Urteilskopf

147 III 139

15. Auszug aus dem Urteil der I. zivilrechtlichen Abteilung i.S. A.A. AG, A.B. AG und A.C. AG gegen D.D. und E.D. (Beschwerde in Zivilsachen) 4A_125/2020 vom 10. Dezember 2020

Regeste (de):

Regeste (fr):

Regesto (it):


Sachverhalt ab Seite 140

BGE 147 III 139 S. 140

D.D. (Beschwerdegegner) und E.D. (Beschwerdegegnerin) unterhielten eine Geschäftsbeziehung zu einer Bank, nämlich zunächst zur Bank A.A. AG (Beschwerdeführerin 1) und danach zur Bank A.B. AG (Beschwerdeführerin 2), deren Beteiligungen die Bank A.C. AG (Beschwerdeführerin 3) als Holdinggesellschaft hält. Im April 2013 wurde der Beschwerdegegner von den US-amerikanischen Strafverfolgungsbehörden wegen Beihilfe zu Steuerdelikten angeklagt, was seinen Ausschluss aus der Anwaltskanzlei F. zur Folge hatte. Daraus resultierte ein Rechtsstreit zwischen der Anwaltskanzlei und dem Beschwerdegegner. Am 15. Dezember 2015 überwies die Anwaltskanzlei aus diesem Rechtsstreit Fr. 566'000.- auf das Konto des Beschwerdegegners bei der Beschwerdeführerin 2. Im Januar 2016 beabsichtige die Beschwerdeführerin 2, die Geschäftsbeziehung mit dem Beschwerdegegner zu beenden. Im Verlaufe des Jahres saldierte sie die auf den Beschwerdegegner und auf
BGE 147 III 139 S. 141

beide Beschwerdegegner lautenden Konten und erfasste den Beschwerdegegner in der Datenbank als unerwünschten Kunden (Code "UK"). Die Geschäftsbeziehung mit der Beschwerdegegnerin lösten die Beschwerdeführerinnen im Januar 2017 auf. Die Beschwerdeführerin 2 hatte im Mai 2014 im Steuerstreit mit den US-amerikanischen Behörden einer Vergleichsvereinbarung mit der New Yorker Aufsichtsbehörde zugestimmt. Die Beschwerdeführerinnen behaupten, die Beschwerdeführerin 2 habe bei der Umsetzung der Vergleichsvereinbarung im November 2015 entschieden, die Geschäftsbeziehungen zu Personen zu beenden, die in den USA wegen Beihilfe zu Steuerdelikten angeklagt oder verurteilt worden seien. Dies schliesse den Beschwerdegegner ein. Im Dezember 2015 habe die Beschwerdeführerin 2 mit der Umsetzung dieses Entscheids begonnen.
Die Beschwerdegegner halten diese Begründung für vorgeschoben. Sie sind der Ansicht, ein Partner der Anwaltskanzlei habe den General Counsel der Beschwerdeführerin 3 kontaktiert und diesen informiert, dass der Beschwerdegegner bei der Beschwerdeführerin 1 eine Bankkundenbeziehung habe. Dies sei angereichert worden mit der personenbezogenen Information, wonach der Beschwerdegegner in den USA wegen Beihilfe zur Steuerhinterziehung angeklagt sei und man der Bank rate, die Bankkundenbeziehung zu beenden. Darauf habe der General Counsel am Morgen des 21. Dezember 2015 von einem Mitarbeiter eine Liste der Personen angefordert, die in den USA wegen Beihilfe zu Steuerdelikten angeklagt oder verurteilt worden seien und deren Geschäftsbeziehungen gemäss einem bereits im November 2015 gefassten Beschluss beendet werden sollten. In der Folge habe man die Umsetzung des Entscheids veranlasst, wonach sämtliche Konten von Bankkunden, welche in den USA angeklagt waren, geschlossen würden, darunter jenes des Beschwerdegegners. Die Beschwerdegegner klagten beim Bezirksgericht Zürich auf Auskunft gemäss Datenschutzgesetz. Der Beschwerdegegner verlangte im Wesentlichen Auskunft über sämtliche Personendaten der Beschwerdeführerinnen mit inhaltlichem Bezug auf ihn betreffend die konsultierten und verwendeten Personendaten im Zusammenhang mit dem Zahlungseingang von Fr. 566'000.- per 15. Dezember 2015. Das Bezirksgericht erliess am 29. Juli 2019 eine Beweisverfügung, worin es Zeugenbefragungen des angesprochenen Partners der
BGE 147 III 139 S. 142

Anwaltskanzlei und eines weiteren Anwalts sowie eine Parteibefragung des General Counsel vorsah, und zwar gemäss Dispositivziffer 1 der Verfügung zu folgenden Behauptungen der Beschwerdegegner: a) Dass im Zusammenhang mit der Zahlung von Fr. 566'000.- an den Beschwerdegegner zwischen dem General Counsel der Beschwerdeführerin 3 und einem Partner der Anwaltskanzlei ein Gespräch stattgefunden hat. b) Dass der Partner der Anwaltskanzlei im Zuge dieses Gesprächs dem General Counsel der Beschwerdeführerin 3 personenbezogene Informationen über den Beschwerdegegner mitgeteilt hat. c) Dass der General Counsel der Beschwerdeführerin 3 den Inhalt dieses Gesprächs einer anderen Person schriftlich mitgeteilt hat oder dass der General Counsel der Beschwerdeführerin 3 den Inhalt dieses Gesprächs einem Mitarbeiter oder Organ einer der Beschwerdeführerinnen mündlich mitgeteilt hat, worauf diese Person den Inhalt dieses Gesprächs schriftlich festgehalten hat. Gegen diese Beweisverfügung erhoben die Beschwerdeführerinnen Beschwerde, welche das Obergericht des Kantons Zürich am 30. Januar 2020 abwies, soweit es darauf eintrat. Es kam im Wesentlichen zum Schluss, die mit den Beweissätzen a) bis c) zum Beweis verstellten Tatsachen seien durch den Auskunftsanspruch gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, Datenschutzgesetz; SR 235.1) gedeckt. Auf Beschwerde der Beschwerdeführerinnen hebt das Bundesgericht den angefochtenen Entscheid sowie die Beweisverfügung des Bezirksgerichts Zürich vom 29. Juli 2019 auf. (Zusammenfassung)

Erwägungen

Aus den Erwägungen:

1. (...)

1.7 Im zu beurteilenden Fall sind zwei Aspekte auseinanderzuhalten: Einerseits die Tragweite des eingeklagten materiellen Anspruchs auf Auskunftserteilung gemäss Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG und andererseits die Voraussetzungen und der Umfang des Anspruchs auf Beweisabnahme nach Art. 150 Abs. 1
SR 272 Schweizerische Zivilprozessordnung vom 19. Dezember 2008 (Zivilprozessordnung, ZPO) - Gerichtsstandsgesetz
ZPO Art. 150 Beweisgegenstand - 1 Gegenstand des Beweises sind rechtserhebliche, streitige Tatsachen.
1    Gegenstand des Beweises sind rechtserhebliche, streitige Tatsachen.
2    Beweisgegenstand können auch Übung, Ortsgebrauch und, bei vermögensrechtlichen Streitigkeiten, ausländisches Recht sein.
und Art. 152 Abs. 1
SR 272 Schweizerische Zivilprozessordnung vom 19. Dezember 2008 (Zivilprozessordnung, ZPO) - Gerichtsstandsgesetz
ZPO Art. 152 Recht auf Beweis - 1 Jede Partei hat das Recht, dass das Gericht die von ihr form- und fristgerecht angebotenen tauglichen Beweismittel abnimmt.
1    Jede Partei hat das Recht, dass das Gericht die von ihr form- und fristgerecht angebotenen tauglichen Beweismittel abnimmt.
2    Rechtswidrig beschaffte Beweismittel werden nur berücksichtigt, wenn das Interesse an der Wahrheitsfindung überwiegt.
ZPO (vgl. BGE 138 III 425 E. 4.4 S. 430 sowie im Zusammenhang mit der Auskunftspflicht nach Art. 170
SR 210 Schweizerisches Zivilgesetzbuch vom 10. Dezember 1907
ZGB Art. 170 - 1 Jeder Ehegatte kann vom andern Auskunft über dessen Einkommen, Vermögen und Schulden verlangen.
1    Jeder Ehegatte kann vom andern Auskunft über dessen Einkommen, Vermögen und Schulden verlangen.
2    Auf sein Begehren kann das Gericht den andern Ehegatten oder Dritte verpflichten, die erforderlichen Auskünfte zu erteilen und die notwendigen Urkunden vorzulegen.
3    Vorbehalten bleibt das Berufsgeheimnis der Rechtsanwälte, Notare, Ärzte, Geistlichen und ihrer Hilfspersonen.
ZGB: Urteile des Bundesgerichts 5A_635/2013 vom 28. Juli 2014 E. 3.2; 5A_421/2013 vom 19. August 2013 E. 1.2.1 f.).
BGE 147 III 139 S. 143

1.7.1 Die Einvernahme eines Zeugen oder einer Partei im Prozess unterliegt prozessrechtlichen Regeln (Art. 160 ff
SR 272 Schweizerische Zivilprozessordnung vom 19. Dezember 2008 (Zivilprozessordnung, ZPO) - Gerichtsstandsgesetz
ZPO Art. 160 Mitwirkungspflicht - 1 Die Parteien und Dritte sind zur Mitwirkung bei der Beweiserhebung verpflichtet. Insbesondere haben sie:
1    Die Parteien und Dritte sind zur Mitwirkung bei der Beweiserhebung verpflichtet. Insbesondere haben sie:
a  als Partei, als Zeugin oder als Zeuge wahrheitsgemäss auszusagen;
b  Urkunden herauszugeben; ausgenommen sind Unterlagen aus dem Verkehr einer Partei oder einer Drittperson mit einer Anwältin oder einem Anwalt, die oder der zur berufsmässigen Vertretung berechtigt ist, oder mit einer Patentanwältin oder einem Patentanwalt im Sinne von Artikel 2 des Patentanwaltsgesetzes vom 20. März 200964;
c  einen Augenschein an Person oder Eigentum durch Sachverständige zu dulden.
2    Über die Mitwirkungspflicht einer minderjährigen Person entscheidet das Gericht nach seinem Ermessen.65 Es berücksichtigt dabei das Kindeswohl.
3    Dritte, die zur Mitwirkung verpflichtet sind, haben Anspruch auf eine angemessene Entschädigung.
. ZPO). Der Umfang des eingeklagten materiellen Anspruchs auf Auskunftserteilung nach Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG beeinflusst den Umfang des Anspruchs auf Beweisabnahme im Prozess (Art. 8
SR 210 Schweizerisches Zivilgesetzbuch vom 10. Dezember 1907
ZGB Art. 8 - Wo das Gesetz es nicht anders bestimmt, hat derjenige das Vorhandensein einer behaupteten Tatsache zu beweisen, der aus ihr Rechte ableitet.
ZGB; Art. 152
SR 272 Schweizerische Zivilprozessordnung vom 19. Dezember 2008 (Zivilprozessordnung, ZPO) - Gerichtsstandsgesetz
ZPO Art. 152 Recht auf Beweis - 1 Jede Partei hat das Recht, dass das Gericht die von ihr form- und fristgerecht angebotenen tauglichen Beweismittel abnimmt.
1    Jede Partei hat das Recht, dass das Gericht die von ihr form- und fristgerecht angebotenen tauglichen Beweismittel abnimmt.
2    Rechtswidrig beschaffte Beweismittel werden nur berücksichtigt, wenn das Interesse an der Wahrheitsfindung überwiegt.
ZPO) aber insoweit, als Gegenstand des Beweises ausschliesslich rechtserhebliche, streitige Tatsachen bilden (Art. 150 Abs. 1
SR 272 Schweizerische Zivilprozessordnung vom 19. Dezember 2008 (Zivilprozessordnung, ZPO) - Gerichtsstandsgesetz
ZPO Art. 150 Beweisgegenstand - 1 Gegenstand des Beweises sind rechtserhebliche, streitige Tatsachen.
1    Gegenstand des Beweises sind rechtserhebliche, streitige Tatsachen.
2    Beweisgegenstand können auch Übung, Ortsgebrauch und, bei vermögensrechtlichen Streitigkeiten, ausländisches Recht sein.
ZPO). Beweismittel, wie die Zeugenbefragung oder das Institut der prozessualen Edition, können indessen nicht als Instrument der Informationsbeschaffung dienen, sondern stellen nach der ZPO Mittel der Beweiserhebung dar (vgl. für die Edition: BGE 141 III 281 E. 3.4.3 S. 286). Hier besteht, wenn materielle Ansprüche auf Auskunft im Streit stehen, die Gefahr, dass das Beweisverfahren zur Anspruchsdurchsetzung ohne Prüfung der Anspruchsvoraussetzungen missbraucht werden könnte und mit dem Beweisverfahren faktisch über den eingeklagten Anspruch entschieden wird, bevor geklärt ist, ob eine Pflicht zur Auskunft besteht. So hat das Bundesgericht beispielsweise im Zusammenhang mit einer vorsorglichen Beweisführung entschieden, im Rahmen einer solchen könne nicht vorsorglich eine Aktenherausgabe verlangt werden, wenn zwischen den Parteien umstritten sei, ob der Kläger gestützt auf Art. 400
SR 220 Erste Abteilung: Allgemeine Bestimmungen Erster Titel: Die Entstehung der Obligationen Erster Abschnitt: Die Entstehung durch Vertrag
OR Art. 400 - 1 Der Beauftragte ist schuldig, auf Verlangen jederzeit über seine Geschäftsführung Rechenschaft abzulegen und alles, was ihm infolge derselben aus irgendeinem Grunde zugekommen ist, zu erstatten.
1    Der Beauftragte ist schuldig, auf Verlangen jederzeit über seine Geschäftsführung Rechenschaft abzulegen und alles, was ihm infolge derselben aus irgendeinem Grunde zugekommen ist, zu erstatten.
2    Gelder, mit deren Ablieferung er sich im Rückstande befindet, hat er zu verzinsen.
OR materiell einen entsprechenden Anspruch erheben kann (BGE 141 III 564 E. 4.2.1 f.; BGE 138 III 728 E. 2.7 S. 732 f.).
1.7.2 Sowohl für den materiellen Anspruch auf Auskunft nach Datenschutzgesetz als auch für den zivilprozessualen Anspruch auf Beweisabnahme gilt sodann, dass diese nicht zu einer verpönten Beweisausforschung missbraucht werden dürfen (vgl. BGE 138 III 425 E. 4.3 S. 430). Mit Blick auf das Datenschutzgesetz fällt Rechtsmissbrauch in Betracht, wenn das Auskunftsrecht zu datenschutzwidrigen Zwecken eingesetzt wird, etwa um sich die Kosten einer Datenbeschaffung zu sparen, die sonst bezahlt werden müssten. Zu denken ist etwa auch an eine schikanöse Rechtsausübung ohne wirkliches Interesse an der Auskunft, lediglich um den Auskunftspflichtigen zu schädigen. Eine zweckwidrige Verwendung des datenschutzrechtlichen Auskunftsrechts (beziehungsweise der Beweisabnahme in einem Prozess um das Auskunftsrecht) wäre wohl auch anzunehmen, wenn das Auskunftsbegehren einzig zum Zweck gestellt wird, eine (spätere) Gegenpartei auszuforschen und Beweise zu beschaffen, an die eine Partei sonst nicht gelangen könnte (BGE 141 III 119 E. 7.1.1 S. 127 f.; BGE 138 III 425 E. 5.5 S. 432; Urteil 4A_277/2020
BGE 147 III 139 S. 144

vom 18. November 2020 E. 5.3 f.; je mit Hinweisen). Denn das Auskunftsrecht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG will nicht die Beweismittelbeschaffung erleichtern oder in das Zivilprozessrecht eingreifen (BGE 138 III 425 E. 5.5 S. 432; zit. Urteil 4A_277/2020 E. 5.3). (...) (...)

3. Die Beschwerdeführerinnen machen geltend, die Vorinstanz habe die Tragweite des datenschutzrechtlichen Auskunftsanspruchs verkannt und Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG sowie Art. 150
SR 272 Schweizerische Zivilprozessordnung vom 19. Dezember 2008 (Zivilprozessordnung, ZPO) - Gerichtsstandsgesetz
ZPO Art. 150 Beweisgegenstand - 1 Gegenstand des Beweises sind rechtserhebliche, streitige Tatsachen.
1    Gegenstand des Beweises sind rechtserhebliche, streitige Tatsachen.
2    Beweisgegenstand können auch Übung, Ortsgebrauch und, bei vermögensrechtlichen Streitigkeiten, ausländisches Recht sein.
ZPO unrichtig angewendet.
3.1 Gemäss Art. 8 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Insbesondere muss der Inhaber der Datensammlung der betroffenen Person alle über sie in der Datensammlung vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten mitteilen (Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG). Aus dem französischen und italienischen Wortlaut ergibt sich nichts anderes: Mitzuteilen sind "alle (...) vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten" ("toutes les données [...] qui sont contenues dans le fichier, y compris les informations disponibles sur l'origine des données"; "tutti i dati [...] contenuti nella collezione, comprese le informazioni disponibili sull'origine dei dati"). Das Auskunftsrecht ist mit einer Strafdrohung bewehrt: Verletzt eine private Person ihre Auskunftspflicht, indem sie vorsätzlich eine falsche oder eine unvollständige Auskunft erteilt, dann wird sie auf Antrag mit Busse bestraft (Art. 34 Abs. 1 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 34 Rechtsgrundlagen - 1 Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.
1    Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.
2    Eine Grundlage in einem Gesetz im formellen Sinn ist in folgenden Fällen erforderlich:
a  Es handelt sich um die Bearbeitung von besonders schützenswerten Personendaten.
b  Es handelt sich um ein Profiling.
c  Der Bearbeitungszweck oder die Art und Weise der Datenbearbeitung können zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person führen.
3    Für die Bearbeitung von Personendaten nach Absatz 2 Buchstaben a und b ist eine Grundlage in einem Gesetz im materiellen Sinn ausreichend, wenn die folgenden Voraussetzungen erfüllt sind:
a  Die Bearbeitung ist für eine in einem Gesetz im formellen Sinn festgelegte Aufgabe unentbehrlich.
b  Der Bearbeitungszweck birgt für die Grundrechte der betroffenen Person keine besonderen Risiken.
4    In Abweichung von den Absätzen 1-3 dürfen Bundesorgane Personendaten bearbeiten, wenn eine der folgenden Voraussetzungen erfüllt ist:
a  Der Bundesrat hat die Bearbeitung bewilligt, weil er die Rechte der betroffenen Person für nicht gefährdet hält.
b  Die betroffene Person hat im Einzelfall in die Bearbeitung eingewilligt oder hat ihre Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
c  Die Bearbeitung ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
DSG). Die Lehre versteht den Begriff der "Personendaten (Daten)" gemäss Art. 3 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG "weit" (DAVID ROSENTHAL, in: Handkommentar zum Datenschutzgesetz, Rosenthal/Jöhri [Hrsg.], 2008, N. 2 zu Art. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG, N. 13 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG), "extensiv" (BLECHTA, in: Basler Kommentar, Datenschutzgesetz, Öffentlichkeitsgesetz, 3. Aufl. 2014, N. 7 zu Art. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG) oder "ausserordentlich weit" (OLIVER GNEHM, Das datenschutzrechtliche Auskunftsrecht, in: Durchsetzung der Rechte der Betroffenen im Bereich des Datenschutzes, Epiney/Nüesch [Hrsg.], 2015, S. 77 ff., 90). Auch der Begriff der Datensammlung gemäss Art. 3 lit. g
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG wird im Schrifttum weit gefasst (GNEHM, a.a.O., S. 91 f.; BLECHTA, a.a.O., N. 78 ff. zu Art. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG).
3.1.1 Gemäss Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG erstreckt sich das Auskunftsrecht auf alle über eine Person in einer Datensammlung
BGE 147 III 139 S. 145

vorhandenen Daten, d.h. auf alle Angaben, die sich auf diese Person beziehen (Art. 3 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG) und ihr zugeordnet werden können (Art. 3 lit. g
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG). Unerheblich ist die Art der Speicherung oder die Bezeichnung der Datensammlung durch den Inhaber. Das Auskunftsrecht kann nicht dadurch unterlaufen werden, dass z.B. neben der "offiziellen Datensammlung auch eine "inoffizielle" geführt wird. Insoweit kann sich der Auskunftsanspruch gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG auch auf "interne" Akten beziehen (BGE 125 II 473 E. 4b S. 475 mit Hinweis). In diesem Rahmen können mithin auch ausserhalb der eigentlichen Datensammlung abgelegte Datenbestände vom Auskunftsrecht erfasst sein, soweit sie objektiv nach Personen erschliessbar sind und an den anderen Ablageorten ein gezielter Zugriff möglich ist (vgl. ROSENTHAL, a.a.O., N. 15 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG; GRAMIGNA/ MAURER-LAMBROU, in: Basler Kommentar, a.a.O., N. 26 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG; NICOLAS DOMMER, Die Auskunftspflichten der Bank gegenüber Vermögensverwaltungskunden, 2018, S. 51 Rz. 126). Voraussetzung freilich bildet, dass wenigstens eine Datensammlung gemäss Art. 3 lit. g
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG existiert, ansonsten fehlt es am Gegenstand des Auskunftsrechts nach Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG (GRAMIGNA/MAURER-LAMBROU, a.a.O., N. 26 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG).
3.1.2 Die zu erteilende Auskunft muss wahr und vollständig sein (vgl. Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz [DSG], BBl 1988 II 413 ff., 453 Ziff. 221.2 zu Art. 5 Abs. 2 E
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 5 Begriffe - In diesem Gesetz bedeuten:
a  Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;
b  betroffene Person: natürliche Person, über die Personendaten bearbeitet werden;
c  besonders schützenswerte Personendaten:
c1  Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
c2  Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
c3  genetische Daten,
c4  biometrische Daten, die eine natürliche Person eindeutig identifizieren,
c5  Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
c6  Daten über Massnahmen der sozialen Hilfe;
d  Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten;
e  Bekanntgeben: das Übermitteln oder Zugänglichmachen von Personendaten;
f  Profiling: jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
g  Profiling mit hohem Risiko: Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt;
h  Verletzung der Datensicherheit: eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden;
i  Bundesorgan: Behörde oder Dienststelle des Bundes oder Person, die mit öffentlichen Aufgaben des Bundes betraut ist;
j  Verantwortlicher: private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet;
k  Auftragsbearbeiter: private Person oder Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet.
-DSG), wofür der Inhaber einer Datensammlung im Streitfall beweispflichtig ist (Urteil 1C_59/2015 vom 17. September 2015 E. 3.2 mit Hinweisen). Das Auskunftsrecht erstreckt sich nach der Rechtsprechung und dem Gesetzeswortlaut nur auf noch vorhandene Daten (BGE 136 II 508 E. 3.7 S. 517). Der Umstand, dass wie hier negative Tatsachen, namentlich das Nichtvorhandensein zusätzlicher, nicht bereits ausgehändigter Informationen über den Beschwerdegegner, bewiesen werden müssen, ändert grundsätzlich nichts an der Beweislast (BGE 139 II 451 E. 2.4 S. 451; BGE 133 V 205 E. 5.5 S. 217 mit Hinweisen; zit. Urteil 1C_59/2015 E. 3.2). Da es aber naturgemäss einfacher ist, das Vorhandensein von Tatsachen zu beweisen als deren Nichtvorhandensein, ist die Schwelle der rechtsgenüglichen Beweiserhebung vernünftig anzusetzen. Wo der beweisbelasteten Partei der regelmässig äusserst schwierige Beweis des Nichtvorhandenseins einer Tatsache obliegt, ist die Gegenpartei nach Treu und Glauben gehalten, ihrerseits verstärkt bei der Beweisführung mitzuwirken, namentlich indem sie einen Gegenbeweis erbringt oder
BGE 147 III 139 S. 146

zumindest konkrete Anhaltspunkte für das Vorhandensein weiterer Daten aufzeigt (Urteil 1C_59/2015 vom 17. September 2015 E. 3.2 mit Hinweisen).
3.2 Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG wurde erst nachträglich um die Verpflichtung ergänzt, Informationen über die Herkunft der Daten bekannt zu geben (Fassung gemäss Ziff. I des Bundesgesetzes vom 24. März 2006 über den Datenschutz, in Kraft seit 1. Januar 2008 [AS 2007 4985]). Danach sind alle verfügbaren "Angaben über die Herkunft der Daten" mitzuteilen ("les informations disponibles sur l'origine des données"; "le informazioni disponibili sull'origine dei dati"). Der Bundesrat führte in seiner Botschaft aus, die betroffene Person könne ein legitimes Interesse daran haben, die Herkunft der Daten zu kennen, beispielsweise, um auf die Datenquellen zurückzugreifen oder die Korrektur von Fehlern zu veranlassen. Die Präzisierung könne auch eine präventive Wirkung haben, indem bei der Beschaffung von Daten berücksichtigt werden müsse, dass die betroffene Person Informationen über deren Herkunft verlangen könne (Botschaft vom 19. Februar 2003 zur Änderung des Bundesgesetzes über den Datenschutz [DSG], BBl 2003 2101 ff., 2134 f. Ziff. 2.7). Auch auf europäischer Ebene hat die betroffene Person unter bestimmten Voraussetzungen das Recht, alle verfügbaren Informationen über die Herkunft der Daten zu erhalten (Art. 15 Abs. 1 lit. g
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
der Verordnung [EU] 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl. L 119 vom 4. Mai 2016 S. 1).
3.2.1 Den Inhaber der Datensammlung trifft keine Pflicht, die Herkunftsangaben zu speichern (RENÉ HUBER, Die Teilrevision des Eidg. Datenschutzgesetzes - ungenügende Pinselrenovation, recht 24/2006 S. 205 ff., 208; BEAT RUDIN, in: Datenschutzgesetz [DSG], Baeriswyl/Pärli [Hrsg.], 2015, N. 36 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG; MICHAEL WIDMER, Rechte der Datenschutzsubjekte, in: Datenschutzrecht, Beraten in Privatwirtschaft und öffentlicher Verwaltung, Passadelis/Rosenthal/Thür [Hrsg.], 2015, S. 149 ff., 157 Rz. 5.32; PHILIPPE MEIER, Protection des données, Fondements, principes généraux et droit privé, 2011, S. 382 Rz. 1038; EPINEY/FASNACHT, in: Datenschutzrecht, Grundlagen und öffentliches Recht, Belser/Epiney/Waldmann [Hrsg.], 2011, S. 617 § 11 Rz. 25). Im Nationalrat wurde ein
BGE 147 III 139 S. 147

Minderheitsantrag, der einen weitergehenden Rechtsanspruch verschaffen wollte, abgelehnt (AB 2005 N 1438-1441). Würden in der Datenbank vorhandene Angaben über die Herkunft der Daten allerdings nach Eingang eines Auskunftsbegehrens gelöscht, läge ein Verstoss gegen Treu und Glauben vor (ROSENTHAL, a.a.O., N. 13 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG; MEIER, a.a.O., S. 382 Rz. 1039; DOMMER, a.a.O., S. 52 Rz. 129), und der Inhaber der Datensammlung liefe Gefahr, sich gemäss Art. 34 Abs. 1 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 34 Rechtsgrundlagen - 1 Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.
1    Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.
2    Eine Grundlage in einem Gesetz im formellen Sinn ist in folgenden Fällen erforderlich:
a  Es handelt sich um die Bearbeitung von besonders schützenswerten Personendaten.
b  Es handelt sich um ein Profiling.
c  Der Bearbeitungszweck oder die Art und Weise der Datenbearbeitung können zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person führen.
3    Für die Bearbeitung von Personendaten nach Absatz 2 Buchstaben a und b ist eine Grundlage in einem Gesetz im materiellen Sinn ausreichend, wenn die folgenden Voraussetzungen erfüllt sind:
a  Die Bearbeitung ist für eine in einem Gesetz im formellen Sinn festgelegte Aufgabe unentbehrlich.
b  Der Bearbeitungszweck birgt für die Grundrechte der betroffenen Person keine besonderen Risiken.
4    In Abweichung von den Absätzen 1-3 dürfen Bundesorgane Personendaten bearbeiten, wenn eine der folgenden Voraussetzungen erfüllt ist:
a  Der Bundesrat hat die Bearbeitung bewilligt, weil er die Rechte der betroffenen Person für nicht gefährdet hält.
b  Die betroffene Person hat im Einzelfall in die Bearbeitung eingewilligt oder hat ihre Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
c  Die Bearbeitung ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
DSG strafbar zu machen (MEIER, a.a.O., S. 382 Rz. 1039; DOMMER, a.a.O., S. 52 Rz. 129).
3.2.2 Im vorliegenden Fall geht es um die Auskunftspflicht einer Bank. Bei Finanzinstituten kommen als Angaben über die Herkunft der Daten beispielsweise die Mittel der Abklärungen in Frage, die in Art. 16 der Verordnung vom 3. Juni 2015 der Eidgenössischen Finanzmarktaufsicht über die Bekämpfung von Geldwäscherei und Terrorismusfinanzierung im Finanzsektor (Geldwäschereiverordnung-FINMA, GwV-FINMA; SR 955.033.0) aufgelistet sind. Zu denken ist an das Einholen schriftlicher oder mündlicher Auskünfte (Art. 16 Abs. 1 lit. a
SR 955.033.0 Verordnung vom 3. Juni 2015 der Eidgenössischen Finanzmarktaufsicht über die Bekämpfung von Geldwäscherei und Terrorismusfinanzierung im Finanzsektor (Geldwäschereiverordnung-FINMA, GwV-FINMA) - Geldwäschereiverordnung-FINMA
GwV-FINMA Art. 16 Mittel der Abklärungen - 1 Die Abklärungen umfassen je nach den Umständen namentlich:
1    Die Abklärungen umfassen je nach den Umständen namentlich:
a  das Einholen schriftlicher oder mündlicher Auskünfte der Vertragspartei, der Kontrollinhaberin, des Kontrollinhabers oder der an Vermögenswerten wirtschaftlich berechtigten Person;
b  Besuche am Ort der Geschäftstätigkeit der Vertragspartei, der Kontrollinhaberin, des Kontrollinhabers oder der an Vermögenswerten wirtschaftlich berechtigten Person;
c  die Konsultation allgemein zugänglicher öffentlicher Quellen und Datenbanken;
d  gegebenenfalls Erkundigungen bei vertrauenswürdigen Personen.
2    Der Finanzintermediär überprüft die Ergebnisse der Abklärungen auf ihre Plausibilität hin und dokumentiert sie.
GwV-FINMA), Besuche am Ort der Geschäftstätigkeit (Art. 16 Abs. 1 lit. b
SR 955.033.0 Verordnung vom 3. Juni 2015 der Eidgenössischen Finanzmarktaufsicht über die Bekämpfung von Geldwäscherei und Terrorismusfinanzierung im Finanzsektor (Geldwäschereiverordnung-FINMA, GwV-FINMA) - Geldwäschereiverordnung-FINMA
GwV-FINMA Art. 16 Mittel der Abklärungen - 1 Die Abklärungen umfassen je nach den Umständen namentlich:
1    Die Abklärungen umfassen je nach den Umständen namentlich:
a  das Einholen schriftlicher oder mündlicher Auskünfte der Vertragspartei, der Kontrollinhaberin, des Kontrollinhabers oder der an Vermögenswerten wirtschaftlich berechtigten Person;
b  Besuche am Ort der Geschäftstätigkeit der Vertragspartei, der Kontrollinhaberin, des Kontrollinhabers oder der an Vermögenswerten wirtschaftlich berechtigten Person;
c  die Konsultation allgemein zugänglicher öffentlicher Quellen und Datenbanken;
d  gegebenenfalls Erkundigungen bei vertrauenswürdigen Personen.
2    Der Finanzintermediär überprüft die Ergebnisse der Abklärungen auf ihre Plausibilität hin und dokumentiert sie.
GwV-FINMA), die Konsultation von allgemein zugänglichen öffentlichen Quellen und Datenbanken (Art. 16 Abs. 1 lit. c
SR 955.033.0 Verordnung vom 3. Juni 2015 der Eidgenössischen Finanzmarktaufsicht über die Bekämpfung von Geldwäscherei und Terrorismusfinanzierung im Finanzsektor (Geldwäschereiverordnung-FINMA, GwV-FINMA) - Geldwäschereiverordnung-FINMA
GwV-FINMA Art. 16 Mittel der Abklärungen - 1 Die Abklärungen umfassen je nach den Umständen namentlich:
1    Die Abklärungen umfassen je nach den Umständen namentlich:
a  das Einholen schriftlicher oder mündlicher Auskünfte der Vertragspartei, der Kontrollinhaberin, des Kontrollinhabers oder der an Vermögenswerten wirtschaftlich berechtigten Person;
b  Besuche am Ort der Geschäftstätigkeit der Vertragspartei, der Kontrollinhaberin, des Kontrollinhabers oder der an Vermögenswerten wirtschaftlich berechtigten Person;
c  die Konsultation allgemein zugänglicher öffentlicher Quellen und Datenbanken;
d  gegebenenfalls Erkundigungen bei vertrauenswürdigen Personen.
2    Der Finanzintermediär überprüft die Ergebnisse der Abklärungen auf ihre Plausibilität hin und dokumentiert sie.
GwV-FINMA) sowie Erkundigungen bei vertrauenswürdigen Personen (Art. 16 Abs. 1 lit. d
SR 955.033.0 Verordnung vom 3. Juni 2015 der Eidgenössischen Finanzmarktaufsicht über die Bekämpfung von Geldwäscherei und Terrorismusfinanzierung im Finanzsektor (Geldwäschereiverordnung-FINMA, GwV-FINMA) - Geldwäschereiverordnung-FINMA
GwV-FINMA Art. 16 Mittel der Abklärungen - 1 Die Abklärungen umfassen je nach den Umständen namentlich:
1    Die Abklärungen umfassen je nach den Umständen namentlich:
a  das Einholen schriftlicher oder mündlicher Auskünfte der Vertragspartei, der Kontrollinhaberin, des Kontrollinhabers oder der an Vermögenswerten wirtschaftlich berechtigten Person;
b  Besuche am Ort der Geschäftstätigkeit der Vertragspartei, der Kontrollinhaberin, des Kontrollinhabers oder der an Vermögenswerten wirtschaftlich berechtigten Person;
c  die Konsultation allgemein zugänglicher öffentlicher Quellen und Datenbanken;
d  gegebenenfalls Erkundigungen bei vertrauenswürdigen Personen.
2    Der Finanzintermediär überprüft die Ergebnisse der Abklärungen auf ihre Plausibilität hin und dokumentiert sie.
GwV-FINMA). Geht es nach DOMMER, so unterliegen solche Informationen dem Auskunftsrecht, sofern sie verfügbar sind. Dabei müsse die Angabe der Quelle möglichst spezifisch sein. Falls die Bank die Daten von vertrauenswürdigen Personen erhalte, habe sie deren Identität bekanntzugeben. Die Bekanntgabe der Identität verstosse nicht gegen die Grundsätze von Art. 4
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 4 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter - 1 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
1    Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
2    Von der Aufsicht durch den EDÖB sind ausgenommen:
a  die Bundesversammlung;
b  der Bundesrat;
c  die eidgenössischen Gerichte;
d  die Bundesanwaltschaft: betreffend die Bearbeitung von Personendaten im Rahmen von Strafverfahren;
e  Bundesbehörden: betreffend die Bearbeitung von Personendaten im Rahmen einer rechtsprechenden Tätigkeit oder von Verfahren der internationalen Rechtshilfe in Strafsachen.
DSG, da sie in Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG gesetzlich vorgesehen sei (DOMMER, a.a.O., S. 52 f. Rz. 130).
3.3 Die Vorinstanz hielt unter Hinweis auf eine Kommentarstelle zu Art. 3 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG (ROSENTHAL, a.a.O., N. 11 zu Art. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG) fest, mit "Angaben" betreffend die Herkunft der Daten im Sinne von Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG seien (gleich wie mit dem Begriff "Angaben" in der Legaldefinition nach Art. 3 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG) sowohl strukturierte Informationen (wie Datenbanken mit Kundenadressen, eine Buchhaltung mit Buchungssätzen) wie unstrukturierte Daten (Informationen in einem Aufsatz oder Brief oder der Inhalt eines Telefongesprächs) gemeint. Der Informationsträger müsse keine Sache sein, die Speicherung im menschlichen Gedächtnis genüge. Mit
BGE 147 III 139 S. 148

Blick auf den konkreten Fall kam die Vorinstanz zum Schluss, von der Auskunftspflicht über die Herkunft der Daten könnten auch ausserhalb der Datensammlung vorhandene Informationen erfasst werden. Sie könnten namentlich in Form eines Gesprächs bestehen, wobei als Informationsträger die Speicherung im Gedächtnis genüge. Ob Herkunftsangaben im Sinne von Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG verfügbar seien, werde das Beweisergebnis nach Durchführung der Zeugen- und Parteibefragungen zeigen.
3.4 Mit ihrer Interpretation überdehnt die Vorinstanz das Auskunftsrecht und verkennt die Tragweite der von ihr zitierten Literaturstelle:
3.4.1 An der von der Vorinstanz zitierten Stelle geht es um den Begriff der "Personendaten" im Sinne von Art. 3 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG, der weit zu verstehen ist (ROSENTHAL, a.a.O., N. 2 zu Art. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG; vgl. E. 3.1 hiervor). Das Auskunftsrecht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG besteht aber nicht in Bezug auf sämtliche Informationen, die nach der Legaldefinition als Personendaten anzusehen sind. Mitgeteilt werden müssen nur Personendaten, die sich in einer Datensammlung befinden (ROSENTHAL, a.a.O., N. 15 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG). Das Auskunftsrecht richtet sich gegen den Inhaber der Datensammlung. Es bezieht sich nach dem Gesetzestext einerseits auf die in der Datensammlung vorhandenen Daten und schliesst andererseits die verfügbaren Angaben über die Herkunft der Daten ein (Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG). Den Begriff der Datensammlung definiert der von der Vorinstanz zitierte Autor, auch wenn er ihn grundsätzlich weit versteht (ROSENTHAL, a.a.O., N. 15 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG), in seiner Besprechung von Art. 3 lit. g
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG indessen einschränkend. Er wendet sich ausdrücklich gegen die in der Lehre vertretene Auffassung, wonach praktisch jeder Datenbestand, der mittels EDV-Techniken mindestens nach Personen erschliessbar sein kann, eine Datensammlung im Sinne des DSG darstellen könne. Er ist der Auffassung, die Erschliessbarkeit sei nur eines von mehreren Kriterien. Im Rahmen der Auslegung der Legaldefinition müssten ebenso eine Reihe weiterer Elemente berücksichtigt werden, die sich teilweise aus dem Wortlaut, aber auch dem Sinn und Zweck der Legaldefinition ergäben. Zu berücksichtigen sei aber auch die Art und Weise, wie die Sonderpflichten (darunter auch die Auskunftspflicht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG) ausgestaltet seien, die das Vorliegen einer Datensammlung auslöse, da die Ausgestaltung dieser Pflichten Aufschluss darüber gebe, was genau sich der Gesetzgeber unter einer Datensammlung vorgestellt habe (ROSENTHAL, a.a.O., N. 82 zu Art. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG).
BGE 147 III 139 S. 149

3.4.2 Das Auskunftsrecht steht nach Art. 8 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG jeder Person zu. Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen (Art. 8 Abs. 5
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG). Die Auskunft kann nach Art. 1 Abs. 3
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
1    Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
2    Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:
a  Art der bearbeiteten Daten;
b  Zweck, Art, Umfang und Umstände der Bearbeitung.
3    Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:
a  Ursachen des Risikos;
b  hauptsächliche Gefahren;
c  ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
d  Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.
4    Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:
a  Stand der Technik;
b  Implementierungskosten.
5    Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.
der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG; SR 235.11) auch mündlich erteilt werden, wenn die betroffene Person eingewilligt hat und vom Inhaber identifiziert worden ist. Nur ausnahmsweise kann eine angemessene Beteiligung an den Kosten von maximal Fr. 300.- verlangt werden. Bei einem erstmaligen Gesuch um Auskunft wird dafür vorausgesetzt, dass die Auskunftserteilung mit einem besonders grossen Arbeitsaufwand verbunden war (Art. 2 Abs. 1 lit. b
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 2 Ziele - Der Verantwortliche und der Auftragsbearbeiter müssen technische und organisatorische Massnahmen treffen, damit die bearbeiteten Daten ihrem Schutzbedarf entsprechend:
a  nur Berechtigten zugänglich sind (Vertraulichkeit);
b  verfügbar sind, wenn sie benötigt werden (Verfügbarkeit);
c  nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität);
d  nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).
und Abs. 2 VDSG). Die Datensammlungen sind so zu gestalten, dass die betroffenen Personen ihr Auskunftsrecht und ihr Recht auf Berichtigung wahrnehmen können (Art. 9 Abs. 2
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 9 Datenschutzklauseln und spezifische Garantien - 1 Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:
1    Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:
a  die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit;
b  die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;
c  die Art und den Zweck der Bekanntgabe von Personendaten;
d  gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe;
e  die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;
f  die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
g  die Massnahmen zur Gewährleistung der Datensicherheit;
h  die Pflicht, Verletzungen der Datensicherheit zu melden;
i  falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren;
j  die Rechte der betroffenen Person, insbesondere:
j1  das Auskunftsrecht und das Recht auf Datenherausgabe oder -übertragung,
j2  das Recht, der Datenbekanntgabe zu widersprechen,
j3  das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,
j4  das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen.
2    Der Verantwortliche und im Fall von Datenschutzklauseln in einem Vertrag der Auftragsbearbeiter müssen angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese Klauseln oder die spezifischen Garantien einhält.
3    Wurde der EDÖB über die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:
a  unter denselben Datenschutzklauseln oder Garantien erfolgen, sofern die Kategorien der Empfängerinnen und Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder
b  innerhalb derselben juristischen Person oder Gesellschaft oder zwischen Unternehmen, die zum selben Konzern gehören, stattfinden.
VDSG).
3.4.3 Die Ausgestaltung der Pflichten des Inhabers der Datensammlung in Gesetz und Verordnung lässt Rückschlüsse auf die Tragweite des Auskunftsrechts zu: Die Auskünfte sind grundsätzlich voraussetzungslos geschuldet, ohne jeden Interessennachweis (BGE 141 III 119 E. 7.1.1 S. 127; BGE 138 III 425 E. 5.5 S. 432; je mit Hinweisen). Sie sind in der Regel kostenlos und schriftlich zu erteilen. Dass ein derart voraussetzungs- und kostenloses Auskunftsrecht vorgesehen ist, zeigt, dass der Gesetzgeber davon ausgeht, eine Auskunftserteilung sei bei gesetzes- und verordnungskonformer Gestaltung der Datensammlung (Art. 9 Abs. 2
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 9 Datenschutzklauseln und spezifische Garantien - 1 Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:
1    Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:
a  die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit;
b  die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;
c  die Art und den Zweck der Bekanntgabe von Personendaten;
d  gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe;
e  die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;
f  die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
g  die Massnahmen zur Gewährleistung der Datensicherheit;
h  die Pflicht, Verletzungen der Datensicherheit zu melden;
i  falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren;
j  die Rechte der betroffenen Person, insbesondere:
j1  das Auskunftsrecht und das Recht auf Datenherausgabe oder -übertragung,
j2  das Recht, der Datenbekanntgabe zu widersprechen,
j3  das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,
j4  das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen.
2    Der Verantwortliche und im Fall von Datenschutzklauseln in einem Vertrag der Auftragsbearbeiter müssen angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese Klauseln oder die spezifischen Garantien einhält.
3    Wurde der EDÖB über die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:
a  unter denselben Datenschutzklauseln oder Garantien erfolgen, sofern die Kategorien der Empfängerinnen und Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder
b  innerhalb derselben juristischen Person oder Gesellschaft oder zwischen Unternehmen, die zum selben Konzern gehören, stattfinden.
VDSG) in aller Regel ohne grossen Aufwand möglich. Die Auskunftspflicht bezieht sich auf alle in der Datensammlung vorhandenen Daten, weil mit Blick auf die Definition der Datensammlung und die Pflicht, diese den Anforderungen von Art. 9 Abs. 2
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 9 Datenschutzklauseln und spezifische Garantien - 1 Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:
1    Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:
a  die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit;
b  die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;
c  die Art und den Zweck der Bekanntgabe von Personendaten;
d  gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe;
e  die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;
f  die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
g  die Massnahmen zur Gewährleistung der Datensicherheit;
h  die Pflicht, Verletzungen der Datensicherheit zu melden;
i  falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren;
j  die Rechte der betroffenen Person, insbesondere:
j1  das Auskunftsrecht und das Recht auf Datenherausgabe oder -übertragung,
j2  das Recht, der Datenbekanntgabe zu widersprechen,
j3  das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,
j4  das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen.
2    Der Verantwortliche und im Fall von Datenschutzklauseln in einem Vertrag der Auftragsbearbeiter müssen angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese Klauseln oder die spezifischen Garantien einhält.
3    Wurde der EDÖB über die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:
a  unter denselben Datenschutzklauseln oder Garantien erfolgen, sofern die Kategorien der Empfängerinnen und Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder
b  innerhalb derselben juristischen Person oder Gesellschaft oder zwischen Unternehmen, die zum selben Konzern gehören, stattfinden.
VDSG entsprechend zu gestalten, davon auszugehen ist, die Daten seien objektiv erschliessbar und ein gezielter Zugriff möglich (vgl. E. 3.1.1 hiervor), sodass die Auskunft in aller Regel ohne grösseren Aufwand erteilt werden kann. Auch in diesem Rahmen verlangt der von der Vorinstanz zitierte Autor vom Auskunftspflichtigen aber nicht die Durchführung aller technisch möglichen Datenabfragen (ROSENTHAL, a.a.O., N. 15 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG mit Hinweis). Auch die Modalitäten der Auskunftserteilung sprechen dafür, dass das Auskunftsrecht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG primär schriftlich festgehaltene Daten erfasst: Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie zu erteilen (Art. 8 Abs. 5
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG).
BGE 147 III 139 S. 150

Eine mündliche Auskunftserteilung oder Einsicht vor Ort erfordert das Einverständnis beider Parteien (Art. 1 Abs. 3
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
1    Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
2    Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:
a  Art der bearbeiteten Daten;
b  Zweck, Art, Umfang und Umstände der Bearbeitung.
3    Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:
a  Ursachen des Risikos;
b  hauptsächliche Gefahren;
c  ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
d  Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.
4    Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:
a  Stand der Technik;
b  Implementierungskosten.
5    Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.
VDSG; BGE 125 II 321 E. 3 S. 322 ff.; ROSENTHAL, a.a.O., N. 23 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG). Diese Modalitäten sprechen dagegen, dass der Auskunftsersuchende einfach einen Verdacht betreffend die Herkunft einer Angabe aus einem Gespräch äussern und diesen durch Partei- und Zeugenbefragung verifizieren lassen kann. Der datenschutzrechtliche Auskunftsanspruch erfasst kein allgemeines Recht, durch Partei- und Zeugenbefragung zu erfahren, zwischen wem wann worüber ein personenbezogenes Gespräch stattgefunden hat. Vielmehr erhellt aus der gesetzlichen Regelung der Formalitäten der Auskunftserteilung, dass es dem Gesetzgeber darum geht, schriftlich bzw. "physisch" vorhandene, und deshalb auf Dauer objektiv einsehbare Datensammlungen zu erfassen, nicht aber bloss im Gedächtnis abrufbare Daten.
3.4.4 In Bezug auf Angaben über die Herkunft der Daten vertritt der genannte Autor die Auffassung, alle (in- oder ausserhalb der Datensammlung) vorhandenen Angaben müssten mitgeteilt werden, soweit dies für den Antragsteller nötig ist, seine Rechte auch gegenüber diesen Quellen geltend zu machen (ROSENTHAL, a.a.O., N. 13 zu Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG). Die Beschwerdeführerinnen sind der Ansicht, die Herkunftsangaben müssten nur übermittelt werden, wenn sie sich in der Datensammlung befinden. Entgegen ihren Ausführungen lässt sich dies indessen nicht aus dem Wortlaut von Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG in den drei massgebenden Landessprachen (vgl. E. 3.1 hiervor) ableiten. Denn die Wendung "einschliesslich" ("y compris"; "comprese") bezieht sich nicht zwingend auf Personendaten innerhalb der Datenbank. Hätte der Gesetzgeber dies gewollt, hätte er die Pflicht zur Mitteilung schlicht auf "alle in der Datensammlung vorhandenen Daten einschliesslich der darin enthaltenen Angaben über deren Herkunft" beschränken können. Eine derartige Einschränkung liesse sich mit dem Zweck von Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG aber nicht in Einklang bringen, zumal sich der Inhaber der Datensammlung unter dieser Voraussetzung seiner Auskunftspflicht ohne Weiteres entziehen könnte, indem er die Herkunftsangaben separat aufbewahrt. Eine präventive Wirkung (vgl. E. 3.2 hiervor) liesse sich so nicht erzielen.
3.4.5 Der Gesetzgeber spricht aber von "verfügbaren" Herkunftsangaben (so auch im neuen Datenschutzgesetz: Art. 25 Abs. 2 lit. e
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 25 Auskunftsrecht - 1 Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
1    Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
2    Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. In jedem Fall werden ihr folgende Informationen mitgeteilt:
a  die Identität und die Kontaktdaten des Verantwortlichen;
b  die bearbeiteten Personendaten als solche;
c  der Bearbeitungszweck;
d  die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
e  die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
f  gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
g  gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.
3    Personendaten über die Gesundheit können der betroffenen Person mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden.
4    Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig.
5    Niemand kann im Voraus auf das Auskunftsrecht verzichten.
6    Der Verantwortliche muss kostenlos Auskunft erteilen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.
7    Die Auskunft wird in der Regel innerhalb von 30 Tagen erteilt.
E-DSG; Botschaft vom 20. September 2020 zum Bundesgesetz über den Datenschutz [Datenschutzgesetz, DSG], BBl 2020 7639 ff., 7651)
BGE 147 III 139 S. 151

und hat das Auskunftsrecht auch insoweit grundsätzlich voraussetzungs- und kostenlos ausgestaltet (Art. 8 Abs. 5
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG). Dies spricht ebenso wie die Verknüpfung mit dem Wort einschliesslich dafür, dass auch diese Auskunft in aller Regel nicht zu einer wesentlichen Mehrbelastung des Auskunftspflichtigen führen soll. Auch hier wird mithin implizit vorausgesetzt, dass der Inhaber der Datensammlung, wenn er die Herkunftsangaben aufbewahrt (wozu er allerdings nicht verpflichtet ist; vgl. E. 3.2.1 hiervor), dies so gestalten kann (Art. 9 Abs. 2
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 9 Datenschutzklauseln und spezifische Garantien - 1 Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:
1    Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:
a  die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit;
b  die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;
c  die Art und den Zweck der Bekanntgabe von Personendaten;
d  gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe;
e  die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;
f  die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
g  die Massnahmen zur Gewährleistung der Datensicherheit;
h  die Pflicht, Verletzungen der Datensicherheit zu melden;
i  falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren;
j  die Rechte der betroffenen Person, insbesondere:
j1  das Auskunftsrecht und das Recht auf Datenherausgabe oder -übertragung,
j2  das Recht, der Datenbekanntgabe zu widersprechen,
j3  das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,
j4  das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen.
2    Der Verantwortliche und im Fall von Datenschutzklauseln in einem Vertrag der Auftragsbearbeiter müssen angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese Klauseln oder die spezifischen Garantien einhält.
3    Wurde der EDÖB über die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:
a  unter denselben Datenschutzklauseln oder Garantien erfolgen, sofern die Kategorien der Empfängerinnen und Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder
b  innerhalb derselben juristischen Person oder Gesellschaft oder zwischen Unternehmen, die zum selben Konzern gehören, stattfinden.
VDSG), dass auch die Herkunftsangaben objektiv erschliessbar sind und ein gezielter Zugriff darauf möglich ist, auch wenn sie ausserhalb der eigentlichen Datensammlung aufbewahrt werden.
3.4.6 Entgegen der Auffassung der Vorinstanz werden Angaben über die Herkunft von Daten, die allenfalls im Gehirn unter den gewöhnlichen Erinnerungen einer Person gespeichert sein könnten (und nicht etwa auf Geheiss des Inhabers der Datensammlung auswendig gelernt wurden), nicht vom Auskunftsrecht erfasst. Denn über derartige Informationen kann der Inhaber der Datensammlung nicht verfügen. Er kann, ohne Nachforschungen bei der betroffenen Person anzustellen, objektiv nicht wissen, ob die Herkunftsangaben zu einem gegebenen Zeitpunkt noch vorhanden sind. Im Rahmen der voraussetzungslos geschuldeten Auskunft nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG kann von ihm nicht verlangt werden, dass er diesbezüglich bei jedem Auskunftsbegehren Abklärungen vornimmt. Da die zu erteilende Auskunft wahr und vollständig sein muss (vgl. E. 3.1.2 hiervor), wäre er dazu aber verpflichtet und zwar selbst dann, wenn die Herkunftsangaben für den Auskunftsberechtigten gar nicht von Interesse sind. Dass sich die Herkunft der Daten im Rahmen entsprechender Abklärungen allenfalls rekonstruieren lässt, bedeutet mithin nicht, dass diese Angaben verfügbar im Sinne von Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG sind. Wird vom Inhaber der Datensammlung nicht verlangt, die Herkunftsangaben zu speichern, kann von ihm im Rahmen von Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG auch nicht verlangt werden, dass er Nachforschungen nach Herkunftsangaben anstellt, die er nicht aufbewahrt hat.
3.5 Vor diesem Hintergrund betreffen die Beweissätze keine prozessrelevanten Punkte:
3.5.1 Selbst wenn im Zusammenhang mit der Zahlung von Fr. 566'000.- an den Beschwerdegegner zwischen dem General Counsel der Beschwerdeführerin 3 und einem Partner der Anwaltskanzlei ein Gespräch stattgefunden haben sollte, lässt sich daraus nicht
BGE 147 III 139 S. 152

ableiten, dass für die Beschwerdeführerinnen im Rahmen von Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG eine entsprechende Auskunftspflicht besteht, denn dazu müsste diese Angabe verfügbar sein, das heisst ohne Nachforschungen beim Betroffenen erteilt werden können.
3.5.2 Auch dass der Partner der Anwaltskanzlei im Zuge dieses Gesprächs dem General Counsel der Beschwerdeführerin 3 allenfalls personenbezogene Informationen über den Beschwerdegegner mitgeteilt haben könnte, sagt nichts über die Verfügbarkeit der Angaben betreffend die Herkunft der Daten aus. Da der Inhalt des Gesprächs nicht zum Beweissatz gehört, könnten auch keine inhaltlichen Rückschlüsse auf die Vollständigkeit der erteilten Auskünfte gezogen werden.
3.5.3 Dass der General Counsel der Beschwerdeführerin 3 den Inhalt dieses Gesprächs einer anderen Person schriftlich mitgeteilt haben könnte oder dass der General Counsel der Beschwerdeführerin 3 den Inhalt dieses Gesprächs einem Mitarbeiter oder Organ einer der Beschwerdeführerinnen mündlich mitgeteilt haben könnte, worauf diese Person den Inhalt dieses Gesprächs schriftlich festgehalten hat, bildet zwar eine Voraussetzung dafür, dass überhaupt eine Auskunftspflicht in Betracht fällt, nämlich sofern das erwähnte Schriftstück nicht lediglich zum vorübergehenden Gebrauch bestimmt war, sondern vielmehr aufbewahrt wurde, so dass ein gezielter Zugriff darauf möglich wäre. Aus der Tatsache allein, dass ein entsprechendes Schriftstück allenfalls einmal verfasst wurde, folgt dies aber nicht. Da der Inhalt des Gesprächs wieder nicht zum Beweissatz gehört, könnten zudem auch hier keine inhaltlichen Rückschlüsse auf die Vollständigkeit der erteilten Auskünfte gezogen werden.
Decision information   •   DEFRITEN
Document : 147 III 139
Date : 10. Dezember 2020
Published : 31. Juli 2021
Source : Bundesgericht
Status : 147 III 139
Subject area : BGE - Zivilrecht
Subject : Auskunftsrecht nach Art. 8 Abs. 2 lit. a und Abs. 5 DSG; verfügbare Angaben über die Herkunft der Daten. Der materielle


Legislation register
DSG: 3  4  5  8  25  34
DSV: 1  2  9
EU: 15
GwV-FINMA: 16
OR: 400
ZGB: 8  170
ZPO: 150  152  160
BGE-register
125-II-321 • 125-II-473 • 133-V-205 • 136-II-508 • 138-III-425 • 138-III-728 • 139-II-451 • 141-III-119 • 141-III-281 • 141-III-564 • 147-III-139
Weitere Urteile ab 2000
1C_59/2015 • 4A_125/2020 • 4A_277/2020 • 5A_421/2013 • 5A_635/2013
Keyword index
Sorted by frequency or alphabet
[noenglish] • [noenglish] • [noenglish] • abuse of legal right • administration • appeal concerning civil causes • appellee • burdon of proof • clarification • communication • condition • convicted person • cooperation obligation • copy • data collection • data protection • database • decision • declaration • dimensions of the building • duration • duty to give information • edition obligation • eligibility criteria • european parliament • evaluation • evidence • extent • false statement • federal council of switzerland • federal court • federal law on data protection • forfeit • form and content • good faith • hamlet • holding company • indication of origin • individual person • information • intention • internal file • knowledge • labeling • letter • line of argument • lower instance • misstatement • national council • national language • negotiation • outside • owner of data bank • person concerned • personal data • position • private sector of the economy • proceeding • proof • proof of legitimate interest • protective measures • question • statement of affairs • statement of reasons for the adjudication • substantive scope • suspicion • tax fraud • usa • use • within • witness
AS
AS 2007/4985
BBl
1988/II/413 • 2003/2101 • 2020/7639
AB
2005 N 1438
EU Richtlinie
1995/46
EU Amtsblatt
2016 L119