Bundesgericht
Tribunal fédéral
Tribunale federale
Tribunal federal

{T 1/2}
1C 285/2009

Urteil vom 8. September 2010
I. öffentlich-rechtliche Abteilung

Besetzung
Bundesrichter Féraud, Präsident,
Bundesrichter Reeb, Raselli, Fonjallaz, Eusebio,
Gerichtsschreiber Dold.

Verfahrensbeteiligte
Eidgenössischer Datenschutz- und
Öffentlichkeitsbeauftragter EDÖB,
Beschwerdeführer,

gegen

Logistep AG,
Beschwerdegegnerin,
vertreten durch Rechtsanwältin Ursula Sury.

Gegenstand
Umsetzung einer Empfehlung des EDÖB,

Beschwerde gegen den Entscheid vom 27. Mai 2009
des Bundesverwaltungsgerichts, Abteilung I.

Sachverhalt:

A.
Am 9. Januar 2008 erliess der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine Empfehlung an die Adresse der Logistep AG. Er hielt fest, die Logistep AG suche mittels der von ihr entwickelten Software in verschiedenen Peer-to-Peer-Netzwerken (auch P2P-Netzwerke genannt) nach angebotenen urheberrechtlich geschützten Werken. Beim Herunterladen dieser Werke würden folgende Übermittlungsdaten aufgezeichnet und in einer Datenbank abgespeichert:
der Benutzername des Nutzers des P2P-Netzwerks;
die IP-Adresse (Internetworking Protocol Address) des verwendeten Internetanschlusses;
die GUID (eine Identifikationsnummer der vom Anbieter des urheberrechtlich geschützten Werks verwendeten Software);
das verwendete P2P-Netzwerkprotokoll;
der Name und elektronische Fingerabdruck (Hashcode) des urheberrechtlich geschützten Werks;
das Datum, die Uhrzeit und der Zeitraum der Verbindung zwischen der Software der Logistep AG und der Software des Anbieters des jeweiligen urheberrechtlich geschützten Werks.
Die so erhobenen Daten würden anschliessend an die Urheberrechtsinhaber weitergegeben und von diesen zur Identifikation des Inhabers des Internetanschlusses verwendet. Zu diesem Zweck reichten die Urheberrechtsinhaber unter anderem Strafanzeige gegen Unbekannt ein und verschafften sich die Identitätsdaten im Rahmen des Akteneinsichtsrechts. Diese Daten würden sodann zur Geltendmachung von Schadenersatzforderungen verwendet. Der EDÖB gelangte zum Schluss, dass die Bearbeitungsmethoden der Logistep AG geeignet seien, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Art. 29 Abs. 1 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz [DSG; SR 235.1]). Daher empfahl er dieser mit Schreiben vom 9. Januar 2008 gestützt auf Art. 29 Abs. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
DSG, die Datenbearbeitung unverzüglich einzustellen, solange keine ausreichende gesetzliche Grundlage für eine zivilrechtliche Nutzung der durch sie erhobenen Daten bestehe.

Nachdem die Logistep AG die Empfehlung mit Schreiben vom 14. Februar 2008 abgelehnt hatte, legte der EDÖB die Angelegenheit mit Klage vom 13. Mai 2008 dem Bundesverwaltungsgericht zum Entscheid vor. Er beantragte in erster Linie, die Logistep AG sei aufzufordern, die von ihr praktizierte Datenbearbeitung (inklusive der Weitergabe an die Urheberrechtsinhaber) unverzüglich einzustellen, solange keine ausreichende gesetzliche Grundlage für eine generelle Überwachung von Peer-to-Peer-Netzwerken bestehe. Die Logistep AG ihrerseits beantragte in ihrer Klageantwort, die Eingabe des Klägers sei infolge gravierender formeller Mängel zur befristeten Nachbesserung zurückzuweisen und ihr selbst sei anschliessend neu Frist zur Einreichung einer Klageantwort anzusetzen. Eventualiter seien die Anträge des Klägers abzuweisen, soweit darauf überhaupt einzutreten sei. Der Kläger sei zu verpflichten, seine Empfehlung zurückzuziehen, subeventualiter im Sinne der Erwägungen des Bundesverwaltungsgerichts anzupassen. Zudem sei der Kläger zu verpflichten, die schweizerische Presse und Öffentlichkeit umfassend und aktiv hinsichtlich des Urteils des Bundesverwaltungsgerichts zu orientieren; dies alles unter Kosten- und Entschädigungsfolgen zu Lasten des
Klägers.

Mit Urteil vom 27. Mai 2009 wies das Bundesverwaltungsgericht die Klage ab und hob die Empfehlung des EDÖB vom 9. Januar 2008 auf. Im Übrigen wies es die Begehren der Beklagten ab, soweit es darauf eintrat.

B.
Mit Beschwerde in öffentlich-rechtlichen Angelegenheiten an das Bundesgericht vom 26. Juni 2009 beantragt der EDÖB, die Logistep AG sei anzuweisen, ihre Datenbearbeitung unverzüglich einzustellen. Ihr sei jegliche Weitergabe von gesammelten Peer-to-Peer-Daten an die Urheberrechtsinhaber zu untersagen. Die Kosten- und Entschädigungsfolgen seien zu Lasten der Beschwerdegegnerin festzulegen.

In seiner Vernehmlassung vom 17. Juli 2009 beantragt das Bundesverwaltungsgericht die Abweisung der Beschwerde, soweit darauf einzutreten sei. Die Beschwerdegegnerin beantragt in ihrer Stellungnahme vom 23. September 2009 in erster Linie, die Beschwerde sei abzuweisen und der Beschwerdeführer sei zu verpflichten, die schweizerische Presse und Öffentlichkeit umfassend und aktiv hinsichtlich des Urteils des Bundesgerichts in der vorliegenden Beschwerdesache zu orientieren.

C.
Die I. öffentlich-rechtliche Abteilung des Bundesgerichts hat die Angelegenheit am 8. September 2010 an einer öffentlichen Sitzung beraten.
Erwägungen:

1.
1.1 Angefochten ist ein Endentscheid des Bundesverwaltungsgerichts über eine Empfehlung des EDÖB (Art. 86 Abs. 1 lit. a
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 86 Autorités précédentes en général - 1 Le recours est recevable contre les décisions:
1    Le recours est recevable contre les décisions:
a  du Tribunal administratif fédéral;
b  du Tribunal pénal fédéral;
c  de l'Autorité indépendante d'examen des plaintes en matière de radio-télévision;
d  des autorités cantonales de dernière instance, pour autant que le recours devant le Tribunal administratif fédéral ne soit pas ouvert.
2    Les cantons instituent des tribunaux supérieurs qui statuent comme autorités précédant immédiatement le Tribunal fédéral, sauf dans les cas où une autre loi fédérale prévoit qu'une décision d'une autre autorité judiciaire peut faire l'objet d'un recours devant le Tribunal fédéral.
3    Pour les décisions revêtant un caractère politique prépondérant, les cantons peuvent instituer une autorité autre qu'un tribunal.
und Art. 90
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 90 Décisions finales - Le recours est recevable contre les décisions qui mettent fin à la procédure.
BGG). Gemäss Art. 29 Abs. 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
Satz 2 DSG i.V.m. Art. 89 Abs. 2 lit. d
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 89 Qualité pour recourir - 1 A qualité pour former un recours en matière de droit public quiconque:
1    A qualité pour former un recours en matière de droit public quiconque:
a  a pris part à la procédure devant l'autorité précédente ou a été privé de la possibilité de le faire;
b  est particulièrement atteint par la décision ou l'acte normatif attaqué, et
c  a un intérêt digne de protection à son annulation ou à sa modification.
2    Ont aussi qualité pour recourir:
a  la Chancellerie fédérale, les départements fédéraux ou, pour autant que le droit fédéral le prévoie, les unités qui leur sont subordonnées, si l'acte attaqué est susceptible de violer la législation fédérale dans leur domaine d'attributions;
b  l'organe compétent de l'Assemblée fédérale en matière de rapports de travail du personnel de la Confédération;
c  les communes et les autres collectivités de droit public qui invoquent la violation de garanties qui leur sont reconnues par la constitution cantonale ou la Constitution fédérale;
d  les personnes, organisations et autorités auxquelles une autre loi fédérale accorde un droit de recours.
3    En matière de droits politiques (art. 82, let. c), quiconque a le droit de vote dans l'affaire en cause a qualité pour recourir.
BGG ist der EDÖB berechtigt, gegen diesen Entscheid Beschwerde zu führen.

Der angefochtene Entscheid betrifft eine Empfehlung des EDÖB im Privatrechtsbereich (Art. 29
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
DSG). Es stellt sich die Frage, ob nicht statt der Beschwerde in öffentlich-rechtlichen Angelegenheiten nach Art. 82 ff
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 82 Principe - Le Tribunal fédéral connaît des recours:
a  contre les décisions rendues dans des causes de droit public;
b  contre les actes normatifs cantonaux;
c  qui concernent le droit de vote des citoyens ainsi que les élections et votations populaires.
. BGG die Beschwerde in Zivilsachen nach Art. 72 ff
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 72 Principe - 1 Le Tribunal fédéral connaît des recours contre les décisions rendues en matière civile.
1    Le Tribunal fédéral connaît des recours contre les décisions rendues en matière civile.
2    Sont également sujettes au recours en matière civile:
a  les décisions en matière de poursuite pour dettes et de faillite;
b  les décisions prises en application de normes de droit public dans des matières connexes au droit civil, notamment les décisions:
b1  sur la reconnaissance et l'exécution de décisions ainsi que sur l'entraide en matière civile,
b2  sur la tenue des registres foncier, d'état civil et du commerce, ainsi que des registres en matière de protection des marques, des dessins et modèles, des brevets d'invention, des obtentions végétales et des topographies,
b3  sur le changement de nom,
b4  en matière de surveillance des fondations, à l'exclusion des institutions de prévoyance et de libre passage,
b5  en matière de surveillance des exécuteurs testamentaires et autres représentants successoraux,
b6  les décisions prises dans le domaine de la protection de l'enfant et de l'adulte,
b7  ...
. BGG zu erheben gewesen wäre. Die Frage ist aus folgenden Gründen zu verneinen. Das Verfahren wurde vom der Bundesverwaltung angehörenden EDÖB eingeleitet und richtet sich gegen ein Privatrechtssubjekt. Die beiden stehen sich nicht als einander gleichgestellte Rechtssubjekte gegenüber. Zwar ist es dem EDÖB verwehrt, Verfügungen zu erlassen, doch sind private Personen unter Androhung der Busse verpflichtet, bei seinen Abklärungen mitzuwirken (Art. 34 Abs. 2 lit. b
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 34 Bases légales - 1 Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.
1    Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale.
2    La base légale doit être prévue dans une loi au sens formel dans les cas suivants:
a  il s'agit d'un traitement de données sensibles;
b  il s'agit d'un profilage;
c  la finalité ou le mode du traitement de données personnelles est susceptible de porter gravement atteinte aux droits fondamentaux de la personne concernée.
3    Pour les traitements de données personnelles visés à l'al. 2, let. a et b, une base légale prévue dans une loi au sens matériel suffit si les conditions suivantes sont réunies:
a  le traitement est indispensable à l'accomplissement d'une tâche définie dans une loi au sens formel;
b  la finalité du traitement ne présente pas de risques particuliers pour les droits fondamentaux de la personne concernée.
4    En dérogation aux al. 1 à 3, les organes fédéraux peuvent traiter des données personnelles si l'une des conditions suivantes est remplie:
a  le Conseil fédéral a autorisé le traitement, considérant que les droits des personnes concernées ne sont pas menacés;
b  la personne concernée a consenti au traitement en l'espèce ou a rendu ses données personnelles accessibles à tout un chacun et ne s'est pas opposée expressément au traitement;
c  le traitement est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'un tiers et il n'est pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable.
DSG). Zudem geht es gerade bei der Bestimmung von Art. 29 Abs. 1 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
DSG, auf die der EDÖB im vorliegenden Fall seine Empfehlung stützte, um Gefährdungen der Persönlichkeit, welche überindividuellen Charakter besitzen und damit öffentliche Interessen betreffen (vgl. Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 II 479 Ziff. 221.5; RENÉ HUBER, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 7 zu Art. 29
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
DSG; DAVID ROSENTHAL, in: Handkommentar zum Datenschutzgesetz, 2008,
N. 11 zu Art. 29
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
DSG). Der Entscheid des Bundesverwaltungsgerichts betrifft folglich eine Angelegenheit des öffentlichen Rechts, womit sich die Beschwerde in öffentlich-rechtlichen Angelegenheiten als das zutreffende Rechtsmittel erweist.

Die weiteren Sachurteilsvoraussetzungen geben zu keinen Bemerkungen Anlass. Auf die Beschwerde des EDÖB ist im Grundsatz einzutreten.

1.2 Das Bundesgericht legt seinem Urteil den von der Vorinstanz festgestellten Sachverhalt zugrunde (Art. 105 Abs. 1
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 105 Faits déterminants - 1 Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
1    Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
2    Il peut rectifier ou compléter d'office les constatations de l'autorité précédente si les faits ont été établis de façon manifestement inexacte ou en violation du droit au sens de l'art. 95.
3    Lorsque la décision qui fait l'objet d'un recours concerne l'octroi ou le refus de prestations en espèces de l'assurance-accidents ou de l'assurance militaire, le Tribunal fédéral n'est pas lié par les faits établis par l'autorité précédente.99
BGG). Soweit die vorinstanzlichen Sachverhaltsfeststellungen beanstandet werden und eine mangelhafte Sachverhaltsfeststellung für den Ausgang des Verfahrens entscheidend ist, kann nur geltend gemacht werden, die Feststellungen seien offensichtlich unrichtig oder beruhten auf einer Rechtsverletzung im Sinne von Art. 95
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 95 Droit suisse - Le recours peut être formé pour violation:
a  du droit fédéral;
b  du droit international;
c  de droits constitutionnels cantonaux;
d  de dispositions cantonales sur le droit de vote des citoyens ainsi que sur les élections et votations populaires;
e  du droit intercantonal.
BGG (Art. 97 Abs. 1
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 97 Établissement inexact des faits - 1 Le recours ne peut critiquer les constatations de fait que si les faits ont été établis de façon manifestement inexacte ou en violation du droit au sens de l'art. 95, et si la correction du vice est susceptible d'influer sur le sort de la cause.
1    Le recours ne peut critiquer les constatations de fait que si les faits ont été établis de façon manifestement inexacte ou en violation du droit au sens de l'art. 95, et si la correction du vice est susceptible d'influer sur le sort de la cause.
2    Si la décision qui fait l'objet d'un recours concerne l'octroi ou le refus de prestations en espèces de l'assurance-accidents ou de l'assurance militaire, le recours peut porter sur toute constatation incomplète ou erronée des faits.89
und Art. 105 Abs. 2
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 105 Faits déterminants - 1 Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
1    Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
2    Il peut rectifier ou compléter d'office les constatations de l'autorité précédente si les faits ont été établis de façon manifestement inexacte ou en violation du droit au sens de l'art. 95.
3    Lorsque la décision qui fait l'objet d'un recours concerne l'octroi ou le refus de prestations en espèces de l'assurance-accidents ou de l'assurance militaire, le Tribunal fédéral n'est pas lié par les faits établis par l'autorité précédente.99
BGG). Eine entsprechende Rüge ist substanziiert vorzubringen (Art. 42 Abs. 2
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 42 Mémoires - 1 Les mémoires doivent être rédigés dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signés.
1    Les mémoires doivent être rédigés dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signés.
2    Les motifs doivent exposer succinctement en quoi l'acte attaqué viole le droit. Si le recours n'est recevable que lorsqu'il soulève une question juridique de principe ou qu'il porte sur un cas particulièrement important pour d'autres motifs, il faut exposer en quoi l'affaire remplit la condition exigée.15 16
3    Les pièces invoquées comme moyens de preuve doivent être jointes au mémoire, pour autant qu'elles soient en mains de la partie; il en va de même de la décision attaquée si le mémoire est dirigé contre une décision.
4    En cas de transmission électronique, le mémoire doit être muni de la signature électronique qualifiée de la partie ou de son mandataire au sens de la loi du 18 mars 2016 sur la signature électronique17. Le Tribunal fédéral détermine dans un règlement:
a  le format du mémoire et des pièces jointes;
b  les modalités de la transmission;
c  les conditions auxquelles il peut exiger, en cas de problème technique, que des documents lui soient adressés ultérieurement sur papier.18
5    Si la signature de la partie ou de son mandataire, la procuration ou les annexes prescrites font défaut, ou si le mandataire n'est pas autorisé, le Tribunal fédéral impartit un délai approprié à la partie pour remédier à l'irrégularité et l'avertit qu'à défaut le mémoire ne sera pas pris en considération.
6    Si le mémoire est illisible, inconvenant, incompréhensible ou prolixe ou qu'il n'est pas rédigé dans une langue officielle, le Tribunal fédéral peut le renvoyer à son auteur; il impartit à celui-ci un délai approprié pour remédier à l'irrégularité et l'avertit qu'à défaut le mémoire ne sera pas pris en considération.
7    Le mémoire de recours introduit de manière procédurière ou à tout autre égard abusif est irrecevable.
BGG). Vorbehalten bleibt die Sachverhaltsberichtigung von Amtes wegen nach Art. 105 Abs. 2
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 105 Faits déterminants - 1 Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
1    Le Tribunal fédéral statue sur la base des faits établis par l'autorité précédente.
2    Il peut rectifier ou compléter d'office les constatations de l'autorité précédente si les faits ont été établis de façon manifestement inexacte ou en violation du droit au sens de l'art. 95.
3    Lorsque la décision qui fait l'objet d'un recours concerne l'octroi ou le refus de prestations en espèces de l'assurance-accidents ou de l'assurance militaire, le Tribunal fédéral n'est pas lié par les faits établis par l'autorité précédente.99
BGG (BGE 135 III 127 E. 1.5 S. 129 f.; 133 II 249 E. 1.4.3 S. 254 f.; je mit Hinweisen).

Sowohl der Beschwerdeführer als auch die Beschwerdegegnerin stellen den Sachverhalt aus ihrer Sicht dar, jedoch ohne die diesbezüglichen Feststellungen des Bundesverwaltungsgerichts im vorangehend beschriebenen Sinne als fehlerhaft zu rügen. Soweit ihre Ausführungen von der Sachverhaltsfeststellung im angefochtenen Entscheid abweichen, ist darauf nicht einzutreten.

1.3 Die Beschwerdegegnerin hat gegen das Urteil des Bundesverwaltungsgerichts vom 27. Mai 2009 kein Rechtsmittel eingelegt. In ihrer Vernehmlassung zur vorliegenden Beschwerde beantragt sie, der Beschwerdeführer sei zu verpflichten, die schweizerische Presse und Öffentlichkeit umfassend und aktiv hinsichtlich des Urteils des Bundesgerichts in der vorliegenden Beschwerdesache zu orientieren. Damit geht sie über eine Stellungnahme zur Beschwerde der Gegenpartei hinaus. Dies ist unzulässig, denn das Bundesgerichtsgesetz sieht keine Anschlussbeschwerde vor (BGE 134 III 332 E. 2.5 S. 335 f. mit Hinweisen). Auf den Antrag ist nicht einzutreten.

2.
2.1 Der EDÖB wirft dem Bundesverwaltungsgericht vor, Art. 12 Abs. 2 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG falsch ausgelegt zu haben. Diese Bestimmung lässt seiner Ansicht nach in ihrer aktuellen Fassung keine Rechtfertigungsgründe mehr zu. Stattdessen müsse geprüft werden, ob ein Grundsatz der Datenbearbeitung verletzt worden sei. Dies erfordere eine Verhältnismässigkeitsprüfung, welche die bestehenden Rechtfertigungsgründe mitberücksichtige. Das Bundesverwaltungsgericht habe die dabei notwendige Interessenabwägung fehlerhaft vorgenommen, denn es bestünden keine überwiegenden privaten oder öffentlichen Interessen. Die Persönlichkeit der betroffenen Personen sei somit widerrechtlich verletzt worden. Indem die Vorinstanz dies verkannt habe, habe sie auch gegen das in Art. 4 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG verankerte Legalitätsprinzip verstossen.

2.2 Die Beschwerdegegnerin hält dem entgegen, bei den von ihr bearbeiteten IP-Adressen handle es sich nicht um Personendaten im Sinne von Art. 3 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG. Die Vorschriften des Datenschutzgesetzes fänden deshalb gar keine Anwendung. Im Übrigen wäre eine allfällige Verletzung der Persönlichkeit angesichts der überwiegenden privaten und öffentlichen Interessen nicht widerrechtlich. Entgegen der Ansicht des Beschwerdeführers müssten die in Art. 13
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG genannten Rechtfertigungsgründe in jedem Fall berücksichtigt werden.

2.3 Das Bundesverwaltungsgericht ging von der Anwendbarkeit des Datenschutzgesetzes aus, wies die Klage des EDÖB indessen wegen des Vorliegens von Rechtfertigungsgründen ab. Da von einer Aufhebung seines Entscheids auch dann abzusehen wäre, wenn dessen Ergebnis mit einer alternativen Begründung aufrechterhalten werden könnte (Urteil des Bundesgerichts 2P.172/2005 vom 25. Oktober 2005 E. 2), ist im Folgenden vorab die von der Beschwerdegegnerin in Frage gestellte Anwendbarkeit des Datenschutzgesetzes zu untersuchen. In einem zweiten Schritt ist zu prüfen, ob eine widerrechtliche Persönlichkeitsverletzung vorliegt.

3.
3.1 In Bezug auf die Anwendbarkeit des Datenschutzgesetzes ist in der Literatur die Meinung vertreten worden, dass IP-Adressen ausschliesslich in den Anwendungsbereich des Fernmeldegesetzes vom 30. April 1997 (FMG; SR 784.10) fallen, welches eine abschliessende Regelung enthalte. Dies wird damit begründet, dass es sich bei IP-Adressen um numerische Kommunikationsparameter und damit um Adressierungselemente im Sinne der Fernmeldegesetzgebung handle, die unter das Fernmeldegeheimnis gemäss Art. 43
SR 784.10 Loi du 30 avril 1997 sur les télécommunications (LTC)
LTC Art. 43 Obligation d'observer le secret - Il est interdit à toute personne qui a été ou qui est chargée d'assurer un service de télécommunication de donner à des tiers des renseignements sur les communications des usagers; de même, il lui est interdit de donner à quiconque la possibilité de communiquer de tels renseignements à des tiers.
FMG fielen (Daniel Kettiger, Rechtliche Rahmenbedingungen für Location Sharing Systeme in der Schweiz, Jusletter vom 9. August 2010, Rz. 20).

Richtig ist, dass es sich bei den IP-Adressen um Adressierungselemente im Sinne der Fernmeldegesetzgebung handelt. Das Fernmeldegeheimnis gilt jedoch von vornherein nur für denjenigen, der mit fernmeldedienstlichen Aufgaben "betraut" ist (Art. 43
SR 784.10 Loi du 30 avril 1997 sur les télécommunications (LTC)
LTC Art. 43 Obligation d'observer le secret - Il est interdit à toute personne qui a été ou qui est chargée d'assurer un service de télécommunication de donner à des tiers des renseignements sur les communications des usagers; de même, il lui est interdit de donner à quiconque la possibilité de communiquer de tels renseignements à des tiers.
FMG; vgl. BGE 126 I 50 E. 6a S. 65 mit Hinweis). Dies trifft auf die Beschwerdegegnerin nicht zu. Das Fernmeldegesetz steht damit im vorliegenden Fall der Anwendbarkeit des Datenschutzgesetzes nicht entgegen.

3.2 Personendaten (bzw. "Daten" im Sinne des Datenschutzgesetzes) sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG). Bei den betreffenden Informationen kann es sich sowohl um Tatsachenfeststellungen als auch um Werturteile handeln. Unerheblich ist, in welcher Form die Informationen auftreten (etwa als Zeichen, Wort, Bild, Ton oder eine Kombination davon) und wie der Datenträger beschaffen ist. Entscheidend ist, dass sich die Angaben einer oder mehreren Personen zuordnen lassen (URS BELSER, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 5 zu Art. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG).

Eine Person ist dann bestimmt, wenn sich aus der Information selbst ergibt, dass es sich genau um diese Person handelt. Bestimmbar ist die Person, wenn aufgrund zusätzlicher Informationen auf sie geschlossen werden kann. Für die Bestimmbarkeit genügt jedoch nicht jede theoretische Möglichkeit der Identifizierung. Ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird, liegt keine Bestimmbarkeit vor (BBl 1988 II 444 f. Ziff. 221.1). Die Frage ist abhängig vom konkreten Fall zu beantworten, wobei insbesondere auch die Möglichkeiten der Technik mitzuberücksichtigen sind, so zum Beispiel die im Internet verfügbaren Suchwerkzeuge. Von Bedeutung ist indessen nicht nur, welcher Aufwand objektiv erforderlich ist, um eine bestimmte Information einer Person zuordnen zu können, sondern auch, welches Interesse der Datenbearbeiter oder ein Dritter an der Identifizierung hat (BELSER, a.a.O., N. 6 zu Art. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG; ROSENTHAL, a.a.O., N. 24 f. zu Art. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG).

3.3 Bei den von der Beschwerdegegnerin bearbeiteten IP-Adressen handelt es sich um numerische Kommunikationsparameter, welche die Identifikation einer insbesondere aus Netzrechnern oder -servern bestehenden Internet-Domain sowie der Benutzerrechner, die an den Verbindungen in diesem Netz beteiligt sind, ermöglichen (so die Definition im Anhang der Verordnung vom 6. Oktober 1997 über die Adressierungselemente im Fernmeldebereich [AEFV; SR 784.104]). Durch die IP-Adresse wird mit anderen Worten jeder an das Internet angeschlossene Computer identifiziert. Immer wenn im Internet Daten abgefragt werden, so zum Beispiel beim Aufrufen einer Website, übermittelt der Computer des Benutzers seine Anfrage verbunden mit der ihm zugewiesenen IP-Adresse (PER MEYERDIERKS, Sind IP-Adressen personenbezogene Daten?, MultiMedia und Recht 1/2009 S. 8 f.). Auf diese Weise ermöglicht die IP-Adresse den Datenaustausch im Internet.

Wird einem Rechner eine IP-Adresse fest zugewiesen, spricht man von einer statischen IP-Adresse. Wählt sich ein Benutzer über einen Internet-Dienstanbieter (Provider) ins Internet ein, erhält er jedoch meist eine dynamische IP-Adresse, das heisst, seinem Computer wird bei jeder Verbindungsaufnahme neu irgendeine freie Adresse aus dem Pool des Providers zugewiesen. Die dynamische Adressierung wurde wegen der Knappheit der IP-Adressen entwickelt. Weil nach diesem System eine IP-Adresse nur für eine kurze Zeit einem Teilnehmer zugeteilt und nach dem Nutzungsvorgang wieder an einen anderen Teilnehmer vergeben wird, erfolgt die Identifikation des betreffenden Rechners durch diese IP-Adresse auch nur für die Zeit des einzelnen Nutzungsvorgangs. Aus diesem Grund ist die Identifikation des Inhabers der IP-Adresse bei der dynamischen Adressierung schwieriger als bei der statischen. Während statische IP-Adressen in zum Teil frei zugänglichen Verzeichnissen erfasst sind, ist der Inhaber einer dynamischen IP-Adresse in der Regel nur mit Hilfe des Providers, der die Adresse vergeben hat, eruierbar (ROLF H. WEBER/ORSOLYA FERCSIK SCHNYDER, "Was für 'ne Sorte von Geschöpf ist euer Krokodil?" - Zur datenschutzrechtlichen Qualifikation von IP-
Adressen, sic! 9/2009 S. 579 f.).

3.4 Ob eine Information aufgrund zusätzlicher Angaben mit einer Person in Verbindung gebracht werden kann, sich die Information mithin auf eine bestimmbare Person bezieht (Art. 3 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG), beurteilt sich aus der Sicht des jeweiligen Inhabers der Information (ROSENTHAL, a.a.O., N. 20 zu Art. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG; WEBER/FERCSIK SCHNYDER, a.a.O., S. 583). Im Falle der Weitergabe von Informationen ist dabei ausreichend, wenn der Empfänger die betroffene Person zu identifizieren vermag. ROSENTHAL führt in diesem Zusammenhang das Beispiel einer Zeitungsmeldung über den Unfall eines nicht namentlich genannten Lokalpolitikers an. Sofern ein Teil der Leserschaft auf die betroffene Person (allenfalls anhand weiterer Recherchen) schliessen könne, stelle aus ihrer Sicht die Publikation eine Bekanntgabe von Personendaten dar, so die überzeugende Argumentation des Autors (ROSENTHAL, a.a.O., N. 30 zu Art. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG; vgl. auch Art. 3 lit. e
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG). Dies bedeutet für den vorliegenden Fall, dass nicht vorausgesetzt ist, dass die Urheberrechtsverletzer bereits für die Beschwerdegegnerin bestimmbar sind. Vielmehr genügt es, wenn sie es nach Übergabe der entsprechenden Daten für die Urheberrechteinhaber werden. Trifft dies zu (dazu sogleich), so gelangt das
Datenschutzgesetz indessen auch auf die Beschwerdegegnerin selbst zur Anwendung. Anders zu entscheiden würde bedeuten, das Datenschutzgesetz nur auf die einzelnen Empfänger anzuwenden, nicht aber auf die Person, welche die betreffenden Daten beschafft und sie verbreitet. Dies würde dem Zweck des Gesetzes zuwiderlaufen.

3.5 Die Beschwerdegegnerin macht geltend, die Auftraggeber würden nur aufgrund des Tätigwerdens der Strafverfolgungsbehörden erfahren, wer die Inhaber der einzelnen IP-Adressen sind. Sie verkennt dabei, dass die Notwendigkeit des Tätigwerdens eines Dritten so lange unmassgeblich ist, als insgesamt der Aufwand des Auftraggebers für die Bestimmung der betroffenen Person nicht derart gross ist, dass nach der allgemeinen Lebenserfahrung nicht mehr damit gerechnet werden könnte, dieser werde ihn auf sich nehmen (vgl. E. 3.1 hiervor). Solches ist vor dem Hintergrund der konkreten Umstände des Einzelfalls zu beurteilen. Eine abstrakte Feststellung, ob es sich (insbesondere bei dynamischen) IP-Adressen um Personendaten handelt oder nicht, ist somit nicht möglich (vgl. zum deutschen Recht ULRICH DAMMANN, in: Bundesdatenschutzgesetz, 6. Aufl. 2006, N. 20 zu § 3 BDSG; kritisch MEYERDIERKS, a.a.O., S. 10 ff.; vgl. zur datenschutzrechtlichen Qualifizierung von IP-Adressen im schweizerischen Recht ROSENTHAL, a.a.O., N. 27 zu Art. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG; WEBER/FERCSIK SCHNYDER, a.a.O., S. 588).

Für den vorliegenden Fall ist die Bestimmbarkeit der betroffenen Personen grundsätzlich zu bejahen. Auf ihr beruht ganz eigentlich das Geschäftsmodell der Beschwerdegegnerin. Diese zeichnet nach eigenen Angaben dynamische IP-Adressen möglicher Urheberrechtsverletzer sowie weitere Daten auf, welche sie den Rechteinhabern weitergibt. Die Rechteinhaber ihrerseits können durch Strafanzeige auf die Einleitung eines Strafverfahrens hinwirken, um in dessen Rahmen Akteneinsicht zu nehmen und so den P2P-Teilnehmer ausfindig zu machen, welcher das urheberrechtlich geschützte Werk unrechtmässig angeboten hat (vgl. Art. 67 ff
SR 231.1 Loi fédérale du 9 octobre 1992 sur le droit d'auteur et les droits voisins (Loi sur le droit d'auteur, LDA) - Loi sur le droit d'auteur
LDA Art. 67 Violation du droit d'auteur - 1 Sur plainte du lésé, est puni d'une peine privative de liberté d'un an au plus ou d'une peine pécuniaire quiconque, intentionnellement et sans droit:
1    Sur plainte du lésé, est puni d'une peine privative de liberté d'un an au plus ou d'une peine pécuniaire quiconque, intentionnellement et sans droit:
a  utilise une oeuvre sous une désignation fausse ou différente de celle décidée par l'auteur;
b  divulgue une oeuvre;
c  modifie une oeuvre;
d  utilise une oeuvre pour créer une oeuvre dérivée;
e  confectionne des exemplaires d'une oeuvre par n'importe quel procédé;
f  propose au public, aliène ou, de quelque autre manière, met en circulation des exemplaires d'une oeuvre;
g  récite, représente ou exécute une oeuvre, directement ou par n'importe quel procédé ou la fait voir ou entendre en un lieu autre que celui où elle est présentée;
gbis  met une oeuvre à disposition, par quelque moyen que ce soit, de manière que toute personne puisse y avoir accès d'un endroit et à un moment qu'elle peut choisir à sa convenance;
h  diffuse une oeuvre par la radio, la télévision ou des moyens analogues, soit par voie hertzienne, soit par câble ou autres conducteurs ou la retransmet par des moyens techniques dont l'exploitation ne relève pas de l'organisme diffuseur d'origine;
i  fait voir ou entendre une oeuvre mise à disposition, diffusée ou retransmise;
k  refuse de déclarer à l'autorité compétente la provenance et la quantité des objets en sa possession fabriqués ou mis en circulation illicitement et de désigner les destinataires et la quantité des objets qui ont été remis à des acheteurs commerciaux;
l  loue un logiciel.
2    Si l'auteur d'une infraction au sens de l'al. 1 agit par métier, il est poursuivi d'office. La peine est une peine privative de liberté de cinq ans au plus ou une peine pécuniaire. ...79 80
. des Bundesgesetzes vom 9. Oktober 1992 über das Urheberrecht und verwandte Schutzrechte [URG; SR 231.1] sowie Art. 5
SR 780.1 Loi fédérale du 18 mars 2016 sur la surveillance de la correspondance par poste et télécommunication (LSCPT)
LSCPT Art. 5 Organe consultatif - 1 Le DFJP peut mettre en place un organe consultatif composé de représentants du DFJP, du Service, des cantons, des autorités de poursuite pénale, du Service de renseignement de la Confédération (SRC) et des fournisseurs de services postaux et de télécommunication.13
1    Le DFJP peut mettre en place un organe consultatif composé de représentants du DFJP, du Service, des cantons, des autorités de poursuite pénale, du Service de renseignement de la Confédération (SRC) et des fournisseurs de services postaux et de télécommunication.13
2    L'organe consultatif permet aux représentants visés à l'al. 1 d'échanger leurs expériences et leurs avis. Il examine les révisions de la présente loi et des dispositions d'exécution ainsi que les changements de pratique des autorités afin de favoriser une exécution sans difficultés de la surveillance et un développement continu dans ce domaine. Il prend position sur les projets de révision et peut émettre des recommandations de sa propre initiative.
3    Le DFJP règle la composition et l'organisation de l'organe consultatif ainsi que les procédures que celui-ci doit respecter.
und Art. 14 Abs. 4
SR 780.1 Loi fédérale du 18 mars 2016 sur la surveillance de la correspondance par poste et télécommunication (LSCPT)
LSCPT Art. 14 Interface avec le réseau de systèmes d'information de police de l'Office fédéral de la police - 1 Une copie des données contenues dans le système de traitement peut être transférée en ligne dans les systèmes d'information visés aux art. 10, 12 et 13 de la loi fédérale du 13 juin 2008 sur les systèmes d'information de police de la Confédération (LSIP)30, pour autant que les conditions suivantes soient réunies:
1    Une copie des données contenues dans le système de traitement peut être transférée en ligne dans les systèmes d'information visés aux art. 10, 12 et 13 de la loi fédérale du 13 juin 2008 sur les systèmes d'information de police de la Confédération (LSIP)30, pour autant que les conditions suivantes soient réunies:
a  le droit applicable autorise le traitement des données dans ces systèmes;
b  il est garanti que seules les personnes en charge de la procédure concernée ont accès aux données.
2    Le transfert ne peut être effectué que par une personne qui a le droit d'accéder au système de traitement au sens de la présente loi et au système d'information considéré au sens de la LSIP.
des Bundesgesetzes vom 6. Oktober 2000 betreffend die Überwachung des Post- und Fernmeldeverkehrs [BÜPF; SR 780.1] i.V.m. Art. 43
SR 784.10 Loi du 30 avril 1997 sur les télécommunications (LTC)
LTC Art. 43 Obligation d'observer le secret - Il est interdit à toute personne qui a été ou qui est chargée d'assurer un service de télécommunication de donner à des tiers des renseignements sur les communications des usagers; de même, il lui est interdit de donner à quiconque la possibilité de communiquer de tels renseignements à des tiers.
FMG; BGE 126 I 50; Stéphane Bondallaz, La protection des personnes et de leurs données dans les télécommunications, 2007, Rz. 1086; Peter Schaar, Datenschutz im Internet, 2002, Rz. 175; vgl. auch Rosenthal, a.a.O., N. 27 zu Art. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG). Wohl ist davon auszugehen, dass in vielen Fällen der Urheberrechtsverletzer nicht ausfindig gemacht werden kann, so
insbesondere dann, wenn verschiedene Personen zu einem Computer oder einem Netzwerk Zugang haben. Es ist jedoch ausreichend, dass die Bestimmbarkeit in Bezug auf einen Teil der von der Beschwerdegegnerin gespeicherten Informationen gegeben ist.

3.6 Diese Auslegung des Datenschutzgesetzes scheint im Übrigen in Einklang mit der Rechtslage in der Europäischen Union zu stehen. Mit dem Begriff der personenbezogenen Daten setzte sich dort die Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten in ihrer Stellungnahme 4/2007 vom 20. Juni 2007 eingehend auseinander. Das unabhängige EU-Beratungsgremium für Datenschutzfragen stuft IP-Adressen als Daten ein, die sich auf eine bestimmbare Person beziehen. Internet-Zugangsanbieter und Verwalter von lokalen Netzwerken könnten ohne grossen Aufwand Internetnutzer identifizieren, denen sie IP-Adressen zugewiesen hätten, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internetnutzer zugeteilte dynamische IP-Adresse einfügen würden. Dasselbe lasse sich von den Internet-Dienstanbietern sagen, die in ihren HTTP-Servern Protokolle führen würden. In diesen Fällen bestehe kein Zweifel, dass man von personenbezogenen Daten im Sinne von Art. 2 lit. a der Richtlinie 95/46/EG reden könne (Stellungnahme S. 19 f.; «http://ec.europa.eu/justice/policies/privacy/workinggroup/index en.htm» unter Documents adopted/2007 [besucht am 3. November 2010]).

3.7 Schliesslich bringt die Beschwerdegegnerin vor, bei einer Qualifizierung der strittigen Angaben als Personendaten sei es ihr unmöglich, ihrer datenschutzrechtlichen Auskunftspflicht nachzukommen. Dies ist unzutreffend. Zwar verlangt Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG, dass der Inhaber der Datensammlung der betroffenen Person alle über sie in der Datensammlung vorhandenen Daten mitteilt. Indessen beschränkt sich das Auskunftsrecht schon nach Gesetzeswortlaut auf die vorhandenen Daten (vgl. auch BBl 1988 II 453 Ziff. 221.2). Vom Inhaber einer Datensammlung können mithin keine Angaben gefordert werden, über die er gar nicht verfügt. Zudem können vom Auskunftsberechtigten allenfalls konkretisierende Angaben verlangt werden, wenn dies zum Auffinden der Daten notwendig oder hilfreich ist (VPB 65/2001 Nr. 49 E. 3b).

3.8 Zusammenfassend ist festzuhalten, dass das Bundesverwaltungsgericht die von der Beschwerdegegnerin bearbeiteten IP-Adressen zu Recht als Personendaten im Sinne von Art. 3 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 3 Champ d'application territorial - 1 La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
1    La présente loi s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger.
2    Les prétentions de droit privé sont régies par la loi fédérale du 18 décembre 1987 sur le droit international privé4. Sont également réservées les dispositions régissant le champ d'application territorial du code pénal5.
DSG qualifiziert hat.

4.
Die Beschwerdegegnerin bestreitet einen Verstoss gegen die Grundsätze der Zweckbindung und der Erkennbarkeit (Art. 4 Abs. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
und 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG). Die Bearbeitung der Daten erfolge zu einem im Voraus und für alle P2P-Nutzer erkennbaren Zweck, nämlich zur rechtmässigen straf- sowie zivilrechtlichen Verfolgung von Urheberrechtsverletzungen.
Das Bundesverwaltungsgericht legte im angefochtenen Entscheid dar, die Beschwerdegegnerin sammle Daten über P2P-Netzwerkteilnehmer, die sie an ihre Auftraggeber weiterleite. Die Datenbeschaffung geschehe dabei im Regelfall ohne Wissen der betroffenen Personen und sei für diese auch nicht erkennbar. Das Vorgehen der Beschwerdegegnerin schliesse zudem aus, dass dem IP-Adressinhaber im Moment der Beschaffung mitgeteilt werde, wozu seine Daten gespeichert würden. Selbst wenn es zutreffe, dass vereinzelt darauf aufmerksam gemacht werde, dass "Anti-P2P-Firmen Daten loggen", könne keineswegs von einer Angabe des Datenbeschaffungszwecks durch die Bearbeiterin gesprochen werden. Sowohl der Grundsatz der Zweckbindung wie auch der Grundsatz der Erkennbarkeit würden damit regelmässig verletzt.

Die Beschwerdegegnerin geht auf die überzeugenden Ausführungen des Bundesverwaltungsgerichts nicht ein und beschränkt sich darauf, diese pauschal zu bestreiten. Auf ihre diesbezüglichen Vorbringen ist deshalb nicht einzutreten (vgl. Art. 42 Abs. 2
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 42 Mémoires - 1 Les mémoires doivent être rédigés dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signés.
1    Les mémoires doivent être rédigés dans une langue officielle, indiquer les conclusions, les motifs et les moyens de preuve, et être signés.
2    Les motifs doivent exposer succinctement en quoi l'acte attaqué viole le droit. Si le recours n'est recevable que lorsqu'il soulève une question juridique de principe ou qu'il porte sur un cas particulièrement important pour d'autres motifs, il faut exposer en quoi l'affaire remplit la condition exigée.15 16
3    Les pièces invoquées comme moyens de preuve doivent être jointes au mémoire, pour autant qu'elles soient en mains de la partie; il en va de même de la décision attaquée si le mémoire est dirigé contre une décision.
4    En cas de transmission électronique, le mémoire doit être muni de la signature électronique qualifiée de la partie ou de son mandataire au sens de la loi du 18 mars 2016 sur la signature électronique17. Le Tribunal fédéral détermine dans un règlement:
a  le format du mémoire et des pièces jointes;
b  les modalités de la transmission;
c  les conditions auxquelles il peut exiger, en cas de problème technique, que des documents lui soient adressés ultérieurement sur papier.18
5    Si la signature de la partie ou de son mandataire, la procuration ou les annexes prescrites font défaut, ou si le mandataire n'est pas autorisé, le Tribunal fédéral impartit un délai approprié à la partie pour remédier à l'irrégularité et l'avertit qu'à défaut le mémoire ne sera pas pris en considération.
6    Si le mémoire est illisible, inconvenant, incompréhensible ou prolixe ou qu'il n'est pas rédigé dans une langue officielle, le Tribunal fédéral peut le renvoyer à son auteur; il impartit à celui-ci un délai approprié pour remédier à l'irrégularité et l'avertit qu'à défaut le mémoire ne sera pas pris en considération.
7    Le mémoire de recours introduit de manière procédurière ou à tout autre égard abusif est irrecevable.
BGG).

5.
5.1 Art. 12
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
und 13
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG legen die Voraussetzungen fest, nach welchen die Bearbeitung von Personendaten durch Private rechtmässig ist.
Art. 12 Persönlichkeitsverletzungen
1 Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen.
2 Er darf insbesondere nicht:
a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten;
b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten;
c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekanntgeben.
3 In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.

Art. 13 Rechtfertigungsgründe
1 Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist.
2 Ein überwiegendes Interesse der bearbeitenden Person fällt insbesondere in Betracht, wenn diese:
a. in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags Personendaten über ihren Vertragspartner bearbeitet;
b. mit einer anderen Person in wirtschaftlichem Wettbewerb steht oder treten will und zu diesem Zweck Personendaten bearbeitet, ohne diese Dritten bekannt zu geben;
c. zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen;
d. beruflich Personendaten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet;
e. Personendaten zu nicht personenbezogenen Zwecken insbesondere in der Forschung, Planung und Statistik bearbeitet und die Ergebnisse so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind;
f. Daten über eine Person des öffentlichen Lebens sammelt, sofern sich die Daten auf das Wirken dieser Person in der Öffentlichkeit beziehen.
Während auf die Rechtfertigungsgründe von Art. 13
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG in Art. 12 Abs. 2 lit. b
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
und c DSG ausdrücklich verwiesen wird, fehlt ein entsprechender Vorbehalt in der aktuellen Fassung von lit. a der letztgenannten Bestimmung. Der Beschwerdeführer schliesst daraus, dass eine Verletzung der Grundsätze der Datenbearbeitung im Sinne von Art. 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG, wozu auch die Grundsätze der Zweckbindung und der Erkennbarkeit gehören, nicht gerechtfertigt werden kann.
5.2
5.2.1 Es fragt sich, ob das Streichen des Vorbehalts in Art. 12 Abs. 2 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG im Zuge der Gesetzesrevision vom 24. März 2006 ein qualifiziertes Schweigen zum Ausdruck bringt. Die Rechtfertigung einer gegen die Grundsätze der Art. 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
, Art. 5 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 5 Définitions - On entend par:
a  données personnelles: toutes les informations concernant une personne physique identifiée ou identifiable;
b  personne concernée: la personne physique dont les données personnelles font l'objet d'un traitement;
c  données personnelles sensibles (données sensibles):
c1  les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
c2  les données sur la santé, la sphère intime ou l'origine raciale ou ethnique,
c3  les données génétiques,
c4  les données biométriques identifiant une personne physique de manière univoque,
c5  les données sur des poursuites ou sanctions pénales et administratives,
c6  les données sur des mesures d'aide sociale;
d  traitement: toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement ou la destruction de données;
e  communication: le fait de transmettre des données personnelles ou de les rendre accessibles;
f  profilage: toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
g  profilage à risque élevé: tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu'il conduit à un appariement de données qui permet d'apprécier les caractéristiques essentielles de la personnalité d'une personne physique;
h  violation de la sécurité des données: toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données;
i  organe fédéral: l'autorité fédérale, le service fédéral ou la personne chargée d'une tâche publique de la Confédération;
j  responsable du traitement: la personne privée ou l'organe fédéral qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données personnelles;
k  sous-traitant: la personne privée ou l'organe fédéral qui traite des données personnelles pour le compte du responsable du traitement.
und Art. 7 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 7 Protection des données dès la conception et par défaut - 1 Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.
1    Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.
2    Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l'état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées.
3    Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n'en dispose pas autrement.
DSG verstossenden Bearbeitung von Personendaten wäre diesfalls generell ausgeschlossen. In der Literatur gehen die Meinungen auseinander. Für die Möglichkeit, Rechtfertigungsgründe weiterhin zuzulassen, sprechen sich Stephan C. Brunner, Christian Drechsler und David Rosenthal aus (Stephan C. Brunner, Das revidierte Datenschutzgesetz und seine Auswirkungen im Gesundheits- und Versicherungswesen, in: Datenschutz im Gesundheits- und Versicherungswesen, 2008, S. 142 ff.; Christian Drechsler, Die Revision des Datenschutzrechts, AJP 2007 S. 1474; Rosenthal, a.a.O., N. 16 zu Art. 12
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG). Anderer Ansicht ist, allerdings ohne dies näher zu begründen, René Huber (Die Teilrevision des Eidg. Datenschutzgesetzes - ungenügende Pinselrenovation, recht 24/2006 S. 214).
5.2.2 Die Materialien bringen keine ausreichende Klarheit. Die Streichung des Vorbehalts geht auf einen Vorschlag der vorberatenden Kommission des Nationalrats zurück und war im Entwurf des Bundesrats noch nicht vorgesehen. Der Nationalrat genehmigte die Änderung diskussionslos (AB 2005 N 1450). Im Ständerat wurde sie vom Berichterstatter der Kommission in ausführlicher, jedoch auch widersprüchlicher Weise erläutert. Seine Äusserung, es ginge nicht an, dass man unrechtmässig beschaffte Daten bei Vorliegen eines Rechtfertigungsgrunds bekannt geben dürfe, könnte in der Tat darauf schliessen lassen, dass Rechtfertigungsgründe im Rahmen von Art. 12 Abs. 2 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG generell ausgeschlossen sind. Der Berichterstatter erklärte indessen auch, dass es bei der vom Nationalrat beschlossenen Fassung im Grunde genommen nur um eine Klarstellung dessen gehe, was an sich heute schon bestehe, in der Praxis aber offenbar zu Problemen geführt habe. Wenn man diesen Rechtfertigungsumstand weglasse, so beschliesse man keineswegs etwas völlig Neues, sondern übernehme im Prinzip das, was schon heute in der Rechtsprechung gelte (AB 2005 S 1159; vgl. dazu VPB 69/2005 Nr. 106 E. 5.2 und 5.8).
5.2.3 Nach Auffassung des Bundesamts für Justiz war kein Systemwechsel vorgesehen. Stattdessen habe mit der Neuformulierung von Art. 12 Abs. 2 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG den Grundsätzen von Art. 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG Nachachtung verschafft werden sollen, ohne an der früheren Rechtslage etwas zu ändern. Die textliche Änderung verdeutliche, dass eine Rechtfertigung nicht vorschnell angenommen werden dürfe (Bundesamt für Justiz, Änderung von Art. 12 Abs. 2 Bst. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG: Auslegungshilfe, 2006, «http://www.edoeb.admin.ch/themen/ 00794/00819/01086/index.html?lang=de» [besucht am 3. November 2010]). Diese Auslegung liegt auf einer Linie mit der Botschaft des Bundesrats zur ursprünglichen Fassung von Art. 12 Abs. 2 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG, wonach die Grundsätze von Art. 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG "das ethische und rechtspolitische Fundament des Datenschutzgesetzes" darstellen, weshalb "nicht ohne zwingenden Grund gegen sie verstossen werden können" solle (BBl 1988 II 458 f. Ziff. 221.3).
5.2.4 Würde man die Bearbeitung unrechtmässig beschaffter Daten (Art. 4 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG) generell ausschliessen, so wäre es beispielsweise einem Arbeitgeber, der von einem Mitarbeiter unrechtmässig gespeicherte Personendaten entdeckt, nicht erlaubt, diese den Behörden zu übergeben. Auch wäre eine Verletzung der Grundsätze der Datenbearbeitung selbst bei Einwilligung des Verletzten widerrechtlich (Art. 13 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG; Rosenthal, a.a.O., N. 19 zu Art. 12
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG). Dies kann jedoch nicht der Sinn des Gesetzes sein. Eine strikt systematische Auslegung, wonach lediglich bei lit. b und c, nicht aber bei lit. a von Art. 12 Abs. 2
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG das Geltendmachen eines Rechtfertigungsgrunds zulässig sein soll, erweist sich als verfehlt, zumal in der aktuellen Fassung von lit. a Rechtfertigungsgründe zwar nicht mehr erwähnt, jedoch auch nicht ausdrücklich ausgeschlossen werden. Die Bestimmung ist daher so auszulegen, dass eine Rechtfertigung der Bearbeitung von Personendaten entgegen der Grundsätze von Art. 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
, Art. 5 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 5 Définitions - On entend par:
a  données personnelles: toutes les informations concernant une personne physique identifiée ou identifiable;
b  personne concernée: la personne physique dont les données personnelles font l'objet d'un traitement;
c  données personnelles sensibles (données sensibles):
c1  les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
c2  les données sur la santé, la sphère intime ou l'origine raciale ou ethnique,
c3  les données génétiques,
c4  les données biométriques identifiant une personne physique de manière univoque,
c5  les données sur des poursuites ou sanctions pénales et administratives,
c6  les données sur des mesures d'aide sociale;
d  traitement: toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement ou la destruction de données;
e  communication: le fait de transmettre des données personnelles ou de les rendre accessibles;
f  profilage: toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
g  profilage à risque élevé: tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu'il conduit à un appariement de données qui permet d'apprécier les caractéristiques essentielles de la personnalité d'une personne physique;
h  violation de la sécurité des données: toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données;
i  organe fédéral: l'autorité fédérale, le service fédéral ou la personne chargée d'une tâche publique de la Confédération;
j  responsable du traitement: la personne privée ou l'organe fédéral qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données personnelles;
k  sous-traitant: la personne privée ou l'organe fédéral qui traite des données personnelles pour le compte du responsable du traitement.
und Art. 7 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 7 Protection des données dès la conception et par défaut - 1 Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.
1    Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données, en particulier les principes fixés à l'art. 6. Il le fait dès la conception du traitement.
2    Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l'état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées.
3    Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n'en dispose pas autrement.
DSG zwar nicht generell ausgeschlossen ist, dass Rechtfertigungsgründe im konkreten Fall aber nur mit grosser Zurückhaltung bejaht werden können.
5.2.5 In Berücksichtigung des Bestrebens des Gesetzgebers, die Bedeutung der Grundsätze von Art. 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG zu betonen, schlägt das Bundesamt für Justiz in seiner Auslegungshilfe zur Änderung von Art. 12 Abs. 2 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG vor, künftig rechtfertigende Umstände primär bei der Auslegung der allgemeinen Grundsätze zu berücksichtigen (BUNDESAMT FÜR JUSTIZ, a.a.O., Ziff. 3.1). Ein derartiges Vorgehen erscheint etwa dort praktikabel, wo sich die Abgrenzung zwischen den Grundsätzen von Art. 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG und den Rechtfertigungsgründen von Art. 13
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG ohnehin als schwierig erweist, so beispielsweise beim Grundsatz der Verhältnismässigkeit (vgl. CORRADO RAMPINI, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 4 zu Art. 12
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG). Indessen sind nicht alle Grundsätze der Datenbearbeitung einer Auslegung zugänglich, welche die Rechtfertigungsgründe von Art. 13
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG bereits hinreichend berücksichtigt. Auch ist nicht zu übersehen, dass es im Ergebnis nicht von Belang ist, ob Rechtfertigungsgründe in einem zweiten Schritt selbständig geprüft werden oder bereits bei der Auslegung der Grundsätze der Datenbearbeitung berücksichtigt werden (vgl. zum Ganzen ROSENTHAL, a.a.O., N. 22 f. zu Art. 12
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 12 Registre des activités de traitement - 1 Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
1    Les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement.
2    Le registre du responsable du traitement contient au moins les indications suivantes:
a  l'identité du responsable du traitement;
b  la finalité du traitement;
c  une description des catégories de personnes concernées et des catégories de données personnelles traitées;
d  les catégories de destinataires;
e  dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;
f  dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données selon l'art. 8;
g  en cas de communication de données personnelles à l'étranger, le nom de l'État concerné et les garanties prévues à l'art. 16, al. 2.
3    Le registre du sous-traitant contient des indications concernant l'identité du sous-traitant et du responsable du traitement, les catégories de traitements effectués pour le compte du responsable du traitement ainsi que les indications prévues à l'al. 2, let. f et g.
4    Les organes fédéraux déclarent leur registre d'activités de traitement au PFPDT.
5    Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
DSG).
5.2.6 Die Vorinstanz stellte in einem ersten Schritt eine Verletzung der Grundsätze der Zweckbindung und der Erkennbarkeit fest. Ob eine Verletzung des Verhältnismässigkeitsprinzips vorliege, liess sie zunächst offen. Bei der Prüfung der Frage, ob ein überwiegendes privates oder öffentliches Interesse die Persönlichkeitsverletzung rechtfertige, untersuchte sie indessen auch, ob die strittige Datenbearbeitung verhältnismässig sei. Nach dem Gesagten ist an diesem Vorgehen nichts auszusetzen.

6.
6.1 Der Beschwerdeführer kritisiert die Interessenabwägung der Vorinstanz bei der Prüfung von Rechtfertigungsgründen gemäss Art. 13
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG. Würde man ihr folgen, so wäre seiner Ansicht nach jegliche Art der Datenbearbeitung, auch eine zweckwidrige und heimliche, gerechtfertigt, der Zweck würde mithin die Mittel heiligen. Eine betroffene Person könnte sich gegen die Datenbearbeitung nicht einmal zur Wehr setzen, da sie über diese nicht oder nicht hinreichend informiert sei. Die Bürger in der Schweiz würden damit weitgehend ihrer Auskunftsrechte gemäss Art. 8
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
DSG beraubt. Die Vorinstanz blende zudem aus, dass der Inhaber der IP-Adresse nicht zwangsläufig identisch mit dem Verletzer des Urheberrechts sein müsse, da ein Internetanschluss zum Teil von mehreren Personen benutzt werde. Gutgläubige Inhaber von Internetanschlüssen würden so mit ungerechtfertigten Zivilforderungen konfrontiert. Das Vorgehen der Beschwerdegegnerin sei jenem eines verdeckten Ermittlers vergleichbar, dessen Einsatz jedoch an strenge Voraussetzungen geknüpft werde (Art. 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 8 Sécurité des données - 1 Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
1    Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.
2    Les mesures doivent permettre d'éviter toute violation de la sécurité des données.
3    Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
des Bundesgesetzes vom 20. Juni 2003 über die verdeckte Ermittlung [BVE; SR 312]). Schliesslich sei zu berücksichtigen, dass die Strafverfahren nur benützt würden, um das Fernmeldegeheimnis zu
umgehen, und dass die Beschwerdegegnerin zusammen mit den Inhabern der Urheberrechte primär an der Geltendmachung von Zivilforderungen interessiert sei.

6.2 Die Vorinstanz erwog, ohne die Sammlung technischer Daten, wie insbesondere der IP-Adresse, wäre es für die in ihren Rechten verletzten Urheberrechtsinhaber nicht möglich, die Verletzer zu identifizieren und gegen diese Schadenersatz- und Unterlassungsansprüche geltend zu machen. Ein milderes, aber gleich geeignetes Mittel sei nicht ersichtlich. Demgegenüber erscheine der Eingriff in die Persönlichkeitsrechte der betroffenen Personen nicht ausgesprochen schwerwiegend. Sollten sich die Beweise nicht erhärten, würde ein Strafverfahren eingestellt und Zivilansprüche würden abgewiesen. Dabei sei zu beachten, dass es in der Regel der IP-Adressinhaber sei, der zumindest vermutungsweise gegen das Urheberrecht verstossen habe.
6.3
6.3.1 Gemäss Art. 13 Abs. 2
SR 101 Constitution fédérale de la Confédération suisse du 18 avril 1999
Cst. Art. 13 Protection de la sphère privée - 1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
1    Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications.
2    Toute personne a le droit d'être protégée contre l'emploi abusif des données qui la concernent.
BV hat jede Person Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten. Dieser Anspruch bildet Teil der verfassungsmässigen Garantie der Privatsphäre und Kernbestandteil des Datenschutzgesetzes (Art. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 1 But - La présente loi vise à protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l'objet d'un traitement.
DSG).

Das Vorgehen der Beschwerdegegnerin stellt eine Persönlichkeitsverletzung dar. Es verstösst gegen die Grundsätze der Zweckbindung und der Erkennbarkeit, mithin gegen Grundsätze, die für den Datenschutz von grosser Wichtigkeit sind (Art. 4 Abs. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
und 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG). Im Folgenden ist zu prüfen, ob die Persönlichkeitsverletzung gerechtfertigt werden kann. Dabei kommt von vornherein nur ein überwiegendes privates oder öffentliches Interesse in Betracht; eine Einwilligung der Verletzten oder die Rechtfertigung durch Gesetz ist offensichtlich zu verneinen (Art. 13 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG). Wie bereits erwähnt, dürfen zudem Rechtfertigungsgründe beim Verstoss gegen die Grundsätze von Art. 4
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 4 Préposé fédéral à la protection des données et à la transparence - 1 Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
1    Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller la bonne application des dispositions fédérales de protection des données.
2    Il ne peut exercer aucune surveillance sur:
a  l'Assemblée fédérale;
b  le Conseil fédéral;
c  les tribunaux fédéraux;
d  le Ministère public de la Confédération, en ce qui concerne le traitement de données personnelles dans le cadre de procédures pénales;
e  les autorités fédérales, en ce qui concerne le traitement de données personnelles dans le cadre de leurs activités juridictionnelles ou dans le cadre de procédures d'entraide judiciaire internationale en matière pénale.
DSG nur mit grosser Zurückhaltung bejaht werden (E. 5.2.4 hiervor).
6.3.2 Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 1 But - La présente loi vise à protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l'objet d'un traitement.
DSG). Das Gesetz ergänzt und konkretisiert damit den bereits durch das Zivilgesetzbuch gewährleisteten Schutz (BGE 127 III 481 E. 3 a/bb S. 492 f. mit Hinweis). Art. 13 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG übernimmt in diesem Sinne den in Art. 28 Abs. 2
SR 210 Code civil suisse du 10 décembre 1907
CC Art. 28 - 1 Celui qui subit une atteinte illicite à sa personnalité peut agir en justice pour sa protection contre toute personne qui y participe.
1    Celui qui subit une atteinte illicite à sa personnalité peut agir en justice pour sa protection contre toute personne qui y participe.
2    Une atteinte est illicite, à moins qu'elle ne soit justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.
ZGB verankerten Grundsatz, wonach eine Persönlichkeitsverletzung widerrechtlich ist, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist (BBl 1988 II 459 Ziff. 221.3). Trotz der identischen Formulierung der beiden Bestimmungen besteht in Bezug auf das Verfahren ein Unterschied. Während sich im Zivilprozess grundsätzlich zwei Parteien gegenüberstehen (der mutmasslich in seiner Persönlichkeit Verletzte und der mutmassliche Verletzer), geht es vorliegend darum zu prüfen, ob die Empfehlung des EDÖB, wonach die Beschwerdegegnerin ihre Datenbearbeitung unverzüglich einstellen solle, begründet ist (Art. 29 Abs. 3
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
DSG). Der EDÖB handelt dabei in einem Rahmen, welcher über das reine Zweiparteienverhältnis hinausgeht. Seine Empfehlung an die Adresse der Beschwerdegegnerin stützt sich
auf Art. 29 Abs. 1 lit. a
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
DSG. Danach klärt der Beauftragte den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). Seine Intervention bezweckt somit die Verteidigung einer Vielzahl von Personen und liegt damit letztlich im öffentlichen Interesse. Diese Bedeutung der Empfehlung des EDÖB ist bei der Interessenabwägung nach Art. 13 Abs. 1
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 13 Certification - 1 Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
1    Les fournisseurs de systèmes ou de logiciels de traitement de données personnelles ainsi que les responsables du traitement et les sous-traitants peuvent soumettre leurs systèmes, leurs produits ou leurs services à une évaluation effectuée par des organismes de certification agréés et indépendants.
2    Le Conseil fédéral édicte des dispositions sur la reconnaissance des procédures de certification et sur l'introduction d'un label de qualité de protection des données. Il tient compte du droit international et des normes techniques reconnues au niveau international.
DSG zu berücksichtigen. Im Übrigen zeitigt eine derartige (gegebenenfalls richterlich bestätigte) Empfehlung eine indirekte Wirkung für all jene Personen, die nach einer ähnlichen Methode vorgehen wie die Beschwerdeführerin, was zusätzlich Licht auf die Tragweite des vorliegenden Falls wirft (vgl. HUBER, Basler Kommentar, a.a.O., N. 37 zu Art. 29
SR 235.1 Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
LPD Art. 29 Restrictions du droit à la remise ou à la transmission des données personnelles - 1 Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
1    Le responsable du traitement peut refuser, restreindre ou différer la remise ou la transmission de données personnelles pour les mêmes motifs que ceux prévus à l'art. 26, al. 1 et 2.
2    Le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la remise ou la transmission des données personnelles.
DSG).
6.3.3 Wie die Vorinstanz dargelegt hat, kommen als überwiegende Bearbeitungsinteressen in erster Linie die Interessen der bearbeitenden Person, aber auch solche von Dritten in Frage.

Die Beschwerdegegnerin selbst verfolgt ein wirtschaftliches Interesse. Sie strebt eine Vergütung für ihre Tätigkeit an. Diese Tätigkeit besteht darin, mit Hilfe einer eigens dafür entwickelten Software in P2P-Netzwerken nach urheberrechtlich geschützten Werken zu suchen und von deren Anbietern Daten zu speichern. Eine solche Methode führt allgemein - über den konkreten Fall hinaus - wegen fehlender gesetzlicher Reglementierung in diesem Bereich zu einer Unsicherheit in Bezug auf die im Internet angewendeten Methoden wie auch in Bezug auf Art und Umfang der gesammelten Daten und deren Bearbeitung. Insbesondere sind die Speicherung und die mögliche Verwendung der Daten ausserhalb eines ordentlichen Gerichtsverfahrens nicht klar bestimmt.

An dieser Einschätzung ändert auch das Interesse der Auftraggeber der Beschwerdegegnerin, welches in der Verwertung der Urheberrechte liegt, nichts (vgl. dazu MANFRED REHBINDER/ADRIANO VIGANÒ, URG, 3. Aufl. 2008, N. 3 f. zu Art. 1
SR 231.1 Loi fédérale du 9 octobre 1992 sur le droit d'auteur et les droits voisins (Loi sur le droit d'auteur, LDA) - Loi sur le droit d'auteur
LDA Art. 1 - 1 La présente loi règle:
1    La présente loi règle:
a  la protection des auteurs d'oeuvres littéraires et artistiques;
b  la protection des artistes interprètes, des producteurs de phonogrammes ou de vidéogrammes ainsi que des organismes de diffusion;
c  la surveillance fédérale des sociétés de gestion.
2    Les accords internationaux sont réservés.
URG). Mithin vermag auch das Interesse an der wirksamen Bekämpfung von Urheberrechtsverletzungen die Tragweite der Persönlichkeitsverletzung und der mit der umstrittenen Vorgehensweise einhergehenden Unsicherheiten über die Datenbearbeitung im Internet nicht aufzuwiegen. Ein überwiegendes privates oder öffentliches Interesse ist umso mehr zu verneinen, als dieses nur zurückhaltend bejaht werden darf.

Die Rüge des Beschwerdeführers erweist sich somit als begründet, was zur Gutheissung der Beschwerde führt. Unter diesen Umständen kann offengelassen werden, ob und inwiefern das Bundesgesetz über die verdeckte Ermittlung anwendbar ist, und insbesondere, ob die Strafverfolgungsbehörden die von der Beschwerdeführerin erlangten Daten verwenden dürften (vgl. dazu BGE 134 IV 266 und Urteil 6B 211/2009 vom 22. Juni 2009). Offengelassen werden kann zudem, ob auch das Verhältnismässigkeitsprinzip für die Unterlassung der Datenbearbeitung spricht, zumal sich die Eruierung des Urheberrechtsverletzers in vielen Fällen als schwierig oder unmöglich erweisen würde, etwa wenn ein Drahtlosnetzwerk verwendet wird oder ein Computer mehreren Personen zur Verfügung steht.

6.4 Anzumerken ist, dass Gegenstand des vorliegenden Falls einzig die Datenbearbeitung durch die Beschwerdegegnerin ist und es nicht darum geht, dem Datenschutz generell den Vorrang gegenüber dem Schutz des Urheberrechts einzuräumen. Es ist Sache des Gesetzgebers und nicht des Richters, die allenfalls notwendigen Massnahmen zu treffen, um einen den neuen Technologien entsprechenden Urheberrechtsschutz zu gewährleisten.

7.
Es ergibt sich, dass die Beschwerde gutzuheissen und das angefochtene Urteil aufzuheben ist. Die Beschwerdegegnerin wird angewiesen, jede Datenbearbeitung im Bereich des Urheberrechts einzustellen, und es wird ihr untersagt, die bereits beschafften Daten den betroffenen Urheberrechtsinhabern weiterzuleiten (Art. 107 Abs. 2
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 107 Arrêt - 1 Le Tribunal fédéral ne peut aller au-delà des conclusions des parties.
1    Le Tribunal fédéral ne peut aller au-delà des conclusions des parties.
2    Si le Tribunal fédéral admet le recours, il statue lui-même sur le fond ou renvoie l'affaire à l'autorité précédente pour qu'elle prenne une nouvelle décision. Il peut également renvoyer l'affaire à l'autorité qui a statué en première instance.
3    Si le Tribunal fédéral considère qu'un recours en matière d'entraide pénale internationale ou d'assistance administrative internationale en matière fiscale est irrecevable, il rend une décision de non-entrée en matière dans les quinze jours qui suivent la fin d'un éventuel échange d'écritures. Dans le domaine de l'entraide pénale internationale, le Tribunal fédéral n'est pas lié par ce délai lorsque la procédure d'extradition concerne une personne dont la demande d'asile n'a pas encore fait l'objet d'une décision finale entrée en force.100
4    Le Tribunal fédéral statue sur tout recours contre une décision du Tribunal fédéral des brevets portant sur l'octroi d'une licence visée à l'art. 40d de la loi du 25 juin 1954 sur les brevets101 dans le mois qui suit le dépôt du recours.102
BGG).

Diesem Ausgang entsprechend sind die Gerichtskosten des bundesgerichtlichen Verfahrens der unterliegenden Beschwerdegegnerin aufzuerlegen (Art. 66 Abs. 1
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 66 Recouvrement des frais judiciaires - 1 En règle générale, les frais judiciaires sont mis à la charge de la partie qui succombe. Si les circonstances le justifient, le Tribunal fédéral peut les répartir autrement ou renoncer à les mettre à la charge des parties.
1    En règle générale, les frais judiciaires sont mis à la charge de la partie qui succombe. Si les circonstances le justifient, le Tribunal fédéral peut les répartir autrement ou renoncer à les mettre à la charge des parties.
2    Si une affaire est liquidée par un désistement ou une transaction, les frais judiciaires peuvent être réduits ou remis.
3    Les frais causés inutilement sont supportés par celui qui les a engendrés.
4    En règle générale, la Confédération, les cantons, les communes et les organisations chargées de tâches de droit public ne peuvent se voir imposer de frais judiciaires s'ils s'adressent au Tribunal fédéral dans l'exercice de leurs attributions officielles sans que leur intérêt patrimonial soit en cause ou si leurs décisions font l'objet d'un recours.
5    Sauf disposition contraire, les frais judiciaires mis conjointement à la charge de plusieurs personnes sont supportés par elles à parts égales et solidairement.
BGG). Weder der Beschwerdeführer noch die unterliegende Beschwerdegegnerin haben Anspruch auf eine Parteientschädigung (Art. 68 Abs. 1
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 68 Dépens - 1 Le Tribunal fédéral décide, dans son arrêt, si et dans quelle mesure les frais de la partie qui obtient gain de cause sont supportés par celle qui succombe.
1    Le Tribunal fédéral décide, dans son arrêt, si et dans quelle mesure les frais de la partie qui obtient gain de cause sont supportés par celle qui succombe.
2    En règle générale, la partie qui succombe est tenue de rembourser à la partie qui a obtenu gain de cause, selon le tarif du Tribunal fédéral, tous les frais nécessaires causés par le litige.
3    En règle générale, aucuns dépens ne sont alloués à la Confédération, aux cantons, aux communes ou aux organisations chargées de tâches de droit public lorsqu'ils obtiennent gain de cause dans l'exercice de leurs attributions officielles.
4    L'art. 66, al. 3 et 5, est applicable par analogie.
5    Le Tribunal fédéral confirme, annule ou modifie, selon le sort de la cause, la décision de l'autorité précédente sur les dépens. Il peut fixer lui-même les dépens d'après le tarif fédéral ou cantonal applicable ou laisser à l'autorité précédente le soin de les fixer.
und 3
SR 173.110 Loi du 17 juin 2005 sur le Tribunal fédéral (LTF) - Organisation judiciaire
LTF Art. 68 Dépens - 1 Le Tribunal fédéral décide, dans son arrêt, si et dans quelle mesure les frais de la partie qui obtient gain de cause sont supportés par celle qui succombe.
1    Le Tribunal fédéral décide, dans son arrêt, si et dans quelle mesure les frais de la partie qui obtient gain de cause sont supportés par celle qui succombe.
2    En règle générale, la partie qui succombe est tenue de rembourser à la partie qui a obtenu gain de cause, selon le tarif du Tribunal fédéral, tous les frais nécessaires causés par le litige.
3    En règle générale, aucuns dépens ne sont alloués à la Confédération, aux cantons, aux communes ou aux organisations chargées de tâches de droit public lorsqu'ils obtiennent gain de cause dans l'exercice de leurs attributions officielles.
4    L'art. 66, al. 3 et 5, est applicable par analogie.
5    Le Tribunal fédéral confirme, annule ou modifie, selon le sort de la cause, la décision de l'autorité précédente sur les dépens. Il peut fixer lui-même les dépens d'après le tarif fédéral ou cantonal applicable ou laisser à l'autorité précédente le soin de les fixer.
BGG). Die Angelegenheit wird an das Bundesverwaltungsgericht zu neuem Entscheid über die Kosten- und Entschädigungsfolgen zurückgewiesen.

Demnach erkennt das Bundesgericht:

1.
Die Beschwerde wird gutgeheissen und das Urteil des Bundesverwaltungsgerichts vom 27. Mai 2009 aufgehoben.

2.
Die Beschwerdegegnerin wird angewiesen, jede Datenbearbeitung im Bereich des Urheberrechts einzustellen, und es wird ihr untersagt, die bereits beschafften Daten den betroffenen Urheberrechtsinhabern weiterzuleiten.

3.
3.1 Die Gerichtskosten von Fr. 3'000.-- werden der Beschwerdegegnerin auferlegt.

3.2 Für das bundesgerichtliche Verfahren werden keine Parteientschädigungen zugesprochen.

3.3 Die Sache geht zur Regelung der Kosten- und Entschädigungsfrage für das vorinstanzliche Verfahren an das Bundesverwaltungsgericht zurück.

4.
Dieses Urteil wird den Parteien und dem Bundesverwaltungsgericht, Abteilung I, schriftlich mitgeteilt.

Lausanne, 8. September 2010
Im Namen der I. öffentlich-rechtlichen Abteilung
des Schweizerischen Bundesgerichts
Der Präsident: Der Gerichtsschreiber:

Féraud Dold