Tribunal administratif fédéral
Tribunale amministrativo federale
Tribunal administrativ federal
Abteilung II
B-6850/2014
Urteil vom 30. November 2016
Richterin Vera Marantelli (Vorsitz),
Besetzung Richterin Kathrin Dietrich, Richter Pascal Richard,
Gerichtsschreiber Thomas Bischof.
A._______,
Parteien vertreten durchlic. iur. Klaus Neff, Rechtsanwalt,
Beschwerdeführerin,
gegen
Wettbewerbskommission WEKO,
Hallwylstrasse 4, 3003 Bern,
Vorinstanz.
Gegenstand Auskunftsbegehren nach DSG.
Sachverhalt:
A.
A.a Am 13. Februar 2006 eröffnete das Sekretariat der Wettbewerbskommission (WEKO) im Einvernehmen mit einem Mitglied des Präsidiums der WEKO eine Untersuchung betreffend Abreden über Zuschläge im Bereich Luftfracht (Verfahrens-Nr. 81.21-0014). Die Untersuchung richtete sich gegen mehrere Luftfahrtunternehmungen (teils zuzüglich ihrer Tochtergesellschaften). Die Beschwerdeführerin war nicht Partei in dieser Untersuchung.
Die WEKO orientierte die Öffentlichkeit am 10. Januar 2014 darüber, dass mit Verfügung vom 2. Dezember 2013 ("Sanktionsverfügung") insgesamt elf Parteien wegen Beteiligung an einer gemäss Artikel 8 des Abkommens vom 21. Juni 1999 zwischen der Schweizerischen Eidgenossenschaft und der Europäischen Gemeinschaft über den Luftverkehr (SR 0.748.127.192.68) in Verbindung mit Artikel 5 Absatz 1 und 3 Buchstabe a des Kartellgesetzes (KG, SR 251) unzulässigen Preisabrede mit Sanktionen in unterschiedlicher Höhe belegt worden seien (Wettbewerbskommission: WEKO büsst mehrere Fluggesellschaften, Medienmitteilung und Presserohstoff, 10.01.2014, https://www.weko.admin.ch/weko/de/home/ aktuell/medieninformationen/nsb-news.msg-id-51605.html, abgerufen am 23. November 2016).
Mehrere Parteien haben die Sanktionsverfügung beim Bundesverwaltungsgericht angefochten. Diese Verfahren sind hängig.
A.b Die Frage, ob respektive in welcher Form die WEKO die Sanktionsverfügung publizieren darf, ist Gegenstand einer eigenständigen Verfügung vom 8. September 2014 ("Publikationsverfügung" mit einer teils anonymisierten resp. geschwärzten Fassung der Sanktionsverfügung ["Publikationsversion"] im Anhang). Auch diese ist von mehreren Parteien mittels Beschwerde beim Bundesverwaltungsgericht angefochten worden.
Diese Beschwerdeverfahren wurden mit Zwischenverfügungen vom 27. Januar 2015 bis zur Eröffnung eines begründeten Urteils des Bundesgerichts zum angefochtenen bundesverwaltungsgerichtlichen Urteil
B-3588/2012 vom 15. Oktober 2014 sistiert. Nachdem das Bundesgericht dieses Urteil (Urteil 2C_1065/2014 vom 26. Mai 2016, zur Publikation vorgesehen) auf seiner Website publiziert hatte, wurde die Sistierung der Verfahren mit Verfügungen je vom 13. Juli 2016 aufgehoben. Diese Verfahren sind hängig.
B.
B.a Mit Schreiben vom 19. September 2014 gelangte die Beschwerdeführerin an die WEKO. Unter Bezugnahme auf die Medienmitteilung vom 10. Januar 2014 ersuchte sie im Hinblick auf die erwartete Publikation der Sanktionsverfügung um die Bestätigung,
"dass die Verfügung der Weko [die Beschwerdeführerin] nicht erwähnt und auch keine direkten oder indirekten Hinweise auf [die Beschwerdeführerin] enthält und dass [die Beschwerdeführerin] auch nicht auf andere Weise bei einer Lektüre der Verfügung mit dem von der Weko im Verfahren 81.21-0014 untersuchten Verhalten in Verbindung gebracht werden kann",
eventualiter - für den Fall, dass die Sanktionsverfügung Hinweise oder Andeutungen auf die Beschwerdeführerin enthalten sollte - um die Bestätigung,
"dass alle diese Hinweise und Andeutungen aus der zur Publikation bestimmten Fassung der Verfügung gelöscht werden",
und schliesslich bat die Beschwerdeführerin
"um Offenlegung der zur Publikation bestimmten Verfügung an uns, bevor sie publiziert wird, so dass wir innert kurzer Frist prüfen können, dass in der zur Publikation bestimmten Verfügung keine Hinweise und Andeutungen auf [die Beschwerdeführerin] im oben dargelegten Sinne enthalten sind."
B.b Das Sekretariat der WEKO teilte mit Schreiben vom 23. September 2014 mit, die gewünschten Bestätigungen könne man nicht abgeben. Ob der Beschwerdeführerin ein Anspruch auf Offenlegung der Verfügung vor Publikation zustehe, sei "fraglich". Die Frage der Publikation sei zudem strittig und nicht rechtskräftig geklärt, weshalb "zurzeit" nicht möglich sei, die Publikationsversion zugänglich zu machen.
B.c Die Beschwerdeführerin wandte sich am 17. Oktober 2014 wiederum an die WEKO. Sie machte geltend, sie habe Grund zur Annahme, die Sanktionsverfügung enthalte direkte oder indirekte Bezüge oder Hinweise auf die Beschwerdeführerin und damit Daten, welche sie, die Beschwerdeführerin, betreffen oder vom Inhalt der Verfügung insgesamt erkennbar machen. Unter Berufung auf Art. 8 des Datenschutzgesetzes (DSG, SR 235.1) verlangte die Beschwerdeführerin
"Auskunft über die Art der von der Weko über ihr Unternehmen bearbeiteten Personendaten und über den Zweck dieser Bearbeitung. Soweit die Weko Personendaten über [die Beschwerdeführerin] zum Zweck bzw. als Teil der Begründung der Verfügung bearbeitet, verlangt [die Beschwerdeführerin] hiermit gestützt auf Art. 8 DSG, dass die Weko uns vor der Publikation der Verfügung eine Kopie derjenigen Teile der Verfügung zustellt, die auf [die Beschwerdeführerin] oder auf Aktivitäten [der Beschwerdeführerin] Bezug nehmen."
Die Beschwerdeführerin stellte weiter klar, dass ihr nur am Zugang zu den eigenen, in der Verfügung vermutlich enthaltenen Personendaten gelegen sei und sie eine Einschränkung dergestalt hinzunehmen bereit wäre, dass Teile, welche Geschäftsgeheimnisse der vom Verfahren Betroffenen enthielten, unkenntlich gemacht würden. Sollte die WEKO "entscheiden, den Zugang zu den von Ihnen über [die Beschwerdeführerin] bearbeiteten Personendaten [...] zu verweigern, ersuchen wir Sie hiermit, darüber unter Angabe der Gründe [...] formell zu verfügen."
B.d Das Sekretariat der WEKO antwortete darauf mit Einschreibebrief vom 22. Oktober 2014. Nach einem Résumé des Schreibens der Beschwerdeführerin vom 17. Oktober 2014 hält sie fest:
"Nach wie vor ist die Frage der Publikation der genannten Verfügung strittig und noch nicht rechtskräftig geklärt. Dabei sind sowohl die Publikation an sich als auch deren Umfang bestritten. Gemäss Artikel 9 Absatz 1 und 2 DSG in Verbindung mit Art. 25 Absatz 1 des Bundesgesetzes vom 6. Oktober 1995 über Kartelle und andere Wettbewerbsbeschränkungen (Kartellgesetz, KG, SR 251) ist es daher zurzeit nicht möglich, Ihnen die genannte Verfügung in irgendeiner Form zugänglich zu machen."
C.
C.a Die Beschwerdeführerin erhob mit Eingabe vom 24. November 2014 Beschwerde gegen diese von ihr als Verfügung qualifizierte Mitteilung. Sie stellte darin die Rechtsbegehren:
"1. Die Verfügung der Vorinstanz vom 22. Oktober 2014 sei vollumfänglich aufzuheben.
2.Die Vorinstanz sei anzuweisen, der Beschwerdeführerin alle Personendaten bekannt zu geben, die über die Beschwerdeführerin in den Akten der Vorinstanz mit Bezug auf die Verfügung in Sachen 81.21-0014 - Abreden im Bereich Luftfracht vorhanden sind, namentlich der Beschwerdeführerin alle Personendaten über die Beschwerdeführerin offen zu legen, welche die Vorinstanz in ihrer Verfügung in Sachen 81.21-0014 bearbeitet.
3.Unter Kosten- und Entschädigungsfolge."
Zudem stellte die Beschwerdeführerin die Verfahrensanträge:
"1.Die Vorinstanz sei anzuweisen, während des hängigen Beschwerdeverfahrens und bis zur Rechtskraft des gerichtlichen Entscheides Dritten keine Personendaten bekannt zu geben, die in den Akten der Vorinstanz mit Bezug auf die Verfügung in Sachen 81.21-0014 - Abreden im Bereich Luftfracht vorhanden sind, namentlich die Verfügung in Sachen 81.21-0014 nicht zu veröffentlichen.
2.Ziff. 1 der Verfahrensanträge sei superprovisorisch, d.h. sofort und ohne Anhörung der Vorinstanz, anzuordnen."
Zur Begründung führt die Beschwerdeführerin im Wesentlichen aus, sie habe - auch wenn sie durch die Vorinstanz weder beschuldigt noch gebüsst worden sei - begründeten Anlass zur Annahme, die Sanktionsverfügung enthalte direkte oder indirekte Hinweise auf sie und ihre Verhaltensweisen, welche den Eindruck erwecken könnten, sie habe sich wettbewerbswidrig resp. unrechtmässig verhalten. Um dies verifizieren zu können, habe sie sich an die Vorinstanz gewandt und nach der ersten abschlägigen Antwort ein formelles Gesuch, gestützt auf Art. 8 DSG, gestellt. Dieses habe die Vorinstanz folglich förmlich abgewiesen. Die Bearbeitung und allfällige Bekanntgabe von Personendaten über die Beschwerdeführerin durch die Vorinstanz im Zusammenhang mit, zum Zweck oder als Teil der Begründung der Luftfracht-Verfügung falle in den Anwendungsbereich des DSG. Sie, die Beschwerdeführerin, habe das Recht, von der Vorinstanz als Inhaberin einer Datensammlung Auskunft über die bearbeiteten Personendaten zu verlangen. Das Auskunftsrecht könne ohne Nachweis eines Interesses geltend gemacht werden. Die Vorinstanz bringe zwar keine massgeblichen Gründe für die Verweigerung vor, doch überwögen die Interessen der Beschwerdeführerin an der Einsicht in die bearbeiteten Daten diejenigen der Vorinstanz an der Verweigerung jedenfalls deutlich.
C.b Mit Zwischenverfügung vom 26. November 2014 (act. 2) wies die I. Abteilung des Bundesverwaltungsgerichts die Vorinstanz in teilweiser Gutheissung der Verfahrensanträge an,
"während des hängigen Beschwerdeverfahrens Dritten keine Personendaten über die Beschwerdeführerin bekannt zu geben, die in den Akten der Vorinstanz mit Bezug auf die Verfügung in Sachen 81.21-0014 (Abreden im Bereich Luftfracht) vorhanden sind, namentlich die Verfügung in Sachen 81.21-0014 nicht zu veröffentlichen."
C.c Die Wettbewerbskommission ihrerseits unterbreitete mit Eingabe vom 1. Dezember 2014 die Verfahrensanträge,
"1.Es sei das Beschwerdeverfahren A-6850/2014 bis zur rechtskräftigen Entscheidung über die Publikationsverfügung der Wettbewerbskommission vom 8. September 2014 (Untersuchung 81.21-0014) zu sistieren.
2.Es sei der Vorinstanz erst nach Aufhebung der Sistierung Frist zur Stellungnahme zur Beschwerde zu setzen."
Die Beschwerdeführerin erklärte sich mit der Sistierung unter Aufrechterhaltung der vorsorglichen Massnahme als einverstanden.
Mit Zwischenverfügung vom 16. Dezember 2014 wurde den Parteien mitgeteilt, dass die Abteilung II aufgrund des engen Zusammenhangs mit den Beschwerdeverfahren bezüglich der Publikationsverfügung (vorstehend, B.b) das Verfahren übernommen habe. Das Verfahren wurde sistiert.
Die Sistierung wurde - analog den Verfahren bezüglich der Publikationsverfügung (siehe vorstehend, A.b) - am 13. Juli 2016 aufgehoben.
C.d Die Vorinstanz liess sich am 17. August 2016 vernehmen (act. 15). Sie stellte die Anträge,
"1.Es sei auf die Beschwerde nicht einzutreten.
2.Eventualiter sei die Beschwerde abzuweisen, soweit darauf einzutreten ist.
3.Alles unter Kostenfolge zu Lasten der Beschwerdeführerin."
Die Vorinstanz macht geltend, sie - gegen die sich die Beschwerde richte - sei gar nicht tätig geworden, sondern das Sekretariat der WEKO. Dieses habe einzig "bescheinigt", dass eine Offenlegung der Sanktionsverfügung im Moment nicht möglich sei. Über den Bestand des Auskunftsrechts sei nicht entschieden worden. Das Schreiben vom 22. Oktober 2014 sei nicht auf die Erzielung einer Rechtswirkung gerichtet gewesen und qualifiziere sich nicht als Verfügung, wobei unklar sei, ob das Sekretariat eine solche überhaupt erlassen dürfte. Es handle sich um ein blosses "Verwaltungsschreiben", welches nur über das geplante Vorgehen informiere.
Das grundsätzliche Einsichtsrecht der Beschwerdeführerin sei nicht bestritten. Indessen sei mit den Beschwerdeverfahren gegen die Publikationsverfügung auch die Publikation als solche in Frage gestellt, mithin gerade die Einsichtnahme durch Dritte überhaupt. Bis zur rechtskräftigen Klärung dieser Frage würde mit einer gewährten Einsichtnahme durch eine Drittperson die aufschiebende Wirkung der Beschwerden gegen die Publikationsverfügung unterlaufen. Im Rahmen des rechtlich Zulässigen werde die gewünschte Auskunft indessen erteilt resp. vor einer allfälligen Publikation das rechtliche Gehör gewährt werden. Ein Aufschub der Auskunft sei der Beschwerdeführerin zumutbar, zumal bis zu den Beschwerdeentscheiden über die Publikationsverfügungen eine Publikation ohnehin nicht erfolgen werde und das Kernanliegen der Beschwerdeführerin darin bestehe, in der dannzumaligen Publikationsversion nicht zu erscheinen.
C.e In ihrer Replik vom 19. September 2016 bekräftigte die Beschwerdeführerin ihre Anträge in der Sache (vorstehend, C.a) und stellte den Verfahrensantrag,
"Die Vorinstanz sei anzuweisen, während des hängigen Beschwerdeverfahrens und bis zur Rechtskraft des gerichtlichen Entscheids keine Personendaten über die Beschwerdeführerin bekannt zu geben, die in den Akten der Vorinstanz mit Bezug auf die Verfügung in Sachen 81.21-0014 - Abreden im Bereich Luftfracht vorhanden sind, namentlich keine Verfügung in Sachen 81.21-0014 zu veröffentlichen, die derartige Daten enthält."
Die Beschwerdeführerin führt aus, sie habe ihr Auskunftsbegehren an die WEKO gestellt. Es habe dabei keine andere Wahl bestanden, als dieses Begehren über deren Sekretariat zu stellen. Dieses bilde mit der WEKO zusammen eine integrierte Verwaltungseinheit; die Verfahrensakte befinde sich in gemeinsamer Kontrolle der WEKO und deren Sekretariats. Erstere habe zwar die Entscheidbefugnis. Letzteres bereite die Entscheide indessen vor - Gesuche an dieses würden mit der eindeutigen Absicht gestellt, dass jene darüber entscheide. Ein Entscheid des Sekretariats sei folglich der WEKO zuzurechnen, ganz gleich, ob damit die Kompetenzen des Sekretariats überschritten würden.
Die Beschwerdeführerin begründet weiter, es handle sich vorliegend um einen reinen Datenschutzfall. Sie nehme mit dem Auskunftsrecht den ersten Schritt zur Wahrung ihrer Datenschutzrechte wahr. Auf das Auskunftsbegehren hätte die Vorinstanz in Anwendung von Art. 8 Abs. 5 DSG und Art. 1 Abs. 4
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
C.f Am 28. September 2016 teilte die Vorinstanz mit, sie verzichte auf eine Duplik. Bezüglich des Verfahrensantrages stellt sie sinngemäss den Antrag auf Nichteintreten infolge Gegenstandslosigkeit.
C.g Die Beschwerdeführerin liess sich am 10. Oktober 2016 unaufgefordert vernehmen. Sie nahm einerseits zur Eingabe der Vorinstanz vom 28. September 2014 Stellung. Anderseits deutete sie - ohne formell einen Antrag zu stellen - an, soweit die Beschwerdeverfahren gegen die Publikationsverfügung die Einsicht behinderten, sei korrekterweise "das Verfahren - wie von der Vorinstanz am 1. Dezember 2014 beantragt - erneut zu sistieren - unter Aufrechterhaltung des Massnahmebegehrens". Mit einer solchen verfahrensrechtlichen Anordnung "wäre die Beschwerdeführerin weiterhin einverstanden".
C.h Am 19. Oktober 2016 verfügte die Instruktionsrichterin:
"1.Die Vorinstanz wird vorsorglich angewiesen, während des hängigen Beschwerdeverfahrens Dritten keine Personendaten über die Beschwerdeführerin bekannt zu geben, die in den Akten der Vorinstanz mit Bezug auf die Verfügung in Sachen 81.21-0014 (Abreden im Bereich Luftfracht) vorhanden sind, namentlich keine Verfügung in Sachen 81.21-0014 zu veröffentlichen, die Personendaten über die Beschwerdeführerin enthält.
2.Das Verfahren wird nicht sistiert.
3.Über die Kosten für diese Verfügung wird mit der Hauptsache entschieden."
Das Bundesverwaltungsgericht zieht in Erwägung:
1.
1.1 Das Bundesverwaltungsgericht beurteilt gemäss Art. 31
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
1.2 Die WEKO ist Vorinstanz i.S.v. Art. 33 Bst. f
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Nicht zu hören ist der Einwand der WEKO, die angefochtene Mitteilung stamme nicht von ihr, sondern vom Sekretariat der WEKO, sowie die Andeutung, dieses könnte seine Kompetenzen überschritten haben. Zwar ist das Sekretariat neben der WEKO eine eigenständige Wettbewerbsbehörde (Simon Bangerter, in: Basler Kommentar Kartellgesetz [nachstehend: BSK KG], Art. 23
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Vorliegend adressierte die Beschwerdeführerin ihre Auskunftsbegehren zwar an das Sekretariat. Daraus folgt jedoch nichts zu ihren Ungunsten. Zum einen ist dies die offizielle Kontaktadresse der Vorinstanz (siehe https://www.weko.admin.ch/weko/de/home/die-weko/adresse.html, besucht am 23. November 2016). Zum andern richtete die Beschwerdeführerin ihr Begehren eben nicht an das Sekretariat, sondern ausdrücklich an die WEKO (vgl. insbesondere Schreiben vom 17. Oktober 2014, al. 3 und 4: "Soweit die Weko Personendaten [...] bearbeitet [...], verlangt [...], dass die Weko [...]", "[...] akzeptiert daher, dass die Weko ihre Einsichtnahme [...] einschränkt, etwa indem die Weko [...]"). Es stand sodann ausserhalb des Einflusses der Beschwerdeführerin, dass intern im Verhältnis zwischen WEKO und Sekretariat dieses das formelle Auskunftsbegehren - in welcher Form auch immer - beantwortete. Dies kann der Beschwerdeführerin denn auch nicht entgegengehalten werden, sie kann sich auf die Einheit von WEKO und Sekretariat berufen.
1.3 Eine Ausnahme nach Art. 32
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
1.4 Vom Ausnahmefall der Rechtsverweigerungs- und Rechtsverzögerungsbeschwerde (Art. 46a
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Weissenberger (Hrsg.), Praxiskommentar Verwaltungsverfahrensgesetz [nachstehend: Praxiskommentar VwVG], 2. Aufl. 2016, Art. 5
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Vorliegend ist umstritten, ob es sich bei der Mitteilung vom 22. Oktober 2014 um eine Verfügung handle, also, ob ein Anfechtungsobjekt vorliege.
1.4.1 Art. 5 Abs. 1
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Lehre und Rechtsprechung umschreiben die Verfügung als individuellen, an den Einzelnen gerichteten Hoheitsakt, durch den eine konkrete verwaltungsrechtliche Rechtsbeziehung rechtsgestaltend oder feststellend in verbindlicher und erzwingbarer Weise geregelt wird (so Häfelin/Müller/
Uhlmann, Allgemeines Verwaltungsrecht, 7. Aufl. 2016, N 849 und 851 m.w.H.; vgl. auch Moser/Beusch/Kneubühler, a.a.O., N 2.3; statt Vieler: BGE 139 V 143 E. 1.2, 139 V 72 E. 2.2.1, 135 II 38 E. 4.3, je m.w.H.). Als konkrete Prüfkriterien gelten folglich folgende fünf Elemente: (1.) hoheitliche, einseitige Anordnung einer Behörde, (2.) individuell-konkrete Anordnung, (3.) Anwendung von (Bundes-)Verwaltungsrecht, (4.) auf Rechtswirkung ausgerichtete Anordnung und (5.) Verbindlichkeit und Erzwingbarkeit (Häfelin/Müller/Uhlmann, a.a.O. N 855 ff.; Uhlmann, a.a.O., N 19).
Massgeblich ist ein materieller, nicht ein formeller Verfügungsbegriff. Es bestehen zwar Erwartungen an die Form einer Verfügung (Art. 35
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
1.4.2 Die Mitteilung vom 22. Oktober 2014 erfolgte durch die WEKO (resp. deren Sekretariat) als verantwortliches Organ i.S.v. Art. 16 Abs. 1
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Uhlmann, a.a.O. N 855-859; Uhlmann, a.a.O., N 21-44). Die Mitteilung betrifft einen individuellen Adressaten (die Beschwerdeführerin) sowie einen konkreten Einzelfall (die Frage der Bearbeitung von Personendaten der Beschwerdeführerin durch die Vorinstanz resp. das Einsichtsrecht in die bearbeiteten Daten), sie ist individuell-konkret (vgl. Häfelin/Müller/
Uhlmann, a.a.O. N 860-863; Uhlmann, a.a.O., N 45-72). Die Mitteilung beantwortet einen auf Bundesverwaltungsrecht (Art. 8 DSG) gestützten Antrag und spricht sich darüber aus, Bundesverwaltungsrecht anwenden zu wollen (zum Kriterium der Anwendung von Bundesverwaltungsrecht vgl. Häfelin/Müller/Uhlmann, a.a.O. N 864 f.; Uhlmann, a.a.O., N 73-93). Die ersten drei vorstehend (E. 1.4.1) genannten Kriterien sind somit klarerweise erfüllt. Keine selbständige Bedeutung hat neben dem in der folgenden Ziffer zu klärenden Kriterium der Rechtswirkung jenes der Verbindlichkeit und Erzwingbarkeit; dies umso mehr, als die vorliegende Mitteilung ihres Inhalts nach nicht zwangsweise vollstreckbar ist (Uhlmann, a.a.O., Art. 5
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
1.4.3 Die Vorinstanz bestreitet, dass die Mitteilung auf die Erzielung einer Rechtswirkung ausgerichtet sei.
Das Handeln der Behörde erzeugt Rechtswirkung, wenn es einen der in Art. 5 Abs. 1 Bst. a
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
1.4.3.1 Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden ("betroffene Personen", Art. 3 Bst. b
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Bickelin: Belser/Epiney/Waldmann, Datenschutzrecht. Grundlagen und öffentliches Recht, 2011, § 12 N 139; allgemeiner Michael Widmer, in: Passadelis/Rosenthal/ Thür (Hrsg.), Datenschutzrecht, Handbücher für die Anwaltspraxis, N 5.2).
Die Modalitäten des Auskunftsrechts gestalten sich bei Privatpersonen wie auch Bundesorganen im Grundsatz analog (Art. 1 f
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 13 Modalitäten der Informationspflicht - Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen. |
Belser/Epiney/Waldmann, a.a.O., § 11 N 33; Widmer, a.a.O. N 5.7). Der Inhaber der Datensammlung hat die beantragte Einsicht im Umfang von Art. 8 Abs. 1
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 13 Modalitäten der Informationspflicht - Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 13 Modalitäten der Informationspflicht - Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 13 Modalitäten der Informationspflicht - Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
1.4.3.2 Die Beschwerdeführerin stellte am 17. Oktober 2014 ein unmissverständliches Auskunftsgesuch im Sinne von Art. 8 DSG. In ihrer Antwort vom 22. Oktober 2014 teilte die Vorinstanz mit, es sei "zurzeit" nicht möglich, die Auskunft zu erteilen ("Ihnen die genannte Verfügung in irgendeiner Form zugänglich zu machen"). Sinngemäss ist dem Schreiben zu entnehmen, dass die Auskunftserteilung (oder aber ein Entscheid über allfällige inhaltliche Einschränkungen) vom rechtskräftigen Ausgang der Beschwerdeverfahren gegen die Publikationsverfügung abhängig sei. Damit teilte die Vorinstanz - und zwar unter ausdrücklicher Berufung auf Art. 9 Abs. 1 und 2 DSG - nichts anderes als einen Aufschub der Auskunftserteilung mit. Dabei handelt es sich um eine gesetzlich vorgesehene Form der Einschränkung, d.h. das Rechtsverhältnis wird in einer der gesetzlich vorgesehenen Formen geregelt. In diesem Sinne wird eine Rechtswirkung erzielt.
Aus der geschilderten gesetzlichen Ordnung ergibt sich zudem, dass auch die in Form eines Aufschubes erklärte Einschränkung innert einer (hier klar eingehaltenen) Frist von 30 Tagen begründet mitzuteilen, d.h. zu entscheiden, ist. Einen formlosen Aufschub (etwa in Form eines "Verwaltungsschreibens") lässt die in diesem Punkt lückenlose Regelung nicht zu.
1.4.4 Die Mitteilung der Vorinstanz erfüllt zusammengefasst alle Strukturmerkmale einer Verfügung. Es liegt somit ein taugliches Anfechtungsobjekt vor.
1.5 Auf die Beschwerde ist folglich einzutreten.
2.
Die Anrufung des Auskunftsrechts gemäss Art. 8 DSG bedingt die Anwendbarkeit des DSG (Gramigna/Maurer-Lambrou, Art. 8 N 21 DSG). Vorausgesetzt ist hierfür - soweit hier von Interesse - das Bearbeiten von Daten natürlicher und juristischer Personen durch Bundesorgane (Art. 2 Abs. 1
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
2.1 Als Bundesorgan verstehen sich Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind (Art. 3 Bst. h
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
2.2 Die Vorinstanz beruft sich - wenn auch in anderem Zusammenhang - auf die rechtshängigen Beschwerden gegen die Publikationsverfügung. Folglich ist zu klären, ob der Ausnahmetatbestand von Art. 2 Abs. 2 Bst. d
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Hintergrund dieser Ausnahmebestimmung ist, dass der Persönlichkeitsschutz durch die Spezialbestimmungen der entsprechenden Verfahren hinreichend gesichert und geregelt ist; es sollen sich nicht zwei Gesetze mit zum Teil gleicher Zielrichtung überlagern (BGE 138 III 425 E. 4.3). Voraussetzung für das Greifen der Ausnahmebestimmung ist, dass der Schutz des Verfahrensgesetzes gleichwertig demjenigen des DSG sei (Maurer-Lambour/ Kunz, BSK DSG/BGÖ, N 27 zu Art. 2
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Bickel, a.a.O., § 12 N 29, jedoch mit der Konzession, dass der datenschutzrechtliche Persönlichkeitsschutz [nur] dann hintansteht, wenn die verfahrensrechtlichen Mitwirkungs- und Informationsrechte greifen [a.a.O. § 12 N 31]). Das Auskunftsrecht gemäss Art. 8 DSG und die Akteneinsichtsrechte des VwVG sind voneinander unabhängige Ansprüche, die hinsichtlich Voraussetzungen und Umfang nicht deckungsgleich sind, also je ihren eigenen Anwendungsbereich haben, so dass sie innerhalb ihres jeweiligen Geltungsbereichs unabhängig voneinander geltend gemacht werden können (Waldmann/Oeschger, in: Waldmann/Weissenberger, Praxiskommentar VwVG, Art. 26
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 13 Modalitäten der Informationspflicht - Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 13 Modalitäten der Informationspflicht - Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen. |
Die Ausnahmebestimmung des Art. 2 Abs. 2 Bst. c
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
2.3 Zusammengefasst bearbeitet die Vorinstanz als Bundesorgan Personendaten im Sinne von Art. 2 Abs. 1
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
3.
Das Auskunftsrecht bezieht sich auf Daten, die in einer Datensammlung enthalten sind. Unter diesem Begriff versteht sich jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind (Art. 3 Bst. g
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Graminga/Maurer-Lambrou, a.a.O., Art. 8 DSG N 25), durch seine Offenheit und den technologischen Fortschritt indessen gleichwohl konturlos geworden (Gerschwiler, a.a.O., N 3.56; Blechta, a.a.O. Art. 3
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
4.
Die Beschwerdeführerin kann - zumal die Modalitäten zur Geltendmachung des Auskunftsrechts (vgl. vorne E. 1.4.3.1) eingehalten sind - somit bei der Vorinstanz ein Gesuch um Auskunft stellen und hat, vorbehältlich gültiger Einschränkung, Anspruch auf die Auskunft, ob Daten über sie bearbeitet werden und, bejahendenfalls, auf Mitteilung aller über sie in der Datensammlung vorhandenen Personendaten, einschliesslich der verfügbaren Angaben über deren Herkunft, des Zweckes und der Rechtsgrundlagen der Bearbeitung, sowie der Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger (Art. 8 Abs. 1
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 13 Modalitäten der Informationspflicht - Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 13 Modalitäten der Informationspflicht - Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen. |
5.
Zu prüfen bleibt, ob die Vorinstanz die Auskunft zu Recht einschränkte.
5.1 Nach Art. 9 Abs. 1 DSG kann der Inhaber der Datensammlung die Auskunft verweigern, einschränken oder aufschieben (auch im Sinne eines Oberbegriffes als "Einschränkung" zusammengefasst, Gramigna/
Maurer-Lambrou, a.a.O., Art. 9
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 13 Modalitäten der Informationspflicht - Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Die Einschränkung des Auskunftsrechts erfordert eine Abwägung der Interessen im konkreten Einzelfall. Die gebotene Interessenabwägung kann dazu führen, dass der um Auskunft Ersuchende seine Interessen darlegen muss, obschon das Auskunftsrecht nach Art. 8 DSG grundsätzlich, (vorbehältlich des Rechtsmissbrauchs) ohne Nachweis eines Interesses geltend gemacht werden kann (vgl. BGE 138 III 425 E. 5.4; Gramigna/Maurer-Lambrou, a.a.O. Art. 8 DSG N 39, 42 Art. 9
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
5.2 Die Beschwerdeführerin beruft sich in der Schilderung ihrer Interessen auf den Zweck des Auskunftsrechts als Institut zur Durchsetzung des Persönlichkeitsschutzes, das den betroffenen Personen die Kontrolle der Rechtmässigkeit der Datenbearbeitung und die Durchsetzung ihrer Ansprüche ermöglichen solle. Sie müsse davon ausgehen, in der Sanktionsverfügung erwähnt zu sein. Das Auskunftsrecht ermögliche ihr zu kontrollieren, ob die Grundsätze der Datenverarbeitung gemäss Art. 4
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Die Vorinstanz hatte sich in der angefochtenen Verfügung darauf berufen, die Frage der Publikation der Sanktionsverfügung sei noch nicht rechtskräftig entschieden, wobei die Publikation an sich wie auch deren Umfang bestritten sei. Art. 9 Abs. 1
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
5.3 Die von der Beschwerdeführerin geltend gemachten Interessen erscheinen als gewichtig. Die Beschwerdeführerin hat ein berechtigtes Interesse daran, kontrollieren zu können, ob ihre Personendaten bearbeitet wurden und, wenn ja, ob dies den Grundsätzen des Art. 4
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Die Vorinstanz macht als überwiegendes Interesse den Schutz des Instituts der aufschiebenden Wirkung geltend. Den in der angefochtenen Verfügung enthaltenen Verweis auf Art. 25 Abs. 1 KG scheint sie nicht (mehr) so verstanden wissen zu wollen, dass sie sich im Sinn von Art. 9 Abs. 1 lit. a
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Die aufschiebende Wirkung eines Rechtsmittels bewirkt, dass die in der angefochtenen Verfügung angeordnete Rechtsfolge vorläufig nicht eintritt. Es bleibt der rechtliche und tatsächliche Zustand vor deren Erlass bestehen, die angefochtene Verfügung ist in ihrer Wirksamkeit und Vollstreckung gehemmt (Seiler, in: Waldmann/Weissenberger (Hrsg.), Praxiskommentar VwVG, 2. Aufl. 2016, Art. 55
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Als berechtigtes Interesse, das gegen eine Auskunft sprechen könnte, fallen vorliegend einzig Geheimhaltungsinteressen der von der Untersuchung betroffenen Unternehmungen in Betracht. Die Frage, wie diesen gerecht werden kann, stellt sich nach Rechtskraft der Entscheide über die Publikationsverfügung gleichermassen wie bereits jetzt. Um diesen Interessen gerecht zu werden, ist ein Aufschub der Auskunft somit kein geeignetes Mittel. Es ist das das Auskunftsrecht am wenigsten einschränkende Vorgehen zu wählen. Die Frage, wie den Interessen weiterer Beteiligter begegnet werden kann - ob mit einer inhaltlichen Einschränkung, oder mit der Gestaltung der Auskunft (insb. auch bezüglich der Angaben gemäss Art. 8 Abs. 2 lit. b
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
5.4 Die Einschränkung der Auskunft in der gewählten Form des Aufschubes ist folglich aufzuheben.
6.
Im Regelfall soll das Bundesverwaltungsgericht in der Sache selbst entscheiden und nur ausnahmsweise die Angelegenheit (mit verbindlichen Weisungen) an die Vorinstanz zurückweisen (Art. 61 Abs. 1
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Vorliegend ist der angefochtene Aufschub aufzuheben. Gründe für eine gänzliche Verweigerung des Auskunftsrechts sind nicht erkennbar und werden von der Vorinstanz auch nicht angerufen (im Gegenteil anerkennt sie das Auskunftsrecht im Grundsatz [Vernehmlassung Vorinstanz, Ziff. 15]). Indessen kann mit Blick auf Drittinteressen nicht ausgeschlossen werden, dass im Zuge der konkreten Auskunftserteilung Einschränkungen anzuordnen sind. Es ist sachgemäss, den Entscheid hierüber (wie auch über die Modalitäten der Auskunftserteilung insgesamt) der Vorinstanz zu übertragen, welche mit den Verhältnissen besser vertraut ist; auch ist der Beschwerdeführerin die Möglichkeit offenzuhalten, einen solchen Entscheid wiederum vor einem Gericht mit voller Kognition anzufechten (vgl. Weissenberger/Hirzel, in: Waldmann/Weissenberger (Hrsg.), Praxiskommentar VwVG, 2. Aufl. 2016, Art. 61
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Rütsche/Kuhn, a.a.O., N 1647, 1650).
Die Angelegenheit ist nach alledem an die Vorinstanz zurückzuweisen; sie hat ohne Aufschub über eine Form der Auskunftserteilung zu entscheiden, welche den Interessen der am Verfahren Beteiligten gerecht wird und gleichzeitig das Auskunftsrecht der Beschwerdeführerin am wenigsten einschränkt.
7.
7.1 Das Bundesverwaltungsgericht auferlegt die Verfahrenskosten in der Regel der unterliegenden Partei (Art. 63 Abs. 1
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Vorinstanz zu weiteren Abklärungen und neuem Entscheid (mit noch offenem Ausgang) praxisgemäss als volles Obsiegen der Beschwerde führenden Partei (Urteil des Bundesverwaltungsgerichts A-3763/2011 vom 3. Juli 2012 E. 14.1, m.w.H.). Vorinstanzen werden keine Verfahrenskosten auferlegt (Art. 63 Abs. 2
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
Die Beschwerdeführerin obsiegt im vorstehend geschilderten Sinne, der unterliegenden Vorinstanz sind keine Verfahrenskosten aufzuerlegen. Es sind folglich keine Verfahrenskosten zu sprechen. Der von der Beschwerdeführerin geleistete Kostenvorschuss von Fr. 1'500.00 ist ihr zurückzuerstatten.
7.2 Obsiegende Parteien haben Anspruch auf eine Parteientschädigung für die ihnen erwachsenen notwendigen Kosten (Art. 64 Abs. 1
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
|
1 | Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. |
2 | Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: |
a | Art der bearbeiteten Daten; |
b | Zweck, Art, Umfang und Umstände der Bearbeitung. |
3 | Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: |
a | Ursachen des Risikos; |
b | hauptsächliche Gefahren; |
c | ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; |
d | Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen. |
4 | Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt: |
a | Stand der Technik; |
b | Implementierungskosten. |
5 | Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen. |
SR 173.320.2 Reglement vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht (VGKE) VGKE Art. 7 Grundsatz |
|
1 | Obsiegende Parteien haben Anspruch auf eine Parteientschädigung für die ihnen erwachsenen notwendigen Kosten. |
2 | Obsiegt die Partei nur teilweise, so ist die Parteientschädigung entsprechend zu kürzen. |
3 | Keinen Anspruch auf Parteientschädigung haben Bundesbehörden und, in der Regel, andere Behörden, die als Parteien auftreten. |
4 | Sind die Kosten verhältnismässig gering, so kann von einer Parteientschädigung abgesehen werden. |
5 | Artikel 6a ist sinngemäss anwendbar.7 |
SR 173.320.2 Reglement vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht (VGKE) VGKE Art. 8 Parteientschädigung |
|
1 | Die Parteientschädigung umfasst die Kosten der Vertretung sowie allfällige weitere Auslagen der Partei. |
2 | Unnötiger Aufwand wird nicht entschädigt. |
SR 173.320.2 Reglement vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht (VGKE) VGKE Art. 8 Parteientschädigung |
|
1 | Die Parteientschädigung umfasst die Kosten der Vertretung sowie allfällige weitere Auslagen der Partei. |
2 | Unnötiger Aufwand wird nicht entschädigt. |
Die Beschwerdeführerin ist anwaltlich vertreten, ihr ist daher eine Parteientschädigung für die ihr entstandenen notwendigen Kosten zuzusprechen. Da der Rechtsvertreter keine Kostennote eingereicht hat, ist die Parteientschädigung aufgrund der Akten festzusetzen (Art. 14 Abs. 2
SR 173.320.2 Reglement vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht (VGKE) VGKE Art. 14 Festsetzung der Parteientschädigung |
|
1 | Die Parteien, die Anspruch auf Parteientschädigung erheben, und die amtlich bestellten Anwälte und Anwältinnen haben dem Gericht vor dem Entscheid eine detaillierte Kostennote einzureichen. |
2 | Das Gericht setzt die Parteientschädigung und die Entschädigung für die amtlich bestellten Anwälte und Anwältinnen auf Grund der Kostennote fest. Wird keine Kostennote eingereicht, so setzt das Gericht die Entschädigung auf Grund der Akten fest. |
SR 173.320.2 Reglement vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht (VGKE) VGKE Art. 9 Kosten der Vertretung |
|
1 | Die Kosten der Vertretung umfassen: |
a | das Anwaltshonorar oder die Entschädigung für eine nichtanwaltliche berufsmässige Vertretung; |
b | die Auslagen, namentlich die Kosten für das Kopieren von Schriftstücken, die Reise-, Verpflegungs- und Unterkunftskosten, die Porti und die Telefonspesen; |
c | die Mehrwertsteuer für die Entschädigungen nach den Buchstaben a und b, soweit eine Steuerpflicht besteht und die Mehrwertsteuer nicht bereits berücksichtigt wurde. |
2 | Keine Entschädigung ist geschuldet, wenn der Vertreter oder die Vertreterin in einem Arbeitsverhältnis zur Partei steht. |
SR 173.320.2 Reglement vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht (VGKE) VGKE Art. 9 Kosten der Vertretung |
|
1 | Die Kosten der Vertretung umfassen: |
a | das Anwaltshonorar oder die Entschädigung für eine nichtanwaltliche berufsmässige Vertretung; |
b | die Auslagen, namentlich die Kosten für das Kopieren von Schriftstücken, die Reise-, Verpflegungs- und Unterkunftskosten, die Porti und die Telefonspesen; |
c | die Mehrwertsteuer für die Entschädigungen nach den Buchstaben a und b, soweit eine Steuerpflicht besteht und die Mehrwertsteuer nicht bereits berücksichtigt wurde. |
2 | Keine Entschädigung ist geschuldet, wenn der Vertreter oder die Vertreterin in einem Arbeitsverhältnis zur Partei steht. |
SR 173.320.2 Reglement vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht (VGKE) VGKE Art. 9 Kosten der Vertretung |
|
1 | Die Kosten der Vertretung umfassen: |
a | das Anwaltshonorar oder die Entschädigung für eine nichtanwaltliche berufsmässige Vertretung; |
b | die Auslagen, namentlich die Kosten für das Kopieren von Schriftstücken, die Reise-, Verpflegungs- und Unterkunftskosten, die Porti und die Telefonspesen; |
c | die Mehrwertsteuer für die Entschädigungen nach den Buchstaben a und b, soweit eine Steuerpflicht besteht und die Mehrwertsteuer nicht bereits berücksichtigt wurde. |
2 | Keine Entschädigung ist geschuldet, wenn der Vertreter oder die Vertreterin in einem Arbeitsverhältnis zur Partei steht. |
SR 173.320.2 Reglement vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht (VGKE) VGKE Art. 9 Kosten der Vertretung |
|
1 | Die Kosten der Vertretung umfassen: |
a | das Anwaltshonorar oder die Entschädigung für eine nichtanwaltliche berufsmässige Vertretung; |
b | die Auslagen, namentlich die Kosten für das Kopieren von Schriftstücken, die Reise-, Verpflegungs- und Unterkunftskosten, die Porti und die Telefonspesen; |
c | die Mehrwertsteuer für die Entschädigungen nach den Buchstaben a und b, soweit eine Steuerpflicht besteht und die Mehrwertsteuer nicht bereits berücksichtigt wurde. |
2 | Keine Entschädigung ist geschuldet, wenn der Vertreter oder die Vertreterin in einem Arbeitsverhältnis zur Partei steht. |
SR 173.320.2 Reglement vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht (VGKE) VGKE Art. 9 Kosten der Vertretung |
|
1 | Die Kosten der Vertretung umfassen: |
a | das Anwaltshonorar oder die Entschädigung für eine nichtanwaltliche berufsmässige Vertretung; |
b | die Auslagen, namentlich die Kosten für das Kopieren von Schriftstücken, die Reise-, Verpflegungs- und Unterkunftskosten, die Porti und die Telefonspesen; |
c | die Mehrwertsteuer für die Entschädigungen nach den Buchstaben a und b, soweit eine Steuerpflicht besteht und die Mehrwertsteuer nicht bereits berücksichtigt wurde. |
2 | Keine Entschädigung ist geschuldet, wenn der Vertreter oder die Vertreterin in einem Arbeitsverhältnis zur Partei steht. |
SR 173.320.2 Reglement vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht (VGKE) VGKE Art. 9 Kosten der Vertretung |
|
1 | Die Kosten der Vertretung umfassen: |
a | das Anwaltshonorar oder die Entschädigung für eine nichtanwaltliche berufsmässige Vertretung; |
b | die Auslagen, namentlich die Kosten für das Kopieren von Schriftstücken, die Reise-, Verpflegungs- und Unterkunftskosten, die Porti und die Telefonspesen; |
c | die Mehrwertsteuer für die Entschädigungen nach den Buchstaben a und b, soweit eine Steuerpflicht besteht und die Mehrwertsteuer nicht bereits berücksichtigt wurde. |
2 | Keine Entschädigung ist geschuldet, wenn der Vertreter oder die Vertreterin in einem Arbeitsverhältnis zur Partei steht. |
8.
Entscheide des Bundesverwaltungsgerichts auf dem Gebiet des Datenschutzes sind gemäss Art. 35 Abs. 2
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 35 - Werden Personendaten zu nicht personenbezogenen Zwecken, insbesondere der Forschung, der Planung und der Statistik, und gleichzeitig zu einem anderen Zweck bearbeitet, so sind die Ausnahmen nach Artikel 39 Absatz 2 DSG nur für die Bearbeitung zu den nicht personenbezogenen Zwecken anwendbar. |
Demnach erkennt das Bundesverwaltungsgericht:
1.
Die Beschwerde wird gutgeheissen. Die Verfügung vom 22. Oktober 2014 wird aufgehoben und die Sache zur Neubeurteilung im Sinne der Erwägungen an die Vorinstanz zurückgewiesen.
2.
Es werden keine Verfahrenskosten erhoben. Der Beschwerdeführerin wird der von ihr geleistete Kostenvorschuss nach Eintritt der Rechtskraft von Fr. 1'500.00 zurückerstattet.
3.
Der Beschwerdeführerin wird eine Parteientschädigung von Fr. 4'000.00 zu Lasten der Wettbewerbskommission zugesprochen.
4.
Dieses Urteil geht an:
- die Beschwerdeführerin (Gerichtsurkunde, Beilage: Rückerstattungs-formular)
- die Vorinstanz (Ref-Nr. 81.21-0014; Gerichtsurkunde)
- den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten
Die vorsitzende Richterin: Der Gerichtsschreiber:
Vera Marantelli Thomas Bischof
Rechtsmittelbelehrung
Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bundesgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Angelegenheiten geführt werden (Art. 82 ff
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 35 - Werden Personendaten zu nicht personenbezogenen Zwecken, insbesondere der Forschung, der Planung und der Statistik, und gleichzeitig zu einem anderen Zweck bearbeitet, so sind die Ausnahmen nach Artikel 39 Absatz 2 DSG nur für die Bearbeitung zu den nicht personenbezogenen Zwecken anwendbar. |
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 35 - Werden Personendaten zu nicht personenbezogenen Zwecken, insbesondere der Forschung, der Planung und der Statistik, und gleichzeitig zu einem anderen Zweck bearbeitet, so sind die Ausnahmen nach Artikel 39 Absatz 2 DSG nur für die Bearbeitung zu den nicht personenbezogenen Zwecken anwendbar. |
Versand: 6. Dezember 2016