28

Auszug aus dem Urteil der Abteilung II
i.S. A. gegen Wettbewerbskommission
B 6850/2014 vom 30. November 2016

Datenschutz. Begriff der Verfügung. Geltungsbereich des DSG bei hängigem Verfahren. Aufschub der Auskunft über die Datenbearbeitung aufgrund einer Interessenabwägung.

Art. 5
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
1    Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
a  la costituzione, la modificazione o l'annullamento di diritti o di obblighi;
b  l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi;
c  il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi.
2    Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24
3    Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni.
VwVG. Art. 2 Abs. 2 Bst. c
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
, Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
und Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG.

1. Die an einen Gesuchsteller gerichtete Mitteilung, eine gestützt auf Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG beantragte Auskunft werde vorerst nicht erteilt, ist im Sinne eines Aufschubs gemäss Art. 9 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG auf eine Rechtswirkung ausgerichtet und stellt eine Verfügung im Sinne von Art. 5
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
1    Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
a  la costituzione, la modificazione o l'annullamento di diritti o di obblighi;
b  l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi;
c  il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi.
2    Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24
3    Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni.
VwVG dar (E. 1.4).

2. Erstinstanzliche Verfahren ausgenommen, ist das DSG nicht anwendbar, soweit Personen mit Parteirechten betroffen sind (Art. 2 Abs. 2 Bst. c
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG). Auf Auskunftsgesuche Dritter findet das DSG auch bei hängigem Verfahren Anwendung (E. 2.2).

3. Konkrete Interessenabwägung führt zur Unzulässigkeit des Aufschubs einer beantragten Auskunft (Art. 9 Abs. 1 Bst. b
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG; E. 5).

Protection des données. Notion de décision. Champ d'application de la LPD dans les procédures pendantes. Ajournement de la communication des renseignements concernant le traitement de données sur la base d'une pesée des intérêts en présence.

Art. 5 PA. Art. 2 al. 2 let. c, art. 8 et art. 9 LPD.

1. La communication adressée à un demandeur selon laquelle les renseignements demandés en vertu de l'art. 8 LPD ne peuvent être communiqués pour le moment produit un effet juridique au sens d'un ajournement selon l'art. 9 al. 1 LPD et constitue une décision au sens de l'art. 5 PA (consid. 1.4).

2. A l'exception des procédures de première instance, la LPD ne s'applique pas lorsque les personnes concernées sont titulaires de droits liés à la qualité de partie (art. 2 al. 2 let. c LPD). En cas de demandes d'accès présentées par des tiers, la LPD s'applique également dans les procédures pendantes (consid. 2.2).

3. Suite à la pesée des intérêts en présence, l'ajournement de la communication de renseignements est jugé illicite (art. 9 al. 1 let. b LPD; consid. 5).

Protezione dei dati. Nozione di decisione. Campo d'applicazione della LPD nei procedimenti pendenti. Differimento della comunicazione di informazioni inerenti il trattamento di dati sulla base di una ponderazione degli interessi.

Art. 5 PA. Art. 2 cpv. 2 lett. c, art. 8 e art. 9 LPD.

1. La comunicazione indirizzata a un richiedente secondo cui le informazioni richieste in virtù dell'art. 8 LPD non possono attualmente essere fornite produce un effetto giuridico nel senso di un differimento secondo l'art. 9 cpv. 1 LPD e costituisce una decisione ai sensi dell'art. 5 PA (consid. 1.4).

2. Eccettuati i procedimenti di prima istanza, la LPD non si applica quando sono toccate persone titolari di diritti inerenti alla qualità di parte (art. 2 cpv. 2 lett. c LPD). Nel caso di domande di accesso presentate da terzi, la LPD si applica anche nei procedimenti pendenti (consid. 2.2).

3. La ponderazione degli interessi nel caso concreto porta a riconoscere che il differimento della comunicazione delle informazioni è inammissibile (art. 9 cpv. 1 lett. b LPD; consid. 5).

Mit Verfügung vom 2. Dezember 2013 (« Sanktionsverfügung ») schloss die Wettbewerbskommission (WEKO, nachfolgend auch Vorinstanz) eine am 13. Februar 2006 eröffnete Untersuchung betreffend Abreden über Zuschläge im Bereich Luftfracht ab. Insgesamt elf Parteien wurden wegen Beteiligung an einer unzulässigen Preisabrede mit Sanktionen in unterschiedlicher Höhe belegt und es wurden ihnen bestimmte Verhaltensweisen untersagt. Die WEKO orientierte die Öffentlichkeit mittels einer Medienmitteilung und eines « Presserohstoffes » am 10. Januar 2014 über die Sanktionsverfügung. Mehrere Parteien haben die Sanktionsverfügung beim Bundesverwaltungsgericht angefochten.

Die Frage, ob respektive in welcher Form die WEKO die Sanktionsverfügung publizieren darf, ist Gegenstand einer eigenständigen Verfügung vom 8. September 2014 (« Publikationsverfügung » mit einer teils anonymisierten respektive geschwärzten Fassung der Sanktionsverfügung [« Publikationsversion »] im Anhang). Auch diese wurde von mehreren Parteien mittels Beschwerde beim Bundesverwaltungsgericht angefochten.

A. (nachfolgend: Beschwerdeführerin) ist in der Luftfrachtbranche tätig, war aber nicht Partei in der genannten Untersuchung. Sie gelangte mit Schreiben vom 19. September 2014 an die WEKO und ersuchte sie im Hinblick auf die erwartete Publikation der Sanktionsverfügung um die Bestätigung, dass die Sanktionsverfügung sie, die Beschwerdeführerin, nicht erwähne respektive keine direkten oder indirekten Hinweise auf sie enthalte und sie auch nicht auf andere Weise bei einer Lektüre der Verfügung mit dem untersuchten Verhalten in Bezug gebracht werden könne. Allfällige Hinweise und Andeutungen auf die Beschwerdeführerin seien in einer Publikationsversion zu löschen und diese vorgängig der Veröffentlichung der Beschwerdeführerin zur Stellungnahme vorzulegen.

Das Sekretariat der WEKO teilte mit Schreiben vom 23. September 2014 mit, die gewünschten Bestätigungen könne man nicht abgeben. Es sei fraglich, ob der Beschwerdeführerin ein Anspruch auf Offenlegung der Verfügung vor Publikation zustehe. Die Frage der Publikation sei strittig und nicht rechtskräftig geklärt, weshalb es « zurzeit » nicht möglich sei, die Publikationsversion zugänglich zu machen.

Die Beschwerdeführerin wandte sich am 17. Oktober 2014 wiederum an die WEKO. Sie machte geltend, sie habe Grund zur Annahme, die Sanktionsverfügung enthalte direkte oder indirekte Bezüge oder Hinweise auf die Beschwerdeführerin und damit Daten, welche sie, die Beschwerdeführerin, betreffen oder vom Inhalt der Verfügung insgesamt erkennbar machen. Unter Berufung auf Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG (SR 235.1) verlangte die Beschwerdeführerin « Auskunft über die Art der von der Weko über ihr Unternehmen bearbeiteten Personendaten und über den Zweck dieser Bearbeitung. Soweit die Weko Personendaten über [die Beschwerdeführerin] zum Zweck beziehungsweise als Teil der Begründung der Verfügung bearbeitet, verlangt [die Beschwerdeführerin] hiermit gestützt auf Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG, dass die Weko [ihr] vor der Publikation der Verfügung eine Kopie derjenigen Teile der Verfügung zustellt, die auf [die Beschwerdeführerin] oder auf Aktivitäten [der Beschwerdeführerin] Bezug nehmen. » Die Beschwerdeführerin stellte weiter klar, dass ihr nur am Zugang zu den eigenen, in der Verfügung vermutlich enthaltenen Personendaten gelegen sei und sie akzeptieren würde, wenn Teile, welche Geschäftsgeheimnisse der vom Verfahren Betroffenen enthielten, unkenntlich gemacht würden. Für den
Fall, dass die WEKO die Einsichtnahme verweigern wolle, wurde um den Erlass einer anfechtbaren Verfügung ersucht.

Das Sekretariat der WEKO antwortete darauf mit Einschreibebrief vom 22. Oktober 2014. Nach einem Résumé des Schreibens der Beschwerdeführerin vom 17. Oktober 2014 hält es fest:

« Nach wie vor ist die Frage der Publikation der genannten Verfügung strittig und noch nicht rechtskräftig geklärt. Dabei sind sowohl die Publikation an sich als auch deren Umfang bestritten. Gemäss Artikel 9 Absatz 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
und 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG in Verbindung mit Art. 25 Absatz 1
SR 251 Legge federale del 6 ottobre 1995 sui cartelli e altre limitazioni della concorrenza (Legge sui cartelli, LCart) - Legge sui cartelli
LCart Art. 25 Segreto d'ufficio e d'affari - 1 Le autorità in materia di concorrenza serbano il segreto d'ufficio.
1    Le autorità in materia di concorrenza serbano il segreto d'ufficio.
2    Quanto appreso nell'esercizio delle loro funzioni può essere utilizzato unicamente per gli scopi perseguiti dalla raccolta d'informazioni o dalla procedura.
3    Al Sorvegliante dei prezzi possono essere comunicate unicamente le informazioni necessarie allo svolgimento del suo compito.
4    Le pubblicazioni delle autorità della concorrenza non devono rivelare alcun segreto d'affari.
des Bundesgesetzes vom 6. Oktober 1995 über Kartelle und andere Wettbewerbsbeschränkungen (Kartellgesetz, KG, SR 251) ist es daher zurzeit nicht möglich, Ihnen die genannte Verfügung in irgendeiner Form zugänglich zu machen. »

Die Beschwerdeführerin erhob Beschwerde gegen diese von ihr als Verfügung qualifizierte Mitteilung. Sie stellte im Wesentlichen die Rechtsbegehren, die Verfügung vom 22. Oktober 2014 sei aufzuheben und die Vorinstanz anzuweisen, ihr, der Beschwerdeführerin, alle Personendaten bekannt zu geben, die über sie in den Akten der Vorinstanz mit Bezug auf die Sanktionsverfügung vorhanden sind, namentlich ihr alle Personaldaten über sie offenzulegen, welche die Vorinstanz in der Sanktionsverfügung bearbeite.

Das Bundesverwaltungsgericht heisst die Beschwerde gut, hebt die Verfügung vom 22. Oktober 2014 auf und weist die Sache zur Neubeurteilung im Sinne der Erwägungen an die Vorinstanz zurück.

Aus den Erwägungen:

1.

1.1 Das Bundesverwaltungsgericht beurteilt gemäss Art. 31
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF)
LTAF Art. 31 Principio - Il Tribunale amministrativo federale giudica i ricorsi contro le decisioni ai sensi dell'articolo 5 della legge federale del 20 dicembre 196819 sulla procedura amministrativa (PA).
VGG Beschwerden gegen Verfügungen im Sinne von Art. 5
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
1    Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
a  la costituzione, la modificazione o l'annullamento di diritti o di obblighi;
b  l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi;
c  il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi.
2    Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24
3    Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni.
VwVG, sofern keine Ausnahme nach Art. 32
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF)
LTAF Art. 32 Eccezioni - 1 Il ricorso è inammissibile contro:
1    Il ricorso è inammissibile contro:
a  le decisioni in materia di sicurezza interna o esterna del Paese, neutralità, protezione diplomatica e altri affari esteri, in quanto il diritto internazionale pubblico non conferisca un diritto al giudizio da parte di un tribunale;
b  le decisioni in materia di diritto di voto dei cittadini nonché di elezioni e votazioni popolari;
c  le decisioni in materia di salario al merito del personale federale, in quanto non concernano la parità dei sessi;
d  ...
e  le decisioni nel settore dell'energia nucleare concernenti:
e1  le autorizzazioni di massima per impianti nucleari,
e2  l'approvazione del programma di smaltimento,
e3  la chiusura di depositi geologici in profondità,
e4  la prova dello smaltimento;
f  le decisioni in materia di rilascio o estensione di concessioni di infrastrutture ferroviarie;
g  le decisioni dell'autorità indipendente di ricorso in materia radiotelevisiva;
h  le decisioni in materia di rilascio di concessioni per case da gioco;
i  le decisioni in materia di rilascio, modifica o rinnovo della concessione della Società svizzera di radiotelevisione (SSR);
j  le decisioni in materia di diritto ai sussidi di una scuola universitaria o di un altro istituto accademico.
2    Il ricorso è inoltre inammissibile contro:
a  le decisioni che, in virtù di un'altra legge federale, possono essere impugnate mediante opposizione o ricorso dinanzi a un'autorità ai sensi dell'articolo 33 lettere c-f;
b  le decisioni che, in virtù di un'altra legge federale, possono essere impugnate mediante ricorso dinanzi a un'autorità cantonale.
VGG gegeben ist und eine Vorinstanz gemäss Art. 33
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF)
LTAF Art. 33 Autorità inferiori - Il ricorso è ammissibile contro le decisioni:
a  del Consiglio federale e degli organi dell'Assemblea federale in materia di rapporti di lavoro del personale federale, compreso il rifiuto dell'autorizzazione a procedere penalmente;
b  del Consiglio federale concernenti:
b1  la destituzione di un membro del Consiglio della banca o della direzione generale o di un loro supplente secondo la legge del 3 ottobre 200325 sulla Banca nazionale,
b10  la revoca di un membro del consiglio d'amministrazione del Servizio svizzero di assegnazione delle tracce o l'approvazione della risoluzione del rapporto di lavoro del direttore da parte del consiglio d'amministrazione secondo la legge federale del 20 dicembre 195743 sulle ferrovie;
b2  la revoca di un membro del consiglio di amministrazione dell'Autorità federale di vigilanza sui mercati finanziari o l'approvazione dello scioglimento del rapporto di lavoro del direttore da parte del consiglio di amministrazione secondo la legge del 22 giugno 200726 sulla vigilanza dei mercati finanziari,
b3  il blocco di valori patrimoniali secondo la legge del 18 dicembre 201528 sui valori patrimoniali di provenienza illecita,
b4  il divieto di determinate attività secondo la LAIn30,
b4bis  il divieto di organizzazioni secondo la LAIn,
b5  la revoca di un membro del Consiglio d'istituto dell'Istituto federale di metrologia secondo la legge federale del 17 giugno 201133 sull'Istituto federale di metrologia,
b6  la revoca di un membro del consiglio di amministrazione dell'Autorità federale di sorveglianza dei revisori o l'approvazione dello scioglimento del rapporto di lavoro del direttore da parte del consiglio di amministrazione secondo la legge del 16 dicembre 200535 sui revisori,
b7  la revoca di un membro del Consiglio dell'Istituto svizzero per gli agenti terapeutici secondo la legge del 15 dicembre 200037 sugli agenti terapeutici,
b8  la revoca di un membro del consiglio di amministrazione dell'istituto secondo la legge del 16 giugno 201739 sui fondi di compensazione,
b9  la revoca di un membro del consiglio d'Istituto dell'Istituto svizzero di diritto comparato secondo la legge federale del 28 settembre 201841 sull'Istituto svizzero di diritto comparato,
c  del Tribunale penale federale in materia di rapporti di lavoro dei suoi giudici e del suo personale;
cbis  del Tribunale federale dei brevetti in materia di rapporti di lavoro dei suoi giudici e del suo personale;
cquater  del procuratore generale della Confederazione in materia di rapporti di lavoro dei procuratori pubblici federali da lui nominati e del personale del Ministero pubblico della Confederazione;
cquinquies  dell'autorità di vigilanza sul Ministero pubblico della Confederazione in materia di rapporti di lavoro del personale della sua segreteria;
cter  dell'autorità di vigilanza sul Ministero pubblico della Confederazione in materia di rapporti di lavoro dei membri del Ministero pubblico della Confederazione eletti dall'Assemblea federale plenaria;
d  della Cancelleria federale, dei dipartimenti e dei servizi dell'Amministrazione federale loro subordinati o aggregati amministrativamente;
e  degli stabilimenti e delle aziende della Confederazione;
f  delle commissioni federali;
g  dei tribunali arbitrali costituiti in virtù di contratti di diritto pubblico sottoscritti dalla Confederazione, dai suoi stabilimenti o dalle sue aziende;
h  delle autorità o organizzazioni indipendenti dall'Amministrazione federale che decidono nell'adempimento di compiti di diritto pubblico loro affidati dalla Confederazione;
i  delle autorità cantonali, in quanto una legge federale preveda che le loro decisioni sono impugnabili mediante ricorso dinanzi al Tribunale amministrativo federale.
VGG entschieden hat. Das Verfahren vor dem Bundesverwaltungsgericht richtet sich nach dem VwVG, soweit das VGG nichts anderes vorsieht (Art. 37
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF)
LTAF Art. 37 Principio - La procedura dinanzi al Tribunale amministrativo federale è retta dalla PA56, in quanto la presente legge non disponga altrimenti.
VGG).

1.2 1.3(...)

1.4 Vom Ausnahmefall der Rechtsverweigerungs- und Rechtsverzögerungsbeschwerde (Art. 46a
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 46a - Può essere interposto ricorso se l'autorità adita nega o ritarda ingiustamente l'emanazione di una decisione impugnabile.
VwVG) abgesehen, werden im Verfahren vor Bundesverwaltungsgericht nur Rechtsverhältnisse überprüft, zu denen die zuständige Verwaltungsbehörde vorgängig verbindlich in Form einer Verfügung Stellung genommen hat. Das Vorliegen einer Verfügung als Anfechtungsobjekt ist Sachurteilsvoraussetzung (Moser/Beusch/Kneubühler, Prozessieren vor dem Bundesverwaltungsgericht, 2. Aufl. 2013, Rz. 2.1 und 2.6; Felix Uhlmann, in: Praxiskommentar VwVG, 2. Aufl. 2016, Art. 5 N.5; Art. 31
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF)
LTAF Art. 31 Principio - Il Tribunale amministrativo federale giudica i ricorsi contro le decisioni ai sensi dell'articolo 5 della legge federale del 20 dicembre 196819 sulla procedura amministrativa (PA).
VGG; Art. 44
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 44 - La decisione soggiace a ricorso.
VwVG).

Vorliegend ist umstritten, ob es sich bei der Mitteilung vom 22. Oktober 2014 um eine Verfügung handle, also, ob ein Anfechtungsobjekt vorliege.

1.4.1 Art. 5 Abs. 1
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
1    Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
a  la costituzione, la modificazione o l'annullamento di diritti o di obblighi;
b  l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi;
c  il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi.
2    Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24
3    Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni.
VwVG definiert die Verfügung als Anordnung der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützt und (Bst. a.) die Begründung, Änderung oder Aufhebung von Rechten oder Pflichten, (Bst. b) die Feststellung des Bestehens, Nichtbestehens oder des Umfanges von Rechten oder Pflichten oder (Bst. c) die Abweisung von Begehren auf Begründung, Änderung, Aufhebung oder Feststellung von Rechten oder Pflichten, oder Nichteintreten auf solche Begehren zum Gegenstand hat.

Lehre und Rechtsprechung umschreiben die Verfügung als individuellen, an den Einzelnen gerichteten Hoheitsakt, durch den eine konkrete verwaltungsrechtliche Rechtsbeziehung rechtsgestaltend oder feststellend in verbindlicher und erzwingbarer Weise geregelt wird (so Häfelin/Müller/Uhlmann, Allgemeines Verwaltungsrecht, 7. Aufl. 2016, Rz. 849 und 851 m.w.H.; vgl. auch Moser/Beusch/Kneubühler, a.a.O., Rz. 2.3; statt Vieler: BGE 139 V 143 E. 1.2; 139 V 72 E. 2.2.1; 135 II 38 E. 4.3,
je m.w.H.). Als konkrete Prüfkriterien gelten folglich folgende fünf Elemente: (1.) hoheitliche, einseitige Anordnung einer Behörde, (2.) individuell-konkrete Anordnung, (3.) Anwendung von (Bundes-)Verwaltungsrecht, (4.) auf Rechtswirkung ausgerichtete Anordnung und (5.) Verbindlichkeit und Erzwingbarkeit (Häfelin/Müller/Uhlmann, a.a.O., Rz. 855ff.; Uhlmann, a.a.O., Art. 5 N.19).

Massgeblich ist ein materieller, nicht ein formeller Verfügungsbegriff. Es bestehen zwar Erwartungen an die Form einer Verfügung (Art. 35
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 35 - 1 Le decisioni scritte, anche se notificate in forma di lettera, devono essere designate come tali, motivate, e indicare il rimedio giuridico.
1    Le decisioni scritte, anche se notificate in forma di lettera, devono essere designate come tali, motivate, e indicare il rimedio giuridico.
2    L'indicazione del rimedio giuridico deve menzionare il rimedio giuridico ordinario ammissibile, l'autorità competente e il termine per interporlo.
3    L'autorità può rinunciare a indicare i motivi e il rimedio giuridico allorché la decisione sia interamente conforme alle domande delle parti e nessuna parte chieda la motivazione.
VwVG), doch sind diese nicht Voraussetzung des Verfügungsbegriffs, sondern dessen Folge. Ist eine behördliche Mitteilung materiell als Verfügung zu qualifizieren, so sind Formmängel soweit nicht geradezu von einer nichtigen Verfügung auszugehen ist nach Art. 38
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 38 - Una notificazione difettosa non può cagionare alle parti alcun pregiudizio.
VwVG zu würdigen, ändern aber am Verfügungscharakter nichts (Häfelin/Müller/Uhlmann, a.a.O., Rz. 871f.; Uhlmann, a.a.O., Art. 5 N. 131 133).

1.4.2 Die Mitteilung vom 22. Oktober 2014 erfolgte durch die WEKO (resp. deren Sekretariat) als verantwortliches Organ im Sinne von Art. 16 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 16 Principi - 1 Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati.
1    Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati.
2    In assenza di una decisione del Consiglio federale ai sensi del capoverso 1, dati personali possono essere comunicati all'estero soltanto se una protezione dei dati appropriata è garantita da:
a  un trattato internazionale;
b  clausole contrattuali di protezione dei dati tra il titolare o il responsabile del trattamento e l'altro contraente, previamente comunicate all'IFPDT;
c  garanzie specifiche stabilite dall'organo federale competente, previamente comunicate all'IFPDT;
d  clausole tipo di protezione dei dati previamente approvate, stabilite o riconosciute dall'IFPDT; o
e  norme interne dell'impresa vincolanti sulla protezione dei dati, previamente approvate dall'IFPDT o da un'autorità incaricata della protezione dei dati appartenente a uno Stato che garantisce una protezione adeguata.
3    Il Consiglio federale può prevedere altre garanzie appropriate ai sensi del capoverso 2.
DSG (E. 3) gegenüber einer antragstellenden Privatperson und spricht sich über das von ihr unabhängig vom Einverständnis der Privatperson beabsichtigte Vorgehen bezüglich dieses Antrages aus sie erfolgte folglich einseitig und hoheitlich (dazu im Detail: Häfelin/Müller/Uhlmann, a.a.O., Rz. 855 859; Uhlmann, a.a.O., Art. 5 N.21 44). Die Mitteilung betrifft einen individuellen Adressaten (die Beschwerdeführerin) sowie einen konkreten Einzelfall (die Frage der Bearbeitung von Personendaten der Beschwerdeführerin durch die Vorinstanz resp. das Einsichtsrecht in die bearbeiteten Daten), sie ist individuell-konkret (vgl. Häfelin/Müller/Uhlmann, a.a.O., Rz. 860 863; Uhlmann, a.a.O., Art. 5 N.45
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 5 Definizioni - Nella presente legge s'intende per:
a  dati personali: tutte le informazioni concernenti una persona fisica identificata o identificabile;
b  persona interessata: la persona fisica i cui dati personali sono oggetto di trattamento;
c  dati personali degni di particolare protezione:
c1  i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali,
c2  i dati concernenti la salute, la sfera intima o l'appartenenza a una razza o a un'etnia,
c3  i dati genetici,
c4  i dati biometrici che identificano in modo univoco una persona fisica,
c5  i dati concernenti perseguimenti e sanzioni amministrativi e penali,
c6  i dati concernenti le misure d'assistenza sociale;
d  trattamento: qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l'utilizzazione, la modificazione, la comunicazione, l'archiviazione, la cancellazione o la distruzione di dati;
e  comunicazione: la trasmissione di dati personali o il fatto di renderli accessibili;
f  profilazione: trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere aspetti concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, i luoghi di permanenza e gli spostamenti di tale persona;
g  profilazione a rischio elevato: profilazione che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata poiché comporta un collegamento tra dati che permette di valutare aspetti essenziali della personalità di una persona fisica;
h  violazione della sicurezza dei dati: violazione della sicurezza in seguito alla quale, in modo accidentale o illecito, dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate;
i  organo federale: autorità o servizio della Confederazione, oppure persona cui sono affidati compiti federali;
j  titolare del trattamento: il privato o l'organo federale che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento;
k  responsabile del trattamento: il privato o l'organo federale che tratta dati personali per conto del titolare del trattamento.
72). Die Mitteilung beantwortet einen auf Bundesverwaltungsrecht (Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG) gestützten Antrag und spricht sich darüber aus, Bundesverwaltungsrecht anwenden zu wollen (zum Kriterium der Anwendung von Bundesverwaltungsrecht vgl. Häfelin/Müller/Uhlmann, a.a.O., Rz. 864f.; Uhlmann, a.a.O., Art. 5 N.73 93). Die ersten drei vorstehend (E. 1.4.1)
genannten Kriterien sind somit klarerweise erfüllt. Keine selbstständige Bedeutung hat neben dem in der folgenden Ziffer zu klärenden Kriterium der Rechtswirkung jenes der Verbindlichkeit und Erzwingbarkeit; dies umso mehr, als die vorliegende Mitteilung ihrem Inhalt nach nicht zwangsweise vollstreckbar ist (Uhlmann, a.a.O., Art. 5 N.128 130).

1.4.3 Die Vorinstanz bestreitet, dass die Mitteilung auf die Erzielung einer Rechtswirkung ausgerichtet sei.

Das Handeln der Behörde erzeugt Rechtswirkung, wenn es einen der in Art. 5 Abs. 1 Bst. a
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
1    Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
a  la costituzione, la modificazione o l'annullamento di diritti o di obblighi;
b  l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi;
c  il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi.
2    Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24
3    Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni.
bis c VwVG (s. E.1.4.1 Abs. 1) aufgeführten Inhalte zum Gegenstand hat und so bewusst ein Rechtsverhältnis regelt respektive die Rechtsstellung des Betroffenen gestaltet (Uhlmann, a.a.O., Art. 5 N.94 und 98). Um dies zu beurteilen, sind Gesuch und Antwort kurz in das fragliche Rechtsgebiet einzuordnen.

1.4.3.1 Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 1 Scopo - Scopo della presente legge è proteggere la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento.
DSG, « betroffene Personen » nach Art. 3 Bst. b
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG). Sein Geltungsbereich erstreckt sich auf die Bearbeitung von Daten durch Private und durch Bundesorgane (Art. 2 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG). Es trifft neben allgemeinen Datenschutzbestimmungen, welche für beide Arten von Datenbearbeitenden gelten (Art. 3
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
11a DSG), auch spezifische Regelungen für die Datenbearbeitung durch Private einerseits (Art. 12
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 12 Registro delle attività di trattamento - 1 I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
1    I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
2    Il registro del titolare del trattamento contiene almeno:
a  l'identità del titolare del trattamento;
b  lo scopo del trattamento;
c  una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
d  le categorie di destinatari;
e  se possibile, la durata di conservazione dei dati personali o i criteri per determinare tale durata;
f  se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l'articolo 8;
g  se i dati personali sono comunicati all'estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all'articolo 16 capoverso 2.
3    Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella del titolare del trattamento, alle categorie dei trattamenti eseguiti su incarico del titolare del trattamento, come pure le indicazioni di cui al capoverso 2 lettere f e g.
4    Gli organi federali notificano i loro registri all'IFPDT.
5    Il Consiglio federale prevede eccezioni per le imprese con meno di 250 collaboratori i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate.
15 DSG), durch Bundesorgane andererseits (Art. 16
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 16 Principi - 1 Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati.
1    Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati.
2    In assenza di una decisione del Consiglio federale ai sensi del capoverso 1, dati personali possono essere comunicati all'estero soltanto se una protezione dei dati appropriata è garantita da:
a  un trattato internazionale;
b  clausole contrattuali di protezione dei dati tra il titolare o il responsabile del trattamento e l'altro contraente, previamente comunicate all'IFPDT;
c  garanzie specifiche stabilite dall'organo federale competente, previamente comunicate all'IFPDT;
d  clausole tipo di protezione dei dati previamente approvate, stabilite o riconosciute dall'IFPDT; o
e  norme interne dell'impresa vincolanti sulla protezione dei dati, previamente approvate dall'IFPDT o da un'autorità incaricata della protezione dei dati appartenente a uno Stato che garantisce una protezione adeguata.
3    Il Consiglio federale può prevedere altre garanzie appropriate ai sensi del capoverso 2.
25bis DSG). Es stehen den betroffenen Personen Rechte zu, welche für beide Kategorien von Bearbeitenden gelten, aber auch differenzierte, je nach Art des Bearbeitenden. Zur ersten Gruppe gehört insbesondere das Auskunftsrecht gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG (samt seiner Einschränkungen gem. Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG). Im besonderen Fall der Datenbearbeitung durch Bundesorgane kommt dem Auskunftsrecht insbesondere die Funktion zu, die betroffene Person in die Lage zu versetzen, die weitergehenden Rechte gemäss Art. 25
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 25 Diritto d'accesso - 1 Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
1    Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
2    Alla persona interessata sono fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati. In ogni caso le sono fornite le informazioni seguenti:
a  l'identità e i dati di contatto del titolare del trattamento;
b  i dati personali trattati in quanto tali;
c  lo scopo del trattamento;
d  la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata;
e  le informazioni disponibili sulla provenienza dei dati personali che non sono stati raccolti presso la persona interessata;
f  se del caso, l'esistenza di una decisione individuale automatizzata e la logica su cui si fonda la decisione;
g  se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali, nonché le informazioni di cui all'articolo 19 capoverso 4.
3    I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata.
4    Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento.
5    Nessuno può rinunciare preventivamente al diritto d'accesso.
6    Il titolare del trattamento fornisce gratuitamente le informazioni. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se l'informazione richiede un onere sproporzionato.
7    Di norma l'informazione è fornita entro 30 giorni.
DSG überhaupt wahrnehmen zu können (so Waldmann/Bickel, in: Datenschutzrecht. Grundlagen und öffentliches Recht, 2011, § 12 N. 139; allgemeiner: Michael
Widmer, in: Datenschutzrecht, 2015, Rz. 5.2).

Die Modalitäten des Auskunftsrechts gestalten sich bei Privatpersonen wie auch Bundesorganen im Grundsatz analog (Art. 1 f
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 1 Principi - 1 Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
1    Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
2    La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri:
a  tipo di dati trattati;
b  scopo, tipo, portata e circostanze del trattamento.
3    Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri:
a  cause del rischio;
b  pericolo sostanziale;
c  provvedimenti adottati o previsti per minimizzare il rischio;
d  probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti.
4    Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri:
a  lo stato della tecnica;
b  le spese di implementazione.
5    La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l'intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati.
. i.V.m. Art. 13
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 13 Modalità dell'obbligo di informare - Il titolare del trattamento comunica alla persona interessata le informazioni sull'ottenimento di dati personali in forma precisa, trasparente, comprensibile e facilmente accessibile.
VDSG [SR 235.11]). Die betroffene Person hat ein schriftliches Gesuch an den Datenbearbeiter zu stellen, in welchem in der Regel kein schutzwürdiges Interesse ausgewiesen werden muss (zu den Ausnahmen vgl. Epiney/Fasnacht, in: Datenschutzrecht. Grundlagen und öffentliches Recht, a.a.O., § 11 N. 33; Widmer, a.a.O., Rz. 5.7). Der Inhaber der Datensammlung hat die beantragte Einsicht im Umfang von Art. 8 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
und 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG grundsätzlich zu erteilen. Er kann unter den Voraussetzungen von Art. 9 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
(und im Falle von Bundesorganen auch Abs. 2) DSG die Auskunft « verweigern, einschränken oder aufschieben » (alle drei Arten verstehen sich als « Einschränkung » im Sinne eines Oberbegriffs; Gramigna/Maurer-Lambrou, in: Basler Kommentar, Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl. 2014, Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG N. 10, nachfolgend: BSK DSG/BGÖ). Die Einschränkung ist zu begründen (Art. 9 Abs. 5
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG). Die Auskunft oder der begründete Entscheid über die Einschränkung hat innert 30 Tagen zu erfolgen; kann die Auskunft nicht innert 30 Tagen erteilt werden (also im Fall des Aufschubs, vgl. Gramigna/Maurer-Lambrou,
a.a.O., Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG N. 47), ist der Gesuchsteller zu benachrichtigen und es ist ihm mitzuteilen, innert welcher Frist die Auskunft erteilt wird (Art. 1 Abs. 4
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 1 Principi - 1 Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
1    Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
2    La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri:
a  tipo di dati trattati;
b  scopo, tipo, portata e circostanze del trattamento.
3    Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri:
a  cause del rischio;
b  pericolo sostanziale;
c  provvedimenti adottati o previsti per minimizzare il rischio;
d  probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti.
4    Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri:
a  lo stato della tecnica;
b  le spese di implementazione.
5    La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l'intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati.
VDSG). Der Entscheid eines Bundesorgans über die Verweigerung, Einschränkung oder den Aufschub der Auskunft erfolgt in Verfügungsform und ist anfechtbar (Waldmann/Bickel, a.a.O., § 12 N. 149 und 188; Widmer, a.a.O., Rz. 5.43; Gramigna/Maurer-Lambrou, a.a.O., Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG N. 63).

1.4.3.2 Die Beschwerdeführerin stellte am 17. Oktober 2014 ein unmissverständliches Auskunftsgesuch im Sinne von Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG. In ihrer Antwort vom 22. Oktober 2014 teilte die Vorinstanz mit, es sei « zurzeit » nicht möglich, die Auskunft zu erteilen (« Ihnen die genannte Verfügung in irgendeiner Form zugänglich zu machen »). Sinngemäss ist dem Schreiben zu entnehmen, dass die Auskunftserteilung (oder aber ein Entscheid über allfällige inhaltliche Einschränkungen) vom rechtskräftigen Ausgang der Beschwerdeverfahren gegen die Publikationsverfügung abhängig sei. Damit teilte die Vorinstanz - und zwar unter ausdrücklicher Berufung auf Art. 9 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
und 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG - nichts anderes als einen Aufschub der Auskunftserteilung mit. Dabei handelt es sich um eine gesetzlich vorgesehene Form der Einschränkung, das heisst das Rechtsverhältnis wird in einer der gesetzlich vorgesehenen Formen geregelt. In diesem Sinne wird eine Rechtswirkung erzielt.

Aus der geschilderten gesetzlichen Ordnung ergibt sich zudem, dass auch die in Form eines Aufschubs erklärte Einschränkung innert einer (hier klar eingehaltenen) Frist von 30 Tagen begründet mitzuteilen, das heisst zu entscheiden, ist. Einen formlosen Aufschub (etwa in Form eines « Verwaltungsschreibens ») lässt die in diesem Punkt lückenlose Regelung nicht zu.

1.4.4 Die Mitteilung der Vorinstanz erfüllt zusammengefasst alle Strukturmerkmale einer Verfügung. Es liegt somit ein taugliches Anfechtungsobjekt vor.

1.5 Auf die Beschwerde ist folglich einzutreten.

2. Die Anrufung des Auskunftsrechts gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG bedingt die Anwendbarkeit des DSG (Gramigna/Maurer-Lambrou, a.a.O., Art. 8 N.21
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG). Vorausgesetzt ist hierfür - soweit hier von Interesse - das Bearbeiten von Daten natürlicher und juristischer Personen durch Bundesorgane (Art. 2 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG), sofern keine Ausnahme gemäss Art. 2 Abs. 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG vorliegt.

2.1 Als Bundesorgan verstehen sich Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind (Art. 3 Bst. h
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG). Das trifft auf die WEKO als mit dem Vollzug des Kartellgesetzes betraute Behördenkommission ohne Weiteres zu (vgl. Waldmann/Bickel, a.a.O., § 12 N. 13f. mit Fn. 25). Ebenso liegt auf der Hand, dass die WEKO respektive deren Sekretariat im Rahmen ihrer Untersuchungstätigkeit Angaben zu Unternehmen - und damit Personen - erhebt, erfasst und bearbeitet, also Personendaten bearbeitet (Art. 3 Bst. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
und e DSG; Waldmann/Bickel, a.a.O., § 12 N. 18; Gabor P. Blechta, in: BSK DSG/BGÖ, a.a.O., Art. 3
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG N. 3ff. und 71 ff.).

2.2 Die Vorinstanz beruft sich - wenn auch in anderem Zusammenhang - auf die rechtshängigen Beschwerden gegen die Publikationsverfügung. Folglich ist zu klären, ob der Ausnahmetatbestand von Art. 2 Abs. 2 Bst. d
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG greift, gemäss welchem das DSG unter anderem keine Anwendung findet auf hängige verwaltungsrechtliche Verfahren (mit Ausnahme erstinstanzlicher Verwaltungsverfahren).

Hintergrund dieser Ausnahmebestimmung ist, dass der Persönlichkeitsschutz durch die Spezialbestimmungen der entsprechenden Verfahren hinreichend gesichert und geregelt ist; es sollen sich nicht zwei Gesetze mit zum Teil gleicher Zielrichtung überlagern (BGE 138 III 425 E. 4.3). Voraussetzung für das Greifen der Ausnahmebestimmung ist, dass der Schutz des Verfahrensgesetzes gleichwertig demjenigen des DSG sei (Maurer-Lambrou/Kunz, in: BSK DSG/BGÖ, a.a.O., Art. 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG N. 27; a.M. Waldmann/Bickel, a.a.O., § 12 N. 29, jedoch mit der Konzession, dass der datenschutzrechtliche Persönlichkeitsschutz [nur] dann hintansteht, wenn die verfahrensrechtlichen Mitwirkungs- und Informationsrechte greifen [§ 12 N. 31]). Das Auskunftsrecht gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG und die Akteneinsichtsrechte des VwVG sind voneinander unabhängige Ansprüche, die hinsichtlich Voraussetzungen und Umfang nicht deckungsgleich sind, also je ihren eigenen Anwendungsbereich haben, sodass sie innerhalb ihres jeweiligen Geltungsbereichs unabhängig voneinander geltend gemacht werden können (Waldmann/Oeschger, in: Praxiskommentar VwVG, a.a.O., Art. 26 N. 24f.; Gramigna/Maurer-Lambrou, a.a.O., Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG N. 2; vgl. BGE 123 II 534 E. 2.e). Wesentliche Unterschiede der beiden
Institute sind die Anspruchsträgerschaft und der Umfang der Einsicht: Auf das Akteneinsichtsrecht kann sich berufen, wer einen durchsetzbaren Anspruch auf Verfahrensteilnahme als Partei hat und es erstreckt sich auf sämtliche verfahrensbezogenen Akten in der Sache der betreffenden Partei (Waldmann/Oeschger, a.a.O., Art. 26 N. 48, 58 und 60); das Auskunftsrecht gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG demgegenüber steht grundsätzlich jeder Person zu, soweit es um die Frage geht, ob Daten bearbeitet werden (Art. 8 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG), respektive jeder betroffenen Person (d.h. jeder Person, über die Daten bearbeitet werden, Art. 3 Bst. b
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG) bezüglich einer Auskunft über die konkret bearbeiteten Daten (Art. 8 Abs. 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG), es erstreckt sich aber ausschliesslich auf die eigenen Personendaten (Widmer, a.a.O., Rz. 5.8f.; Waldmann/Bickel, a.a.O., § 12 N. 139).

Die Ausnahmebestimmung des Art. 2 Abs. 2 Bst. c
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG erfordert von ihrem Zweck her die Hängigkeit eines Verfahrens « in dem Sinn ..., dass die Geltung der einschlägigen Verfahrensvorschriften ausgelöst wird » (BGE 138 III 425 E. 4.3; Stefan Gerschwiler, in: Datenschutzrecht, a.a.O., Rz. 3.37). Angesichts der nicht deckungsgleichen Geltungsbereiche muss dies nicht nur - wie im zitierten Bundesgerichtsentscheid - in zeitlicher Hinsicht gelten, sondern auch in persönlicher: Zumal nicht verfahrensbeteiligte Dritte die entsprechenden Verfahrensrechte gerade nicht anrufen können, muss ihnen die Berufung auf das datenschutzrechtliche Auskunftsrecht auch bezüglich ihrer Personendaten möglich sein, welche im Zusammenhang mit einem Verfahren bearbeitet werden, das seinerseits beim Bundesverwaltungsgericht hängig ist.

2.3 Zusammengefasst bearbeitet die Vorinstanz als Bundesorgan Personendaten im Sinne von Art. 2 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG, ohne dass eine Ausnahme gemäss Art. 2 Abs. 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
DSG vorläge. Das DSG ist folglich anwendbar.

3. Das Auskunftsrecht bezieht sich auf Daten, die in einer Datensammlung enthalten sind. Unter diesem Begriff versteht sich jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind (Art. 3 Bst. g
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG); der Begriff der Datensammlung ist zwar enger als der der Datenbearbeitung (Widmer, a.a.O., Rz. 5.5; Gramigna/Maurer-Lambrou, a.a.O., Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG N. 25), durch seine Offenheit und den technologischen Fortschritt indessen gleichwohl konturlos geworden (Gerschwiler, a.a.O., Rz. 3.56; Blechta, a.a.O., Art. 3
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG N. 80f.). Im Falle der Vorinstanz kann davon ausgegangen werden, ihre Geschäftsdatenbank erfülle diesen Begriff - sie ist entsprechend gemäss Art. 11a Abs. 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
DSG ins Register der Datensammlungen eingetragen (Registernummer 201300053, < www.datareg.admin.ch , abgerufen am 11.10.2016). [...]

4. Die Beschwerdeführerin kann - zumal die Modalitäten zur Geltendmachung des Auskunftsrechts (vgl. E. 1.4.3.1) eingehalten sind - somit bei der Vorinstanz ein Gesuch um Auskunft stellen und hat, vorbehältlich gültiger Einschränkung, Anspruch auf die Auskunft, ob Daten über sie bearbeitet werden und, bejahendenfalls, auf Mitteilung aller über sie in der Datensammlung vorhandenen Personendaten, einschliesslich der verfügbaren Angaben über deren Herkunft, des Zwecks und der Rechtsgrundlagen der Bearbeitung sowie der Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger (Art. 8 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
und 2
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG).

5. Zu prüfen bleibt, ob die Vorinstanz die Auskunft zu Recht einschränkte.

5.1 Nach Art. 9 Abs. 1
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG kann der Inhaber der Datensammlung die Auskunft verweigern, einschränken oder aufschieben (auch im Sinne eines Oberbegriffs als « Einschränkung » zusammengefasst, Gramigna/
Maurer-Lambrou, a.a.O., Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG N. 10), soweit ein Gesetz im formellen Sinn dies vorsieht (vgl. Bst. a) oder es wegen überwiegender Interessen Dritter erforderlich ist (vgl. Bst. b); ein Bundesorgan als Inhaber der Datensammlung kann die Auskunft einschränken, soweit es wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft, erforderlich ist (vgl. Bst. a) oder die Auskunft den Zweck einer Strafuntersuchung oder eines anderen Untersuchungsverfahrens infrage stellt (vgl. Bst. b). Der Inhaber der Datensammlung muss den Grund der Einschränkung angeben, er ist auch beweispflichtig (Art. 9 Abs. 5
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG; Gramigna/Maurer-Lambrou, a.a.O., Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG N. 11 und 13; Widmer, a.a.O., Rz. 5.43f.).

Die Einschränkung des Auskunftsrechts erfordert eine Abwägung der Interessen im konkreten Einzelfall. Die gebotene Interessenabwägung kann dazu führen, dass der um Auskunft Ersuchende seine Interessen darlegen muss, obschon das Auskunftsrecht nach Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG grundsätzlich, (vorbehältlich des Rechtsmissbrauchs) ohne Nachweis eines Interesses, geltend gemacht werden kann (vgl. BGE 138 III 425 E. 5.4; Gramigna/ Maurer-Lambrou, a.a.O., Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG N. 39 und 42, Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG N. 9). In Betracht fällt der Anspruch der betroffenen Person einerseits, die entgegengesetzten Interessen des Inhabers der Datensammlung anderseits; zu berücksichtigen ist auch die unterstützende und ergänzende Funktion des Auskunftsrechts in Bezug auf die Persönlichkeits- und Grundrechte. Je schützenswerter die Personendaten sind und je grösser das Interesse des Auskunftsberechtigten an der Auskunft ist, umso überwiegender müssen die Interessen an der Einschränkung zu Tage treten. Die Auskunft darf nur soweit beschränkt werden, als dies unerlässlich ist, das heisst, es ist die am wenigsten einschränkende Lösung zu wählen. Die Einschränkungsgründe gemäss Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG sind abschliessend und restriktiv auszulegen (Gramigna/Maurer-Lambrou, a.a.O., Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG N. 8f.
und 14 f.; Widmer, a.a.O., Rz. 5.41f.; Epiney/Fasnacht, a.a.O., § 11 N. 47).

5.2 Die Beschwerdeführerin beruft sich in der Schilderung ihrer Interessen auf den Zweck des Auskunftsrechts als Institut zur Durchsetzung des Persönlichkeitsschutzes, das den betroffenen Personen die Kontrolle der Rechtmässigkeit der Datenbearbeitung und die Durchsetzung ihrer Ansprüche ermöglichen solle. Sie müsse davon ausgehen, in der Sanktionsverfügung erwähnt zu sein. Das Auskunftsrecht ermögliche ihr zu kontrollieren, ob die Grundsätze der Datenverarbeitung gemäss Art. 4
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 4 Incaricato federale della protezione dei dati e della trasparenza - 1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
1    L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
2    Non sono sottoposti alla vigilanza dell'IFPDT:
a  l'Assemblea federale;
b  il Consiglio federale;
c  i tribunali della Confederazione;
d  il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;
e  le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale.
DSG eingehalten seien, insbesondere ob sie über die Bearbeitung nicht hätte informiert werden sollen. Weiter müsse ihr möglich sein, abzuklären, ob sie in der Verfügung in reputationsschädigender Weise im Umfeld kartellrechtswidrigen Verhaltens dargestellt sei, um gegebenenfalls eine Weitergabe unterbinden zu können. Schliesslich habe sie ein besonderes Interesse an der Auskunftserteilung über Zweck und Rechtsgrundlage der Bearbeitung ihrer Personendaten; sie sei überzeugt, es bestehe keine Notwendigkeit, sie in der Sanktionsverfügung zu erwähnen.

Die Vorinstanz hatte sich in der angefochtenen Verfügung darauf berufen, die Frage der Publikation der Sanktionsverfügung sei noch nicht rechtskräftig entschieden, wobei die Publikation an sich wie auch deren Umfang bestritten sei. Art. 9 Abs. 1
SR 251 Legge federale del 6 ottobre 1995 sui cartelli e altre limitazioni della concorrenza (Legge sui cartelli, LCart) - Legge sui cartelli
LCart Art. 9 Annuncio di progetti di concentrazione - 1 I progetti di concentrazioni di imprese devono essere annunciati alla Commissione della concorrenza prima della loro esecuzione, sempreché durante l'ultimo esercizio prima della concentrazione:
1    I progetti di concentrazioni di imprese devono essere annunciati alla Commissione della concorrenza prima della loro esecuzione, sempreché durante l'ultimo esercizio prima della concentrazione:
a  le imprese partecipanti abbiano realizzato congiuntamente una cifra d'affari di almeno 2 miliardi di franchi o una cifra d'affari in Svizzera di almeno 500 milioni di franchi; e
b  almeno due delle imprese partecipanti abbiano realizzato in Svizzera una cifra d'affari di almeno 100 milioni di franchi ognuna.
2    ...16
3    Nel caso delle compagnie di assicurazione, al posto della cifra d'affari si tiene conto del totale lordo dei premi annui; nel caso delle banche e degli altri intermediari finanziari assoggettati alle regole sulla compilazione dei conti previste nella legge dell'8 novembre 193417 sulle banche, si tiene conto dei ricavi lordi.18
4    A prescindere dai capoversi 1 e 3, è dato obbligo di annuncio se risulta da una procedura fondata sulla presente legge e passata in giudicato che un'impresa partecipante alla concentrazione occupa in Svizzera una posizione dominante sul mercato e che la concentrazione concerne questo mercato oppure un mercato situato a monte o a valle o che le è prossimo.
5    Mediante decreti federali di obbligatorietà generale non sottoposti al referendum l'Assemblea federale può:
a  adeguare alle circostanze gli importi stabiliti dai capoversi 1-3;
b  vincolare a speciali esigenze l'obbligo dell'annuncio per le concentrazioni di imprese in determinati settori economici.
und 2
SR 251 Legge federale del 6 ottobre 1995 sui cartelli e altre limitazioni della concorrenza (Legge sui cartelli, LCart) - Legge sui cartelli
LCart Art. 9 Annuncio di progetti di concentrazione - 1 I progetti di concentrazioni di imprese devono essere annunciati alla Commissione della concorrenza prima della loro esecuzione, sempreché durante l'ultimo esercizio prima della concentrazione:
1    I progetti di concentrazioni di imprese devono essere annunciati alla Commissione della concorrenza prima della loro esecuzione, sempreché durante l'ultimo esercizio prima della concentrazione:
a  le imprese partecipanti abbiano realizzato congiuntamente una cifra d'affari di almeno 2 miliardi di franchi o una cifra d'affari in Svizzera di almeno 500 milioni di franchi; e
b  almeno due delle imprese partecipanti abbiano realizzato in Svizzera una cifra d'affari di almeno 100 milioni di franchi ognuna.
2    ...16
3    Nel caso delle compagnie di assicurazione, al posto della cifra d'affari si tiene conto del totale lordo dei premi annui; nel caso delle banche e degli altri intermediari finanziari assoggettati alle regole sulla compilazione dei conti previste nella legge dell'8 novembre 193417 sulle banche, si tiene conto dei ricavi lordi.18
4    A prescindere dai capoversi 1 e 3, è dato obbligo di annuncio se risulta da una procedura fondata sulla presente legge e passata in giudicato che un'impresa partecipante alla concentrazione occupa in Svizzera una posizione dominante sul mercato e che la concentrazione concerne questo mercato oppure un mercato situato a monte o a valle o che le è prossimo.
5    Mediante decreti federali di obbligatorietà generale non sottoposti al referendum l'Assemblea federale può:
a  adeguare alle circostanze gli importi stabiliti dai capoversi 1-3;
b  vincolare a speciali esigenze l'obbligo dell'annuncio per le concentrazioni di imprese in determinati settori economici.
in Verbindung mit Art. 25 Abs. 1
SR 251 Legge federale del 6 ottobre 1995 sui cartelli e altre limitazioni della concorrenza (Legge sui cartelli, LCart) - Legge sui cartelli
LCart Art. 25 Segreto d'ufficio e d'affari - 1 Le autorità in materia di concorrenza serbano il segreto d'ufficio.
1    Le autorità in materia di concorrenza serbano il segreto d'ufficio.
2    Quanto appreso nell'esercizio delle loro funzioni può essere utilizzato unicamente per gli scopi perseguiti dalla raccolta d'informazioni o dalla procedura.
3    Al Sorvegliante dei prezzi possono essere comunicate unicamente le informazioni necessarie allo svolgimento del suo compito.
4    Le pubblicazioni delle autorità della concorrenza non devono rivelare alcun segreto d'affari.
KG (SR 251) verböten, die Verfügung zugänglich zu machen. In ihrer Vernehmlassung vom 17. August 2016 stellt die Vorinstanz klar, dass sie ihren Entscheid nicht als Verweigerung, sondern als Aufschub verstanden wissen wolle. Offensichtlich gehe es der Beschwerdeführerin vorab um Einsicht in die Sanktionsverfügung (und nicht der Akten an sich). Indessen sei deren Publikation - und damit auch die Frage der Einsichtnahme Dritter - angefochten und noch nicht rechtskräftig entschieden. Der Aufschub erfolge in Nachachtung der aufschiebenden Wirkung.

5.3 Die von der Beschwerdeführerin geltend gemachten Interessen erscheinen als gewichtig. Die Beschwerdeführerin hat ein berechtigtes Interesse daran, kontrollieren zu können, ob ihre Personendaten bearbeitet wurden und, wenn ja, ob dies den Grundsätzen des Art. 4
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 4 Incaricato federale della protezione dei dati e della trasparenza - 1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
1    L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
2    Non sono sottoposti alla vigilanza dell'IFPDT:
a  l'Assemblea federale;
b  il Consiglio federale;
c  i tribunali della Confederazione;
d  il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;
e  le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale.
DSG genügte. Ebenso muss sie sich Rechenschaft darüber ablegen können, gegebenenfalls weitere Rechtsbehelfe, insbesondere jene des Art. 25
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 25 Diritto d'accesso - 1 Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
1    Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
2    Alla persona interessata sono fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati. In ogni caso le sono fornite le informazioni seguenti:
a  l'identità e i dati di contatto del titolare del trattamento;
b  i dati personali trattati in quanto tali;
c  lo scopo del trattamento;
d  la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata;
e  le informazioni disponibili sulla provenienza dei dati personali che non sono stati raccolti presso la persona interessata;
f  se del caso, l'esistenza di una decisione individuale automatizzata e la logica su cui si fonda la decisione;
g  se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali, nonché le informazioni di cui all'articolo 19 capoverso 4.
3    I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata.
4    Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento.
5    Nessuno può rinunciare preventivamente al diritto d'accesso.
6    Il titolare del trattamento fornisce gratuitamente le informazioni. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se l'informazione richiede un onere sproporzionato.
7    Di norma l'informazione è fornita entro 30 giorni.
DSG, zu ergreifen. All das setzt die Wahrnehmung des Auskunftsrechts gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG voraus; dabei handelt es sich um eine typische und legitime Zielrichtung, mit der dieses Auskunftsrecht wahrgenommen wird. Daran ändert nichts, dass das konkrete Auskunftsinteresse der Beschwerdeführerin wohl primär auf die Sanktionsverfügung (und nicht die Verfahrensakten) geht.

Die Vorinstanz macht als überwiegendes Interesse den Schutz des Instituts der aufschiebenden Wirkung geltend. Den in der angefochtenen Verfügung enthaltenen Verweis auf Art. 25 Abs. 1
SR 251 Legge federale del 6 ottobre 1995 sui cartelli e altre limitazioni della concorrenza (Legge sui cartelli, LCart) - Legge sui cartelli
LCart Art. 25 Segreto d'ufficio e d'affari - 1 Le autorità in materia di concorrenza serbano il segreto d'ufficio.
1    Le autorità in materia di concorrenza serbano il segreto d'ufficio.
2    Quanto appreso nell'esercizio delle loro funzioni può essere utilizzato unicamente per gli scopi perseguiti dalla raccolta d'informazioni o dalla procedura.
3    Al Sorvegliante dei prezzi possono essere comunicate unicamente le informazioni necessarie allo svolgimento del suo compito.
4    Le pubblicazioni delle autorità della concorrenza non devono rivelare alcun segreto d'affari.
KG scheint sie nicht (mehr) so verstanden wissen zu wollen, dass sie sich im Sinn von Art. 9 Abs. 1 Bst. a
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG auf das Amtsgeheimnis beruft. Dies zu Recht: Soweit die betroffene Person einzig und allein Auskunft über die eigenen Personendaten verlangt, entbindet sie den Datenbearbeiter damit auch vom Amtsgeheimnis, soweit dieses ihren Schutz bezweckt (vgl. Gramigna/Maurer-Lambrou, a.a.O., Art. 9
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG N. 18f.; David Rosenthal, in: Handkommentar zum Datenschutzgesetz, 2008, Art. 9 N.8). Auch kann - nachdem die Untersuchung abgeschlossen ist - ein das Verfahren schützender Zweck der Anrufung des Amtsgeheimnisses (vgl. Art. 9 Abs. 2 Bst. b
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
DSG) ausgeschlossen werden.

Die aufschiebende Wirkung eines Rechtsmittels bewirkt, dass die in der angefochtenen Verfügung angeordnete Rechtsfolge vorläufig nicht eintritt. Es bleibt der rechtliche und tatsächliche Zustand vor deren Erlass bestehen, die angefochtene Verfügung ist in ihrer Wirksamkeit und Vollstreckung gehemmt (Hansjörg Seiler, in: Praxiskommentar VwVG, a.a.O., Art. 55 N. 8ff.; Kiener/Rütsche/Kuhn, Öffentliches Verfahrensrecht, 2. Aufl. 2015, Rz. 1319ff.). Die Publikationsverfügung hat zum Gegenstand, dass die WEKO die Sanktionsverfügung publizieren darf, insbesondere in der von ihr vorgesehenen Publikationsversion. Als « Publizieren » versteht sich im gegebenen Kontext die Veröffentlichung auf der Website der WEKO (< https://www.weko.admin.ch/ >), wie sie regelmässig unter der Rubrik « Aktuelles »/«Letzte Entscheide » erfolgt, und in der von der WEKO herausgegebenen RPW, die ebenso voraussetzungslos für jedermann auf der Website der WEKO (in der Rubrik « Dokumentation ») zugänglich ist. Mit der aufschiebenden Wirkung ist die Frage einer solchen Publikation in der Schwebe. Eine Bekanntgabe der Verfügung an Dritte mit höherer Zugangshürde ist nicht Gegenstand der Publikationsverfügung (und der anschliessenden
Beschwerdeverfahren), ebenso wenig eine Sperre der Auskunft Dritter über ihre eigenen Personendaten. Über diese Fragen wird denn auch in den Beschwerdeverfahren nicht entschieden werden. Aus der aufschiebenden Wirkung in den Verfahren betreffend die Publikationsverfügung folgt damit nichts für die Frage der Auskunft gemäss Art. 8
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG.

Als berechtigtes Interesse, das gegen eine Auskunft sprechen könnte, fallen vorliegend einzig Geheimhaltungsinteressen der von der Untersuchung betroffenen Unternehmungen in Betracht. Die Frage, wie diesen gerecht werden kann, stellt sich nach Rechtskraft der Entscheide über die Publikationsverfügung gleichermassen wie bereits jetzt. Um diesen Interessen gerecht zu werden, ist ein Aufschub der Auskunft somit kein geeignetes Mittel. Es ist das das Auskunftsrecht am wenigsten einschränkende Vorgehen zu wählen. Die Frage, wie den Interessen weiterer Beteiligter begegnet werden kann - ob mit einer inhaltlichen Einschränkung oder mit der Gestaltung der Auskunft (insb. auch bezüglich der Angaben gemäss Art. 8 Abs. 2 Bst. b
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
DSG) und auch, ob diese im Verfahren sich vernehmen lassen müssen -, ist damit unmittelbar, ohne weiteren Aufschub, zu klären.

5.4 Die Einschränkung der Auskunft in der gewählten Form des Aufschubes ist folglich aufzuheben.
Informazioni decisione   •   DEFRITEN
Documento : 2016/28
Data : 30. novembre 2016
Pubblicato : 20. luglio 2017
Sorgente : Tribunale amministrativo federale
Stato : 2016/28
Ramo giuridico : Corte II (economia, concorrenza, educazione)
Oggetto : Datenschutz


Registro di legislazione
LCart: 9 
SR 251 Legge federale del 6 ottobre 1995 sui cartelli e altre limitazioni della concorrenza (Legge sui cartelli, LCart) - Legge sui cartelli
LCart Art. 9 Annuncio di progetti di concentrazione - 1 I progetti di concentrazioni di imprese devono essere annunciati alla Commissione della concorrenza prima della loro esecuzione, sempreché durante l'ultimo esercizio prima della concentrazione:
1    I progetti di concentrazioni di imprese devono essere annunciati alla Commissione della concorrenza prima della loro esecuzione, sempreché durante l'ultimo esercizio prima della concentrazione:
a  le imprese partecipanti abbiano realizzato congiuntamente una cifra d'affari di almeno 2 miliardi di franchi o una cifra d'affari in Svizzera di almeno 500 milioni di franchi; e
b  almeno due delle imprese partecipanti abbiano realizzato in Svizzera una cifra d'affari di almeno 100 milioni di franchi ognuna.
2    ...16
3    Nel caso delle compagnie di assicurazione, al posto della cifra d'affari si tiene conto del totale lordo dei premi annui; nel caso delle banche e degli altri intermediari finanziari assoggettati alle regole sulla compilazione dei conti previste nella legge dell'8 novembre 193417 sulle banche, si tiene conto dei ricavi lordi.18
4    A prescindere dai capoversi 1 e 3, è dato obbligo di annuncio se risulta da una procedura fondata sulla presente legge e passata in giudicato che un'impresa partecipante alla concentrazione occupa in Svizzera una posizione dominante sul mercato e che la concentrazione concerne questo mercato oppure un mercato situato a monte o a valle o che le è prossimo.
5    Mediante decreti federali di obbligatorietà generale non sottoposti al referendum l'Assemblea federale può:
a  adeguare alle circostanze gli importi stabiliti dai capoversi 1-3;
b  vincolare a speciali esigenze l'obbligo dell'annuncio per le concentrazioni di imprese in determinati settori economici.
25
SR 251 Legge federale del 6 ottobre 1995 sui cartelli e altre limitazioni della concorrenza (Legge sui cartelli, LCart) - Legge sui cartelli
LCart Art. 25 Segreto d'ufficio e d'affari - 1 Le autorità in materia di concorrenza serbano il segreto d'ufficio.
1    Le autorità in materia di concorrenza serbano il segreto d'ufficio.
2    Quanto appreso nell'esercizio delle loro funzioni può essere utilizzato unicamente per gli scopi perseguiti dalla raccolta d'informazioni o dalla procedura.
3    Al Sorvegliante dei prezzi possono essere comunicate unicamente le informazioni necessarie allo svolgimento del suo compito.
4    Le pubblicazioni delle autorità della concorrenza non devono rivelare alcun segreto d'affari.
LPD: 1 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 1 Scopo - Scopo della presente legge è proteggere la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento.
2 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
1    La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
a  privati;
b  organi federali.
2    Non si applica al trattamento di dati personali da parte:
a  di persone fisiche per uso esclusivamente personale;
b  delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c  dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
3    Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4    I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
3 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
1    La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2    Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
4 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 4 Incaricato federale della protezione dei dati e della trasparenza - 1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
1    L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
2    Non sono sottoposti alla vigilanza dell'IFPDT:
a  l'Assemblea federale;
b  il Consiglio federale;
c  i tribunali della Confederazione;
d  il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;
e  le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale.
5 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 5 Definizioni - Nella presente legge s'intende per:
a  dati personali: tutte le informazioni concernenti una persona fisica identificata o identificabile;
b  persona interessata: la persona fisica i cui dati personali sono oggetto di trattamento;
c  dati personali degni di particolare protezione:
c1  i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali,
c2  i dati concernenti la salute, la sfera intima o l'appartenenza a una razza o a un'etnia,
c3  i dati genetici,
c4  i dati biometrici che identificano in modo univoco una persona fisica,
c5  i dati concernenti perseguimenti e sanzioni amministrativi e penali,
c6  i dati concernenti le misure d'assistenza sociale;
d  trattamento: qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l'utilizzazione, la modificazione, la comunicazione, l'archiviazione, la cancellazione o la distruzione di dati;
e  comunicazione: la trasmissione di dati personali o il fatto di renderli accessibili;
f  profilazione: trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere aspetti concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, i luoghi di permanenza e gli spostamenti di tale persona;
g  profilazione a rischio elevato: profilazione che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata poiché comporta un collegamento tra dati che permette di valutare aspetti essenziali della personalità di una persona fisica;
h  violazione della sicurezza dei dati: violazione della sicurezza in seguito alla quale, in modo accidentale o illecito, dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate;
i  organo federale: autorità o servizio della Confederazione, oppure persona cui sono affidati compiti federali;
j  titolare del trattamento: il privato o l'organo federale che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento;
k  responsabile del trattamento: il privato o l'organo federale che tratta dati personali per conto del titolare del trattamento.
8 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
1    Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2    I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3    Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
9 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
1    Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
a  questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b  nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
2    Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3    Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4    Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
11a  12 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 12 Registro delle attività di trattamento - 1 I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
1    I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
2    Il registro del titolare del trattamento contiene almeno:
a  l'identità del titolare del trattamento;
b  lo scopo del trattamento;
c  una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
d  le categorie di destinatari;
e  se possibile, la durata di conservazione dei dati personali o i criteri per determinare tale durata;
f  se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l'articolo 8;
g  se i dati personali sono comunicati all'estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all'articolo 16 capoverso 2.
3    Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella del titolare del trattamento, alle categorie dei trattamenti eseguiti su incarico del titolare del trattamento, come pure le indicazioni di cui al capoverso 2 lettere f e g.
4    Gli organi federali notificano i loro registri all'IFPDT.
5    Il Consiglio federale prevede eccezioni per le imprese con meno di 250 collaboratori i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate.
16 
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 16 Principi - 1 Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati.
1    Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati.
2    In assenza di una decisione del Consiglio federale ai sensi del capoverso 1, dati personali possono essere comunicati all'estero soltanto se una protezione dei dati appropriata è garantita da:
a  un trattato internazionale;
b  clausole contrattuali di protezione dei dati tra il titolare o il responsabile del trattamento e l'altro contraente, previamente comunicate all'IFPDT;
c  garanzie specifiche stabilite dall'organo federale competente, previamente comunicate all'IFPDT;
d  clausole tipo di protezione dei dati previamente approvate, stabilite o riconosciute dall'IFPDT; o
e  norme interne dell'impresa vincolanti sulla protezione dei dati, previamente approvate dall'IFPDT o da un'autorità incaricata della protezione dei dati appartenente a uno Stato che garantisce una protezione adeguata.
3    Il Consiglio federale può prevedere altre garanzie appropriate ai sensi del capoverso 2.
25
SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD)
LPD Art. 25 Diritto d'accesso - 1 Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
1    Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
2    Alla persona interessata sono fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati. In ogni caso le sono fornite le informazioni seguenti:
a  l'identità e i dati di contatto del titolare del trattamento;
b  i dati personali trattati in quanto tali;
c  lo scopo del trattamento;
d  la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata;
e  le informazioni disponibili sulla provenienza dei dati personali che non sono stati raccolti presso la persona interessata;
f  se del caso, l'esistenza di una decisione individuale automatizzata e la logica su cui si fonda la decisione;
g  se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali, nonché le informazioni di cui all'articolo 19 capoverso 4.
3    I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata.
4    Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento.
5    Nessuno può rinunciare preventivamente al diritto d'accesso.
6    Il titolare del trattamento fornisce gratuitamente le informazioni. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se l'informazione richiede un onere sproporzionato.
7    Di norma l'informazione è fornita entro 30 giorni.
LTAF: 31 
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF)
LTAF Art. 31 Principio - Il Tribunale amministrativo federale giudica i ricorsi contro le decisioni ai sensi dell'articolo 5 della legge federale del 20 dicembre 196819 sulla procedura amministrativa (PA).
32 
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF)
LTAF Art. 32 Eccezioni - 1 Il ricorso è inammissibile contro:
1    Il ricorso è inammissibile contro:
a  le decisioni in materia di sicurezza interna o esterna del Paese, neutralità, protezione diplomatica e altri affari esteri, in quanto il diritto internazionale pubblico non conferisca un diritto al giudizio da parte di un tribunale;
b  le decisioni in materia di diritto di voto dei cittadini nonché di elezioni e votazioni popolari;
c  le decisioni in materia di salario al merito del personale federale, in quanto non concernano la parità dei sessi;
d  ...
e  le decisioni nel settore dell'energia nucleare concernenti:
e1  le autorizzazioni di massima per impianti nucleari,
e2  l'approvazione del programma di smaltimento,
e3  la chiusura di depositi geologici in profondità,
e4  la prova dello smaltimento;
f  le decisioni in materia di rilascio o estensione di concessioni di infrastrutture ferroviarie;
g  le decisioni dell'autorità indipendente di ricorso in materia radiotelevisiva;
h  le decisioni in materia di rilascio di concessioni per case da gioco;
i  le decisioni in materia di rilascio, modifica o rinnovo della concessione della Società svizzera di radiotelevisione (SSR);
j  le decisioni in materia di diritto ai sussidi di una scuola universitaria o di un altro istituto accademico.
2    Il ricorso è inoltre inammissibile contro:
a  le decisioni che, in virtù di un'altra legge federale, possono essere impugnate mediante opposizione o ricorso dinanzi a un'autorità ai sensi dell'articolo 33 lettere c-f;
b  le decisioni che, in virtù di un'altra legge federale, possono essere impugnate mediante ricorso dinanzi a un'autorità cantonale.
33 
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF)
LTAF Art. 33 Autorità inferiori - Il ricorso è ammissibile contro le decisioni:
a  del Consiglio federale e degli organi dell'Assemblea federale in materia di rapporti di lavoro del personale federale, compreso il rifiuto dell'autorizzazione a procedere penalmente;
b  del Consiglio federale concernenti:
b1  la destituzione di un membro del Consiglio della banca o della direzione generale o di un loro supplente secondo la legge del 3 ottobre 200325 sulla Banca nazionale,
b10  la revoca di un membro del consiglio d'amministrazione del Servizio svizzero di assegnazione delle tracce o l'approvazione della risoluzione del rapporto di lavoro del direttore da parte del consiglio d'amministrazione secondo la legge federale del 20 dicembre 195743 sulle ferrovie;
b2  la revoca di un membro del consiglio di amministrazione dell'Autorità federale di vigilanza sui mercati finanziari o l'approvazione dello scioglimento del rapporto di lavoro del direttore da parte del consiglio di amministrazione secondo la legge del 22 giugno 200726 sulla vigilanza dei mercati finanziari,
b3  il blocco di valori patrimoniali secondo la legge del 18 dicembre 201528 sui valori patrimoniali di provenienza illecita,
b4  il divieto di determinate attività secondo la LAIn30,
b4bis  il divieto di organizzazioni secondo la LAIn,
b5  la revoca di un membro del Consiglio d'istituto dell'Istituto federale di metrologia secondo la legge federale del 17 giugno 201133 sull'Istituto federale di metrologia,
b6  la revoca di un membro del consiglio di amministrazione dell'Autorità federale di sorveglianza dei revisori o l'approvazione dello scioglimento del rapporto di lavoro del direttore da parte del consiglio di amministrazione secondo la legge del 16 dicembre 200535 sui revisori,
b7  la revoca di un membro del Consiglio dell'Istituto svizzero per gli agenti terapeutici secondo la legge del 15 dicembre 200037 sugli agenti terapeutici,
b8  la revoca di un membro del consiglio di amministrazione dell'istituto secondo la legge del 16 giugno 201739 sui fondi di compensazione,
b9  la revoca di un membro del consiglio d'Istituto dell'Istituto svizzero di diritto comparato secondo la legge federale del 28 settembre 201841 sull'Istituto svizzero di diritto comparato,
c  del Tribunale penale federale in materia di rapporti di lavoro dei suoi giudici e del suo personale;
cbis  del Tribunale federale dei brevetti in materia di rapporti di lavoro dei suoi giudici e del suo personale;
cquater  del procuratore generale della Confederazione in materia di rapporti di lavoro dei procuratori pubblici federali da lui nominati e del personale del Ministero pubblico della Confederazione;
cquinquies  dell'autorità di vigilanza sul Ministero pubblico della Confederazione in materia di rapporti di lavoro del personale della sua segreteria;
cter  dell'autorità di vigilanza sul Ministero pubblico della Confederazione in materia di rapporti di lavoro dei membri del Ministero pubblico della Confederazione eletti dall'Assemblea federale plenaria;
d  della Cancelleria federale, dei dipartimenti e dei servizi dell'Amministrazione federale loro subordinati o aggregati amministrativamente;
e  degli stabilimenti e delle aziende della Confederazione;
f  delle commissioni federali;
g  dei tribunali arbitrali costituiti in virtù di contratti di diritto pubblico sottoscritti dalla Confederazione, dai suoi stabilimenti o dalle sue aziende;
h  delle autorità o organizzazioni indipendenti dall'Amministrazione federale che decidono nell'adempimento di compiti di diritto pubblico loro affidati dalla Confederazione;
i  delle autorità cantonali, in quanto una legge federale preveda che le loro decisioni sono impugnabili mediante ricorso dinanzi al Tribunale amministrativo federale.
37
SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF)
LTAF Art. 37 Principio - La procedura dinanzi al Tribunale amministrativo federale è retta dalla PA56, in quanto la presente legge non disponga altrimenti.
OPDa: 1 
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 1 Principi - 1 Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
1    Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
2    La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri:
a  tipo di dati trattati;
b  scopo, tipo, portata e circostanze del trattamento.
3    Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri:
a  cause del rischio;
b  pericolo sostanziale;
c  provvedimenti adottati o previsti per minimizzare il rischio;
d  probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti.
4    Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri:
a  lo stato della tecnica;
b  le spese di implementazione.
5    La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l'intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati.
13
SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa)
OPDa Art. 13 Modalità dell'obbligo di informare - Il titolare del trattamento comunica alla persona interessata le informazioni sull'ottenimento di dati personali in forma precisa, trasparente, comprensibile e facilmente accessibile.
PA: 5 
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
1    Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
a  la costituzione, la modificazione o l'annullamento di diritti o di obblighi;
b  l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi;
c  il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi.
2    Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24
3    Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni.
35 
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 35 - 1 Le decisioni scritte, anche se notificate in forma di lettera, devono essere designate come tali, motivate, e indicare il rimedio giuridico.
1    Le decisioni scritte, anche se notificate in forma di lettera, devono essere designate come tali, motivate, e indicare il rimedio giuridico.
2    L'indicazione del rimedio giuridico deve menzionare il rimedio giuridico ordinario ammissibile, l'autorità competente e il termine per interporlo.
3    L'autorità può rinunciare a indicare i motivi e il rimedio giuridico allorché la decisione sia interamente conforme alle domande delle parti e nessuna parte chieda la motivazione.
38 
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 38 - Una notificazione difettosa non può cagionare alle parti alcun pregiudizio.
44 
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 44 - La decisione soggiace a ricorso.
46a
SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
PA Art. 46a - Può essere interposto ricorso se l'autorità adita nega o ritarda ingiustamente l'emanazione di una decisione impugnabile.
Registro DTF
123-II-534 • 135-II-38 • 138-III-425 • 139-V-143 • 139-V-72
Parole chiave
Elenca secondo la frequenza o in ordine alfabetico
1995 • abuso di diritto • accesso • all'interno • attestato • atto d'imperio • autorità inferiore • autorizzazione o approvazione • campo d'applicazione • cartello • categoria • collezione di dati • commissione della concorrenza • comportamento • comunicazione • conclusioni • confederazione • consultazione degli atti • consultazione di un registro pubblico • copia • coscienza • dati personali • decisione • deposito dei piani • detentore di una collezione di dati • dichiarazione • dimensioni della costruzione • direttiva • documentazione • domanda di assistenza giudiziaria • domanda indirizzata all'autorità • effetto sospensivo • elaborazione elettronica dei dati • equivalenza • estensione • forma e contenuto • forza obbligatoria • funzione • giorno • inchiesta penale • informazione erronea • istante • legalità • legge federale sui cartelli e altre limitazioni della concorrenza • legge federale sulla protezione dei dati • motivazione della decisione • nullità • obbligo di collaborare • obbligo di informazione • oggetto del ricorso • ordinanza sulla protezione dei dati • organizzazione dello stato e amministrazione • parte interessata • persona giuridica • persona interessata • peso • posto • presunzione • presupposto processuale • privato • protezione dei dati • pubblicazione • quesito • raccolta • registro delle collezioni di dati • rimedio giuridico • risposta al ricorso • sanzione amministrativa • termine • tribunale amministrativo federale
BVGer
B-6850/2014