28

Auszug aus dem Urteil der Abteilung II
i.S. A. gegen Wettbewerbskommission
B 6850/2014 vom 30. November 2016

Datenschutz. Begriff der Verfügung. Geltungsbereich des DSG bei hängigem Verfahren. Aufschub der Auskunft über die Datenbearbeitung aufgrund einer Interessenabwägung.

Art. 5
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 5 - 1 Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
1    Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
a  Begründung, Änderung oder Aufhebung von Rechten oder Pflichten;
b  Feststellung des Bestehens, Nichtbestehens oder Umfanges von Rechten oder Pflichten;
c  Abweisung von Begehren auf Begründung, Änderung, Aufhebung oder Feststellung von Rechten oder Pflichten oder Nichteintreten auf solche Begehren.
2    Als Verfügungen gelten auch Vollstreckungsverfügungen (Art. 41 Abs. 1 Bst. a und b), Zwischenverfügungen (Art. 45 und 46), Einspracheentscheide (Art. 30 Abs. 2 Bst. b und 74), Beschwerdeentscheide (Art. 61), Entscheide im Rahmen einer Revision (Art. 68) und die Erläuterung (Art. 69).25
3    Erklärungen von Behörden über Ablehnung oder Erhebung von Ansprüchen, die auf dem Klageweg zu verfolgen sind, gelten nicht als Verfügungen.
VwVG. Art. 2 Abs. 2 Bst. c
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
, Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
und Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG.

1. Die an einen Gesuchsteller gerichtete Mitteilung, eine gestützt auf Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG beantragte Auskunft werde vorerst nicht erteilt, ist im Sinne eines Aufschubs gemäss Art. 9 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG auf eine Rechtswirkung ausgerichtet und stellt eine Verfügung im Sinne von Art. 5
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 5 - 1 Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
1    Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
a  Begründung, Änderung oder Aufhebung von Rechten oder Pflichten;
b  Feststellung des Bestehens, Nichtbestehens oder Umfanges von Rechten oder Pflichten;
c  Abweisung von Begehren auf Begründung, Änderung, Aufhebung oder Feststellung von Rechten oder Pflichten oder Nichteintreten auf solche Begehren.
2    Als Verfügungen gelten auch Vollstreckungsverfügungen (Art. 41 Abs. 1 Bst. a und b), Zwischenverfügungen (Art. 45 und 46), Einspracheentscheide (Art. 30 Abs. 2 Bst. b und 74), Beschwerdeentscheide (Art. 61), Entscheide im Rahmen einer Revision (Art. 68) und die Erläuterung (Art. 69).25
3    Erklärungen von Behörden über Ablehnung oder Erhebung von Ansprüchen, die auf dem Klageweg zu verfolgen sind, gelten nicht als Verfügungen.
VwVG dar (E. 1.4).

2. Erstinstanzliche Verfahren ausgenommen, ist das DSG nicht anwendbar, soweit Personen mit Parteirechten betroffen sind (Art. 2 Abs. 2 Bst. c
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG). Auf Auskunftsgesuche Dritter findet das DSG auch bei hängigem Verfahren Anwendung (E. 2.2).

3. Konkrete Interessenabwägung führt zur Unzulässigkeit des Aufschubs einer beantragten Auskunft (Art. 9 Abs. 1 Bst. b
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG; E. 5).

Protection des données. Notion de décision. Champ d'application de la LPD dans les procédures pendantes. Ajournement de la communication des renseignements concernant le traitement de données sur la base d'une pesée des intérêts en présence.

Art. 5 PA. Art. 2 al. 2 let. c, art. 8 et art. 9 LPD.

1. La communication adressée à un demandeur selon laquelle les renseignements demandés en vertu de l'art. 8 LPD ne peuvent être communiqués pour le moment produit un effet juridique au sens d'un ajournement selon l'art. 9 al. 1 LPD et constitue une décision au sens de l'art. 5 PA (consid. 1.4).

2. A l'exception des procédures de première instance, la LPD ne s'applique pas lorsque les personnes concernées sont titulaires de droits liés à la qualité de partie (art. 2 al. 2 let. c LPD). En cas de demandes d'accès présentées par des tiers, la LPD s'applique également dans les procédures pendantes (consid. 2.2).

3. Suite à la pesée des intérêts en présence, l'ajournement de la communication de renseignements est jugé illicite (art. 9 al. 1 let. b LPD; consid. 5).

Protezione dei dati. Nozione di decisione. Campo d'applicazione della LPD nei procedimenti pendenti. Differimento della comunicazione di informazioni inerenti il trattamento di dati sulla base di una ponderazione degli interessi.

Art. 5 PA. Art. 2 cpv. 2 lett. c, art. 8 e art. 9 LPD.

1. La comunicazione indirizzata a un richiedente secondo cui le informazioni richieste in virtù dell'art. 8 LPD non possono attualmente essere fornite produce un effetto giuridico nel senso di un differimento secondo l'art. 9 cpv. 1 LPD e costituisce una decisione ai sensi dell'art. 5 PA (consid. 1.4).

2. Eccettuati i procedimenti di prima istanza, la LPD non si applica quando sono toccate persone titolari di diritti inerenti alla qualità di parte (art. 2 cpv. 2 lett. c LPD). Nel caso di domande di accesso presentate da terzi, la LPD si applica anche nei procedimenti pendenti (consid. 2.2).

3. La ponderazione degli interessi nel caso concreto porta a riconoscere che il differimento della comunicazione delle informazioni è inammissibile (art. 9 cpv. 1 lett. b LPD; consid. 5).

Mit Verfügung vom 2. Dezember 2013 (« Sanktionsverfügung ») schloss die Wettbewerbskommission (WEKO, nachfolgend auch Vorinstanz) eine am 13. Februar 2006 eröffnete Untersuchung betreffend Abreden über Zuschläge im Bereich Luftfracht ab. Insgesamt elf Parteien wurden wegen Beteiligung an einer unzulässigen Preisabrede mit Sanktionen in unterschiedlicher Höhe belegt und es wurden ihnen bestimmte Verhaltensweisen untersagt. Die WEKO orientierte die Öffentlichkeit mittels einer Medienmitteilung und eines « Presserohstoffes » am 10. Januar 2014 über die Sanktionsverfügung. Mehrere Parteien haben die Sanktionsverfügung beim Bundesverwaltungsgericht angefochten.

Die Frage, ob respektive in welcher Form die WEKO die Sanktionsverfügung publizieren darf, ist Gegenstand einer eigenständigen Verfügung vom 8. September 2014 (« Publikationsverfügung » mit einer teils anonymisierten respektive geschwärzten Fassung der Sanktionsverfügung [« Publikationsversion »] im Anhang). Auch diese wurde von mehreren Parteien mittels Beschwerde beim Bundesverwaltungsgericht angefochten.

A. (nachfolgend: Beschwerdeführerin) ist in der Luftfrachtbranche tätig, war aber nicht Partei in der genannten Untersuchung. Sie gelangte mit Schreiben vom 19. September 2014 an die WEKO und ersuchte sie im Hinblick auf die erwartete Publikation der Sanktionsverfügung um die Bestätigung, dass die Sanktionsverfügung sie, die Beschwerdeführerin, nicht erwähne respektive keine direkten oder indirekten Hinweise auf sie enthalte und sie auch nicht auf andere Weise bei einer Lektüre der Verfügung mit dem untersuchten Verhalten in Bezug gebracht werden könne. Allfällige Hinweise und Andeutungen auf die Beschwerdeführerin seien in einer Publikationsversion zu löschen und diese vorgängig der Veröffentlichung der Beschwerdeführerin zur Stellungnahme vorzulegen.

Das Sekretariat der WEKO teilte mit Schreiben vom 23. September 2014 mit, die gewünschten Bestätigungen könne man nicht abgeben. Es sei fraglich, ob der Beschwerdeführerin ein Anspruch auf Offenlegung der Verfügung vor Publikation zustehe. Die Frage der Publikation sei strittig und nicht rechtskräftig geklärt, weshalb es « zurzeit » nicht möglich sei, die Publikationsversion zugänglich zu machen.

Die Beschwerdeführerin wandte sich am 17. Oktober 2014 wiederum an die WEKO. Sie machte geltend, sie habe Grund zur Annahme, die Sanktionsverfügung enthalte direkte oder indirekte Bezüge oder Hinweise auf die Beschwerdeführerin und damit Daten, welche sie, die Beschwerdeführerin, betreffen oder vom Inhalt der Verfügung insgesamt erkennbar machen. Unter Berufung auf Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG (SR 235.1) verlangte die Beschwerdeführerin « Auskunft über die Art der von der Weko über ihr Unternehmen bearbeiteten Personendaten und über den Zweck dieser Bearbeitung. Soweit die Weko Personendaten über [die Beschwerdeführerin] zum Zweck beziehungsweise als Teil der Begründung der Verfügung bearbeitet, verlangt [die Beschwerdeführerin] hiermit gestützt auf Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG, dass die Weko [ihr] vor der Publikation der Verfügung eine Kopie derjenigen Teile der Verfügung zustellt, die auf [die Beschwerdeführerin] oder auf Aktivitäten [der Beschwerdeführerin] Bezug nehmen. » Die Beschwerdeführerin stellte weiter klar, dass ihr nur am Zugang zu den eigenen, in der Verfügung vermutlich enthaltenen Personendaten gelegen sei und sie akzeptieren würde, wenn Teile, welche Geschäftsgeheimnisse der vom Verfahren Betroffenen enthielten, unkenntlich gemacht würden. Für den
Fall, dass die WEKO die Einsichtnahme verweigern wolle, wurde um den Erlass einer anfechtbaren Verfügung ersucht.

Das Sekretariat der WEKO antwortete darauf mit Einschreibebrief vom 22. Oktober 2014. Nach einem Résumé des Schreibens der Beschwerdeführerin vom 17. Oktober 2014 hält es fest:

« Nach wie vor ist die Frage der Publikation der genannten Verfügung strittig und noch nicht rechtskräftig geklärt. Dabei sind sowohl die Publikation an sich als auch deren Umfang bestritten. Gemäss Artikel 9 Absatz 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
und 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG in Verbindung mit Art. 25 Absatz 1
SR 251 Bundesgesetz vom 6. Oktober 1995 über Kartelle und andere Wettbewerbsbeschränkungen (Kartellgesetz, KG) - Kartellgesetz
KG Art. 25 Amts- und Geschäftsgeheimnis - 1 Die Wettbewerbsbehörden wahren das Amtsgeheimnis.
1    Die Wettbewerbsbehörden wahren das Amtsgeheimnis.
2    Sie dürfen Kenntnisse, die sie bei ihrer Tätigkeit erlangen, nur zu dem mit der Auskunft oder dem Verfahren verfolgten Zweck verwerten.
3    Dem Preisüberwacher dürfen die Wettbewerbsbehörden diejenigen Daten weitergeben, die er für die Erfüllung seiner Aufgaben benötigt.
4    Die Veröffentlichungen der Wettbewerbsbehörden dürfen keine Geschäftsgeheimnisse preisgeben.
des Bundesgesetzes vom 6. Oktober 1995 über Kartelle und andere Wettbewerbsbeschränkungen (Kartellgesetz, KG, SR 251) ist es daher zurzeit nicht möglich, Ihnen die genannte Verfügung in irgendeiner Form zugänglich zu machen. »

Die Beschwerdeführerin erhob Beschwerde gegen diese von ihr als Verfügung qualifizierte Mitteilung. Sie stellte im Wesentlichen die Rechtsbegehren, die Verfügung vom 22. Oktober 2014 sei aufzuheben und die Vorinstanz anzuweisen, ihr, der Beschwerdeführerin, alle Personendaten bekannt zu geben, die über sie in den Akten der Vorinstanz mit Bezug auf die Sanktionsverfügung vorhanden sind, namentlich ihr alle Personaldaten über sie offenzulegen, welche die Vorinstanz in der Sanktionsverfügung bearbeite.

Das Bundesverwaltungsgericht heisst die Beschwerde gut, hebt die Verfügung vom 22. Oktober 2014 auf und weist die Sache zur Neubeurteilung im Sinne der Erwägungen an die Vorinstanz zurück.

Aus den Erwägungen:

1.

1.1 Das Bundesverwaltungsgericht beurteilt gemäss Art. 31
SR 173.32 Bundesgesetz vom 17. Juni 2005 über das Bundesverwaltungsgericht (Verwaltungsgerichtsgesetz, VGG) - Verwaltungsgerichtsgesetz
VGG Art. 31 Grundsatz - Das Bundesverwaltungsgericht beurteilt Beschwerden gegen Verfügungen nach Artikel 5 des Bundesgesetzes vom 20. Dezember 196819 über das Verwaltungsverfahren (VwVG).
VGG Beschwerden gegen Verfügungen im Sinne von Art. 5
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 5 - 1 Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
1    Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
a  Begründung, Änderung oder Aufhebung von Rechten oder Pflichten;
b  Feststellung des Bestehens, Nichtbestehens oder Umfanges von Rechten oder Pflichten;
c  Abweisung von Begehren auf Begründung, Änderung, Aufhebung oder Feststellung von Rechten oder Pflichten oder Nichteintreten auf solche Begehren.
2    Als Verfügungen gelten auch Vollstreckungsverfügungen (Art. 41 Abs. 1 Bst. a und b), Zwischenverfügungen (Art. 45 und 46), Einspracheentscheide (Art. 30 Abs. 2 Bst. b und 74), Beschwerdeentscheide (Art. 61), Entscheide im Rahmen einer Revision (Art. 68) und die Erläuterung (Art. 69).25
3    Erklärungen von Behörden über Ablehnung oder Erhebung von Ansprüchen, die auf dem Klageweg zu verfolgen sind, gelten nicht als Verfügungen.
VwVG, sofern keine Ausnahme nach Art. 32
SR 173.32 Bundesgesetz vom 17. Juni 2005 über das Bundesverwaltungsgericht (Verwaltungsgerichtsgesetz, VGG) - Verwaltungsgerichtsgesetz
VGG Art. 32 Ausnahmen - 1 Die Beschwerde ist unzulässig gegen:
1    Die Beschwerde ist unzulässig gegen:
a  Verfügungen auf dem Gebiet der inneren und äusseren Sicherheit des Landes, der Neutralität, des diplomatischen Schutzes und der übrigen auswärtigen Angelegenheiten, soweit das Völkerrecht nicht einen Anspruch auf gerichtliche Beurteilung einräumt;
b  Verfügungen betreffend die politische Stimmberechtigung der Bürger und Bürgerinnen sowie Volkswahlen und -abstimmungen;
c  Verfügungen über leistungsabhängige Lohnanteile des Bundespersonals, soweit sie nicht die Gleichstellung der Geschlechter betreffen;
d  ...
e  Verfügungen auf dem Gebiet der Kernenergie betreffend:
e1  Rahmenbewilligungen von Kernanlagen,
e2  die Genehmigung des Entsorgungsprogramms,
e3  den Verschluss von geologischen Tiefenlagern,
e4  den Entsorgungsnachweis;
f  Verfügungen über die Erteilung oder Ausdehnung von Infrastrukturkonzessionen für Eisenbahnen;
g  Verfügungen der unabhängigen Beschwerdeinstanz für Radio und Fernsehen;
h  Verfügungen über die Erteilung von Konzessionen für Spielbanken;
i  Verfügungen über die Erteilung, Änderung oder Erneuerung der Konzession für die Schweizerische Radio- und Fernsehgesellschaft (SRG);
j  Verfügungen über die Beitragsberechtigung einer Hochschule oder einer anderen Institution des Hochschulbereichs.
2    Die Beschwerde ist auch unzulässig gegen:
a  Verfügungen, die nach einem anderen Bundesgesetz durch Einsprache oder durch Beschwerde an eine Behörde im Sinne von Artikel 33 Buchstaben c-f anfechtbar sind;
b  Verfügungen, die nach einem anderen Bundesgesetz durch Beschwerde an eine kantonale Behörde anfechtbar sind.
VGG gegeben ist und eine Vorinstanz gemäss Art. 33
SR 173.32 Bundesgesetz vom 17. Juni 2005 über das Bundesverwaltungsgericht (Verwaltungsgerichtsgesetz, VGG) - Verwaltungsgerichtsgesetz
VGG Art. 33 Vorinstanzen - Die Beschwerde ist zulässig gegen Verfügungen:
a  des Bundesrates und der Organe der Bundesversammlung auf dem Gebiet des Arbeitsverhältnisses des Bundespersonals einschliesslich der Verweigerung der Ermächtigung zur Strafverfolgung;
b  des Bundesrates betreffend:
b1  die Amtsenthebung eines Mitgliedes des Bankrats, des Direktoriums oder eines Stellvertreters oder einer Stellvertreterin nach dem Nationalbankgesetz vom 3. Oktober 200325,
b10  die Abberufung eines Verwaltungsratsmitglieds der Schweizerischen Trassenvergabestelle oder die Genehmigung der Auflösung des Arbeitsverhältnisses der Geschäftsführerin oder des Geschäftsführers durch den Verwaltungsrat nach dem Eisenbahngesetz vom 20. Dezember 195743;
b2  die Abberufung eines Verwaltungsratsmitgliedes der Eidgenössischen Finanzmarktaufsicht oder die Genehmigung der Auflösung des Arbeitsverhältnisses der Direktorin oder des Direktors durch den Verwaltungsrat nach dem Finanzmarktaufsichtsgesetz vom 22. Juni 200726,
b3  die Sperrung von Vermögenswerten gestützt auf das Bundesgesetz vom 18. Dezember 201528 über die Sperrung und die Rückerstattung unrechtmässig erworbener Vermögenswerte ausländischer politisch exponierter Personen,
b4  das Verbot von Tätigkeiten nach dem NDG30,
b5bis  die Abberufung eines Mitglieds des Institutsrats des Eidgenössischen Instituts für Metrologie nach dem Bundesgesetz vom 17. Juni 201133 über das Eidgenössische Institut für Metrologie,
b6  die Abberufung eines Verwaltungsratsmitglieds der Eidgenössischen Revisionsaufsichtsbehörde oder die Genehmigung der Auflösung des Arbeitsverhältnisses der Direktorin oder des Direktors durch den Verwaltungsrat nach dem Revisionsaufsichtsgesetz vom 16. Dezember 200535,
b7  die Abberufung eines Mitglieds des Institutsrats des Schweizerischen Heilmittelinstituts nach dem Heilmittelgesetz vom 15. Dezember 200037,
b8  die Abberufung eines Verwaltungsratsmitglieds der Anstalt nach dem Ausgleichsfondsgesetz vom 16. Juni 201739,
b9  die Abberufung eines Mitglieds des Institutsrats des Schweizerischen Instituts für Rechtsvergleichung nach dem Bundesgesetz vom 28. September 201841 über das Schweizerische Institut für Rechtsvergleichung,
c  des Bundesstrafgerichts auf dem Gebiet des Arbeitsverhältnisses seiner Richter und Richterinnen und seines Personals;
cbis  des Bundespatentgerichts auf dem Gebiet des Arbeitsverhältnisses seiner Richter und Richterinnen und seines Personals;
cquater  des Bundesanwaltes oder der Bundesanwältin auf dem Gebiet des Arbeitsverhältnisses der von ihm oder ihr gewählten Staatsanwälte und Staatsanwältinnen sowie des Personals der Bundesanwaltschaft;
cquinquies  der Aufsichtsbehörde über die Bundesanwaltschaft auf dem Gebiet des Arbeitsverhältnisses ihres Sekretariats;
cter  der Aufsichtsbehörde über die Bundesanwaltschaft auf dem Gebiet des Arbeitsverhältnisses der von der Vereinigten Bundesversammlung gewählten Mitglieder der Bundesanwaltschaft;
d  der Bundeskanzlei, der Departemente und der ihnen unterstellten oder administrativ zugeordneten Dienststellen der Bundesverwaltung;
e  der Anstalten und Betriebe des Bundes;
f  der eidgenössischen Kommissionen;
g  der Schiedsgerichte auf Grund öffentlich-rechtlicher Verträge des Bundes, seiner Anstalten und Betriebe;
h  der Instanzen oder Organisationen ausserhalb der Bundesverwaltung, die in Erfüllung ihnen übertragener öffentlich-rechtlicher Aufgaben des Bundes verfügen;
i  kantonaler Instanzen, soweit ein Bundesgesetz gegen ihre Verfügungen die Beschwerde an das Bundesverwaltungsgericht vorsieht.
VGG entschieden hat. Das Verfahren vor dem Bundesverwaltungsgericht richtet sich nach dem VwVG, soweit das VGG nichts anderes vorsieht (Art. 37
SR 173.32 Bundesgesetz vom 17. Juni 2005 über das Bundesverwaltungsgericht (Verwaltungsgerichtsgesetz, VGG) - Verwaltungsgerichtsgesetz
VGG Art. 37 Grundsatz - Das Verfahren vor dem Bundesverwaltungsgericht richtet sich nach dem VwVG56, soweit dieses Gesetz nichts anderes bestimmt.
VGG).

1.2 1.3(...)

1.4 Vom Ausnahmefall der Rechtsverweigerungs- und Rechtsverzögerungsbeschwerde (Art. 46a
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 46a - Gegen das unrechtmässige Verweigern oder Verzögern einer anfechtbaren Verfügung kann Beschwerde geführt werden.
VwVG) abgesehen, werden im Verfahren vor Bundesverwaltungsgericht nur Rechtsverhältnisse überprüft, zu denen die zuständige Verwaltungsbehörde vorgängig verbindlich in Form einer Verfügung Stellung genommen hat. Das Vorliegen einer Verfügung als Anfechtungsobjekt ist Sachurteilsvoraussetzung (Moser/Beusch/Kneubühler, Prozessieren vor dem Bundesverwaltungsgericht, 2. Aufl. 2013, Rz. 2.1 und 2.6; Felix Uhlmann, in: Praxiskommentar VwVG, 2. Aufl. 2016, Art. 5 N.5; Art. 31
SR 173.32 Bundesgesetz vom 17. Juni 2005 über das Bundesverwaltungsgericht (Verwaltungsgerichtsgesetz, VGG) - Verwaltungsgerichtsgesetz
VGG Art. 31 Grundsatz - Das Bundesverwaltungsgericht beurteilt Beschwerden gegen Verfügungen nach Artikel 5 des Bundesgesetzes vom 20. Dezember 196819 über das Verwaltungsverfahren (VwVG).
VGG; Art. 44
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 44 - Die Verfügung unterliegt der Beschwerde.
VwVG).

Vorliegend ist umstritten, ob es sich bei der Mitteilung vom 22. Oktober 2014 um eine Verfügung handle, also, ob ein Anfechtungsobjekt vorliege.

1.4.1 Art. 5 Abs. 1
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 5 - 1 Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
1    Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
a  Begründung, Änderung oder Aufhebung von Rechten oder Pflichten;
b  Feststellung des Bestehens, Nichtbestehens oder Umfanges von Rechten oder Pflichten;
c  Abweisung von Begehren auf Begründung, Änderung, Aufhebung oder Feststellung von Rechten oder Pflichten oder Nichteintreten auf solche Begehren.
2    Als Verfügungen gelten auch Vollstreckungsverfügungen (Art. 41 Abs. 1 Bst. a und b), Zwischenverfügungen (Art. 45 und 46), Einspracheentscheide (Art. 30 Abs. 2 Bst. b und 74), Beschwerdeentscheide (Art. 61), Entscheide im Rahmen einer Revision (Art. 68) und die Erläuterung (Art. 69).25
3    Erklärungen von Behörden über Ablehnung oder Erhebung von Ansprüchen, die auf dem Klageweg zu verfolgen sind, gelten nicht als Verfügungen.
VwVG definiert die Verfügung als Anordnung der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützt und (Bst. a.) die Begründung, Änderung oder Aufhebung von Rechten oder Pflichten, (Bst. b) die Feststellung des Bestehens, Nichtbestehens oder des Umfanges von Rechten oder Pflichten oder (Bst. c) die Abweisung von Begehren auf Begründung, Änderung, Aufhebung oder Feststellung von Rechten oder Pflichten, oder Nichteintreten auf solche Begehren zum Gegenstand hat.

Lehre und Rechtsprechung umschreiben die Verfügung als individuellen, an den Einzelnen gerichteten Hoheitsakt, durch den eine konkrete verwaltungsrechtliche Rechtsbeziehung rechtsgestaltend oder feststellend in verbindlicher und erzwingbarer Weise geregelt wird (so Häfelin/Müller/Uhlmann, Allgemeines Verwaltungsrecht, 7. Aufl. 2016, Rz. 849 und 851 m.w.H.; vgl. auch Moser/Beusch/Kneubühler, a.a.O., Rz. 2.3; statt Vieler: BGE 139 V 143 E. 1.2; 139 V 72 E. 2.2.1; 135 II 38 E. 4.3,
je m.w.H.). Als konkrete Prüfkriterien gelten folglich folgende fünf Elemente: (1.) hoheitliche, einseitige Anordnung einer Behörde, (2.) individuell-konkrete Anordnung, (3.) Anwendung von (Bundes-)Verwaltungsrecht, (4.) auf Rechtswirkung ausgerichtete Anordnung und (5.) Verbindlichkeit und Erzwingbarkeit (Häfelin/Müller/Uhlmann, a.a.O., Rz. 855ff.; Uhlmann, a.a.O., Art. 5 N.19).

Massgeblich ist ein materieller, nicht ein formeller Verfügungsbegriff. Es bestehen zwar Erwartungen an die Form einer Verfügung (Art. 35
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 35 - 1 Schriftliche Verfügungen sind, auch wenn die Behörde sie in Briefform eröffnet, als solche zu bezeichnen, zu begründen und mit einer Rechtsmittelbelehrung zu versehen.
1    Schriftliche Verfügungen sind, auch wenn die Behörde sie in Briefform eröffnet, als solche zu bezeichnen, zu begründen und mit einer Rechtsmittelbelehrung zu versehen.
2    Die Rechtsmittelbelehrung muss das zulässige ordentliche Rechtsmittel, die Rechtsmittelinstanz und die Rechtsmittelfrist nennen.
3    Die Behörde kann auf Begründung und Rechtsmittelbelehrung verzichten, wenn sie den Begehren der Parteien voll entspricht und keine Partei eine Begründung verlangt.
VwVG), doch sind diese nicht Voraussetzung des Verfügungsbegriffs, sondern dessen Folge. Ist eine behördliche Mitteilung materiell als Verfügung zu qualifizieren, so sind Formmängel soweit nicht geradezu von einer nichtigen Verfügung auszugehen ist nach Art. 38
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 38 - Aus mangelhafter Eröffnung darf den Parteien kein Nachteil erwachsen.
VwVG zu würdigen, ändern aber am Verfügungscharakter nichts (Häfelin/Müller/Uhlmann, a.a.O., Rz. 871f.; Uhlmann, a.a.O., Art. 5 N. 131 133).

1.4.2 Die Mitteilung vom 22. Oktober 2014 erfolgte durch die WEKO (resp. deren Sekretariat) als verantwortliches Organ im Sinne von Art. 16 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 16 Grundsätze - 1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
1    Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
2    Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch:
a  einen völkerrechtlichen Vertrag;
b  Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden;
c  spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat;
d  Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; oder
e  verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.
3    Der Bundesrat kann andere geeignete Garantien im Sinne von Absatz 2 vorsehen.
DSG (E. 3) gegenüber einer antragstellenden Privatperson und spricht sich über das von ihr unabhängig vom Einverständnis der Privatperson beabsichtigte Vorgehen bezüglich dieses Antrages aus sie erfolgte folglich einseitig und hoheitlich (dazu im Detail: Häfelin/Müller/Uhlmann, a.a.O., Rz. 855 859; Uhlmann, a.a.O., Art. 5 N.21 44). Die Mitteilung betrifft einen individuellen Adressaten (die Beschwerdeführerin) sowie einen konkreten Einzelfall (die Frage der Bearbeitung von Personendaten der Beschwerdeführerin durch die Vorinstanz resp. das Einsichtsrecht in die bearbeiteten Daten), sie ist individuell-konkret (vgl. Häfelin/Müller/Uhlmann, a.a.O., Rz. 860 863; Uhlmann, a.a.O., Art. 5 N.45
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 5 Begriffe - In diesem Gesetz bedeuten:
a  Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;
b  betroffene Person: natürliche Person, über die Personendaten bearbeitet werden;
c  besonders schützenswerte Personendaten:
c1  Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
c2  Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
c3  genetische Daten,
c4  biometrische Daten, die eine natürliche Person eindeutig identifizieren,
c5  Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
c6  Daten über Massnahmen der sozialen Hilfe;
d  Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten;
e  Bekanntgeben: das Übermitteln oder Zugänglichmachen von Personendaten;
f  Profiling: jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
g  Profiling mit hohem Risiko: Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt;
h  Verletzung der Datensicherheit: eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden;
i  Bundesorgan: Behörde oder Dienststelle des Bundes oder Person, die mit öffentlichen Aufgaben des Bundes betraut ist;
j  Verantwortlicher: private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet;
k  Auftragsbearbeiter: private Person oder Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet.
72). Die Mitteilung beantwortet einen auf Bundesverwaltungsrecht (Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG) gestützten Antrag und spricht sich darüber aus, Bundesverwaltungsrecht anwenden zu wollen (zum Kriterium der Anwendung von Bundesverwaltungsrecht vgl. Häfelin/Müller/Uhlmann, a.a.O., Rz. 864f.; Uhlmann, a.a.O., Art. 5 N.73 93). Die ersten drei vorstehend (E. 1.4.1)
genannten Kriterien sind somit klarerweise erfüllt. Keine selbstständige Bedeutung hat neben dem in der folgenden Ziffer zu klärenden Kriterium der Rechtswirkung jenes der Verbindlichkeit und Erzwingbarkeit; dies umso mehr, als die vorliegende Mitteilung ihrem Inhalt nach nicht zwangsweise vollstreckbar ist (Uhlmann, a.a.O., Art. 5 N.128 130).

1.4.3 Die Vorinstanz bestreitet, dass die Mitteilung auf die Erzielung einer Rechtswirkung ausgerichtet sei.

Das Handeln der Behörde erzeugt Rechtswirkung, wenn es einen der in Art. 5 Abs. 1 Bst. a
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 5 - 1 Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
1    Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
a  Begründung, Änderung oder Aufhebung von Rechten oder Pflichten;
b  Feststellung des Bestehens, Nichtbestehens oder Umfanges von Rechten oder Pflichten;
c  Abweisung von Begehren auf Begründung, Änderung, Aufhebung oder Feststellung von Rechten oder Pflichten oder Nichteintreten auf solche Begehren.
2    Als Verfügungen gelten auch Vollstreckungsverfügungen (Art. 41 Abs. 1 Bst. a und b), Zwischenverfügungen (Art. 45 und 46), Einspracheentscheide (Art. 30 Abs. 2 Bst. b und 74), Beschwerdeentscheide (Art. 61), Entscheide im Rahmen einer Revision (Art. 68) und die Erläuterung (Art. 69).25
3    Erklärungen von Behörden über Ablehnung oder Erhebung von Ansprüchen, die auf dem Klageweg zu verfolgen sind, gelten nicht als Verfügungen.
bis c VwVG (s. E.1.4.1 Abs. 1) aufgeführten Inhalte zum Gegenstand hat und so bewusst ein Rechtsverhältnis regelt respektive die Rechtsstellung des Betroffenen gestaltet (Uhlmann, a.a.O., Art. 5 N.94 und 98). Um dies zu beurteilen, sind Gesuch und Antwort kurz in das fragliche Rechtsgebiet einzuordnen.

1.4.3.1 Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 1 Zweck - Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden.
DSG, « betroffene Personen » nach Art. 3 Bst. b
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG). Sein Geltungsbereich erstreckt sich auf die Bearbeitung von Daten durch Private und durch Bundesorgane (Art. 2 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG). Es trifft neben allgemeinen Datenschutzbestimmungen, welche für beide Arten von Datenbearbeitenden gelten (Art. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
11a DSG), auch spezifische Regelungen für die Datenbearbeitung durch Private einerseits (Art. 12
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 12 Verzeichnis der Bearbeitungstätigkeiten - 1 Die Verantwortlichen und Auftragsbearbeiter führen je ein Verzeichnis ihrer Bearbeitungstätigkeiten.
1    Die Verantwortlichen und Auftragsbearbeiter führen je ein Verzeichnis ihrer Bearbeitungstätigkeiten.
2    Das Verzeichnis des Verantwortlichen enthält mindestens:
a  die Identität des Verantwortlichen;
b  den Bearbeitungszweck;
c  eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
d  die Kategorien der Empfängerinnen und Empfänger;
e  wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
f  wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8;
g  falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2.
3    Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die Angaben nach Absatz 2 Buchstaben f und g.
4    Die Bundesorgane melden ihre Verzeichnisse dem EDÖB.
5    Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.
15 DSG), durch Bundesorgane andererseits (Art. 16
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 16 Grundsätze - 1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
1    Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
2    Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch:
a  einen völkerrechtlichen Vertrag;
b  Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden;
c  spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat;
d  Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; oder
e  verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.
3    Der Bundesrat kann andere geeignete Garantien im Sinne von Absatz 2 vorsehen.
25bis DSG). Es stehen den betroffenen Personen Rechte zu, welche für beide Kategorien von Bearbeitenden gelten, aber auch differenzierte, je nach Art des Bearbeitenden. Zur ersten Gruppe gehört insbesondere das Auskunftsrecht gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG (samt seiner Einschränkungen gem. Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG). Im besonderen Fall der Datenbearbeitung durch Bundesorgane kommt dem Auskunftsrecht insbesondere die Funktion zu, die betroffene Person in die Lage zu versetzen, die weitergehenden Rechte gemäss Art. 25
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 25 Auskunftsrecht - 1 Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
1    Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
2    Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. In jedem Fall werden ihr folgende Informationen mitgeteilt:
a  die Identität und die Kontaktdaten des Verantwortlichen;
b  die bearbeiteten Personendaten als solche;
c  der Bearbeitungszweck;
d  die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
e  die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
f  gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
g  gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.
3    Personendaten über die Gesundheit können der betroffenen Person mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden.
4    Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig.
5    Niemand kann im Voraus auf das Auskunftsrecht verzichten.
6    Der Verantwortliche muss kostenlos Auskunft erteilen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.
7    Die Auskunft wird in der Regel innerhalb von 30 Tagen erteilt.
DSG überhaupt wahrnehmen zu können (so Waldmann/Bickel, in: Datenschutzrecht. Grundlagen und öffentliches Recht, 2011, § 12 N. 139; allgemeiner: Michael
Widmer, in: Datenschutzrecht, 2015, Rz. 5.2).

Die Modalitäten des Auskunftsrechts gestalten sich bei Privatpersonen wie auch Bundesorganen im Grundsatz analog (Art. 1 f
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
1    Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
2    Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:
a  Art der bearbeiteten Daten;
b  Zweck, Art, Umfang und Umstände der Bearbeitung.
3    Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:
a  Ursachen des Risikos;
b  hauptsächliche Gefahren;
c  ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
d  Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.
4    Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:
a  Stand der Technik;
b  Implementierungskosten.
5    Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.
. i.V.m. Art. 13
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 13 Modalitäten der Informationspflicht - Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen.
VDSG [SR 235.11]). Die betroffene Person hat ein schriftliches Gesuch an den Datenbearbeiter zu stellen, in welchem in der Regel kein schutzwürdiges Interesse ausgewiesen werden muss (zu den Ausnahmen vgl. Epiney/Fasnacht, in: Datenschutzrecht. Grundlagen und öffentliches Recht, a.a.O., § 11 N. 33; Widmer, a.a.O., Rz. 5.7). Der Inhaber der Datensammlung hat die beantragte Einsicht im Umfang von Art. 8 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
und 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG grundsätzlich zu erteilen. Er kann unter den Voraussetzungen von Art. 9 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
(und im Falle von Bundesorganen auch Abs. 2) DSG die Auskunft « verweigern, einschränken oder aufschieben » (alle drei Arten verstehen sich als « Einschränkung » im Sinne eines Oberbegriffs; Gramigna/Maurer-Lambrou, in: Basler Kommentar, Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl. 2014, Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG N. 10, nachfolgend: BSK DSG/BGÖ). Die Einschränkung ist zu begründen (Art. 9 Abs. 5
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG). Die Auskunft oder der begründete Entscheid über die Einschränkung hat innert 30 Tagen zu erfolgen; kann die Auskunft nicht innert 30 Tagen erteilt werden (also im Fall des Aufschubs, vgl. Gramigna/Maurer-Lambrou,
a.a.O., Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG N. 47), ist der Gesuchsteller zu benachrichtigen und es ist ihm mitzuteilen, innert welcher Frist die Auskunft erteilt wird (Art. 1 Abs. 4
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
1    Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
2    Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:
a  Art der bearbeiteten Daten;
b  Zweck, Art, Umfang und Umstände der Bearbeitung.
3    Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:
a  Ursachen des Risikos;
b  hauptsächliche Gefahren;
c  ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
d  Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.
4    Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:
a  Stand der Technik;
b  Implementierungskosten.
5    Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.
VDSG). Der Entscheid eines Bundesorgans über die Verweigerung, Einschränkung oder den Aufschub der Auskunft erfolgt in Verfügungsform und ist anfechtbar (Waldmann/Bickel, a.a.O., § 12 N. 149 und 188; Widmer, a.a.O., Rz. 5.43; Gramigna/Maurer-Lambrou, a.a.O., Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG N. 63).

1.4.3.2 Die Beschwerdeführerin stellte am 17. Oktober 2014 ein unmissverständliches Auskunftsgesuch im Sinne von Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG. In ihrer Antwort vom 22. Oktober 2014 teilte die Vorinstanz mit, es sei « zurzeit » nicht möglich, die Auskunft zu erteilen (« Ihnen die genannte Verfügung in irgendeiner Form zugänglich zu machen »). Sinngemäss ist dem Schreiben zu entnehmen, dass die Auskunftserteilung (oder aber ein Entscheid über allfällige inhaltliche Einschränkungen) vom rechtskräftigen Ausgang der Beschwerdeverfahren gegen die Publikationsverfügung abhängig sei. Damit teilte die Vorinstanz - und zwar unter ausdrücklicher Berufung auf Art. 9 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
und 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG - nichts anderes als einen Aufschub der Auskunftserteilung mit. Dabei handelt es sich um eine gesetzlich vorgesehene Form der Einschränkung, das heisst das Rechtsverhältnis wird in einer der gesetzlich vorgesehenen Formen geregelt. In diesem Sinne wird eine Rechtswirkung erzielt.

Aus der geschilderten gesetzlichen Ordnung ergibt sich zudem, dass auch die in Form eines Aufschubs erklärte Einschränkung innert einer (hier klar eingehaltenen) Frist von 30 Tagen begründet mitzuteilen, das heisst zu entscheiden, ist. Einen formlosen Aufschub (etwa in Form eines « Verwaltungsschreibens ») lässt die in diesem Punkt lückenlose Regelung nicht zu.

1.4.4 Die Mitteilung der Vorinstanz erfüllt zusammengefasst alle Strukturmerkmale einer Verfügung. Es liegt somit ein taugliches Anfechtungsobjekt vor.

1.5 Auf die Beschwerde ist folglich einzutreten.

2. Die Anrufung des Auskunftsrechts gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG bedingt die Anwendbarkeit des DSG (Gramigna/Maurer-Lambrou, a.a.O., Art. 8 N.21
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG). Vorausgesetzt ist hierfür - soweit hier von Interesse - das Bearbeiten von Daten natürlicher und juristischer Personen durch Bundesorgane (Art. 2 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG), sofern keine Ausnahme gemäss Art. 2 Abs. 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG vorliegt.

2.1 Als Bundesorgan verstehen sich Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind (Art. 3 Bst. h
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG). Das trifft auf die WEKO als mit dem Vollzug des Kartellgesetzes betraute Behördenkommission ohne Weiteres zu (vgl. Waldmann/Bickel, a.a.O., § 12 N. 13f. mit Fn. 25). Ebenso liegt auf der Hand, dass die WEKO respektive deren Sekretariat im Rahmen ihrer Untersuchungstätigkeit Angaben zu Unternehmen - und damit Personen - erhebt, erfasst und bearbeitet, also Personendaten bearbeitet (Art. 3 Bst. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
und e DSG; Waldmann/Bickel, a.a.O., § 12 N. 18; Gabor P. Blechta, in: BSK DSG/BGÖ, a.a.O., Art. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG N. 3ff. und 71 ff.).

2.2 Die Vorinstanz beruft sich - wenn auch in anderem Zusammenhang - auf die rechtshängigen Beschwerden gegen die Publikationsverfügung. Folglich ist zu klären, ob der Ausnahmetatbestand von Art. 2 Abs. 2 Bst. d
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG greift, gemäss welchem das DSG unter anderem keine Anwendung findet auf hängige verwaltungsrechtliche Verfahren (mit Ausnahme erstinstanzlicher Verwaltungsverfahren).

Hintergrund dieser Ausnahmebestimmung ist, dass der Persönlichkeitsschutz durch die Spezialbestimmungen der entsprechenden Verfahren hinreichend gesichert und geregelt ist; es sollen sich nicht zwei Gesetze mit zum Teil gleicher Zielrichtung überlagern (BGE 138 III 425 E. 4.3). Voraussetzung für das Greifen der Ausnahmebestimmung ist, dass der Schutz des Verfahrensgesetzes gleichwertig demjenigen des DSG sei (Maurer-Lambrou/Kunz, in: BSK DSG/BGÖ, a.a.O., Art. 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG N. 27; a.M. Waldmann/Bickel, a.a.O., § 12 N. 29, jedoch mit der Konzession, dass der datenschutzrechtliche Persönlichkeitsschutz [nur] dann hintansteht, wenn die verfahrensrechtlichen Mitwirkungs- und Informationsrechte greifen [§ 12 N. 31]). Das Auskunftsrecht gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG und die Akteneinsichtsrechte des VwVG sind voneinander unabhängige Ansprüche, die hinsichtlich Voraussetzungen und Umfang nicht deckungsgleich sind, also je ihren eigenen Anwendungsbereich haben, sodass sie innerhalb ihres jeweiligen Geltungsbereichs unabhängig voneinander geltend gemacht werden können (Waldmann/Oeschger, in: Praxiskommentar VwVG, a.a.O., Art. 26 N. 24f.; Gramigna/Maurer-Lambrou, a.a.O., Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG N. 2; vgl. BGE 123 II 534 E. 2.e). Wesentliche Unterschiede der beiden
Institute sind die Anspruchsträgerschaft und der Umfang der Einsicht: Auf das Akteneinsichtsrecht kann sich berufen, wer einen durchsetzbaren Anspruch auf Verfahrensteilnahme als Partei hat und es erstreckt sich auf sämtliche verfahrensbezogenen Akten in der Sache der betreffenden Partei (Waldmann/Oeschger, a.a.O., Art. 26 N. 48, 58 und 60); das Auskunftsrecht gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG demgegenüber steht grundsätzlich jeder Person zu, soweit es um die Frage geht, ob Daten bearbeitet werden (Art. 8 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG), respektive jeder betroffenen Person (d.h. jeder Person, über die Daten bearbeitet werden, Art. 3 Bst. b
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG) bezüglich einer Auskunft über die konkret bearbeiteten Daten (Art. 8 Abs. 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG), es erstreckt sich aber ausschliesslich auf die eigenen Personendaten (Widmer, a.a.O., Rz. 5.8f.; Waldmann/Bickel, a.a.O., § 12 N. 139).

Die Ausnahmebestimmung des Art. 2 Abs. 2 Bst. c
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG erfordert von ihrem Zweck her die Hängigkeit eines Verfahrens « in dem Sinn ..., dass die Geltung der einschlägigen Verfahrensvorschriften ausgelöst wird » (BGE 138 III 425 E. 4.3; Stefan Gerschwiler, in: Datenschutzrecht, a.a.O., Rz. 3.37). Angesichts der nicht deckungsgleichen Geltungsbereiche muss dies nicht nur - wie im zitierten Bundesgerichtsentscheid - in zeitlicher Hinsicht gelten, sondern auch in persönlicher: Zumal nicht verfahrensbeteiligte Dritte die entsprechenden Verfahrensrechte gerade nicht anrufen können, muss ihnen die Berufung auf das datenschutzrechtliche Auskunftsrecht auch bezüglich ihrer Personendaten möglich sein, welche im Zusammenhang mit einem Verfahren bearbeitet werden, das seinerseits beim Bundesverwaltungsgericht hängig ist.

2.3 Zusammengefasst bearbeitet die Vorinstanz als Bundesorgan Personendaten im Sinne von Art. 2 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG, ohne dass eine Ausnahme gemäss Art. 2 Abs. 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
DSG vorläge. Das DSG ist folglich anwendbar.

3. Das Auskunftsrecht bezieht sich auf Daten, die in einer Datensammlung enthalten sind. Unter diesem Begriff versteht sich jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind (Art. 3 Bst. g
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG); der Begriff der Datensammlung ist zwar enger als der der Datenbearbeitung (Widmer, a.a.O., Rz. 5.5; Gramigna/Maurer-Lambrou, a.a.O., Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG N. 25), durch seine Offenheit und den technologischen Fortschritt indessen gleichwohl konturlos geworden (Gerschwiler, a.a.O., Rz. 3.56; Blechta, a.a.O., Art. 3
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG N. 80f.). Im Falle der Vorinstanz kann davon ausgegangen werden, ihre Geschäftsdatenbank erfülle diesen Begriff - sie ist entsprechend gemäss Art. 11a Abs. 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG ins Register der Datensammlungen eingetragen (Registernummer 201300053, < www.datareg.admin.ch , abgerufen am 11.10.2016). [...]

4. Die Beschwerdeführerin kann - zumal die Modalitäten zur Geltendmachung des Auskunftsrechts (vgl. E. 1.4.3.1) eingehalten sind - somit bei der Vorinstanz ein Gesuch um Auskunft stellen und hat, vorbehältlich gültiger Einschränkung, Anspruch auf die Auskunft, ob Daten über sie bearbeitet werden und, bejahendenfalls, auf Mitteilung aller über sie in der Datensammlung vorhandenen Personendaten, einschliesslich der verfügbaren Angaben über deren Herkunft, des Zwecks und der Rechtsgrundlagen der Bearbeitung sowie der Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger (Art. 8 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
und 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG).

5. Zu prüfen bleibt, ob die Vorinstanz die Auskunft zu Recht einschränkte.

5.1 Nach Art. 9 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG kann der Inhaber der Datensammlung die Auskunft verweigern, einschränken oder aufschieben (auch im Sinne eines Oberbegriffs als « Einschränkung » zusammengefasst, Gramigna/
Maurer-Lambrou, a.a.O., Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG N. 10), soweit ein Gesetz im formellen Sinn dies vorsieht (vgl. Bst. a) oder es wegen überwiegender Interessen Dritter erforderlich ist (vgl. Bst. b); ein Bundesorgan als Inhaber der Datensammlung kann die Auskunft einschränken, soweit es wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft, erforderlich ist (vgl. Bst. a) oder die Auskunft den Zweck einer Strafuntersuchung oder eines anderen Untersuchungsverfahrens infrage stellt (vgl. Bst. b). Der Inhaber der Datensammlung muss den Grund der Einschränkung angeben, er ist auch beweispflichtig (Art. 9 Abs. 5
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG; Gramigna/Maurer-Lambrou, a.a.O., Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG N. 11 und 13; Widmer, a.a.O., Rz. 5.43f.).

Die Einschränkung des Auskunftsrechts erfordert eine Abwägung der Interessen im konkreten Einzelfall. Die gebotene Interessenabwägung kann dazu führen, dass der um Auskunft Ersuchende seine Interessen darlegen muss, obschon das Auskunftsrecht nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG grundsätzlich, (vorbehältlich des Rechtsmissbrauchs) ohne Nachweis eines Interesses, geltend gemacht werden kann (vgl. BGE 138 III 425 E. 5.4; Gramigna/ Maurer-Lambrou, a.a.O., Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG N. 39 und 42, Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG N. 9). In Betracht fällt der Anspruch der betroffenen Person einerseits, die entgegengesetzten Interessen des Inhabers der Datensammlung anderseits; zu berücksichtigen ist auch die unterstützende und ergänzende Funktion des Auskunftsrechts in Bezug auf die Persönlichkeits- und Grundrechte. Je schützenswerter die Personendaten sind und je grösser das Interesse des Auskunftsberechtigten an der Auskunft ist, umso überwiegender müssen die Interessen an der Einschränkung zu Tage treten. Die Auskunft darf nur soweit beschränkt werden, als dies unerlässlich ist, das heisst, es ist die am wenigsten einschränkende Lösung zu wählen. Die Einschränkungsgründe gemäss Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG sind abschliessend und restriktiv auszulegen (Gramigna/Maurer-Lambrou, a.a.O., Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG N. 8f.
und 14 f.; Widmer, a.a.O., Rz. 5.41f.; Epiney/Fasnacht, a.a.O., § 11 N. 47).

5.2 Die Beschwerdeführerin beruft sich in der Schilderung ihrer Interessen auf den Zweck des Auskunftsrechts als Institut zur Durchsetzung des Persönlichkeitsschutzes, das den betroffenen Personen die Kontrolle der Rechtmässigkeit der Datenbearbeitung und die Durchsetzung ihrer Ansprüche ermöglichen solle. Sie müsse davon ausgehen, in der Sanktionsverfügung erwähnt zu sein. Das Auskunftsrecht ermögliche ihr zu kontrollieren, ob die Grundsätze der Datenverarbeitung gemäss Art. 4
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 4 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter - 1 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
1    Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
2    Von der Aufsicht durch den EDÖB sind ausgenommen:
a  die Bundesversammlung;
b  der Bundesrat;
c  die eidgenössischen Gerichte;
d  die Bundesanwaltschaft: betreffend die Bearbeitung von Personendaten im Rahmen von Strafverfahren;
e  Bundesbehörden: betreffend die Bearbeitung von Personendaten im Rahmen einer rechtsprechenden Tätigkeit oder von Verfahren der internationalen Rechtshilfe in Strafsachen.
DSG eingehalten seien, insbesondere ob sie über die Bearbeitung nicht hätte informiert werden sollen. Weiter müsse ihr möglich sein, abzuklären, ob sie in der Verfügung in reputationsschädigender Weise im Umfeld kartellrechtswidrigen Verhaltens dargestellt sei, um gegebenenfalls eine Weitergabe unterbinden zu können. Schliesslich habe sie ein besonderes Interesse an der Auskunftserteilung über Zweck und Rechtsgrundlage der Bearbeitung ihrer Personendaten; sie sei überzeugt, es bestehe keine Notwendigkeit, sie in der Sanktionsverfügung zu erwähnen.

Die Vorinstanz hatte sich in der angefochtenen Verfügung darauf berufen, die Frage der Publikation der Sanktionsverfügung sei noch nicht rechtskräftig entschieden, wobei die Publikation an sich wie auch deren Umfang bestritten sei. Art. 9 Abs. 1
SR 251 Bundesgesetz vom 6. Oktober 1995 über Kartelle und andere Wettbewerbsbeschränkungen (Kartellgesetz, KG) - Kartellgesetz
KG Art. 9 Meldung von Zusammenschlussvorhaben - 1 Vorhaben über Zusammenschlüsse von Unternehmen sind vor ihrem Vollzug der Wettbewerbskommission zu melden, sofern im letzten Geschäftsjahr vor dem Zusammenschluss:
1    Vorhaben über Zusammenschlüsse von Unternehmen sind vor ihrem Vollzug der Wettbewerbskommission zu melden, sofern im letzten Geschäftsjahr vor dem Zusammenschluss:
a  die beteiligten Unternehmen einen Umsatz von insgesamt mindestens 2 Milliarden Franken oder einen auf die Schweiz entfallenden Umsatz von insgesamt mindestens 500 Millionen Franken erzielten; und
b  mindestens zwei der beteiligten Unternehmen einen Umsatz in der Schweiz von je mindestens 100 Millionen Franken erzielten.
2    ...16
3    Bei Versicherungsgesellschaften treten an die Stelle des Umsatzes die jährlichen Bruttoprämieneinnahmen, bei Banken und übrigen Finanzintermediären die Bruttoerträge, sofern sie den Rechnungslegungsvorschriften gemäss dem Bankengesetz vom 8. November 193417 (BankG) unterstellt sind.18
4    Die Meldepflicht besteht ungeachtet der Absätze 1-3, wenn am Zusammenschluss ein Unternehmen beteiligt ist, für welches in einem Verfahren nach diesem Gesetz rechtskräftig festgestellt worden ist, dass es in der Schweiz auf einem bestimmten Markt eine beherrschende Stellung hat, und der Zusammenschluss diesen Markt oder einen solchen betrifft, der ihm vor- oder nachgelagert oder benachbart ist.
5    Die Bundesversammlung kann mit allgemeinverbindlichem, nicht referendumspflichtigem Bundesbeschluss:
a  die Grenzbeträge in den Absätzen 1-3 den veränderten Verhältnissen anpassen;
b  für die Meldepflicht von Unternehmenszusammenschlüssen in einzelnen Wirtschaftszweigen besondere Voraussetzungen schaffen.
und 2
SR 251 Bundesgesetz vom 6. Oktober 1995 über Kartelle und andere Wettbewerbsbeschränkungen (Kartellgesetz, KG) - Kartellgesetz
KG Art. 9 Meldung von Zusammenschlussvorhaben - 1 Vorhaben über Zusammenschlüsse von Unternehmen sind vor ihrem Vollzug der Wettbewerbskommission zu melden, sofern im letzten Geschäftsjahr vor dem Zusammenschluss:
1    Vorhaben über Zusammenschlüsse von Unternehmen sind vor ihrem Vollzug der Wettbewerbskommission zu melden, sofern im letzten Geschäftsjahr vor dem Zusammenschluss:
a  die beteiligten Unternehmen einen Umsatz von insgesamt mindestens 2 Milliarden Franken oder einen auf die Schweiz entfallenden Umsatz von insgesamt mindestens 500 Millionen Franken erzielten; und
b  mindestens zwei der beteiligten Unternehmen einen Umsatz in der Schweiz von je mindestens 100 Millionen Franken erzielten.
2    ...16
3    Bei Versicherungsgesellschaften treten an die Stelle des Umsatzes die jährlichen Bruttoprämieneinnahmen, bei Banken und übrigen Finanzintermediären die Bruttoerträge, sofern sie den Rechnungslegungsvorschriften gemäss dem Bankengesetz vom 8. November 193417 (BankG) unterstellt sind.18
4    Die Meldepflicht besteht ungeachtet der Absätze 1-3, wenn am Zusammenschluss ein Unternehmen beteiligt ist, für welches in einem Verfahren nach diesem Gesetz rechtskräftig festgestellt worden ist, dass es in der Schweiz auf einem bestimmten Markt eine beherrschende Stellung hat, und der Zusammenschluss diesen Markt oder einen solchen betrifft, der ihm vor- oder nachgelagert oder benachbart ist.
5    Die Bundesversammlung kann mit allgemeinverbindlichem, nicht referendumspflichtigem Bundesbeschluss:
a  die Grenzbeträge in den Absätzen 1-3 den veränderten Verhältnissen anpassen;
b  für die Meldepflicht von Unternehmenszusammenschlüssen in einzelnen Wirtschaftszweigen besondere Voraussetzungen schaffen.
in Verbindung mit Art. 25 Abs. 1
SR 251 Bundesgesetz vom 6. Oktober 1995 über Kartelle und andere Wettbewerbsbeschränkungen (Kartellgesetz, KG) - Kartellgesetz
KG Art. 25 Amts- und Geschäftsgeheimnis - 1 Die Wettbewerbsbehörden wahren das Amtsgeheimnis.
1    Die Wettbewerbsbehörden wahren das Amtsgeheimnis.
2    Sie dürfen Kenntnisse, die sie bei ihrer Tätigkeit erlangen, nur zu dem mit der Auskunft oder dem Verfahren verfolgten Zweck verwerten.
3    Dem Preisüberwacher dürfen die Wettbewerbsbehörden diejenigen Daten weitergeben, die er für die Erfüllung seiner Aufgaben benötigt.
4    Die Veröffentlichungen der Wettbewerbsbehörden dürfen keine Geschäftsgeheimnisse preisgeben.
KG (SR 251) verböten, die Verfügung zugänglich zu machen. In ihrer Vernehmlassung vom 17. August 2016 stellt die Vorinstanz klar, dass sie ihren Entscheid nicht als Verweigerung, sondern als Aufschub verstanden wissen wolle. Offensichtlich gehe es der Beschwerdeführerin vorab um Einsicht in die Sanktionsverfügung (und nicht der Akten an sich). Indessen sei deren Publikation - und damit auch die Frage der Einsichtnahme Dritter - angefochten und noch nicht rechtskräftig entschieden. Der Aufschub erfolge in Nachachtung der aufschiebenden Wirkung.

5.3 Die von der Beschwerdeführerin geltend gemachten Interessen erscheinen als gewichtig. Die Beschwerdeführerin hat ein berechtigtes Interesse daran, kontrollieren zu können, ob ihre Personendaten bearbeitet wurden und, wenn ja, ob dies den Grundsätzen des Art. 4
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 4 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter - 1 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
1    Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
2    Von der Aufsicht durch den EDÖB sind ausgenommen:
a  die Bundesversammlung;
b  der Bundesrat;
c  die eidgenössischen Gerichte;
d  die Bundesanwaltschaft: betreffend die Bearbeitung von Personendaten im Rahmen von Strafverfahren;
e  Bundesbehörden: betreffend die Bearbeitung von Personendaten im Rahmen einer rechtsprechenden Tätigkeit oder von Verfahren der internationalen Rechtshilfe in Strafsachen.
DSG genügte. Ebenso muss sie sich Rechenschaft darüber ablegen können, gegebenenfalls weitere Rechtsbehelfe, insbesondere jene des Art. 25
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 25 Auskunftsrecht - 1 Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
1    Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
2    Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. In jedem Fall werden ihr folgende Informationen mitgeteilt:
a  die Identität und die Kontaktdaten des Verantwortlichen;
b  die bearbeiteten Personendaten als solche;
c  der Bearbeitungszweck;
d  die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
e  die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
f  gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
g  gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.
3    Personendaten über die Gesundheit können der betroffenen Person mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden.
4    Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig.
5    Niemand kann im Voraus auf das Auskunftsrecht verzichten.
6    Der Verantwortliche muss kostenlos Auskunft erteilen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.
7    Die Auskunft wird in der Regel innerhalb von 30 Tagen erteilt.
DSG, zu ergreifen. All das setzt die Wahrnehmung des Auskunftsrechts gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG voraus; dabei handelt es sich um eine typische und legitime Zielrichtung, mit der dieses Auskunftsrecht wahrgenommen wird. Daran ändert nichts, dass das konkrete Auskunftsinteresse der Beschwerdeführerin wohl primär auf die Sanktionsverfügung (und nicht die Verfahrensakten) geht.

Die Vorinstanz macht als überwiegendes Interesse den Schutz des Instituts der aufschiebenden Wirkung geltend. Den in der angefochtenen Verfügung enthaltenen Verweis auf Art. 25 Abs. 1
SR 251 Bundesgesetz vom 6. Oktober 1995 über Kartelle und andere Wettbewerbsbeschränkungen (Kartellgesetz, KG) - Kartellgesetz
KG Art. 25 Amts- und Geschäftsgeheimnis - 1 Die Wettbewerbsbehörden wahren das Amtsgeheimnis.
1    Die Wettbewerbsbehörden wahren das Amtsgeheimnis.
2    Sie dürfen Kenntnisse, die sie bei ihrer Tätigkeit erlangen, nur zu dem mit der Auskunft oder dem Verfahren verfolgten Zweck verwerten.
3    Dem Preisüberwacher dürfen die Wettbewerbsbehörden diejenigen Daten weitergeben, die er für die Erfüllung seiner Aufgaben benötigt.
4    Die Veröffentlichungen der Wettbewerbsbehörden dürfen keine Geschäftsgeheimnisse preisgeben.
KG scheint sie nicht (mehr) so verstanden wissen zu wollen, dass sie sich im Sinn von Art. 9 Abs. 1 Bst. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG auf das Amtsgeheimnis beruft. Dies zu Recht: Soweit die betroffene Person einzig und allein Auskunft über die eigenen Personendaten verlangt, entbindet sie den Datenbearbeiter damit auch vom Amtsgeheimnis, soweit dieses ihren Schutz bezweckt (vgl. Gramigna/Maurer-Lambrou, a.a.O., Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG N. 18f.; David Rosenthal, in: Handkommentar zum Datenschutzgesetz, 2008, Art. 9 N.8). Auch kann - nachdem die Untersuchung abgeschlossen ist - ein das Verfahren schützender Zweck der Anrufung des Amtsgeheimnisses (vgl. Art. 9 Abs. 2 Bst. b
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG) ausgeschlossen werden.

Die aufschiebende Wirkung eines Rechtsmittels bewirkt, dass die in der angefochtenen Verfügung angeordnete Rechtsfolge vorläufig nicht eintritt. Es bleibt der rechtliche und tatsächliche Zustand vor deren Erlass bestehen, die angefochtene Verfügung ist in ihrer Wirksamkeit und Vollstreckung gehemmt (Hansjörg Seiler, in: Praxiskommentar VwVG, a.a.O., Art. 55 N. 8ff.; Kiener/Rütsche/Kuhn, Öffentliches Verfahrensrecht, 2. Aufl. 2015, Rz. 1319ff.). Die Publikationsverfügung hat zum Gegenstand, dass die WEKO die Sanktionsverfügung publizieren darf, insbesondere in der von ihr vorgesehenen Publikationsversion. Als « Publizieren » versteht sich im gegebenen Kontext die Veröffentlichung auf der Website der WEKO (< https://www.weko.admin.ch/ >), wie sie regelmässig unter der Rubrik « Aktuelles »/«Letzte Entscheide » erfolgt, und in der von der WEKO herausgegebenen RPW, die ebenso voraussetzungslos für jedermann auf der Website der WEKO (in der Rubrik « Dokumentation ») zugänglich ist. Mit der aufschiebenden Wirkung ist die Frage einer solchen Publikation in der Schwebe. Eine Bekanntgabe der Verfügung an Dritte mit höherer Zugangshürde ist nicht Gegenstand der Publikationsverfügung (und der anschliessenden
Beschwerdeverfahren), ebenso wenig eine Sperre der Auskunft Dritter über ihre eigenen Personendaten. Über diese Fragen wird denn auch in den Beschwerdeverfahren nicht entschieden werden. Aus der aufschiebenden Wirkung in den Verfahren betreffend die Publikationsverfügung folgt damit nichts für die Frage der Auskunft gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG.

Als berechtigtes Interesse, das gegen eine Auskunft sprechen könnte, fallen vorliegend einzig Geheimhaltungsinteressen der von der Untersuchung betroffenen Unternehmungen in Betracht. Die Frage, wie diesen gerecht werden kann, stellt sich nach Rechtskraft der Entscheide über die Publikationsverfügung gleichermassen wie bereits jetzt. Um diesen Interessen gerecht zu werden, ist ein Aufschub der Auskunft somit kein geeignetes Mittel. Es ist das das Auskunftsrecht am wenigsten einschränkende Vorgehen zu wählen. Die Frage, wie den Interessen weiterer Beteiligter begegnet werden kann - ob mit einer inhaltlichen Einschränkung oder mit der Gestaltung der Auskunft (insb. auch bezüglich der Angaben gemäss Art. 8 Abs. 2 Bst. b
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG) und auch, ob diese im Verfahren sich vernehmen lassen müssen -, ist damit unmittelbar, ohne weiteren Aufschub, zu klären.

5.4 Die Einschränkung der Auskunft in der gewählten Form des Aufschubes ist folglich aufzuheben.
Entscheidinformationen   •   DEFRITEN
Dokument : 2016/28
Datum : 30. November 2016
Publiziert : 20. Juli 2017
Quelle : Bundesverwaltungsgericht
Status : 2016/28
Sachgebiet : Abteilung II (Wirtschaft, Wettbewerb, Bildung)
Gegenstand : Datenschutz


Gesetzesregister
DSG: 1 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 1 Zweck - Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden.
2 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
1    Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
a  private Personen;
b  Bundesorgane.
2    Es ist nicht anwendbar auf:
a  Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
b  Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
c  Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
3    Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
4    Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.
3 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
4 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 4 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter - 1 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
1    Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
2    Von der Aufsicht durch den EDÖB sind ausgenommen:
a  die Bundesversammlung;
b  der Bundesrat;
c  die eidgenössischen Gerichte;
d  die Bundesanwaltschaft: betreffend die Bearbeitung von Personendaten im Rahmen von Strafverfahren;
e  Bundesbehörden: betreffend die Bearbeitung von Personendaten im Rahmen einer rechtsprechenden Tätigkeit oder von Verfahren der internationalen Rechtshilfe in Strafsachen.
5 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 5 Begriffe - In diesem Gesetz bedeuten:
a  Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;
b  betroffene Person: natürliche Person, über die Personendaten bearbeitet werden;
c  besonders schützenswerte Personendaten:
c1  Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
c2  Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
c3  genetische Daten,
c4  biometrische Daten, die eine natürliche Person eindeutig identifizieren,
c5  Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
c6  Daten über Massnahmen der sozialen Hilfe;
d  Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten;
e  Bekanntgeben: das Übermitteln oder Zugänglichmachen von Personendaten;
f  Profiling: jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
g  Profiling mit hohem Risiko: Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt;
h  Verletzung der Datensicherheit: eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden;
i  Bundesorgan: Behörde oder Dienststelle des Bundes oder Person, die mit öffentlichen Aufgaben des Bundes betraut ist;
j  Verantwortlicher: private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet;
k  Auftragsbearbeiter: private Person oder Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet.
8 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
9 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
11a  12 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 12 Verzeichnis der Bearbeitungstätigkeiten - 1 Die Verantwortlichen und Auftragsbearbeiter führen je ein Verzeichnis ihrer Bearbeitungstätigkeiten.
1    Die Verantwortlichen und Auftragsbearbeiter führen je ein Verzeichnis ihrer Bearbeitungstätigkeiten.
2    Das Verzeichnis des Verantwortlichen enthält mindestens:
a  die Identität des Verantwortlichen;
b  den Bearbeitungszweck;
c  eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
d  die Kategorien der Empfängerinnen und Empfänger;
e  wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
f  wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8;
g  falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2.
3    Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die Angaben nach Absatz 2 Buchstaben f und g.
4    Die Bundesorgane melden ihre Verzeichnisse dem EDÖB.
5    Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.
16 
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 16 Grundsätze - 1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
1    Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
2    Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch:
a  einen völkerrechtlichen Vertrag;
b  Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden;
c  spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat;
d  Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; oder
e  verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.
3    Der Bundesrat kann andere geeignete Garantien im Sinne von Absatz 2 vorsehen.
25
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 25 Auskunftsrecht - 1 Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
1    Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
2    Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. In jedem Fall werden ihr folgende Informationen mitgeteilt:
a  die Identität und die Kontaktdaten des Verantwortlichen;
b  die bearbeiteten Personendaten als solche;
c  der Bearbeitungszweck;
d  die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
e  die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
f  gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
g  gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.
3    Personendaten über die Gesundheit können der betroffenen Person mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden.
4    Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig.
5    Niemand kann im Voraus auf das Auskunftsrecht verzichten.
6    Der Verantwortliche muss kostenlos Auskunft erteilen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.
7    Die Auskunft wird in der Regel innerhalb von 30 Tagen erteilt.
DSV: 1 
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
1    Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
2    Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:
a  Art der bearbeiteten Daten;
b  Zweck, Art, Umfang und Umstände der Bearbeitung.
3    Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:
a  Ursachen des Risikos;
b  hauptsächliche Gefahren;
c  ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
d  Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.
4    Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:
a  Stand der Technik;
b  Implementierungskosten.
5    Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.
13
SR 235.11 Verordnung vom 31.August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung
DSV Art. 13 Modalitäten der Informationspflicht - Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen.
KG: 9 
SR 251 Bundesgesetz vom 6. Oktober 1995 über Kartelle und andere Wettbewerbsbeschränkungen (Kartellgesetz, KG) - Kartellgesetz
KG Art. 9 Meldung von Zusammenschlussvorhaben - 1 Vorhaben über Zusammenschlüsse von Unternehmen sind vor ihrem Vollzug der Wettbewerbskommission zu melden, sofern im letzten Geschäftsjahr vor dem Zusammenschluss:
1    Vorhaben über Zusammenschlüsse von Unternehmen sind vor ihrem Vollzug der Wettbewerbskommission zu melden, sofern im letzten Geschäftsjahr vor dem Zusammenschluss:
a  die beteiligten Unternehmen einen Umsatz von insgesamt mindestens 2 Milliarden Franken oder einen auf die Schweiz entfallenden Umsatz von insgesamt mindestens 500 Millionen Franken erzielten; und
b  mindestens zwei der beteiligten Unternehmen einen Umsatz in der Schweiz von je mindestens 100 Millionen Franken erzielten.
2    ...16
3    Bei Versicherungsgesellschaften treten an die Stelle des Umsatzes die jährlichen Bruttoprämieneinnahmen, bei Banken und übrigen Finanzintermediären die Bruttoerträge, sofern sie den Rechnungslegungsvorschriften gemäss dem Bankengesetz vom 8. November 193417 (BankG) unterstellt sind.18
4    Die Meldepflicht besteht ungeachtet der Absätze 1-3, wenn am Zusammenschluss ein Unternehmen beteiligt ist, für welches in einem Verfahren nach diesem Gesetz rechtskräftig festgestellt worden ist, dass es in der Schweiz auf einem bestimmten Markt eine beherrschende Stellung hat, und der Zusammenschluss diesen Markt oder einen solchen betrifft, der ihm vor- oder nachgelagert oder benachbart ist.
5    Die Bundesversammlung kann mit allgemeinverbindlichem, nicht referendumspflichtigem Bundesbeschluss:
a  die Grenzbeträge in den Absätzen 1-3 den veränderten Verhältnissen anpassen;
b  für die Meldepflicht von Unternehmenszusammenschlüssen in einzelnen Wirtschaftszweigen besondere Voraussetzungen schaffen.
25
SR 251 Bundesgesetz vom 6. Oktober 1995 über Kartelle und andere Wettbewerbsbeschränkungen (Kartellgesetz, KG) - Kartellgesetz
KG Art. 25 Amts- und Geschäftsgeheimnis - 1 Die Wettbewerbsbehörden wahren das Amtsgeheimnis.
1    Die Wettbewerbsbehörden wahren das Amtsgeheimnis.
2    Sie dürfen Kenntnisse, die sie bei ihrer Tätigkeit erlangen, nur zu dem mit der Auskunft oder dem Verfahren verfolgten Zweck verwerten.
3    Dem Preisüberwacher dürfen die Wettbewerbsbehörden diejenigen Daten weitergeben, die er für die Erfüllung seiner Aufgaben benötigt.
4    Die Veröffentlichungen der Wettbewerbsbehörden dürfen keine Geschäftsgeheimnisse preisgeben.
VGG: 31 
SR 173.32 Bundesgesetz vom 17. Juni 2005 über das Bundesverwaltungsgericht (Verwaltungsgerichtsgesetz, VGG) - Verwaltungsgerichtsgesetz
VGG Art. 31 Grundsatz - Das Bundesverwaltungsgericht beurteilt Beschwerden gegen Verfügungen nach Artikel 5 des Bundesgesetzes vom 20. Dezember 196819 über das Verwaltungsverfahren (VwVG).
32 
SR 173.32 Bundesgesetz vom 17. Juni 2005 über das Bundesverwaltungsgericht (Verwaltungsgerichtsgesetz, VGG) - Verwaltungsgerichtsgesetz
VGG Art. 32 Ausnahmen - 1 Die Beschwerde ist unzulässig gegen:
1    Die Beschwerde ist unzulässig gegen:
a  Verfügungen auf dem Gebiet der inneren und äusseren Sicherheit des Landes, der Neutralität, des diplomatischen Schutzes und der übrigen auswärtigen Angelegenheiten, soweit das Völkerrecht nicht einen Anspruch auf gerichtliche Beurteilung einräumt;
b  Verfügungen betreffend die politische Stimmberechtigung der Bürger und Bürgerinnen sowie Volkswahlen und -abstimmungen;
c  Verfügungen über leistungsabhängige Lohnanteile des Bundespersonals, soweit sie nicht die Gleichstellung der Geschlechter betreffen;
d  ...
e  Verfügungen auf dem Gebiet der Kernenergie betreffend:
e1  Rahmenbewilligungen von Kernanlagen,
e2  die Genehmigung des Entsorgungsprogramms,
e3  den Verschluss von geologischen Tiefenlagern,
e4  den Entsorgungsnachweis;
f  Verfügungen über die Erteilung oder Ausdehnung von Infrastrukturkonzessionen für Eisenbahnen;
g  Verfügungen der unabhängigen Beschwerdeinstanz für Radio und Fernsehen;
h  Verfügungen über die Erteilung von Konzessionen für Spielbanken;
i  Verfügungen über die Erteilung, Änderung oder Erneuerung der Konzession für die Schweizerische Radio- und Fernsehgesellschaft (SRG);
j  Verfügungen über die Beitragsberechtigung einer Hochschule oder einer anderen Institution des Hochschulbereichs.
2    Die Beschwerde ist auch unzulässig gegen:
a  Verfügungen, die nach einem anderen Bundesgesetz durch Einsprache oder durch Beschwerde an eine Behörde im Sinne von Artikel 33 Buchstaben c-f anfechtbar sind;
b  Verfügungen, die nach einem anderen Bundesgesetz durch Beschwerde an eine kantonale Behörde anfechtbar sind.
33 
SR 173.32 Bundesgesetz vom 17. Juni 2005 über das Bundesverwaltungsgericht (Verwaltungsgerichtsgesetz, VGG) - Verwaltungsgerichtsgesetz
VGG Art. 33 Vorinstanzen - Die Beschwerde ist zulässig gegen Verfügungen:
a  des Bundesrates und der Organe der Bundesversammlung auf dem Gebiet des Arbeitsverhältnisses des Bundespersonals einschliesslich der Verweigerung der Ermächtigung zur Strafverfolgung;
b  des Bundesrates betreffend:
b1  die Amtsenthebung eines Mitgliedes des Bankrats, des Direktoriums oder eines Stellvertreters oder einer Stellvertreterin nach dem Nationalbankgesetz vom 3. Oktober 200325,
b10  die Abberufung eines Verwaltungsratsmitglieds der Schweizerischen Trassenvergabestelle oder die Genehmigung der Auflösung des Arbeitsverhältnisses der Geschäftsführerin oder des Geschäftsführers durch den Verwaltungsrat nach dem Eisenbahngesetz vom 20. Dezember 195743;
b2  die Abberufung eines Verwaltungsratsmitgliedes der Eidgenössischen Finanzmarktaufsicht oder die Genehmigung der Auflösung des Arbeitsverhältnisses der Direktorin oder des Direktors durch den Verwaltungsrat nach dem Finanzmarktaufsichtsgesetz vom 22. Juni 200726,
b3  die Sperrung von Vermögenswerten gestützt auf das Bundesgesetz vom 18. Dezember 201528 über die Sperrung und die Rückerstattung unrechtmässig erworbener Vermögenswerte ausländischer politisch exponierter Personen,
b4  das Verbot von Tätigkeiten nach dem NDG30,
b5bis  die Abberufung eines Mitglieds des Institutsrats des Eidgenössischen Instituts für Metrologie nach dem Bundesgesetz vom 17. Juni 201133 über das Eidgenössische Institut für Metrologie,
b6  die Abberufung eines Verwaltungsratsmitglieds der Eidgenössischen Revisionsaufsichtsbehörde oder die Genehmigung der Auflösung des Arbeitsverhältnisses der Direktorin oder des Direktors durch den Verwaltungsrat nach dem Revisionsaufsichtsgesetz vom 16. Dezember 200535,
b7  die Abberufung eines Mitglieds des Institutsrats des Schweizerischen Heilmittelinstituts nach dem Heilmittelgesetz vom 15. Dezember 200037,
b8  die Abberufung eines Verwaltungsratsmitglieds der Anstalt nach dem Ausgleichsfondsgesetz vom 16. Juni 201739,
b9  die Abberufung eines Mitglieds des Institutsrats des Schweizerischen Instituts für Rechtsvergleichung nach dem Bundesgesetz vom 28. September 201841 über das Schweizerische Institut für Rechtsvergleichung,
c  des Bundesstrafgerichts auf dem Gebiet des Arbeitsverhältnisses seiner Richter und Richterinnen und seines Personals;
cbis  des Bundespatentgerichts auf dem Gebiet des Arbeitsverhältnisses seiner Richter und Richterinnen und seines Personals;
cquater  des Bundesanwaltes oder der Bundesanwältin auf dem Gebiet des Arbeitsverhältnisses der von ihm oder ihr gewählten Staatsanwälte und Staatsanwältinnen sowie des Personals der Bundesanwaltschaft;
cquinquies  der Aufsichtsbehörde über die Bundesanwaltschaft auf dem Gebiet des Arbeitsverhältnisses ihres Sekretariats;
cter  der Aufsichtsbehörde über die Bundesanwaltschaft auf dem Gebiet des Arbeitsverhältnisses der von der Vereinigten Bundesversammlung gewählten Mitglieder der Bundesanwaltschaft;
d  der Bundeskanzlei, der Departemente und der ihnen unterstellten oder administrativ zugeordneten Dienststellen der Bundesverwaltung;
e  der Anstalten und Betriebe des Bundes;
f  der eidgenössischen Kommissionen;
g  der Schiedsgerichte auf Grund öffentlich-rechtlicher Verträge des Bundes, seiner Anstalten und Betriebe;
h  der Instanzen oder Organisationen ausserhalb der Bundesverwaltung, die in Erfüllung ihnen übertragener öffentlich-rechtlicher Aufgaben des Bundes verfügen;
i  kantonaler Instanzen, soweit ein Bundesgesetz gegen ihre Verfügungen die Beschwerde an das Bundesverwaltungsgericht vorsieht.
37
SR 173.32 Bundesgesetz vom 17. Juni 2005 über das Bundesverwaltungsgericht (Verwaltungsgerichtsgesetz, VGG) - Verwaltungsgerichtsgesetz
VGG Art. 37 Grundsatz - Das Verfahren vor dem Bundesverwaltungsgericht richtet sich nach dem VwVG56, soweit dieses Gesetz nichts anderes bestimmt.
VwVG: 5 
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 5 - 1 Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
1    Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
a  Begründung, Änderung oder Aufhebung von Rechten oder Pflichten;
b  Feststellung des Bestehens, Nichtbestehens oder Umfanges von Rechten oder Pflichten;
c  Abweisung von Begehren auf Begründung, Änderung, Aufhebung oder Feststellung von Rechten oder Pflichten oder Nichteintreten auf solche Begehren.
2    Als Verfügungen gelten auch Vollstreckungsverfügungen (Art. 41 Abs. 1 Bst. a und b), Zwischenverfügungen (Art. 45 und 46), Einspracheentscheide (Art. 30 Abs. 2 Bst. b und 74), Beschwerdeentscheide (Art. 61), Entscheide im Rahmen einer Revision (Art. 68) und die Erläuterung (Art. 69).25
3    Erklärungen von Behörden über Ablehnung oder Erhebung von Ansprüchen, die auf dem Klageweg zu verfolgen sind, gelten nicht als Verfügungen.
35 
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 35 - 1 Schriftliche Verfügungen sind, auch wenn die Behörde sie in Briefform eröffnet, als solche zu bezeichnen, zu begründen und mit einer Rechtsmittelbelehrung zu versehen.
1    Schriftliche Verfügungen sind, auch wenn die Behörde sie in Briefform eröffnet, als solche zu bezeichnen, zu begründen und mit einer Rechtsmittelbelehrung zu versehen.
2    Die Rechtsmittelbelehrung muss das zulässige ordentliche Rechtsmittel, die Rechtsmittelinstanz und die Rechtsmittelfrist nennen.
3    Die Behörde kann auf Begründung und Rechtsmittelbelehrung verzichten, wenn sie den Begehren der Parteien voll entspricht und keine Partei eine Begründung verlangt.
38 
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 38 - Aus mangelhafter Eröffnung darf den Parteien kein Nachteil erwachsen.
44 
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 44 - Die Verfügung unterliegt der Beschwerde.
46a
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 46a - Gegen das unrechtmässige Verweigern oder Verzögern einer anfechtbaren Verfügung kann Beschwerde geführt werden.
BGE Register
123-II-534 • 135-II-38 • 138-III-425 • 139-V-143 • 139-V-72
Stichwortregister
Sortiert nach Häufigkeit oder Alphabet
1995 • akteneinsicht • anfechtungsgegenstand • angabe • anhörung oder verhör • aufschiebende wirkung • auskunftspflicht • ausmass der baute • begründung des entscheids • bescheinigung • beschwerdeantwort • betroffene person • bewilligung oder genehmigung • bundesgesetz über den datenschutz • bundesgesetz über kartelle und andere wettbewerbsbeschränkungen • bundesverwaltungsgericht • datensammlung • datenschutz • dokumentation • eidgenossenschaft • einsichtnahme in ein öffentliches register • elektronische datenverarbeitung • entscheid • form und inhalt • frage • frist • funktion • geltungsbereich • gesetzmässigkeit • gesuch an eine behörde • gesuchsteller • gewicht • gleichwertigkeit • hoheitsakt • inhaber der datensammlung • innerhalb • juristische person • kartell • kategorie • kommunikation • kopie • mitwirkungspflicht • nichtigkeit • personendaten • planauflage • privatperson • prozessvoraussetzung • rechtsbegehren • rechtshilfegesuch • rechtskraft • rechtsmissbrauch • rechtsmittel • register der datensammlungen • sammlung • sanktion • staatsorganisation und verwaltung • stelle • strafuntersuchung • tag • umfang • unrichtige auskunft • verfahrensbeteiligter • verhalten • vermutung • verordnung zum bundesgesetz über den datenschutz • veröffentlichung • vorinstanz • weisung • wettbewerbskommission • wissen • zugang
BVGer
B-6850/2014