Urteilskopf

143 I 253

23. Auszug aus dem Urteil der I. öffentlich-rechtlichen Abteilung i.S. A. gegen Eidgenössische Finanzmarktaufsicht (Beschwerde in öffentlich-rechtlichen Angelegenheiten) 1C_214/2016 vom 22. März 2017

Regeste (de):

Regeste (fr):

Regesto (it):


Sachverhalt ab Seite 254

BGE 143 I 253 S. 254

A.

A.a Seit dem Jahr 2009 führt die Eidgenössische Finanzmarktaufsicht FINMA (nachfolgend: FINMA) die Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung", die so genannte Watchlist. Die Datensammlung ist im Register des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eingetragen.
A.b Im Rahmen eines Verwaltungsverfahrens gegen die UBS AG im Zusammenhang mit der Eingabe von Zinssätzen, insbesondere für den London Interbank Offered Rate (LIBOR), stellte die FINMA am 14. Dezember 2012 einen schweren Verstoss der Bank gegen das
BGE 143 I 253 S. 255

schweizerische Finanzmarktrecht fest. Gestützt darauf ordnete sie Massnahmen zur Verbesserung der entsprechenden Prozesse sowie die Einziehung von Gewinnen an.
A.c A. war damals Kadermitglied der UBS AG. Im Mai 2012 ersuchte er die FINMA, ihm alle in ihrer Datensammlung zu seiner Person vorhandenen Daten mitzuteilen. Die FINMA lehnte dies zunächst ab mit der Begründung, gegen ihn sei kein Verfahren hängig und es wäre unverhältnismässig, die Vielzahl derjenigen Daten, in denen er wegen seiner Funktion erwähnt werde, unter Wahrung der Interessen der Bank und allfälliger Dritter zur geeigneten Einsichtnahme aufzubereiten.
A.d Mit Schreiben vom 30. Mai 2013 informierte die FINMA A. darüber, ihn in die Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" aufgenommen zu haben, da sie festgestellt habe, dass er als Managing Director, Global Head of STIR, für die finanzmarktrechtlichen Beanstandungen mitverantwortlich sei. Im nachfolgenden Briefaustausch stellte die FINMA A. einen teilweise eingeschwärzten "Auszug Excel-Liste Interview betreffend A." mit einer Zusammenstellung von Aussagen über ihn zu, wies sein Gesuch um Einsicht in die Schlussverfügung und die Akten im Verfahren gegen die UBS AG ab und teilte ihm mit, er sei wie folgt in der Watchlist eingetragen: "Managing Director, Gobal Head of STIR, später Macro IR. Höchste Person nachweislich involviert in Zinssatzmanipulationen. UBS trennte sich von ihm." Im Anschluss an ein darauf folgendes ergänzendes Einsichts- und Auskunftsgesuch informierte die FINMA A., in die Datensammlung seien insgesamt 17 ihn betreffende Dokumente aufgenommen, stellte ihm teilweise eingeschwärzte Kopien von vier neu aufgenommenen E-Mails zu und teilte ihm mit, sie habe den Eintrag über ihn in der Watchlist wie folgt angepasst: "Managing Director, Global Head of STIR, später Macro IR. Es bestehen Hinweise, dass er über die Zinsmanipulationen informiert war. UBS trennte sich von ihm."
A.e Am 22. April 2014 beantragte A., die FINMA habe jede weitere Bearbeitung von ihn betreffenden Personendaten zu unterlassen und sämtliche in die Datensammlung aufgenommenen Daten vollumfänglich zu löschen. (...) Daraufhin schlug ihm die FINMA die folgende Änderung des Eintrags vor:
BGE 143 I 253 S. 256

"Managing Director, Global Head of STIR, später Macro IR. Es bestehen Hinweise, dass er über die Zinsmanipulationen informiert war. Das Arbeitsverhältnis mit der UBS AG wurde im gegenseitigen Einvernehmen im Rahmen eines Aufhebungsvertrags beendet." A. erklärte sich damit nicht einverstanden und verlangte, es sei eine anfechtbare Verfügung zu treffen. Mit solcher vom 5. September 2014 wies die FINMA das Gesuch um Löschung der Daten in der Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" sowie auf Unterlassen jeder weiteren Datenbearbeitung ab und trat im Übrigen auf das Gesuch nicht ein. Zur Begründung führte sie im Wesentlichen aus, im Rahmen des Verwaltungsverfahrens gegen die UBS AG sei sie in den Besitz von Unterlagen gekommen, die möglicherweise Zweifel an der Gewähr von A. erwecken könnten, falls dieser zukünftig eine Gewährsposition bei einem beaufsichtigten Institut besetzen wolle. Die Watchlist diene dazu, diese Verdachtsmomente für den Fall eines späteren Verfahrens festzuhalten. Die Einträge seien nicht unrichtig und dienten einzig dem behördeninternen Wissensmanagement. Die eigentliche Gewährsprüfung erfolge erst in einem allfälligen späteren Verfahren. (...)
B. Dagegen erhob A. Beschwerde an das Bundesverwaltungsgericht. Am 16. März 2016 wies dieses die Beschwerde ab.
C. Mit Beschwerde in öffentlich-rechtlichen Angelegenheiten vom 3. Mai 2016 an das Bundesgericht beantragt A., das Urteil des Bundesverwaltungsgerichts vom 16. März 2016 sowie die Verfügung der FINMA vom 5. September 2014 aufzuheben und die FINMA anzuweisen, jede weitere Bearbeitung von ihn betreffenden Personendaten im Rahmen der Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" zu unterlassen und sämtliche ihn betreffenden darin aufgenommenen Daten unverzüglich vollumfänglich zu vernichten bzw. zu löschen. Eventuell sei das Urteil des Bundesverwaltungsgerichts aufzuheben und die Sache mit verbindlichen Weisungen zur erneuten Beurteilung an die Vorinstanz zurückzuweisen. Zur Begründung wird im Wesentlichen geltend gemacht, (...) das Urteil des Bundesverwaltungsgerichts verletze das Datenschutzgesetz, das Recht auf informationelle Selbstbestimmung sowie die Wirtschaftsfreiheit von A. und dabei insbesondere das Legalitätsprinzip und den Grundsatz der Verhältnismässigkeit. Die FINMA schliesst auf Abweisung der Beschwerde. Das Bundesverwaltungsgericht verzichtete auf eine Stellungnahme.
BGE 143 I 253 S. 257

D. Die I. öffentlich-rechtliche Abteilung des Bundesgerichts hat am 22. März 2017 in einer öffentlichen Beratung über die Beschwerde entschieden. Das Bundesgericht heisst die Beschwerde gut, soweit es darauf eintritt. (Auszug)

Erwägungen

Aus den Erwägungen:

3.

3.1 Der Beschwerdeführer macht einen Verstoss gegen Art. 13 Abs. 2
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
BV geltend und rügt dabei insbesondere, der angefochtene Entscheid beruhe nicht auf einer genügenden gesetzlichen Grundlage.
3.2 Nach Art. 13 Abs. 2
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
BV hat jede Person Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten. Davon erfasst wird jeder Umgang mit personenbezogenen Daten, wozu auch das Aufbewahren zählt (RAINER J. SCHWEIZER, in: Die schweizerische Bundesverfassung, St. Galler Kommentar, Ehrenzeller/Schindler/Schweizer/Vallender [Hrsg.], 3. Aufl. 2014, N. 74 zu Art. 13
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
BV). Für staatliche Eingriffe gelten die Voraussetzungen von Art. 36
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 36 Restriction des droits fondamentaux - 1 Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
1    Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
2    Toute restriction d'un droit fondamental doit être justifiée par un intérêt public ou par la protection d'un droit fondamental d'autrui.
3    Toute restriction d'un droit fondamental doit être proportionnée au but visé.
4    L'essence des droits fondamentaux est inviolable.
BV, und schwere Eingriffe wie namentlich das Erstellen von Persönlichkeitsprofilen bedürfen einer Grundlage in einem formellen Gesetz (SCHWEIZER, a.a.O., N. 79 zu Art. 13
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
BV).
3.3 Art. 13 Abs. 2
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
BV wird zu einem grossen Teil im Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) konkretisiert. Da es sich beim Datenschutz um eine Querschnittsaufgabe des Staates handelt, gelangen darüber hinaus einschlägige Sonderbestimmungen mit Datenschutzcharakter in anderen Bundesgesetzen zur Anwendung. Im vorliegenden Zusammenhang trifft das insbesondere für das Bundesgesetz vom 22. Juni 2007 über die Eidgenössische Finanzmarktaufsicht (Finanzmarktaufsichtsgesetz, FINMAG; SR 956.1) und dessen Ausführungsbestimmungen zu.
3.4 Nach Art. 2 Abs. 1 lit. b
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
DSG gilt das Datenschutzgesetz des Bundes für das Bearbeiten von Daten natürlicher und juristischer Personen durch Bundesorgane. Dazu zählt auch die FINMA (vgl. BGE 141 I 201 E. 4.5.1 S. 207 mit Hinweis). Gemäss der gesetzlichen Definition sind Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG). Für die Kategorie der so genannten besonders schützenswerten Personendaten und für Persönlichkeitsprofile gelten spezielle Regeln. Bei den
BGE 143 I 253 S. 258

besonders schützenswerten Personendaten handelt es sich um Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe sowie administrative oder strafrechtliche Verfolgungen und Sanktionen (Art. 3 lit. c
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG). Ein Persönlichkeitsprofil ist eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt (Art. 3 lit. d
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG). Jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind, stellt eine Datensammlung dar (Art. 3 lit. g
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG). Unter Bearbeiten versteht das Gesetz jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 lit. e
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG).
3.5 Gemäss Art. 17 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 17 Dérogations - 1 En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
1    En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
a  la personne concernée a expressément donné son consentement à la communication;
b  la communication est en relation directe avec la conclusion ou l'exécution d'un contrat:
b1  entre le responsable du traitement et la personne concernée, ou
b2  entre le responsable du traitement et son cocontractant, dans l'intérêt de la personne concernée;
c  la communication est nécessaire:
c1  à la sauvegarde d'un intérêt public prépondérant, ou
c2  à la constatation, à l'exercice ou à la défense d'un droit devant un tribunal ou une autre autorité étrangère compétente;
d  la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
e  la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
f  les données personnelles proviennent d'un registre prévu par la loi, accessible au public ou à toute personne justifiant d'un intérêt légitime, pour autant que les conditions légales pour la consultation dans le cas d'espèce soient remplies.
2    Le responsable du traitement ou le sous-traitant informe, sur demande, le PFPDT des communications de données personnelles effectuées en vertu de l'al. 1, let. b, ch. 2, c et d.
DSG dürfen Organe des Bundes Personendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht. Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen sie nach Art. 17 Abs. 2
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 17 Dérogations - 1 En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
1    En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
a  la personne concernée a expressément donné son consentement à la communication;
b  la communication est en relation directe avec la conclusion ou l'exécution d'un contrat:
b1  entre le responsable du traitement et la personne concernée, ou
b2  entre le responsable du traitement et son cocontractant, dans l'intérêt de la personne concernée;
c  la communication est nécessaire:
c1  à la sauvegarde d'un intérêt public prépondérant, ou
c2  à la constatation, à l'exercice ou à la défense d'un droit devant un tribunal ou une autre autorité étrangère compétente;
d  la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
e  la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
f  les données personnelles proviennent d'un registre prévu par la loi, accessible au public ou à toute personne justifiant d'un intérêt légitime, pour autant que les conditions légales pour la consultation dans le cas d'espèce soient remplies.
2    Le responsable du traitement ou le sous-traitant informe, sur demande, le PFPDT des communications de données personnelles effectuées en vertu de l'al. 1, let. b, ch. 2, c et d.
DSG nur bearbeiten, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht, oder ausnahmsweise, wenn es für eine in einem Gesetz im formellen Sinn klar umschriebene Aufgabe unentbehrlich ist (lit. a), wenn der Bundesrat es im Einzelfall bewilligt, weil die Rechte der betroffenen Person nicht gefährdet sind (lit. b), oder wenn die betroffene Person im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (lit. c; vgl. BGE 122 I 360 E. 5b S. 363 ff., insb. E. 5b/dd S. 365).
3.6 Nach Art. 23
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
FINMAG bearbeitet die FINMA im Rahmen der Aufsicht gemäss dem Finanzmarktaufsichtsgesetz und den übrigen Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten und Persönlichkeitsprofilen. Sie regelt die Einzelheiten (Abs. 1). Sie führt ein Verzeichnis der Beaufsichtigten, das in elektronischer Form öffentlich zugänglich ist (Abs. 2). Ergeben sich Anhaltspunkte für Verletzungen aufsichtsrechtlicher Bestimmungen und eröffnet die FINMA ein Verfahren, so zeigt sie dies gemäss Art. 30
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 30 Annonce de l'ouverture d'une procédure - Si des indices donnent à penser que le droit de la surveillance a été enfreint et que la FINMA ouvre une procédure, elle en avise les parties.
FINMAG den Parteien an.
3.7 Gemäss Art. 1 der vom Verwaltungsrat der FINMA erlassenen Verordnung der Eidgenössischen Finanzmarktaufsicht vom 8. September 2011 über die Datenbearbeitung (Datenverordnung-FINMA;
BGE 143 I 253 S. 259

SR 956.124) nimmt die FINMA Daten von Personen, deren Gewähr für eine einwandfreie Geschäftstätigkeit nach den Finanzmarktgesetzen und dem FINMAG zweifelhaft oder nicht gegeben ist, in eine Datensammlung auf (Abs. 1). Sie führt die Datensammlung zur Sicherstellung, dass nur Personen, die Gewähr für eine einwandfreie Geschäftstätigkeit bieten, mit der Verwaltung oder Geschäftsführung von Beaufsichtigten betraut werden (Abs. 2 lit. a) oder massgebend an den Beaufsichtigten beteiligt sind (Abs. 2 lit. b). Dabei handelt es sich um die so genannte Watchlist. Die Datenverordnung-FINMA enthält dazu weitere Bestimmungen.

4.

4.1 Zweck der Watchlist ist, der FINMA als Hilfsmittel zu dienen, um sicherzustellen, dass nur Personen, die Gewähr für eine einwandfreie Geschäftstätigkeit bieten, mit der Verwaltung oder Geschäftsführung von Unternehmungen bzw. von Personen, die der Beaufsichtigung durch die FINMA unterstehen, betraut werden oder sich an Beaufsichtigten beteiligen (vgl. Art. 1
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 1 Objet - La présente ordonnance règle les modalités du traitement de données personnelles par la FINMA dans le cadre de la surveillance conformément à la LFINMA et aux lois sur les marchés financiers citées à l'art. 1, al. 1, LFINMA.
Datenverordnung-FINMA). Die Datensammlung bildet also im Sinne einer Vorstufe die Grundlage für ein eventuelles Berufsverbot oder jedenfalls für Beschränkungen der Erwerbstätigkeit im Bereich des Finanzmarktes (vgl. dazu insbesondere Art. 33
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 33 Interdiction d'exercer - 1 Si la FINMA constate une violation grave du droit de la surveillance, elle peut interdire à l'auteur d'exercer une fonction dirigeante dans l'établissement d'un assujetti.
1    Si la FINMA constate une violation grave du droit de la surveillance, elle peut interdire à l'auteur d'exercer une fonction dirigeante dans l'établissement d'un assujetti.
2    L'interdiction peut être prononcée pour une durée de cinq ans au plus.
FINMAG sowie beispielsweise Art. 35a
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 33 Interdiction d'exercer - 1 Si la FINMA constate une violation grave du droit de la surveillance, elle peut interdire à l'auteur d'exercer une fonction dirigeante dans l'établissement d'un assujetti.
1    Si la FINMA constate une violation grave du droit de la surveillance, elle peut interdire à l'auteur d'exercer une fonction dirigeante dans l'établissement d'un assujetti.
2    L'interdiction peut être prononcée pour une durée de cinq ans au plus.
des Bundesgesetzes vom 24. März 1994 über die Börsen und den Effektenhandel [Börsengesetz, BEHG; SR 954.1]; vgl. auch BGE 142 II 243).
4.2 Der Beschwerdeführer macht geltend, er müsse mit einer Veröffentlichung der Daten rechnen, was für ihn schwerwiegende Nachteile mit sich bringen würde. Nach Art. 8
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 8 Conservation et destruction des données personnelles - Les données personnelles sont conservées auprès de la FINMA aussi longtemps qu'elles sont pertinentes et nécessaires à la surveillance. Ensuite, les données sont proposées aux Archives fédérales pour archivage et détruites à la FINMA.
Datenverordnung-FINMA kann die FINMA Daten jedoch nur so weit bekanntgeben, als dafür eine gesetzliche Grundlage besteht oder die betroffene Person schriftlich einwilligt. Ohne einen solchen Sondertatbestand ist eine Veröffentlichung nicht zulässig. Der Beschwerdeführer befürchtet zwar, die FINMA behalte sich eine Publikation direkt gestützt auf Art. 23 Abs. 1
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
FINMAG vor, indem sie die ihr dort erteilte Befugnis zur Datenbearbeitung so auslege, dass ihr auch die Zuständigkeit zur Veröffentlichung zustehe. Obwohl Art. 3 lit. e
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG das Bekanntgeben von Daten zum Bearbeiten derselben zählt, gibt es keinen Hinweis dafür, dass die FINMA vorsieht, die Watchlist zu publizieren, zumal auch dazu davon auszugehen ist, dass es dafür einer konkreten, klaren formellgesetzlichen Grundlage bedürfte. Der
BGE 143 I 253 S. 260

Beschwerdeführer beruft sich sodann auf Art. 3
SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo)
OPDo Art. 3 Mesures techniques et organisationnelles - 1 Pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:
1    Pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:
a  les personnes autorisées n'aient accès qu'aux données personnelles dont elles ont besoin pour accomplir leurs tâches (contrôle de l'accès aux données);
b  seules les personnes autorisées puissent accéder aux locaux et aux installations utilisés pour le traitement de données (contrôle de l'accès aux locaux et aux installations);
c  les personnes non autorisées ne puissent pas utiliser les systèmes de traitement automatisé de données personnelles à l'aide d'installations de transmission (contrôle d'utilisation).
2    Pour assurer la disponibilité et l'intégrité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:
a  les personnes non autorisées ne puissent pas lire, copier, modifier, déplacer, effacer ou détruire des supports de données (contrôle des supports de données);
b  les personnes non autorisées ne puissent pas enregistrer, lire, modifier, effacer ou détruire des données personnelles dans la mémoire (contrôle de la mémoire);
c  les personnes non autorisées ne puissent pas lire, copier, modifier, effacer ou détruire des données personnelles lors de leur communication ou lors du transport de supports de données (contrôle du transport);
d  la disponibilité des données personnelles et l'accès à celles-ci puissent être rapidement restaurés en cas d'incident physique ou technique (restauration);
e  toutes les fonctions du système de traitement automatisé de données personnelles soient disponibles (disponibilité), que les dysfonctionnements soient signalés (fiabilité) et que les données personnelles stockées ne puissent pas être endommagées en cas de dysfonctionnements du système (intégrité des données);
f  les systèmes d'exploitation et les logiciels d'application soient toujours maintenus à jour en matière de sécurité et que les failles critiques connues soient corrigées (sécurité du système).
3    Pour assurer la traçabilité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:
a  il soit possible de vérifier quelles données personnelles sont saisies ou modifiées dans le système de traitement automatisé de données, par quelle personne et à quel moment (contrôle de la saisie);
b  il soit possible de vérifier à qui sont communiquées les données personnelles à l'aide d'installations de transmission (contrôle de la communication);
c  les violations de la sécurité des données puissent être rapidement détectées (détection) et que des mesures puissent être prises pour atténuer ou éliminer les conséquences (réparation).
der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG; SR 235.11), wonach Datensammlungen beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB anzumelden sind, bevor die Sammlung eröffnet wird. Als Bundesorgan ist die FINMA gemäss Art. 11a Abs. 2
SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo)
OPDo Art. 3 Mesures techniques et organisationnelles - 1 Pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:
1    Pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:
a  les personnes autorisées n'aient accès qu'aux données personnelles dont elles ont besoin pour accomplir leurs tâches (contrôle de l'accès aux données);
b  seules les personnes autorisées puissent accéder aux locaux et aux installations utilisés pour le traitement de données (contrôle de l'accès aux locaux et aux installations);
c  les personnes non autorisées ne puissent pas utiliser les systèmes de traitement automatisé de données personnelles à l'aide d'installations de transmission (contrôle d'utilisation).
2    Pour assurer la disponibilité et l'intégrité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:
a  les personnes non autorisées ne puissent pas lire, copier, modifier, déplacer, effacer ou détruire des supports de données (contrôle des supports de données);
b  les personnes non autorisées ne puissent pas enregistrer, lire, modifier, effacer ou détruire des données personnelles dans la mémoire (contrôle de la mémoire);
c  les personnes non autorisées ne puissent pas lire, copier, modifier, effacer ou détruire des données personnelles lors de leur communication ou lors du transport de supports de données (contrôle du transport);
d  la disponibilité des données personnelles et l'accès à celles-ci puissent être rapidement restaurés en cas d'incident physique ou technique (restauration);
e  toutes les fonctions du système de traitement automatisé de données personnelles soient disponibles (disponibilité), que les dysfonctionnements soient signalés (fiabilité) et que les données personnelles stockées ne puissent pas être endommagées en cas de dysfonctionnements du système (intégrité des données);
f  les systèmes d'exploitation et les logiciels d'application soient toujours maintenus à jour en matière de sécurité et que les failles critiques connues soient corrigées (sécurité du système).
3    Pour assurer la traçabilité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:
a  il soit possible de vérifier quelles données personnelles sont saisies ou modifiées dans le système de traitement automatisé de données, par quelle personne et à quel moment (contrôle de la saisie);
b  il soit possible de vérifier à qui sont communiquées les données personnelles à l'aide d'installations de transmission (contrôle de la communication);
c  les violations de la sécurité des données puissent être rapidement détectées (détection) et que des mesures puissent être prises pour atténuer ou éliminer les conséquences (réparation).
DSG verpflichtet, sämtliche Datensammlungen beim EDÖB zur Registrierung anzumelden. Dass die FINMA die Watchlist korrekterweise beim EDÖB angemeldet hat, bedeutet mithin nur, dass diese Datensammlung mit Wissen des EDÖB geführt wird, und nicht, dass die FINMA sie auch zu veröffentlichen gedenkt. Woraus solches abzuleiten wäre, ist nicht ersichtlich und wird vom Beschwerdeführer nicht nachvollziehbar dargetan. Es ist daher nicht zu beanstanden, wenn die Vorinstanzen davon ausgehen, die Watchlist diene einzig dem internen Wissensmanagement (gleicher Meinung ZULAUF UND ANDERE, Finanzmarktenforcement, 2. Aufl. 2014, S. 81).
4.3 Bereits die Aufnahme in die fragliche Datensammlung bedeutet allerdings, dass der Beschwerdeführer mit einem unter Umständen aufwendigen und langwierigen Verwaltungsverfahren über die Zulassung zur Berufsausübung bzw. über ein entsprechendes Berufsverbot rechnen muss, wenn er eine neue Stelle im Bereich der Finanzmarktaufsicht antreten will, oder sich einer Art Bewilligungs- oder Ausschlussverfahren für eine Beteiligung zu stellen hat, wenn er eine solche Beteiligung beabsichtigt. Er muss darüber hinaus davon ausgehen, dass die FINMA auf die bereits gesammelten Informationen abstellen würde und bei der Beurteilung seiner Eignung für die fraglichen Tätigkeiten nicht mehr völlig unbelastet wäre. Letztlich führt die Watchlist dazu, dass sich die darin Aufgenommenen von vornherein in einer ungünstigeren Ausgangslage zur Weiterführung oder Wiederaufnahme einer Erwerbstätigkeit befinden, ohne dass dazu je ein korrektes konkretes Verfahren durchgeführt worden wäre, in dem sie sich gegen die gesammelten Verdachtsmomente hätten wehren können. Es handelt sich bei den in die Datensammlung aufgenommenen Informationen mithin um sensible Daten zur Person im Sinne von Personendaten nach Art. 3 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG. Bereits dieser Zusammenhang belegt, dass die Aufnahme in die Watchlist einen Eingriff in das Recht auf informationelle Selbstbestimmung der Betroffenen darstellt.
4.4 Von Bedeutung erweist sich sodann die Qualität der in der Watchlist enthaltenen Informationen. Nach Art. 3
BGE 143 I 253 S. 261

Datenverordnung-FINMA enthält die Datensammlung verschiedene Angaben zu einer Person und deren Qualifikationen sowie zu Verfahren zu dieser bzw. über diese Person (vgl. dazu hinten E. 7.2.1). Es braucht nicht entschieden zu werden, ob die Watchlist besonders schützenswerte Personendaten führt, solange sie wie hier keine Informationen über administrative oder strafrechtliche Verfolgungen und Sanktionen gegenüber der registrierten Person wiedergibt (vgl. Art. 3 lit. c
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG). Selbst wenn sich nicht alle in Art. 3
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données.
Datenverordnung-FINMA aufgezählten Daten im Eintrag befinden, lässt sich aus derartigen Informationen ein Gesamt- oder Teilbild der Persönlichkeit der registrierten natürlichen Person ableiten, wozu hier namentlich solche im Zusammenhang mit der Erwerbstätigkeit bedeutsam erscheinen. Es ist denn auch gerade der Zweck der Watchlist, Informationen zur Eignung einer Person zur Geschäftsführung im Finanzmarktbereich zu sammeln. Insgesamt stellen solche Angaben ein eigentliches Persönlichkeitsprofil dar (vgl. Art. 3 lit. d
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG; vgl. GABOR P. BLECHTA, in: Basler Kommentar, Datenschutzgesetz, Öffentlichkeitsgesetz, 3. Aufl. 2014, N. 62 ff. zu Art. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG).

4.5 Nach Art. 9
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 9 But - La FINMA tient une banque de données pour assurer l'évaluation des garanties d'une activité irréprochable au sens des lois sur les marchés financiers. À cet effet, elle saisit dans la banque de données les données nécessaires pour le cas où une évaluation future des garanties d'une activité irréprochable serait réalisée.
Datenverordnung-FINMA werden die Daten überdies während zehn Jahren nach dem letzten Eintrag aufbewahrt. Bereits die Dauer von zehn Jahren erscheint lang. Diese Frist beginnt zudem mit jedem neuen Eintrag neu zu laufen und kann sich somit unter Umständen auf die ganze Dauer der (verbleibenden) Erwerbstätigkeit einer Person erstrecken. Die Watchlist unterscheidet sich damit wesentlich von Vorabklärungen im Vorfeld allfälliger formeller Untersuchungen, bei denen ebenfalls Informationen gesammelt werden. Vorabklärungen führen jedoch entweder zur Eröffnung eines Untersuchungsverfahrens oder werden bei Ergebnislosigkeit ohne Verfahren und ohne Folgerungen eingestellt (dazu ANDRÉ E. LEBRECHT, in: Basler Kommentar, Börsengesetz Finanzmarktaufsichtsgesetz, 2. Aufl. 2011, N. 5 ff. zu Art. 53
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 53 Procédure administrative - La procédure est régie par la loi fédérale du 20 décembre 1968 sur la procédure administrative117.
FINMAG; ZULAUF UND ANDERE, a.a.O., S. 66 ff.). Sie sind zielgerichtet und enden mit dem Entscheid über die Eröffnung eines Verfahrens oder mit dem Verzicht darauf und dienen nicht wie die Watchlist der Vorratshaltung von Daten auf Dauer unabhängig davon, ob es je zu einem Verfahren kommt oder nicht.

4.6 Unterstrichen wird dies im vorliegenden Fall durch die erfolgten Einträge. Nur schon der Hinweis darauf, der Beschwerdeführer habe von den seiner ehemaligen Arbeitgeberin vorgeworfenen
BGE 143 I 253 S. 262

Zinsmanipulationen Kenntnis gehabt und diese habe sich in der Folge, ob einvernehmlich oder nicht, von ihm getrennt, legt die Annahme nahe, dass er damit in irgendeiner Weise zu tun gehabt hatte, ohne dass dies explizit ausgesprochen wird und nachgewiesen wäre. In ihrem Schreiben vom 30. Mai 2013 hatte die FINMA den Beschwerdeführer im Übrigen ausdrücklich als für die gegenüber seiner damaligen Arbeitgeberin erhobenen Beanstandungen mitverantwortlich bezeichnet, was bereits eine zumindest vorläufige Einschätzung seiner Eignung für eine Tätigkeit im Finanzmarktbereich zum Ausdruck bringt. Hinzu kommt eine ganze Reihe zusätzlicher Unterlagen und E-Mails, die meist aus dem Verfahren gegen die frühere Arbeitgeberin des Beschwerdeführers stammen und offenbar auch als mögliche Beweismittel dafür dienen sollen, dass er an den Verfehlungen in irgendeiner Weise beteiligt gewesen sei. Mit dem Eintrag in die Watchlist wurde mithin die Grundlage für eine mögliche zukünftige Beurteilung gelegt, der Beschwerdeführer biete keine Gewähr für eine einwandfreie Geschäftstätigkeit im Finanzmarktbereich, womit wesentliche Aspekte seiner Persönlichkeit in Frage stehen. Ohne dass ein Fehlverhalten des Beschwerdeführers selbst bisher in einem eigentlichen Administrativverfahren mit Gelegenheit zur Wahrnehmung von Parteirechten festgestellt worden ist, erweist sich seine künftige berufliche Tätigkeit als bereits erheblich kompromittiert. Es muss davon ausgegangen werden, dass er grossen Schwierigkeiten entgegensehen müsste, möchte er künftig wieder eine gleichartige Erwerbstätigkeit wie bei seiner früheren Arbeitgeberin ausüben. Nur schon die Möglichkeit eines Verfahrens über die Feststellung der Gewähr für eine einwandfreie Geschäftstätigkeit bzw. über ein eventuelles Berufsverbot bringt angesichts des damit verbundenen Aufwands und Zeitbedarfs die erhebliche Wahrscheinlichkeit mit sich, dass ein potenzieller Arbeitgeber die Stelle anderweitig besetzen würde.
4.7 Schliesslich kennt die Verordnung zwar ein Auskunftsrecht der betroffenen Personen (Art. 6
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 6 Collecte des données personnelles - 1 La FINMA peut collecter des données personnelles auprès:
1    La FINMA peut collecter des données personnelles auprès:
a  des assujettis;
b  des employeurs;
c  de la personne concernée;
d  des requérants;
e  des autorités nationales et étrangères;
f  des parties à la procédure;
g  des sociétés d'audit et des personnes mandatées par la FINMA;
h  d'autres personnes soumises à des obligations de renseigner ou d'annoncer.
2    Elle peut en outre collecter des données personnelles à partir d'autres sources non accessibles au public et de sources accessibles au public.
3    Pour autant que cela soit indispensable à la finalité du traitement des données, la FINMA peut collecter des données personnelles sans révéler son identité.
Datenverordnung-FINMA). Dass diese von Amtes wegen auch dann, wenn sie sich nicht über einen allfälligen Eintrag erkundigen, darüber zu informieren wären, wird aber nicht vorgeschrieben. Auch nach Art. 30
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 30 Annonce de l'ouverture d'une procédure - Si des indices donnent à penser que le droit de la surveillance a été enfreint et que la FINMA ouvre une procédure, elle en avise les parties.
FINMAG ist die FINMA nur und erst dann zu einer entsprechenden Anzeige verpflichtet, wenn sie ein Verfahren einleitet. Es ist offensichtlich, dass die Kenntnis über den Eintrag auch Voraussetzung für einen allfälligen Rechtsschutz bildet. Ein solcher wird in der Verordnung allerdings nicht
BGE 143 I 253 S. 263

ausdrücklich vorgesehen. Zwar schreibt die Verordnung die Berichtigung oder Vernichtung unrichtiger oder unvollständiger Daten oder von solchen vor, die nicht dem Zweck der Datensammlung dienen (Art. 7
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 7 Forme de la communication de données personnelles - La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique.
Datenverordnung-FINMA); auf welchem Weg dies von einer betroffenen Person zu erreichen wäre, wird aber nicht geregelt. Bei der Anlegung einer Datensammlung handelt es sich um einen Realakt, zu dem schon grundsätzlich in Anwendung von Art. 25a
SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA)
PA Art. 25a - 1 Toute personne qui a un intérêt digne de protection peut exiger que l'autorité compétente pour des actes fondés sur le droit public fédéral et touchant à des droits ou des obligations:
1    Toute personne qui a un intérêt digne de protection peut exiger que l'autorité compétente pour des actes fondés sur le droit public fédéral et touchant à des droits ou des obligations:
VwVG (SR 172.021) eine Verfügung der zuständigen Behörde verlangt werden kann, die namentlich auf Unterlassung bzw. Einstellung und Beseitigung widerrechtlicher Handlungen sowie subsidiär auf Feststellung der Widerrechtlichkeit gerichtet sein kann (vgl. Art. 25a Abs. 1 lit. a
SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA)
PA Art. 25a - 1 Toute personne qui a un intérêt digne de protection peut exiger que l'autorité compétente pour des actes fondés sur le droit public fédéral et touchant à des droits ou des obligations:
1    Toute personne qui a un intérêt digne de protection peut exiger que l'autorité compétente pour des actes fondés sur le droit public fédéral et touchant à des droits ou des obligations:
, b und c VwVG). Prioritär in Frage kommen überdies die analogen spezifischen Ansprüche nach Art. 25
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 25 Droit d'accès - 1 Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
1    Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
2    La personne concernée reçoit les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. Dans tous les cas, elle reçoit les informations suivantes:
a  l'identité et les coordonnées du responsable du traitement;
b  les données personnelles traitées en tant que telles;
c  la finalité du traitement;
d  la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour fixer cette dernière;
e  les informations disponibles sur l'origine des données personnelles, dans la mesure où ces données n'ont pas été collectées auprès de la personne concernée;
f  le cas échéant, l'existence d'une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
g  le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l'art. 19, al. 4.
3    Des données personnelles sur la santé de la personne concernée peuvent lui être communiquées, moyennant son consentement, par l'intermédiaire d'un professionnel de la santé qu'elle aura désigné.
4    Le responsable du traitement qui fait traiter des données personnelles par un sous-traitant demeure tenu de fournir les renseignements demandés.
5    Nul ne peut renoncer par avance au droit d'accès.
6    Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil fédéral peut prévoir des exceptions, notamment si la communication de l'information exige des efforts disproportionnés.
7    En règle générale, les renseignements sont fournis dans un délai de 30 jours.
DSG (vgl. insb. Art. 25 Abs. 1 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 25 Droit d'accès - 1 Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
1    Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
2    La personne concernée reçoit les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. Dans tous les cas, elle reçoit les informations suivantes:
a  l'identité et les coordonnées du responsable du traitement;
b  les données personnelles traitées en tant que telles;
c  la finalité du traitement;
d  la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour fixer cette dernière;
e  les informations disponibles sur l'origine des données personnelles, dans la mesure où ces données n'ont pas été collectées auprès de la personne concernée;
f  le cas échéant, l'existence d'une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
g  le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l'art. 19, al. 4.
3    Des données personnelles sur la santé de la personne concernée peuvent lui être communiquées, moyennant son consentement, par l'intermédiaire d'un professionnel de la santé qu'elle aura désigné.
4    Le responsable du traitement qui fait traiter des données personnelles par un sous-traitant demeure tenu de fournir les renseignements demandés.
5    Nul ne peut renoncer par avance au droit d'accès.
6    Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil fédéral peut prévoir des exceptions, notamment si la communication de l'information exige des efforts disproportionnés.
7    En règle générale, les renseignements sont fournis dans un délai de 30 jours.
, b und c DSG). Nachdem der Beschwerdeführer Kenntnis von der über ihn bestehenden Datensammlung erhalten hatte, konnte er die entsprechenden Anträge auch einbringen und das vorliegende Verfahren auslösen. Der zu beurteilende Fall belegt aber, dass es für den Betroffenen aufwendig und mit Mühen verbunden sein kann, sich zu wehren.
4.8 Alle diese Zusammenhänge unterstreichen die Schwere des Eingriffs. Als schwerer Eingriff in das Recht auf informationelle Selbstbestimmung nach Art. 13 Abs. 2
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
BV bedarf der Eintrag des Beschwerdeführers in der Watchlist gemäss Art. 36 Abs. 1
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 36 Restriction des droits fondamentaux - 1 Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
1    Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
2    Toute restriction d'un droit fondamental doit être justifiée par un intérêt public ou par la protection d'un droit fondamental d'autrui.
3    Toute restriction d'un droit fondamental doit être proportionnée au but visé.
4    L'essence des droits fondamentaux est inviolable.
BV einer formellgesetzlichen Grundlage. Ergänzend ergibt sich die Voraussetzung eines formellen Gesetzes aus dem Datenschutzgesetz. Da bereits die Aufnahme von Informationen in eine Datensammlung, also der Eintrag und das Aufbewahren darin, als Bearbeiten dem Datenschutzgesetz untersteht (vgl. Art. 3 lit. e
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG) und es sich um das Bearbeiten eines Persönlichkeitsprofils handelt, ist dafür gemäss und im Rahmen der Regelung von Art. 17 Abs. 2
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 17 Dérogations - 1 En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
1    En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
a  la personne concernée a expressément donné son consentement à la communication;
b  la communication est en relation directe avec la conclusion ou l'exécution d'un contrat:
b1  entre le responsable du traitement et la personne concernée, ou
b2  entre le responsable du traitement et son cocontractant, dans l'intérêt de la personne concernée;
c  la communication est nécessaire:
c1  à la sauvegarde d'un intérêt public prépondérant, ou
c2  à la constatation, à l'exercice ou à la défense d'un droit devant un tribunal ou une autre autorité étrangère compétente;
d  la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
e  la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
f  les données personnelles proviennent d'un registre prévu par la loi, accessible au public ou à toute personne justifiant d'un intérêt légitime, pour autant que les conditions légales pour la consultation dans le cas d'espèce soient remplies.
2    Le responsable du traitement ou le sous-traitant informe, sur demande, le PFPDT des communications de données personnelles effectuées en vertu de l'al. 1, let. b, ch. 2, c et d.
DSG eine formellgesetzliche Grundlage erforderlich.
4.9 Demnach setzt die Aufnahme des Beschwerdeführers in die Watchlist gestützt auf Art. 36 Abs. 1
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 36 Restriction des droits fondamentaux - 1 Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
1    Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
2    Toute restriction d'un droit fondamental doit être justifiée par un intérêt public ou par la protection d'un droit fondamental d'autrui.
3    Toute restriction d'un droit fondamental doit être proportionnée au but visé.
4    L'essence des droits fondamentaux est inviolable.
BV, auf das allgemeine Legalitätsprinzip von Art. 5 Abs. 1
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 5 Principes de l'activité de l'État régi par le droit - 1 Le droit est la base et la limite de l'activité de l'État.
1    Le droit est la base et la limite de l'activité de l'État.
2    L'activité de l'État doit répondre à un intérêt public et être proportionnée au but visé.
3    Les organes de l'État et les particuliers doivent agir de manière conforme aux règles de la bonne foi.
4    La Confédération et les cantons respectent le droit international.
BV sowie auf Art. 17 Abs. 2
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 17 Dérogations - 1 En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
1    En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
a  la personne concernée a expressément donné son consentement à la communication;
b  la communication est en relation directe avec la conclusion ou l'exécution d'un contrat:
b1  entre le responsable du traitement et la personne concernée, ou
b2  entre le responsable du traitement et son cocontractant, dans l'intérêt de la personne concernée;
c  la communication est nécessaire:
c1  à la sauvegarde d'un intérêt public prépondérant, ou
c2  à la constatation, à l'exercice ou à la défense d'un droit devant un tribunal ou une autre autorité étrangère compétente;
d  la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
e  la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
f  les données personnelles proviennent d'un registre prévu par la loi, accessible au public ou à toute personne justifiant d'un intérêt légitime, pour autant que les conditions légales pour la consultation dans le cas d'espèce soient remplies.
2    Le responsable du traitement ou le sous-traitant informe, sur demande, le PFPDT des communications de données personnelles effectuées en vertu de l'al. 1, let. b, ch. 2, c et d.
DSG eine Grundlage in einem formellen Gesetz voraus, weil sie in schwerwiegender Weise in das Grundrecht der informationellen Selbstbestimmung nach Art. 13 Abs. 2
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
BV eingreift und weil das Datenschutzgesetz für Persönlichkeitsprofile, wie hier eines vorliegt, ausdrücklich eine formellgesetzliche Grundlage vorschreibt.
BGE 143 I 253 S. 264

5. Der Beschwerdeführer rügt zusätzlich, der angefochtene Entscheid verstosse gegen die Wirtschaftsfreiheit nach Art. 27
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 27 Liberté économique - 1 La liberté économique est garantie.
1    La liberté économique est garantie.
2    Elle comprend notamment le libre choix de la profession, le libre accès à une activité économique lucrative privée et son libre exercice.
BV. Diese gewährleistet insbesondere den freien Zugang zu einer privatwirtschaftlichen Erwerbstätigkeit und deren freie Ausübung. Schwerwiegende Eingriffe in die Wirtschaftsfreiheit bedürfen ebenfalls einer formellgesetzlichen Grundlage (Art. 36 Abs. 1
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 36 Restriction des droits fondamentaux - 1 Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
1    Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
2    Toute restriction d'un droit fondamental doit être justifiée par un intérêt public ou par la protection d'un droit fondamental d'autrui.
3    Toute restriction d'un droit fondamental doit être proportionnée au but visé.
4    L'essence des droits fondamentaux est inviolable.
BV). Die Aufnahme des Beschwerdeführers in die Watchlist bewirkt zweifellos einen Eingriff in seine Wirtschaftsfreiheit gemäss Art. 27
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 27 Liberté économique - 1 La liberté économique est garantie.
1    La liberté économique est garantie.
2    Elle comprend notamment le libre choix de la profession, le libre accès à une activité économique lucrative privée et son libre exercice.
BV, da dadurch seine künftige berufliche Tätigkeit berührt ist. Fraglich erscheint, ob es sich auch insofern um einen schweren Eingriff handelt, da die eigentliche Erwerbstätigkeit nicht unmittelbar im jetzigen Zeitpunkt, sondern nur eventuell in Zukunft eingeschränkt wird. Zwar entschied das Bundesgericht in BGE 141 I 201 E. 4.1 S. 203 f., dass der Umgang mit Personendaten durch die Finanzmarktaufsicht einen schweren Eingriff in die Wirtschaftsfreiheit darstellen kann. Der damalige Fall ist mit dem vorliegenden aber nicht völlig vergleichbar. Wie es sich damit verhält, kann jedoch offenbleiben.
6.

6.1 Art. 36 Abs. 1
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 36 Restriction des droits fondamentaux - 1 Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
1    Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
2    Toute restriction d'un droit fondamental doit être justifiée par un intérêt public ou par la protection d'un droit fondamental d'autrui.
3    Toute restriction d'un droit fondamental doit être proportionnée au but visé.
4    L'essence des droits fondamentaux est inviolable.
BV steht in einem engen Zusammenhang mit Art. 164
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 164 Législation - 1 Toutes les dispositions importantes qui fixent des règles de droit doivent être édictées sous la forme d'une loi fédérale. Appartiennent en particulier à cette catégorie les dispositions fondamentales relatives:
1    Toutes les dispositions importantes qui fixent des règles de droit doivent être édictées sous la forme d'une loi fédérale. Appartiennent en particulier à cette catégorie les dispositions fondamentales relatives:
a  à l'exercice des droits politiques;
b  à la restriction des droits constitutionnels;
c  aux droits et aux obligations des personnes;
d  à la qualité de contribuable, à l'objet des impôts et au calcul du montant des impôts;
e  aux tâches et aux prestations de la Confédération;
f  aux obligations des cantons lors de la mise en oeuvre et de l'exécution du droit fédéral;
g  à l'organisation et à la procédure des autorités fédérales.
2    Une loi fédérale peut prévoir une délégation de la compétence d'édicter des règles de droit, à moins que la Constitution ne l'exclue.
BV. Daraus ergibt sich, dass die grundlegenden Vorschriften in den für die Rechtsunterworfenen zentralen Belangen in einem formellen Gesetz geregelt werden und kein wichtiger Regelungsbereich den direkt-demokratischen Einwirkungsmöglichkeiten entzogen wird. Liegt ein schwerer Grundrechtseingriff vor, ist eine klare und genaue Grundlage im Gesetz selbst erforderlich. Dabei muss sich aus der Auslegung des Gesetzes ergeben, dass der Verordnungsgeber zur entsprechenden Regelung ermächtigt werden sollte (vgl. BGE 131 II 13 E. 6.3 S. 27 mit Hinweisen). Umgekehrt müssen sich die Verordnungsbestimmungen an den gesetzlichen Rahmen halten. In Bezug auf die notwendige Normdichte lässt sich der Grad der erforderlichen Bestimmtheit nicht abstrakt festlegen. Er hängt unter anderem von der Vielfalt der zu ordnenden Sachverhalte, von der Komplexität und der Vorhersehbarkeit der im Einzelfall erforderlichen Entscheidungen, von den Normadressaten, von der Schwere des Eingriffs in Verfassungsrechte und von der erst bei der Konkretisierung im Einzelfall möglichen und sachgerechten Entscheidung ab (BGE 141 I 201 E. 4.1 S. 203 f.; BGE 139 II 243 E. 10 S. 252; BGE 136 I 87 E. 3.1 S. 90 f. mit Hinweisen).
6.2 Im vorliegenden Zusammenhang fällt dazu erschwerend in Betracht, dass die demokratische Herleitung des Verordnungsrechts
BGE 143 I 253 S. 265

zusätzlich abgeschwächt ist. Üblicherweise überträgt der Gesetzgeber die Verordnungskompetenz an die Exekutive, d.h. auf Bundesebene dem Bundesrat (vgl. Art. 182 Abs. 1
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 182 Législation et mise en oeuvre - 1 Le Conseil fédéral édicte des règles de droit sous la forme d'une ordonnance, dans la mesure où la Constitution ou la loi l'y autorisent.
1    Le Conseil fédéral édicte des règles de droit sous la forme d'une ordonnance, dans la mesure où la Constitution ou la loi l'y autorisent.
2    Il veille à la mise en oeuvre de la législation, des arrêtés de l'Assemblée fédérale et des jugements rendus par les autorités judiciaires fédérales.
BV). Dieser wird zwar nicht unmittelbar vom Volk, aber doch immerhin von der Vereinigten Bundesversammlung gewählt (Art. 175 Abs. 2
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 175 Composition et élection - 1 Le Conseil fédéral est composé de sept membres.
1    Le Conseil fédéral est composé de sept membres.
2    Les membres du Conseil fédéral sont élus par l'Assemblée fédérale après chaque renouvellement intégral du Conseil national.
3    Ils sont nommés pour quatre ans et choisis parmi les citoyens et citoyennes suisses éligibles au Conseil national.131
4    Les diverses régions et les communautés linguistiques doivent être équitablement représentées au Conseil fédéral.132
in Verbindung mit Art. 157 Abs. 1 lit. a
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 157 Délibérations communes - 1 Le Conseil national et le Conseil des États délibèrent en conseils réunis, sous la direction du président ou de la présidente du Conseil national, pour:
1    Le Conseil national et le Conseil des États délibèrent en conseils réunis, sous la direction du président ou de la présidente du Conseil national, pour:
a  procéder à des élections;
b  statuer sur les conflits de compétence entre les autorités fédérales suprêmes;
c  statuer sur les recours en grâce.
2    En outre, ils siègent en conseils réunis lors d'occasions spéciales et pour prendre connaissance de déclarations du Conseil fédéral.
BV). Demgegenüber delegiert Art. 23 Abs. 1
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
FINMAG die Verordnungskompetenz für die Regelung der Einzelheiten bei der Datenbearbeitung im Bereich der Finanzmarktaufsicht der FINMA, die insofern durch deren Verwaltungsrat handelt (vgl. Art. 9 Abs. 1
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 9 Conseil d'administration - 1 Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes:
1    Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes:
a  fixer les objectifs stratégiques de la FINMA et les soumettre à l'approbation du Conseil fédéral;
b  statuer sur les affaires de grande portée;
c  édicter les ordonnances relevant de la compétence de la FINMA et arrêter des circulaires;
d  superviser la direction;
e  instituer une révision interne et assurer le contrôle interne;
f  élaborer le rapport d'activités, le soumettre à l'approbation du Conseil fédéral et le publier;
g  nommer le directeur de la FINMA sous réserve de l'approbation du Conseil fédéral;
h  nommer les membres de la direction;
i  édicter le règlement d'organisation et les directives relatives à l'information;
j  approuver le budget.
2    Le conseil d'administration se compose de sept à neuf membres experts en la matière, qui doivent être indépendants des établissements assujettis. Les membres sont nommés pour une période de quatre ans et leur mandat peut être renouvelé deux fois.
3    Le Conseil fédéral nomme les membres du conseil d'administration. Il veille à une représentation appropriée des deux sexes. Le Conseil fédéral désigne le président et le vice-président. Il fixe le montant de leurs indemnités. L'art. 6a de la loi du 24 mars 2000 sur le personnel de la Confédération27 est applicable par analogie.
4    Le président ne peut exercer aucune autre activité économique ni remplir de fonction pour le compte de la Confédération ou d'un canton, sauf si elle est utile à l'accomplissement des tâches de la FINMA.
5    Le Conseil fédéral révoque les membres du conseil d'administration et approuve la résiliation des rapports de travail du directeur par le conseil d'administration si les conditions requises pour l'exercice de leurs fonctions ne sont plus remplies.
FINMAG), der auch die Datenverordnung-FINMA erlassen hat. Wahlorgan für den Verwaltungsrat der FINMA ist der Bundesrat (Art. 9 Abs. 3
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 9 Conseil d'administration - 1 Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes:
1    Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes:
a  fixer les objectifs stratégiques de la FINMA et les soumettre à l'approbation du Conseil fédéral;
b  statuer sur les affaires de grande portée;
c  édicter les ordonnances relevant de la compétence de la FINMA et arrêter des circulaires;
d  superviser la direction;
e  instituer une révision interne et assurer le contrôle interne;
f  élaborer le rapport d'activités, le soumettre à l'approbation du Conseil fédéral et le publier;
g  nommer le directeur de la FINMA sous réserve de l'approbation du Conseil fédéral;
h  nommer les membres de la direction;
i  édicter le règlement d'organisation et les directives relatives à l'information;
j  approuver le budget.
2    Le conseil d'administration se compose de sept à neuf membres experts en la matière, qui doivent être indépendants des établissements assujettis. Les membres sont nommés pour une période de quatre ans et leur mandat peut être renouvelé deux fois.
3    Le Conseil fédéral nomme les membres du conseil d'administration. Il veille à une représentation appropriée des deux sexes. Le Conseil fédéral désigne le président et le vice-président. Il fixe le montant de leurs indemnités. L'art. 6a de la loi du 24 mars 2000 sur le personnel de la Confédération27 est applicable par analogie.
4    Le président ne peut exercer aucune autre activité économique ni remplir de fonction pour le compte de la Confédération ou d'un canton, sauf si elle est utile à l'accomplissement des tâches de la FINMA.
5    Le Conseil fédéral révoque les membres du conseil d'administration et approuve la résiliation des rapports de travail du directeur par le conseil d'administration si les conditions requises pour l'exercice de leurs fonctions ne sont plus remplies.
FINMAG) und nicht die Bundesversammlung. Damit erweist sich die demokratische Legitimation der Datenverordnung-FINMA als schwächer als dies bei einer bundesrätlichen Verordnung zutrifft. Umso bestimmter hat die Verankerung im formellen Gesetz zu sein. Diese demokratische Funktion des Legalitätsprinzips findet nicht zuletzt ihren Niederschlag in Art. 17 Abs. 2
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 17 Dérogations - 1 En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
1    En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
a  la personne concernée a expressément donné son consentement à la communication;
b  la communication est en relation directe avec la conclusion ou l'exécution d'un contrat:
b1  entre le responsable du traitement et la personne concernée, ou
b2  entre le responsable du traitement et son cocontractant, dans l'intérêt de la personne concernée;
c  la communication est nécessaire:
c1  à la sauvegarde d'un intérêt public prépondérant, ou
c2  à la constatation, à l'exercice ou à la défense d'un droit devant un tribunal ou une autre autorité étrangère compétente;
d  la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
e  la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
f  les données personnelles proviennent d'un registre prévu par la loi, accessible au public ou à toute personne justifiant d'un intérêt légitime, pour autant que les conditions légales pour la consultation dans le cas d'espèce soient remplies.
2    Le responsable du traitement ou le sous-traitant informe, sur demande, le PFPDT des communications de données personnelles effectuées en vertu de l'al. 1, let. b, ch. 2, c et d.
DSG (SARAH BALLENEGGER, in: Basler Kommentar, Datenschutzgesetz, Öffentlichkeitsgesetz, 3. Aufl. 2014, N. 21 zu Art. 17
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 17 Dérogations - 1 En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
1    En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
a  la personne concernée a expressément donné son consentement à la communication;
b  la communication est en relation directe avec la conclusion ou l'exécution d'un contrat:
b1  entre le responsable du traitement et la personne concernée, ou
b2  entre le responsable du traitement et son cocontractant, dans l'intérêt de la personne concernée;
c  la communication est nécessaire:
c1  à la sauvegarde d'un intérêt public prépondérant, ou
c2  à la constatation, à l'exercice ou à la défense d'un droit devant un tribunal ou une autre autorité étrangère compétente;
d  la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
e  la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
f  les données personnelles proviennent d'un registre prévu par la loi, accessible au public ou à toute personne justifiant d'un intérêt légitime, pour autant que les conditions légales pour la consultation dans le cas d'espèce soient remplies.
2    Le responsable du traitement ou le sous-traitant informe, sur demande, le PFPDT des communications de données personnelles effectuées en vertu de l'al. 1, let. b, ch. 2, c et d.
DSG).
6.3 Selbst wenn die Delegationsnorm den Inhalt der zulässigen Grundrechtseingriffe nicht detailliert regeln muss, hat sich dieser doch aus dem Gesetz zu ergeben bzw. muss unmittelbar darauf zurückgeführt werden können. Soweit das formelle Gesetz somit keine inhaltlichen Konkretisierungen enthält, beschränkt sich die Delegation auf das im Rahmen der gesetzlichen Regelung zur Erreichung des gesetzlichen Zwecks Unabdingbare, d.h. minimal Notwendige. Im vorliegenden Zusammenhang muss die fragliche Datensammlung im Sinne von Art. 17 Abs. 2 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 17 Dérogations - 1 En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
1    En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
a  la personne concernée a expressément donné son consentement à la communication;
b  la communication est en relation directe avec la conclusion ou l'exécution d'un contrat:
b1  entre le responsable du traitement et la personne concernée, ou
b2  entre le responsable du traitement et son cocontractant, dans l'intérêt de la personne concernée;
c  la communication est nécessaire:
c1  à la sauvegarde d'un intérêt public prépondérant, ou
c2  à la constatation, à l'exercice ou à la défense d'un droit devant un tribunal ou une autre autorité étrangère compétente;
d  la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
e  la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
f  les données personnelles proviennent d'un registre prévu par la loi, accessible au public ou à toute personne justifiant d'un intérêt légitime, pour autant que les conditions légales pour la consultation dans le cas d'espèce soient remplies.
2    Le responsable du traitement ou le sous-traitant informe, sur demande, le PFPDT des communications de données personnelles effectuées en vertu de l'al. 1, let. b, ch. 2, c et d.
DSG für eine im Gesetz im formellen Sinn klar umschriebene Aufgabe unentbehrlich sein (vgl. BGE 122 I 360 E. 5b/dd S. 365), d.h. dass die Aufgabenerfüllung ohne die fragliche Datensammlung unmöglich wäre (vgl. BALLENEGGER, a.a.O., N. 26 f. zu Art. 17
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 17 Dérogations - 1 En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
1    En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
a  la personne concernée a expressément donné son consentement à la communication;
b  la communication est en relation directe avec la conclusion ou l'exécution d'un contrat:
b1  entre le responsable du traitement et la personne concernée, ou
b2  entre le responsable du traitement et son cocontractant, dans l'intérêt de la personne concernée;
c  la communication est nécessaire:
c1  à la sauvegarde d'un intérêt public prépondérant, ou
c2  à la constatation, à l'exercice ou à la défense d'un droit devant un tribunal ou une autre autorité étrangère compétente;
d  la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
e  la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
f  les données personnelles proviennent d'un registre prévu par la loi, accessible au public ou à toute personne justifiant d'un intérêt légitime, pour autant que les conditions légales pour la consultation dans le cas d'espèce soient remplies.
2    Le responsable du traitement ou le sous-traitant informe, sur demande, le PFPDT des communications de données personnelles effectuées en vertu de l'al. 1, let. b, ch. 2, c et d.
DSG). Begrifflich entspricht dies nicht dem insofern etwas weiter gefassten Aspekt der Erforderlichkeit gemäss dem Verhältnismässigkeitsgrundsatz, sondern es handelt sich um eine strengere verfassungs- und gesetzesrechtliche Voraussetzung. Mit anderen Worten wird vom formellen Gesetz nur gedeckt, was sich unmittelbar darauf zurückführen lässt, wobei es allerdings nicht allein auf den Wortlaut ankommt, sondern sich der Zusammenhang auch aus dem Zweck und der Systematik des Gesetzes ergeben kann.
BGE 143 I 253 S. 266

6.4 Im vorliegenden Fall kommt einzig ein Bundesgesetz als mögliche formelle Grundlage in Frage (vgl. Art. 3 lit. j
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG; BALLENEGGER, a.a.O., N. 21 zu Art. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG). Fünf der sieben Finanzmarktgesetze des Bundes enthalten das Erfordernis, dass die mit der Verwaltung oder Geschäftsführung von Beaufsichtigten betrauten Personen Gewähr für eine einwandfreie Geschäftsführung bieten (vgl. etwa Art. 3 Abs. 2 lit. c
SR 952.0 Loi fédérale du 8 novembre 1934 sur les banques et les caisses d'épargne (Loi sur les banques, LB) - Loi sur les banques
LB Art. 3 - 1 La banque ne peut commencer son activité qu'après en avoir obtenu l'autorisation de la FINMA; elle ne peut s'inscrire au registre du commerce avant d'avoir reçu cette autorisation.
1    La banque ne peut commencer son activité qu'après en avoir obtenu l'autorisation de la FINMA; elle ne peut s'inscrire au registre du commerce avant d'avoir reçu cette autorisation.
2    L'autorisation est accordée lorsque les conditions suivantes sont réunies:
a  les statuts, les contrats de société et les règlements de la banque en définissent exactement le champ d'activité et prévoient l'organisation correspondant à cette activité; lorsque son but social ou l'importance de ses affaires l'exige, la banque doit instituer d'une part des organes de gestion et, d'autre part, des organes chargés de la haute direction, de la surveillance et du contrôle, en délimitant les attributions de chacun d'entre eux de façon à garantir une surveillance appropriée de la gestion;
b  la banque fournit la preuve que le capital minimum fixé par le Conseil fédéral est entièrement libéré;
c  les personnes chargées d'administrer et de gérer la banque jouissent d'une bonne réputation et présentent toutes garanties d'une activité irréprochable;
cbis  les personnes physiques ou morales qui détiennent dans une banque, directement ou indirectement, au moins 10 pour cent du capital ou des droits de vote, ou qui de toute autre manière peuvent exercer une influence notable sur la gestion de la banque (participation qualifiée), donnent la garantie que leur influence n'est pas susceptible d'être exercée au détriment d'une gestion prudente et saine de la banque;
d  les personnes chargées de la gestion de la banque ont leur domicile en un lieu qui leur permet d'exercer la gestion effective des affaires et d'en assumer la responsabilité.
3    La banque remettra à la FINMA ses statuts, ses contrats de société et ses règlements, et l'informera de toutes les modifications qui y seront apportées ultérieurement, en tant qu'elles ont trait au but social, à l'activité de l'établissement, au capital social ou à l'organisation interne. Les modifications ne pourront être inscrites au registre du commerce qu'après avoir été approuvées par la FINMA.
4    ...29
5    Toute personne physique ou morale qui envisage de détenir, ou de cesser de détenir, directement ou indirectement, une participation qualifiée au sens de l'al. 2, let. cbis, dans une banque organisée selon le droit suisse, est tenue d'en informer préalablement la FINMA. Ce devoir d'information vaut également lorsqu'elle envisage d'augmenter ou de diminuer une telle participation et que ladite participation atteint ou dépasse les seuils de 20, 33 ou 50 pour cent du capital ou des droits de vote, ou descend en dessous de ceux-ci.30
6    La banque annonce les personnes qui remplissent les conditions de l'al. 5 dès qu'elle en a connaissance, mais au moins une fois par année.31
7    Les banques organisées selon le droit suisse qui envisagent d'être actives à l'étranger par l'intermédiaire d'une filiale, d'une succursale, d'une agence ou d'une représentation en informent au préalable la FINMA.32
BankG [SR 952.0]; Art. 10 Abs. 2 lit. d
SR 954.1 Loi fédérale du 15 juin 2018 sur les établissements financiers (LEFin) - Loi sur les bourses
LEFin Art. 10 Lieu de la direction effective - 1 La direction effective de l'établissement financier doit être en Suisse. Font exception les directives générales et les décisions relatives à la surveillance des groupes, lorsque l'établissement financier fait partie d'un groupe financier soumis à la surveillance d'autorités étrangères sur une base consolidée appropriée.
1    La direction effective de l'établissement financier doit être en Suisse. Font exception les directives générales et les décisions relatives à la surveillance des groupes, lorsque l'établissement financier fait partie d'un groupe financier soumis à la surveillance d'autorités étrangères sur une base consolidée appropriée.
2    Les personnes chargées de la gestion de l'établissement financier ont leur domicile en un lieu qui leur permette d'exercer la gestion effective des affaires.
BEHG [SR 954.1]). Diesem Zweck dient die Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" (vgl. Art. 1
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 1 Objet - La présente ordonnance règle les modalités du traitement de données personnelles par la FINMA dans le cadre de la surveillance conformément à la LFINMA et aux lois sur les marchés financiers citées à l'art. 1, al. 1, LFINMA.
Datenverordnung-FINMA; ZULAUF UND ANDERE, a.a.O., S. 80 f.), die, wie bereits aus ihrer Bezeichnung hervorgeht, eine Datensammlung im Sinne von Art. 3 lit. g
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG bildet (dazu BLECHTA, a.a.O., N. 78 ff. zu Art. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG).
6.5 Nach Art. 23
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
FINMAG bearbeitet die FINMA im Rahmen der Aufsicht nach dem Finanzmarktaufsichtsgesetz und den übrigen Finanzmarktgesetzen Personendaten und insbesondere Persönlichkeitsprofile. Sie regelt dazu die Einzelheiten (Abs. 1) und führt ein Verzeichnis der Beaufsichtigten (Abs. 2).
6.5.1 Im vorliegenden Zusammenhang geht es nicht um die Beaufsichtigten, bei denen es sich um die unmittelbar im Finanzmarkt Tätigen wie die Banken und die sonstigen Finanzintermediäre handelt, sondern um eine natürliche Person, die für eine solchermassen zu Beaufsichtigende arbeitete. Art. 23 Abs. 2
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
FINMAG entfällt daher von vornherein als einschlägige formellgesetzliche Grundlage für die Watchlist. Davon ging offenbar auch der Verwaltungsrat der FINMA als Verordnungsgeber aus, stützte er die Verordnung doch allein auf Art. 23 Abs. 1
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
FINMAG, wie aus dem Ingress der Verordnung hervorgeht.
6.5.2 Art. 23 Abs. 1
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
FINMAG erlaubt der FINMA das Bearbeiten von Persönlichkeitsprofilen und erteilt ihr die Kompetenz, dazu die Einzelheiten zu regeln. Der Begriff des Bearbeitens von Daten entspricht dabei Art. 3 lit. e
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG und schliesst das Aufbewahren derselben mit ein (vgl. HANS-PETER SCHAAD, in: Basler Kommentar, Börsengesetz, Finanzmarktaufsichtsgesetz, 2. Aufl. 2011, N. 20 zu Art. 23
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
FINMAG). Der Begriff des Persönlichkeitsprofils wiederum stimmt mit demjenigen von Art. 3 lit. d
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG überein (SCHAAD, a.a.O., N. 11 zu Art. 23
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
FINMAG). Da es sich bei der Watchlist um ein Persönlichkeitsprofil handelt, ist damit das Sammeln und Aufbewahren entsprechender Daten im Gesetz grundsätzlich vorgesehen. Die
BGE 143 I 253 S. 267

Watchlist wird zwar weder im Gesetz selbst noch in der bundesrätlichen Botschaft vom 1. Februar 2006 zum FINMAG unmittelbar genannt oder umschrieben (vgl. BBl 2006 2875 zu Art. 23 Abs. 1
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
). Nach Art. 5
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 5 Forme juridique, siège et désignation - 1 L'autorité chargée de surveiller les marchés financiers est un établissement de droit public doté d'une personnalité juridique propre; son siège est à Berne.
1    L'autorité chargée de surveiller les marchés financiers est un établissement de droit public doté d'une personnalité juridique propre; son siège est à Berne.
2    Elle porte le nom d'Autorité fédérale de surveillance des marchés financiers («FINMA»).
3    La FINMA règle elle-même son organisation selon les principes d'une gouvernance d'entreprise de qualité et d'une gestion économique des affaires. Elle tient sa propre comptabilité.
FINMAG bezweckt das Finanzmarktaufsichtsgesetz aber den Schutz der Gläubigerinnen und Gläubiger, der Anlegerinnen und Anleger und der Versicherten sowie den Schutz der Funktionsfähigkeit der Finanzmärkte. Die als Datensammlung "Gewähr für einwandfreie Geschäftstätigkeit und Berufsausübung" bezeichnete Watchlist hat zum Ziel, sicherzustellen, dass die mit der Verwaltung oder Geschäftsführung von Beaufsichtigten betrauten Personen Gewähr für eine einwandfreie Geschäftsführung bieten (vgl. Art. 1
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 1 Objet - La présente ordonnance règle les modalités du traitement de données personnelles par la FINMA dans le cadre de la surveillance conformément à la LFINMA et aux lois sur les marchés financiers citées à l'art. 1, al. 1, LFINMA.
Datenverordnung-FINMA), was wiederum dem Zweck verschiedener Finanzmarktgesetze entspricht, wie er darin teilweise sogar ausdrücklich genannt wird (vgl. etwa Art. 3 Abs. 2 lit. c
SR 952.0 Loi fédérale du 8 novembre 1934 sur les banques et les caisses d'épargne (Loi sur les banques, LB) - Loi sur les banques
LB Art. 3 - 1 La banque ne peut commencer son activité qu'après en avoir obtenu l'autorisation de la FINMA; elle ne peut s'inscrire au registre du commerce avant d'avoir reçu cette autorisation.
1    La banque ne peut commencer son activité qu'après en avoir obtenu l'autorisation de la FINMA; elle ne peut s'inscrire au registre du commerce avant d'avoir reçu cette autorisation.
2    L'autorisation est accordée lorsque les conditions suivantes sont réunies:
a  les statuts, les contrats de société et les règlements de la banque en définissent exactement le champ d'activité et prévoient l'organisation correspondant à cette activité; lorsque son but social ou l'importance de ses affaires l'exige, la banque doit instituer d'une part des organes de gestion et, d'autre part, des organes chargés de la haute direction, de la surveillance et du contrôle, en délimitant les attributions de chacun d'entre eux de façon à garantir une surveillance appropriée de la gestion;
b  la banque fournit la preuve que le capital minimum fixé par le Conseil fédéral est entièrement libéré;
c  les personnes chargées d'administrer et de gérer la banque jouissent d'une bonne réputation et présentent toutes garanties d'une activité irréprochable;
cbis  les personnes physiques ou morales qui détiennent dans une banque, directement ou indirectement, au moins 10 pour cent du capital ou des droits de vote, ou qui de toute autre manière peuvent exercer une influence notable sur la gestion de la banque (participation qualifiée), donnent la garantie que leur influence n'est pas susceptible d'être exercée au détriment d'une gestion prudente et saine de la banque;
d  les personnes chargées de la gestion de la banque ont leur domicile en un lieu qui leur permet d'exercer la gestion effective des affaires et d'en assumer la responsabilité.
3    La banque remettra à la FINMA ses statuts, ses contrats de société et ses règlements, et l'informera de toutes les modifications qui y seront apportées ultérieurement, en tant qu'elles ont trait au but social, à l'activité de l'établissement, au capital social ou à l'organisation interne. Les modifications ne pourront être inscrites au registre du commerce qu'après avoir été approuvées par la FINMA.
4    ...29
5    Toute personne physique ou morale qui envisage de détenir, ou de cesser de détenir, directement ou indirectement, une participation qualifiée au sens de l'al. 2, let. cbis, dans une banque organisée selon le droit suisse, est tenue d'en informer préalablement la FINMA. Ce devoir d'information vaut également lorsqu'elle envisage d'augmenter ou de diminuer une telle participation et que ladite participation atteint ou dépasse les seuils de 20, 33 ou 50 pour cent du capital ou des droits de vote, ou descend en dessous de ceux-ci.30
6    La banque annonce les personnes qui remplissent les conditions de l'al. 5 dès qu'elle en a connaissance, mais au moins une fois par année.31
7    Les banques organisées selon le droit suisse qui envisagent d'être actives à l'étranger par l'intermédiaire d'une filiale, d'une succursale, d'une agence ou d'une représentation en informent au préalable la FINMA.32
BankG; Art. 10 Abs. 2 lit. d
SR 954.1 Loi fédérale du 15 juin 2018 sur les établissements financiers (LEFin) - Loi sur les bourses
LEFin Art. 10 Lieu de la direction effective - 1 La direction effective de l'établissement financier doit être en Suisse. Font exception les directives générales et les décisions relatives à la surveillance des groupes, lorsque l'établissement financier fait partie d'un groupe financier soumis à la surveillance d'autorités étrangères sur une base consolidée appropriée.
1    La direction effective de l'établissement financier doit être en Suisse. Font exception les directives générales et les décisions relatives à la surveillance des groupes, lorsque l'établissement financier fait partie d'un groupe financier soumis à la surveillance d'autorités étrangères sur une base consolidée appropriée.
2    Les personnes chargées de la gestion de l'établissement financier ont leur domicile en un lieu qui leur permette d'exercer la gestion effective des affaires.
BEHG). Wie das Bundesgericht bereits in BGE 141 I 201 E. 4.5.1 S. 207 festgehalten hat, unterstehen der Aufsichtspflicht der FINMA auch alle Personen, die nicht selber direkt der Aufsicht unterstellt sind bzw. in einem Aufsichtsverfahren Parteistellung haben, aber im Finanzmarkt tätig sind, und auch zu deren Personendaten gilt die Pflicht zur Erteilung der erforderlichen Auskünfte und zur Herausgabe einschlägiger Unterlagen. Die Ereignisse auf den Finanzmärkten im ersten Jahrzehnt des 21. Jahrhunderts haben im Übrigen gezeigt, dass eine strikte Kontrolle des Geschäftsgebarens im Finanzmarkt notwendig ist. Die Watchlist ist damit in ausreichendem Mass in Art. 23 Abs. 1
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
FINMAG angelegt und lässt sich, auch wenn sie darin nicht ausdrücklich genannt wird, auf ein formelles Bundesgesetz zurückführen.

6.5.3 Aus der Zuständigkeitsregel von Art. 23 Abs. 1
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
FINMAG lässt sich jedoch nicht eine einzig auf Verdachtsmomenten beruhende Vorratshaltung von Daten herleiten. Vom formellen Gesetz gedeckt sind lediglich erhärtete Angaben zur Person in Verbindung mit zuverlässigen Daten zur Geschäftstätigkeit. Dazu zählen solche aus mit Parteirechten verbundenen Verfahren, namentlich Straf- und Administrativ- sowie Aufsichts- und Disziplinarverfahren, oder aus weiteren zuverlässigen Quellen (vgl. ZULAUF UND ANDERE, a.a.O., S. 80) wie Registereinträgen oder Ergebnissen aus korrekt durchgeführten internen oder externen Audits und Personalbeurteilungen. Nicht gesetzeskonform und damit unzulässig sind andere Daten wie von Beteiligten oder Behörden ausgesprochene Vermutungen und
BGE 143 I 253 S. 268

Anschuldigungen oder unbelegte Verdächtigungen sowie sonstige, nicht in einem kontradiktorischen oder sonst wie glaubwürdigen Verfahren erhobene und geprüfte Äusserungen mündlicher oder schriftlicher Art.
7.

7.1 Zu prüfen bleibt, ob sich die Verordnung und die gestützt darauf im vorliegenden Verfahren gesammelten Daten an diese Vorgaben halten.
7.2 Wie bereits dargelegt, bezweckt die Watchlist das Sammeln von Daten über Personen, deren Gewähr für eine einwandfreie Geschäftstätigkeit nach den Finanzmarktgesetzen und dem FINMAG zweifelhaft oder nicht gegeben ist (Art. 1
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 1 Objet - La présente ordonnance règle les modalités du traitement de données personnelles par la FINMA dans le cadre de la surveillance conformément à la LFINMA et aux lois sur les marchés financiers citées à l'art. 1, al. 1, LFINMA.
Datenverordnung-FINMA).
7.2.1 Die Datenverordnung-FINMA enthält verschiedene Bestimmungen zum Gegenstand, zu den Zuständigkeiten, zur Datenbeschaffung und -sicherheit, zur Aufbewahrungsdauer sowie zu den Rechten der betroffenen Personen. Art. 3 der Verordnung zählt unter der Marginalie "Inhalt der Datensammlung" die Daten auf, die darin aufgenommen werden; es handelt sich um Name und Vorname (lit. a), Geburtsdatum (lit. b), Geschlecht (lit. c), Heimatort (lit. d), Nationalität bei ausländischen Staatsangehörigen (lit. e), Adresse (lit. f), Muttersprache (lit. g), Ausbildung (lit. h), Beruf (lit. i), Arbeitsort (lit. j), Qualifikationen (lit. k), Vermögensverhältnisse (lit. l), Versicherungen (lit. m), Auszüge aus dem Handels-, dem Betreibungs- und dem Konkursregister (lit. n), Urteile von Straf-, Zivil- und Verwaltungsgerichten (lit. o), arbeitsrechtliche und administrative Massnahmen (lit. p) sowie Berichte von Prüfgesellschaften und Beauftragten der FINMA (lit. q).
7.2.2 Die Aufzählung in Art. 3
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données.
Datenverordnung-FINMA ist ausführlich, detailliert und nicht mit einer begrifflichen Beschränkung wie "namentlich" oder "insbesondere" versehen, welche die Liste als lediglich beispielhaft umschreiben würde. Die Daten gemäss lit. a bis lit. j enthalten persönliche Angaben, die insbesondere die Identifikation der erfassten Person erlauben und deren Berufstätigkeit beschreiben. Die übrigen Angaben von lit. k bis lit. q geben Auskunft darüber, ob die fragliche Person Gewähr für eine einwandfreie Geschäftstätigkeit bietet. Es handelt sich um Daten, die aus rechtlich abgestützten Verfahren stammen oder auf sonst wie glaubwürdigen bzw. zuverlässigen Quellen beruhen. Die in der Liste von
BGE 143 I 253 S. 269

Art. 3
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données.
Datenverordnung-FINMA vorgesehenen, für das Erstellen eines Persönlichkeitsprofils zu sammelnden Daten entsprechen mithin den Anforderungen an die notwendige Qualität. Für ein massgebliches Persönlichkeitsprofil müssen einerseits genügend persönliche Angaben gemäss lit. a bis lit. j vorliegen, die eine eindeutige Identifikation der fraglichen Person ermöglichen, und diese persönlichen Angaben müssen mit so vielen Daten nach lit. k bis lit. q verbunden sein, dass sie auch Rückschlüsse auf die Frage des einwandfreien Geschäftsverhaltens erlauben. Das eine macht ohne das andere keinen Sinn. Die in Art. 3
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données.
Datenverordnung-FINMA enthaltene Aufzählung ist abschliessend, was sich aus dem Wortlaut und dem Detaillierungsgrad der Bestimmung ergibt.
7.3 Im vorliegenden Fall sammelte die FINMA, wie sie im Verlauf des Verfahrens selbst erläuterte, nebst den Angaben zur Person des Beschwerdeführers einzig Unterlagen mit Verdachtselementen. Ein Grossteil der Unterlagen stammt aus dem Verwaltungsverfahren gegen die frühere Arbeitgeberin des Beschwerdeführers, in dem dieser nicht als Partei konstituiert war und woraus sich keine belegten Rückschlüsse auf sein eigenes Geschäftsverhalten ableiten lassen. Bei etlichen Unterlagen handelt es sich lediglich um E-Mails, in denen sein Name vorkommt. Weder stammen diese Daten aus einem rechtlichen Verfahren, in dem der Beschwerdeführer Parteistellung innehatte, noch beruhen sie sonst wie auf zuverlässigen Quellen, womit sie nicht als erhärtet bzw. glaubwürdig gelten können. Abgesehen von den Angaben zur Person finden sich mithin im Persönlichkeitsprofil des Beschwerdeführers keine zulässigen Daten. Die persönlichen Angaben für sich allein rechtfertigen das Anlegen eines Persönlichkeitsprofils in der Watchlist nicht. Die von der FINMA darin angelegte Datensammlung über den Beschwerdeführer entspricht damit nicht Art. 3
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données.
Datenverordnung-FINMA und findet daher darin keine rechtmässige Grundlage, weshalb sie sich als bundesrechtswidrig erweist.
7.4 Der angefochtene Entscheid verletzt Art. 13 Abs. 2
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
BV in Verbindung mit Art. 36 Abs. 1
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 36 Restriction des droits fondamentaux - 1 Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
1    Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
2    Toute restriction d'un droit fondamental doit être justifiée par un intérêt public ou par la protection d'un droit fondamental d'autrui.
3    Toute restriction d'un droit fondamental doit être proportionnée au but visé.
4    L'essence des droits fondamentaux est inviolable.
BV, Art. 17
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 17 Dérogations - 1 En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
1    En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
a  la personne concernée a expressément donné son consentement à la communication;
b  la communication est en relation directe avec la conclusion ou l'exécution d'un contrat:
b1  entre le responsable du traitement et la personne concernée, ou
b2  entre le responsable du traitement et son cocontractant, dans l'intérêt de la personne concernée;
c  la communication est nécessaire:
c1  à la sauvegarde d'un intérêt public prépondérant, ou
c2  à la constatation, à l'exercice ou à la défense d'un droit devant un tribunal ou une autre autorité étrangère compétente;
d  la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
e  la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
f  les données personnelles proviennent d'un registre prévu par la loi, accessible au public ou à toute personne justifiant d'un intérêt légitime, pour autant que les conditions légales pour la consultation dans le cas d'espèce soient remplies.
2    Le responsable du traitement ou le sous-traitant informe, sur demande, le PFPDT des communications de données personnelles effectuées en vertu de l'al. 1, let. b, ch. 2, c et d.
DSG sowie Art. 23 Abs. 1
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
FINMAG in Verbindung mit Art. 3
SR 956.124 Ordonnance de la FINMA du 4 mai 2023 sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données) - Ordonnance de la FINMA sur les données
Art. 3 Compétence - Chaque unité organisationnelle de la FINMA est compétente pour ses données.
Datenverordnung-FINMA und ist aufzuheben. Auf die übrigen Rügen des Beschwerdeführers muss nicht mehr eingegangen werden. Zur Wiederherstellung einer verfassungs- und gesetzeskonformen Situation genügt die Aufhebung des Entscheids des Bundesverwaltungsgerichts jedoch nicht, sondern
BGE 143 I 253 S. 270

darüber hinaus ist die FINMA anzuweisen, die Daten über den Beschwerdeführer in der Watchlist zu löschen. Weitere Anordnungen sowie die Rückweisung an die Vorinstanz zu neuem Entscheid, wie sie der Beschwerdeführer ergänzend bzw. eventuell beantragt, sind nicht erforderlich. (...)
Information de décision   •   DEFRITEN
Document : 143 I 253
Date : 22 mars 2017
Publié : 13 octobre 2017
Source : Tribunal fédéral
Statut : 143 I 253
Domaine : ATF- Droit constitutionnel
Objet : Art. 13 al. 2 et art. 36 al. 1 Cst., art. 17 al. 2 LPD, art. 23 LFINMA, ordonnance de la FINMA sur les données; légalité


Répertoire des lois
Cst: 5 
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 5 Principes de l'activité de l'État régi par le droit - 1 Le droit est la base et la limite de l'activité de l'État.
1    Le droit est la base et la limite de l'activité de l'État.
2    L'activité de l'État doit répondre à un intérêt public et être proportionnée au but visé.
3    Les organes de l'État et les particuliers doivent agir de manière conforme aux règles de la bonne foi.
4    La Confédération et les cantons respectent le droit international.
13 
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
27 
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 27 Liberté économique - 1 La liberté économique est garantie.
1    La liberté économique est garantie.
2    Elle comprend notamment le libre choix de la profession, le libre accès à une activité économique lucrative privée et son libre exercice.
36 
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 36 Restriction des droits fondamentaux - 1 Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
1    Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
2    Toute restriction d'un droit fondamental doit être justifiée par un intérêt public ou par la protection d'un droit fondamental d'autrui.
3    Toute restriction d'un droit fondamental doit être proportionnée au but visé.
4    L'essence des droits fondamentaux est inviolable.
157 
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 157 Délibérations communes - 1 Le Conseil national et le Conseil des États délibèrent en conseils réunis, sous la direction du président ou de la présidente du Conseil national, pour:
1    Le Conseil national et le Conseil des États délibèrent en conseils réunis, sous la direction du président ou de la présidente du Conseil national, pour:
a  procéder à des élections;
b  statuer sur les conflits de compétence entre les autorités fédérales suprêmes;
c  statuer sur les recours en grâce.
2    En outre, ils siègent en conseils réunis lors d'occasions spéciales et pour prendre connaissance de déclarations du Conseil fédéral.
164 
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 164 Législation - 1 Toutes les dispositions importantes qui fixent des règles de droit doivent être édictées sous la forme d'une loi fédérale. Appartiennent en particulier à cette catégorie les dispositions fondamentales relatives:
1    Toutes les dispositions importantes qui fixent des règles de droit doivent être édictées sous la forme d'une loi fédérale. Appartiennent en particulier à cette catégorie les dispositions fondamentales relatives:
a  à l'exercice des droits politiques;
b  à la restriction des droits constitutionnels;
c  aux droits et aux obligations des personnes;
d  à la qualité de contribuable, à l'objet des impôts et au calcul du montant des impôts;
e  aux tâches et aux prestations de la Confédération;
f  aux obligations des cantons lors de la mise en oeuvre et de l'exécution du droit fédéral;
g  à l'organisation et à la procédure des autorités fédérales.
2    Une loi fédérale peut prévoir une délégation de la compétence d'édicter des règles de droit, à moins que la Constitution ne l'exclue.
175 
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 175 Composition et élection - 1 Le Conseil fédéral est composé de sept membres.
1    Le Conseil fédéral est composé de sept membres.
2    Les membres du Conseil fédéral sont élus par l'Assemblée fédérale après chaque renouvellement intégral du Conseil national.
3    Ils sont nommés pour quatre ans et choisis parmi les citoyens et citoyennes suisses éligibles au Conseil national.131
4    Les diverses régions et les communautés linguistiques doivent être équitablement représentées au Conseil fédéral.132
182
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 182 Législation et mise en oeuvre - 1 Le Conseil fédéral édicte des règles de droit sous la forme d'une ordonnance, dans la mesure où la Constitution ou la loi l'y autorisent.
1    Le Conseil fédéral édicte des règles de droit sous la forme d'une ordonnance, dans la mesure où la Constitution ou la loi l'y autorisent.
2    Il veille à la mise en oeuvre de la législation, des arrêtés de l'Assemblée fédérale et des jugements rendus par les autorités judiciaires fédérales.
LB: 3
SR 952.0 Loi fédérale du 8 novembre 1934 sur les banques et les caisses d'épargne (Loi sur les banques, LB) - Loi sur les banques
LB Art. 3 - 1 La banque ne peut commencer son activité qu'après en avoir obtenu l'autorisation de la FINMA; elle ne peut s'inscrire au registre du commerce avant d'avoir reçu cette autorisation.
1    La banque ne peut commencer son activité qu'après en avoir obtenu l'autorisation de la FINMA; elle ne peut s'inscrire au registre du commerce avant d'avoir reçu cette autorisation.
2    L'autorisation est accordée lorsque les conditions suivantes sont réunies:
a  les statuts, les contrats de société et les règlements de la banque en définissent exactement le champ d'activité et prévoient l'organisation correspondant à cette activité; lorsque son but social ou l'importance de ses affaires l'exige, la banque doit instituer d'une part des organes de gestion et, d'autre part, des organes chargés de la haute direction, de la surveillance et du contrôle, en délimitant les attributions de chacun d'entre eux de façon à garantir une surveillance appropriée de la gestion;
b  la banque fournit la preuve que le capital minimum fixé par le Conseil fédéral est entièrement libéré;
c  les personnes chargées d'administrer et de gérer la banque jouissent d'une bonne réputation et présentent toutes garanties d'une activité irréprochable;
cbis  les personnes physiques ou morales qui détiennent dans une banque, directement ou indirectement, au moins 10 pour cent du capital ou des droits de vote, ou qui de toute autre manière peuvent exercer une influence notable sur la gestion de la banque (participation qualifiée), donnent la garantie que leur influence n'est pas susceptible d'être exercée au détriment d'une gestion prudente et saine de la banque;
d  les personnes chargées de la gestion de la banque ont leur domicile en un lieu qui leur permet d'exercer la gestion effective des affaires et d'en assumer la responsabilité.
3    La banque remettra à la FINMA ses statuts, ses contrats de société et ses règlements, et l'informera de toutes les modifications qui y seront apportées ultérieurement, en tant qu'elles ont trait au but social, à l'activité de l'établissement, au capital social ou à l'organisation interne. Les modifications ne pourront être inscrites au registre du commerce qu'après avoir été approuvées par la FINMA.
4    ...29
5    Toute personne physique ou morale qui envisage de détenir, ou de cesser de détenir, directement ou indirectement, une participation qualifiée au sens de l'al. 2, let. cbis, dans une banque organisée selon le droit suisse, est tenue d'en informer préalablement la FINMA. Ce devoir d'information vaut également lorsqu'elle envisage d'augmenter ou de diminuer une telle participation et que ladite participation atteint ou dépasse les seuils de 20, 33 ou 50 pour cent du capital ou des droits de vote, ou descend en dessous de ceux-ci.30
6    La banque annonce les personnes qui remplissent les conditions de l'al. 5 dès qu'elle en a connaissance, mais au moins une fois par année.31
7    Les banques organisées selon le droit suisse qui envisagent d'être actives à l'étranger par l'intermédiaire d'une filiale, d'une succursale, d'une agence ou d'une représentation en informent au préalable la FINMA.32
LEFin: 10 
SR 954.1 Loi fédérale du 15 juin 2018 sur les établissements financiers (LEFin) - Loi sur les bourses
LEFin Art. 10 Lieu de la direction effective - 1 La direction effective de l'établissement financier doit être en Suisse. Font exception les directives générales et les décisions relatives à la surveillance des groupes, lorsque l'établissement financier fait partie d'un groupe financier soumis à la surveillance d'autorités étrangères sur une base consolidée appropriée.
1    La direction effective de l'établissement financier doit être en Suisse. Font exception les directives générales et les décisions relatives à la surveillance des groupes, lorsque l'établissement financier fait partie d'un groupe financier soumis à la surveillance d'autorités étrangères sur une base consolidée appropriée.
2    Les personnes chargées de la gestion de l'établissement financier ont leur domicile en un lieu qui leur permette d'exercer la gestion effective des affaires.
35a
LFINMA: 5 
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 5 Forme juridique, siège et désignation - 1 L'autorité chargée de surveiller les marchés financiers est un établissement de droit public doté d'une personnalité juridique propre; son siège est à Berne.
1    L'autorité chargée de surveiller les marchés financiers est un établissement de droit public doté d'une personnalité juridique propre; son siège est à Berne.
2    Elle porte le nom d'Autorité fédérale de surveillance des marchés financiers («FINMA»).
3    La FINMA règle elle-même son organisation selon les principes d'une gouvernance d'entreprise de qualité et d'une gestion économique des affaires. Elle tient sa propre comptabilité.
9 
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 9 Conseil d'administration - 1 Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes:
1    Le conseil d'administration est l'organe stratégique de la FINMA. Ses tâches sont les suivantes:
a  fixer les objectifs stratégiques de la FINMA et les soumettre à l'approbation du Conseil fédéral;
b  statuer sur les affaires de grande portée;
c  édicter les ordonnances relevant de la compétence de la FINMA et arrêter des circulaires;
d  superviser la direction;
e  instituer une révision interne et assurer le contrôle interne;
f  élaborer le rapport d'activités, le soumettre à l'approbation du Conseil fédéral et le publier;
g  nommer le directeur de la FINMA sous réserve de l'approbation du Conseil fédéral;
h  nommer les membres de la direction;
i  édicter le règlement d'organisation et les directives relatives à l'information;
j  approuver le budget.
2    Le conseil d'administration se compose de sept à neuf membres experts en la matière, qui doivent être indépendants des établissements assujettis. Les membres sont nommés pour une période de quatre ans et leur mandat peut être renouvelé deux fois.
3    Le Conseil fédéral nomme les membres du conseil d'administration. Il veille à une représentation appropriée des deux sexes. Le Conseil fédéral désigne le président et le vice-président. Il fixe le montant de leurs indemnités. L'art. 6a de la loi du 24 mars 2000 sur le personnel de la Confédération27 est applicable par analogie.
4    Le président ne peut exercer aucune autre activité économique ni remplir de fonction pour le compte de la Confédération ou d'un canton, sauf si elle est utile à l'accomplissement des tâches de la FINMA.
5    Le Conseil fédéral révoque les membres du conseil d'administration et approuve la résiliation des rapports de travail du directeur par le conseil d'administration si les conditions requises pour l'exercice de leurs fonctions ne sont plus remplies.
23 
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 23 Traitement de données - 1 Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
1    Dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers, la FINMA peut traiter ou faire traiter des données personnelles, y compris des données sensibles.
2    Elle peut le faire en particulier pour:
a  le contrôle de l'assujetti;
b  la surveillance;
c  la conduite de procédures;
d  l'évaluation des garanties d'une activité irréprochable;
e  l'évaluation du comportement d'une personne qui exerce une activité pour l'assujetti ou sur le marché financier;
f  l'entraide administrative et judiciaire nationale et internationale.
3    Elle est habilitée à faire du profilage, y compris du profilage à risque élevé, au sens de la loi fédérale du 25 septembre 2020 sur la protection des données53 pour l'évaluation du comportement d'une personne selon l'al. 2, let. e.
4    Elle règle les modalités.
30 
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 30 Annonce de l'ouverture d'une procédure - Si des indices donnent à penser que le droit de la surveillance a été enfreint et que la FINMA ouvre une procédure, elle en avise les parties.
33 
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 33 Interdiction d'exercer - 1 Si la FINMA constate une violation grave du droit de la surveillance, elle peut interdire à l'auteur d'exercer une fonction dirigeante dans l'établissement d'un assujetti.
1    Si la FINMA constate une violation grave du droit de la surveillance, elle peut interdire à l'auteur d'exercer une fonction dirigeante dans l'établissement d'un assujetti.
2    L'interdiction peut être prononcée pour une durée de cinq ans au plus.
53
SR 956.1 Ordonnance du 16 janvier 2008 sur la mise en vigueur anticipée de dispositions organisationnelles de la loi du 22 juin 2007 sur la surveillance des marchés financiers - Loi sur la surveillance des marchés financiers
LFINMA Art. 53 Procédure administrative - La procédure est régie par la loi fédérale du 20 décembre 1968 sur la procédure administrative117.
LPD: 2 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 2 Champ d'application à raison de la personne et de la matière - 1 La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
1    La présente loi régit le traitement de données personnelles concernant des personnes physiques effectué par:
a  des personnes privées;
b  des organes fédéraux.
2    Elle ne s'applique pas:
a  aux traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel;
b  aux traitements de données personnelles effectués par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations;
c  aux traitements de données personnelles effectués par les bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'État hôte3 qui jouissent en Suisse de l'immunité de juridiction.
3    Les traitements de données personnelles effectués dans le cadre de procédures devant des tribunaux ou dans le cadre de procédures régies par des dispositions fédérales de procédure, ainsi que les droits des personnes concernées, obéissent au droit de procédure applicable. La présente loi s'applique aux procédures administratives de première instance.
4    Les registres publics relatifs aux rapports de droit privé, notamment l'accès à ces registres et les droits des personnes concernées, sont régis par les dispositions spéciales du droit fédéral applicable. À défaut la présente loi s'applique.
3 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
11a  17 
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 17 Dérogations - 1 En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
1    En dérogation à l'art. 16, al. 1 et 2, des données personnelles peuvent être communiquées à l'étranger dans les cas suivants:
a  la personne concernée a expressément donné son consentement à la communication;
b  la communication est en relation directe avec la conclusion ou l'exécution d'un contrat:
b1  entre le responsable du traitement et la personne concernée, ou
b2  entre le responsable du traitement et son cocontractant, dans l'intérêt de la personne concernée;
c  la communication est nécessaire:
c1  à la sauvegarde d'un intérêt public prépondérant, ou
c2  à la constatation, à l'exercice ou à la défense d'un droit devant un tribunal ou une autre autorité étrangère compétente;
d  la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable;
e  la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
f  les données personnelles proviennent d'un registre prévu par la loi, accessible au public ou à toute personne justifiant d'un intérêt légitime, pour autant que les conditions légales pour la consultation dans le cas d'espèce soient remplies.
2    Le responsable du traitement ou le sous-traitant informe, sur demande, le PFPDT des communications de données personnelles effectuées en vertu de l'al. 1, let. b, ch. 2, c et d.
25
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 25 Droit d'accès - 1 Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
1    Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
2    La personne concernée reçoit les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. Dans tous les cas, elle reçoit les informations suivantes:
a  l'identité et les coordonnées du responsable du traitement;
b  les données personnelles traitées en tant que telles;
c  la finalité du traitement;
d  la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour fixer cette dernière;
e  les informations disponibles sur l'origine des données personnelles, dans la mesure où ces données n'ont pas été collectées auprès de la personne concernée;
f  le cas échéant, l'existence d'une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
g  le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l'art. 19, al. 4.
3    Des données personnelles sur la santé de la personne concernée peuvent lui être communiquées, moyennant son consentement, par l'intermédiaire d'un professionnel de la santé qu'elle aura désigné.
4    Le responsable du traitement qui fait traiter des données personnelles par un sous-traitant demeure tenu de fournir les renseignements demandés.
5    Nul ne peut renoncer par avance au droit d'accès.
6    Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil fédéral peut prévoir des exceptions, notamment si la communication de l'information exige des efforts disproportionnés.
7    En règle générale, les renseignements sont fournis dans un délai de 30 jours.
OPDo: 3
SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo)
OPDo Art. 3 Mesures techniques et organisationnelles - 1 Pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:
1    Pour assurer la confidentialité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:
a  les personnes autorisées n'aient accès qu'aux données personnelles dont elles ont besoin pour accomplir leurs tâches (contrôle de l'accès aux données);
b  seules les personnes autorisées puissent accéder aux locaux et aux installations utilisés pour le traitement de données (contrôle de l'accès aux locaux et aux installations);
c  les personnes non autorisées ne puissent pas utiliser les systèmes de traitement automatisé de données personnelles à l'aide d'installations de transmission (contrôle d'utilisation).
2    Pour assurer la disponibilité et l'intégrité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:
a  les personnes non autorisées ne puissent pas lire, copier, modifier, déplacer, effacer ou détruire des supports de données (contrôle des supports de données);
b  les personnes non autorisées ne puissent pas enregistrer, lire, modifier, effacer ou détruire des données personnelles dans la mémoire (contrôle de la mémoire);
c  les personnes non autorisées ne puissent pas lire, copier, modifier, effacer ou détruire des données personnelles lors de leur communication ou lors du transport de supports de données (contrôle du transport);
d  la disponibilité des données personnelles et l'accès à celles-ci puissent être rapidement restaurés en cas d'incident physique ou technique (restauration);
e  toutes les fonctions du système de traitement automatisé de données personnelles soient disponibles (disponibilité), que les dysfonctionnements soient signalés (fiabilité) et que les données personnelles stockées ne puissent pas être endommagées en cas de dysfonctionnements du système (intégrité des données);
f  les systèmes d'exploitation et les logiciels d'application soient toujours maintenus à jour en matière de sécurité et que les failles critiques connues soient corrigées (sécurité du système).
3    Pour assurer la traçabilité, le responsable du traitement et le sous-traitant prennent des mesures appropriées afin que:
a  il soit possible de vérifier quelles données personnelles sont saisies ou modifiées dans le système de traitement automatisé de données, par quelle personne et à quel moment (contrôle de la saisie);
b  il soit possible de vérifier à qui sont communiquées les données personnelles à l'aide d'installations de transmission (contrôle de la communication);
c  les violations de la sécurité des données puissent être rapidement détectées (détection) et que des mesures puissent être prises pour atténuer ou éliminer les conséquences (réparation).
PA: 25a
SR 172.021 Loi fédérale du 20 décembre 1968 sur la procédure administrative (PA)
PA Art. 25a - 1 Toute personne qui a un intérêt digne de protection peut exiger que l'autorité compétente pour des actes fondés sur le droit public fédéral et touchant à des droits ou des obligations:
1    Toute personne qui a un intérêt digne de protection peut exiger que l'autorité compétente pour des actes fondés sur le droit public fédéral et touchant à des droits ou des obligations:
SR 956.124: 1  3  6  7  8  9
Répertoire ATF
122-I-360 • 131-II-13 • 136-I-87 • 139-II-243 • 141-I-201 • 142-II-243 • 143-I-253
Weitere Urteile ab 2000
1C_214/2016
Répertoire de mots-clés
Trié par fréquence ou alphabet
fichier de données • données personnelles • personne concernée • liberté économique • tribunal administratif fédéral • données sensibles • tribunal fédéral • emploi • conseil d'administration • protection des données • question • destruction • interdiction d'exercer une profession • hameau • conseil fédéral • connaissance • pré • personne physique • autorité inférieure • durée • e-mail • accès • atteinte à un droit constitutionnel • loi fédérale sur la protection des données • sanction administrative • publication • recours en matière de droit public • appréciation du personnel • inscription • proportionnalité • traitement électronique des données • loi fédérale sur les bourses et le commerce des valeurs mobilières • obligation de renseigner • directive • constitution • base de données • état de fait • fonction • concrétisation • décision • légalité • document écrit • condition • assemblée fédérale • copie • nécessité • déterminabilité • constitution fédérale • délégué • droit du travail • directive • profession • loi formelle • procédure • loi fédérale sur la procédure administrative • ordonnance sur la protection des données • loi fédérale sur les banques et les caisses d'épargne • publication des plans • besoin • dépense • prévisibilité • communication • surveillance • dossier • motivation de la décision • forme et contenu • délégation législative • recours au tribunal administratif fédéral • illicéité • opération • fin • partie à la procédure • autorisation ou approbation • recommandation de vote de l'autorité • étiquetage • fausse indication • renseignement erroné • remise conventionnelle de dette • but • but de l'aménagement du territoire • administration • d'office • collecte • note marginale • délai • lieu d'origine • commerce de titres • 21e siècle • économie privée • catégorie • procédure disciplinaire • adresse • prénom • présomption • personne morale • sexe • doute • autorité exécutive • rencontre • profil • moyen de preuve • droit constitutionnel • employeur • volonté • qualité pour agir et recourir • langue maternelle • mesure • conscience • interview • acte matériel
... Ne pas tout montrer
FF
2006/2875