A-3908/2008 - 2009-08-04 - Protezione dei dati e principio della trasparenza

Bundesverwaltungsgericht
Tribunal administratif fédéral
Tribunale amministrativo federale
Tribunal administrativ federal

Abteilung I
A-3908/2008
{T 1/2}

Urteil vom 4. August 2009

Besetzung
Richter André Moser (Vorsitz), Richter Christoph Bandli, Richterin Kathrin Dietrich,
Gerichtsschreiber Stefan von Gunten.

Parteien
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, Feldeggweg 1, 3003 Bern,
Kläger,

gegen

KSS Schaffhausen, Sport- und Freizeitanlagen Breite, Breitenaustrasse 117, 8200 Schaffhausen,
vertreten durch Rechtsanwalt lic. iur. Hans-Peter Sorg, Promenadenstrasse 17, 8201 Schaffhausen,
Beklagte,

Gegenstand
Umsetzung einer Empfehlung des EDÖB.

Sachverhalt:

A.
Nach einer halbjährigen Pilotphase haben die KSS Sport- und Freizeitanlagen Schaffhausen (KSS) im Sommer 2005 zum Zweck der Missbrauchsbekämpfung bei der Benutzung persönlicher, nicht übertragbarer Jahres- und Halbjahresabonnemente für den Eintritt ins Hallenbad und den Wellnessbereich ein neues Zugangskontrollsystem eingeführt. Langfristig ist ein Ausbau des Systems für weitere Sport- und Freizeitangebote geplant.
Für das neue System werden von den Kunden neben den Personalien - Vorname, Nachname, Adresse, Sprache und Geburtsdatum - auch digital komprimierte bzw. reduzierte Darstellungen eines biometrischen Abdrucks, im vorliegenden Fall des Fingerabdrucks, sogenannte Templates, erhoben. Das Fingerbild wird analysiert und die Merkmale des Abbilds - Anfangs- und Endpunkt, Gabelungen etc.; "Minutien" genannt - werden extrahiert. Die Minutien-Daten (insgesamt 20-50) sind für jeden Menschen einzigartig. Sie werden mittels eines mathematischen Algorithmus codiert und komprimiert, dergestalt in ein Template umgewandelt und mit den Personalien zentral in einer Datenbank der KSS gespeichert. Rohdaten des Fingerabdruckes, d.h. physische oder digitale Abbildungen biometrischer Charakteristiken, werden keine erfasst. Anhand der gespeicherten Daten lässt sich kein Fingerabdruck mehr rekonstruieren.
Der Kunde erhält zudem eine Transponderkarte in Kreditkartenformat mit einer einmaligen Karten-ID. Die Personalien des Kunden und das Template werden dieser Karten-ID zugeordnet. Auf der Karte sind keine Daten gespeichert. Sie ist lediglich mit einem Unterschriftsfeld versehen, damit sie optisch unterschieden werden kann.

B.
Um Zugang zum Hallenbad der KSS zu erhalten, muss der Kunde seine Transponderkarte in ein Lesegerät am Drehkreuz schieben und seinen Finger auf einen Scanner legen. Über die individuelle Karten-ID wird aus der zentralen Datenbank das entsprechende Template abgerufen und mit dem Fingerabdruck des Kunden verglichen. Es handelt sich deshalb um einen Verifizierungs-, nicht um einen Identifizierungsprozess. Insofern erfolgt zwischen einem biometrischen Probedatum und einem biometrischen Referenzdatum ein Vergleichsvorgang, um zu bestätigen, dass die betroffene Person diejenige ist, welche sie zu sein behauptet. Alle korrekt verifizierten und getätigten Transaktionen werden zu den Kartendaten zentral gespeichert. Dabei werden das Datum, die Uhrzeit und der Kontrollautomat des Ein- bzw. Austritts erfasst. Da alle Daten, sowohl die Personalien als auch die Minutien, in einer Datenbank gespeichert werden, ist ein Rückschluss eines Templates auf eine Person und zu einem Abonnement möglich.

C.
Infolge kritischer Reaktionen aus der Bevölkerung unterzog der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) das neue Zugangssystem einer Kontrolle. Mit Schlussbericht vom 11. April 2006 (nachfolgend Schlussbericht) empfahl er der KSS, dass:
für Personen, die nicht bereit sind, ihre biometrischen Daten für die Ausstellung einer Dauerkarte einlesen zu lassen, eine kostengleiche Alternative ohne Fingerabdruck-Verifizierung angeboten wird (Empfehlung Nr. 1);
auf die zentrale Speicherung der Templates der Fingerabdrücke verzichtet wird und diese biometrischen Daten auf einer Smartcard, welche in der Benutzersphäre und unter Kontrolle der betroffenen Person verbleibt, abgelegt werden (Empfehlung Nr. 2);
für die erhobenen Kundendaten (Anschrift und Kontaktinformationen) Löschfristen eingeführt werden (Empfehlung Nr. 3);
die Transaktionsdaten (Datum, Uhrzeit und Kontrollautomat des Badeein- bzw. des Badeaustritts) anonymisiert werden (Empfehlung Nr. 4);
bis zum Zeitpunkt, an dem die Templates dezentral auf Smartcard abgelegt werden, Löschfristen für die derzeit noch zentral gespeicherten Templates eingeführt werden (Empfehlung Nr. 5);
Im Weiteren regte der EDÖB im Sinne von Verbesserungsvorschlägen an, dass
die Kunden besser über die Bearbeitung ihrer biometrischen Daten aufgeklärt werden und dass der dafür vorgesehene Flyer den Kunden auch tatsächlich ausgehändigt wird (Verbesserungsvorschlag Nr. 1);
das System so zu modifizieren ist, dass kein Abbild des gescannten Fingerabdruckes (sog. Rohdatum) kopiert oder gespeichert werden kann (Verbesserungsvorschlag Nr. 2);
die Templates in verschlüsselter Form abgelegt werden (Verbesserungsvorschlag Nr. 3);
bei (Fern-)Wartungsarbeiten das Wartungspersonal des Systemlieferanten nur auf Testdaten zugreifen kann (Verbesserungsvorschlag Nr. 4).

D.
Am 29. Februar 2008 teilte die KSS dem EDÖB mit, dass ein Verzicht auf den Fingerprint nicht in Frage komme. Die Ausstellung einer neuen Karte (Smartcard) stelle überdies keine praktikable Lösung dar und sei unverhältnismässig.

E.
Mit Klage vom 10. Juni 2008 stellt der EDÖB (Kläger) das Begehren, die KSS sei aufzufordern, auf die zentrale Speicherung von biometrischen Daten in Form von Templates der Fingerabdrücke zu verzichten und diese biometrischen Daten - auch diejenigen, welche bereits zentral erfasst wurden - seien auf einer Sicherheitskarte (Smartcard), welche in der Einflusssphäre und unter Kontrolle der betroffenen Person verbleibt, abzulegen. Damit solle die Verifizierung der Identität ausschliesslich auf diesem Sicherheitsmedium stattfinden (Smartcard match on card), so dass die biometrischen Daten zu keinem Zeitpunkt die gesicherte Umgebung des Mediums und die Kontrolle der betroffenen Person verlassen.
Die Klage begründet er im Wesentlichen damit, dass die von der KSS durchgeführte Datenverarbeitung - zentrale Speicherung biometrischer Daten - das Recht auf informationelle Selbstbestimmung gefährde und unverhältnismässig sei. Die empfohlene Lösung greife weniger stark in die Grundrechte der Betroffenen ein und erreiche den verfolgten Zweck genauso. Die durch eine Systemänderung entstehenden Kosten hätten vermieden werden können, wenn die KSS sich vorgängig über die datenschutzrechtlichen Anforderungen informiert hätte. Es liege in der Verantwortung des Inhabers einer Datensammlung dafür zu sorgen, dass seine Anlage zum vornherein diese Voraussetzungen erfülle. Im Übrigen hätten diverse EU-Länder die dezentrale Speicherung von biometrischen Daten ebenfalls empfohlen.

F.
Mit Klageantwort vom 28. August 2008 beantragt die KSS (Beklagte) die Abweisung des Begehrens. Sie begründet ihren Antrag damit, dass das neue System seit 3 ½ Jahren bestens funktioniere und keine Beschwerden von Benutzern eingegangen seien. Es sei für jedermann möglich, ein Jahresabonnement zu erwerben, ohne dass seine Daten gespeichert würden. Diese Lösung werde allerdings nicht öffentlich bekannt gegeben. Die Empfehlung sei nicht praktikabel, weil damit zu hohe Kosten verbunden seien. Die Daten seien bisher nie sachfremd verwendet worden. Sie habe sich nach einer aufwändigen Evaluation für dieses System entschieden. Es habe dringender Handlungsbedarf bestanden und eine Antwort des Klägers wäre wohl nicht innert nützlicher Frist erfolgt. Das System sei bereits bei anderen Bade- und Sportanlagen installiert worden. Im Übrigen sei das von Bergbahnen verwendete System mit zentral gespeichertem Foto und der Registrierung jeder einzelnen Fahrt ein weitaus gravierenderer Eingriff.

G.
In der Replik vom 30. September 2008 führt der Kläger ergänzend aus, die Bearbeitung von Daten müsse auch dann verhältnismässig sein, wenn die betroffene Person zugestimmt habe und eine Alternative zum biometrischen Erkennungssystem bestehe. Die Neuanschaffungskosten seien nicht unverhältnismässig und würden wohl sowieso auf die Benutzer abgewälzt. Er bringt weiter vor, die dezentrale Speicherung bereits beim Check-In und Boarding beim Flughafen Zürich begrüsst zu haben. Der Zürcher Datenschutzbeauftragte habe zudem die dezentrale Speicherung für die Zugangskontrolle in einem Schwimmbad empfohlen.

H.
In ihrer Duplik vom 3. November 2008 macht die Beklagte ergänzend geltend, in den schweizerischen Flughäfen sollten gemäss Medien Nackt-Scanner eingesetzt werden. Dort sei der Kläger aber nicht eingeschritten. Eine Abwälzung der Neuanschaffungskosten sei aufgrund der Wirtschaftslage ausgeschlossen. Die Betroffenen könnten zudem jederzeit Einsicht in die Daten nehmen, so dass sie die Kontrolle über die Daten nicht verlieren würden. Beim Anschaffungsprozess seien bereits gleichartige Systeme in Betrieb gewesen, dennoch habe der Kläger keine Einwände vorgebracht. Sein Begehren verstosse daher auch gegen die Rechtssicherheit und den Vertrauensschutz.

I.
Mit Schreiben vom 11. bzw. 12. November 2008 haben Kläger und Beklagte auf die Durchführung einer mündlichen Vorbereitungs- und einer Hauptverhandlung verzichtet.

J.
Auf Anfrage des Bundesverwaltungsgerichts teilt die Beklagte am 16. März 2009 mit, dass es die Systemsoftware nicht erlaube, auf eine Zuordnungsliste zu verzichten, weil die verwendeten Radio Frequency Identification (RFID) - Karten (Identifizierung mit Hilfe elektromagnetischer Wellen) auf "read only" basierten.
Ebenfalls auf Anfrage des Bundesverwaltungsgerichts führt der Kläger am 18. März 2009 aus, das Vergleichsbeispiel mit den Bergbahnen unterscheide sich in wesentlichen Tatsachen vom vorliegenden Fall. Bei den Bergbahnen sei das Verwenden von biometrischen Daten in keiner Art und Weise Bestandteil der vorgenommenen Sachverhaltsabklärung gewesen. Im vorliegenden Fall habe er zum ersten Mal die Problematik der Authentifizierung von Personen zum Zweck der Zugangskontrolle unter dem Blickwinkel der Biometrie geprüft. Er sei dabei zum Schluss gekommen, dass die dezentrale Speicherung einen Hauptpunkt für eine datenschutzkonforme biometrische Verifizierung darstelle. Es sei absolut notwendig, dass für die Authentifizierung von Personen zum Zweck der Zugangskontrolle unter dem Blickwinkel der Biometrie eine Praxis respektive Rechtsprechung gebildet werde, welche dann auf alle gleichartigen Bearbeitungen von biometrischen Daten angewendet werden könne - sei es bei Sportzentren, Bergbahnen oder anderen Inhabern von Datensammlungen. Deshalb würden künftig auch Bergbahnen, wenn sie biometrische Daten einsetzen, die Anforderungen erfüllen müssen, wie sie für die Beklagte etabliert worden seien.

K.
Auf weitere Vorbringen und die sich bei den Akten befindlichen Schriftstücke wird, soweit für den Entscheid wesentlich, in den nachfolgenden Erwägungen eingegangen.

Das Bundesverwaltungsgericht zieht in Erwägung:

1.
Der EDÖB klärt von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler, Art. 29 Abs. 1 Bst. a des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz [DSG, SR 235.1]). Aufgrund seiner Abklärungen kann er empfehlen, das Bearbeiten zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG). Wird eine solche Empfehlung nicht befolgt oder abgelehnt, kann er die Angelegenheit dem Bundesverwaltungsgericht auf dem Klageweg zum Entscheid vorlegen (Art. 29 Abs. 4 DSG i.V.m. Art. 35 Bst. b des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 [VGG, SR 173.32]).

1.1 Die vorliegende Klage richtet sich gegen die Nichtbefolgung bzw. die Ablehnung einer Empfehlung des EDÖB durch die Beklagte. Insofern handelt es sich um eine Klage nach Art. 29 Abs. 4 DSG. Zunächst ist daher abzuklären, ob das DSG im vorliegenden Verfahren überhaupt Anwendung findet und der EDÖB zur vorliegenden Klageerhebung berechtigt war.

1.2 Das DSG gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen und Bundesorgane (Art. 2 Abs. 1 DSG).
1.2.1 Unter Personendaten (Daten) fallen nach Art. 3 Bst. a DSG alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Darunter ist jede Art von Information zu verstehen, die auf die Vermittlung oder die Aufbewahrung von Kenntnissen ausgerichtet ist, ungeachtet dessen, ob es sich dabei um eine Tatsachenfeststellung oder um ein Werturteil handelt. Unerheblich ist auch, ob eine Aussage als Zeichen, Wort, Bild, Ton oder Kombinationen aus diesen auftritt und auf welcher Art von Datenträger die Informationen gespeichert sind. Eine Person ist dann bestimmt, wenn sich aus der Information selbst ergibt, dass es sich um diese ganz bestimmte Person handelt (Urs Belser, in: Maurer-Lambrou/Vogt [Hrsg.], Datenschutzgesetz, Basler Kommentar, 2. Aufl., Basel 2006, Rz. 5 f. zu Art. 3; nachfolgend "BSK-DSG"). Der Bezug ist dort unproblematisch, wo sich der Personenbezug aus der Natur der Information selbst ergibt, wie bei biometrischen Informationen wie Fingerabdrücken (vgl. David Rosenthal, in Rosenthal/Jöhri, Handkommentar DSG, Zürich 2008, Art. 3 Bst. a N 13; nachfolgend "Handkommentar DSG").
1.2.2 Die Beklagte erhebt von jedem Dauerkarteninhaber die Personalien, d.h. Name, Vorname, Adresse, Sprache und Geburtsdatum. Dabei handelt es sich ohne Weiteres um Personendaten, die einerseits für sich alleine (Name, Vorname), andererseits in Zusammenhang mit den weiter erhobenen Daten - ohne grossen Aufwand - auf eine bestimmte Person schliessen lassen (Adresse, Sprache, Geburtsdatum). Daneben werden den Abonnenten die Fingerabdrücke genommen bzw. deren Minutien extrahiert, mittels Algorithmus in ein Template umgewandelt und dergestalt in einer zentralen Datenbank abgelegt. Der Fingerabdruck an sich, wie auch die extrahierten Minutien sind einzigartig und nur einer bestimmten Person zuzuordnen. Der Bezug zu einer Person geht daher aus diesen selbst hervor. Auf welche Art von Datenträger (Template) sie gespeichert werden, ist unerheblich. Im Übrigen ist auch noch eine Zuordnungsliste zentral abgelegt, sodass mit dieser Rückschluss auf einen bestimmten Abonnenten genommen werden kann.
Insofern sind sämtliche hier in Frage stehenden Daten als Personendaten gemäss DSG zu qualifizieren.
1.2.3 Bearbeiten im Sinne von Art. 2 Abs. 1 DSG bedeutet jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 Bst. e DSG). Für das Bundesverwaltungsgericht besteht kein Zweifel, dass im vorliegenden Fall eine Bearbeitung nach DSG erfolgt. Dies wird im Übrigen auch nicht bestritten.
1.2.4 Wie bereits erwähnt, klärt der Beauftragte gemäss Art. 29 Abs. 1 Bst. a DSG von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). "Systemfehler" bedeutet in diesem Zusammenhang die Eignung, eine grössere Anzahl von Personen in ihrer Persönlichkeit zu verletzen (vgl. David Rosenthal, Handkommentar DSG, Art. 29 N. 11; René Huber, BSK-DSG, Rz. 6 ff. zu Art. 29; Urteil der Eidgenössischen Datenschutzkommission [EDSK] vom 15. April 2005, veröffentlicht in Verwaltungspraxis des Bundes [VPB] 69.106, E. 3.2). Kann die fragliche Datenbearbeitung potentiell zur Schädigung einer grösseren Anzahl Betroffener führen, ist die Schwelle der "grösseren Anzahl" bereits beim Vorliegen einiger weniger Vorfälle erreicht (René Huber, BSK-DSG, Rz. 10 f. zu Art. 29). In der Klageantwort führt die Beklagte aus, dass jährlich 1'200 Dauerkarten verkauft würden. Insofern kann ohne Weiteres von einem "Systemfehler" im Sinne der Gesetzgebung ausgegangen werden.

1.3 Das DSG kommt aus diesen Gründen zur Anwendung und der Kläger war zur Erteilung der Empfehlung ermächtigt. Auf die im Weiteren form- und fristgerecht eingereichte Klage ist daher einzutreten.

1.4 Das Verfahren richtet sich gemäss Art. 44 Abs. 1 VGG grundsätzlich nach den Art. 3 - 73 sowie 79 - 85 des Bundesgesetzes vom 4. Dezember 1947 über den Bundeszivilprozess (BZP, SR 273). Obwohl im Bundeszivilprozess der Richter sein Urteil grundsätzlich nur auf Tatsachen gründen darf, die im Verfahren geltend gemacht worden sind (Art. 3 Abs. 2 BZP), gilt vor Bundesverwaltungsgericht infolge der spezialgesetzlichen Bestimmung von Art. 44 Abs. 2 VGG der Grundsatz der Sachverhaltsabklärung von Amtes wegen.
Art. 3 Abs. 2 BZP bestimmt, dass der Richter nicht über die Rechtsbegehren der Parteien hinausgehen darf. In einem Klageverfahren wie dem vorliegenden hat die Dispositionsmaxime somit grössere Bedeutung als im Beschwerdeverfahren vor Bundesverwaltungsgericht. Im Verfahren vor dem Bundesverwaltungsgericht wird der EDÖB in der Regel verlangen, dass die von ihm empfohlenen und nun klageweise geltend gemachten Massnahmen gegenüber den betreffenden Datenbearbeitern verfügt, d.h. den Datenbearbeitern durch das Gericht in verbindlicher und erzwingbarer Form angeordnet werden. Damit wird die Empfehlung zwar nicht verbindlich, doch wird ihr - soweit begehrt und gutgeheissen - ein entsprechendes Urteil zur Seite gestellt. Das Bundesverwaltungsgericht kann aber auch weniger weit gehende Massnahmen anordnen (vgl. DAVID ROSENTHAL, Handkommentar DSG, Art. 29 Abs. 4 N 47).

2.
2.1 Der Kläger rügt vorab, das Zugangssystem der Beklagten verstosse gegen das Gebot der Zweckbindung der Datenbearbeitung nach Art. 4 Abs. 3 DSG (Ziffer 2.1 der Klage). Eine Zweckänderung sei von den Betroffenen durch die zentrale Speicherung der biometrischen Daten aber nicht kontrollierbar. Damit bestehe die Gefahr einer Verletzung der informationellen Selbstbestimmung nach Art. 13 Abs. 2 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV, SR 101). Die biometrischen Daten dürften den Kontrollbereich der betroffenen Person deshalb nicht verlassen. Er empfehle daher ein milderes Mittel, die sogenannte "Smartcard match on card". Die biometrischen Daten würden auf dem Sicherheitsmedium gespeichert und die Verifizierung finde ebenfalls darauf statt.

2.2 Es ist nicht ersichtlich und wird vom Kläger auch nicht weiter begründet, inwiefern der Grundsatz der Zweckbindung nach Art. 4 Abs. 3 DSG hier verletzt worden sein soll. Der Kläger gesteht der Beklagten denn auch zu, dass sie bisher keine Zweckänderung vorgenommen habe (Klageschrift, Ziffer 43). Er rügt unter dem Grundsatz der Zweckbindung der Datenbearbeitung nichts anderes als den Grundsatz der Verhältnismässigkeit der Datenbearbeitung gemäss Ziffer 2.2 seiner Klage. Die Klage ist denn auch (hauptsächlich) unter diesem Gesichtspunkt zu behandeln.

3.
Gemäss Art. 13 Abs. 2 BV hat jede Person Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten. Diesem Anspruch hat der Bundesgesetzgeber im DSG Rechnung getragen und das Bearbeiten von Daten durch Private und Bundesbehörden eingehend geregelt (Ulrich Häfelin/Walter Haller/Helen Keller, Schweizerisches Bundesstaatsrecht, 7. Aufl., Zürich/Basel/Genf 2008, Rz. 390). Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Er darf insbesondere nicht Personendaten entgegen den Grundsätzen des Artikels 4 bearbeiten (Art. 12 Abs. 1 Bst. a DSG).

3.1 Nach Art. 4 Abs. 2 DSG muss die Bearbeitung der Daten verhältnismässig sein. Sowohl der Zweck, der mit der Datenbearbeitung verfolgt wird, als auch die Art und Weise der Bearbeitung müssen verhältnismässig sein. Dies verlangt zunächst, dass Personendaten nur soweit bearbeitet werden dürfen, als dies für einen bestimmten Zweck objektiv geeignet und tatsächlich erforderlich ist. Der Verhältnismässigkeitsgrundsatz verlangt weiter, dass die Datenbearbeitung für die betroffene Person sowohl hinsichtlich ihres Zwecks als auch hinsichtlich ihrer Mittel zumutbar ist (d.h. verhältnismässig i.e.S.). Die Prüfung der Verhältnismässigkeit verlangt eine Gesamtwürdigung aller Umstände (BGE 122 II 199), d.h. auch der Interessen des Datenbearbeiters (David Rosenthal, Handkommentar DSG, Art. 4 N 19 ff.).

3.2 Gemäss Klageschrift Ziffer 63 akzeptiert der Kläger die Einführung des biometrischen Erkennungssystems in Hinblick auf den Bearbeitungszweck unter Vorbehalt. Im Verhältnis zum Eingriff in die Grundrechte der betroffenen Person seien die von der Beklagten eingeführten Massnahmen und durchgeführten Datenbearbeitungen zwar geeignet, um das angestrebte Ziel - den Missbrauch der Dauerkarten - zu erreichen, sie stünden jedoch nicht in einem vernünftigen Verhältnis zum Eingriff in die Grundrechte der betroffenen Person. Insofern bemängelt der Kläger die Erforderlichkeit des Eingriffs.

3.3 Eine Massnahme hat zu unterbleiben, wenn eine gleich geeignete, aber mildere Massnahme für den angestrebten Erfolg ausreichen würde. Das Gebot der Erforderlichkeit einer Massnahme wird auch als Prinzip der «Notwendigkeit», des «geringst möglichen Eingriffs», der «Zweckangemessenheit» oder als «Übermassverbot» bezeichnet Ulrich Häfelin/Georg Müller/Felix Uhlmann, Allgemeines Verwaltungsrecht, 5. Aufl., Zürich/Basel/Genf 2006, Rz. 591 f.). Der Eingriff darf in sachlicher, räumlicher, zeitlicher und personeller Beziehung nicht über das Notwendige hinausgehen (Ulrich Häfelin/Walter Haller/Helen Keller, a.a.O., Rz. 322). Bei der Verifizierung der Identität der Betroffenen sollen die biometrischen Daten statt in einer zentralen Datenbank vorzugsweise auf einem gesicherten individuellen Speichermedium gespeichert werden, dessen Einsatz durch den Betroffenen kontrolliert werden kann (Urs Maurer Lambrou/Andrea Steiner, BSK-DSG, Rz. 22 zu Art. 4).

3.4 Mit dem aktuellen System werden die biometrischen Daten zusammen mit einer Zuordnungsliste auf dem Host der Beklagten gespeichert. Die Transponderkarte dient lediglich dazu, das entsprechende Template für den Überprüfungsprozess zu aktivieren, damit der Besucher über seinen Fingerabdruck als Abonnent identifiziert werden kann. Auf ihr sind keine Daten gespeichert. Der Verifizierungsprozess erfolgt auf dem Host. Jede korrekt durchgeführte Transaktion wird erfasst.

3.5 Bei dem vom Kläger empfohlenen System "Smartcard match on card" erfolgt der Vergleich zwischen der biometrischen Charakteristik (Fingerabdruck) und den lokal gespeicherten biometrischen Daten (Referenz-Template) dezentral auf der Karte, so dass der Host lediglich ein Freigabesignal von der Smartcard erhält und keine biometrischen Daten zwischen Smartcard und dem elektronischen Zugangskontrollsystem ausgetauscht werden. Damit haben die betroffenen Personen sowohl die Kontrolle über ihre biometrischen Referenzdaten als auch über die Transaktionsdaten im Rahmen des Vergleichs. In einem solchen Fall liegen lediglich Transaktionsdaten, welche zwischen der Smartcard und dem Leser ausgetauscht werden, ausserhalb des Kontrollbereichs der betroffenen Person.

3.6 Bei der Gegenüberstellung der beiden verschiedenen Zugangssysteme wird ersichtlich, dass das vom Kläger geforderte System weit weniger in das informationelle Selbstbestimmungsrecht des Betroffenen eingreift als das bis anhin verwendete System und trotzdem das verfolgte Ziel erreichen kann. Der Betroffene gibt seine Daten dabei nicht mehr aus der Hand und behält damit stets die Kontrolle. Dass der Abonnent beim derzeitigen Zugangssystem jederzeit Einsicht in seine Daten nehmen könne, wie dies die Beklagte vorbringt, vermag die Kontrollmöglichkeiten des eingeklagten Zugangssystems bei Weitem nicht zu erreichen. Zentral gespeicherte Daten ausserhalb des Herrschaftsbereichs des Abonnenten bleiben für diesen mehrheitlich unerreichbar und damit verletzlich.

3.7 Im Zusammenhang mit Art. 36 Abs. 4 Bst. c DSG, wonach der Bundesrat Bestimmungen erlassen kann, wie die Mittel zur Identifikation von Personen verwendet werden dürfen, verweist der Handkommentar DSG zudem auf den Schlussbericht des Klägers vom 11. April 2006 und begrüsst damit das vorliegende Begehren nach dezentraler Speicherung der biometrischen Daten (vgl. YVONNE JÖHRI, Handkommentar DSG, Art. 36 Abs. 4 Bst. c N 35 f.). Der Zürcher Datenschutzbeauftragte hat anlässlich seines 11. Tätigkeitsberichts 2005 ebenfalls empfohlen, dass Systeme vorzuziehen seien, bei denen die biometrischen Daten nicht bei der Schwimmbad-Betreiberin abgelegt würden (Klagebeilage 36). In diesem Sinne hat sich auch die Art. 29 - Datenschutzgruppe der EU als deren unabhängiges Beratungsgremium in Datenschutzfragen geäussert. Danach sind biometrische Daten bei der Verwendung als Zutrittskontrolle nicht auf einem Medium zu speichern, das sich nicht im Besitz der betroffenen Person befindet (vgl. Arbeitspapier über Biometrie der Art. 29 - Datenschutzgruppe vom 1. August 2003, Ziff. 3.2, S. 7). Europäische Länder sind diesen Empfehlungen gefolgt (u.a. Frankreich, vgl. Klagebeilage 38, und Italien, vgl. Klagebeilage 46, S. 3) und sprechen sich ebenfalls für die dezentrale Speicherung gemäss Klagebegehren aus. Der Kläger seinerseits hat sich im (gleichartigen) Fall des Check-In und Boarding beim Flughafen Zürich, wo auch Fingerabdrücke der Fluggäste genommen und in Form von Templates abgelegt wurden, geäussert. Auch hier hat er die dezentrale Speicherung empfohlen (Klagebeilage 37, S. 15).

3.8 Die Beklagte hat im Übrigen mit Schreiben vom 10. August 2006 (Klagebeilage 19) der Empfehlung Nr. 2 - mithin dem Klagebegehren - zugestimmt und ausgeführt, dass die Dauerkarten durch beschreibbare Medien ersetzt würden. Die Software werde so angepasst, dass die Daten auf der Karte gespeichert werden könnten. Dem Schreiben vom 29. Februar 2008 ist zudem zu entnehmen, dass die Beklagte nur die hohen Anschaffungskosten und den zusätzlichen logistischen Aufwand für das Festhalten an der bisherigen zentralen Speicherung der Daten vorbringt. Sie stellt sich hingegen nicht auf den Standpunkt, das vom Kläger begehrte Zugangssystem stelle kein milderes Mittel im Sinne der Verhältnismässigkeit dar. Dies scheint insofern auch nachvollziehbar, als kein Grund ersichtlich ist, weshalb eine zentrale Speicherung der Daten bei der Beklagten notwendig ist. Ein solcher wird von ihr auch nicht geltend gemacht.

3.9 Aus diesen Gründen steht fest, dass die zentrale Speicherung der biometrischen Daten, wie sie die Beklagte bisher handhabt, dem Gebot der Erforderlichkeit widerspricht und damit den Grundsatz der Verhältnissmässigkeit der Datenbearbeitung gemäss Art. 4 Abs. 2 DSG verletzt. Es liegt daher eine Persönlichkeitsverletzung nach Art. 12 Abs. 2 Bst. a DSG vor.

4.
Nicht jede Verletzung der Persönlichkeit ist auch widerrechtlich; die Widerrechtlichkeit ist somit lediglich Grundsatz, von dem es Ausnahmen gibt. Eine Verletzung der Persönlichkeit ist dann nicht widerrechtlich, wenn sie u.a. durch Einwilligung des Verletzten gerechtfertigt ist (Art. 13 Abs. 1 DSG).

4.1 Die Einwilligung kann grundsätzlich jede Persönlichkeitsverletzung rechtfertigen, auch Verstösse gegen die allgemeinen Datenschutzbearbeitungsgrundsätze (vgl. dazu Corrado Rampini, BSK-DSG, Rz. 3 f. zu Art. 13). Der Gesetzgeber hat sich bei der Definition des Begriffs der Einwilligung an demjenigen der Einwilligung des aufgeklärten Patienten (vgl. BGE 119 II 456, BGE 117 Ib 197, BGE 114 Ia 350) orientiert, und zwar in dem Sinne, dass die betroffene Person über alle Informationen im konkreten Fall verfügen muss, die erforderlich sind, damit sie eine freie Entscheidung treffen kann (BBl 2003 2127). Eine rechtlich gültige Einwilligung setzt nach Art. 4 Abs. 5 DSG voraus, dass eine angemessene Information bezüglich der Datenbearbeitung vorliegt, in die eingewilligt werden soll, eine Willenserklärung vorliegt, aus welcher eine Zustimmung zu dieser Datenbearbeitung entnommen werden kann und diese Willenserklärung freiwillig erfolgt (David Rosenthal, Handkommentar DSG, Art. 4 Abs. 5 N 67 f.).

4.2 Das Erfordernis einer angemessenen Information will erreichen, dass die betroffene Person ihre Einwilligung in Kenntnis der Sachlage gibt, d.h. erst entscheiden muss, wenn sie sich ein Bild (auch) über die möglichen negativen Folgen ihrer Einwilligung machen konnte. Erforderlich, aber auch genügend ist letztlich, dass sich die betroffene Person im Klaren darüber sein kann, worin sie einwilligen soll, d.h. was die Tragweite ihrer Entscheidung ist. Je nach Situation wird eine Aufklärung erforderlich sein, die nicht nur auf die Umstände der Datenbearbeitung, sondern auch auf ihre wichtigsten möglichen Risiken bzw. Folgen für die betroffene Person hinweist, insbesondere wenn diese schwerwiegend sind. Ob und wie weit diesbezüglich informiert werden muss, hängt letztlich aber von den konkreten Umständen ab (David Rosenthal, Handkommentar DSG, Art. 4 Abs. 5 N 72 f.). Eine Einwilligung muss freiwillig erfolgen, das heisst Ausdruck des freien Willens der betroffenen Person sein. Ungültig ist die durch Täuschung, Drohung oder Zwang zustande gekommene Einwilligung. Der betroffenen Person muss "eine - mit nicht unzumutbaren Nachteilen behaftete - Handlungsalternative" zur Verfügung stehen (Corrado Rampini, BSK-DSG, Rz. 6 f. zu Art. 13; vgl. auch Christian Drechsler, Die Revision des Datenschutzrechts, in Aktuelle Juristische Praxis [AJP] 2007, S. 1473). Etwas abweichend dazu äussert sich David Rosenthal im Handkommentar DSG und meint, dass dies zu weit gehe: Wo davon auszugehen sei, dass eine Einwilligung subjektiv im Interesse der betroffenen Person liege, könne normalerweise ebenfalls von einer freiwilligen Willenserklärung ausgegangen werden, selbst wenn die betroffene Person keine Handlungsalternative habe. Seine Kritik berührt den vorliegenden Fall jedoch nicht, weil die Einwilligung hier dem Betroffenen keinen Vorteil bringt, insofern nicht in dessen subjektivem Interesse liegt.

4.3 Die Beklagte bringt zum Rechtfertigungsgrund der Einwilligung vor, die Betroffenen würden beim Kauf einer Dauerkarte auf das System und die Datenbearbeitung aufmerksam gemacht. Die alternative Ausstellung von Dauerkarten ohne Finger-Print werde indes nicht öffentlich bekannt gemacht. Erst wenn sich ein Gast weigere, werde ihm die Alternativlösung angeboten. Die Betroffenen könnten zudem jederzeit Einblick in ihre Daten nehmen.

4.4 In seinem Schlussbericht führt der Kläger in Bezug auf die Einwilligung der Betroffenen aus, dass keine Alternativlösungen bestünden. Die Kunden müssten auf teurere 10-er Abonnemente ausweichen. Die Badegäste würden beim Umtausch oder Erwerb einer Dauerkarte vom Kassenpersonal über die Erhebung der biometrischen Daten und über die weitere Datenbearbeitung mündlich aufgeklärt. Bei der Sachverhaltsabklärung vor Ort seien an der Kassentheke aber keine Flyer erhältlich gewesen. Der Flyer habe ihm erst nach einer kleineren Suchaktion überreicht werden können. Er trage die Überschrift "Ist der Datenschutz bei der biometrischen Fingerabdruck Erkennung und Identifikation gewährleistet?". Der Flyer erkläre, dass keine Rohdaten gespeichert, sondern extrahierte Merkmale eines Fingerabdruckes in Form eines "codierten" Templates in der Datenbank gespeichert würden. Der Flyer führe weiter aus, wie der Abgleich der Templates vor sich gehe und dass es nicht möglich sei, aus dem "Code" das Rohdatum wieder herzustellen. Ferner werde darauf hingewiesen, dass heute gängige Personendatenbanken aus Sicht des Datenschutzes eine weit grössere Gefahr darstellten als die Information des Fingerabdruckes. Der Flyer äussere sich nur grob über die Bearbeitungsmodalitäten der erhobenen Daten. Zudem erkläre der Flyer primär, warum der Einsatz von Biometrie aus Sicht des Systemlieferanten unproblematisch sei.
In seinem Verbesserungsvorschlag Nr. 1 regt der Kläger daher an, dass der Informationsgehalt des Flyers hinsichtlich der Bearbeitungsmodalitäten der biometrischen Daten stark verbessert werden müsse. Aufgeführt werden müssten die Hauptpunkte der Datenbearbeitung, wie z.B. wo und für wie lange die Daten gespeichert würden, insbesondere was mit den Templates und den Transaktionsdaten geschehe, wer Zugriff auf die Daten habe und an wen sie - wenn überhaupt - weitergegeben würden. Er sei jedem Kunden vor dem Enrolement (Registrierung) automatisch vom Kassenpersonal und ohne Nachfrage des Kunden auszuhändigen. Dem Badegast sei genügend Zeit zur Verfügung zu stellen, ihn vorher durchzulesen. Weitere Flyer seien griffbereit an der Kassentheke aufzulegen. Mit Schreiben vom 18. Oktober 2006 (Klagebeilage 23) stimmt die Beklagte auch diesem Verbesserungsvorschlag zu und führt aus, dass dieser umgesetzt werde. Der Flyer werde vollständig überarbeitet, wobei die vom Kläger genannten Punkte berücksichtigt würden. Weiter werde ein Ablauf- und Organisationsdiagramm für das Kassenpersonal erstellt, aus welchem hervorgehe, wie bei der Herausgabe eines Abonnements (mit biometrischen Daten) vorzugehen sei. Aus den vorliegenden Unterlagen ist nicht ersichtlich, dass der Verbesserungsvorschlag von der Beklagten umgesetzt worden ist.

4.5 Dem Kläger ist zuzustimmen, dass einem Badegast (faktisch) keine Alternativlösung geboten wird, wenn er die Möglichkeit für den Erwerb eines Jahres- oder Halbjahresabonnements ohne Fingerprint-Lösung erst dann erhält, wenn er sich geweigert hat, ein solches mit dem aktuellen Zugangssystem zu akzeptieren. In den meisten Fällen wird der Gast sich (vermeintlich) mangels Alternative dazu bewegen lassen, seine biometrischen Daten zentral zu hinterlegen. Insofern kann hier nicht von Freiwilligkeit die Rede sein.

4.6 Im Weiteren wird der Gast auch nicht angemessen informiert, so dass er sich über die Tragweite seiner Entscheidung (vollends) im Klaren sein könnte. Der Flyer wird diesem offensichtlich gar nicht erst ausgehändigt. Wenn er schon bei der vorher vereinbarten Sachverhaltsfeststellung des Klägers erst nach einer kleineren Suchaktion überreicht werden kann, ist nicht davon auszugehen, dass er an einem "gewöhnlichen Tag" stets griffbereit ist, geschweige denn verteilt wird. Weiter scheint das Kassenpersonal weder spezifische Vorgaben noch eine besondere Schulung erhalten zu haben, wie beim Verkauf einer Dauerkarte vorzugehen ist. Dem Erfordernis der angemessenen Information kommt die Beklagte deshalb nicht genügend nach.
Über den Inhalt des Flyers und ob dieser ausreichend ist, braucht das Bundesverwaltungsgericht daher nicht weiter zu befinden. Zu bemerken sei hierzu lediglich, dass biometrische Daten (wohl unbestrittenermassen) sensibel sind und die Information hierüber umfassend sein müsste. Aufgrund der unbestrittenen Beschreibung des Klägers über den Informationsgehalt des Flyers und des Verbesserungsvorschlages lässt sich aber erahnen, dass dieser einer angemessenen Aufklärung nicht genügend Rechnung trägt.

5.
Eine Verletzung der Persönlichkeit ist ebenfalls nicht widerrechtlich, wenn sie durch ein überwiegendes privates Interesse gerechtfertigt ist (Art. 13 Abs. 1 DSG). Seitens des Datenbearbeiters sind nur die privaten Interessen an der zu rechtfertigenden Datenbearbeitung zu berücksichtigen. Zu ermitteln sind dabei sowohl das Interesse am Zweck als auch an den Mitteln der Datenbearbeitung, mit welchen der Zweck erreicht werden soll. Die Mittel der Datenbearbeitung umfassen insbesondere die Art und Weise der Datenbearbeitung und die Art und Auswahl der Personendaten (David Rosenthal, Handkommentar DSG, Art. 13 Abs. 1 N 8).

5.1 Die Beklagte bringt in diesem Zusammenhang vor, durch die Anpassungen im Sinne des Klagebegehrens entstünden hohe Anschaffungskosten und zusätzlicher logistischer Aufwand.

5.2 Der Kläger führt hingegen aus, es liege in der Verantwortung des Inhabers der Datensammlung dafür zu sorgen, dass eine Anlage zum vornherein datenschutzkonform sei. Insofern seien die Änderungskosten und der zusätzliche logistische Aufwand keine stichhaltigen Argumente.

5.3 Die Interessen der Beklagten sind nicht zu berücksichtigen, weil sich diese nicht auf die Datenverarbeitung selbst beziehen, sondern nur auf die Unannehmlichkeiten abstellen, die eine allfälligen Änderung im Sinne des Klägers mit sich brächten. Diese Interessen haben beim Rechtfertigungsgrund der überwiegenden privaten Interessen im Sinne von Art. 13 Abs. 1 DSG - wie den vorstehenden Erwägungen zu entnehmen ist - kein Gewicht. Insofern liegt auch keine Rechtfertigung vor.

6.
Zusammenfassend ergibt sich, dass die Beklagte mit dem bisherigen Zugangssystem und der entsprechenden Art und Weise der Bearbeitung der biometrischen Daten den Grundsatz der Verhältnismässigkeit verletzt. Diese Verletzung ist weder durch Einwilligung noch durch überwiegende private Interessen gerechtfertigt. Es kann damit offen gelassen werden, ob auch die Gefahr besteht, dass die Daten exportiert, kopiert und unbefugt weiterverarbeitet werden könnten, mithin die Datensicherheit nach Art. 7 DSG nicht gewährleistet ist, wie dies der Kläger weiter vorbringt.
Aufgabe des Bundesverwaltungsgerichts ist es festzustellen, ob ein Zugangssystem datenschutzkonform ist. Es ist hingegen nicht dessen Aufgabe festzulegen, welche Art und Weise der Bearbeitung bei der Verwendung von biometrischen Daten angezeigt ist, mithin ein umfassendes (datenschutzkonformes) Zugangssystem zu liefern. Das vom Kläger vorgeschlagene System erscheint dem Bundesverwaltungsgericht auf den ersten Blick geeignet und den gesetzlichen Anforderungen an die Bearbeitung von biometrischen Daten gewachsen zu sein. Zumindest stellt es ein milderes Mittel im Sinne der Erforderlichkeit im Rahmen der Verhältnismässigkeitsprüfung dar. Da sich die Zuordnungsliste aus technischen Gründen nicht aus der zentralen Datenbank und daher nicht von den entsprechenden Templates entfernen lässt (Eingabe der Beklagten vom 16. März 2009), ist eine für die Beklagte weniger einschneidende Massnahme im Rahmen des vorliegenden Verfahrens nicht ersichtlich. Zur Überprüfung einer Zugangsberechtigung könnte es etwa ausreichen, die Templates ohne Zuordnungsliste zu speichern und bei der Einlasskontrolle lediglich zu prüfen, ob das präsentierte Merkmal in der Datenbank vorhanden ist. Zumindest zwischen den Matchingvorgängen bestünde dann für die speichernde Stelle bei ausreichender Grösse der Datenbank keine Möglichkeit der Herstellung eines Personenbezugs (Gerrit Hornung, Der Personenbezug biometrischer Daten, in: Zeitschrift "Datenschutz und Datensicherheit", 28 [2004] 7, S. 430).
Der Beklagten steht es indes frei, von dem bisherigen System gänzlich abzusehen. Es besteht kein Grund, der Beklagten ein anderes Zugangssystem aufzuzwingen.

7.
Im Übrigen ist der Beklagten auch insofern nicht zu folgen als sie rügt, das Vorgehen des Klägers verletze den Grundsatz der Rechtsgleichheit und des Vertrauensschutzes, indem beispielsweise das Kontrollsystem der Bergbahnen nicht bemängelt werde und der Kläger im Rahmen ihres Beschaffungsprozesses keinen Einwand erhoben habe, obwohl gleichartige Systeme bereits im Einsatz gewesen seien.
7.1.1 Der Grundsatz des Vertrauensschutzes (Art. 9 BV) bedeutet, dass die Privaten Anspruch darauf haben, in ihrem berechtigten Vertrauen in behördliche Zusicherungen oder in anderes, bestimmte Erwartungen begründendes Verhalten der Behörden geschützt zu werden (HÄFELIN/MÜLLER/UHLMANN, a.a.O., Rz. 627). Damit sich jemand auf den Vertrauensschutz berufen kann wird u.a. eine Vertrauensgrundlage gefordert. Dabei kommt es auf den Bestimmtheitsgrad der Grundlage an, der so gross sein muss, dass der Private daraus die für seine Dispositionen massgebenden Informationen entnehmen kann (HÄFELIN/MÜLLER/UHLMANN, a.a.O., Rz. 631). Grundsätzlich hindert die vorübergehende Duldung eines rechtswidrigen Zustandes die Behörde nicht an der späteren Behebung dieses Zustandes. Eine Vertrauensgrundlage, die der Wiederherstellung der Rechtmässigkeit ganz oder teilweise entgegensteht, wird durch behördliche Untätigkeit nur in Ausnahmefällen geschaffen (HÄFELIN/MÜLLER/UHLMANN, a.a.O., Rz. 652). Weder kann sich die Beklagte vorliegend auf eine ausreichend bestimmte Vertrauensgrundlage stützen, wie etwa eine schriftliche oder mündliche Zusicherung des Klägers, noch kann sie sich im Sinne des Vertrauensschutzes darauf berufen, dass gleichartige - allenfalls auch datenschutzwidrige - Systeme im Einsatz gewesen seien und der Kläger nicht eingeschritten sei. Ein Ausnahmefall ist hier nicht ersichtlich und wird von der Beklagten auch nicht geltend gemacht.
7.1.2 Wie nachfolgend aufgezeigt, kann sich diese auch nicht auf den Grundsatz der Gleichbehandlung berufen. Der Anspruch auf Gleichbehandlung verlangt, dass Rechte und Pflichten der Betroffenen nach dem gleichen Massstab festzusetzen sind. Gleiches ist nach Massgabe seiner Gleichheit gleich, Ungleiches nach Massgabe seiner Ungleichheit ungleich zu behandeln. Das Gleichheitsprinzip verbietet einerseits unterschiedliche Regelungen, denen keine rechtlich erheblichen Unterscheidungen zu Grunde liegen. Andererseits untersagt es aber auch die rechtliche Gleichbehandlung von Fällen, die sich in tatsächlicher Hinsicht wesentlich unterscheiden. Die Gleichbehandlung durch den Gesetzgeber oder die rechtsanwendende Behörde ist allerdings nicht nur dann geboten, wenn zwei Tatbestände in allen ihren tatsächlichen Elementen absolut identisch sind, sondern auch, wenn die im Hinblick auf die zu erlassende oder anzuwendende Norm relevanten Tatsachen gleich sind (HÄFELIN/MÜLLER/UHLMANN, a.a.O., Rz. 495). Der Grundsatz der Gesetzmässigkeit der Verwaltung geht dem Rechtsgleichheitsprinzip im Konfliktfall in der Regel vor. Wenn eine Behörde in einem Fall eine vom Gesetz abweichende Entscheidung getroffen hat, gibt das den Privaten, die sich in der gleichen Lage befinden, grundsätzlich keinen Anspruch darauf, ebenfalls abweichend von der Norm behandelt zu werden (keine Gleichbehandlung im Unrecht). Dies gilt allerdings nur dann, wenn die abweichende Behandlung lediglich in einem einzigen oder in einigen wenigen Fällen erfolgt ist. Besteht hingegen eine eigentliche Praxis und lehnt es die Behörde ab, diese aufzugeben, so können Private verlangen, dass die widerrechtliche Begünstigung, die Dritten zuteil wurde, auch ihnen gewährt werde (Urteil des Bundesverwaltungsgerichts A-5541/2008 vom 2. Juli 2009 E. 5.1 mit Hinweisen; HÄFELIN/MÜLLER/UHLMANN, a.a.O., Rz. 518). Das von der Beklagten als Vergleich herangezogene Zugangssystem der Bergbahnen unterscheidet sich in wesentlichen Zügen von ihrem Zugangssystem. Wie der Kläger ausführt, waren die biometrischen Daten beim Zugangssystem der Bergbahnen in keiner Art und Weise Bestandteil der vorgenommenen Sachverhaltsabklärung, d.h. solche werden dabei offenbar auch nicht verwendet. Insofern unterscheiden sie sich in relevanten Tatsachen und taugen daher nicht für einen Vergleich. Im Übrigen ist der Kläger gewillt, die einmal entwickelte Rechtsprechung in Bezug auf die gleichartige Bearbeitung biometrischer Daten in sämtlichen Bereichen anzuwenden und so einer einheitlichen Handhabung zu Durchbruch zu verhelfen.

8.
Aus diesen Gründen ist die Klage im Sinne der Erwägungen gutzuheissen.

9.
Gemäss Art. 69 Abs. 1 BZP entscheidet das Gericht über die Prozesskosten von Amtes wegen nach den Art. 65 , 66 und 68 des Bundesgerichtsgesetzes vom 17. Juni 2005 (BGG, SR 173.110). Die Gerichtskosten bestehen in der Gerichtsgebühr, der Gebühr für das Kopieren von Rechtsschriften, den Auslagen für Übersetzungen, ausgenommen solche zwischen Amtssprachen, und den Entschädigungen für Sachverständige sowie für Zeugen und Zeuginnen. Die Gerichtsgebühr richtet sich nach Streitwert, Umfang und Schwierigkeit der Sache, Art der Prozessführung und finanzieller Lage der Parteien. Sie beträgt in der Regel zwischen 200-5000 Franken in Streitigkeiten ohne Vermögensinteresse (Art. 65 Abs. 1 bis 3 Bst. a BGG). Für das vorliegende Klageverfahren werden die Kosten auf Fr. 1'500.-- bestimmt.

9.1 Nach Art. 66 BGG werden die Gerichtskosten in der Regel der unterliegenden Partei auferlegt. Vorliegend besteht kein Anlass, von dieser Regel abzuweichen. Gemäss Ausgang dieses Verfahrens trägt daher die Beklagte als unterliegende Partei die Verfahrenskosten in der Höhe von Fr. 1'500.--. Der Betrag ist innert 30 Tagen nach Eintritt der Rechtskraft des vorliegenden Urteils zu Gunsten der Gerichtskasse zu überweisen.

9.2 Im Urteil wird bestimmt, ob und in welchem Mass die Kosten der obsiegenden Partei von der unterliegenden zu ersetzen sind. Bund, Kantonen und Gemeinden sowie mit öffentlich-rechtlichen Aufgaben betrauten Organisationen wird in der Regel keine Parteikostenentschädigung zugesprochen, wenn sie in ihrem amtlichen Wirkungskreis obsiegen (Art. 68 Abs. 1 und 3 BGG). Der obsiegende Kläger hat in diesem Sinne keinen Anspruch auf eine Parteikostenentschädigung.

Demnach erkennt das Bundesverwaltungsgericht:

1.
Die Klage wird im Sinne der Erwägungen gutgeheissen.

2.
Die Verfahrenskosten von Fr. 1'500.-- werden der Beklagten auferlegt. Der Betrag ist innert 30 Tagen nach Eintritt der Rechtskraft des vorliegenden Urteils zu Gunsten der Gerichtskasse zu überweisen. Die Zustellung des Einzahlungsscheins erfolgt mit separater Post.

3.
Es wird keine Parteikostenentschädigung gesprochen.

4.
Dieses Urteil geht an:
den Kläger (Gerichtsurkunde)
die Beklagte (Gerichtsurkunde)

Der vorsitzende Richter: Der Gerichtsschreiber:

André Moser Stefan von Gunten

Rechtsmittelbelehrung:
Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bundesgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Angelegenheiten geführt werden (Art. 82 ff ., 90 ff. und 100 des Bundesgerichtsgesetzes vom 17. Juni 2005 [BGG, SR 173.110]). Die Rechtsschrift ist in einer Amtssprache abzufassen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie die beschwerdeführende Partei in Händen hat, beizulegen (vgl. Art. 42 BGG).

Versand:

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 29 Restrizioni del diritto di farsi consegnare dati o di esigerne la trasmissione a terzi - 1 Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
¹	Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
²	Il titolare del trattamento indica il motivo per cui rifiuta, limita o differisce la consegna o la trasmissione.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 29 Restrizioni del diritto di farsi consegnare dati o di esigerne la trasmissione a terzi - 1 Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
¹	Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
²	Il titolare del trattamento indica il motivo per cui rifiuta, limita o differisce la consegna o la trasmissione.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 29 Restrizioni del diritto di farsi consegnare dati o di esigerne la trasmissione a terzi - 1 Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
¹	Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
²	Il titolare del trattamento indica il motivo per cui rifiuta, limita o differisce la consegna o la trasmissione.

SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 35 Principio - Il Tribunale amministrativo federale giudica su azione in prima istanza:
^a	le controversie derivanti da contratti di diritto pubblico sottoscritti dalla Confederazione, dai suoi stabilimenti, dalle sue aziende o dalle organizzazioni ai sensi dell'articolo 33 lettera h;
^b	...
^c	le controversie tra la Confederazione e la Banca nazionale concernenti le convenzioni sui servizi bancari e sulla distribuzione dell'utile;
^d	le domande di confisca di valori patrimoniali conformemente alla legge del 18 dicembre 201552 sui valori patrimoniali di provenienza illecita.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 29 Restrizioni del diritto di farsi consegnare dati o di esigerne la trasmissione a terzi - 1 Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
¹	Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
²	Il titolare del trattamento indica il motivo per cui rifiuta, limita o differisce la consegna o la trasmissione.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
¹	La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
^a	privati;
^b	organi federali.
²	Non si applica al trattamento di dati personali da parte:
^a	di persone fisiche per uso esclusivamente personale;
^b	delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
^c	dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
³	Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
⁴	I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
¹	La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
²	Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.

SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 44 - 1 Se il Tribunale amministrativo federale giudica in prima istanza, la procedura è retta dagli articoli 3-73 e 79-85 della legge del 4 dicembre 194760 di procedura civile federale.
¹	Se il Tribunale amministrativo federale giudica in prima istanza, la procedura è retta dagli articoli 3-73 e 79-85 della legge del 4 dicembre 194760 di procedura civile federale.
²	Il Tribunale amministrativo federale accerta d'ufficio i fatti.
³	Le tasse di giustizia e le spese ripetibili sono rette dagli articoli 63-65 PA61.62

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 3 - 1 Il giudice esamina d'ufficio l'ammissibilità della petizione e di tutti gli ulteriori atti processuali.
¹	Il giudice esamina d'ufficio l'ammissibilità della petizione e di tutti gli ulteriori atti processuali.
²	Il giudice non può pronunciare oltre i limiti delle conclusioni delle parti e deve fondare il suo giudizio solamente su fatti allegati nel corso della procedura. Egli deve tuttavia richiamare l'attenzione delle parti sull'insufficienza delle loro conclusioni e adoperarsi affinché indichino in modo completo i dati e i mezzi di prova necessari all'accertamento del vero stato di fatto. A questo scopo, egli può interpellare le parti personalmente in ogni stadio della causa.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 73 - 1 La transazione conclusa tra le parti davanti al giudice o consegnata al giudice per essere registrata a verbale, come pure la desistenza d'una parta, terminano il processo.
¹	La transazione conclusa tra le parti davanti al giudice o consegnata al giudice per essere registrata a verbale, come pure la desistenza d'una parta, terminano il processo.
²	La transazione giudiziale può anche estendersi a punti i quali, benché estranei al processo, sono litigiosi tra le parti o tra una parte e un terzo, in quanto ciò agevoli la fine del processo.
³	Quando in via d'eccezione il convenuto allega che la pretesa è inesigibile o dipende da una condizione od oppone un vizio di forma, l'attore può ritirare la sua azione riservando d'introdurla di nuovo dopo che la pretesa sarà esigibile, la condizione adempita o il vizio di forma tolto.
⁴	La transazione giudiziale e la desistenza sono esecutive come la sentenza.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 79 - 1 Il giudice può ordinare provvedimenti d'urgenza:
¹	Il giudice può ordinare provvedimenti d'urgenza:
^a	per tutelare il possessore contro ogni atto d'usurpazione o di turbativa e far rientrare una parte in possesso di una cosa indebitamente ritenuta;
^b	per impedire un danno difficilmente riparabile e imminente, in modo particolare il danno derivante dalla mutazione, prima che sia introdotta l'azione o in corso di causa, dello stato di fatto esistente.
²	Non possono essere presi provvedimenti d'urgenza per la sicurezza di crediti sottoposti alla legge federale dell'11 aprile 188936 sull'esecuzione e sul fallimento.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 4 Incaricato federale della protezione dei dati e della trasparenza - 1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
¹	L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
²	Non sono sottoposti alla vigilanza dell'IFPDT:
^a	l'Assemblea federale;
^b	il Consiglio federale;
^c	i tribunali della Confederazione;
^d	il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;
^e	le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale.

SR 101 Costituzione federale della Confederazione Svizzera del 18 aprile 1999 Cost. Art. 13 Protezione della sfera privata - 1 Ognuno ha diritto al rispetto della sua vita privata e familiare, della sua abitazione, della sua corrispondenza epistolare nonché delle sue relazioni via posta e telecomunicazioni.
¹	Ognuno ha diritto al rispetto della sua vita privata e familiare, della sua abitazione, della sua corrispondenza epistolare nonché delle sue relazioni via posta e telecomunicazioni.
²	Ognuno ha diritto d'essere protetto da un impiego abusivo dei suoi dati personali.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 12 Registro delle attività di trattamento - 1 I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
¹	I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
²	Il registro del titolare del trattamento contiene almeno:
^a	l'identità del titolare del trattamento;
^b	lo scopo del trattamento;
^c	una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
^d	le categorie di destinatari;
^e	se possibile, la durata di conservazione dei dati personali o i criteri per determinare tale durata;
^f	se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l'articolo 8;
^g	se i dati personali sono comunicati all'estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all'articolo 16 capoverso 2.
³	Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella del titolare del trattamento, alle categorie dei trattamenti eseguiti su incarico del titolare del trattamento, come pure le indicazioni di cui al capoverso 2 lettere f e g.
⁴	Gli organi federali notificano i loro registri all'IFPDT.
⁵	Il Consiglio federale prevede eccezioni per le imprese con meno di 250 collaboratori i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 36 Comunicazione di dati personali - 1 Gli organi federali hanno il diritto di comunicare dati personali soltanto se lo prevede una base legale ai sensi dell'articolo 34 capoversi 1-3.
¹	Gli organi federali hanno il diritto di comunicare dati personali soltanto se lo prevede una base legale ai sensi dell'articolo 34 capoversi 1-3.
²	In deroga al capoverso 1, gli organi federali possono, nel caso specifico, comunicare dati personali se:
^a	la comunicazione è indispensabile all'adempimento dei compiti legali del titolare del trattamento o del destinatario;
^b	la persona interessata ha dato il suo consenso alla comunicazione;
^c	la comunicazione è necessaria per proteggere la vita o l'integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine ragionevole;
^d	la persona interessata ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente alla comunicazione; o
^e	il destinatario rende verosimile che la persona interessata rifiuta di dare il proprio consenso, oppure si oppone alla comunicazione, al solo scopo di impedirgli l'attuazione di pretese giuridiche o la difesa di altri interessi degni di protezione; la persona interessata deve previamente essere invitata a pronunciarsi, salvo che ciò sia impossibile o richieda un onere sproporzionato.
³	Nell'ambito dell'informazione ufficiale del pubblico, gli organi federali possono inoltre comunicare dati personali d'ufficio o in virtù della legge del 17 dicembre 20048 sulla trasparenza se:
^a	i dati sono in rapporto con l'adempimento di compiti pubblici; e
^b	sussiste un interesse pubblico preponderante alla comunicazione dei dati.
⁴	Gli organi federali possono comunicare, su richiesta, cognome, nome, indirizzo e data di nascita di una persona anche se le condizioni del capoverso 1 o 2 non sono adempiute.
⁵	Gli organi federali possono rendere accessibili a chiunque dati personali mediante servizi di informazione e comunicazione automatizzati se una base legale prevede la pubblicazione di questi dati oppure se comunicano dati in virtù del capoverso 3. Se cessa l'interesse pubblico a renderli accessibili a chiunque, i dati contenuti nel servizio di informazione e comunicazione automatizzato sono cancellati.
⁶	Gli organi federali rifiutano o limitano la comunicazione, oppure la vincolano a oneri, se lo esige:
^a	un importante interesse pubblico o un interesse manifestamente degno di protezione della persona interessata; o
^b	un obbligo legale di serbare il segreto o una disposizione speciale concernente la protezione dei dati.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 69 - 1 Il tribunale statuisce d'ufficio sulle spese processuali giusta gli articoli 65, 66 e 68 LTF30.31
¹	Il tribunale statuisce d'ufficio sulle spese processuali giusta gli articoli 65, 66 e 68 LTF30.31
²	Il tribunale decide, secondo il suo apprezzamento, se, in caso di più attori o convenuti, essi sopportano le spese o ne possono chiedere la rifusione solidalmente ed in quale misura nei loro rapporti interni, oppure per quote uguali, oppure proporzionalmente al loro interesse nella causa. Statuisce altresì in quale misura l'intervenuto contribuisce alle spese giudiziarie e a quelle dell'avversario della parte ch'esso sostiene o può farsi rifondere da questo le sue proprie spese.
³	Le parti presentano, prima della sentenza, una nota specificata delle loro spese.

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 65 Spese giudiziarie - 1 Le spese giudiziarie comprendono la tassa di giustizia, l'emolumento per la copia di atti scritti, le spese per le traduzioni in o da una lingua non ufficiale e le indennità versate a periti e testimoni.
¹	Le spese giudiziarie comprendono la tassa di giustizia, l'emolumento per la copia di atti scritti, le spese per le traduzioni in o da una lingua non ufficiale e le indennità versate a periti e testimoni.
²	La tassa di giustizia è stabilita in funzione del valore litigioso, dell'ampiezza e della difficoltà della causa, del modo di condotta processuale e della situazione finanziaria delle parti.
³	Di regola, il suo importo è di:
^a	200 a 5000 franchi nelle controversie senza interesse pecuniario;
^b	200 a 100 000 franchi nelle altre controversie.
⁴	È di 200 a 1000 franchi, a prescindere dal valore litigioso, nelle controversie:
^a	concernenti prestazioni di assicurazioni sociali;
^b	concernenti discriminazioni fondate sul sesso;
^c	risultanti da un rapporto di lavoro, sempreché il valore litigioso non superi 30 000 franchi;
^d	secondo gli articoli 7 e 8 della legge del 13 dicembre 200223 sui disabili.
⁵	Se motivi particolari lo giustificano, il Tribunale federale può aumentare tali importi, ma al massimo fino al doppio nei casi di cui al capoverso 3 e fino a 10 000 franchi nei casi di cui al capoverso 4.

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 66 Onere e ripartizione delle spese giudiziarie - 1 Di regola, le spese giudiziarie sono addossate alla parte soccombente. Se le circostanze lo giustificano, il Tribunale federale può ripartirle in modo diverso o rinunciare ad addossarle alle parti.
¹	Di regola, le spese giudiziarie sono addossate alla parte soccombente. Se le circostanze lo giustificano, il Tribunale federale può ripartirle in modo diverso o rinunciare ad addossarle alle parti.
²	In caso di desistenza o di transazione, il Tribunale federale può rinunciare in tutto o in parte a riscuotere le spese giudiziarie.
³	Le spese inutili sono pagate da chi le causa.
⁴	Alla Confederazione, ai Cantoni, ai Comuni e alle organizzazioni incaricate di compiti di diritto pubblico non possono di regola essere addossate spese giudiziarie se, senza avere alcun interesse pecuniario, si rivolgono al Tribunale federale nell'esercizio delle loro attribuzioni ufficiali o se le loro decisioni in siffatte controversie sono impugnate mediante ricorso.
⁵	Salvo diversa disposizione, le spese giudiziarie addossate congiuntamente a più persone sono da queste sostenute in parti eguali e con responsabilità solidale.

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 68 Spese ripetibili - 1 Nella sentenza il Tribunale federale determina se e in che misura le spese della parte vincente debbano essere sostenute da quella soccombente.
¹	Nella sentenza il Tribunale federale determina se e in che misura le spese della parte vincente debbano essere sostenute da quella soccombente.
²	La parte soccombente è di regola tenuta a risarcire alla parte vincente, secondo la tariffa del Tribunale federale, tutte le spese necessarie causate dalla controversia.
³	Alla Confederazione, ai Cantoni, ai Comuni e alle organizzazioni incaricate di compiti di diritto pubblico non sono di regola accordate spese ripetibili se vincono una causa nell'esercizio delle loro attribuzioni ufficiali.
⁴	Si applica per analogia l'articolo 66 capoversi 3 e 5.
⁵	Il Tribunale federale conferma, annulla o modifica, a seconda dell'esito del procedimento, la decisione sulle spese ripetibili pronunciata dall'autorità inferiore. Può stabilire esso stesso l'importo di tali spese secondo la tariffa federale o cantonale applicabile o incaricarne l'autorità inferiore.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 13 Certificazione - 1 I fornitori di programmi o sistemi di trattamento di dati personali come pure i titolari e i responsabili del trattamento possono sottoporre i loro sistemi, prodotti e servizi a una valutazione da parte di organismi di certificazione indipendenti riconosciuti.
¹	I fornitori di programmi o sistemi di trattamento di dati personali come pure i titolari e i responsabili del trattamento possono sottoporre i loro sistemi, prodotti e servizi a una valutazione da parte di organismi di certificazione indipendenti riconosciuti.
²	Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull'introduzione di un marchio di qualità inerente alla protezione dei dati. Tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 7 Protezione dei dati personali sin dalla progettazione e per impostazione predefinita - 1 Il titolare del trattamento è tenuto ad adottare i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati personali sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all'articolo 6. Li adotta sin dalla progettazione.
¹	Il titolare del trattamento è tenuto ad adottare i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati personali sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all'articolo 6. Li adotta sin dalla progettazione.
²	I provvedimenti tecnici e organizzativi devono essere adeguati in particolare allo stato della tecnica, al tipo e all'entità del trattamento dei dati personali come pure ai rischi derivanti dal trattamento per la personalità o i diritti fondamentali delle persone interessate.
³	Il titolare del trattamento è tenuto a garantire, mediante appropriate impostazioni predefinite, che il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito, salvo che la persona interessata disponga altrimenti.

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 82 Principio - Il Tribunale federale giudica i ricorsi:
^a	contro le decisioni pronunciate in cause di diritto pubblico;
^b	contro gli atti normativi cantonali;
^c	concernenti il diritto di voto dei cittadini nonché le elezioni e votazioni popolari.

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 42 Atti scritti - 1 Gli atti scritti devono essere redatti in una lingua ufficiale, contenere le conclusioni, i motivi e l'indicazione dei mezzi di prova ed essere firmati.
¹	Gli atti scritti devono essere redatti in una lingua ufficiale, contenere le conclusioni, i motivi e l'indicazione dei mezzi di prova ed essere firmati.
²	Nei motivi occorre spiegare in modo conciso perché l'atto impugnato viola il diritto. Qualora il ricorso sia ammissibile soltanto se concerne una questione di diritto di importanza fondamentale o un caso particolarmente importante per altri motivi, occorre spiegare perché la causa adempie siffatta condizione.14 15
³	Se sono in possesso della parte, i documenti indicati come mezzi di prova devono essere allegati; se l'atto scritto è diretto contro una decisione, anche questa deve essere allegata.
⁴	In caso di trasmissione per via elettronica, la parte o il suo patrocinatore deve munire l'atto scritto di una firma elettronica qualificata secondo la legge del 18 marzo 201616 sulla firma elettronica. Il Tribunale federale determina mediante regolamento:
^a	il formato dell'atto scritto e dei relativi allegati;
^b	le modalità di trasmissione;
^c	le condizioni alle quali può essere richiesta la trasmissione successiva di documenti cartacei in caso di problemi tecnici.17
⁵	Se mancano la firma della parte o del suo patrocinatore, la procura dello stesso o gli allegati prescritti, o se il patrocinatore non è autorizzato in quanto tale, è fissato un congruo termine per sanare il vizio, con la comminatoria che altrimenti l'atto scritto non sarà preso in considerazione.
⁶	Gli atti illeggibili, sconvenienti, incomprensibili, prolissi o non redatti in una lingua ufficiale possono essere del pari rinviati al loro autore affinché li modifichi.
⁷	Gli atti scritti dovuti a condotta processuale da querulomane o altrimenti abusiva sono inammissibili.