Urteilskopf

125 II 473

47. Auszug aus dem Urteil der I. öffentlichrechtlichen Abteilung vom 1. September 1999 i.S. A. gegen Schweizerische Unfallversicherungsanstalt und Eidgenössische Datenschutzkommission (Verwaltungsgerichtsbeschwerde)
Regeste (de):

Regeste (fr):

Regesto (it):


Sachverhalt ab Seite 474

BGE 125 II 473 S. 474

A. erlitt am 4. März 1994 als Beifahrer einen Verkehrsunfall, in dessen Folge er bei der Kreisagentur Zürich der Schweizerischen Unfallversicherungsanstalt (SUVA) Versicherungsleistungen beanspruchte. Im Verlaufe der versicherungsrechtlichen Abklärungen ersuchte der Rechtsvertreter von A. um Zustellung der Akten samt eines Röntgenbilderverzeichnisses. Die Kreisagentur entsprach dem Gesuch, wies aber darauf hin, dass kein Verzeichnis der Röntgenbilder geführt werde. Der Rechtsvertreter des Verunfallten hielt die unterbreiteten Akten für unvollständig und verlangte daher am 5. Dezember 1997 die Zustellung der internen Akten. Der Hauptsitz der SUVA in Luzern teilte ihm darauf am 12. Januar 1998 mit, dass interne Akten grundsätzlich nicht ediert würden. Am 19. Januar 1998 erhob A. bei der Eidgenössischen Datenschutzkommission (EDSK) Beschwerde und verlangte Einsicht in sämtliche, insbesondere auch in die internen Akten. Die EDSK ging davon aus, das Schreiben der SUVA vom 12. Januar 1998 enthalte Anordnungen, welche das datenschutzrechtliche Auskunftsrecht beträfen, und stelle somit eine Verfügung im Sinn von Art. 5 Abs. 2
SR 172.021 Bundesgesetz vom 20. Dezember 1968 über das Verwaltungsverfahren (Verwaltungsverfahrensgesetz, VwVG) - Verwaltungsverfahrensgesetz
VwVG Art. 5 - 1 Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
1    Als Verfügungen gelten Anordnungen der Behörden im Einzelfall, die sich auf öffentliches Recht des Bundes stützen und zum Gegenstand haben:
a  Begründung, Änderung oder Aufhebung von Rechten oder Pflichten;
b  Feststellung des Bestehens, Nichtbestehens oder Umfanges von Rechten oder Pflichten;
c  Abweisung von Begehren auf Begründung, Änderung, Aufhebung oder Feststellung von Rechten oder Pflichten oder Nichteintreten auf solche Begehren.
2    Als Verfügungen gelten auch Vollstreckungsverfügungen (Art. 41 Abs. 1 Bst. a und b), Zwischenverfügungen (Art. 45 und 46), Einspracheentscheide (Art. 30 Abs. 2 Bst. b und 74), Beschwerdeentscheide (Art. 61), Entscheide im Rahmen einer Revision (Art. 68) und die Erläuterung (Art. 69).25
3    Erklärungen von Behörden über Ablehnung oder Erhebung von Ansprüchen, die auf dem Klageweg zu verfolgen sind, gelten nicht als Verfügungen.
VwVG dar. Sie trat daher auf die Beschwerde ein, wies diese aber mit Entscheid vom 15. Mai 1998 ab. Die von A. gegen den Entscheid der EDSK erhobene Verwaltungsgerichtsbeschwerde heisst das Bundesgericht teilweise gut
Erwägungen

aus folgender Erwägung:

4. a) In der Sache ist streitig, ob dem Beschwerdeführer auch über die verwaltungsinternen Akten des unfallversicherungsrechtlichen Verfahrens Auskunft zu erteilen sei. Nach der Praxis des Bundesgerichts und des Eidgenössischen Versicherungsgerichts besteht weder nach der Akteneinsichtsordnung des Verwaltungsverfahrensgesetzes noch jener des Unfallversicherungsgesetzes noch auf Grund des verfassungsmässigen Mindestschutzes nach Art. 4
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 4 Landessprachen - Die Landessprachen sind Deutsch, Französisch, Italienisch und Rätoromanisch.
BV ein Anspruch auf Einsicht in verwaltungsinterne Akten (BGE 115 V 297 E. 2g S. 303 ff.; BGE 113 Ia 1 E. 4c/cc S. 9 f., 286 E. 2d S. 288 f.). Als verwaltungsinterne Akten gelten dabei Unterlagen, denen für die Behandlung eines Falles kein Beweischarakter zukommt, welche vielmehr ausschliesslich der verwaltungsinternen Meinungsbildung dienen und somit für den verwaltungsinternen Gebrauch bestimmt sind (z.B. Entwürfe, Anträge, Notizen, Mitberichte, Hilfsbelege usw.). Mit dem Ausschluss des Einsichtsrechts in diese Akten soll verhindert werden, dass die
BGE 125 II 473 S. 475

interne Meinungsbildung der Verwaltung über die entscheidenden Aktenstücke und die erlassenen begründeten Verfügungen hinaus vollständig vor der Öffentlichkeit ausgebreitet wird. In der Literatur ist die Unterscheidung zwischen internen und anderen Akten allerdings umstritten (vgl. JÖRG PAUL MÜLLER, Grundrechte in der Schweiz, 3. Aufl., Bern 1999, S. 529 f.; GEORG MÜLLER, Kommentar BV, N. 109 zu Art. 4
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 4 Landessprachen - Die Landessprachen sind Deutsch, Französisch, Italienisch und Rätoromanisch.
BV; ALFRED KÖLZ/ISABELLE HÄNER, Verwaltungsverfahren und Verwaltungsrechtspflege des Bundes, 2. Aufl., Zürich 1998, Rz. 296; RENÉ A. RHINOW/HEINRICH KOLLER/CHRISTINA KISS, Öffentliches Prozessrecht und Justizverfassungsrecht des Bundes, Basel/Frankfurt a.M. 1996, Rz. 345; ALEXANDER DUBACH, Das Recht auf Akteneinsicht, Diss. Bern, Zürich 1990, S. 19 und 27). Nach Ansicht der SUVA ist das Auskunftsrecht gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1) der gleichen (generellen) Beschränkung unterworfen wie das Akteneinsichtsrecht gemäss Art. 4
SR 101 Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999
BV Art. 4 Landessprachen - Die Landessprachen sind Deutsch, Französisch, Italienisch und Rätoromanisch.
BV. Dem kann nicht ohne weiteres zugestimmt werden. Das datenschutzrechtliche Auskunftsrecht und das verfahrensrechtliche Akteneinsichtsrecht sind selbständige Ansprüche, die hinsichtlich Umfang und Voraussetzungen nicht deckungsgleich sind, d.h. je ihren besonderen Anwendungsbereich haben, der vom anderen Anspruch nicht beschlagen wird (BGE 123 II 534 E. 2e S. 538 f.; DUBACH, a.a.O., S. 208 ff.). Die Ausnahmen vom datenschutzrechtlichen Auskunftsrecht sind in den Art. 9
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
und 10
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 10 Datenschutzberaterin oder -berater - 1 Private Verantwortliche können eine Datenschutzberaterin oder einen Datenschutzberater ernennen.
1    Private Verantwortliche können eine Datenschutzberaterin oder einen Datenschutzberater ernennen.
2    Die Datenschutzberaterin oder der Datenschutzberater ist Anlaufstelle für die betroffenen Personen und für die Behörden, die in der Schweiz für den Datenschutz zuständig sind. Sie oder er hat namentlich folgende Aufgaben:
a  Schulung und Beratung des privaten Verantwortlichen in Fragen des Datenschutzes;
b  Mitwirkung bei der Anwendung der Datenschutzvorschriften.
3    Private Verantwortliche können von der Ausnahme nach Artikel 23 Absatz 4 Gebrauch machen, wenn die folgenden Voraussetzungen erfüllt sind:
a  Die Datenschutzberaterin oder der Datenschutzberater übt ihre oder seine Funktion gegenüber dem Verantwortlichen fachlich unabhängig und weisungsungebunden aus.
b  Sie oder er übt keine Tätigkeiten aus, die mit ihren oder seinen Aufgaben als Datenschutzberaterin oder -berater unvereinbar sind.
c  Sie oder er verfügt über die erforderlichen Fachkenntnisse.
d  Der Verantwortliche veröffentlicht die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters und teilt diese dem EDÖB mit.
4    Der Bundesrat regelt die Ernennung von Datenschutzberaterinnen und Datenschutzberatern durch die Bundesorgane.
DSG abschliessend normiert. Sie stimmen nicht unbedingt mit den Einschränkungen des Akteneinsichtsrechts überein, welche die Rechtsprechung z.B. aus Gründen der Funktionsfähigkeit der Verwaltung zulässt. Im Folgenden ist daher aus datenschutzrechtlicher Sicht zu prüfen, ob und gegebenenfalls inwieweit der Beschwerdeführer einen Anspruch hat, über die umstrittenen internen Akten informiert zu werden. b) Gemäss Art. 8 Abs. 2 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG erstreckt sich das Auskunftsrecht auf alle über eine Person in einer Datensammlung vorhandenen Daten, d.h. auf alle Angaben, die sich auf diese Person beziehen (Art. 3 lit. a
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG) und ihr zugeordnet werden können (Art. 3 lit. g
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
1    Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
2    Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.
DSG; vgl. hierzu das Urteil der Datenschutzkommission vom 21. November 1997, VPB 62/1998 Nr. 57 E. 4 S. 539). Es spielt dabei keine Rolle, ob es sich um Tatsachenfeststellungen oder um Werturteile handelt (URS BELSER in: Kommentar zum Schweize--rischen Datenschutzgesetz, hrsg. URS MAURER/NEDIM PETER VOGT,
BGE 125 II 473 S. 476

Basel/Frankfurt a.M. 1995, N. 5 zu Art. 3). Unerheblich ist auch die Art der Speicherung. Schliesslich kommt es auch nicht auf die Bezeichnung der Datensammlung durch den Inhaber an. Das Auskunftsrecht kann nicht dadurch unterlaufen werden, dass z.B. neben der «offiziellen» Datensammlung auch eine «inoffizielle» geführt wird (ALEXANDER DUBACH in: Kommentar zum Schweizerischen Datenschutzgesetz, N. 34 zu Art. 8; Stellungnahme des Eidgenössischen Datenschutzbeauftragten vom 21. November 1997, VPB 62/1998 Nr. 59 Ziff. 3.2 S. 552). Somit erstreckt sich der Auskunftsanspruch gemäss Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG auch auf Akten, die zwar von der Verwaltung als «intern» bezeichnet werden, die aber Angaben über den Gesuchsteller enthalten und diesem zugeordnet werden können. Dieses Ergebnis findet seine Rechtfertigung darin, dass erst das Auskunftsrecht den Betroffenen in die Lage versetzt, seine übrigen Datenschutzrechte wahrzunehmen. Gemäss Art. 4
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 4 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter - 1 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
1    Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
2    Von der Aufsicht durch den EDÖB sind ausgenommen:
a  die Bundesversammlung;
b  der Bundesrat;
c  die eidgenössischen Gerichte;
d  die Bundesanwaltschaft: betreffend die Bearbeitung von Personendaten im Rahmen von Strafverfahren;
e  Bundesbehörden: betreffend die Bearbeitung von Personendaten im Rahmen einer rechtsprechenden Tätigkeit oder von Verfahren der internationalen Rechtshilfe in Strafsachen.
DSG muss die Bearbeitung von Personendaten verhältnismässig sein (Abs. 2) und sie darf nur zum Zweck erfolgen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Abs. 3). Das Datenschutzgesetz verbietet daher das Sammeln von Personendaten «auf Vorrat» und verlangt, dass nur diejenigen Daten erhoben und gespeichert werden, die eine Behörde zur Erfüllung ihrer Aufgabe objektiv benötigt. Das Auskunftsrecht ermöglicht dem Betroffenen, die Einhaltung der materiellen Grund- sätze des Datenschutzes zu überprüfen und seine Rechte wahrzunehmen, so z.B. die Berichtigung unrichtiger Daten (Art. 5 Abs. 2
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 5 Begriffe - In diesem Gesetz bedeuten:
a  Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;
b  betroffene Person: natürliche Person, über die Personendaten bearbeitet werden;
c  besonders schützenswerte Personendaten:
c1  Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
c2  Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
c3  genetische Daten,
c4  biometrische Daten, die eine natürliche Person eindeutig identifizieren,
c5  Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
c6  Daten über Massnahmen der sozialen Hilfe;
d  Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten;
e  Bekanntgeben: das Übermitteln oder Zugänglichmachen von Personendaten;
f  Profiling: jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
g  Profiling mit hohem Risiko: Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt;
h  Verletzung der Datensicherheit: eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden;
i  Bundesorgan: Behörde oder Dienststelle des Bundes oder Person, die mit öffentlichen Aufgaben des Bundes betraut ist;
j  Verantwortlicher: private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet;
k  Auftragsbearbeiter: private Person oder Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet.
DSG), die Sperrung der Bekanntgabe gewisser Daten (Art. 20 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 20 Ausnahmen von der Informationspflicht und Einschränkungen - 1 Die Informationspflicht nach Artikel 19 entfällt, wenn eine der folgenden Voraussetzungen erfüllt ist:
1    Die Informationspflicht nach Artikel 19 entfällt, wenn eine der folgenden Voraussetzungen erfüllt ist:
a  Die betroffene Person verfügt bereits über die entsprechenden Informationen.
b  Die Bearbeitung ist gesetzlich vorgesehen.
c  Es handelt sich beim Verantwortlichen um eine private Person, die gesetzlich zur Geheimhaltung verpflichtet ist.
d  Die Voraussetzungen nach Artikel 27 sind erfüllt.
2    Werden die Personendaten nicht bei der betroffenen Person beschafft, so entfällt die Informationspflicht zudem, wenn eine der folgenden Voraussetzungen erfüllt ist:
a  Die Information ist nicht möglich.
b  Die Information erfordert einen unverhältnismässigen Aufwand.
3    Der Verantwortliche kann die Mitteilung der Informationen in den folgenden Fällen einschränken, aufschieben oder darauf verzichten:
a  Überwiegende Interessen Dritter erfordern die Massnahme.
b  Die Information vereitelt den Zweck der Bearbeitung.
c  Der Verantwortliche ist eine private Person und die folgenden Voraussetzungen sind erfüllt:
c1  Überwiegende Interessen des Verantwortlichen erfordern die Massnahme.
c2  Der Verantwortliche gibt die Personendaten nicht Dritten bekannt.
d  Der Verantwortliche ist ein Bundesorgan und eine der folgenden Voraussetzungen ist erfüllt:
d1  Die Massnahme ist wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder der äusseren Sicherheit der Schweiz, erforderlich.
d2  Die Mitteilung der Information kann eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden.
4    Unternehmen, die zum selben Konzern gehören, gelten nicht als Dritte im Sinne von Absatz 3 Buchstabe c Ziffer 2.
DSG) oder die Anonymisierung und Vernichtung nicht benötigter Daten zu verlangen (Art. 21
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 21 Informationspflicht bei einer automatisierten Einzelentscheidung - 1 Der Verantwortliche informiert die betroffene Person über eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt (automatisierte Einzelentscheidung).
1    Der Verantwortliche informiert die betroffene Person über eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt (automatisierte Einzelentscheidung).
2    Er gibt der betroffenen Person auf Antrag die Möglichkeit, ihren Standpunkt darzulegen. Die betroffene Person kann verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.
3    Die Absätze 1 und 2 gelten nicht, wenn:
a  die automatisierte Einzelentscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person steht und ihrem Begehren stattgegeben wird; oder
b  die betroffene Person ausdrücklich eingewilligt hat, dass die Entscheidung automatisiert erfolgt.
4    Ergeht die automatisierte Einzelentscheidung durch ein Bundesorgan, so muss es die Entscheidung entsprechend kennzeichnen. Absatz 2 ist nicht anwendbar, wenn die betroffene Person nach Artikel 30 Absatz 2 des Verwaltungsverfahrensgesetzes vom 20. Dezember 19686 (VwVG) oder nach einem anderen Bundesgesetz vor dem Entscheid nicht angehört werden muss.
DSG). Diese Rechte muss der Betroffene gerade auch bezüglich interner, ihm im Verwaltungsverfahren nicht ohne weiteres zugänglicher Akten ausüben können, namentlich wenn diese - wie die internen Akten der SUVA - besonders schützenswerte Personendaten enthalten (z.B. über medizinische Befunde). Im vorliegenden Fall stellt die SUVA nicht in Frage, dass die umstrittenen als «intern» bezeichneten Akten sich auf den Beschwerdeführer beziehen. Folglich ist dieser grundsätzlich berechtigt, Auskunft über diese Akten zu erhalten. Davon ging im Übrigen auch die EDSK aus. Es fragt sich damit einzig, ob Gründe vorliegen, die eine Einschränkung des datenschutzrechtlichen Auskunftsrechts rechtfertigen.
BGE 125 II 473 S. 477

c) Nach Art. 9 Abs. 1
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG kann der Inhaber der Datensammlung die Auskunft verweigern, einschränken oder aufschieben, soweit ein formelles Gesetz dies vorsieht (lit. a) oder dies wegen überwiegender Interessen eines Dritten erforderlich ist (lit. b). Für eidgenössische Datensammlungen kommen gemäss Abs. 2 zusätzliche Einschränkungsgründe in Betracht: Ein Bundesorgan kann die Auskunft insoweit einschränken, als dies überwiegende öffentliche Interessen - insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft - gebieten (lit. a); im Weiteren ist eine Begrenzung zulässig, soweit die Auskunft den Zweck einer Strafuntersuchung oder eines anderen Untersuchungsverfahrens in Frage stellen würde (lit. b). aa) Die EDSK ging in ihrem Entscheid davon aus, in einem hängigen erstinstanzlichen Verwaltungsverfahren könne die Bekanntgabe interner Aufzeichnungen und Mitteilungen die Arbeitsabläufe und die unabhängige Meinungsbildung der Verwaltung in empfindlicher Weise stören. Sie hielt es für zulässig, gemäss Art. 9 Abs. 2 lit. b
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 9 Bearbeitung durch Auftragsbearbeiter - 1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
1    Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a  die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und
b  keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
2    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
3    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
4    Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.
DSG die Auskunft über solche Akten zu verweigern. Dieser Auffassung ist insoweit zuzustimmen, als die Meinungsbildung der Behörden einen ungezwungenen, offenen Meinungsaustausch voraussetzt, der durch ein unbeschränktes Auskunftsrecht auch während des laufenden erstinstanzlichen Verfahrens verunmöglicht werden könnte. Müsste jede Besprechungsnotiz, jeder Aktenvermerk über das weitere Vorgehen oder noch abzuklärende Fragen und jede vorläufige Stellungnahme dem Versicherten auf Anfrage bekannt gegeben werden, könnte dies den Ablauf des Verfahrens erheblich stören und die sachgerechte Aufgabenerfüllung der Verwaltung in Frage stellen. In diesem Sinn lässt sich gestützt auf die erwähnte Bestimmung, die einen Sonderfall der Geheimhaltung aus überwiegendem öffentlichen Interesse regelt, eine gewisse Beschränkung des Auskunftsrechts rechtfertigen. Allerdings muss eine solche Einschränkung - angesichts der grossen Bedeutung des Auskunftsrechts für den Datenschutz (vgl. BBl 1988 II 452) - auf das zeitlich und sachlich unbedingt Notwendige begrenzt werden. bb) In zeitlicher Hinsicht rechtfertigt sich eine Verweigerung der Auskunft nur solange, als das erstinstanzliche Verfahren noch hängig ist. Dies scheint auch die Ansicht der EDSK zu sein. Sobald der Meinungsbildungsprozess der Verwaltung abgeschlossen ist, besteht kein zwingender Grund mehr für die Einschränkung des Auskunftsrechts. In diesem Zeitpunkt muss die Behörde vielmehr entscheiden, ob sie die vorläufigen Stellungnahmen, Entwürfe,
BGE 125 II 473 S. 478

Anträge etc. selber noch benötigt und aufbewahren will oder nicht. Im Fall der Aufbewahrung unterliegen diese Dokumente dem Auskunftsanspruch, sofern sie Personendaten enthalten. cc) In sachlicher Hinsicht ist die Verweigerung der Auskunft auf das zum Schutz der verwaltungsinternen Meinungsbildung Notwendige zu beschränken. Wie bereits dargelegt wurde, kann die im Zusammenhang mit dem verfahrensrechtlichen Akteneinsichtsrecht entwickelte Abgrenzung zwischen externen und internen Akten nicht ohne weiteres als Mass- stab für die Begrenzung des Auskunftsrechts nach Art. 8
SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz
DSG Art. 8 Datensicherheit - 1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
1    Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.
2    Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.
3    Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.
DSG dienen. Das Recht auf Einsicht in die Akten eines hängigen Verfahrens soll den Verfahrensbeteiligten die Kenntnisnahme der Entscheidgrundlagen ermöglichen, eine wirksame und sachbezogene Stellungnahme erlauben und die Akzeptanz der Entscheidung fördern (vgl. JÖRG PAUL MÜLLER, a.a.O, S. 525). Die Akteneinsicht erstreckt sich grundsätzlich auf alle Akten, die geeignet sind, Grundlage für die spätere Entscheidung zu bilden, d.h. entscheidrelevant sind oder sein könnten (BGE 121 I 225 E. 2a S. 227 mit Hinweisen). Um den Umfang des Akteneinsichtsrechts zu bestimmen, kommt es auf die Bedeutung eines Aktenstückes für die verfügungswesentliche Sachverhaltsfeststellung an (BGE 115 V 297 E. 2g/bb S. 303). Dagegen erstreckt sich der datenschutzrechtliche Auskunftsanspruch nach den vorstehenden Erwägungen (E. 4b) auf alle personenbezogenen Daten einer Behörde, ohne Rücksicht auf die Entscheidungserheblichkeit für ein konkretes Verfahren. Unter datenschutzrechtlichen Gesichtspunkten ist also ausschliesslich die Art und der Inhalt eines Dokuments von Bedeutung und nicht seine Entscheidrelevanz und Klassifikation als interne Akte durch die SUVA. So unterliegen z.B. Angaben über den Versicherten, welche der SUVA durch Dritte zugetragen wurden, dem uneingeschränkten Auskunftsrecht, auch wenn sie für die bevorstehende Verfügung ohne Beweiswert sind und daher in einer internen Akte geführt werden. Es ist demnach im Einzelnen zu prüfen, ob die Bekanntgabe eines Dokumentes während des hängigen erstinstanzlichen Verfahrens dessen Ablauf gefährdet und ob das öffentliche Geheimhaltungsinteresse das private Interesse auf Information überwiegt (vgl. BGE 125 II 225 E. 4 S. 228). dd) Im vorliegenden Fall vermutet der Beschwerdeführer, dass sich die interne Datensammlung nicht auf Entwürfe, Anträge und dergleichen beschränkt, sondern darin auch andere Dokumente abgelegt sind. Dieser Verdacht ist nicht völlig abwegig. Wie der
BGE 125 II 473 S. 479

Eidgenössische Datenschutzbeauftragte in einer publizierten Stellungnahme vom 21. November 1997 zuhanden des Bundesamtes für Sozialversicherung festgestellt hat, lädt der offene, nicht abschliessende Begriff der internen Akten die Verwaltung geradezu ein, interne Akten anzulegen, welche die datenschutzrechtlichen Grundsätze der Verhältnismässigkeit, der Transparenz und der Zweckbindung verletzen (VPB 62/1998 Nr. 59 Ziff. 3.4 S. 553). Im Lichte der dargelegten Grundsätze durfte sich die EDSK nicht mit der Versicherung begnügen, es handle sich bei sämtlichen Dokumenten um interne Akten, worüber während eines hängigen Verfahrens keine Auskunft gegeben werden müsse. Es hätte vielmehr im Einzelnen überprüft werden müssen, ob die Vorenthaltung der fraglichen Akten für die Dauer des Verfahrens vor der SUVA gerechtfertigt war oder nicht (vgl. BGE 125 II 225 E. 4 S. 228). In diesem Punkt ist die Verwaltungsgerichtsbeschwerde daher gutzuheissen. Es kann nicht Aufgabe des Bundesgerichts sein, im vorliegenden Fall die unterlassene Prüfung nachzuholen. Die Sache ist daher zu neuer Beurteilung dieser Frage an die EDSK zurückzuweisen. Bei ihrem neuen Entscheid wird die EDSK auch dem Umstand Rechnung tragen müssen, dass das unfallversicherungsrechtliche Verfahren inzwischen abgeschlossen worden ist.