A-5225/2015 - 2017-04-12 - Protezione dei dati e principio della trasparenza

Bundesverwaltungsgericht
Tribunal administratif fédéral
Tribunale amministrativo federale
Tribunal administrativ federal

Abteilung I

A-5225/2015

Urteil vom 12. April 2017

Richterin Christine Ackermann (Vorsitz),

Besetzung Richterin Claudia Pasqualetto Péquignot,
Richter Jérôme Candrian,

Gerichtsschreiber Pascal Baur.

Eidgenössischer Datenschutz- und
Öffentlichkeitsbeauftragter EDÖB,
Parteien Feldeggweg 1, 3003 Bern,

Kläger,

gegen

Lucency AG,
Mittlere Dorfstrasse 3, 8598 Bottighofen,

Beklagte,

Gegenstand Umsetzung von Empfehlungen des EDÖB.

Sachverhalt:

A.
Die Lucency AG ist seit dem 23. Oktober 2014 im Handelsregister des Kantons Thurgau eingetragen und hat ihren Sitz in Bottighofen. Zuvor hatte sie ihren Sitz in Rorschach, Kanton St. Gallen, noch früher, bis Januar 2013, in Zürich. In der Rubrik "Personalangaben" des Handelsregistereintrags wird einzig Stephan Schellscheidt, deutscher Staatsangehöriger, in Rorschach, als Mitglied (des Verwaltungsrats) mit Einzelunterschrift genannt. Der Zweck der Gesellschaft wird wie folgt angegeben:

Zweck der Gesellschaft ist der Betrieb einer Mediaagentur und dergleichen für die Erstellung und den Verkauf von innovativen Dienstleistungen im Bereich Kommunikation und Marketing, Unternehmens- und Finanzberatung, Datenverarbeitung und -analyse, Adressenmitteilung und -verwaltung, Optimierung von Zielgruppen, Konzeption und Durchführung von Direktwerbeaktionen, Beschaffung bzw. Produktion der erforderlichen Materialien und Werbeerfolgskontrolle. Die Gesellschaft kann internationale Handels- und Beratergeschäfte abwickeln, Zweigniederlassungen und Tochtergesellschaften errichten und sich an anderen Unternehmen im In- und Ausland beteiligen und Beteiligungen erwerben. Die Gesellschaft ist berechtigt, Grundeigentum/Immobilien zu erwerben, zu belasten, zu veräussern und zu verwalten. Die Gesellschaft kann im übrigen alle Geschäfte tätigen, die geeignet sind, die Entwicklung des Unternehmens und die Erreichung des Gesellschaftszwecks zu fördern.

B.

B.a Ende Januar bzw. Anfang März 2012 wandten sich drei in Deutschland wohnhafte Personen in separaten Eingaben an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB und baten diesen zuständigkeitshalber um Unterstützung bei ihrem datenschutzrechtlichen Vorgehen gegen die Lucency AG. Die drei Personen hatten unerwünschte Werbeschreiben der Targobank AG & Co. KGaA (nachfolgend: Targobank) in Deutschland erhalten. Nachfragen bei dieser und bei der für deren Werbeaktion zuständigen Indima direct GmbH in Pforzheim, Deutschland, hatten ergeben, dass ihre Adressdaten von der Lucency AG bezogen worden waren, die damals Sitz in Zürich sowie eine Anschrift in Neukirchen-Vluyn, Deutschland, hatte. An letztere Anschrift gerichtete Auskunftsersuchen sowie ein Begehren auf Löschung der Adressdaten waren unbeantwortet geblieben, ebenso direkt an den Sitz in der Schweiz gerichtete Auskunftsersuchen.

B.b Mit Schreiben vom April bzw. Mai 2012 gelangte der EDÖB unter Bezugnahme auf die Eingaben der drei betroffenen Personen an die Lucency AG in Zürich und ersuchte diese - je nach Begehren der betroffenen Person bei ihm - um Auskunftserteilung über die bearbeiteten Adressdaten, Löschung dieser Daten oder beides zusammen. Mit Schreiben vom 31. Mai 2012 erteilte die Lucency AG den betroffenen Personen jeweils Auskunft über die bearbeiteten Adressdaten und stellte deren Sperrung (falls gewünscht) oder deren Löschung (falls gewünscht oder keine Rückmeldung) in Aussicht. Über diese Schreiben informierte sie den EDÖB. Zugleich teilte sie ihm mit, sie habe den Anlass genutzt, die internen Abläufe zu beschleunigen, damit künftig für eine umgehende Beantwortung entsprechender Begehren gesorgt sei.

C.

C.a In der Folge meldeten sich allerdings drei weitere in Deutschland wohnhafte Personen wegen vergleichbarer Sachverhalte beim EDÖB und ersuchten diesen um Unterstützung bei ihrem datenschutzrechtlichen Vorgehen gegen die Lucency AG (Auskunfts- und Löschungsbegehren). Der EDÖB wandte sich deshalb mit Schreiben vom 13. November 2012, 16. Oktober 2013 und 16. Juni 2014 erneut an die Lucency AG und ersuchte diese, den betroffenen Personen Auskunft über die bearbeiteten Adressdaten zu erteilen und diese zu löschen. Die Lucency AG reagierte auf diese Schreiben nicht und kam der Aufforderung des EDÖB nicht nach.

C.b Am 17. September 2014 erliess der EDÖB deshalb eine Empfehlung nach Art. 29 Abs. 3 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG, SR 235.1) "betreffend die Umsetzung der Auskunfts- und Widerspruchsrechte bei der Lucency AG". In seinen Erwägungen stellte er fest, die Lucency AG erfülle ihre Auskunftspflicht nach Art. 8 DSG nicht und setze die Anforderungen an das Widerrufsrecht nach Art. 12 Abs. 2 Bst. b DSG nicht um. Zudem sei sie bis anhin ihrer Meldepflicht nach Art. 11a DSG nicht nachgekommen. Gestützt auf seine Erwägungen empfahl er Folgendes:

1. Innert der gesetzlichen Frist von 30 Tagen beantwortet die Lucency AG die Auskunftsbegehren (Art. 8 DSG) oder gibt an, aus welchem Grund sie die Auskunft verweigert, einschränkt oder aufschiebt (Art. 9 DSG). Insbesondere muss die Lucency AG betroffenen Personen alle über sie in der Datensammlung vorhandenen Daten, einschliesslich der verfügbaren Angaben über die Herkunft der Daten, bekannt geben.

2. Adressdaten werden nach Art. 12 Abs. 2 lit. b DSG auf Antrag gelöscht bzw. gesperrt (ausser wenn ein Rechtfertigungsgrund nach Art. 13 DSG vorliegt). Die betroffenen Personen werden von der Lucency AG entsprechend informiert.

3. Die Lucency AG meldet ihre Datensammlung(en) im Sinne von Art. 11a Abs. 3 Bst. b beim EDÖB an oder gibt an, welche Ausnahme nach Art. 11a Abs. 5 DSG für sie anwendbar ist.

Er forderte die Lucency AG auf, ihm innert der angesetzten Frist mitzuteilen, ob sie die Empfehlung annehme oder ablehne. Ausserdem wies er darauf hin, dass er die Angelegenheit dem Bundesverwaltungsgericht vorlegen könne, wenn die Empfehlung nicht befolgt oder abgelehnt werde. Die Empfehlung wurde am 17. September sowie am 3. und 15. Oktober 2014 per Einschreiben versandt; die Lucency AG holte die Einschreibesendungen jedoch nicht ab.

D.
Am 10. Dezember 2014 und 27. Januar 2015 ersuchten zwei weitere in Deutschland wohnhafte Personen den EDÖB um Unterstützung bei ihrem datenschutzrechtlichen Vorgehen gegen die Lucency AG (Auskunfts- und Löschungs- bzw. Sperrbegehren). Eine dritte in Deutschland wohnhafte Person hatte zudem bereits am 13. August 2014 ein schon früher beim EDÖB eingereichtes entsprechendes Ersuchen bekräftigt. Jeweils mit Schreiben vom 19. März 2015 ersuchte der EDÖB die Lucency AG, den betroffenen Personen Auskunft über die bearbeiteten Adressdaten zu erteilen und diese zu löschen. Ausserdem versandte er seine Empfehlung vom 17. September 2014 erneut per Einschreiben, verbunden mit der Aufforderung, ihm mitzuteilen, ob sie angenommen werde. Die Lucency AG holte das Einschreiben diesmal zwar ab, kam der Aufforderung des EDÖB jedoch nicht nach. Anfang Mai und Mitte Juli 2015 gingen bei diesem erneut zwei Unterstützungsersuchen von in Deutschland wohnhaften Personen ein.

E.

E.a Am 27. August 2015 reicht der EDÖB (nachfolgend: Kläger) beim Bundesverwaltungsgericht gestützt auf Art. 29 Abs. 4 DSG in Verbindung mit Art. 35 Bst. b VGG Klage gegen die Lucency AG (nachfolgend: Beklagte) ein, mit folgenden Begehren:

1. Die Beklagte sei zu verpflichten, innert der gesetzlichen Frist von 30 Tagen Auskunftsgesuche nach Art. 8 DSG zu beantworten. Insbesondere muss die Beklagte betroffenen Personen alle über sie in der Datensammlung vorhandenen Daten - einschliesslich der verfügbaren Angaben über die Herkunft dieser Daten - bekannt geben oder jeweils angeben, aus welchem Grund sie die Auskunft verweigert, einschränkt oder aufschiebt.

2. Die Beklagte sei zu verpflichten, Personendaten auf Antrag zu sperren
oder zu löschen bzw. das Vorliegen eines Rechtfertigungsgrundes darzulegen und die betroffenen Personen entsprechend zu informieren.

3. Die Beklagte sei zu verpflichten, ihre Datensammlung bzw. ihre Datensammlungen beim Kläger anzumelden, einen Datenschutzverantwortlichen nach Art. 11a Abs. 5 Bst. e DSG zu bezeichnen, das Ergebnis der Bewertung eines Zertifizierungsverfahrens nach Art. 11a Abs. 5 Bst. f DSG mitzuteilen oder anzugeben, welche weitere Ausnahme nach Art. 11a Abs. 5 DSG für sie anwendbar ist.

4. Unter Kosten- und Entschädigungsfolge zulasten der Beklagten.

E.b Hinsichtlich der Begehren 1 und 2 bringt der EDÖB vor, er habe mehrere Beschwerden von Personen erhalten, die bei der Beklagten ohne Erfolg Auskunfts- und Löschungs- bzw. Sperrbegehren gestellt hätten. Auf sein Verlangen hin habe die Beklagte lediglich in den drei Anfang Januar 2012 gemeldeten Fällen (vgl. Bst. B.a) Auskunft erteilt und die Löschung bzw. Sperrung der Daten bestätigt; auf seine weiteren Schreiben habe sie hingegen nicht reagiert. Er stelle somit fest, dass sie ihre Auskunftspflicht nach Art. 8 DSG sowie die Anforderungen an das Widerspruchsrecht nach Art. 12 Abs. 2 Bst. b DSG nicht erfülle.

E.c Zu Begehren 3 führt er aus, die Adressdaten der betroffenen Personen seien im Rahmen von Marktforschungs-, Werbe- und Vertriebstätigkeiten gewonnen und im System der Beklagten gespeichert worden. Es müsse davon ausgegangen werden, dass die Beklagte eine Datensammlung im Sinne von Art. 3 Bst. g bzw. Art. 11a DSG führe. Da sie die Daten Drittfirmen für Werbezwecke verkaufe, würden zudem im Sinne von Art. 11a Abs. 3 Bst. b DSG regelmässig Personendaten an Dritte bekannt gegeben. Die Beklagte habe somit ihre Datensammlung bzw. ihre Datensammlungen nach Art. 11 Abs. 3 DSG grundsätzlich anzumelden, es sei denn, es liege eine Ausnahme nach Art. 11a Abs. 5 DSG vor. Eine Anmeldung sei bislang jedoch nicht erfolgt, das Bestehen einer Ausnahme nicht dargelegt worden.

F.
Mit Verfügung vom 31. August 2015 setzt die Instruktionsrichterin der Beklagten Frist bis zum 1. Oktober 2015 an, um eine Klageantwort einzureichen. Nach unbenutztem Ablauf der Frist setzt sie der Beklagten mit Verfügung vom 20. Oktober 2015 eine neue Frist bis zum 9. November 2015 zur Einreichung einer Klageantwort an, dies unter Hinweis darauf, dass bei unbenutztem Ablauf auch dieser Frist das Klageverfahren gemäss Art. 12 Abs. 1 des Bundesgesetzes über den Zivilprozess vom 4. Dezember 1947 (BZP, SR 273) ohne Klageantwort fortgesetzt werde.

G.
Da die Beklagte auch innert der zweiten Frist keine Klageantwort einreicht, erklärt die Instruktionsrichterin mit Verfügung vom 20. November 2015 den Schriftenwechsel für abgeschlossen. Zugleich ersucht sie die Parteien, bis zum 7. Dezember 2015 mitzuteilen, ob sie eine mündliche Vorbereitungsverhandlung im Sinne von Art. 34 f . BZP und eine Hauptverhandlung im Sinne von Art. 66 ff . BZP wünschten oder auf diese Verhandlungen verzichteten. Mit Eingabe vom 27. November 2015 teilt der Kläger mit, er verzichte auf diese Verhandlungen. Die Beklagte äussert sich innert Frist nicht.

H.
Auf telefonische Rückfrage der Instruktionsrichterin bei der Beklagten am 18. Dezember 2015 erklärt der einzelzeichnungsberechtigte Stephan Schellscheidt, er habe Anfang bis Juli 2014 eine schwierige Situation bei der Beklagten angetreten und sich unter anderem zuerst einen Überblick verschaffen müssen. In der vorliegenden Sache werde er sich gegenüber dem Gericht am Montag, 21. Dezember 2015, schriftlich vernehmen lassen und Belege zu seinen Ausführungen einreichen. Zur Frage einer Vorbereitungs- und/oder Hauptverhandlung werde er sich ebenfalls Gedanken machen. Unter Bezugnahme auf dieses Telefongespräch setzt die Instruktionsrichterin der Beklagten am 18. Dezember 2015 eine Frist bis zum 4. Januar 2016 an, um sich in der Sache und bezüglich eines eventuellen Verzichts auf die Vorbereitungs- und/oder Hauptverhandlung schriftlich vernehmen zu lassen sowie Belege zum Ausgeführten einzureichen.

I.
Am 5. Januar 2016 reicht Stephan Schellscheidt für die Beklagte per Fax eine rund zweiseitige Stellungnahme ein. Darin erläutert er zum einen, wie sich die Situation der Beklagten ab etwa Mitte Januar 2014 bis im Jahr 2015 entwickelt habe. In diesem Zusammenhang hält er insbesondere fest, zu den von ihm bereits in dieser Zeit empfohlenen Massnahmen habe "die Einstellung der Vermietung von Postadressen an Dritte beziehungsweise Werbetreibende" gehört. Diese Empfehlung habe primär auf der Erkenntnis basiert, dass für diesen Geschäftsbereich weder "eine sinnvolle Wirtschaftlichkeit" habe bestätigt werden können noch die Folgen der unzureichenden Bearbeitung von Anfragen bzw. Beschwerden überschaubar gewesen seien. Zum anderen geht er auf die Empfehlung des Klägers vom 17. September 2014 ein. Er erklärt, diese werde vollumfänglich angenommen. Die Beklagte verpflichte sich, die "Vermietung gewonnener Postadressen an Dritte sowie jegliche werbliche Nutzung ausnahmslos einzustellen". Eine Wiederaufnahme dieser Tätigkeit finde nur nach vorheriger Abklärung mit den zuständigen Behörden (Kläger) und einer allfälligen ausdrücklichen Genehmigung statt, wobei in diesem Fall ein Datenschutzbeauftragter gewählt würde. Die Geschäftstätigkeit werde sich künftig auf die Weiterentwicklung und Vermarktung der seit Mitte 2013 entwickelten Software- und Analysewerkzeuge beschränken. Parallel zu seiner Eingabe werde im Weiteren die Beantwortung aller der Beklagten "bekanntgewordenen Anfragen zu Auskunfts- und Löschungsbegehren gem. Art. 8 beziehungsweise Art. 12 Abs. 2 DSG" nachgeholt. Eine Aufstellung hierzu nebst einer Kopie der diesbezüglichen Schreiben werde dem Kläger bis spätestens 15. Januar 2016 zugehen. Die Beklagte werde diesen darüber hinaus umgehend kontaktieren, um sicherzustellen, dass alle bekanntgewordenen Anfragen bearbeitet worden bzw. Teil der genannten Aufstellung seien.

J.

J.a Am 5. Februar 2016 nimmt der Kläger zur Faxeingabe der Beklagten Stellung. Er bringt vor, bis anhin seien keine Kopien von Auskunftserteilungen bzw. Sperrbestätigungen bei ihm eingegangen, ebenso wenig habe er eine Aufstellung über entsprechende Schreiben erhalten; die Beklagte habe ihn in dieser Hinsicht auch nicht kontaktiert. Konkrete Massnahmen zur Wahrung der Datenschutzrechte (Art. 8 DSG und Widerspruchsrecht nach Art. 12 Abs. 2 Bst. b DSG) seien somit nicht erfolgt bzw. dargelegt worden. Trotz der in der Eingabe vom 5. Januar 2016 erklärten Annahme seiner Empfehlungen müsse daher davon ausgegangen werden, die Beklagte erfülle ihre Datenschutzpflichten weiterhin nicht.

J.b Die Beklagte habe im Weiteren sämtliche Schreiben von ihm ignoriert bzw. nicht entgegengenommen. Auch im vorliegenden Klageverfahren habe sie zunächst nicht auf die Verfügungen der Instruktionsrichterin reagiert, zudem halte sie Fristen und ihre Versprechungen nicht ein. Unter diesen Umständen halte er ihre Glaubwürdigkeit und Kooperationsbereitschaft für zweifelhaft und den Abschluss eines Vergleichs für schwierig. Ein solcher setze voraus, dass die Beklagte die versprochenen Nachweise fristgerecht lückenlos einreiche und einen detaillierten schriftlichen Vorschlag mache, mit welchen Massnahmen sie seine Empfehlungen umsetzen wolle. Aufgrund des bisherigen Verhaltens der Beklagten sei zu befürchten, sie lasse ihren Zugeständnissen und Versprechen keine Taten folgen. Es sei daher die Ungehorsamsstrafe nach Art. 292 StGB anzudrohen. Er verlange zudem, dass die Beklagte technische und organisatorische Massnahmen ergreife, um die Wahrung der Auskunfts- und Widerspruchsrechte sicherzustellen, und ihm diese Massnahmen vorlege. Weiter seien alle pendenten Auskunfts- und Widerspruchsbegehren sowie allfällige künftige entsprechende Begehren zu behandeln bzw. zu beantworten. Die Klagebegehren seien im Sinne einer Klageänderung gemäss Art. 26 BZP somit wie folgt zu konkretisieren bzw. zu ändern (Änderungen kursiv):

1.

a) Die Beklagte sei zu verpflichten, innert der gesetzlichen Frist von 30 Tagen Auskunftsgesuche nach Art. 8 DSG zu beantworten, inklusive die pendenten Auskunftsbegehren. Insbesondere muss die Beklagte betroffenen Personen alle über sie in der Datensammlung vorhandenen Daten - einschliesslich der verfügbaren Angaben über die Herkunft dieser Daten - bekannt geben oder jeweils angeben, aus welchem Grund sie die Auskunft verweigert, einschränkt oder aufschiebt.

b) Die Beklagte sei zu verpflichten, die für die Umsetzung des Begehrens 1a notwendigen technischen und organisatorischen Massnahmen vorzulegen.

unter Strafandrohung des Artikels 292 des Strafgesetzbuches

2.

Die Beklagte sei zu verpflichten, Personendaten auf Antrag zu sperren
oder zu löschen (inklusive pendente Anträge) bzw. das Vorliegen eines Rechtfertigungsgrundes darzulegen und die betroffenen Personen entsprechend zu informieren.

unter Strafandrohung des Artikels 292 des Strafgesetzbuches

3.

Die Beklagte sei zu verpflichten, ihre Datensammlung bzw. ihre Datensammlungen beim Kläger anzumelden, einen Datenschutzverantwortlichen nach Art. 11a Abs. 5 Bst. e DSG zu bezeichnen, das Ergebnis der Bewertung eines Zertifizierungsverfahrens nach Art. 11a Abs. 5 Bst. f DSG mitzuteilen oder anzugeben, welche weitere Ausnahme nach Art. 11a Abs. 5 DSG für sie anwendbar ist.

4.

Unter Kosten- und Entschädigungsfolge zulasten der Beklagten.

J.c Vor dem dargelegten Hintergrund erscheine sodann die Aussage der Beklagten, die "Vermietung der Postadressen an Dritte" sei eingestellt worden, zumindest als fragwürdig; diesbezügliche Belege seien nicht eingereicht worden. Zwar sei die Massnahme nicht Teil seiner Empfehlungen. Da eine tatsächliche Einstellung der "Vermietung der Postadressen an Dritte" mögliche Auswirkungen auf den dargelegten Sachverhalt bzw. auf das Klagebegehren 3 haben könnte, erachte er einen solchen Nachweis aber als notwendig. Die Beklagte habe dabei nachzuweisen, dass keine Datenbekanntgabe an Dritte - also nicht nur keine "Vermietung der Postadressen an Dritte" - mehr erfolge und keine weitere Konstellation der Meldepflicht nach Art. 11a DSG vorliege, also auch keine Bearbeitung besonders schützenswerter Personendaten oder Persönlichkeitsprofile. In diesem Zusammenhang habe sie zudem auszuführen, welche Datenbearbeitungen die "Weiterentwicklung und Vermarktung der entwickelten Software- und Analysewerkzeuge" beinhalte.

K.
Mit Verfügung vom 8. Februar 2016 räumt die Instruktionsrichterin der Beklagten die Möglichkeit ein, sich bis zum 11. März 2016 zur Stellungnahme des Klägers vom 5. Februar 2016 vernehmen zu lassen. Diese Frist verstreicht unbenutzt. Auf telefonische Nachfrage vonseiten des Gerichts am 17. März 2016 erklärt Stephan Schellscheidt, er habe die Verfügung und die Stellungnahme des Klägers nie erhalten, und nennt als Grund Unstimmigkeiten bei der Entgegennahme von Zustellungen in den Zeiten, in denen er nicht vor Ort sei. Auf sein Ersuchen hin werden ihm die Verfügung und die Stellungnahme des Klägers erneut per Fax zugestellt, mit der Bitte, den Eingang der beiden Dokumente telefonisch zu bestätigen. Ausserdem wird ihm die Möglichkeit eingeräumt, sich bis zum 25. März 2016 vernehmen zu lassen, was er in Aussicht stellt. Obschon die beiden Dokumente gemäss Sendebericht erfolgreich versandt werden, bestätigt er in der Folge deren Eingang nicht; ebenso wenig reicht er eine Stellungnahme ein.

L.
Mit Verfügung vom 11. April 2016 lädt die Instruktionsrichterin die Parteien auf den 7. Juni 2016 zur Vorbereitungsverhandlung vor. Sie weist namentlich darauf hin, dass die Verhandlung auch dann durchgeführt werde, wenn eine Partei ausbleibe, und hinsichtlich der ausbleibenden Partei angenommen werde, sie verzichte auf die Darlegung des eigenen Standpunkts. Sie gibt der Beklagten zudem erneut Gelegenheit, auf die Vorbereitungs- und/oder Hauptverhandlung zu verzichten. Mit Schreiben vom 28. April 2016 schickt sie eine Kopie der an die bisherige Adresse der Beklagten in Bottighofen gesandten und zugestellten Verfügung an die neue, dem Gericht nicht gemeldete Adresse der Beklagten in der gleichen Gemeinde.

M.
Zur Vorbereitungsverhandlung vom 7. Juni 2016 erscheint lediglich der Kläger; die Beklagte bleibt unentschuldigt aus. Der Kläger erklärt, er habe mit E-Mail vom 18. März 2016 - die zu den Akten genommen wird - die Beschwerde einer weiteren in Deutschland wohnhaften Person erhalten, die sich mit einem Auskunftsbegehren an die Beklagte gewandt, von dieser jedoch keine Antwort erhalten habe. Es gebe somit weiterhin die Beklagte betreffende Beschwerden. Es sei zudem anzunehmen, dass sich nur ein Teil der Betroffenen bei ihm beschwert habe bzw. beschwere, zumal alle bisherigen Beschwerden von Personen aus Deutschland gestammt hätten. Die Beklagte habe weiter bislang keine Datensammlung(en) bei ihm registriert. Ebenso wenig habe sie darum ersucht, von der Pflicht zur Anmeldung der Datensammlung(en) befreit zu werden. Sie habe sich vielmehr nie bei ihm gemeldet. Sie habe zudem nichts von dem, was sie versprochen habe, eingehalten. An der Replik (Stellungnahme vom 5. Februar 2016) werde festgehalten. Die Situation sei unverändert, alle Unterlagen seien eingereicht worden, es gebe nichts zu ergänzen. Der Fall sei klar.

N.
Mit Verfügung vom 8. Juni 2016 stellt die Instruktionsrichterin den Parteien das Protokoll der Vorbereitungsverhandlung zu und gibt ihnen Gelegenheit, bis zum 23. Juni 2016 allfällige Bemerkungen dazu einzureichen. Die Beklagte erhält ausserdem Gelegenheit, innert dieser Frist zu den Vorbringen des Klägers anlässlich der Vorbereitungsverhandlung Stellung zu nehmen und mitzuteilen, ob sie auf die Durchführung der Hauptverhandlung verzichte. Der Kläger wird aufgefordert, innert der genannten Frist die Konkretisierung der verlangten technischen und organisatorischen Massnahmen einzureichen.

O.
In der Folge äussert sich einzig der Kläger. Mit Eingabe vom 22. Juni 2016 erklärt er, die Beklagte habe bislang nicht dargelegt, welche konkreten Massnahmen sie zur Wahrung der Datenschutzrechte umgesetzt habe. Insbesondere seien die pendenten Auskunfts- und Widerspruchsbegehren nicht beantwortet worden. Er fordere die Beklagte daher auf, den Prozess bzw. Ablauf bei einem Auskunfts- bzw. Widerspruchsbegehren festzulegen und zu dokumentieren. Es sei festzuhalten, wie das Verfahren zur Umsetzung des Auskunfts- und Widerspruchsrechts ablaufe. Er verweise dabei auf seinen - auszugsweise eingereichten - Leitfaden vom August 2015 zu den technischen und organisatorischen Massnahmen des Datenschutzes (S. 27; abrufbar unter: https://www.edoeb.admin.ch/datenschutz/00628/ 00629/00636/index.html?lang=de ). Das Konzept der Beklagten solle insbesondere die in der Eingabe aufgeführten Punkte enthalten.

P.
Mit Verfügung vom 14. Juli 2016 räumt die Instruktionsrichterin der Beklagten die Möglichkeit ein, sich bis zum 3. August 2016 zur Stellungnahme des Klägers vom 22. Juni 2016 vernehmen zu lassen. Weiter teilt sie den Parteien mit, das Vorbereitungsverfahren sei abgeschlossen, und gibt ihnen Gelegenheit, innert zehn Tagen seit Zustellung der Verfügung einen Antrag auf Ergänzung ihrer Beweiserhebungen an der Hauptverhandlung oder - bei Vorliegen besonderer Gründe - auf Wiederholung der von ihr erhobenen Beweise zu stellen. Sie lädt die Parteien zudem auf den 6. September 2016 zur Hauptverhandlung vor, dies unter Hinweis auf die Säumnisfolgen nach Art. 12 BZP bzw. darauf, dass die Verhandlung auch bei Ausbleiben einer Partei durchgeführt werde.

Q.
Mit Eingabe vom 21. Juli 2016 reicht der Kläger den Schriftenwechsel ein, den die anlässlich der Vorbereitungsverhandlung erwähnte weitere betroffene Person mit der Beklagten und mit ihm führte, und beantragt, die eingereichten Dokumente seien als Beweismittel zu den Akten zu nehmen. Mit Verfügung vom 27. Juli 2016 gibt die Instruktionsrichterin der Beklagten Gelegenheit, bis zum 24. August 2016 zur Eingabe des Klägers Stellung zu nehmen. Diese Frist verstreicht wie jene bis zum 3. August 2016 (vgl. Bst. P) unbenutzt.

R.
Zur Hauptverhandlung am 6. September 2016 erscheint lediglich der Kläger; die Beklagte bleibt unentschuldigt aus. Der Kläger hält in seinem Parteivortrag an den modifizierten Klagebegehren fest und fasst seine bisherigen Vorbringen kurz zusammen. Er weist ausserdem darauf hin, dass der Beklagten wegen fehlender Geschäftstätigkeit die amtliche Löschung im Handelsregister drohe.

S.
Mit Verfügung vom 8. September 2016 stellt die Instruktionsrichterin den Parteien das Protokoll der Hauptverhandlung zu (inklusive Plädoyernotizen des Klägers) und gibt ihnen Gelegenheit, sich bis zum 23. September 2016 dazu vernehmen zu lassen. Die Frist verstreicht unbenutzt.

T.
Auf die weiteren Vorbringen der Parteien und die sich bei den Akten befindlichen Schriftstücke wird, soweit entscheidrelevant, in den nachfolgenden Erwägungen eingegangen.

Das Bundesverwaltungsgericht zieht in Erwägung:

1.

1.1 Das Bundesverwaltungsgericht beurteilt nach Art. 35 Bst. b VGG als erste Instanz Klagen betreffend Streitigkeiten über Empfehlungen des EDÖB im Privatrechtsbereich. Bei der vorliegenden Klage handelt es sich um eine solche Klage. Das Bundesverwaltungsgericht ist demnach - vorbehältlich der Nichtanwendbarkeit des DSG (vgl. David Rosenthal, in: Handkommentar zum DSG, Zürich 2008, N. 7 und 43 zu Art. 29 DSG; zur Anwendbarkeit des DSG vgl. E. 1.2.1) - für deren Beurteilung zuständig.

Das Verfahren richtet sich gemäss Art. 44 Abs. 1 VGG nach den Art. 3 -73 und 79 -85 BZP, die sinngemäss zur Anwendung kommen (vgl. Moser/ Beusch/Kneubühler, Prozessieren vor dem Bundesverwaltungsgericht, 2. Aufl. 2013, Rz. 5.7). Abweichend von Art. 3 Abs. 2 BZP, wonach der Richter sein Urteil nur auf Tatsachen gründen darf, die im Verfahren geltend gemacht worden sind, gilt jedoch der Grundsatz der Sachverhaltsabklärung von Amtes wegen (vgl. Art. 44 Abs. 2 VGG). Die Gerichtsgebühren und die Parteientschädigung wiederum richten sich nach den Art. 63 -65 VwVG (vgl. Art. 44 Abs. 3 VGG).

1.2 Nach Art. 29 Abs. 4 DSG kann der EDÖB die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen, wenn seine Empfehlung nicht befolgt oder abgelehnt wird. Passivlegitimiert können jene Datenbearbeiter sein, die formell und materiell Adressat der umstrittenen Empfehlung sind und diese nicht befolgen oder ablehnen (vgl. Urteil des BVGer
A-7040/2009 vom 30. März 2011 [nachfolgend: Urteil des BVGer
A-7040/2009] E. 4.3.1; Rosenthal, a.a.O., N. 42 zu Art. 29 DSG). Die Legitimation der Parteien wird - anders als im Zivilprozess - als subjektive Prozessvoraussetzung betrachtet, bei deren Fehlen ein Nichteintretensentscheid zu fällen ist (vgl. Urteil des BVGer A-7040/2009 E. 4.3.1; Rosenthal, a.a.O., N. 42 zu Art. 29 DSG).

1.2.1 Die Aktivlegitimation des Klägers setzt angesichts des internationalen Bezugs des vorliegenden Sachverhalts zunächst voraus, dass das DSG überhaupt zur Anwendung kommt und der Kläger grundsätzlich zuständig war, den Sachverhalt auf seine Konformität mit dem DSG zu überprüfen und eine Empfehlung abzugeben. Dies ist zu bejahen. Da die Beklagte ihren Sitz in der Schweiz hat und hier Personendaten bearbeitet (vgl. E. 4.3.1 f.), kommen die Vorschriften des DSG mit öffentlich-rechtlichem Charakter, also auch Art. 29 DSG, aufgrund des Territorialitätsprinzips zur Anwendung (vgl. BGE 138 II 346 E. 3.2; Urteil des BVGer
A-7040/2009 E. 5.4.1; Rosenthal, a.a.O., N. 6 zu Art. 29 DSG). Da jene in Deutschland wohnhaften betroffenen Personen, die sich an den Kläger wandten, von diesem verlangten, er möge sich der Angelegenheit annehmen, kommen weiter die Vorschriften des DSG mit privatrechtlichem Charakter selbst nach der einschränkenden Ansicht von Rosenthal (vgl. Rosenthal, a.a.O., N. 7 zu Art. 29 DSG) auch dann zur Anwendung, wenn es sich vorliegend um einen internationalen Sachverhalt im Sinne des Bundesgesetzes vom 18. Dezember 1987 über das Internationale Privatrecht (IPRG, SR 291) handelte (vgl. Urteil des BVGer A-7040/2009 E. 5.5 und 5.5.1 ff.).

Die Aktivlegitimation des Klägers setzt weiter voraus, dass dieser nach Art. 29 Abs. 1 -3 DSG zum Erlass der Empfehlung vom 17. September 2014 (vgl. Bst. C.b) befugt war. Auch dies trifft zu. Zum einen ist davon auszugehen (vgl. E. 4.3.1 f.), es liege ein Systemfehler im Sinne von Art. 29 Abs. 1 Bst. a DSG vor, der den Kläger zu näherer Abklärung des vorliegenden Sachverhalts und zum Erlass der Empfehlung berechtigte. Zum anderen ist davon auszugehen (vgl. E. 5.2), die Beklagte sei nach Art. 11a DSG zur Registrierung (mindestens) einer Datensammlung verpflichtet, weshalb der Kläger auch aus diesem Grund (vgl. Art. 29 Abs. 1 Bst. b DSG) zu näherer Abklärung des Sachverhalts und zum Erlass der Empfehlung befugt war.

Die Aktivlegitimation des Klägers setzt schliesslich, wie erwähnt, voraus, dass dessen Empfehlung von der Beklagten nicht befolgt oder abgelehnt wurde bzw. wird (vgl. Art. 29 Abs. 4 DSG). Dies ist der Fall. Zwar erklärt die Beklagte in ihrer Faxeingabe vom 5. Januar 2016 (vgl. Bst. I), sie nehme die Empfehlung vollumfänglich an. Dass sie diese umgesetzt hätte, ist indes nicht ersichtlich (vgl. E. 4.3.2). Die Aktivlegitimation des Klägers ist demnach zu bejahen.

1.2.2 Die Beklagte ist formelle und materielle Adressatin der Empfehlung des Klägers vom 17. September 2014. Sie hat diese zudem, wie erwähnt, bislang nicht umgesetzt. Sie ist demnach passivlegitimiert.

1.3 Die Klage ist an keine bestimmte Frist gebunden und wurde vom Kläger nicht ungebührlich hinausgezögert (vgl. René Huber, in: Basler Kommentar DSG/BGÖ, 3. Aufl. 2014, N. 34 und 34a zu Art. 29 DSG). Sie genügt ausserdem den Formerfordernissen (vgl. Art. 23 BZP). Grundsätzlich ist demnach auf sie einzutreten. Nachfolgend zu klären bleibt, in welchem Umfang ein Eintreten möglich ist bzw. was Streitgegenstand des vorliegenden Verfahrens bildet.

2.

2.1 Gemäss Art. 3 Abs. 2 BZP darf der Richter über die Rechtsbegehren der Parteien nicht hinausgehen. Diese Regelung findet aufgrund des Verweises von Art. 44 Abs. 1 VGG (vgl. E. 1.1) auch in Klageverfahren betreffend Empfehlungen des EDÖB Anwendung. Auch in solchen Verfahren gilt demnach - entgegen der Ansicht von Schweizer/Glutz von Blotzheim (vgl. Schweizer/Glutz von Blotzheim, Wie die Empfehlungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gegenüber privaten Datenbearbeitern umgesetzt werden, Jusletter vom 21. Februar 2011, Rz. 11 ff.) - die Dispositionsmaxime (vgl. Urteil des BVGer
A-7040/2009 E. 2.2 f.). Der Streitgegenstand wird in solchen Verfahren deshalb ausschliesslich durch die gestellten Rechtsbegehren (und allenfalls die entsprechende Begründung) definiert, weshalb einer Partei nicht mehr oder nichts anderes zugesprochen werden darf, als sie beantragt (vgl. BVGE 2008/16 E. 2.2; Urteil des BVGer A-7040/2009 E. 2.2; Moser/ Beusch/Kneubühler, a.a.O., Rz. 5.14).

Nach Art. 26 Abs. 1 BZP - der vom Verweis von Art. 44 Abs. 1 VGG mit umfasst ist und damit in Klageverfahren wie dem vorliegenden ebenfalls Anwendung findet - kann das Rechtsbegehren in der Weise geändert werden, dass ein anderer oder weiterer Anspruch erhoben wird, der mit dem bisher geltend gemachten im Zusammenhang steht (Klageänderung). Der erforderliche Zusammenhang ist zu bejahen, wenn aus dem bestehenden tatsächlichen Klagefundament ein anderer oder weiter gehender Rechtsschluss gezogen wird (vgl. Philipp Gelzer, Prozessieren vor Bundesgericht, 4. Aufl. 2014, Rz. 7.27).

Gemäss Rosenthal kann der EDÖB im Klageverfahren vor Bundesverwaltungsgericht nur Massnahmen verlangen, die inhaltlich nicht über die von ihm empfohlenen Massnahmen hinausgehen. In diesem Rahmen darf er die von ihm begehrten Massnahmen aber konkreter formulieren und genauer umschreiben, um die Vollstreckbarkeit sicherzustellen. Er kann vom Gericht zudem die Androhung von Vollstreckungsmassnahmen wie zum Beispiel die Ungehorsamsstrafe nach Art. 292 StGB verlangen (vgl. zum Ganzen Rosenthal, a.a.O., N. 46 zu Art. 29 DSG).

2.2 Die Rechtsbegehren 1-3 der Klage vom 27. August 2015 (vgl. Bst. E.a; Rechtsbegehren 4 betrifft die Kosten- und Entschädigungsfolge im vorliegenden Verfahren) stimmen inhaltlich mit den drei Empfehlungen des Klägers vom 17. September 2014 (vgl. Bst. C.b) überein, gehen über diese also nicht hinaus. In der Stellungnahme des Klägers vom 5. Februar 2016 (vgl. Bst. J.b) wird das ursprüngliche Begehren 1 (neu 1a) um das Begehren 1b ergänzt, wonach die Beklagte zu verpflichten sei, dem Kläger die für die Umsetzung des Begehrens 1a notwendigen technischen und organisatorischen Massnahmen vorzulegen. Dieses neue Begehren dient weder der konkreteren Formulierung noch der genaueren Umschreibung der mit Begehren 1a beantragten Verpflichtung der Beklagten. Mit der Verpflichtung zur Vorlage der erwähnten Massnahmen soll dieser vielmehr eine neue und zusätzliche Verpflichtung auferlegt werden. Das Begehren 1b geht somit über das hinaus, was in Klageverfahren betreffend Empfehlungen des EDÖB beantragt werden darf. Es steht denn auch im Wesentlichen im Zusammenhang mit der Frage, unter welchen Voraussetzungen für den Kläger angesichts der Erklärung der Beklagten in der Faxeingabe vom 5. Januar 2016, sie nehme seine Empfehlungen an, eine vergleichsweise Erledigung des vorliegenden Klageverfahrens in Frage käme (vgl. Bst. J.b). Da das Begehren den Streitgegenstand in unzulässiger Weise ausweitet, kann nicht darauf eingetreten werden. Auf die Frage, ob es genügend präzis formuliert ist und nach Art. 26 BZP zulässig wäre, braucht daher nicht eingegangen zu werden.

In der erwähnten Stellungnahme des Klägers werden im Weiteren die Begehren 1a und 2 in zulässiger Weise präzisiert, indem klargestellt wird, dass sie sich auch auf die pendenten Auskunftsbegehren bzw. Sperr- und Löschungsbegehren beziehen. Ausserdem werden die Begehren 1a und 2 jeweils um den Antrag ergänzt, es sei die Ungehorsamsstrafe nach Art. 292 StGB anzudrohen. Dies ist, wie ausgeführt, ebenfalls zulässig. Der Streitgegenstand des vorliegenden Verfahrens wird somit durch die Begehren 1a, 2 und 3 in der Stellungnahme des Klägers vom 5. Februar 2016 definiert.

3.
Wie dargelegt, äusserte sich die Beklagte einzig in ihrer nach Ablauf der Frist zur Einreichung der Klageantwort eingegangenen Faxeingabe vom 5. Januar 2016 (vgl. Bst. I) zur vorliegenden Angelegenheit und erschien sie unentschuldigt weder zur Vorbereitungsverhandlung vom 7. Juni 2016 noch zur Hauptverhandlung vom 6. September 2016. Hinsichtlich der unentschuldigten Nichtteilnahme an den beiden Verhandlungen und des Verpassens der Frist zur Einreichung der Klageantwort greifen die vorgängig angedrohten gesetzlichen Säumnisfolgen (vgl. Bst. F, L und P). Bezüglich der ausgebliebenen freigestellten Stellungnahmen ist davon auszugehen, die Beklagte habe auf diese verzichtet. Über die Klage kann somit ungeachtet der Versäumnisse der Beklagten aufgrund der Akten entschieden werden. Daran ändert nichts, dass im vorliegenden Klageverfahren der Grundsatz der Sachverhaltsabklärung von Amtes wegen gilt (vgl. E. 1.1). Wegen der Geltung dieses Grundsatzes müssen grundsätzlich alle entscheidrelevanten Eingaben, Unterlagen und protokollierten mündlichen Vorbringen berücksichtigt werden, also etwa auch die Faxeingabe der Beklagten. Aus diesen Akten geht der entscheidrelevante Sachverhalt in rechtsgenüglicher Weise hervor (vgl. E. 4.3.1 f. und 5.2), weshalb von vornherein keine ergänzenden Sachverhaltsabklärungen vorzunehmen sind. Nachfolgend ist somit zu prüfen, ob die Klage, soweit sie zulässig ist (vgl. E. 2.2), angesichts des Sachverhalts, wie er sich aus den Akten ergibt, begründet ist.

4.

4.1 Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden (Abs. 1; zu den Begriffen "Daten" bzw. "Personendaten", "bearbeiten", "Datensammlung" und "Inhaber einer Datensammlung" sowie zum Begriff "bekannt geben" vgl. Art. 3 Bst. a , e, f, g und i DSG). Der Inhaber der Datensammlung muss der betroffenen Person (zum Begriff vgl. Art. 3 Bst. b DSG) alle über sie in der Datensammlung vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten mitteilen, ausserdem den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger (Abs. 2). Lässt er Personendaten durch einen Dritten bearbeiten, bleibt er auskunftspflichtig (Abs. 3). Die Auskunft ist in der Regel schriftlich, in der Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen (Abs. 4), ausserdem in der Regel innert 30 Tagen seit Eingang des Auskunftsbegehrens (vgl. Art. 1 Abs. 4 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz [VDSG, SR 235.11]). Sie kann vom privaten Inhaber einer Datensammlung unter Angabe des Grundes (vgl. Art. 9 Abs. 5 DSG) aus den in Art. 9 Abs. 1 und 4 DSG genannten Gründen verweigert, eingeschränkt
oder aufgeschoben werden.

4.2 Nach Art. 12 Abs. 1 und 2 Bst. b DSG stellt die Datenbearbeitung gegen den ausdrücklichen Willen der betroffenen Person ohne Vorliegen eines Rechtfertigungsgrundes (zu den Rechtfertigungsgründen vgl. Art. 13 DSG) eine Persönlichkeitsverletzung dar. Die betroffene Person kann das Bearbeiten von sie betreffenden Daten voraussetzungslos und ohne Nachweis eines besonderen Interesses verbieten (Widerspruchsrecht; vgl. Corrado Rampini, in: Basler Kommentar DSG/BGÖ, 3. Aufl. 2014, N. 10 zu Art. 12 DSG). Kann sich ein Bearbeiter auf einen Rechtfertigungsgrund berufen, ist das ausgesprochene Verbot unbeachtlich (vgl. Rampini, a.a.O., N. 13 zu Art. 12 DSG). Da das Aufbewahren und Archivieren von Personendaten ebenfalls eine Form des Bearbeitens im Sinne von Art. 3 Bst. e DSG ist und daher nach Art. 12 Abs. 2 Bst. b DSG untersagt werden darf, kann über das Widerspruchsrecht auch die ganze oder teilweise Löschung von Personendaten verlangt werden (vgl. Rosenthal, a.a.O., N. 32 zu Art. 12 DSG).

4.3

4.3.1 Aus den Akten geht hervor, dass die Beklagte in den letzten Jahren Adress- und damit Personendaten von in Deutschland wohnhaften Personen an Interessenten in Deutschland bekannt gab und diese Daten in der Folge zu Werbezwecken verwendet wurden. Da die Bekanntgabe der Daten - wie insbesondere aus der Faxeingabe der Beklagten vom 5. Januar 2016 hervorgeht - zu ihrer Geschäftstätigkeit gehörte, ist davon auszugehen, sie sei regelmässig erfolgt und habe auch Adressdaten weiterer Personen umfasst. Ausserdem ist anzunehmen, der Bestand der Adressdaten sei nach betroffenen Personen erschliessbar, die Beklagte mithin Inhaberin (mindestens) einer Datensammlung gewesen (vgl. Art. 3 Bst. g DSG).

Als Inhaberin (mindestens) einer Datensammlung, die namentlich mit der Bekanntgabe von Adressdaten ins Ausland Personendaten bearbeitete (vgl. BGE 138 II 346 E. 3.2; Urteil des BVGer A-7040/2009 E. 5.4.1), hatte die Beklagte im Zusammenhang mit Auskunfts- und Sperr- bzw. Löschungsbegehren nach Art. 8 und 12 DSG die vorstehend dargelegten Pflichten. Diese erfüllte sie jedoch nicht. Aus den Akten geht vielmehr hervor, dass sie - von den erwähnten drei Fällen abgesehen, in denen sie ihr Verhalten auf Druck des Klägers änderte (vgl. Bst. B.b) - den Auskunfts- und Sperr- bzw. Löschungsbegehren der bekannten betroffenen Personen keine Folge leistete (vgl. Bst. C.a und D). Angesichts ihres Verhaltensmusters ist zudem davon auszugehen, ein Teil der weiteren betroffenen Personen habe sich ebenfalls erfolglos mit entsprechenden Begehren an sie gewandt, in der Folge aber davon abgesehen, sich beim Kläger über ihr Verhalten zu beschweren. Diese Annahme rechtfertigt sich umso mehr, als sämtliche bekannten betroffenen Personen in Deutschland wohnhaft sind. Für die letzten Jahre ist somit davon auszugehen, die Beklagte sei hinsichtlich der bei ihr eingegangenen Auskunfts- und Sperr- bzw. Löschungsbegehren den dargelegten datenschutzrechtlichen Pflichten generell nicht nachgekommen.

4.3.2 Was die gegenwärtige Situation betrifft, so erklärt die Beklagte in ihrer Faxeingabe vom 5. Januar 2016 zwar, sie verpflichte sich, "die Vermietung gewonnener Postadressen an Dritte sowie jegliche werbliche Nutzung ausnahmslos einzustellen". Dass sie dies getan hätte, ist indes weder ersichtlich noch in irgendeiner Weise belegt. Der Kläger weist zudem zu Recht darauf hin, dass nicht nur der Verzicht auf die "Vermietung der Postadressen an Dritte" zu belegen wäre, sondern die Einstellung der Datenbekanntgabe an Dritte. Weder erkennbar noch belegt ist im Weiteren, dass die Beklagte - wie in der Faxeingabe angekündigt - alle ihr "bekanntgewordenen Anfragen zu Auskunfts- und Löschungsbegehren" beantwortet hätte. Die weitere beim Kläger eingegangene Beschwerde (vgl. Bst. M) legt vielmehr das Gegenteil nahe. Die Beklagte liess dem Kläger denn auch die mit ihrer Faxeingabe in Aussicht gestellte "Aufstellung" der entsprechenden Schreiben nicht zukommen. Weder ersichtlich noch belegt ist überdies, dass die Beklagte die notwendigen Massnahmen getroffen hätte, um neu eingehende Auskunfts- und Sperr- bzw. Löschungsbegehren den rechtlichen Anforderungen gemäss bearbeiten zu können, oder derartige Begehren nunmehr entsprechend bearbeiten würde. Unter diesen Umständen ist davon auszugehen, sie habe aus den erwähnten Gründen nach wie vor die dargelegten datenschutzrechtlichen Pflichten, erfülle diese hinsichtlich der bei ihr eingehenden Auskunfts- und Sperr- bzw. Löschungsbegehren aber weiterhin nicht.

4.3.3 Die Klage erweist sich insoweit demnach als begründet. Die Begehren 1a und 2 (vgl. Bst. J.b) sind daher in Bezug auf die jeweils geforderte Verpflichtung der Beklagten zu datenschutzrechtskonformem Verhalten gutzuheissen (zum Antrag auf Androhung der Ungehorsamsstrafe vgl. E. 6). Der Klarheit halber sei erwähnt, dass pendente Auskunftsbegehren, bei denen die Frist von 30 Tagen zur Beantwortung bereits abgelaufen ist, umgehend zu beantworten sind, zielt das Begehren 1a doch nicht darauf ab, für solche Begehren die 30-tägige Frist zu erneuern.

5.

5.1 Gemäss Art. 11a Abs. 3 DSG müssen private Personen Datensammlungen anmelden, wenn regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet (Bst. a) oder regelmässig Personendaten an Dritte bekannt gegeben werden (Bst. b). Die Anmeldung hat zu erfolgen, bevor die Datensammlungen eröffnet werden (vgl. Art. 11a Abs. 4 DSG). Die Ausnahmen von der Anmeldepflicht werden in Art. 11a Abs. 5 DSG und Art. 4 Abs. 1 VDSG geregelt.

5.2 Wie ausgeführt (vgl. E. 4.3.1 f.), ist davon auszugehen, die Beklage sei Inhaberin (mindestens) einer Datensammlung und gebe Dritten aus dieser Datensammlung regelmässig Personendaten (Adressdaten) bekannt. Sie ist somit nach Art. 11a Abs. 3 Bst. b DSG grundsätzlich verpflichtet, ihre Datensammlung(en) beim Kläger anzumelden. Dass sie sich auf eine Ausnahme von der Anmeldepflicht berufen könnte, ist nicht ersichtlich. Das Begehren 3 des Klägers (vgl. Bst. J.b) ist demnach ebenfalls begründet. Die Klage ist daher auch insoweit gutzuheissen und die Beklagte entsprechend zu verpflichten.

6.

6.1 Gemäss Art. 292 StGB wird mit Busse bestraft, wer der von einer zuständigen Behörde oder einem zuständigen Beamten unter Hinweis auf die Strafdrohung dieses Artikels an ihn erlassenen Verfügung nicht Folge leistet. Der Anwendungsbereich dieser Blankettstrafnorm erstreckt sich auf sämtliche Rechtsgebiete, in denen Verfügungen erlassen werden. Die Strafandrohung nach Art. 292 StGB kommt jedoch nur in Frage, wenn dieselbe Tathandlung nicht bereits durch eine andere, speziellere Bestimmung mit Strafe bedroht ist (vgl. zum Ganzen Riedo/Boner, in: Basler Kommentar Strafrecht II, 3. Aufl. 2013, N. 19 ff. zu Art. 292 StGB). Eine gewisse Einschränkung ergibt sich zudem aus dem Grundsatz der Verhältnismässigkeit (vgl. Riedo/Boner, a.a.O., N. 87 zu Art. 292 StGB). Trotz teilweise abweichender Praxis darf im Weiteren gegenüber juristischen Personen grundsätzlich keine Bestrafung nach Art. 292 StGB angedroht werden. Stattdessen ist die Strafandrohung an die zuständigen Organe bzw. Vertreter zu richten. Eine Ausnahme gilt nur, wenn ein Spezialgesetz die Bestrafung von juristischen Personen wegen Ungehorsams ausdrücklich erlaubt. Diesfalls bestehen aber regelmässig besondere Ungehorsamstatbestände, die Art. 292 StGB vorgehen (vgl. zum Ganzen Riedo/Boner, a.a.O., N. 74 ff. zu Art. 292 StGB m.w.H.). Das DSG sieht keine Bestrafung von juristischen Personen wegen Ungehorsams vor (vgl. Niggli/Maeder, Basler Kommentar DSG/BGÖ, 3. Aufl. 2014, N. 17 zu Vor Art. 34 und 35 DSG, N. 19 zu Art. 34 DSG, N. 13 zu Art. 35 DSG). Die Strafandrohung muss sich gegen eine oder mehrere bestimmte oder doch zumindest bestimmbare Personen richten. Das erfasste Verhalten muss zudem so genau umschrieben sein, dass die betroffene(n) Person(en) erkennen kann bzw. können, was verlangt wird (vgl. zum Ganzen Stratenwerth/Wohlers, Handkommentar StGB, 3. Aufl. 2012, N. 2 zu Art. 292 StGB m.w.H.).

6.2 Der Kläger erklärt in den Anträgen, mit denen er jeweils die Androhung der Ungehorsamsstrafe verlangt (vgl. Bst. J.b), nicht, gegen wen sich diese Androhung richten soll. Aus der Begründung in seiner Stellungnahme vom 5. Februar 2016 geht indes hervor, dass es ihm in allgemeiner Weise darum geht, der von ihm befürchteten Nichterfüllung der mit den Begehren
1a und 2 beantragten Verpflichtungen der Beklagten entgegenzutreten. Es ist entsprechend davon auszugehen, es komme ihm letztlich nicht darauf an, wer Adressat der Strafandrohung ist, sondern gehe ihm einzig darum, dass diese ausgesprochen wird.

Eine Strafandrohung gegenüber der Beklagten als juristische Person kommt, wie ausgeführt, vorliegend nicht in Betracht. Gegenüber den zuständigen Organen der Beklagten kommt sie hingegen grundsätzlich in Frage. Sie ist insoweit auch zulässig, besteht doch keine speziellere, vorgehende Strafbestimmung und erscheint die Androhung der Ungehorsamsstrafe angesichts des bisherigen Verhaltens der Beklagten als angezeigt und verhältnismässig; das mit den Begehren 1a und 2 von der Beklagten verlangte Verhalten ist zudem genügend genau umschrieben. Der Klage ist demnach auch in Bezug auf die verlangte Androhung der Ungehorsamsstrafe stattzugeben und gegenüber den Mitgliedern des Verwaltungsrats (Art. 707 ff . OR) der Beklagten für den Fall der Nichterfüllung der mit den Begehren 1a und 2 beantragten Verpflichtungen eine Strafandrohung nach Art. 292 StGB auszusprechen.

7.

7.1 Wie erwähnt (vgl. E. 1.1), richten sich die Gerichtsgebühren und die Parteientschädigung nach den Art. 63 -65 VwVG (vgl. Art. 44 Abs. 3 VGG). Gemäss Art. 63 Abs. VwVG hat in der Regel die unterliegende Partei die Verfahrenskosten zu tragen; unterliegt sie nur teilweise, werden die Kosten ermässigt. Unterliegenden Bundesbehörden werden keine Kosten auferlegt (vgl. Art. 63 Abs. 2 VwVG).

Der Kläger setzt sich mit seinen Begehren 1a, 2 und 3 - und damit der gesamten Empfehlung vom 17. September 2014 - sowie mit den Anträgen auf Androhung der Ungehorsamsstrafe nach Art. 292 StGB durch; auf sein Begehren 1b ist hingegen nicht einzutreten. Da seiner Klage lediglich in einem untergeordneten Punkt nicht stattgegeben werden kann, ist die Beklagte als zu 80 % unterliegend zu betrachten. Sie hat daher die Verfahrenskosten, die wegen des nicht unerheblichen Verfahrensaufwands (vor allem Durchführung zweier Verhandlungen, zahlreiche Instruktionsverfügungen) auf Fr. 2'000.- festzusetzen sind (vgl. Art. 1 ff . des Reglements vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht [VGKE, SR 173.320.2]), im Umfang von Fr. 1'600.- zu tragen. Dem Kläger sind keine Verfahrenskosten aufzuerlegen.

7.2 Der obsiegenden Partei ist von Amtes wegen oder auf Begehren eine Entschädigung für die ihr erwachsenen notwendigen Kosten zuzusprechen (vgl. Art. 64 Abs. 1 VwVG i.V.m. Art. 7 Abs. 1 VGKE). Obsiegt sie nur teilweise, ist die Parteientschädigung entsprechend zu kürzen (vgl. Art. 7 Abs. 2 VGKE). Bundesbehörden haben keinen Anspruch auf eine Parteientschädigung (vgl. Art. 7 Abs. 3 VGKE). Dem Kläger steht entsprechend keine Parteientschädigung zu. Gleiches gilt für die Beklagte, ist doch nicht ersichtlich, dass ihr nennenswerte Kosten entstanden wären (vgl. Art. 7 Abs. 4 VGKE).

Demnach erkennt das Bundesverwaltungsgericht:

1.
Die Klage wird gutgeheissen, soweit darauf einzutreten ist.

2.
Die Beklagte wird verpflichtet, innert der gesetzlichen Frist von 30 Tagen Auskunftsgesuche nach Art. 8 DSG zu beantworten, inklusive die pendenten Auskunftsbegehren. Insbesondere muss die Beklagte betroffenen Personen alle über sie in der Datensammlung vorhandenen Daten - einschliesslich der verfügbaren Angaben über die Herkunft dieser Daten - bekannt geben oder jeweils angeben, aus welchem Grund sie die Auskunft verweigert, einschränkt oder aufschiebt.

3.
Die Beklagte wird verpflichtet, Personendaten auf Antrag zu sperren
oder zu löschen (inklusive auf pendente Anträge) bzw. das Vorliegen eines Rechtfertigungsgrundes darzulegen und die betroffenen Personen entsprechend zu informieren.

4.
Die Beklagte wird verpflichtet, ihre Datensammlung bzw. ihre Datensammlungen beim Kläger anzumelden, einen Datenschutzverantwortlichen nach Art. 11a Abs. 5 Bst. e DSG zu bezeichnen, das Ergebnis der Bewertung eines Zertifizierungsverfahrens nach Art. 11a Abs. 5 Bst. f DSG mitzuteilen oder anzugeben, welche weitere Ausnahme nach Art. 11a Abs. 5 DSG für sie anwendbar ist.

5.
Für den Fall der Nichterfüllung der Dispositiv-Ziff. 2 und 3 wird den Mitgliedern des Verwaltungsrats der Beklagten die Ungehorsamsstrafe nach Art. 292 StGB angedroht.

Art. 292 StGB lautet wie folgt: "Ungehorsam gegen amtliche Verfügungen: Wer der von einer zuständigen Behörde oder einem zuständigen Beamten unter Hinweis auf die Strafdrohung dieses Artikels an ihn erlassenen Verfügung nicht Folge leistet, wird mit Busse bestraft". Die Busse kann bis zu Fr. 10'000.- betragen (vgl. Art. 106 Abs. 1 StGB).

6.
Die Verfahrenskosten von Fr. 2'000.- werden im Umfang von Fr. 1'600.- der Beklagten auferlegt.

7.
Es wird keine Parteientschädigung zugesprochen.

8.
Dieses Urteil geht an:

- den Kläger (Gerichtsurkunde)

- die Beklagte (Gerichtsurkunde)

Die vorsitzende Richterin: Der Gerichtsschreiber:

Christine Ackermann Pascal Baur

Rechtsmittelbelehrung:

Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bundesgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Angelegenheiten geführt werden (Art. 82 ff ., 90 ff. und 100 BGG). Die Rechtsschrift ist in einer Amtssprache abzufassen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie der Beschwerdeführer in Händen hat, beizulegen (Art. 42 BGG).

Versand:

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 29 Restrizioni del diritto di farsi consegnare dati o di esigerne la trasmissione a terzi - 1 Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
¹	Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
²	Il titolare del trattamento indica il motivo per cui rifiuta, limita o differisce la consegna o la trasmissione.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
¹	Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
²	I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
³	Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 12 Registro delle attività di trattamento - 1 I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
¹	I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
²	Il registro del titolare del trattamento contiene almeno:
^a	l'identità del titolare del trattamento;
^b	lo scopo del trattamento;
^c	una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
^d	le categorie di destinatari;
^e	se possibile, la durata di conservazione dei dati personali o i criteri per determinare tale durata;
^f	se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l'articolo 8;
^g	se i dati personali sono comunicati all'estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all'articolo 16 capoverso 2.
³	Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella del titolare del trattamento, alle categorie dei trattamenti eseguiti su incarico del titolare del trattamento, come pure le indicazioni di cui al capoverso 2 lettere f e g.
⁴	Gli organi federali notificano i loro registri all'IFPDT.
⁵	Il Consiglio federale prevede eccezioni per le imprese con meno di 250 collaboratori i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 12 Registro delle attività di trattamento - 1 I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
¹	I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
²	Il registro del titolare del trattamento contiene almeno:
^a	l'identità del titolare del trattamento;
^b	lo scopo del trattamento;
^c	una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
^d	le categorie di destinatari;
^e	se possibile, la durata di conservazione dei dati personali o i criteri per determinare tale durata;
^f	se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l'articolo 8;
^g	se i dati personali sono comunicati all'estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all'articolo 16 capoverso 2.
³	Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella del titolare del trattamento, alle categorie dei trattamenti eseguiti su incarico del titolare del trattamento, come pure le indicazioni di cui al capoverso 2 lettere f e g.
⁴	Gli organi federali notificano i loro registri all'IFPDT.
⁵	Il Consiglio federale prevede eccezioni per le imprese con meno di 250 collaboratori i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
¹	Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
²	I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
³	Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
¹	Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
^a	questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
^b	nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
²	Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
³	Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
⁴	Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 13 Certificazione - 1 I fornitori di programmi o sistemi di trattamento di dati personali come pure i titolari e i responsabili del trattamento possono sottoporre i loro sistemi, prodotti e servizi a una valutazione da parte di organismi di certificazione indipendenti riconosciuti.
¹	I fornitori di programmi o sistemi di trattamento di dati personali come pure i titolari e i responsabili del trattamento possono sottoporre i loro sistemi, prodotti e servizi a una valutazione da parte di organismi di certificazione indipendenti riconosciuti.
²	Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull'introduzione di un marchio di qualità inerente alla protezione dei dati. Tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale.

SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 35 Principio - Il Tribunale amministrativo federale giudica su azione in prima istanza:
^a	le controversie derivanti da contratti di diritto pubblico sottoscritti dalla Confederazione, dai suoi stabilimenti, dalle sue aziende o dalle organizzazioni ai sensi dell'articolo 33 lettera h;
^b	...
^c	le controversie tra la Confederazione e la Banca nazionale concernenti le convenzioni sui servizi bancari e sulla distribuzione dell'utile;
^d	le domande di confisca di valori patrimoniali conformemente alla legge del 18 dicembre 201552 sui valori patrimoniali di provenienza illecita.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
¹	La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
²	Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 11 Codice di condotta - 1 Le associazioni professionali, di settore ed economiche autorizzate dai loro statuti a difendere gli interessi economici dei loro membri come pure gli organi federali possono sottoporre all'IFPDT codici di condotta.
¹	Le associazioni professionali, di settore ed economiche autorizzate dai loro statuti a difendere gli interessi economici dei loro membri come pure gli organi federali possono sottoporre all'IFPDT codici di condotta.
²	L'IFPDT esprime un parere riguardo a ogni codice di condotta; pubblica tali pareri.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 12 - 1 Salvo disposizione contraria della legge, l'omissione di un atto processuale ha la sola conseguenza che la causa continua il suo corso senza l'atto omesso.
¹	Salvo disposizione contraria della legge, l'omissione di un atto processuale ha la sola conseguenza che la causa continua il suo corso senza l'atto omesso.
²	Se una parte non compare, l'udienza ha nondimeno luogo. Tuttavia le precedenti allegazioni della parte non comparsa sono tenute in considerazione.
³	Quando, per l'omissione di un atto scritto o per la mancata comparsa di una parte, allegazioni di fatto della controparte sono rimaste incontestate, la prova relativa deve essere ordinata se esistono motivi di dubitare della loro esattezza.
⁴	Alla parte non comparsa è notificata una copia del verbale. Tuttavia questa notifica non è fatta nel caso in cui essa dovesse avvenire mediante la pubblicazione, giusta l'articolo 11.
⁵	Se ambedue le parti non compaiono per il giorno stabilito, il giudice le invita a giustificarsi. Se la loro assenza risulta ingiustificata, egli può stralciare la causa dal ruolo e mettere a carico di ciascuna di esse la metà delle spese.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 34 - 1 Terminato lo scambio degli allegati scritti, il giudice delegato apre la procedura preparatoria.
¹	Terminato lo scambio degli allegati scritti, il giudice delegato apre la procedura preparatoria.
²	Quando è stata ordinata una limitazione della risposta secondo l'articolo 30 o una misura siffatta si riveli ormai opportuna, si abbrevia in conformità la procedura preparatoria. L'istruzione può essere limitata ad una sola questione di merito, se la soluzione di questa mette presumibilmente fine alla lite.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 66 - 1 Le parti sono avvisate della chiusura della procedura preparatoria.
¹	Le parti sono avvisate della chiusura della procedura preparatoria.
²	Il presidente della sezione emette le citazioni a comparire davanti al tribunale.
³	È applicabile per analogia l'articolo 34 capoverso 2.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 26 - 1 L'attore può modificare le sue conclusioni formulando altre o più ampie pretese, purché siano in relazione con quelle precedenti.
¹	L'attore può modificare le sue conclusioni formulando altre o più ampie pretese, purché siano in relazione con quelle precedenti.
²	L'allegazione di fatti nuovi per motivare conclusioni modificate è limitata dall'articolo 19 capoversi 2 e 3.

SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 44 - 1 Se il Tribunale amministrativo federale giudica in prima istanza, la procedura è retta dagli articoli 3-73 e 79-85 della legge del 4 dicembre 194760 di procedura civile federale.
¹	Se il Tribunale amministrativo federale giudica in prima istanza, la procedura è retta dagli articoli 3-73 e 79-85 della legge del 4 dicembre 194760 di procedura civile federale.
²	Il Tribunale amministrativo federale accerta d'ufficio i fatti.
³	Le tasse di giustizia e le spese ripetibili sono rette dagli articoli 63-65 PA61.62

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 3 - 1 Il giudice esamina d'ufficio l'ammissibilità della petizione e di tutti gli ulteriori atti processuali.
¹	Il giudice esamina d'ufficio l'ammissibilità della petizione e di tutti gli ulteriori atti processuali.
²	Il giudice non può pronunciare oltre i limiti delle conclusioni delle parti e deve fondare il suo giudizio solamente su fatti allegati nel corso della procedura. Egli deve tuttavia richiamare l'attenzione delle parti sull'insufficienza delle loro conclusioni e adoperarsi affinché indichino in modo completo i dati e i mezzi di prova necessari all'accertamento del vero stato di fatto. A questo scopo, egli può interpellare le parti personalmente in ogni stadio della causa.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 73 - 1 La transazione conclusa tra le parti davanti al giudice o consegnata al giudice per essere registrata a verbale, come pure la desistenza d'una parta, terminano il processo.
¹	La transazione conclusa tra le parti davanti al giudice o consegnata al giudice per essere registrata a verbale, come pure la desistenza d'una parta, terminano il processo.
²	La transazione giudiziale può anche estendersi a punti i quali, benché estranei al processo, sono litigiosi tra le parti o tra una parte e un terzo, in quanto ciò agevoli la fine del processo.
³	Quando in via d'eccezione il convenuto allega che la pretesa è inesigibile o dipende da una condizione od oppone un vizio di forma, l'attore può ritirare la sua azione riservando d'introdurla di nuovo dopo che la pretesa sarà esigibile, la condizione adempita o il vizio di forma tolto.
⁴	La transazione giudiziale e la desistenza sono esecutive come la sentenza.

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 79 - 1 Il giudice può ordinare provvedimenti d'urgenza:
¹	Il giudice può ordinare provvedimenti d'urgenza:
^a	per tutelare il possessore contro ogni atto d'usurpazione o di turbativa e far rientrare una parte in possesso di una cosa indebitamente ritenuta;
^b	per impedire un danno difficilmente riparabile e imminente, in modo particolare il danno derivante dalla mutazione, prima che sia introdotta l'azione o in corso di causa, dello stato di fatto esistente.
²	Non possono essere presi provvedimenti d'urgenza per la sicurezza di crediti sottoposti alla legge federale dell'11 aprile 188936 sull'esecuzione e sul fallimento.

SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 63 - 1 L'autorità di ricorso mette nel dispositivo le spese processuali, consistenti in una tassa di decisione nelle tasse di cancelleria e negli sborsi, di regola a carico della parte soccombente. Se questa soccombe solo parzialmente, le spese processuali sono ridotte. Per eccezione, si possono condonare le spese processuali.
¹	L'autorità di ricorso mette nel dispositivo le spese processuali, consistenti in una tassa di decisione nelle tasse di cancelleria e negli sborsi, di regola a carico della parte soccombente. Se questa soccombe solo parzialmente, le spese processuali sono ridotte. Per eccezione, si possono condonare le spese processuali.
²	Nessuna spesa processuale è messa a carico dell'autorità inferiore ne delle autorità federali, che promuovano il ricorso e soccombano; se l'autorità ricorrente, che soccombe, non è un'autorità federale, le spese processuali le sono addossate in quanto la causa concerna interessi pecuniari di enti o d'istituti autonomi.
³	Alla parte vincente possono essere addossate solo le spese processuali che abbia cagionato violando le regole di procedura.
⁴	L'autorità di ricorso, il suo presidente o il giudice dell'istruzione esige dal ricorrente un anticipo equivalente alle presunte spese processuali. Stabilisce un congruo termine per il pagamento con la comminatoria che altrimenti non entrerà nel merito. Se sussistono motivi particolari, può rinunciare interamente o in parte a esigere l'anticipo.100
^4bis	La tassa di decisione è stabilita in funzione dell'ampiezza e della difficoltà della causa, del modo di condotta processuale e della situazione finanziaria delle parti. Il suo importo oscilla:
^a	da 100 a 5000 franchi nelle controversie senza interesse pecuniario;
^b	da 100 a 50 000 franchi nelle altre controversie.101
⁵	Il Consiglio federale disciplina i dettagli relativi alla determinazione delle tasse.102 Sono fatti salvi l'articolo 16 capoverso 1 lettera a della legge del 17 giugno 2005103 sul Tribunale amministrativo federale e l'articolo 73 della legge del 19 marzo 2010104 sull'organizzazione delle autorità penali.105

SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 65 - 1 Se una parte non dispone dei mezzi necessari e le sue conclusioni non sembrano prive di probabilità di successo, l'autorità di ricorso, il suo presidente o il giudice dell'istruzione la dispensa, a domanda, dopo il deposito del ricorso, dal pagamento delle spese processuali.110
¹	Se una parte non dispone dei mezzi necessari e le sue conclusioni non sembrano prive di probabilità di successo, l'autorità di ricorso, il suo presidente o il giudice dell'istruzione la dispensa, a domanda, dopo il deposito del ricorso, dal pagamento delle spese processuali.110
²	Se è necessario per tutelare i diritti di tale parte, l'autorità di ricorso, il suo presidente o il giudice dell'istruzione le designa inoltre un avvocato.111
³	L'onorario e le spese d'avvocato sono messi a carico conformemente all'articolo 64 capoversi 2 a 4.
⁴	La parte, ove cessi d'essere nel bisogno, deve rimborsare l'onorario e le spese d'avvocato all'ente o all'istituto autonomo che li ha pagati.
⁵	Il Consiglio federale disciplina la determinazione degli onorari e delle spese.112 Sono fatti salvi l'articolo 16 capoverso 1 lettera a della legge del 17 giugno 2005113 sul Tribunale amministrativo federale e l'articolo 73 della legge del 19 marzo 2010114 sull'organizzazione delle autorità penali.115

SR 273 Legge del 4 dicembre 1947 di procedura civile federale PC Art. 23 - La petizione deve contenere:
^a	il nome, il domicilio e la designazione esatta delle parti;
^b	le conclusioni dell'attore;
^c	i dati determinanti la competenza del Tribunale federale;
^d	l'esposizione chiara dei fatti idonei a giustificare le conclusioni (art. 19);
^e	l'enunciazione esatta, per ciascun fatto, dei mezzi di prova, con richiamo dei numeri degli annessi (lett. f);
^f	l'elenco numerato degli annessi;
^g	la data e la firma dell'estensore dell'atto.

SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa) OPDa Art. 1 Principi - 1 Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
¹	Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
²	La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri:
^a	tipo di dati trattati;
^b	scopo, tipo, portata e circostanze del trattamento.
³	Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri:
^a	cause del rischio;
^b	pericolo sostanziale;
^c	provvedimenti adottati o previsti per minimizzare il rischio;
^d	probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti.
⁴	Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri:
^a	lo stato della tecnica;
^b	le spese di implementazione.
⁵	La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l'intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati.

SR 235.11 Ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa) OPDa Art. 4 Verbalizzazione - 1 Se dati personali degni di particolare protezione sono trattati automaticamente su grande scala o se si esegue una profilazione a rischio elevato e i provvedimenti preventivi possono non garantire la protezione dei dati, il titolare privato del trattamento e il suo responsabile privato del trattamento verbalizzano almeno la registrazione, modificazione, lettura, comunicazione, cancellazione e distruzione dei dati. In particolare, la verbalizzazione deve avere luogo quando non è possibile stabilire a posteriori se i dati sono stati trattati ai fini per i quali sono stati raccolti o comunicati.
¹	Se dati personali degni di particolare protezione sono trattati automaticamente su grande scala o se si esegue una profilazione a rischio elevato e i provvedimenti preventivi possono non garantire la protezione dei dati, il titolare privato del trattamento e il suo responsabile privato del trattamento verbalizzano almeno la registrazione, modificazione, lettura, comunicazione, cancellazione e distruzione dei dati. In particolare, la verbalizzazione deve avere luogo quando non è possibile stabilire a posteriori se i dati sono stati trattati ai fini per i quali sono stati raccolti o comunicati.
²	Nel caso di trattamento automatico dei dati personali l'organo federale titolare del trattamento e il suo responsabile del trattamento verbalizzano almeno la registrazione, modificazione, lettura, comunicazione, cancellazione e distruzione dei dati.
³	Nel caso di dati personali accessibili in modo generalizzato al pubblico sono verbalizzati almeno la registrazione, modificazione, cancellazione e distruzione dei dati.
⁴	I verbali riportano informazioni sull'identità della persona che ha effettuato il trattamento, sul tipo, la data e l'ora del trattamento nonché, all'occorrenza, sull'identità del destinatario dei dati.
⁵	I verbali sono conservati per almeno un anno separatamente dal sistema in cui sono trattati i dati personali. Sono accessibili esclusivamente agli organi e alle persone incaricate di verificare l'applicazione delle disposizioni in materia di protezione dei dati o di salvaguardare o ripristinare la confidenzialità, l'integrità, la disponibilità e la tracciabilità dei dati e sono utilizzati soltanto a tale fine.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 34 Basi legali - 1 Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
¹	Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
²	La base legale deve figurare in una legge in senso formale nei casi seguenti:
^a	sono trattati dati personali degni di particolare protezione;
^b	è effettuata una profilazione;
^c	lo scopo del trattamento o il tipo di trattamento può comportare una grave ingerenza nei diritti fondamentali della persona interessata.
³	Per il trattamento di dati personali secondo il capoverso 2 lettere a e b è sufficiente una base legale figurante in una legge in senso materiale se:
^a	il trattamento è indispensabile per l'adempimento di un compito stabilito in una legge in senso formale; e
^b	lo scopo del trattamento non comporta rischi particolari per i diritti fondamentali della persona interessata.
⁴	In deroga ai capoversi 1-3, gli organi federali possono trattare dati personali se:
^a	il Consiglio federale ha autorizzato il trattamento poiché non ritiene pregiudicati i diritti delle persone interessate;
^b	la persona interessata ha dato, nel caso specifico, il suo consenso al trattamento oppure ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente al trattamento; o
^c	il trattamento è necessario per proteggere la vita o l'integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine ragionevole.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 35 Trattamento automatizzato di dati personali nell'ambito di sistemi pilota - 1 Il Consiglio federale può autorizzare il trattamento automatizzato di dati personali degni di particolare protezione o altri trattamenti ai sensi dell'articolo 34 capoverso 2 lettere b e c prima dell'entrata in vigore di una legge in senso formale se:
¹	Il Consiglio federale può autorizzare il trattamento automatizzato di dati personali degni di particolare protezione o altri trattamenti ai sensi dell'articolo 34 capoverso 2 lettere b e c prima dell'entrata in vigore di una legge in senso formale se:
^a	i compiti che richiedono tale trattamento sono disciplinati in una legge in senso formale già in vigore;
^b	sono prese misure sufficienti per ridurre al minimo l'ingerenza nei diritti fondamentali della persona interessata; e
^c	per l'attuazione pratica del trattamento è imprescindibile una fase sperimentale prima dell'entrata in vigore della legge formale, in particolare per ragioni tecniche.
²	Il Consiglio federale chiede previamente il parere dell'IFPDT.
³	L'organo federale competente presenta un rapporto di valutazione al Consiglio federale al più tardi due anni dopo la messa in opera del sistema pilota. Nel rapporto propone la continuazione o l'interruzione del trattamento.
⁴	Il trattamento automatizzato di dati personali deve in ogni caso essere interrotto se entro cinque anni dalla messa in opera del sistema pilota non è entrata in vigore una legge in senso formale che prevede la pertinente base legale.

SR 220 Parte prima: Disposizioni generali Titolo primo: Delle cause delle obbligazioni Capo primo: Delle obbligazioni derivanti da contratto CO Art. 707 - 1 Il consiglio d'amministrazione della società si compone di uno o più membri.569
¹	Il consiglio d'amministrazione della società si compone di uno o più membri.569
²	...570
³	Le persone giuridiche e le società commerciali non possono, anche se azionisti, essere membri del consiglio d'amministrazione, ma sono eleggibili, in luogo d'esse, i loro rappresentanti.

SR 173.320.2 Regolamento del 21 febbraio 2008 sulle tasse e sulle spese ripetibili nelle cause dinanzi al Tribunale amministrativo federale (TS-TAF) TS-TAF Art. 1 Spese processuali - 1 Le spese del procedimento dinanzi al Tribunale amministrativo federale (Tribunale) comprendono la tassa di giustizia e i disborsi.
¹	Le spese del procedimento dinanzi al Tribunale amministrativo federale (Tribunale) comprendono la tassa di giustizia e i disborsi.
²	La tassa di giustizia copre le spese per la fotocopiatura delle memorie delle parti e gli oneri amministrativi normalmente dovuti per i servizi corrispondenti, quali le spese di personale, di locazione e di materiale, le spese postali, telefoniche e di telefax.
³	Sono disborsi, in particolare, le spese di traduzione e di assunzione delle prove. Le spese di traduzione non vengono conteggiate se si tratta di traduzioni tra lingue ufficiali.

SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 64 - 1 L'autorità di ricorso, se ammette il ricorso in tutto o in parte, può, d'ufficio o a domanda, assegnare al ricorrente una indennità per le spese indispensabili e relativamente elevate che ha sopportato.
¹	L'autorità di ricorso, se ammette il ricorso in tutto o in parte, può, d'ufficio o a domanda, assegnare al ricorrente una indennità per le spese indispensabili e relativamente elevate che ha sopportato.
²	Il dispositivo indica l'ammontare dell'indennità e l'addossa all'ente o all'istituto autonomo, nel cui nome l'autorità inferiore ha deciso, in quanto non possa essere messa a carico di una controparte soccombente.
³	Se una controparte soccombente ha presentato conclusioni indipendenti, l'indennità può essere messa a suo carico, secondo la propria solvenza.
⁴	L'ente o l'istituto autonomo, nel cui nome l'autorità inferiore ha deciso, risponde dell'indennità addossata a una controparte soccombente, in quanto non possa essere riscossa.
⁵	Il Consiglio federale disciplina la determinazione delle spese ripetibili.106 Sono fatti salvi l'articolo 16 capoverso 1 lettera a della legge del 17 giugno 2005107 sul Tribunale amministrativo federale e l'articolo 73 della legge del 19 marzo 2010108 sull'organizzazione delle autorità penali.109

SR 173.320.2 Regolamento del 21 febbraio 2008 sulle tasse e sulle spese ripetibili nelle cause dinanzi al Tribunale amministrativo federale (TS-TAF) TS-TAF Art. 7 Principio - 1 La parte vincente ha diritto alle ripetibili per le spese necessarie derivanti dalla causa.
¹	La parte vincente ha diritto alle ripetibili per le spese necessarie derivanti dalla causa.
²	Se la parte vince solo parzialmente, le spese ripetibili sono ridotte in proporzione.
³	Le autorità federali e, di regola, le altre autorità con qualità di parte non hanno diritto a un'indennità a titolo di ripetibili.
⁴	Se le spese sono relativamente modeste, si può rinunciare a concedere alla parte un'indennità a titolo di ripetibili.
⁵	L'articolo 6a è applicabile per analogia.7

SR 311.0 Codice penale svizzero del 21 dicembre 1937 CP Art. 106 - 1 Se la legge non dispone altrimenti, il massimo della multa è di diecimila franchi.
¹	Se la legge non dispone altrimenti, il massimo della multa è di diecimila franchi.
²	In caso di mancato pagamento della multa per colpa dell'autore, il giudice ordina nella sentenza una pena detentiva sostituiva da un minimo di un giorno a un massimo di tre mesi.
³	Il giudice commisura la multa e la pena detentiva sostitutiva alle condizioni dell'autore, in modo che questi sconti una pena adeguata alla sua colpevolezza.
⁴	Il pagamento ulteriore della multa comporta una riduzione proporzionale della pena detentiva sostitutiva.
⁵	Per l'esazione e la commutazione si applicano per analogia gli arti-coli 35 e 36 capoverso 2.153

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 82 Principio - Il Tribunale federale giudica i ricorsi:
^a	contro le decisioni pronunciate in cause di diritto pubblico;
^b	contro gli atti normativi cantonali;
^c	concernenti il diritto di voto dei cittadini nonché le elezioni e votazioni popolari.

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 42 Atti scritti - 1 Gli atti scritti devono essere redatti in una lingua ufficiale, contenere le conclusioni, i motivi e l'indicazione dei mezzi di prova ed essere firmati.
¹	Gli atti scritti devono essere redatti in una lingua ufficiale, contenere le conclusioni, i motivi e l'indicazione dei mezzi di prova ed essere firmati.
^1bis	Se un procedimento in materia civile si è svolto in inglese dinanzi all'autorità inferiore, gli atti scritti possono essere redatti in tale lingua.14
²	Nei motivi occorre spiegare in modo conciso perché l'atto impugnato viola il diritto. Qualora il ricorso sia ammissibile soltanto se concerne una questione di diritto di importanza fondamentale o un caso particolarmente importante per altri motivi, occorre spiegare perché la causa adempie siffatta condizione.15 16
³	Se sono in possesso della parte, i documenti indicati come mezzi di prova devono essere allegati; se l'atto scritto è diretto contro una decisione, anche questa deve essere allegata.
⁴	In caso di trasmissione per via elettronica, la parte o il suo patrocinatore deve munire l'atto scritto di una firma elettronica qualificata secondo la legge del 18 marzo 201617 sulla firma elettronica. Il Tribunale federale determina mediante regolamento:
^a	il formato dell'atto scritto e dei relativi allegati;
^b	le modalità di trasmissione;
^c	le condizioni alle quali può essere richiesta la trasmissione successiva di documenti cartacei in caso di problemi tecnici.18
⁵	Se mancano la firma della parte o del suo patrocinatore, la procura dello stesso o gli allegati prescritti, o se il patrocinatore non è autorizzato in quanto tale, è fissato un congruo termine per sanare il vizio, con la comminatoria che altrimenti l'atto scritto non sarà preso in considerazione.
⁶	Gli atti illeggibili, sconvenienti, incomprensibili, prolissi o non redatti in una lingua ufficiale possono essere del pari rinviati al loro autore affinché li modifichi.
⁷	Gli atti scritti dovuti a condotta processuale da querulomane o altrimenti abusiva sono inammissibili.