BGE-147-III-139 - 2020-12-10 - ATF - Droit civil - Droit d'accès selon l'art. 8 al. 2 let. a et al. 5 LPD; informations disponibles sur l'origine des données. Il ne faut pas

Urteilskopf

147 III 139

15. Auszug aus dem Urteil der I. zivilrechtlichen Abteilung i.S. A.A. AG, A.B. AG und A.C. AG gegen D.D. und E.D. (Beschwerde in Zivilsachen) 4A_125/2020 vom 10. Dezember 2020

Regeste (de):

Auskunftsrecht nach Art. 8 Abs. 2 lit. a und Abs. 5 DSG; verfügbare Angaben über die Herkunft der Daten.

Der materielle Anspruch auf Auskunftserteilung (Art. 8 Abs. 2 lit. a DSG) und die Voraussetzungen sowie der Umfang des Anspruchs auf Beweisabnahme nach Art. 150 Abs. 1 und 152 Abs. 1 ZPO sind auseinanderzuhalten. Weder der materielle Anspruch auf Auskunft nach Datenschutzgesetz noch der zivilprozessuale Anspruch auf Beweisabnahme dürfen aber zu einer verpönten Beweisausforschung missbraucht werden, indem beispielsweise das Auskunftsbegehren einzig zum Zweck gestellt wird, eine (spätere) Gegenpartei auszuforschen und Beweise zu beschaffen, an die eine Partei sonst nicht gelangen könnte (E. 1.7-1.7.2).

Tragweite der Pflicht, Informationen über die Herkunft der Daten bekannt zu geben. Unter "verfügbare Angaben über die Herkunft der Daten" könen zwar auch ausserhalb der eigentlichen Datensammlung aufbewahrte Informationen fallen. Angaben über die Herkunft von Daten, die allenfalls im Gehirn einer Person gespeichert sein könnten, werden aber nicht vom Auskunftsrecht erfasst. Dass sich die Herkunft der Daten im Rahmen entsprechender Abklärungen allenfalls rekonstruieren lässt, bedeutet nicht, dass diese Angaben verfügbar im Sinne von Art. 8 Abs. 2 lit. a DSG sind (E. 3).

Regeste (fr):

Droit d'accès selon l'art. 8 al. 2 let. a et al. 5 LPD; informations disponibles sur l'origine des données.

Il ne faut pas confondre le droit matériel à l'octroi de renseignements conféré par la loi sur la protection des données (art. 8 al. 2 let. a LPD) avec la problématique des conditions et de l'étendue du droit à l'administration de preuves issu de la procédure civile (art. 150 al. 1 et 152 al. 1 CPC). Cela étant, aucun de ces droits (matériel ou procédural) ne saurait être utilisé abusivement pour effectuer une prospection de preuves proscrite, par exemple en requérant des renseignements aux seules fins d'investiguer sur une future partie adverse et de se procurer des preuves qui seraient sinon inaccessibles (consid. 1.7-1.7.2).

Portée du devoir de communiquer "les informations disponibles sur l'origine des données". Cette notion peut certes couvrir des informations conservées en dehors du fichier proprement dit. Toutefois, le droit d'accès ne s'étend pas aux informations sur l'origine des données qu'une personne pourrait avoir gardées en mémoire. Le fait que l'origine des données puisse être reconstituée dans le cadre d'investigations de ce genre ne signifie pas qu'une telle information soit disponible au sens de l'art. 8 al. 2 let. a LPD (consid. 3).

Regesto (it):

Diritto d'accesso secondo l'art. 8 cpv. 2 lett. a e cpv. 5 LPD; informazioni disponibili sull'origine dei dati.

La pretesa di diritto materiale volta all'ottenimento di informazioni (art. 8 cpv. 2 lett. a LPD) va distinta dai presupposti e dall'estensione della pretesa di assunzione delle prove secondo gli art. 150 cpv. 1 e 152 cpv. 1 CPC. Tuttavia, né la pretesa di diritto materiale all'informazione secondo la legge sulla protezione dei dati né la pretesa di assunzione delle prove prevista dal diritto processuale civile possono essere sfruttate per procedere a un'inammissibile indiscriminata ricerca di prove, presentando ad esempio una richiesta di informazioni al solo scopo di indagare su una (futura) controparte e procurarsi prove a cui una parte non potrebbe altrimenti accedere (consid. 1.7-1.7.2).

Portata dell'obbligo di comunicare le informazioni sull'origine dei dati. "Le informazioni disponibili sull'origine dei dati" possono anche includere informazioni conservate al di fuori della collezione di dati in senso proprio. Le informazioni sull'origine dei dati, che potrebbero tutt'al più essere memorizzate nel cervello di una persona, non sono incluse nel diritto d'acesso. Il fatto che l'origine dei dati possa eventualmente essere ricostruita nel quadro di appropriate indagini non significa che queste informazioni siano disponibili nel senso dell'art. 8 cpv. 2 lett. a LPD (consid. 3).

Sachverhalt ab Seite 140

BGE 147 III 139 S. 140

D.D. (Beschwerdegegner) und E.D. (Beschwerdegegnerin) unterhielten eine Geschäftsbeziehung zu einer Bank, nämlich zunächst zur Bank A.A. AG (Beschwerdeführerin 1) und danach zur Bank A.B. AG (Beschwerdeführerin 2), deren Beteiligungen die Bank A.C. AG (Beschwerdeführerin 3) als Holdinggesellschaft hält. Im April 2013 wurde der Beschwerdegegner von den US-amerikanischen Strafverfolgungsbehörden wegen Beihilfe zu Steuerdelikten angeklagt, was seinen Ausschluss aus der Anwaltskanzlei F. zur Folge hatte. Daraus resultierte ein Rechtsstreit zwischen der Anwaltskanzlei und dem Beschwerdegegner. Am 15. Dezember 2015 überwies die Anwaltskanzlei aus diesem Rechtsstreit Fr. 566'000.- auf das Konto des Beschwerdegegners bei der Beschwerdeführerin 2. Im Januar 2016 beabsichtige die Beschwerdeführerin 2, die Geschäftsbeziehung mit dem Beschwerdegegner zu beenden. Im Verlaufe des Jahres saldierte sie die auf den Beschwerdegegner und auf
BGE 147 III 139 S. 141

beide Beschwerdegegner lautenden Konten und erfasste den Beschwerdegegner in der Datenbank als unerwünschten Kunden (Code "UK"). Die Geschäftsbeziehung mit der Beschwerdegegnerin lösten die Beschwerdeführerinnen im Januar 2017 auf. Die Beschwerdeführerin 2 hatte im Mai 2014 im Steuerstreit mit den US-amerikanischen Behörden einer Vergleichsvereinbarung mit der New Yorker Aufsichtsbehörde zugestimmt. Die Beschwerdeführerinnen behaupten, die Beschwerdeführerin 2 habe bei der Umsetzung der Vergleichsvereinbarung im November 2015 entschieden, die Geschäftsbeziehungen zu Personen zu beenden, die in den USA wegen Beihilfe zu Steuerdelikten angeklagt oder verurteilt worden seien. Dies schliesse den Beschwerdegegner ein. Im Dezember 2015 habe die Beschwerdeführerin 2 mit der Umsetzung dieses Entscheids begonnen.
Die Beschwerdegegner halten diese Begründung für vorgeschoben. Sie sind der Ansicht, ein Partner der Anwaltskanzlei habe den General Counsel der Beschwerdeführerin 3 kontaktiert und diesen informiert, dass der Beschwerdegegner bei der Beschwerdeführerin 1 eine Bankkundenbeziehung habe. Dies sei angereichert worden mit der personenbezogenen Information, wonach der Beschwerdegegner in den USA wegen Beihilfe zur Steuerhinterziehung angeklagt sei und man der Bank rate, die Bankkundenbeziehung zu beenden. Darauf habe der General Counsel am Morgen des 21. Dezember 2015 von einem Mitarbeiter eine Liste der Personen angefordert, die in den USA wegen Beihilfe zu Steuerdelikten angeklagt oder verurteilt worden seien und deren Geschäftsbeziehungen gemäss einem bereits im November 2015 gefassten Beschluss beendet werden sollten. In der Folge habe man die Umsetzung des Entscheids veranlasst, wonach sämtliche Konten von Bankkunden, welche in den USA angeklagt waren, geschlossen würden, darunter jenes des Beschwerdegegners. Die Beschwerdegegner klagten beim Bezirksgericht Zürich auf Auskunft gemäss Datenschutzgesetz. Der Beschwerdegegner verlangte im Wesentlichen Auskunft über sämtliche Personendaten der Beschwerdeführerinnen mit inhaltlichem Bezug auf ihn betreffend die konsultierten und verwendeten Personendaten im Zusammenhang mit dem Zahlungseingang von Fr. 566'000.- per 15. Dezember 2015. Das Bezirksgericht erliess am 29. Juli 2019 eine Beweisverfügung, worin es Zeugenbefragungen des angesprochenen Partners der
BGE 147 III 139 S. 142

Anwaltskanzlei und eines weiteren Anwalts sowie eine Parteibefragung des General Counsel vorsah, und zwar gemäss Dispositivziffer 1 der Verfügung zu folgenden Behauptungen der Beschwerdegegner: a) Dass im Zusammenhang mit der Zahlung von Fr. 566'000.- an den Beschwerdegegner zwischen dem General Counsel der Beschwerdeführerin 3 und einem Partner der Anwaltskanzlei ein Gespräch stattgefunden hat. b) Dass der Partner der Anwaltskanzlei im Zuge dieses Gesprächs dem General Counsel der Beschwerdeführerin 3 personenbezogene Informationen über den Beschwerdegegner mitgeteilt hat. c) Dass der General Counsel der Beschwerdeführerin 3 den Inhalt dieses Gesprächs einer anderen Person schriftlich mitgeteilt hat oder dass der General Counsel der Beschwerdeführerin 3 den Inhalt dieses Gesprächs einem Mitarbeiter oder Organ einer der Beschwerdeführerinnen mündlich mitgeteilt hat, worauf diese Person den Inhalt dieses Gesprächs schriftlich festgehalten hat. Gegen diese Beweisverfügung erhoben die Beschwerdeführerinnen Beschwerde, welche das Obergericht des Kantons Zürich am 30. Januar 2020 abwies, soweit es darauf eintrat. Es kam im Wesentlichen zum Schluss, die mit den Beweissätzen a) bis c) zum Beweis verstellten Tatsachen seien durch den Auskunftsanspruch gemäss Art. 8 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, Datenschutzgesetz; SR 235.1) gedeckt. Auf Beschwerde der Beschwerdeführerinnen hebt das Bundesgericht den angefochtenen Entscheid sowie die Beweisverfügung des Bezirksgerichts Zürich vom 29. Juli 2019 auf. (Zusammenfassung)

Erwägungen

Aus den Erwägungen:

1. (...)

1.7 Im zu beurteilenden Fall sind zwei Aspekte auseinanderzuhalten: Einerseits die Tragweite des eingeklagten materiellen Anspruchs auf Auskunftserteilung gemäss Art. 8 Abs. 2 lit. a DSG und andererseits die Voraussetzungen und der Umfang des Anspruchs auf Beweisabnahme nach Art. 150 Abs. 1 und Art. 152 Abs. 1 ZPO (vgl. BGE 138 III 425 E. 4.4 S. 430 sowie im Zusammenhang mit der Auskunftspflicht nach Art. 170 ZGB: Urteile des Bundesgerichts 5A_635/2013 vom 28. Juli 2014 E. 3.2; 5A_421/2013 vom 19. August 2013 E. 1.2.1 f.).
BGE 147 III 139 S. 143

1.7.1 Die Einvernahme eines Zeugen oder einer Partei im Prozess unterliegt prozessrechtlichen Regeln (Art. 160 ff . ZPO). Der Umfang des eingeklagten materiellen Anspruchs auf Auskunftserteilung nach Art. 8 Abs. 2 lit. a DSG beeinflusst den Umfang des Anspruchs auf Beweisabnahme im Prozess (Art. 8 ZGB; Art. 152 ZPO) aber insoweit, als Gegenstand des Beweises ausschliesslich rechtserhebliche, streitige Tatsachen bilden (Art. 150 Abs. 1 ZPO). Beweismittel, wie die Zeugenbefragung oder das Institut der prozessualen Edition, können indessen nicht als Instrument der Informationsbeschaffung dienen, sondern stellen nach der ZPO Mittel der Beweiserhebung dar (vgl. für die Edition: BGE 141 III 281 E. 3.4.3 S. 286). Hier besteht, wenn materielle Ansprüche auf Auskunft im Streit stehen, die Gefahr, dass das Beweisverfahren zur Anspruchsdurchsetzung ohne Prüfung der Anspruchsvoraussetzungen missbraucht werden könnte und mit dem Beweisverfahren faktisch über den eingeklagten Anspruch entschieden wird, bevor geklärt ist, ob eine Pflicht zur Auskunft besteht. So hat das Bundesgericht beispielsweise im Zusammenhang mit einer vorsorglichen Beweisführung entschieden, im Rahmen einer solchen könne nicht vorsorglich eine Aktenherausgabe verlangt werden, wenn zwischen den Parteien umstritten sei, ob der Kläger gestützt auf Art. 400 OR materiell einen entsprechenden Anspruch erheben kann (BGE 141 III 564 E. 4.2.1 f.; BGE 138 III 728 E. 2.7 S. 732 f.).
1.7.2 Sowohl für den materiellen Anspruch auf Auskunft nach Datenschutzgesetz als auch für den zivilprozessualen Anspruch auf Beweisabnahme gilt sodann, dass diese nicht zu einer verpönten Beweisausforschung missbraucht werden dürfen (vgl. BGE 138 III 425 E. 4.3 S. 430). Mit Blick auf das Datenschutzgesetz fällt Rechtsmissbrauch in Betracht, wenn das Auskunftsrecht zu datenschutzwidrigen Zwecken eingesetzt wird, etwa um sich die Kosten einer Datenbeschaffung zu sparen, die sonst bezahlt werden müssten. Zu denken ist etwa auch an eine schikanöse Rechtsausübung ohne wirkliches Interesse an der Auskunft, lediglich um den Auskunftspflichtigen zu schädigen. Eine zweckwidrige Verwendung des datenschutzrechtlichen Auskunftsrechts (beziehungsweise der Beweisabnahme in einem Prozess um das Auskunftsrecht) wäre wohl auch anzunehmen, wenn das Auskunftsbegehren einzig zum Zweck gestellt wird, eine (spätere) Gegenpartei auszuforschen und Beweise zu beschaffen, an die eine Partei sonst nicht gelangen könnte (BGE 141 III 119 E. 7.1.1 S. 127 f.; BGE 138 III 425 E. 5.5 S. 432; Urteil 4A_277/2020
BGE 147 III 139 S. 144

vom 18. November 2020 E. 5.3 f.; je mit Hinweisen). Denn das Auskunftsrecht nach Art. 8 DSG will nicht die Beweismittelbeschaffung erleichtern oder in das Zivilprozessrecht eingreifen (BGE 138 III 425 E. 5.5 S. 432; zit. Urteil 4A_277/2020 E. 5.3). (...) (...)

3. Die Beschwerdeführerinnen machen geltend, die Vorinstanz habe die Tragweite des datenschutzrechtlichen Auskunftsanspruchs verkannt und Art. 8 DSG sowie Art. 150 ZPO unrichtig angewendet.
3.1 Gemäss Art. 8 Abs. 1 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Insbesondere muss der Inhaber der Datensammlung der betroffenen Person alle über sie in der Datensammlung vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten mitteilen (Art. 8 Abs. 2 lit. a DSG). Aus dem französischen und italienischen Wortlaut ergibt sich nichts anderes: Mitzuteilen sind "alle (...) vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten" ("toutes les données [...] qui sont contenues dans le fichier, y compris les informations disponibles sur l'origine des données"; "tutti i dati [...] contenuti nella collezione, comprese le informazioni disponibili sull'origine dei dati"). Das Auskunftsrecht ist mit einer Strafdrohung bewehrt: Verletzt eine private Person ihre Auskunftspflicht, indem sie vorsätzlich eine falsche oder eine unvollständige Auskunft erteilt, dann wird sie auf Antrag mit Busse bestraft (Art. 34 Abs. 1 lit. a DSG). Die Lehre versteht den Begriff der "Personendaten (Daten)" gemäss Art. 3 lit. a DSG "weit" (DAVID ROSENTHAL, in: Handkommentar zum Datenschutzgesetz, Rosenthal/Jöhri [Hrsg.], 2008, N. 2 zu Art. 3 DSG, N. 13 zu Art. 8 DSG), "extensiv" (BLECHTA, in: Basler Kommentar, Datenschutzgesetz, Öffentlichkeitsgesetz, 3. Aufl. 2014, N. 7 zu Art. 3 DSG) oder "ausserordentlich weit" (OLIVER GNEHM, Das datenschutzrechtliche Auskunftsrecht, in: Durchsetzung der Rechte der Betroffenen im Bereich des Datenschutzes, Epiney/Nüesch [Hrsg.], 2015, S. 77 ff., 90). Auch der Begriff der Datensammlung gemäss Art. 3 lit. g DSG wird im Schrifttum weit gefasst (GNEHM, a.a.O., S. 91 f.; BLECHTA, a.a.O., N. 78 ff. zu Art. 3 DSG).
3.1.1 Gemäss Art. 8 Abs. 2 lit. a DSG erstreckt sich das Auskunftsrecht auf alle über eine Person in einer Datensammlung
BGE 147 III 139 S. 145

vorhandenen Daten, d.h. auf alle Angaben, die sich auf diese Person beziehen (Art. 3 lit. a DSG) und ihr zugeordnet werden können (Art. 3 lit. g DSG). Unerheblich ist die Art der Speicherung oder die Bezeichnung der Datensammlung durch den Inhaber. Das Auskunftsrecht kann nicht dadurch unterlaufen werden, dass z.B. neben der "offiziellen Datensammlung auch eine "inoffizielle" geführt wird. Insoweit kann sich der Auskunftsanspruch gemäss Art. 8 DSG auch auf "interne" Akten beziehen (BGE 125 II 473 E. 4b S. 475 mit Hinweis). In diesem Rahmen können mithin auch ausserhalb der eigentlichen Datensammlung abgelegte Datenbestände vom Auskunftsrecht erfasst sein, soweit sie objektiv nach Personen erschliessbar sind und an den anderen Ablageorten ein gezielter Zugriff möglich ist (vgl. ROSENTHAL, a.a.O., N. 15 zu Art. 8 DSG; GRAMIGNA/ MAURER-LAMBROU, in: Basler Kommentar, a.a.O., N. 26 zu Art. 8 DSG; NICOLAS DOMMER, Die Auskunftspflichten der Bank gegenüber Vermögensverwaltungskunden, 2018, S. 51 Rz. 126). Voraussetzung freilich bildet, dass wenigstens eine Datensammlung gemäss Art. 3 lit. g DSG existiert, ansonsten fehlt es am Gegenstand des Auskunftsrechts nach Art. 8 Abs. 2 lit. a DSG (GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 26 zu Art. 8 DSG).
3.1.2 Die zu erteilende Auskunft muss wahr und vollständig sein (vgl. Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz [DSG], BBl 1988 II 413 ff., 453 Ziff. 221.2 zu Art. 5 Abs. 2 E -DSG), wofür der Inhaber einer Datensammlung im Streitfall beweispflichtig ist (Urteil 1C_59/2015 vom 17. September 2015 E. 3.2 mit Hinweisen). Das Auskunftsrecht erstreckt sich nach der Rechtsprechung und dem Gesetzeswortlaut nur auf noch vorhandene Daten (BGE 136 II 508 E. 3.7 S. 517). Der Umstand, dass wie hier negative Tatsachen, namentlich das Nichtvorhandensein zusätzlicher, nicht bereits ausgehändigter Informationen über den Beschwerdegegner, bewiesen werden müssen, ändert grundsätzlich nichts an der Beweislast (BGE 139 II 451 E. 2.4 S. 451; BGE 133 V 205 E. 5.5 S. 217 mit Hinweisen; zit. Urteil 1C_59/2015 E. 3.2). Da es aber naturgemäss einfacher ist, das Vorhandensein von Tatsachen zu beweisen als deren Nichtvorhandensein, ist die Schwelle der rechtsgenüglichen Beweiserhebung vernünftig anzusetzen. Wo der beweisbelasteten Partei der regelmässig äusserst schwierige Beweis des Nichtvorhandenseins einer Tatsache obliegt, ist die Gegenpartei nach Treu und Glauben gehalten, ihrerseits verstärkt bei der Beweisführung mitzuwirken, namentlich indem sie einen Gegenbeweis erbringt oder
BGE 147 III 139 S. 146

zumindest konkrete Anhaltspunkte für das Vorhandensein weiterer Daten aufzeigt (Urteil 1C_59/2015 vom 17. September 2015 E. 3.2 mit Hinweisen).
3.2 Art. 8 Abs. 2 lit. a DSG wurde erst nachträglich um die Verpflichtung ergänzt, Informationen über die Herkunft der Daten bekannt zu geben (Fassung gemäss Ziff. I des Bundesgesetzes vom 24. März 2006 über den Datenschutz, in Kraft seit 1. Januar 2008 [AS 2007 4985]). Danach sind alle verfügbaren "Angaben über die Herkunft der Daten" mitzuteilen ("les informations disponibles sur l'origine des données"; "le informazioni disponibili sull'origine dei dati"). Der Bundesrat führte in seiner Botschaft aus, die betroffene Person könne ein legitimes Interesse daran haben, die Herkunft der Daten zu kennen, beispielsweise, um auf die Datenquellen zurückzugreifen oder die Korrektur von Fehlern zu veranlassen. Die Präzisierung könne auch eine präventive Wirkung haben, indem bei der Beschaffung von Daten berücksichtigt werden müsse, dass die betroffene Person Informationen über deren Herkunft verlangen könne (Botschaft vom 19. Februar 2003 zur Änderung des Bundesgesetzes über den Datenschutz [DSG], BBl 2003 2101 ff., 2134 f. Ziff. 2.7). Auch auf europäischer Ebene hat die betroffene Person unter bestimmten Voraussetzungen das Recht, alle verfügbaren Informationen über die Herkunft der Daten zu erhalten (Art. 15 Abs. 1 lit. g der Verordnung [EU] 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl. L 119 vom 4. Mai 2016 S. 1).
3.2.1 Den Inhaber der Datensammlung trifft keine Pflicht, die Herkunftsangaben zu speichern (RENÉ HUBER, Die Teilrevision des Eidg. Datenschutzgesetzes - ungenügende Pinselrenovation, recht 24/2006 S. 205 ff., 208; BEAT RUDIN, in: Datenschutzgesetz [DSG], Baeriswyl/Pärli [Hrsg.], 2015, N. 36 zu Art. 8 DSG; MICHAEL WIDMER, Rechte der Datenschutzsubjekte, in: Datenschutzrecht, Beraten in Privatwirtschaft und öffentlicher Verwaltung, Passadelis/Rosenthal/Thür [Hrsg.], 2015, S. 149 ff., 157 Rz. 5.32; PHILIPPE MEIER, Protection des données, Fondements, principes généraux et droit privé, 2011, S. 382 Rz. 1038; EPINEY/FASNACHT, in: Datenschutzrecht, Grundlagen und öffentliches Recht, Belser/Epiney/Waldmann [Hrsg.], 2011, S. 617 § 11 Rz. 25). Im Nationalrat wurde ein
BGE 147 III 139 S. 147

Minderheitsantrag, der einen weitergehenden Rechtsanspruch verschaffen wollte, abgelehnt (AB 2005 N 1438-1441). Würden in der Datenbank vorhandene Angaben über die Herkunft der Daten allerdings nach Eingang eines Auskunftsbegehrens gelöscht, läge ein Verstoss gegen Treu und Glauben vor (ROSENTHAL, a.a.O., N. 13 zu Art. 8 DSG; MEIER, a.a.O., S. 382 Rz. 1039; DOMMER, a.a.O., S. 52 Rz. 129), und der Inhaber der Datensammlung liefe Gefahr, sich gemäss Art. 34 Abs. 1 lit. a DSG strafbar zu machen (MEIER, a.a.O., S. 382 Rz. 1039; DOMMER, a.a.O., S. 52 Rz. 129).
3.2.2 Im vorliegenden Fall geht es um die Auskunftspflicht einer Bank. Bei Finanzinstituten kommen als Angaben über die Herkunft der Daten beispielsweise die Mittel der Abklärungen in Frage, die in Art. 16 der Verordnung vom 3. Juni 2015 der Eidgenössischen Finanzmarktaufsicht über die Bekämpfung von Geldwäscherei und Terrorismusfinanzierung im Finanzsektor (Geldwäschereiverordnung-FINMA, GwV-FINMA; SR 955.033.0) aufgelistet sind. Zu denken ist an das Einholen schriftlicher oder mündlicher Auskünfte (Art. 16 Abs. 1 lit. a GwV-FINMA), Besuche am Ort der Geschäftstätigkeit (Art. 16 Abs. 1 lit. b GwV-FINMA), die Konsultation von allgemein zugänglichen öffentlichen Quellen und Datenbanken (Art. 16 Abs. 1 lit. c GwV-FINMA) sowie Erkundigungen bei vertrauenswürdigen Personen (Art. 16 Abs. 1 lit. d GwV-FINMA). Geht es nach DOMMER, so unterliegen solche Informationen dem Auskunftsrecht, sofern sie verfügbar sind. Dabei müsse die Angabe der Quelle möglichst spezifisch sein. Falls die Bank die Daten von vertrauenswürdigen Personen erhalte, habe sie deren Identität bekanntzugeben. Die Bekanntgabe der Identität verstosse nicht gegen die Grundsätze von Art. 4 DSG, da sie in Art. 8 Abs. 2 lit. a DSG gesetzlich vorgesehen sei (DOMMER, a.a.O., S. 52 f. Rz. 130).
3.3 Die Vorinstanz hielt unter Hinweis auf eine Kommentarstelle zu Art. 3 lit. a DSG (ROSENTHAL, a.a.O., N. 11 zu Art. 3 DSG) fest, mit "Angaben" betreffend die Herkunft der Daten im Sinne von Art. 8 Abs. 2 lit. a DSG seien (gleich wie mit dem Begriff "Angaben" in der Legaldefinition nach Art. 3 lit. a DSG) sowohl strukturierte Informationen (wie Datenbanken mit Kundenadressen, eine Buchhaltung mit Buchungssätzen) wie unstrukturierte Daten (Informationen in einem Aufsatz oder Brief oder der Inhalt eines Telefongesprächs) gemeint. Der Informationsträger müsse keine Sache sein, die Speicherung im menschlichen Gedächtnis genüge. Mit
BGE 147 III 139 S. 148

Blick auf den konkreten Fall kam die Vorinstanz zum Schluss, von der Auskunftspflicht über die Herkunft der Daten könnten auch ausserhalb der Datensammlung vorhandene Informationen erfasst werden. Sie könnten namentlich in Form eines Gesprächs bestehen, wobei als Informationsträger die Speicherung im Gedächtnis genüge. Ob Herkunftsangaben im Sinne von Art. 8 Abs. 2 lit. a DSG verfügbar seien, werde das Beweisergebnis nach Durchführung der Zeugen- und Parteibefragungen zeigen.
3.4 Mit ihrer Interpretation überdehnt die Vorinstanz das Auskunftsrecht und verkennt die Tragweite der von ihr zitierten Literaturstelle:
3.4.1 An der von der Vorinstanz zitierten Stelle geht es um den Begriff der "Personendaten" im Sinne von Art. 3 lit. a DSG, der weit zu verstehen ist (ROSENTHAL, a.a.O., N. 2 zu Art. 3 DSG; vgl. E. 3.1 hiervor). Das Auskunftsrecht nach Art. 8 DSG besteht aber nicht in Bezug auf sämtliche Informationen, die nach der Legaldefinition als Personendaten anzusehen sind. Mitgeteilt werden müssen nur Personendaten, die sich in einer Datensammlung befinden (ROSENTHAL, a.a.O., N. 15 zu Art. 8 DSG). Das Auskunftsrecht richtet sich gegen den Inhaber der Datensammlung. Es bezieht sich nach dem Gesetzestext einerseits auf die in der Datensammlung vorhandenen Daten und schliesst andererseits die verfügbaren Angaben über die Herkunft der Daten ein (Art. 8 Abs. 2 lit. a DSG). Den Begriff der Datensammlung definiert der von der Vorinstanz zitierte Autor, auch wenn er ihn grundsätzlich weit versteht (ROSENTHAL, a.a.O., N. 15 zu Art. 8 DSG), in seiner Besprechung von Art. 3 lit. g DSG indessen einschränkend. Er wendet sich ausdrücklich gegen die in der Lehre vertretene Auffassung, wonach praktisch jeder Datenbestand, der mittels EDV-Techniken mindestens nach Personen erschliessbar sein kann, eine Datensammlung im Sinne des DSG darstellen könne. Er ist der Auffassung, die Erschliessbarkeit sei nur eines von mehreren Kriterien. Im Rahmen der Auslegung der Legaldefinition müssten ebenso eine Reihe weiterer Elemente berücksichtigt werden, die sich teilweise aus dem Wortlaut, aber auch dem Sinn und Zweck der Legaldefinition ergäben. Zu berücksichtigen sei aber auch die Art und Weise, wie die Sonderpflichten (darunter auch die Auskunftspflicht nach Art. 8 DSG) ausgestaltet seien, die das Vorliegen einer Datensammlung auslöse, da die Ausgestaltung dieser Pflichten Aufschluss darüber gebe, was genau sich der Gesetzgeber unter einer Datensammlung vorgestellt habe (ROSENTHAL, a.a.O., N. 82 zu Art. 3 DSG).
BGE 147 III 139 S. 149

3.4.2 Das Auskunftsrecht steht nach Art. 8 Abs. 1 DSG jeder Person zu. Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen (Art. 8 Abs. 5 DSG). Die Auskunft kann nach Art. 1 Abs. 3 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG; SR 235.11) auch mündlich erteilt werden, wenn die betroffene Person eingewilligt hat und vom Inhaber identifiziert worden ist. Nur ausnahmsweise kann eine angemessene Beteiligung an den Kosten von maximal Fr. 300.- verlangt werden. Bei einem erstmaligen Gesuch um Auskunft wird dafür vorausgesetzt, dass die Auskunftserteilung mit einem besonders grossen Arbeitsaufwand verbunden war (Art. 2 Abs. 1 lit. b und Abs. 2 VDSG). Die Datensammlungen sind so zu gestalten, dass die betroffenen Personen ihr Auskunftsrecht und ihr Recht auf Berichtigung wahrnehmen können (Art. 9 Abs. 2 VDSG).
3.4.3 Die Ausgestaltung der Pflichten des Inhabers der Datensammlung in Gesetz und Verordnung lässt Rückschlüsse auf die Tragweite des Auskunftsrechts zu: Die Auskünfte sind grundsätzlich voraussetzungslos geschuldet, ohne jeden Interessennachweis (BGE 141 III 119 E. 7.1.1 S. 127; BGE 138 III 425 E. 5.5 S. 432; je mit Hinweisen). Sie sind in der Regel kostenlos und schriftlich zu erteilen. Dass ein derart voraussetzungs- und kostenloses Auskunftsrecht vorgesehen ist, zeigt, dass der Gesetzgeber davon ausgeht, eine Auskunftserteilung sei bei gesetzes- und verordnungskonformer Gestaltung der Datensammlung (Art. 9 Abs. 2 VDSG) in aller Regel ohne grossen Aufwand möglich. Die Auskunftspflicht bezieht sich auf alle in der Datensammlung vorhandenen Daten, weil mit Blick auf die Definition der Datensammlung und die Pflicht, diese den Anforderungen von Art. 9 Abs. 2 VDSG entsprechend zu gestalten, davon auszugehen ist, die Daten seien objektiv erschliessbar und ein gezielter Zugriff möglich (vgl. E. 3.1.1 hiervor), sodass die Auskunft in aller Regel ohne grösseren Aufwand erteilt werden kann. Auch in diesem Rahmen verlangt der von der Vorinstanz zitierte Autor vom Auskunftspflichtigen aber nicht die Durchführung aller technisch möglichen Datenabfragen (ROSENTHAL, a.a.O., N. 15 zu Art. 8 DSG mit Hinweis). Auch die Modalitäten der Auskunftserteilung sprechen dafür, dass das Auskunftsrecht nach Art. 8 DSG primär schriftlich festgehaltene Daten erfasst: Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie zu erteilen (Art. 8 Abs. 5 DSG).
BGE 147 III 139 S. 150

Eine mündliche Auskunftserteilung oder Einsicht vor Ort erfordert das Einverständnis beider Parteien (Art. 1 Abs. 3 VDSG; BGE 125 II 321 E. 3 S. 322 ff.; ROSENTHAL, a.a.O., N. 23 zu Art. 8 DSG). Diese Modalitäten sprechen dagegen, dass der Auskunftsersuchende einfach einen Verdacht betreffend die Herkunft einer Angabe aus einem Gespräch äussern und diesen durch Partei- und Zeugenbefragung verifizieren lassen kann. Der datenschutzrechtliche Auskunftsanspruch erfasst kein allgemeines Recht, durch Partei- und Zeugenbefragung zu erfahren, zwischen wem wann worüber ein personenbezogenes Gespräch stattgefunden hat. Vielmehr erhellt aus der gesetzlichen Regelung der Formalitäten der Auskunftserteilung, dass es dem Gesetzgeber darum geht, schriftlich bzw. "physisch" vorhandene, und deshalb auf Dauer objektiv einsehbare Datensammlungen zu erfassen, nicht aber bloss im Gedächtnis abrufbare Daten.
3.4.4 In Bezug auf Angaben über die Herkunft der Daten vertritt der genannte Autor die Auffassung, alle (in- oder ausserhalb der Datensammlung) vorhandenen Angaben müssten mitgeteilt werden, soweit dies für den Antragsteller nötig ist, seine Rechte auch gegenüber diesen Quellen geltend zu machen (ROSENTHAL, a.a.O., N. 13 zu Art. 8 DSG). Die Beschwerdeführerinnen sind der Ansicht, die Herkunftsangaben müssten nur übermittelt werden, wenn sie sich in der Datensammlung befinden. Entgegen ihren Ausführungen lässt sich dies indessen nicht aus dem Wortlaut von Art. 8 Abs. 2 lit. a DSG in den drei massgebenden Landessprachen (vgl. E. 3.1 hiervor) ableiten. Denn die Wendung "einschliesslich" ("y compris"; "comprese") bezieht sich nicht zwingend auf Personendaten innerhalb der Datenbank. Hätte der Gesetzgeber dies gewollt, hätte er die Pflicht zur Mitteilung schlicht auf "alle in der Datensammlung vorhandenen Daten einschliesslich der darin enthaltenen Angaben über deren Herkunft" beschränken können. Eine derartige Einschränkung liesse sich mit dem Zweck von Art. 8 Abs. 2 lit. a DSG aber nicht in Einklang bringen, zumal sich der Inhaber der Datensammlung unter dieser Voraussetzung seiner Auskunftspflicht ohne Weiteres entziehen könnte, indem er die Herkunftsangaben separat aufbewahrt. Eine präventive Wirkung (vgl. E. 3.2 hiervor) liesse sich so nicht erzielen.
3.4.5 Der Gesetzgeber spricht aber von "verfügbaren" Herkunftsangaben (so auch im neuen Datenschutzgesetz: Art. 25 Abs. 2 lit. e E-DSG; Botschaft vom 20. September 2020 zum Bundesgesetz über den Datenschutz [Datenschutzgesetz, DSG], BBl 2020 7639 ff., 7651)
BGE 147 III 139 S. 151

und hat das Auskunftsrecht auch insoweit grundsätzlich voraussetzungs- und kostenlos ausgestaltet (Art. 8 Abs. 5 DSG). Dies spricht ebenso wie die Verknüpfung mit dem Wort einschliesslich dafür, dass auch diese Auskunft in aller Regel nicht zu einer wesentlichen Mehrbelastung des Auskunftspflichtigen führen soll. Auch hier wird mithin implizit vorausgesetzt, dass der Inhaber der Datensammlung, wenn er die Herkunftsangaben aufbewahrt (wozu er allerdings nicht verpflichtet ist; vgl. E. 3.2.1 hiervor), dies so gestalten kann (Art. 9 Abs. 2 VDSG), dass auch die Herkunftsangaben objektiv erschliessbar sind und ein gezielter Zugriff darauf möglich ist, auch wenn sie ausserhalb der eigentlichen Datensammlung aufbewahrt werden.
3.4.6 Entgegen der Auffassung der Vorinstanz werden Angaben über die Herkunft von Daten, die allenfalls im Gehirn unter den gewöhnlichen Erinnerungen einer Person gespeichert sein könnten (und nicht etwa auf Geheiss des Inhabers der Datensammlung auswendig gelernt wurden), nicht vom Auskunftsrecht erfasst. Denn über derartige Informationen kann der Inhaber der Datensammlung nicht verfügen. Er kann, ohne Nachforschungen bei der betroffenen Person anzustellen, objektiv nicht wissen, ob die Herkunftsangaben zu einem gegebenen Zeitpunkt noch vorhanden sind. Im Rahmen der voraussetzungslos geschuldeten Auskunft nach Art. 8 DSG kann von ihm nicht verlangt werden, dass er diesbezüglich bei jedem Auskunftsbegehren Abklärungen vornimmt. Da die zu erteilende Auskunft wahr und vollständig sein muss (vgl. E. 3.1.2 hiervor), wäre er dazu aber verpflichtet und zwar selbst dann, wenn die Herkunftsangaben für den Auskunftsberechtigten gar nicht von Interesse sind. Dass sich die Herkunft der Daten im Rahmen entsprechender Abklärungen allenfalls rekonstruieren lässt, bedeutet mithin nicht, dass diese Angaben verfügbar im Sinne von Art. 8 Abs. 2 lit. a DSG sind. Wird vom Inhaber der Datensammlung nicht verlangt, die Herkunftsangaben zu speichern, kann von ihm im Rahmen von Art. 8 DSG auch nicht verlangt werden, dass er Nachforschungen nach Herkunftsangaben anstellt, die er nicht aufbewahrt hat.
3.5 Vor diesem Hintergrund betreffen die Beweissätze keine prozessrelevanten Punkte:
3.5.1 Selbst wenn im Zusammenhang mit der Zahlung von Fr. 566'000.- an den Beschwerdegegner zwischen dem General Counsel der Beschwerdeführerin 3 und einem Partner der Anwaltskanzlei ein Gespräch stattgefunden haben sollte, lässt sich daraus nicht
BGE 147 III 139 S. 152

ableiten, dass für die Beschwerdeführerinnen im Rahmen von Art. 8 Abs. 2 lit. a DSG eine entsprechende Auskunftspflicht besteht, denn dazu müsste diese Angabe verfügbar sein, das heisst ohne Nachforschungen beim Betroffenen erteilt werden können.
3.5.2 Auch dass der Partner der Anwaltskanzlei im Zuge dieses Gesprächs dem General Counsel der Beschwerdeführerin 3 allenfalls personenbezogene Informationen über den Beschwerdegegner mitgeteilt haben könnte, sagt nichts über die Verfügbarkeit der Angaben betreffend die Herkunft der Daten aus. Da der Inhalt des Gesprächs nicht zum Beweissatz gehört, könnten auch keine inhaltlichen Rückschlüsse auf die Vollständigkeit der erteilten Auskünfte gezogen werden.
3.5.3 Dass der General Counsel der Beschwerdeführerin 3 den Inhalt dieses Gesprächs einer anderen Person schriftlich mitgeteilt haben könnte oder dass der General Counsel der Beschwerdeführerin 3 den Inhalt dieses Gesprächs einem Mitarbeiter oder Organ einer der Beschwerdeführerinnen mündlich mitgeteilt haben könnte, worauf diese Person den Inhalt dieses Gesprächs schriftlich festgehalten hat, bildet zwar eine Voraussetzung dafür, dass überhaupt eine Auskunftspflicht in Betracht fällt, nämlich sofern das erwähnte Schriftstück nicht lediglich zum vorübergehenden Gebrauch bestimmt war, sondern vielmehr aufbewahrt wurde, so dass ein gezielter Zugriff darauf möglich wäre. Aus der Tatsache allein, dass ein entsprechendes Schriftstück allenfalls einmal verfasst wurde, folgt dies aber nicht. Da der Inhalt des Gesprächs wieder nicht zum Beweissatz gehört, könnten zudem auch hier keine inhaltlichen Rückschlüsse auf die Vollständigkeit der erteilten Auskünfte gezogen werden.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 272 Code de procédure civile du 19 décembre 2008 (CPC) - Loi sur les fors CPC Art. 150 Objet de la preuve - 1 La preuve a pour objet les faits pertinents et contestés.
¹	La preuve a pour objet les faits pertinents et contestés.
²	La preuve peut également porter sur l'usage, les usages locaux et, dans les litiges patrimoniaux, le droit étranger.

SR 272 Code de procédure civile du 19 décembre 2008 (CPC) - Loi sur les fors CPC Art. 152 Droit à la preuve - 1 Toute partie a droit à ce que le tribunal administre les moyens de preuve adéquats proposés régulièrement et en temps utile.
¹	Toute partie a droit à ce que le tribunal administre les moyens de preuve adéquats proposés régulièrement et en temps utile.
²	Le tribunal ne prend en considération les moyens de preuve obtenus de manière illicite que si l'intérêt à la manifestation de la vérité est prépondérant.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
¹	Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
²	Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
³	Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.

SR 210 Code civil suisse du 10 décembre 1907 CC Art. 170 - 1 Chaque époux peut demander à son conjoint qu'il le renseigne sur ses revenus, ses biens et ses dettes.
¹	Chaque époux peut demander à son conjoint qu'il le renseigne sur ses revenus, ses biens et ses dettes.
²	Le juge peut astreindre le conjoint du requérant ou des tiers à fournir les renseignements utiles et à produire les pièces nécessaires.
³	Est réservé le secret professionnel des avocats, des notaires, des médecins, des ecclésiastiques et de leurs auxiliaires.

SR 272 Code de procédure civile du 19 décembre 2008 (CPC) - Loi sur les fors CPC Art. 160 Obligation de collaborer - 1 Les parties et les tiers sont tenus de collaborer à l'administration des preuves. Ils ont en particulier l'obligation:
¹	Les parties et les tiers sont tenus de collaborer à l'administration des preuves. Ils ont en particulier l'obligation:
^a	de faire une déposition conforme à la vérité en qualité de partie ou de témoin;
^b	de produire les titres requis, à l'exception des documents concernant des contacts entre une partie ou un tiers et un avocat autorisé à les représenter à titre professionnel ou un conseil en brevets au sens de l'art. 2 de la loi du 20 mars 2009 sur les conseils en brevets68;
^c	de tolérer un examen de leur personne ou une inspection de leurs biens par un expert.
²	Le tribunal statue librement sur le devoir de collaborer des mineurs. Il tient compte du bien de l'enfant.
³	Les tiers qui ont l'obligation de collaborer ont droit à une indemnité équitable.

SR 220 Première partie: Dispositions générales Titre premier: De la formation des obligations Chapitre I: Des obligations résultant d'un contrat CO Art. 400 - 1 Le mandataire est tenu, à la demande du mandant, de lui rendre en tout temps compte de sa gestion et de lui restituer tout ce qu'il a reçu de ce chef, à quelque titre que ce soit.
¹	Le mandataire est tenu, à la demande du mandant, de lui rendre en tout temps compte de sa gestion et de lui restituer tout ce qu'il a reçu de ce chef, à quelque titre que ce soit.
²	Il doit l'intérêt des sommes pour le versement desquelles il est en retard.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 34 Bases légales - 1 Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.
¹	Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.
²	La base légale doit être prévue dans une loi au sens formel dans les cas suivants:
^a	il s'agit d'un traitement de données sensibles;
^b	il s'agit d'un profilage;
^c	la finalité ou le mode du traitement de données personnelles est susceptible de porter gravement atteinte aux droits fondamentaux de la personne concernée.
³	Pour les traitements de données personnelles visés à l'al. 2, let. a et b, une base légale prévue dans une loi au sens matériel suffit si les conditions suivantes sont réunies:
^a	le traitement est indispensable à l'accomplissement d'une tâche définie dans une loi au sens formel;
^b	la finalité du traitement ne présente pas de risques particuliers pour les droits fondamentaux de la personne concernée.
⁴	En dérogation aux al. 1 à 3, les organes fédéraux peuvent traiter des données personnelles si l'une des conditions suivantes est remplie:
^a	le Conseil fédéral a autorisé le traitement, considérant que les droits des personnes concernées ne sont pas menacés;
^b	la personne concernée a consenti au traitement en l'espèce ou a rendu ses données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
^c	le traitement est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
¹	La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
²	Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 5 Définitions - On entend par:
^a	données personnelles: toutes les informations concernant une personne physique identifiée ou identifiable;
^b	personne concernée: la personne physique dont les données personnelles font l'objet d'un traitement;
^c	données personnelles sensibles (données sensibles):
^c1	les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
^c2	les données sur la santé, la sphère intime ou l'origine raciale ou ethnique,
^c3	les données génétiques,
^c4	les données biométriques identifiant une personne physique de manière univoque,
^c5	les données sur des poursuites ou sanctions pénales et administratives,
^c6	les données sur des mesures d'aide sociale;
^d	traitement: toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement ou la destruction de données;
^e	communication: le fait de transmettre des données personnelles ou de les rendre accessibles;
^f	profilage: toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
^g	profilage à risque élevé: tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu'il conduit à un appariement de données qui permet d'apprécier les caractéristiques essentielles de la personnalité d'une personne physique;
^h	violation de la sécurité des données: toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données;
ⁱ	organe fédéral: l'autorité fédérale, le service fédéral ou la personne chargée d'une tâche publique de la Confédération;
^j	responsable du traitement: la personne privée ou l'organe fédéral qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données personnelles;
^k	sous-traitant: la personne privée ou l'organe fédéral qui traite des données personnelles pour le compte du responsable du traitement.

SR 955.033.0 Ordonnance du 3 juin 2015 de l'Autorité fédérale de surveillance des marchés financiers sur la lutte contre le blanchiment d'argent et le financement du terrorisme dans le secteur financier (Ordonnance de la FINMA sur le blanchiment d'argent, OBA-FINMA) - Ordonnance 3 de la FINMA sur le blanchiment d'argent OBA-FINMA Art. 16 Moyens de clarification
¹	Selon les circonstances, les clarifications comprennent notamment:
^a	la prise de renseignements écrits ou oraux auprès des cocontractants, des détenteurs du contrôle ou des ayants droit économiques des valeurs patrimoniales;
^b	des visites des lieux où les cocontractants, les détenteurs du contrôle ou les ayants droit économiques des valeurs patrimoniales conduisent leurs affaires;
^c	une consultation des sources et des banques de données accessibles au public;
^d	le cas échéant, des renseignements auprès de personnes dignes de confiance.
²	L'intermédiaire financier vérifie si les résultats des clarifications sont plausibles et les documente.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
¹	Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
²	Il ne peut exercer aucune surveillance sur:
^a	l'Assemblée fédérale;
^b	le Conseil fédéral;
^c	les tribunaux fédéraux;
^d	le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
^e	les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.

SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 1 Principes - 1 Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.
¹	Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.
²	Le besoin de protection des données personnelles est évalué en fonction des critères suivants:
^a	le type de données traitées;
^b	la finalité, la nature, l'étendue et les circonstances du traitement.
³	Le risque pour la personnalité ou les droits fondamentaux de la personne concernée est évalué en fonction des critères suivants:
^a	les causes du risque;
^b	les principales menaces;
^c	les mesures prises ou prévues pour réduire le risque;
^d	la probabilité et la gravité d'une violation de la sécurité des données, malgré les mesures prises ou prévues.
⁴	Lors de la détermination des mesures techniques et organisationnelles, les critères suivants sont de plus pris en compte:
^a	l'état des connaissances;
^b	les coûts de mise en oeuvre.
⁵	Le besoin de protection des données personnelles, le risque encouru, ainsi que les mesures techniques et organisationnelles sont réévalués pendant toute la durée du traitement. En cas de besoin, les mesures sont adaptées.

SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 2 Objectifs - En fonction du besoin de protection, le responsable du traitement et le sous-traitant prennent des mesures techniques et organisationnelles pour que les données traitées:
^a	ne soient accessibles qu'aux personnes autorisées (confidentialité);
^b	soient disponibles en cas de besoin (disponibilité);
^c	ne puissent être modifiées sans droit ou par mégarde (intégrité);
^d	soient traitées de manière à être traçables (traçabilité).

SR 235.11 Ordonnance du 31 août 2022 sur la protection des données (OPDo) OPDo Art. 9 Clauses de protection des données d'un contrat et garanties spécifiques - 1 Les clauses de protection des données d'un contrat au sens de l'art. 16, al. 2, let. b, LPD et les garanties spécifiques au sens de l'art. 16, al. 2, let. c, LPD comprennent au moins les points suivants:
¹	Les clauses de protection des données d'un contrat au sens de l'art. 16, al. 2, let. b, LPD et les garanties spécifiques au sens de l'art. 16, al. 2, let. c, LPD comprennent au moins les points suivants:
^a	l'application des principes de licéité, de bonne foi, de proportionnalité, de transparence, de finalité et d'exactitude;
^b	les catégories de données communiquées et de personnes concernées;
^c	le type et la finalité de la communication des données personnelles;
^d	le cas échéant, le nom des États ou des organismes internationaux auxquels sont destinées les données personnelles, et les conditions applicables à la communication;
^e	les conditions applicables à la conservation, à l'effacement et à la destruction des données personnelles;
^f	les destinataires ou les catégories de destinataires;
^g	les mesures visant à garantir la sécurité des données;
^h	l'obligation d'annoncer les violations de la sécurité des données;
ⁱ	l'obligation pour le destinataire, lorsqu'il est responsable du traitement, d'informer les personnes concernées par le traitement des données;
^j	les droits de la personne concernée, en particulier:
^j1	le droit d'accès et le droit à la remise ou à la transmission des données personnelles,
^j2	le droit de s'opposer à la communication des données,
^j3	le droit de demander la rectification, l'effacement ou la destruction des données,
^j4	le droit de saisir en justice une autorité indépendante.
²	Le responsable du traitement ou, dans le cas de clauses de protection des données d'un contrat, le sous-traitant prend les mesures adéquates pour s'assurer que le destinataire respecte ces clauses ou les garanties spécifiques.
³	Une fois les clauses de protection des données d'un contrat ou les garanties spécifiques annoncées au PFPDT, le devoir d'information du responsable du traitement est réputé également rempli pour toutes les communications:
^a	qui se fondent sur les mêmes clauses ou garanties, pour autant que les catégories de destinataires, les finalités du traitement et les catégories de données communiquées soient similaires, ou
^b	qui sont effectuées au sein d'une même personne morale ou société ou entre des entreprises appartenant au même groupe.

SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) LPD Art. 25 Droit d'accès - 1 Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
¹	Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.
²	La personne concernée reçoit les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. Dans tous les cas, elle reçoit les informations suivantes:
^a	l'identité et les coordonnées du responsable du traitement;
^b	les données personnelles traitées en tant que telles;
^c	la finalité du traitement;
^d	la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour fixer cette dernière;
^e	les informations disponibles sur l'origine des données personnelles, dans la mesure où ces données n'ont pas été collectées auprès de la personne concernée;
^f	le cas échéant, l'existence d'une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;
^g	le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l'art. 19, al. 4.
³	Des données personnelles sur la santé de la personne concernée peuvent lui être communiquées, moyennant son consentement, par l'intermédiaire d'un professionnel de la santé qu'elle aura désigné.
⁴	Le responsable du traitement qui fait traiter des données personnelles par un sous-traitant demeure tenu de fournir les renseignements demandés.
⁵	Nul ne peut renoncer par avance au droit d'accès.
⁶	Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil fédéral peut prévoir des exceptions, notamment si la communication de l'information exige des efforts disproportionnés.
⁷	En règle générale, les renseignements sont fournis dans un délai de 30 jours.