und die Stellungnahme des Klägers erneut per Fax zugestellt, mit der Bitte, den Eingang der beiden Dokumente telefonisch zu bestätigen. Ausserdem wird ihm die Möglichkeit eingeräumt, sich bis zum 25. März 2016 vernehmen zu lassen, was er in Aussicht stellt. Obschon die beiden Dokumente gemäss Sendebericht erfolgreich versandt werden, bestätigt er in der Folge deren Eingang nicht; ebenso wenig reicht er eine Stellungnahme ein.

L.
Mit Verfügung vom 11. April 2016 lädt die Instruktionsrichterin die Parteien auf den 7. Juni 2016 zur Vorbereitungsverhandlung vor. Sie weist namentlich darauf hin, dass die Verhandlung auch dann durchgeführt werde, wenn eine Partei ausbleibe, und hinsichtlich der ausbleibenden Partei angenommen werde, sie verzichte auf die Darlegung des eigenen Standpunkts. Sie gibt der Beklagten zudem erneut Gelegenheit, auf die Vorbereitungs- und/oder Hauptverhandlung zu verzichten. Mit Schreiben vom 28. April 2016 schickt sie eine Kopie der an die bisherige Adresse der Beklagten in Bottighofen gesandten und zugestellten Verfügung an die neue, dem Gericht nicht gemeldete Adresse der Beklagten in der gleichen Gemeinde.

M.
Zur Vorbereitungsverhandlung vom 7. Juni 2016 erscheint lediglich der Kläger; die Beklagte bleibt unentschuldigt aus. Der Kläger erklärt, er habe mit E-Mail vom 18. März 2016 - die zu den Akten genommen wird - die Beschwerde einer weiteren in Deutschland wohnhaften Person erhalten, die sich mit einem Auskunftsbegehren an die Beklagte gewandt, von dieser jedoch keine Antwort erhalten habe. Es gebe somit weiterhin die Beklagte betreffende Beschwerden. Es sei zudem anzunehmen, dass sich nur ein Teil der Betroffenen bei ihm beschwert habe bzw. beschwere, zumal alle bisherigen Beschwerden von Personen aus Deutschland gestammt hätten. Die Beklagte habe weiter bislang keine Datensammlung(en) bei ihm registriert. Ebenso wenig habe sie darum ersucht, von der Pflicht zur Anmeldung der Datensammlung(en) befreit zu werden. Sie habe sich vielmehr nie bei ihm gemeldet. Sie habe zudem nichts von dem, was sie versprochen habe, eingehalten. An der Replik (Stellungnahme vom 5. Februar 2016) werde festgehalten. Die Situation sei unverändert, alle Unterlagen seien eingereicht worden, es gebe nichts zu ergänzen. Der Fall sei klar.

N.
Mit Verfügung vom 8. Juni 2016 stellt die Instruktionsrichterin den Parteien das Protokoll der Vorbereitungsverhandlung zu und gibt ihnen Gelegenheit, bis zum 23. Juni 2016 allfällige Bemerkungen dazu einzureichen. Die Beklagte erhält ausserdem Gelegenheit, innert dieser Frist zu den Vorbringen des Klägers anlässlich der Vorbereitungsverhandlung Stellung zu nehmen und mitzuteilen, ob sie auf die Durchführung der Hauptverhandlung verzichte. Der Kläger wird aufgefordert, innert der genannten Frist die Konkretisierung der verlangten technischen und organisatorischen Massnahmen einzureichen.

O.
In der Folge äussert sich einzig der Kläger. Mit Eingabe vom 22. Juni 2016 erklärt er, die Beklagte habe bislang nicht dargelegt, welche konkreten Massnahmen sie zur Wahrung der Datenschutzrechte umgesetzt habe. Insbesondere seien die pendenten Auskunfts- und Widerspruchsbegehren nicht beantwortet worden. Er fordere die Beklagte daher auf, den Prozess bzw. Ablauf bei einem Auskunfts- bzw. Widerspruchsbegehren festzulegen und zu dokumentieren. Es sei festzuhalten, wie das Verfahren zur Umsetzung des Auskunfts- und Widerspruchsrechts ablaufe. Er verweise dabei auf seinen - auszugsweise eingereichten - Leitfaden vom August 2015 zu den technischen und organisatorischen Massnahmen des Datenschutzes (S. 27; abrufbar unter: https://www.edoeb.admin.ch/datenschutz/00628/ 00629/00636/index.html?lang=de ). Das Konzept der Beklagten solle insbesondere die in der Eingabe aufgeführten Punkte enthalten.

P.
Mit Verfügung vom 14. Juli 2016 räumt die Instruktionsrichterin der Beklagten die Möglichkeit ein, sich bis zum 3. August 2016 zur Stellungnahme des Klägers vom 22. Juni 2016 vernehmen zu lassen. Weiter teilt sie den Parteien mit, das Vorbereitungsverfahren sei abgeschlossen, und gibt ihnen Gelegenheit, innert zehn Tagen seit Zustellung der Verfügung einen Antrag auf Ergänzung ihrer Beweiserhebungen an der Hauptverhandlung oder - bei Vorliegen besonderer Gründe - auf Wiederholung der von ihr erhobenen Beweise zu stellen. Sie lädt die Parteien zudem auf den 6. September 2016 zur Hauptverhandlung vor, dies unter Hinweis auf die Säumnisfolgen nach Art. 12 BZP bzw. darauf, dass die Verhandlung auch bei Ausbleiben einer Partei durchgeführt werde.

Q.
Mit Eingabe vom 21. Juli 2016 reicht der Kläger den Schriftenwechsel ein, den die anlässlich der Vorbereitungsverhandlung erwähnte weitere betroffene Person mit der Beklagten und mit ihm führte, und beantragt, die eingereichten Dokumente seien als Beweismittel zu den Akten zu nehmen. Mit Verfügung vom 27. Juli 2016 gibt die Instruktionsrichterin der Beklagten Gelegenheit, bis zum 24. August 2016 zur Eingabe des Klägers Stellung zu nehmen. Diese Frist verstreicht wie jene bis zum 3. August 2016 (vgl. Bst. P) unbenutzt.

R.
Zur Hauptverhandlung am 6. September 2016 erscheint lediglich der Kläger; die Beklagte bleibt unentschuldigt aus. Der Kläger hält in seinem Parteivortrag an den modifizierten Klagebegehren fest und fasst seine bisherigen Vorbringen kurz zusammen. Er weist ausserdem darauf hin, dass der Beklagten wegen fehlender Geschäftstätigkeit die amtliche Löschung im Handelsregister drohe.

S.
Mit Verfügung vom 8. September 2016 stellt die Instruktionsrichterin den Parteien das Protokoll der Hauptverhandlung zu (inklusive Plädoyernotizen des Klägers) und gibt ihnen Gelegenheit, sich bis zum 23. September 2016 dazu vernehmen zu lassen. Die Frist verstreicht unbenutzt.

T.
Auf die weiteren Vorbringen der Parteien und die sich bei den Akten befindlichen Schriftstücke wird, soweit entscheidrelevant, in den nachfolgenden Erwägungen eingegangen.

Das Bundesverwaltungsgericht zieht in Erwägung:

1.

1.1 Das Bundesverwaltungsgericht beurteilt nach Art. 35 Bst. b VGG als erste Instanz Klagen betreffend Streitigkeiten über Empfehlungen des EDÖB im Privatrechtsbereich. Bei der vorliegenden Klage handelt es sich um eine solche Klage. Das Bundesverwaltungsgericht ist demnach - vorbehältlich der Nichtanwendbarkeit des DSG (vgl. David Rosenthal, in: Handkommentar zum DSG, Zürich 2008, N. 7 und 43 zu Art. 29 DSG; zur Anwendbarkeit des DSG vgl. E. 1.2.1) - für deren Beurteilung zuständig.

Das Verfahren richtet sich gemäss Art. 44 Abs. 1 VGG nach den Art. 3 -73 und 79 -85 BZP, die sinngemäss zur Anwendung kommen (vgl. Moser/ Beusch/Kneubühler, Prozessieren vor dem Bundesverwaltungsgericht, 2. Aufl. 2013, Rz. 5.7). Abweichend von Art. 3 Abs. 2 BZP, wonach der Richter sein Urteil nur auf Tatsachen gründen darf, die im Verfahren geltend gemacht worden sind, gilt jedoch der Grundsatz der Sachverhaltsabklärung von Amtes wegen (vgl. Art. 44 Abs. 2 VGG). Die Gerichtsgebühren und die Parteientschädigung wiederum richten sich nach den Art. 63 -65 VwVG (vgl. Art. 44 Abs. 3 VGG).

1.2 Nach Art. 29 Abs. 4 DSG kann der EDÖB die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen, wenn seine Empfehlung nicht befolgt oder abgelehnt wird. Passivlegitimiert können jene Datenbearbeiter sein, die formell und materiell Adressat der umstrittenen Empfehlung sind und diese nicht befolgen oder ablehnen (vgl. Urteil des BVGer
A-7040/2009 vom 30. März 2011 [nachfolgend: Urteil des BVGer
A-7040/2009] E. 4.3.1; Rosenthal, a.a.O., N. 42 zu Art. 29 DSG). Die Legitimation der Parteien wird - anders als im Zivilprozess - als subjektive Prozessvoraussetzung betrachtet, bei deren Fehlen ein Nichteintretensentscheid zu fällen ist (vgl. Urteil des BVGer A-7040/2009 E. 4.3.1; Rosenthal, a.a.O., N. 42 zu Art. 29 DSG).

1.2.1 Die Aktivlegitimation des Klägers setzt angesichts des internationalen Bezugs des vorliegenden Sachverhalts zunächst voraus, dass das DSG überhaupt zur Anwendung kommt und der Kläger grundsätzlich zuständig war, den Sachverhalt auf seine Konformität mit dem DSG zu überprüfen und eine Empfehlung abzugeben. Dies ist zu bejahen. Da die Beklagte ihren Sitz in der Schweiz hat und hier Personendaten bearbeitet (vgl. E. 4.3.1 f.), kommen die Vorschriften des DSG mit öffentlich-rechtlichem Charakter, also auch Art. 29 DSG, aufgrund des Territorialitätsprinzips zur Anwendung (vgl. BGE 138 II 346 E. 3.2; Urteil des BVGer
A-7040/2009 E. 5.4.1; Rosenthal, a.a.O., N. 6 zu Art. 29 DSG). Da jene in Deutschland wohnhaften betroffenen Personen, die sich an den Kläger wandten, von diesem verlangten, er möge sich der Angelegenheit annehmen, kommen weiter die Vorschriften des DSG mit privatrechtlichem Charakter selbst nach der einschränkenden Ansicht von Rosenthal (vgl. Rosenthal, a.a.O., N. 7 zu Art. 29 DSG) auch dann zur Anwendung, wenn es sich vorliegend um einen internationalen Sachverhalt im Sinne des Bundesgesetzes vom 18. Dezember 1987 über das Internationale Privatrecht (IPRG, SR 291) handelte (vgl. Urteil des BVGer A-7040/2009 E. 5.5 und 5.5.1 ff.).

Die Aktivlegitimation des Klägers setzt weiter voraus, dass dieser nach Art. 29 Abs. 1 -3 DSG zum Erlass der Empfehlung vom 17. September 2014 (vgl. Bst. C.b) befugt war. Auch dies trifft zu. Zum einen ist davon auszugehen (vgl. E. 4.3.1 f.), es liege ein Systemfehler im Sinne von Art. 29 Abs. 1 Bst. a DSG vor, der den Kläger zu näherer Abklärung des vorliegenden Sachverhalts und zum Erlass der Empfehlung berechtigte. Zum anderen ist davon auszugehen (vgl. E. 5.2), die Beklagte sei nach Art. 11a DSG zur Registrierung (mindestens) einer Datensammlung verpflichtet, weshalb der Kläger auch aus diesem Grund (vgl. Art. 29 Abs. 1 Bst. b DSG) zu näherer Abklärung des Sachverhalts und zum Erlass der Empfehlung befugt war.

Die Aktivlegitimation des Klägers setzt schliesslich, wie erwähnt, voraus, dass dessen Empfehlung von der Beklagten nicht befolgt oder abgelehnt wurde bzw. wird (vgl. Art. 29 Abs. 4 DSG). Dies ist der Fall. Zwar erklärt die Beklagte in ihrer Faxeingabe vom 5. Januar 2016 (vgl. Bst. I), sie nehme die Empfehlung vollumfänglich an. Dass sie diese umgesetzt hätte, ist indes nicht ersichtlich (vgl. E. 4.3.2). Die Aktivlegitimation des Klägers ist demnach zu bejahen.

1.2.2 Die Beklagte ist formelle und materielle Adressatin der Empfehlung des Klägers vom 17. September 2014. Sie hat diese zudem, wie erwähnt, bislang nicht umgesetzt. Sie ist demnach passivlegitimiert.

1.3 Die Klage ist an keine bestimmte Frist gebunden und wurde vom Kläger nicht ungebührlich hinausgezögert (vgl. René Huber, in: Basler Kommentar DSG/BGÖ, 3. Aufl. 2014, N. 34 und 34a zu Art. 29 DSG). Sie genügt ausserdem den Formerfordernissen (vgl. Art. 23 BZP). Grundsätzlich ist demnach auf sie einzutreten. Nachfolgend zu klären bleibt, in welchem Umfang ein Eintreten möglich ist bzw. was Streitgegenstand des vorliegenden Verfahrens bildet.

2.

2.1 Gemäss Art. 3 Abs. 2 BZP darf der Richter über die Rechtsbegehren der Parteien nicht hinausgehen. Diese Regelung findet aufgrund des Verweises von Art. 44 Abs. 1 VGG (vgl. E. 1.1) auch in Klageverfahren betreffend Empfehlungen des EDÖB Anwendung. Auch in solchen Verfahren gilt demnach - entgegen der Ansicht von Schweizer/Glutz von Blotzheim (vgl. Schweizer/Glutz von Blotzheim, Wie die Empfehlungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gegenüber privaten Datenbearbeitern umgesetzt werden, Jusletter vom 21. Februar 2011, Rz. 11 ff.) - die Dispositionsmaxime (vgl. Urteil des BVGer
A-7040/2009 E. 2.2 f.). Der Streitgegenstand wird in solchen Verfahren deshalb ausschliesslich durch die gestellten Rechtsbegehren (und allenfalls die entsprechende Begründung) definiert, weshalb einer Partei nicht mehr oder nichts anderes zugesprochen werden darf, als sie beantragt (vgl. BVGE 2008/16 E. 2.2; Urteil des BVGer A-7040/2009 E. 2.2; Moser/ Beusch/Kneubühler, a.a.O., Rz. 5.14).

Nach Art. 26 Abs. 1 BZP - der vom Verweis von Art. 44 Abs. 1 VGG mit umfasst ist und damit in Klageverfahren wie dem vorliegenden ebenfalls Anwendung findet - kann das Rechtsbegehren in der Weise geändert werden, dass ein anderer oder weiterer Anspruch erhoben wird, der mit dem bisher geltend gemachten im Zusammenhang steht (Klageänderung). Der erforderliche Zusammenhang ist zu bejahen, wenn aus dem bestehenden tatsächlichen Klagefundament ein anderer oder weiter gehender Rechtsschluss gezogen wird (vgl. Philipp Gelzer, Prozessieren vor Bundesgericht, 4. Aufl. 2014, Rz. 7.27).

Gemäss Rosenthal kann der EDÖB im Klageverfahren vor Bundesverwaltungsgericht nur Massnahmen verlangen, die inhaltlich nicht über die von ihm empfohlenen Massnahmen hinausgehen. In diesem Rahmen darf er die von ihm begehrten Massnahmen aber konkreter formulieren und genauer umschreiben, um die Vollstreckbarkeit sicherzustellen. Er kann vom Gericht zudem die Androhung von Vollstreckungsmassnahmen wie zum Beispiel die Ungehorsamsstrafe nach Art. 292 StGB verlangen (vgl. zum Ganzen Rosenthal, a.a.O., N. 46 zu Art. 29 DSG).

2.2 Die Rechtsbegehren 1-3 der Klage vom 27. August 2015 (vgl. Bst. E.a; Rechtsbegehren 4 betrifft die Kosten- und Entschädigungsfolge im vorliegenden Verfahren) stimmen inhaltlich mit den drei Empfehlungen des Klägers vom 17. September 2014 (vgl. Bst. C.b) überein, gehen über diese also nicht hinaus. In der Stellungnahme des Klägers vom 5. Februar 2016 (vgl. Bst. J.b) wird das ursprüngliche Begehren 1 (neu 1a) um das Begehren 1b ergänzt, wonach die Beklagte zu verpflichten sei, dem Kläger die für die Umsetzung des Begehrens 1a notwendigen technischen und organisatorischen Massnahmen vorzulegen. Dieses neue Begehren dient weder der konkreteren Formulierung noch der genaueren Umschreibung der mit Begehren 1a beantragten Verpflichtung der Beklagten. Mit der Verpflichtung zur Vorlage der erwähnten Massnahmen soll dieser vielmehr eine neue und zusätzliche Verpflichtung auferlegt werden. Das Begehren 1b geht somit über das hinaus, was in Klageverfahren betreffend Empfehlungen des EDÖB beantragt werden darf. Es steht denn auch im Wesentlichen im Zusammenhang mit der Frage, unter welchen Voraussetzungen für den Kläger angesichts der Erklärung der Beklagten in der Faxeingabe vom 5. Januar 2016, sie nehme seine Empfehlungen an, eine vergleichsweise Erledigung des vorliegenden Klageverfahrens in Frage käme (vgl. Bst. J.b). Da das Begehren den Streitgegenstand in unzulässiger Weise ausweitet, kann nicht darauf eingetreten werden. Auf die Frage, ob es genügend präzis formuliert ist und nach Art. 26 BZP zulässig wäre, braucht daher nicht eingegangen zu werden.

In der erwähnten Stellungnahme des Klägers werden im Weiteren die Begehren 1a und 2 in zulässiger Weise präzisiert, indem klargestellt wird, dass sie sich auch auf die pendenten Auskunftsbegehren bzw. Sperr- und Löschungsbegehren beziehen. Ausserdem werden die Begehren 1a und 2 jeweils um den Antrag ergänzt, es sei die Ungehorsamsstrafe nach Art. 292 StGB anzudrohen. Dies ist, wie ausgeführt, ebenfalls zulässig. Der Streitgegenstand des vorliegenden Verfahrens wird somit durch die Begehren 1a, 2 und 3 in der Stellungnahme des Klägers vom 5. Februar 2016 definiert.

3.
Wie dargelegt, äusserte sich die Beklagte einzig in ihrer nach Ablauf der Frist zur Einreichung der Klageantwort eingegangenen Faxeingabe vom 5. Januar 2016 (vgl. Bst. I) zur vorliegenden Angelegenheit und erschien sie unentschuldigt weder zur Vorbereitungsverhandlung vom 7. Juni 2016 noch zur Hauptverhandlung vom 6. September 2016. Hinsichtlich der unentschuldigten Nichtteilnahme an den beiden Verhandlungen und des Verpassens der Frist zur Einreichung der Klageantwort greifen die vorgängig angedrohten gesetzlichen Säumnisfolgen (vgl. Bst. F, L und P). Bezüglich der ausgebliebenen freigestellten Stellungnahmen ist davon auszugehen, die Beklagte habe auf diese verzichtet. Über die Klage kann somit ungeachtet der Versäumnisse der Beklagten aufgrund der Akten entschieden werden. Daran ändert nichts, dass im vorliegenden Klageverfahren der Grundsatz der Sachverhaltsabklärung von Amtes wegen gilt (vgl. E. 1.1). Wegen der Geltung dieses Grundsatzes müssen grundsätzlich alle entscheidrelevanten Eingaben, Unterlagen und protokollierten mündlichen Vorbringen berücksichtigt werden, also etwa auch die Faxeingabe der Beklagten. Aus diesen Akten geht der entscheidrelevante Sachverhalt in rechtsgenüglicher Weise hervor (vgl. E. 4.3.1 f. und 5.2), weshalb von vornherein keine ergänzenden Sachverhaltsabklärungen vorzunehmen sind. Nachfolgend ist somit zu prüfen, ob die Klage, soweit sie zulässig ist (vgl. E. 2.2), angesichts des Sachverhalts, wie er sich aus den Akten ergibt, begründet ist.

4.

4.1 Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden (Abs. 1; zu den Begriffen "Daten" bzw. "Personendaten", "bearbeiten", "Datensammlung" und "Inhaber einer Datensammlung" sowie zum Begriff "bekannt geben" vgl. Art. 3 Bst. a , e, f, g und i DSG). Der Inhaber der Datensammlung muss der betroffenen Person (zum Begriff vgl. Art. 3 Bst. b DSG) alle über sie in der Datensammlung vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten mitteilen, ausserdem den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger (Abs. 2). Lässt er Personendaten durch einen Dritten bearbeiten, bleibt er auskunftspflichtig (Abs. 3). Die Auskunft ist in der Regel schriftlich, in der Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen (Abs. 4), ausserdem in der Regel innert 30 Tagen seit Eingang des Auskunftsbegehrens (vgl. Art. 1 Abs. 4 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz [VDSG, SR 235.11]). Sie kann vom privaten Inhaber einer Datensammlung unter Angabe des Grundes (vgl. Art. 9 Abs. 5 DSG) aus den in Art. 9 Abs. 1 und 4 DSG genannten Gründen verweigert, eingeschränkt
oder aufgeschoben werden.

4.2 Nach Art. 12 Abs. 1 und 2 Bst. b DSG stellt die Datenbearbeitung gegen den ausdrücklichen Willen der betroffenen Person ohne Vorliegen eines Rechtfertigungsgrundes (zu den Rechtfertigungsgründen vgl. Art. 13 DSG) eine Persönlichkeitsverletzung dar. Die betroffene Person kann das Bearbeiten von sie betreffenden Daten voraussetzungslos und ohne Nachweis eines besonderen Interesses verbieten (Widerspruchsrecht; vgl. Corrado Rampini, in: Basler Kommentar DSG/BGÖ, 3. Aufl. 2014, N. 10 zu Art. 12 DSG). Kann sich ein Bearbeiter auf einen Rechtfertigungsgrund berufen, ist das ausgesprochene Verbot unbeachtlich (vgl. Rampini, a.a.O., N. 13 zu Art. 12 DSG). Da das Aufbewahren und Archivieren von Personendaten ebenfalls eine Form des Bearbeitens im Sinne von Art. 3 Bst. e DSG ist und daher nach Art. 12 Abs. 2 Bst. b DSG untersagt werden darf, kann über das Widerspruchsrecht auch die ganze oder teilweise Löschung von Personendaten verlangt werden (vgl. Rosenthal, a.a.O., N. 32 zu Art. 12 DSG).

4.3

4.3.1 Aus den Akten geht hervor, dass die Beklagte in den letzten Jahren Adress- und damit Personendaten von in Deutschland wohnhaften Personen an Interessenten in Deutschland bekannt gab und diese Daten in der Folge zu Werbezwecken verwendet wurden. Da die Bekanntgabe der Daten - wie insbesondere aus der Faxeingabe der Beklagten vom 5. Januar 2016 hervorgeht - zu ihrer Geschäftstätigkeit gehörte, ist davon auszugehen, sie sei regelmässig erfolgt und habe auch Adressdaten weiterer Personen umfasst. Ausserdem ist anzunehmen, der Bestand der Adressdaten sei nach betroffenen Personen erschliessbar, die Beklagte mithin Inhaberin (mindestens) einer Datensammlung gewesen (vgl. Art. 3 Bst. g DSG).

Als Inhaberin (mindestens) einer Datensammlung, die namentlich mit der Bekanntgabe von Adressdaten ins Ausland Personendaten bearbeitete (vgl. BGE 138 II 346 E. 3.2; Urteil des BVGer A-7040/2009 E. 5.4.1), hatte die Beklagte im Zusammenhang mit Auskunfts- und Sperr- bzw. Löschungsbegehren nach Art. 8 und 12 DSG die vorstehend dargelegten Pflichten. Diese erfüllte sie jedoch nicht. Aus den Akten geht vielmehr hervor, dass sie - von den erwähnten drei Fällen abgesehen, in denen sie ihr Verhalten auf Druck des Klägers änderte (vgl. Bst. B.b) - den Auskunfts- und Sperr- bzw. Löschungsbegehren der bekannten betroffenen Personen keine Folge leistete (vgl. Bst. C.a und D). Angesichts ihres Verhaltensmusters ist zudem davon auszugehen, ein Teil der weiteren betroffenen Personen habe sich ebenfalls erfolglos mit entsprechenden Begehren an sie gewandt, in der Folge aber davon abgesehen, sich beim Kläger über ihr Verhalten zu beschweren. Diese Annahme rechtfertigt sich umso mehr, als sämtliche bekannten betroffenen Personen in Deutschland wohnhaft sind. Für die letzten Jahre ist somit davon auszugehen, die Beklagte sei hinsichtlich der bei ihr eingegangenen Auskunfts- und Sperr- bzw. Löschungsbegehren den dargelegten datenschutzrechtlichen Pflichten generell nicht nachgekommen.

4.3.2 Was die gegenwärtige Situation betrifft, so erklärt die Beklagte in ihrer Faxeingabe vom 5. Januar 2016 zwar, sie verpflichte sich, "die Vermietung gewonnener Postadressen an Dritte sowie jegliche werbliche Nutzung ausnahmslos einzustellen". Dass sie dies getan hätte, ist indes weder ersichtlich noch in irgendeiner Weise belegt. Der Kläger weist zudem zu Recht darauf hin, dass nicht nur der Verzicht auf die "Vermietung der Postadressen an Dritte" zu belegen wäre, sondern die Einstellung der Datenbekanntgabe an Dritte. Weder erkennbar noch belegt ist im Weiteren, dass die Beklagte - wie in der Faxeingabe angekündigt - alle ihr "bekanntgewordenen Anfragen zu Auskunfts- und Löschungsbegehren" beantwortet hätte. Die weitere beim Kläger eingegangene Beschwerde (vgl. Bst. M) legt vielmehr das Gegenteil nahe. Die Beklagte liess dem Kläger denn auch die mit ihrer Faxeingabe in Aussicht gestellte "Aufstellung" der entsprechenden Schreiben nicht zukommen. Weder ersichtlich noch belegt ist überdies, dass die Beklagte die notwendigen Massnahmen getroffen hätte, um neu eingehende Auskunfts- und Sperr- bzw. Löschungsbegehren den rechtlichen Anforderungen gemäss bearbeiten zu können, oder derartige Begehren nunmehr entsprechend bearbeiten würde. Unter diesen Umständen ist davon auszugehen, sie habe aus den erwähnten Gründen nach wie vor die dargelegten datenschutzrechtlichen Pflichten, erfülle diese hinsichtlich der bei ihr eingehenden Auskunfts- und Sperr- bzw. Löschungsbegehren aber weiterhin nicht.

4.3.3 Die Klage erweist sich insoweit demnach als begründet. Die Begehren 1a und 2 (vgl. Bst. J.b) sind daher in Bezug auf die jeweils geforderte Verpflichtung der Beklagten zu datenschutzrechtskonformem Verhalten gutzuheissen (zum Antrag auf Androhung der Ungehorsamsstrafe vgl. E. 6). Der Klarheit halber sei erwähnt, dass pendente Auskunftsbegehren, bei denen die Frist von 30 Tagen zur Beantwortung bereits abgelaufen ist, umgehend zu beantworten sind, zielt das Begehren 1a doch nicht darauf ab, für solche Begehren die 30-tägige Frist zu erneuern.

5.

5.1 Gemäss Art. 11a Abs. 3 DSG müssen private Personen Datensammlungen anmelden, wenn regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet (Bst. a) oder regelmässig Personendaten an Dritte bekannt gegeben werden (Bst. b). Die Anmeldung hat zu erfolgen, bevor die Datensammlungen eröffnet werden (vgl. Art. 11a Abs. 4 DSG). Die Ausnahmen von der Anmeldepflicht werden in Art. 11a Abs. 5 DSG und Art. 4 Abs. 1 VDSG geregelt.

5.2 Wie ausgeführt (vgl. E. 4.3.1 f.), ist davon auszugehen, die Beklage sei Inhaberin (mindestens) einer Datensammlung und gebe Dritten aus dieser Datensammlung regelmässig Personendaten (Adressdaten) bekannt. Sie ist somit nach Art. 11a Abs. 3 Bst. b DSG grundsätzlich verpflichtet, ihre Datensammlung(en) beim Kläger anzumelden. Dass sie sich auf eine Ausnahme von der Anmeldepflicht berufen könnte, ist nicht ersichtlich. Das Begehren 3 des Klägers (vgl. Bst. J.b) ist demnach ebenfalls begründet. Die Klage ist daher auch insoweit gutzuheissen und die Beklagte entsprechend zu verpflichten.

6.

6.1 Gemäss Art. 292 StGB wird mit Busse bestraft, wer der von einer zuständigen Behörde oder einem zuständigen Beamten unter Hinweis auf die Strafdrohung dieses Artikels an ihn erlassenen Verfügung nicht Folge leistet. Der Anwendungsbereich dieser Blankettstrafnorm erstreckt sich auf sämtliche Rechtsgebiete, in denen Verfügungen erlassen werden. Die Strafandrohung nach Art. 292 StGB kommt jedoch nur in Frage, wenn dieselbe Tathandlung nicht bereits durch eine andere, speziellere Bestimmung mit Strafe bedroht ist (vgl. zum Ganzen Riedo/Boner, in: Basler Kommentar Strafrecht II, 3. Aufl. 2013, N. 19 ff. zu Art. 292 StGB). Eine gewisse Einschränkung ergibt sich zudem aus dem Grundsatz der Verhältnismässigkeit (vgl. Riedo/Boner, a.a.O., N. 87 zu Art. 292 StGB). Trotz teilweise abweichender Praxis darf im Weiteren gegenüber juristischen Personen grundsätzlich keine Bestrafung nach Art. 292 StGB angedroht werden. Stattdessen ist die Strafandrohung an die zuständigen Organe bzw. Vertreter zu richten. Eine Ausnahme gilt nur, wenn ein Spezialgesetz die Bestrafung von juristischen Personen wegen Ungehorsams ausdrücklich erlaubt. Diesfalls bestehen aber regelmässig besondere Ungehorsamstatbestände, die Art. 292 StGB vorgehen (vgl. zum Ganzen Riedo/Boner, a.a.O., N. 74 ff. zu Art. 292 StGB m.w.H.). Das DSG sieht keine Bestrafung von juristischen Personen wegen Ungehorsams vor (vgl. Niggli/Maeder, Basler Kommentar DSG/BGÖ, 3. Aufl. 2014, N. 17 zu Vor Art. 34 und 35 DSG, N. 19 zu Art. 34 DSG, N. 13 zu Art. 35 DSG). Die Strafandrohung muss sich gegen eine oder mehrere bestimmte oder doch zumindest bestimmbare Personen richten. Das erfasste Verhalten muss zudem so genau umschrieben sein, dass die betroffene(n) Person(en) erkennen kann bzw. können, was verlangt wird (vgl. zum Ganzen Stratenwerth/Wohlers, Handkommentar StGB, 3. Aufl. 2012, N. 2 zu Art. 292 StGB m.w.H.).

6.2 Der Kläger erklärt in den Anträgen, mit denen er jeweils die Androhung der Ungehorsamsstrafe verlangt (vgl. Bst. J.b), nicht, gegen wen sich diese Androhung richten soll. Aus der Begründung in seiner Stellungnahme vom 5. Februar 2016 geht indes hervor, dass es ihm in allgemeiner Weise darum geht, der von ihm befürchteten Nichterfüllung der mit den Begehren
1a und 2 beantragten Verpflichtungen der Beklagten entgegenzutreten. Es ist entsprechend davon auszugehen, es komme ihm letztlich nicht darauf an, wer Adressat der Strafandrohung ist, sondern gehe ihm einzig darum, dass diese ausgesprochen wird.

Eine Strafandrohung gegenüber der Beklagten als juristische Person kommt, wie ausgeführt, vorliegend nicht in Betracht. Gegenüber den zuständigen Organen der Beklagten kommt sie hingegen grundsätzlich in Frage. Sie ist insoweit auch zulässig, besteht doch keine speziellere, vorgehende Strafbestimmung und erscheint die Androhung der Ungehorsamsstrafe angesichts des bisherigen Verhaltens der Beklagten als angezeigt und verhältnismässig; das mit den Begehren 1a und 2 von der Beklagten verlangte Verhalten ist zudem genügend genau umschrieben. Der Klage ist demnach auch in Bezug auf die verlangte Androhung der Ungehorsamsstrafe stattzugeben und gegenüber den Mitgliedern des Verwaltungsrats (Art. 707 ff . OR) der Beklagten für den Fall der Nichterfüllung der mit den Begehren 1a und 2 beantragten Verpflichtungen eine Strafandrohung nach Art. 292 StGB auszusprechen.

7.

7.1 Wie erwähnt (vgl. E. 1.1), richten sich die Gerichtsgebühren und die Parteientschädigung nach den Art. 63 -65 VwVG (vgl. Art. 44 Abs. 3 VGG). Gemäss Art. 63 Abs. VwVG hat in der Regel die unterliegende Partei die Verfahrenskosten zu tragen; unterliegt sie nur teilweise, werden die Kosten ermässigt. Unterliegenden Bundesbehörden werden keine Kosten auferlegt (vgl. Art. 63 Abs. 2 VwVG).

Der Kläger setzt sich mit seinen Begehren 1a, 2 und 3 - und damit der gesamten Empfehlung vom 17. September 2014 - sowie mit den Anträgen auf Androhung der Ungehorsamsstrafe nach Art. 292 StGB durch; auf sein Begehren 1b ist hingegen nicht einzutreten. Da seiner Klage lediglich in einem untergeordneten Punkt nicht stattgegeben werden kann, ist die Beklagte als zu 80 % unterliegend zu betrachten. Sie hat daher die Verfahrenskosten, die wegen des nicht unerheblichen Verfahrensaufwands (vor allem Durchführung zweier Verhandlungen, zahlreiche Instruktionsverfügungen) auf Fr. 2'000.- festzusetzen sind (vgl. Art. 1 ff . des Reglements vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht [VGKE, SR 173.320.2]), im Umfang von Fr. 1'600.- zu tragen. Dem Kläger sind keine Verfahrenskosten aufzuerlegen.

7.2 Der obsiegenden Partei ist von Amtes wegen oder auf Begehren eine Entschädigung für die ihr erwachsenen notwendigen Kosten zuzusprechen (vgl. Art. 64 Abs. 1 VwVG i.V.m. Art. 7 Abs. 1 VGKE). Obsiegt sie nur teilweise, ist die Parteientschädigung entsprechend zu kürzen (vgl. Art. 7 Abs. 2 VGKE). Bundesbehörden haben keinen Anspruch auf eine Parteientschädigung (vgl. Art. 7 Abs. 3 VGKE). Dem Kläger steht entsprechend keine Parteientschädigung zu. Gleiches gilt für die Beklagte, ist doch nicht ersichtlich, dass ihr nennenswerte Kosten entstanden wären (vgl. Art. 7 Abs. 4 VGKE).

Demnach erkennt das Bundesverwaltungsgericht:

1.
Die Klage wird gutgeheissen, soweit darauf einzutreten ist.

2.
Die Beklagte wird verpflichtet, innert der gesetzlichen Frist von 30 Tagen Auskunftsgesuche nach Art. 8 DSG zu beantworten, inklusive die pendenten Auskunftsbegehren. Insbesondere muss die Beklagte betroffenen Personen alle über sie in der Datensammlung vorhandenen Daten - einschliesslich der verfügbaren Angaben über die Herkunft dieser Daten - bekannt geben oder jeweils angeben, aus welchem Grund sie die Auskunft verweigert, einschränkt oder aufschiebt.

3.
Die Beklagte wird verpflichtet, Personendaten auf Antrag zu sperren
oder zu löschen (inklusive auf pendente Anträge) bzw. das Vorliegen eines Rechtfertigungsgrundes darzulegen und die betroffenen Personen entsprechend zu informieren.

4.
Die Beklagte wird verpflichtet, ihre Datensammlung bzw. ihre Datensammlungen beim Kläger anzumelden, einen Datenschutzverantwortlichen nach Art. 11a Abs. 5 Bst. e DSG zu bezeichnen, das Ergebnis der Bewertung eines Zertifizierungsverfahrens nach Art. 11a Abs. 5 Bst. f DSG mitzuteilen oder anzugeben, welche weitere Ausnahme nach Art. 11a Abs. 5 DSG für sie anwendbar ist.

5.
Für den Fall der Nichterfüllung der Dispositiv-Ziff. 2 und 3 wird den Mitgliedern des Verwaltungsrats der Beklagten die Ungehorsamsstrafe nach Art. 292 StGB angedroht.

Art. 292 StGB lautet wie folgt: "Ungehorsam gegen amtliche Verfügungen: Wer der von einer zuständigen Behörde oder einem zuständigen Beamten unter Hinweis auf die Strafdrohung dieses Artikels an ihn erlassenen Verfügung nicht Folge leistet, wird mit Busse bestraft". Die Busse kann bis zu Fr. 10'000.- betragen (vgl. Art. 106 Abs. 1 StGB).

6.
Die Verfahrenskosten von Fr. 2'000.- werden im Umfang von Fr. 1'600.- der Beklagten auferlegt.

7.
Es wird keine Parteientschädigung zugesprochen.

8.
Dieses Urteil geht an:

- den Kläger (Gerichtsurkunde)

- die Beklagte (Gerichtsurkunde)

Die vorsitzende Richterin: Der Gerichtsschreiber:

Christine Ackermann Pascal Baur

Rechtsmittelbelehrung:

Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bundesgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Angelegenheiten geführt werden (Art. 82 ff ., 90 ff. und 100 BGG). Die Rechtsschrift ist in einer Amtssprache abzufassen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie der Beschwerdeführer in Händen hat, beizulegen (Art. 42 BGG).

Versand:

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 29 - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
¹	Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
²	Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
¹	Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
²	Le registre du responsable du traitement contient au moins les indications suivantes:
^a	l'identité du responsable du traitement;
^b	la finalité du traitement;
^c	une description des catégories de personnes concernées et des catégories de données personnelles traitées;
^d	les catégories de destinataires;
^e	dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
^f	dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
^g	en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
³	Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
⁴	Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
⁵	Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
¹	Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
²	Le registre du responsable du traitement contient au moins les indications suivantes:
^a	l'identité du responsable du traitement;
^b	la finalité du traitement;
^c	une description des catégories de personnes concernées et des catégories de données personnelles traitées;
^d	les catégories de destinataires;
^e	dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
^f	dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
^g	en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
³	Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
⁴	Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
⁵	Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 9 Sous-traitance - 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
¹	Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu'un contrat ou la loi le prévoie et que les conditions suivantes soient réunies:
^a	seuls sont effectués les traitements que le responsable du traitement serait en droit d'effectuer lui-même;
^b	aucune obligation légale ou contractuelle de garder le secret ne l'interdit.
²	Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données.
³	Le sous-traitant ne peut lui-même sous-traiter un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement.
⁴	Il peut faire valoir les mêmes motifs justificatifs que le responsable du traitement.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
¹	Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
²	Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.

SR 173.32 Loi du 17 juin 2005 sur le Tribunal administratif fédéral (LTAF) LTAF Art. 35 Principe - Le Tribunal administratif fédéral connaît par voie d'action en première instance:
^a	des contestations qui reposent sur des contrats de droit public signés par la Confédération, ses établissements, ses entreprises ou par des organisations visées à l'art. 33, let. h;
^b	...
^c	des contestations opposant la Banque nationale et la Confédération au sujet des conventions sur les services bancaires et de la convention sur la répartition du bénéfice;
^d	des demandes de confiscation de valeurs patrimoniales conformément à la loi du 18 décembre 2015 sur les valeurs patrimoniales d'origine illicite53.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
¹	La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
²	Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 11 Codes de conduite - 1 Les associations professionnelles, sectorielles et économiques, lorsqu'elles sont autorisées de par leurs statuts à défendre les intérêts économiques de leurs membres, de même que les organes fédéraux, peuvent soumettre leur code de conduite au PFPDT.
¹	Les associations professionnelles, sectorielles et économiques, lorsqu'elles sont autorisées de par leurs statuts à défendre les intérêts économiques de leurs membres, de même que les organes fédéraux, peuvent soumettre leur code de conduite au PFPDT.
²	Le PFPDT prend position sur les codes de conduite et publie ses prises de position.

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 12
¹	À moins que la loi n'y attache d'autres effets, l'omission d'un acte de procédure a pour seule conséquence que l'instance suit son cours sans l'acte omis.
²	Lorsqu'une partie fait défaut à une audience, celle-ci a néanmoins lieu. Les conclusions et moyens présentés jusqu'alors par la partie défaillante restent acquis.
³	Lorsque, par suite de l'omission d'une écriture ou du défaut d'une partie, des faits avancés par la partie adverse n'ont pas été contestés, la preuve doit être néanmoins ordonnée s'il y a des raisons de douter de leur exactitude.
⁴	Une copie du procès-verbal de l'audience est notifiée à la partie défaillante. La notification n'a pas lieu lorsque, d'après l'art. 11, elle devrait se faire par publication.
⁵	Lorsque les deux parties font défaut à une audience, le juge les invite à donner leurs raisons. S'il constate que leur défaillance est injustifiée, il peut rayer l'affaire du rôle et mettre les frais à leur charge par parts égales.

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 34
¹	Après l'échange des écritures, le juge délégué ouvre la procédure préparatoire.
²	Le juge délégué restreint la procédure en tant qu'une limitation de la réponse a été ordonnée en vertu de l'art. 30 ou qu'une telle mesure se révèle désormais opportune. Il peut aussi décider que l'instruction ne portera que sur une question de fond dont la solution est de nature à mettre fin au litige.

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 66
¹	Les parties sont avisées de la clôture de la procédure préparatoire.
²	Le président de la section procède aux citations pour les débats devant le tribunal.
³	L'art. 34, al. 2, est applicable par analogie.

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 26
¹	Le demandeur peut modifier ses conclusions ou en prendre de plus amples, pourvu qu'elles soient en connexité avec la demande primitive.
²	L'allégation de faits nouveaux à l'appui des conclusions modifiées n'est possible que dans les limites de l'art. 19, al. 2 et 3.

SR 173.32 Loi du 17 juin 2005 sur le Tribunal administratif fédéral (LTAF) LTAF Art. 44
¹	Lorsque le Tribunal administratif fédéral statue en tant que première instance, la procédure est régie par les art. 3 à 73 et 79 à 85 de la loi fédérale du 4 décembre 1947 sur la procédure civile61.
²	Le Tribunal administratif fédéral établit les faits d'office.
³	Les émoluments judiciaires et les dépens sont régis par les art. 63 à 65 PA62.63

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 3
¹	Le juge examine d'office la recevabilité de l'action et de tous actes de procédure.
²	Le juge ne peut aller au-delà des conclusions des parties, ni fonder son jugement sur d'autres faits que ceux qui ont été allégués dans l'instance. Toutefois il doit attirer l'attention des parties sur les lacunes de leurs conclusions et les engager à articuler complètement les faits et les preuves nécessaires à la manifestation de la vérité. A cet effet, il peut en tout état de cause interpeller les parties personnellement.

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 73
¹	La transaction passée entre les parties devant le juge ou remise au juge pour être consignée au procès-verbal, de même que le désistement d'une partie, mettent fin au procès.
²	La transaction judiciaire peut aussi porter sur des points qui, bien qu'étrangers au procès, sont litigieux entre les parties ou entre une partie et un tiers, en tant que cela favorise la fin du procès.
³	Lorsque le défendeur allègue par voie d'exception que la prétention est inexigible ou subordonnée à une condition ou oppose un vice de forme, le demandeur peut retirer son action en se réservant de l'introduire à nouveau dès que la prétention sera exigible, la condition accomplie ou le vice de forme réparé.
⁴	La transaction judiciaire et le désistement ont la force exécutoire d'un jugement.

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 79
¹	Le juge peut ordonner des mesures provisionnelles:
^a	pour protéger le possesseur contre tout acte d'usurpation ou de trouble et faire rentrer une partie en possession d'une chose indûment retenue;
^b	pour écarter la menace d'un dommage difficile à réparer, notamment le dommage résultant de la modification, avant l'introduction de la demande ou en cours d'instance, de l'état de choses existant.
²	Il ne peut être pris de mesures provisionnelles pour la sûreté de créances soumises à la loi fédérale du 11 avril 1889 sur la poursuite pour dettes et la faillite38.

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 63
¹	En règle générale, les frais de procédure comprenant l'émolument d'arrêté, les émoluments de chancellerie et les débours sont mis, dans le dispositif, à la charge de la partie qui succombe. Si celle-ci n'est déboutée que partiellement, ces frais sont réduits. À titre exceptionnel, ils peuvent être entièrement remis.
²	Aucun frais de procédure n'est mis à la charge des autorités inférieures, ni des autorités fédérales recourantes et déboutées; si l'autorité recourante qui succombe n'est pas une autorité fédérale, les frais de procédure sont mis à sa charge dans la mesure où le litige porte sur des intérêts pécuniaires de collectivités ou d'établissements autonomes.
³	Des frais de procédure ne peuvent être mis à la charge de la partie qui a gain de cause que si elle les a occasionnés en violant des règles de procédure.
⁴	L'autorité de recours, son président ou le juge instructeur perçoit du recourant une avance de frais équivalant aux frais de procédure présumés. Elle lui impartit pour le versement de cette créance un délai raisonnable en l'avertissant qu'à défaut de paiement elle n'entrera pas en matière. Si des motifs particuliers le justifient, elle peut renoncer à percevoir la totalité ou une partie de l'avance de frais.101
^4bis	L'émolument d'arrêté est calculé en fonction de l'ampleur et de la difficulté de la cause, de la manière de procéder des parties et de leur situation financière. Son montant est fixé:
^a	entre 100 et 5000 francs dans les contestations non pécuniaires;
^b	entre 100 et 50 000 francs dans les autres contestations.102
⁵	Le Conseil fédéral établit un tarif des émoluments.103 L'art. 16, al. 1, let. a, de la loi du 17 juin 2005 sur le Tribunal administratif fédéral104 et l'art. 73 de la loi du 19 mars 2010 sur l'organisation des autorités pénales105 sont réservés.106

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 65
¹	Après le dépôt du recours, la partie qui ne dispose pas de ressources suffisantes et dont les conclusions ne paraissent pas d'emblée vouées à l'échec est, à sa demande, dispensée par l'autorité de recours, son président ou le juge instructeur de payer les frais de procédure.111
²	L'autorité de recours, son président ou le juge instructeur attribue en outre un avocat à cette partie si la sauvegarde de ses droits le requiert.112
³	Les frais et honoraires d'avocat sont supportés conformément à l'art. 64, al. 2 à 4.
⁴	Si la partie indigente revient à meilleure fortune, elle est tenue de rembourser les honoraires et les frais d'avocat à la collectivité ou à l'établissement autonome qui les a payés.
⁵	Le Conseil fédéral établit un tarif des honoraires et des frais.113 L'art. 16, al. 1, let. a, de la loi du 17 juin 2005 sur le Tribunal administratif fédéral114 et l'art. 73 de la loi du 19 mars 2010 sur l'organisation des autorités pénales115 sont réservés.116

SR 273 Loi fédérale du 4 décembre 1947 de procédure civile fédérale PCF Art. 23 - La demande doit contenir:
^a	le nom, le domicile et la désignation exacte des parties;
^b	les conclusions du demandeur;
^c	les indications nécessaires pour apprécier la compétence du Tribunal fédéral;
^d	l'exposé clair des faits motivant les conclusions (art. 19);
^e	l'indication précise, pour chaque fait, des preuves offertes, avec mention des numéros du bordereau des annexes (let. f);
^f	le bordereau numéroté des annexes;
^g	la date de l'acte et la signature de l'auteur.

SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 1 Principes - 1 Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.
¹	Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.
²	Le besoin de protection des données personnelles est évalué en fonction des critères suivants:
^a	le type de données traitées;
^b	la finalité, la nature, l'étendue et les circonstances du traitement.
³	Le risque pour la personnalité ou les droits fondamentaux de la personne concernée est évalué en fonction des critères suivants:
^a	les causes du risque;
^b	les principales menaces;
^c	les mesures prises ou prévues pour réduire le risque;
^d	la probabilité et la gravité d'une violation de la sécurité des données, malgré les mesures prises ou prévues.
⁴	Lors de la détermination des mesures techniques et organisationnelles, les critères suivants sont de plus pris en compte:
^a	l'état des connaissances;
^b	les coûts de mise en oeuvre.
⁵	Le besoin de protection des données personnelles, le risque encouru, ainsi que les mesures techniques et organisationnelles sont réévalués pendant toute la durée du traitement. En cas de besoin, les mesures sont adaptées.

SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 4 Journalisation - 1 Lors de traitements automatisés de données sensibles à grande échelle ou de profilage à risque élevé et lorsque les mesures préventives ne suffisent pas à garantir la protection des données, le responsable du traitement privé et son sous-traitant privé journalisent au moins l'enregistrement, la modification, la lecture, la communication, l'effacement et la destruction des données. La journalisation est notamment nécessaire lorsque, sans cette mesure, il n'est pas possible de vérifier a posteriori que les données ont été traitées conformément aux finalités pour lesquelles elles ont été collectées ou communiquées.
¹	Lors de traitements automatisés de données sensibles à grande échelle ou de profilage à risque élevé et lorsque les mesures préventives ne suffisent pas à garantir la protection des données, le responsable du traitement privé et son sous-traitant privé journalisent au moins l'enregistrement, la modification, la lecture, la communication, l'effacement et la destruction des données. La journalisation est notamment nécessaire lorsque, sans cette mesure, il n'est pas possible de vérifier a posteriori que les données ont été traitées conformément aux finalités pour lesquelles elles ont été collectées ou communiquées.
²	Lors du traitement automatisé de données personnelles, l'organe fédéral responsable et son sous-traitant journalisent au moins l'enregistrement, la modification, la lecture, la communication, l'effacement et la destruction des données.
³	Pour les données personnelles généralement accessibles au public, l'enregistrement, la modification, l'effacement et la destruction des données doivent au moins être journalisés.
⁴	La journalisation doit fournir des informations sur l'identité de la personne qui a effectué le traitement, la nature, la date et l'heure du traitement et, cas échéant, l'identité du destinataire des données.
⁵	Les procès-verbaux de journalisation sont conservés durant au moins un an, séparément du système dans lequel les données personnelles sont traitées. Ils sont accessibles uniquement aux organes et aux personnes chargés de vérifier l'application des dispositions relatives à la protection des données personnelles ou de préserver ou restaurer la confidentialité, l'intégrité, la disponibilité et la traçabilité des données, et ne peuvent être utilisés qu'à cette fin.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 34 Bases légales - 1 Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.
¹	Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.
²	La base légale doit être prévue dans une loi au sens formel dans les cas suivants:
^a	il s'agit d'un traitement de données sensibles;
^b	il s'agit d'un profilage;
^c	la finalité ou le mode du traitement de données personnelles est susceptible de porter gravement atteinte aux droits fondamentaux de la personne concernée.
³	Pour les traitements de données personnelles visés à l'al. 2, let. a et b, une base légale prévue dans une loi au sens matériel suffit si les conditions suivantes sont réunies:
^a	le traitement est indispensable à l'accomplissement d'une tâche définie dans une loi au sens formel;
^b	la finalité du traitement ne présente pas de risques particuliers pour les droits fondamentaux de la personne concernée.
⁴	En dérogation aux al. 1 à 3, les organes fédéraux peuvent traiter des données personnelles si l'une des conditions suivantes est remplie:
^a	le Conseil fédéral a autorisé le traitement, considérant que les droits des personnes concernées ne sont pas menacés;
^b	la personne concernée a consenti au traitement en l'espèce ou a rendu ses données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
^c	le traitement est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 35 Traitement de données personnelles automatisé dans le cadre d'essais pilotes - 1 Le Conseil fédéral peut autoriser, avant l'entrée en vigueur d'une loi au sens formel, le traitement automatisé de données sensibles ou d'autres traitements au sens de l'art. 34, al. 2, let. b et c, si les conditions suivantes sont réunies:
¹	Le Conseil fédéral peut autoriser, avant l'entrée en vigueur d'une loi au sens formel, le traitement automatisé de données sensibles ou d'autres traitements au sens de l'art. 34, al. 2, let. b et c, si les conditions suivantes sont réunies:
^a	les tâches qui nécessitent ce traitement sont réglées dans une loi au sens formel déjà en vigueur;
^b	des mesures appropriées sont prises aux fins de réduire au minimum les atteintes aux droits fondamentaux de la personne concernée;
^c	la mise en oeuvre du traitement rend indispensable une phase d'essai avant l'entrée en vigueur de la loi au sens formel, en particulier pour des raisons techniques.
²	Il consulte au préalable le PFPDT.
³	L'organe fédéral responsable transmet, au plus tard deux ans après la mise en oeuvre de l'essai pilote, un rapport d'évaluation au Conseil fédéral. Dans ce rapport, il lui propose la poursuite ou l'interruption du traitement.
⁴	Le traitement automatisé de données personnelles doit être interrompu dans tous les cas si aucune loi au sens formel prévoyant la base légale nécessaire n'est entrée en vigueur dans un délai de cinq ans à compter de la mise en oeuvre de l'essai pilote.

SR 220 Première partie: Dispositions générales Titre premier: De la formation des obligations Chapitre I: Des obligations résultant d'un contrat CO Art. 707 - 1 Le conseil d'administration de la société se compose d'un ou de plusieurs membres.572
¹	Le conseil d'administration de la société se compose d'un ou de plusieurs membres.572
²	...573
³	Lorsqu'une personne morale ou une société commerciale est membre de la société, elle ne peut avoir la qualité de membre du conseil d'administration574, mais ses représentants sont éligibles en son lieu et place.

SR 173.320.2 Règlement du 21 février 2008 concernant les frais, dépens et indemnités fixés par le Tribunal administratif fédéral (FITAF) FITAF Art. 1 Frais de procédure
¹	Les frais de procédure devant le Tribunal administratif fédéral (tribunal) comprennent l'émolument judiciaire et les débours.
²	L'émolument judiciaire couvre les frais de photocopie des mémoires et les frais administratifs normaux, tels que les frais pour le personnel, les locaux et le matériel ainsi que les frais postaux, téléphoniques et de télécopie.
³	Les débours comprennent notamment les frais de traduction et les frais occasionnés par l'administration des preuves. Les frais de traduction ne sont pas facturés lorsqu'il s'agit de la traduction d'une langue officielle à une autre.

SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA) PA Art. 64
¹	L'autorité de recours peut allouer, d'office ou sur requête, à la partie ayant entièrement ou partiellement gain de cause une indemnité pour les frais indispensables et relativement élevés qui lui ont été occasionnés.
²	Le dispositif indique le montant des dépens alloués qui, lorsqu'ils ne peuvent pas être mis à la charge de la partie adverse déboutée, sont supportés par la collectivité ou par l'établissement autonome au nom de qui l'autorité inférieure a statué.
³	Lorsque la partie adverse déboutée avait pris des conclusions indépendantes, les dépens alloués peuvent être mis à sa charge, dans la mesure de ses moyens.
⁴	La collectivité ou l'établissement autonome au nom de qui l'autorité inférieure a statué répond des dépens mis à la charge de la partie adverse déboutée en tant qu'ils se révéleraient irrécouvrables.
⁵	Le Conseil fédéral établit un tarif des dépens.107 L'art. 16, al. 1, let. a, de la loi du 17 juin 2005 sur le Tribunal administratif fédéral108 et l'art. 73 de la loi du 19 mars 2010 sur l'organisation des autorités pénales109 sont réservés.110

SR 173.320.2 Règlement du 21 février 2008 concernant les frais, dépens et indemnités fixés par le Tribunal administratif fédéral (FITAF) FITAF Art. 7 Principe
¹	La partie qui obtient gain de cause a droit aux dépens pour les frais nécessaires causés par le litige.
²	Lorsqu'une partie n'obtient que partiellement gain de cause, les dépens auxquels elle peut prétendre sont réduits en proportion.
³	Les autorités fédérales et, en règle générale, les autres autorités parties n'ont pas droit aux dépens.
⁴	Si les frais sont relativement peu élevés, le tribunal peut renoncer à allouer des dépens.
⁵	L'art. 6a s'applique par analogie.7

SR 311.0 Code pénal suisse du 21 décembre 1937 CP Art. 106 - 1 Sauf disposition contraire de la loi, le montant maximum de l'amende est de 10 000 francs.
¹	Sauf disposition contraire de la loi, le montant maximum de l'amende est de 10 000 francs.
²	Le juge prononce dans son jugement, pour le cas où, de manière fautive, le condamné ne paie pas l'amende, une peine privative de liberté de substitution d'un jour au moins et de trois mois au plus.
³	Le juge fixe l'amende et la peine privative de liberté de substitution en tenant compte de la situation de l'auteur afin que la peine corresponde à la faute commise.
⁴	Le paiement ultérieur de l'amende entraîne une réduction proportionnelle de la peine privative de liberté de substitution.
⁵	Les art. 35 et 36, al. 2, sont applicables par analogie à l'exécution et à la conversion de l'amende.146

SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire LTF Art. 82 Principe - Le Tribunal fédéral connaît des recours:
^a	contre les décisions rendues dans des causes de droit public;
^b	contre les actes normatifs cantonaux;
^c	qui concernent le droit de vote des citoyens ainsi que les élections et votations populaires.

SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire LTF Art. 42 Mémoires - 1 Les mémoires doivent être rédigés dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signés.
¹	Les mémoires doivent être rédigés dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signés.
²	Les motifs doivent exposer succinctement en quoi l'acte attaqué viole le droit. Si le recours n'est recevable que lorsqu'il soulève une question juridique de principe ou qu'il porte sur un cas particulièrement important pour d'autres motifs, il faut exposer en quoi l'affaire remplit la condition exigée.15 16
³	Les pièces invoquées comme moyens de preuve doivent être jointes au mémoire, pour autant qu'elles soient en mains de la partie; il en va de même de la décision attaquée si le mémoire est dirigé contre une décision.
⁴	En cas de transmission électronique, le mémoire doit être muni de la signature électronique qualifiée de la partie ou de son mandataire au sens de la loi du 18 mars 2016 sur la signature électronique17. Le Tribunal fédéral détermine dans un règlement:
^a	le format du mémoire et des pièces jointes;
^b	les modalités de la transmission;
^c	les conditions auxquelles il peut exiger, en cas de problème technique, que des documents lui soient adressés ultérieurement sur papier.18
⁵	Si la signature de la partie ou de son mandataire, la procuration ou les annexes prescrites font défaut, ou si le mandataire n'est pas autorisé, le Tribunal fédéral impartit un délai approprié à la partie pour remédier à l'irrégularité et l'avertit qu'à défaut le mémoire ne sera pas pris en considération.
⁶	Si le mémoire est illisible, inconvenant, incompréhensible ou prolixe ou qu'il n'est pas rédigé dans une langue officielle, le Tribunal fédéral peut le renvoyer à son auteur; il impartit à celui-ci un délai approprié pour remédier à l'irrégularité et l'avertit qu'à défaut le mémoire ne sera pas pris en considération.
⁷	Le mémoire de recours introduit de manière procédurière ou à tout autre égard abusif est irrecevable.