BGE-138-II-346 - 2012-05-31 - DTF - Diritto amministrativo e diritto internazionale pubblico - Legge sulla protezione dei dati, art. 28 segg. CC; garanzia della protezione della personalità nell'ambito della pubblicazione

Urteilskopf

138 II 346

26. Auszug aus dem Urteil der I. öffentlich-rechtlichen Abteilung i.S. Google Inc. und Google Switzerland GmbH gegen Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB (Beschwerde in öffentlich-rechtlichen Angelegenheiten) 1C_230/2011 vom 31. Mai 2012

Regeste (de):

Datenschutzgesetz, Art. 28 ff . ZGB; Gewährleistung des Persönlichkeitsschutzes bei der Publikation von Personendaten in Google Street View.

Zuständigkeit des EDÖB (E. 3). Begriff der Personendaten in Bezug auf die in Google Street View verwendeten Bilder (E. 6.5). Datenschutzvorschriften für die Bearbeitung von Personendaten (E. 7). Konkretisierung des in Art. 28 ZGB gewährleisteten Persönlichkeitsschutzes durch das Datenschutzrecht, Recht auf informationelle Selbstbestimmung und Recht am eigenen Bild (E. 8). Berücksichtigung allgemeiner datenschutzrechtlicher Grundsätze (E. 9).

Interessenabwägung in Bezug auf die Frage, ob und inwieweit die Bearbeitungsmethoden insgesamt geeignet sind, die Persönlichkeit einer grossen Anzahl von Personen zu verletzen: Es wird in Kauf genommen, dass höchstens ca. 1 % der Bilder ungenügend anonymisiert ins Internet gelangen und darauf erkennbare Personen und Fahrzeugkennzeichen erst auf Anzeige der Betroffenen hin nachträglich manuell unkenntlich gemacht werden (E. 10.6 und 10.7). Pflicht zur effizienten, unbürokratischen und kostenlosen nachträglichen Anonymisierung (E. 10.6.3 und 14.4). Die vorgängige automatische Anonymisierung ist laufend dem Stand der Technik anzupassen (E. 10.6.5 und 14.1). Bei sensiblen Einrichtungen (Schulen, Spitälern, Altersheimen, Frauenhäusern, Gerichten und Gefängnissen etc.) ist vor der Aufschaltung im Internet die vollständige Anonymisierung von Personen und Kennzeichen vorzunehmen (E. 10.6.4 und 14.2). Bilder von Privatbereichen wie umfriedeten Höfen, Gärten usw., die dem Einblick eines gewöhnlichen Passanten verschlossen bleiben, dürfen ohne Zustimmung der Betroffenen grundsätzlich nicht veröffentlicht werden, soweit sie von einer Kamerahöhe von über 2 m aufgenommen wurden; Übergangsfrist von max. drei Jahren zur Entfernung bereits aufgeschalteter Bilder, die dieser Anforderung nicht entsprechen (E. 10.7 und 14.3). Pflicht, in den Medien generell über die Widerspruchsmöglichkeit und speziell über bevorstehende Aufnahmen und Aufschaltungen von Bildern zu informieren (E. 10.6.3, 11 und 14.4).

Regeste (fr):

Loi sur la protection des données, art. 28 ss CC; garantie de la protection de la personnalité en cas de publication de données personnelles sur Google Street View.

Compétence du Préposé fédéral à la protection des données et à la transparence (consid. 3). Notion de données personnelles en relation avec les images utilisées sur Google Street View (consid. 6.5). Prescriptions de la protection des données pour le traitement de données personnelles (consid. 7). Concrétisation de la protection de la personnalité garantie par l'art. 28 CC par le droit de la protection des données, droit au libre choix quant à l'information et droit à l'image (consid. 8). Prise en considération des principes généraux du droit de la protection des données (consid. 9).

Pesée des intérêts quant à la question de savoir si et dans quelle mesure les méthodes de traitement prises dans leur ensemble sont de nature à léser la personnalité d'un grand nombre d'individus: il est tenu compte du fait qu'au plus 1 % des images insuffisamment anonymisées sont mises en ligne et que des personnes reconnaissables ou des plaques d'immatriculation ne peuvent être floutées manuellement que par la suite, uniquement sur intervention des intéressés (consid. 10.6 et 10.7). Devoir d'exécuter l'anonymisation ultérieure de manière efficace, gratuitement et sans formalités (consid. 10.6.3 et 14.4). Le floutage préalable automatique doit être adapté régulièrement selon l'état de la technique (consid. 10.6.5 et 14.1). A proximité des établissements sensibles (écoles, hôpitaux, maisons de retraite, foyers d'accueil pour femmes, ainsi que les tribunaux et les prisons, etc.), une anonymisation complète des personnes et des signes distinctifs doit être effectuée avant la publication sur internet (consid. 10.6.4 et 14.2). Les images d'espaces privés tels que cours clôturées, jardins etc., à l'abri du regard des passants habituels, ne devraient en principe pas être publiées sans l'accord des intéressés, dans la mesure où les appareils de prise de vue sont situés à plus de 2 m de hauteur; délai transitoire de trois ans au maximum pour la suppression des images déjà mises en lignes qui ne respectent pas ces exigences (consid. 10.7 et 14.3). Devoir d'informer dans les médias sur les possibilités d'opposition en général ainsi que sur les prises de vue et les mises en lignes qui sont prévues (consid. 10.6.3, 11 et 14.4).

Regesto (it):

Legge sulla protezione dei dati, art. 28 segg. CC; garanzia della protezione della personalità nell'ambito della pubblicazione di dati personali su Google Street View.

Competenza dell'incaricato federale della protezione dei dati e della trasparenza (consid. 3). Nozione di dati personali in relazione alle immagini utilizzate su Google Street View (consid. 6.5). Norme sulla protezione dei dati per l'elaborazione di dati personali (consid. 7). Concretizzazione della protezione della personalità garantita dall'art. 28 CC secondo il diritto sulla protezione dei dati, del diritto all'autodeterminazione informativa e del diritto alla propria immagine (consid. 8). Presa in considerazione di principi generali della protezione dei dati (consid. 9).

Ponderazione degli interessi in relazione alla questione di sapere se e in che misura i metodi di trattamento dei dati siano, complessivamente, atti a ledere la personalità di un grande numero di persone: può essere ammesso che al massimo circa l'1 % delle immagini messe in linea su Internet siano anonimizzate in maniera insufficiente, e che le persone e le immatricolazioni di veicoli identificabili siano rese irriconoscibili manualmente soltanto in seguito all'intervento degli interessanti (consid. 10.6 e 10.7). Obbligo di anonimizzazione successiva efficace, non burocratica e gratuita (consid. 10.6.3 e 14.4). L'anonimizzazione automatica preliminare dev'essere adattata regolarmente allo stato della tecnica (consid. 10.6.5 e 14.1). Nelle vicinanze di strutture sensibili (scuole, ospedali, case per anziani, case di accoglienza per donne, tribunali, prigioni, ecc.) dev'essere effettuata un'anonimizzazione completa delle persone e dei segni distintivi prima della pubblicazione su Internet (consid. 10.6.4 e 14.2). Le immagini di aree private, quali cortili, giardini recintati, ecc., nascoste allo sguardo del comune passante, per principio non possono essere pubblicate senza il consenso degli interessati, nella misura in cui siano riprese da una telecamera situata a oltre due metri di altezza; termine transitorio massimo di tre anni per rimuovere le immagini già in linea che non rispettano queste esigenze (consid. 10.7 e 14.3). Obbligo di informazione in maniera generale sui mass media sulla possibilità di opporsi e in particolare sulle prossime riprese e messe in linea previste (consid. 10.6.3, 11 e 14.4).

Sachverhalt ab Seite 348

BGE 138 II 346 S. 348

A. Seit August 2009 bietet Google im Internet den Dienst "Street View" für die Schweiz an. Es handelt sich dabei um eine Funktion in Google Maps (http://maps.google.ch), mit welcher sich virtuelle Rundgänge namentlich durch Strassen und Plätze unternehmen lassen. Die abgebildeten Strassenzüge können dabei in der Regel in einer Rundsicht betrachtet werden. Die Aufnahme der Strassenbilder von speziell dafür ausgestatteten Fahrzeugen aus erfolgte seit März 2009. Auf den Bildern wurden Gesichter von aufgenommenen Personen und Kennzeichen von Fahrzeugen automatisch verwischt (sog. Blurring). Mehrere Personen, die sich durch einzelne Bilder in ihren Persönlichkeitsrechten verletzt fühlten, wandten sich gegen die Publikation an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Dieser hielt die automatische Bearbeitung der Bilder mit einer Anonymisierungssoftware für ungenügend, weil lediglich ein Teil der Gesichter und Kennzeichen verwischt wurde. In der Folge fanden zwischen Google und dem EDÖB Gespräche statt.
B. Am 11. September 2009 erliess der EDÖB eine Empfehlung an Google Inc. und Google Switzerland GmbH, die diese Unternehmen
BGE 138 II 346 S. 349

mit Schreiben vom 14. Oktober 2009 in weiten Teilen ablehnten. Daraufhin erhob der EDÖB am 11. November 2009 Klage beim Bundesverwaltungsgericht mit folgenden Rechtsbegehren: "1. Google Inc. sowie die Google Schweiz GmbH stellen sicher, dass die Veröffentlichung der Bilder im Dienst Google Street View nur erfolgt, wenn Gesichter und Autokennzeichen vollständig unkenntlich [gemacht] worden sind. 2. Google Inc. sowie die Google Schweiz GmbH stellen sicher, dass im Dienst Google Street View die Anonymität von Personen im Bereich von sensiblen Einrichtungen, insbesondere vor Frauenhäusern, Altersheimen, Gefängnissen, Schulen, Sozialbehörden, Vormundschaftsbehörden, Gerichten und Spitälern, gewährleistet ist. 3. Google Inc. sowie die Google Schweiz GmbH stellen sicher, dass der Privatbereich (umfriedete Höfe, Gärten usw.) nicht auf Bildträger aufgenommen wird und die bereits aufgenommenen Bilder aus dem Privatbereich der betroffenen Personen aus dem Dienst Google Street View entfernt werden. 4. Google Inc. sowie die Google Schweiz GmbH stellen sicher, dass die von Privatstrassen aus gemachten Aufnahmen aus dem Dienst Google Street View entfernt werden, sofern keine Einwilligung für die Aufnahmen vorliegt. 5. Google Inc. sowie die Google Schweiz GmbH informieren mindestens eine Woche im Voraus, in welchen Städten und Dörfern in der darauf folgenden Woche Aufnahmen getätigt werden. 6. Google Inc. sowie die Google Schweiz GmbH informieren eine Woche vor Aufschaltung aufs Netz, welche Dörfer und Städte aufgeschaltet werden." Die Klage begründete der EDÖB im Wesentlichen damit, dass das Fotografieren und die anschliessende Übermittlung der Bilder zur Weiterbearbeitung in die USA eine Bearbeitung von Personendaten darstelle, welche die Persönlichkeitsrechte der betroffenen Personen verletze, wenn es sich um Daten aus deren Privatbereich handle. Die Verwendung von Bildern der näheren Umgebung des Lebensmittelpunkts einer Person sei unzulässig, da die Betroffenen trotz unkenntlich gemachtem Gesicht identifiziert werden könnten. Der Betrieb von Google Street View stelle nur dann keine Persönlichkeitsverletzung dar, wenn eine angemessene Unkenntlichmachung gewährleistet sei, sodass ein Personenbezug verneint werden könne. Falls die automatische Verwischung in diesem Bereich nicht funktioniere, könne eine betroffene Person aufgrund der Zoom-Funktionen individualisiert dargestellt und identifiziert werden, was die Persönlichkeitsrechte der Betroffenen verletze. Die von Google zum Persönlichkeitsschutz
BGE 138 II 346 S. 350

getroffenen Massnahmen reichten nicht aus, da noch Tausende von Bildern mit mangelhafter Unkenntlichmachung im Internet aufgeschaltet seien. Bei Aufnahmen aus der Privatsphäre einer betroffenen Person liege zudem immer eine Persönlichkeitsverletzung vor. (...)

D. Mit Urteil A-7040/2009 vom 30. März 2011 hiess das Bundesverwaltungsgericht die Klagebegehren 1 bis 3 sowie 5 und 6 im Sinne der Erwägungen gut. In Bezug auf das Rechtsbegehren 4 wies es die Klage ab. Aus den Erwägungen des Bundesverwaltungsgerichts ergibt sich, dass der EDÖB die umstrittene Empfehlung zu Recht ausgesprochen habe. Die Datenbearbeitung durch Google verstosse gegen die Bearbeitungsgrundsätze des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) und lasse sich nicht durch überwiegende private oder öffentliche Interessen rechtfertigen. Google habe darum besorgt zu sein, sämtliche Gesichter und Kontrollschilder unkenntlich zu machen, bevor die Bilder im Internet veröffentlicht werden. Im Bereich von sensiblen Einrichtungen, jedenfalls soweit sie der Kläger benenne (Frauenhäuser, Altersheime, Gefängnisse, Schulen, Sozial- und Vormundschaftsbehörden, Gerichte und Spitäler), seien die Bilder überdies so weit zu anonymisieren, dass nebst den Gesichtern auch weitere individualisierende Merkmale wie Hautfarbe, Kleidung, Hilfsmittel von körperlich behinderten Personen etc. nicht mehr feststellbar seien. Bilder, die Privatbereiche wie umfriedete Gärten oder Höfe zeigten, die dem Anblick eines gewöhnlichen Passanten verschlossen blieben, dürften nicht aufgenommen werden. Solche bereits vorhandenen Bilder seien aus Google Street View zu entfernen und die Aufnahmehöhe sei entsprechend anzupassen, oder es sei eine Einwilligung der Berechtigten einzuholen. Dagegen sei es nicht notwendig, Aufnahmen aus Privatstrassen ohne Einwilligung generell zu untersagen. Vielmehr müsse auch hier gelten, dass Aufnahmen und deren Veröffentlichung zulässig seien, sofern sie hinreichend unkenntlich gemacht worden sind und keine Privatbereiche im Sinne von Klagebegehren 3 zeigen. Zur Information über geplante Aufnahmeorte erwog das Bundesverwaltungsgericht, dass ein Hinweis auf der Startseite von Google Maps im Internet nicht genüge, sondern darüber hinaus auch in lokalen Presseerzeugnissen darüber zu orientieren sei. Es gebe potentiell betroffene Personen, die das Internet nicht nutzten, und selbst für den grösseren
BGE 138 II 346 S. 351

Teil der Bevölkerung, der das Internet regelmässig nutze, sei eine regelmässige Konsultation von Google Maps - nur um auf allfällige Aufnahmegebiete aufmerksam zu werden - nicht zumutbar. Gleiches gelte für die Aufschaltung von Aufnahmen im Internet.
E. Google Inc. und die Google Switzerland GmbH führen mit Eingabe vom 19. Mai 2011 beim Bundesgericht Beschwerde in öffentlich-rechtlichen Angelegenheiten gegen das Urteil des Bundesverwaltungsgerichts vom 30. März 2011. (...) Sie beanstanden zahlreiche verfahrensrechtliche Mängel und machen geltend, die von der Vorinstanz angeordneten Auflagen führten im Ergebnis zu einem faktischen Verbot von Street View in der Schweiz, weil die Befolgung der Auflagen nicht möglich sei. Die Interessen der Nutzer am Weiterbestehen des Dienstes seien zu Unrecht nicht beachtet worden. Zudem habe das Bundesverwaltungsgericht die Bilder in Street View fälschlicherweise als Personendaten im Sinne des Datenschutzgesetzes des Bundes bezeichnet und eine Verletzung des Rechts am eigenen Bild bejaht. (...) (Auszug)

Erwägungen

Aus den Erwägungen:

1.

1.1 Der vorliegenden Streitsache liegt eine Empfehlung des EDÖB im Privatrechtsbereich zugrunde (Art. 29 Abs. 3 DSG). Das Bundesverwaltungsgericht hat darüber auf Klage des EDÖB hin entschieden (Art. 29 Abs. 4 DSG i.V.m. Art. 35 lit. b VGG [SR 173.32]). Es handelt sich dabei um einen Endentscheid, der mit Beschwerde in öffentlich-rechtlichen Angelegenheiten beim Bundesgericht angefochten werden kann (Art. 82 lit. a , Art. 86 Abs. 1 lit. a und Art. 90 BGG; BGE 136 II 508 E. 1.1). Die Beschwerdeführerinnen haben am Verfahren vor der Vorinstanz teilgenommen und sind vom angefochtenen Entscheid in schutzwürdigen Interessen unmittelbar besonders betroffen. Sie sind somit zur Beschwerdeführung berechtigt (Art. 89 Abs. 1 BGG). (...)

3. Die Vorinstanz bejahte im angefochtenen Entscheid A-7040/2009 vom 30. März 2011, E. 5, die Anwendbarkeit des Datenschutzrechts des Bundes und die Zuständigkeit des EDÖB. Die Beschwerdeführerinnen bestreiten im bundesgerichtlichen Verfahren die Anwendbarkeit des Datenschutzrechts des Bundes nicht mehr. Sie sprechen hingegen der eidgenössischen Datenschutzbehörde im
BGE 138 II 346 S. 352

vorliegenden Fall die Zuständigkeit zu Abklärungen und Empfehlungen im Sinne von Art. 29 DSG ab, da die in Street View verwendeten Bilder nicht in der Schweiz, sondern in den USA veröffentlicht würden.
3.1 Google Inc. lässt mit Hilfe der Google Switzerland GmbH Bilder von Strassenzügen in der Schweiz aufnehmen. Diese werden anschliessend auf Festplatten zur weiteren Bearbeitung nach Belgien versendet. Vom Unternehmenssitz in den USA aus werden die bearbeiteten Aufnahmen alsdann ins Internet gestellt.
3.2 Das Datenschutzrecht bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG). Unter Bearbeitung von Personendaten ist nach Art. 3 lit. e DSG jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten zu verstehen. Dazu gehört unter anderem auch die Bekanntgabe solcher Daten ins Ausland (Art. 6 Abs. 1 DSG; EPINEY/FASNACHT, in: Datenschutzrecht, Belser/Epiney/Waldmann [Hrsg.], 2011, S. 559 ff.; PHILIPPE MEIER, Protection des données, 2011, S. 436 ff.; ANDRÉ THALMANN, Zur Anwendung des schweizerischen Datenschutzgesetzes auf internationale Sachverhalte, sic! 13/2007 S. 341 f.). Der EDÖB klärt gemäss Art. 29 Abs. 1 lit. a DSG von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). Das DSG enthält keine ausdrücklichen Bestimmungen zu seinem räumlichen Geltungsbereich. Als öffentlich-rechtliche Bestimmung gilt für Art. 29 DSG das Territorialitätsprinzip. Die Vorschriften des DSG gelten somit für die Bearbeitung von persönlichen Daten in der Schweiz, die den grundrechtlichen Anspruch auf Schutz der Privatsphäre (Art. 13 BV) verletzen können (BELSER/NOUREDDINE, in: Datenschutzrecht, Belser/Epiney/Waldmann [Hrsg.], 2011, S. 432 ff.).
3.3 Die in Street View verwendeten Bilder werden in der Schweiz aufgenommen, enthalten Informationen über Personen, Strassen und Plätze in der Schweiz und werden so veröffentlicht, dass sie in der Schweiz abrufbar sind. Es liegt somit ein überwiegender Anknüpfungspunkt zur Schweiz vor. Dass die Bilder im Ausland weiterbearbeitet und nicht direkt von der Schweiz aus ins Internet gestellt
BGE 138 II 346 S. 353

werden, ändert nichts daran, dass eine allfällige Persönlichkeitsverletzung mittels in der Schweiz aufgenommener Bilder in der Schweiz eintritt. Die Beurteilung solcher Verfahren gehören zum Aufgabenkreis des EDÖB (Art. 29 DSG). Die Vorinstanz hat somit die Zuständigkeit des EDÖB in der vorliegenden Angelegenheit zu Recht bejaht (vgl. SCHWEIZER/BISCHOF, Der Begriff der Personendaten, digma 11/2011 S. 157; EVA MARIA BELSER, in: Datenschutzrecht, Belser/Epiney/Waldmann [Hrsg.], 2011, S. 370 ff.). (...)

6. Die Beschwerdeführerinnen halten den angefochtenen Entscheid für bundesrechtswidrig, weil eine Grundvoraussetzung der Anwendung des Datenschutzgesetzes, die Bearbeitung von Personendaten, nicht erfüllt sei.
6.1 Personendaten (bzw. "Daten" im Sinne des Datenschutzgesetzes) sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). Dazu gehören auch Bilder, ohne dass es auf die Beschaffenheit des Datenträgers ankommt. Entscheidend ist, dass sich die Angaben einer Person zuordnen lassen (BGE 136 II 508 E. 3.2 S. 513 f.; BELSER/NOUREDDINE, a.a.O., S. 25 ff., 421 ff.). Diese Anforderungen sind bei den in Street View verwendeten Bildern, auf welchen Personen und ihnen zugeordnete Objekte wie Häuser, Fahrzeuge mit Kennzeichen etc. abgebildet sind, grundsätzlich erfüllt. Näher zu untersuchen ist, ob sich die Angaben auf eine bestimmte oder bestimmbare Person im Sinne von Art. 3 lit. a DSG beziehen. Eine Person ist dann bestimmt, wenn sich aus der Information selbst ergibt, dass es sich genau um diese Person handelt (Beispiel: Personalausweis). Bestimmbar ist die Person, wenn sie zwar allein durch die Daten nicht eindeutig identifiziert wird, aus den Umständen, das heisst aus dem Kontext einer Information oder aufgrund zusätzlicher Informationen auf sie geschlossen werden kann (z.B. wenn aus Angaben über Liegenschaften der Eigentümer ausfindig gemacht werden kann). Für die Bestimmbarkeit genügt jedoch nicht jede theoretische Möglichkeit der Identifizierung. Ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird, liegt keine Bestimmbarkeit vor (Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 II 444 f.). Die Frage ist abhängig vom konkreten Fall zu beantworten, wobei insbesondere
BGE 138 II 346 S. 354

auch die Möglichkeiten der Technik mitzuberücksichtigen sind, so zum Beispiel die im Internet verfügbaren Suchwerkzeuge. Von Bedeutung ist indessen nicht nur, welcher Aufwand objektiv erforderlich ist, um eine bestimmte Information einer Person zuordnen zu können, sondern auch, welches Interesse der Datenbearbeiter oder ein Dritter an der Identifizierung hat (BGE 136 II 508 E. 3.2 S. 514; BELSER/NOUREDDINE, a.a.O., S. 423 f.; DAVID ROSENTHAL, in: Handkommentar zum Datenschutzgesetz, 2008, N. 24 f. zu Art. 3 DSG). Ob eine Information aufgrund zusätzlicher Angaben mit einer Person in Verbindung gebracht werden kann, sich die Information mithin auf eine bestimmbare Person bezieht (Art. 3 lit. a DSG), beurteilt sich aus der Sicht des jeweiligen Inhabers der Information. Im Falle der Weitergabe von Informationen ist dabei ausreichend, wenn der Empfänger die betroffene Person zu identifizieren vermag (BGE 136 II 508 E. 3.4 S. 515). Weiter ist die Bestimmbarkeit zu bejahen, wenn sie sich zumindest auf einen Teil der gespeicherten Informationen bezieht (BGE 136 II 508 E. 3.5 S. 516; s. zum Ganzen auch SCHWEIZER/BISCHOF, a.a.O., S. 153 ff.).
6.2 Die Vorinstanz hat aufgrund der genannten Kriterien die Bestimmbarkeit der abgebildeten Personen zunächst in Bezug auf die sog. Rohdaten, die bei der Aufnahme der Bilder entstehen und noch nicht automatisch weiterbearbeitet wurden, bejaht. Aber auch bei den nach der automatischen Bearbeitung in Street View aufgeschalteten Bildern ging das Bundesverwaltungsgericht von einem gewissen Anteil bestimmbarer Personen aus, welche wegen mangelhafter Verwischung direkt erkennbar oder zumindest bestimmbar seien. Ein Augenbalken oder die Verwischung der Gesichtspartie schliesse die Erkennbarkeit nicht ohne Weiteres aus, da die abgebildete Person auch durch andere Merkmale oder durch die Umstände identifizierbar bleiben könne. Insbesondere wenn Personen in ihrem Lebensumfeld aufgenommen würden, sei die Wahrscheinlichkeit einer Erkennung durch Bekannte oder Nachbarn zumindest nicht auszuschliessen. Auch lasse sich eine Person, selbst wenn das Gesicht mittels automatischer Software verwischt worden sei, je nach Umständen - Ort der Aufnahme, konkrete Situation, Kleidung und Haltung der Person - durchaus identifizieren. Der Personenbezug ergebe sich bei Fotografien von Personen aus der Abbildung selbst. Er könne sich aber auch erst aus dem Zusammenhang oder aufgrund von Zusatzinformationen direkt oder indirekt ergeben. So entstehe bei Abbildungen von Fahrzeugen ein Bezug zum Fahrer, aufgrund des
BGE 138 II 346 S. 355

Fahrzeugkennzeichens auch zum Halter; bei Häusern und Grundstücken ergebe sich ein Personenbezug zum Eigentümer oder zu dort verkehrenden Personen (Bewohner, Kunden etc.).
6.3 Diese Ausführungen der Vorinstanz sind zutreffend. Die Akten enthalten eine Dokumentation mit zahlreichen Beispielen, die an der Vorbereitungs- und der Hauptverhandlung der Vorinstanz gezeigt wurden. Es handelt sich um Bilder aus Street View, auf welchen Personen ungenügend oder gar nicht verwischt wurden. Teilweise sind Gesichter von Personen, Nummernschilder von Fahrzeugen etc. deutlich erkennbar und auch Einblicke in Gärten und Balkone oder sogar ins Innere von Wohnhäusern möglich. Daraus ergibt sich die Identifizierbarkeit eines Teils der abgebildeten Personen und ihres Umfelds. Selbst wenn auf gewissen Bildern keine Personen abgebildet sind, können Personendaten vorliegen. So etwa wenn sich Bilder von Häusern oder Fahrzeugen der Wohnadresse einer bestimmten Person zuordnen lassen und damit Rückschlüsse auf die konkrete Lebenssituation von Bewohnern des Hauses oder des Halters eines Fahrzeugs (sofern das Nummernschild erkennbar ist) möglich sind. Bilder von privaten Gärten, Höfen, Balkonen oder Hausfassaden mit Einblick in Wohnbereiche betreffen somit ebenfalls Personendaten (vgl. LUCIEN MÜLLER, Videoüberwachung in öffentlich zugänglichen Räumen - insbesondere zur Verhütung von Straftaten, 2011, S. 49; DREIER/SPIECKER GENANNT DÖHMANN, Die systematische Aufnahme des Strassenbildes, 2010, S. 74 ff., 82). Dies hat in Deutschland zur Forderung geführt, dass in Einzelfällen auch ganze Gebäudeansichten verschleiert werden sollen (DREIER/SPIECKER GENANNT DÖHMANN, a.a.o., s. 82 Fn. 240). Eine analoge Empfehlung hat der EDÖB für Street View in der Schweiz nicht abgegeben, sodass die Frage, inwieweit es sich bei Ansichten von Häuserfassaden ohne Einblick ins Gebäudeinnere um Personendaten handelt, nicht weiter zu prüfen ist.
6.4 Dass es sich bei den dokumentierten Beispielen erkennbarer Personen und Fahrzeug-Kennzeichen um das Resultat der Bearbeitung von Bildern durch Google handelt, ist offensichtlich und musste nicht durch zusätzliche Sachverhaltsabklärungen bestätigt werden. Auch durften weitere Abklärungen zu den Fortschritten der Beschwerdeführerinnen bei der Verwischungstechnik unterbleiben, da nicht ersichtlich ist und auch nicht behauptet wird, dass mit der verbesserten Verwischungstechnologie die Bestimmbarkeit von Personen im Sinne von Art. 3 lit. a DSG gänzlich entfallen würde. Dass das
BGE 138 II 346 S. 356

Bundesverwaltungsgericht seinen Entscheid auf den im Urteilszeitpunkt vorhandenen Stand von Street View stützte, ist somit nicht zu beanstanden.
6.5 Die Rohbilder von Personen sowie Abbildungen, bei denen nach der automatischen Bearbeitung das Erkennen der Person möglich ist, sind somit als Personendaten zu qualifizieren. Dies gilt auch für Fahrzeugkennzeichen und Abbildungen von Häusern, Gärten und Höfen, da sich auch hier problemlos ein Personenbezug herstellen lässt. Fahrzeugkennzeichen und Häuser können ohne grossen Aufwand Personen zugeordnet werden und es ist mit der Vorinstanz davon auszugehen, dass Dritte ein Interesse an diesen Angaben haben und entsprechend bereit sind, eine Identifizierung vorzunehmen. Der EDÖB klärt nach Art. 29 Abs. 1 lit. a DSG den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). Die Datenbearbeitung durch Google erfolgt mit Bildern aus der ganzen Schweiz, und diese stehen im Internet einem grossen Publikum kostenlos zur Verfügung. Street View ist damit geeignet, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Das führt zur Bejahung eines möglichen Systemfehlers im Sinne von Art. 29 Abs. 1 lit. a DSG. Der EDÖB hatte somit Anlass, die Abklärungen, die dem angefochtenen Entscheid zugrunde liegen, vorzunehmen.
7. Die Beschwerdeführerinnen bringen vor, sie hielten sich an die Bearbeitungsgrundsätze gemäss Art. 4 DSG. Entgegen der Auffassung der Vorinstanz seien weder der Rechtmässigkeitsgrundsatz (Art. 4 Abs. 1 DSG) noch der Erkennbarkeits- und Zweckmässigkeitsgrundsatz (Art. 4 Abs. 3 und 4 DSG) oder der Verhältnismässigkeitsgrundsatz (Art. 4 Abs. 2 DSG) verletzt, sodass kein Grund für die umstrittenen Empfehlungen des Bundesverwaltungsgerichts bestehe.
7.1 Art. 4 DSG regelt die bei jeder Bearbeitung von Personendaten zu beachtenden allgemeinen Grundsätze (vgl. ASTRID EPINEY, in: Datenschutzrecht, Belser/Epiney/Waldmann [Hrsg.], 2011, S. 510). Dazu gehört, dass Personendaten nur rechtmässig bearbeitet werden dürfen (Abs. 1), dass ihre Bearbeitung nach Treu und Glauben zu erfolgen hat und verhältnismässig sein muss (Abs. 2), dass Daten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Abs. 3), und dass die Beschaffung der Daten und
BGE 138 II 346 S. 357

insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein muss (Abs. 4). Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen (Abs. 5). Verstossen Private gegen die Grundsätze gemäss Art. 4 Abs. 1 -4 DSG, so ist zu prüfen, ob die Bearbeitung der Personendaten widerrechtlich ist (ROSENTHAL, a.a.O., N. 3 zu Art. 4 DSG). In Ergänzung zu den allgemeinen Bearbeitungsgrundsätzen gemäss Art. 4 DSG wird die Bearbeitung von Personendaten durch Private in Art. 12 und 13 DSG geregelt. Darin sind die Voraussetzungen festgelegt, welche für eine rechtmässige Bearbeitung erfüllt sein müssen (BGE 136 II 508 E. 5.1 S. 518). Diese Bestimmungen lauten:
Art. 12 Persönlichkeitsverletzungen
1 Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. 2 Er darf insbesondere nicht:
a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten; b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten; c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekanntgeben. 3 In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.
Art. 13 Rechtfertigungsgründe
1 Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. 2 Ein überwiegendes Interesse der bearbeitenden Person fällt insbesondere in Betracht, wenn diese: a. in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags Personendaten über ihren Vertragspartner bearbeitet; b. mit einer anderen Person in wirtschaftlichem Wettbewerb steht oder treten will und zu diesem Zweck Personendaten bearbeitet, ohne diese Dritten bekannt zu geben;
BGE 138 II 346 S. 358

c. zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen; d. beruflich Personendaten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet; e. Personendaten zu nicht personenbezogenen Zwecken insbesondere in der Forschung, Planung und Statistik bearbeitet und die Ergebnisse so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind; f. Daten über eine Person des öffentlichen Lebens sammelt, sofern sich die Daten auf das Wirken dieser Person in der Öffentlichkeit beziehen.
7.2 Im Hinblick auf die Berücksichtigung von Rechtfertigungsgründen bei der Anwendung von Art. 12 Abs. 2 lit. a DSG hat das Bundesgericht in BGE 136 II 508 E. 5.2.4 S. 521 entschieden, dass eine Rechtfertigung der Bearbeitung von Personendaten entgegen den Grundsätzen von Art. 4 , Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG zwar nicht generell ausgeschlossen ist, dass Rechtfertigungsgründe im konkreten Fall aber nur mit grosser Zurückhaltung bejaht werden können. Dies trifft in besonderem Mass auf Dienste wie Street View zu, für welche Personendaten systematisch bearbeitet und für einen unbestimmbar grossen Kreis potenzieller Nutzer veröffentlicht werden.
8. Das Datenschutzrecht ergänzt und konkretisiert den bereits durch das Zivilgesetzbuch (insbesondere Art. 28 ZGB) gewährleisteten Schutz der Persönlichkeit (BGE 136 II 508 E. 6.3.2 S. 523; BGE 127 III 481 E. 3 a/bb S. 492 f. mit Hinweis). Art. 13 Abs. 1 DSG übernimmt in diesem Sinne den in Art. 28 Abs. 2 ZGB verankerten Grundsatz, wonach eine Persönlichkeitsverletzung widerrechtlich ist, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist (BGE 136 II 508 E. 6.3.2 S. 523; BGE 136 III 410 E. 2.2 S. 412). Grundsätzlich darf niemand ohne seine (vorgängige oder nachträgliche) Zustimmung abgebildet werden, sei es durch Zeichnung, Gemälde, Fotografie, Film oder ähnliche Verfahren (BGE 136 III 401 E. 5.2.1 S. 404). Neben dem Recht am eigenen Bild ist im Bereich des Bildnisschutzes in der überwiegenden Zahl der Fälle auch die Ehre sowie die Geheim- oder die Privatsphäre betroffen (MARC BÄCHLI, Das Recht am eigenen Bild, 2002, S. 59 ff.).
8.1 Die Beschwerdeführerinnen vertreten die Auffassung, die in Street View abgebildeten Personen stellten blosses Beiwerk dar, das
BGE 138 II 346 S. 359

bezüglich dem Recht am eigenen Bild irrelevant sei. Daran ändere die in Street View enthaltene Funktion zur Vergrösserung von Bildausschnitten (Zoom-Funktion) nichts. Ebenso wenig sei entscheidend, dass Gärten und Höfe aufgenommen würden. Schliesslich verkenne die Vorinstanz den Zweck des Rechtmässigkeitsgrundsatzes (Art. 4 Abs. 1 DSG). Dieser erfasse nur Verhaltensweisen, die unabhängig vom DSG widerrechtlich seien. Ein persönlichkeitsverletzender Verstoss gegen das Recht am eigenen Bild sei kein Verstoss gegen die Bearbeitungsgrundsätze gemäss Art. 12 Abs. 2 lit. a DSG, an deren Rechtfertigung nach der Rechtsprechung erhöhte Anforderungen gestellt würden (BGE 136 II 508 E. 5.2.4 S. 521; vgl. E. 7.2 hiervor).
8.2 Das Recht am eigenen Bild ist das Selbstbestimmungsrecht, das vor widerrechtlicher Verkörperung des eigenen Erscheinungsbildes schützt (BÄCHLI, a.a.O., S. 30 f.). Es umfasst zwei inhaltlich verschiedene Rechte: einerseits einen Abwehranspruch gegen gezieltes, auf Identifikation und Ausforschung gerichtetes Erstellen von Fotos und Videoaufzeichnungen, andererseits ein Recht auf Selbstbestimmung des Menschen bezüglich der Veröffentlichung des eigenen Bildes, insbesondere des Porträts, und seiner Verwendung in kommerzieller oder politischer Werbung (CHRISTIAN BRÜCKNER, Das Personenrecht des ZGB, 2000, S. 188 Rz. 628). Gleichermassen soll das Recht auf Achtung der Privatsphäre verhindern, dass jede private Lebensäusserung, die in der Öffentlichkeit stattfindet, wie zum Beispiel ein Abschiedskuss auf der Strasse oder die Beerdigung eines Menschen der Allgemeinheit bekannt wird (BÄCHLI, a.a.O. S. 43). Der Einzelne soll sich nicht dauernd beobachtet fühlen, sondern - in gewissen Grenzen - selber bestimmen dürfen, wer welches Wissen über ihn haben darf bzw. welche personenbezogenen Begebenheiten und Ereignisse des konkreten Lebens einer weiteren Öffentlichkeit verborgen bleiben sollen. Da mit Hilfe elektronischer Datenverarbeitung personenbezogene Informationen in beliebigem Umfang gespeichert, verknüpft und reproduziert werden können, lassen sich auch an sich harmlose Informationen, die ohne Weiteres der Öffentlichkeitssphäre zuzurechnen wären, zu eigentlich schützenswerten Persönlichkeitsprofilen verdichten. Im Bereich des Datenschutzes garantiert das verfassungsmässig geschützte Recht auf informationelle Selbstbestimmung (Art. 13 Abs. 2 BV und Art. 8 Ziff. 1 der Konvention vom 4. November 1950 zum Schutze der Menschenrechte und Grundfreiheiten [EMRK;
BGE 138 II 346 S. 360

SR 0.101]), dass grundsätzlich ohne Rücksicht darauf, wie sensibel die fraglichen Informationen tatsächlich sind, dem Einzelnen die Herrschaft über seine personenbezogenen Daten zusteht (BELSER, a.a.O., S. 361 ff.; RAINER J. SCHWEIZER, in: Die Schweizerische Bundesverfassung, 2. Aufl. 2008, N. 37 ff. zu Art. 13 BV; s. auch LUCIEN MÜLLER, Die Videoüberwachung in öffentlich zugänglichen Räumen - insbesondere zur Verhütung und Ahndung von Straftaten, 2011, S. 122 ff.). Nach Art. 35 Abs. 3 BV sorgen die Behörden dafür, dass die Grundrechte, soweit sie sich dazu eignen, auch unter Privaten wirksam werden. Der Verwirklichung dieses verfassungsrechtlichen Auftrags dient im vorliegenden Zusammenhang unter anderem das Tätigwerden des EDÖB gemäss Art. 29 DSG (vgl. MÜLLER, a.a.O., S. 308 ff., 314 f.).
8.3 Die Vorinstanz hält im angefochtenen Entscheid zu Recht fest, dass schon allein die Aufnahme des Bildes eine Persönlichkeitsverletzung bedeuten kann. Die Veröffentlichung des individualisierenden, das heisst nicht rein zufälligen Bildes ohne Einwilligung des Betroffenen stellt immer eine Persönlichkeitsverletzung dar, und zwar unabhängig davon, ob bereits die Aufnahme unrechtmässig erfolgte (HAUSHEER/AEBI-MÜLLER, Das Personenrecht des Schweizerischen Zivilgesetzbuches, 2. Aufl. 2008, S. 212 ff.). Das Vorgehen der Beschwerdeführerinnen, Strassenzüge in der Schweiz abzufahren und fotografisch aufzunehmen, betrifft zweifelsohne das Recht am eigenen Bild, weil dabei auch Personen ohne ihr Wissen aufgenommen und im Internet gezeigt werden. Diese Personen sind erkennbar im Sinne des Datenschutzgesetzes (vorne E. 6). Auch wenn sie nur zufällig auf den Bildern als sog. "Beiwerk" oder "Staffage" erscheinen, kann ihr Recht am eigenen Bild verletzt sein (BÄCHLI, a.a.O., S. 106 ff.). Entgegen der Auffassung der Beschwerdeführerinnen kann nicht verallgemeinernd gesagt werden, bei den im öffentlichen Bereich aufgenommenen Personen handle es sich generell lediglich um "Beiwerk" ohne Anspruch auf Schutz der Persönlichkeit. Eine abgebildete Person kann ohne Rechtfertigung durch ein Informationsinteresse des Publikums ins Zentrum des Bildes gerückt oder mittels der Zoom-Funktion derart vergrössert werden, dass sie nicht mehr als untergeordneter Teil eines belebten Strassenbildes erscheint (vgl. BÄCHLI, a.a.O., S. 109). Eine solche Darstellung von Personen schliesst eine rechtliche Behandlung als blosses "Beiwerk" aus, auch wenn die Individualisierung einzelner Personen von den Beschwerdeführerinnen nicht beabsichtigt wird.

BGE 138 II 346 S. 361

Hinzu kommt, dass mitunter auch missliche oder anderweitig unangenehme Situationen aufgenommen und für ein grosses Publikum veröffentlicht werden oder Personen und Fahrzeuge auf Bildern im Bereich von sensiblen Einrichtungen erscheinen. Die Befürchtung von Betroffenen, dass daraus möglicherweise falsche oder sie persönlich belastende Schlüsse gezogen werden könnten, ist nicht von der Hand zu weisen. Dasselbe muss für Gärten und umfriedete Höfe gelten. Auch diese werden von der Privatsphäre umfasst und es ist - selbst wenn sie gemeinhin von Passanten wahrgenommen werden können - ein Unterschied, ob sie bloss im Vorbeigehen momentan zur Kenntnis genommen oder aber auf Fotos aufgenommen und (auf Dauer) im Internet veröffentlicht werden. Es liegt daher in vielen Fällen eine Persönlichkeitsverletzung und damit eine Verletzung des Rechtmässigkeitsprinzips im Sinne von Art. 4 Abs. 1 DSG vor. Im Folgenden ist zu prüfen, inwieweit eine Persönlichkeitsverletzung mit hinreichender Anonymisierung der Personendaten vermieden werden kann.
9. Die Vorinstanz hat die Datenbearbeitung durch die Beschwerdeführerinnen auch als mit dem Erkennbarkeits- und Zweckmässigkeitsgrundsatz (Art. 4 Abs. 3 und 4 DSG) sowie dem Verhältnismässigkeitsgrundsatz (Art. 4 Abs. 2 DSG) unvereinbar bezeichnet.
9.1 Nach Art. 4 Abs. 3 DSG dürfen Personendaten nur für den Zweck bearbeitet werden, welcher bei der Beschaffung angegeben worden ist oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Der Verwendungszweck der Daten muss bereits bei der Datenbeschaffung angegeben worden sein oder sonst feststehen (Grundsatz der Zweckbindung, vgl. EPINEY, a.a.O., S. 538 ff.). Mit diesem Grundsatz im engem Zusammenhang steht der Grundsatz der Transparenz, der besagt, dass die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein müssen (Art. 4 Abs. 4 DSG, vgl. EPINEY, a.a.O., S. 544 ff.). Diesen Grundsätzen wird nicht dadurch Genüge getan, dass die Fahrzeuge, auf welchen die Kameras installiert sind, für Passanten und Anwohner sichtbar sind. Der Zweck dieser Fahrzeuge, Strassenzüge (etc.) systematisch abzufahren und abzubilden und die Aufnahmen ohne Zustimmung der Betroffenen im Internet zu veröffentlichen, ist nicht ohne Weiteres erkennbar, auch wenn Street View in der Schweizer Bevölkerung mittlerweile einen hohen
BGE 138 II 346 S. 362

Bekanntheitsgrad geniesst. Ob ein vorbeifahrendes Google-Fahrzeug gerade Aufnahmen tätigt, ist für die Anwesenden nicht erkennbar. Eine jeweils eine Woche im Voraus erfolgende Information im Internet über aufzunehmende Gebiete gewährleistet die erforderliche Erkennbarkeit nicht hinreichend. Die Datenbearbeitung der Beschwerdeführerinnen verletzt damit die Grundsätze der Zweckbindung und der Transparenz.
9.2 Weiter ist nach Art. 4 Abs. 2 DSG das Verhältnismässigkeitsprinzip zu beachten. Dieser in Art. 5 Abs. 2 BV verankerte Grundsatz staatlichen Handelns ist im Anwendungsbereich des Datenschutzgesetzes auch für Private verbindlich (Art. 12 Abs. 2 lit. a DSG; EPINEY, a.a.O., S. 528 ff.; MEIER, a.a.O., S. 268 ff.). Der Grundsatz besagt, dass eine Grundrechtseinschränkung zur Erreichung des angestrebten Ziels geeignet und erforderlich sein muss und zudem für den Betroffenen zumutbar zu sein hat (BGE 134 I 140 E. 6.2 S. 151 f.; BGE 133 I 77 E. 4.1 S. 81; je mit Hinweisen). Im Rahmen der Zumutbarkeitsprüfung (Verhältnismässigkeit im engeren Sinne) ist vor dem Hintergrund des grundrechtlich geschützten Anspruchs auf informationelle Selbstbestimmung (Art. 13 Abs. 2 BV, vorne E. 8.2) zu beurteilen, ob zwischen der Datenbearbeitung und dem damit verbundenen Eingriff in die Privatsphäre ein angemessenes Verhältnis besteht. Diese Prüfung betrifft grundsätzlich konkrete Einzelfälle und läuft im Ergebnis auf eine gesamthafte Abwägung aller betroffenen öffentlichen und privaten Interessen hinaus, wie sie auch in Anwendung von Art. 13 Abs. 1 DSG und Art. 28 Abs. 2 ZGB vorzunehmen ist (EPINEY, a.a.O., S. 528 ff.; MEIER, a.a.O., S. 268 ff., 528, 532 ff.).
9.3 Die Vorinstanz beurteilte die Einhaltung des Verhältnismässigkeitsgrundsatzes insbesondere im Rahmen einer Interessenabwägung unter dem Gesichtspunkt der Verhältnismässigkeit im engeren Sinne. Eine weitere Interessenabwägung führte sie im Rahmen der Prüfung des Rechtfertigungsgrunds der überwiegenden Interessen (Art. 13 Abs. 1 DSG) durch. Die Beschwerdeführerinnen wenden gegen die vorinstanzliche Prüfung der Verhältnismässigkeit im engeren Sinne zunächst ein, die Persönlichkeitsverletzungen seien nicht anhand konkreter Fälle geprüft worden und die Vorinstanz habe den "sensiblen" Einrichtungen eine zu grosse Bedeutung beigemessen. Weiter habe sie die Widerspruchsmöglichkeiten von Street View verkannt und nicht ausreichend berücksichtigt, dass in traditionellen
BGE 138 II 346 S. 363

Medien und in anderen Online-Angeboten Bilder zu finden seien, die nicht einmal anonymisiert, aber trotzdem vorbehaltlos akzeptiert seien. Unter dem Gesichtspunkt der Interessenabwägung nach Art. 13 Abs.1 DSG und Art. 28 Abs. 2 ZGB führen die Beschwerdeführerinnen aus, allfällige Eingriffe in die Persönlichkeitsrechte der Betroffenen seien geringfügig und es stünden ihnen gewichtige private Drittinteressen, private Interessen der Beschwerdeführerin 1 sowie öffentliche Interessen gegenüber. Öffentliche Interessen gegen Street View seien nicht ersichtlich.
Es erscheint zweckmässig, die im Rahmen der Interessenabwägung und der Verhältnismässigkeitsprüfung massgebenden Gesichtspunkte gesamthaft zu prüfen und auf eine Aufspaltung der Behandlung dieser inhaltlich sehr eng zusammenhängenden Fragen zu verzichten.
10.

10.1 Wie bereits in E. 8 hiervor dargelegt, ergänzt und konkretisiert Art. 13 Abs. 1 DSG den bereits in Art. 28 Abs. 2 ZGB gewährleisteten Schutz der Persönlichkeit (BGE 136 II 508 E. 6.3.2 S. 523; BGE 127 III 481 E. 3a/bb S. 493; je mit Hinweisen). Trotz der identischen Formulierung von Art. 13 Abs. 1 DSG und Art. 28 Abs. 2 ZGB besteht in Bezug auf das Verfahren ein erheblicher Unterschied. Vorliegend geht es nicht wie in einem zivilrechtlichen Zweiparteienverfahren zwischen dem mutmasslich in seiner Persönlichkeit Verletzten und dem Datenbearbeiter um eine einzelne konkrete Persönlichkeitsverletzung. Vielmehr ist zu prüfen, ob das Bundesverwaltungsgericht einen erheblichen Teil der Klagebegehren des EDÖB gutheissen durfte. Die Intervention des EDÖB bezweckt die Verteidigung einer Vielzahl von Personen und liegt damit letztlich im öffentlichen Interesse (Art. 29 DSG; BGE 136 II 508 E. 6.3.2 S. 523). Diese Bedeutung der Empfehlung des EDÖB ist bei der Interessenabwägung nach Art. 13 Abs. 1 DSG zu berücksichtigen.
10.2 Mit den gutgeheissenen Klagebegehren soll eine Verletzung der Persönlichkeit einer grösseren Anzahl von Personen vermieden werden (Art. 29 Abs. 1 lit. a DSG). Ob die Bearbeitungsmethoden der Beschwerdeführerinnen geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Art. 29 Abs. 1 lit. a DSG), hat die Vorinstanz vorweg detailliert geprüft. Sie stützte sich auf eine grössere Anzahl von Abbildungen aus Street View mit erkennbaren Personen und Kennzeichen von Fahrzeugen, Einblicken in private Höfe und Gärten sowie teilweise ins Innere von Wohnräumen. Wenn
BGE 138 II 346 S. 364

Personen in ihrem Lebensumfeld aufgenommen werden, erscheint die Wahrscheinlichkeit einer Erkennung durch Dritte relativ gross. Eine Person lässt sich, auch wenn das Gesicht mit der Anonymisierungssoftware verwischt wurde, je nach Umständen - Ort der Aufnahme, konkreter Situation, Kleidung und Haltung der Person - identifizieren. Es ist somit im Hinblick auf die Funktion der Klage sowie der Empfehlungen nach Art. 29 Abs. 1 lit. a DSG entgegen der Auffassung der Beschwerdeführerinnen nicht zu beanstanden, dass die Vorinstanz die Interessenabwägung nicht in Bezug auf einzelne konkrete Darstellungen von Personen, Kennzeichen, Gärten und Höfen auf bestimmten Bildern vornahm. Sie orientierte sich bei der Interessenabwägung zu Recht an der Fragestellung, ob und inwieweit die Bearbeitungsmethoden der Beschwerdeführerinnen insgesamt geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen.
10.3 Im Rahmen der Interessenabwägung sind die konkreten Interessen zu ermitteln, diese mithilfe rechtlich ausgewiesener Massstäbe zu beurteilen und zu optimieren, sodass sie mit Rücksicht auf die Beurteilung, die ihnen zuteil wurde, im Entscheid möglichst umfassend zur Geltung gebracht werden können (TSCHANNEN/ZIMMERLI/MÜLLER, Allgemeines Verwaltungsrecht, 3. Aufl. 2009, S. 213). Die sich gegenüberstehenden Interessen sind einerseits das Recht auf Achtung der Privatsphäre und das Recht am eigenen Bild der betroffenen Personen, andererseits die von den Beschwerdeführerinnen vorgebrachten privaten und öffentlichen Interessen. Auf der einen Seite stehen somit die Rechte Betroffener, die selber oder deren Häuser, Wohnungen, Gärten, Fahrzeuge etc. aufgenommen wurden und deren Abbildungen auf Street View für jedermann frei zugänglich veröffentlicht sind. Auf der anderen Seite berücksichtigte die Vorinstanz die überwiegend wirtschaftlichen Interessen der Beschwerdeführerinnen, insbesondere das Interesse, keinen finanziellen (Mehr-)Aufwand für eine manuelle Unkenntlichmachung von nicht automatisch genügend verwischten Bildern leisten zu müssen. Aber auch Interessen von Dritten oder sogar der betroffenen Personen selbst können die Datenbearbeitung unter Umständen rechtfertigen. Grundsätzlich kann jedes schützenswerte Interesse, das heisst jedes Interesse von allgemein anerkanntem Wert, berücksichtigt werden (ROSENTHAL, a.a.O., N. 6 ff. zu Art. 13 DSG; CORRADO RAMPINI, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 20 ff. zu Art. 13 DSG).

BGE 138 II 346 S. 365

Hinweise, was als schützenswertes Interesse gilt, liefern die Beispiele in Art. 13 Abs. 2 und Art. 6 Abs. 2 DSG. Auch rein wirtschaftliche Interessen, wie beispielsweise das Interesse daran, eine Datenbearbeitung möglichst effizient zu gestalten oder die eigenen Geschäftsabläufe zu optimieren, zählen grundsätzlich dazu.
10.4 Die Beschwerdeführerinnen stützten sich vor der Vorinstanz in erster Linie auf ihr eigenes wirtschaftliches Interesse am Betrieb von Street View, insbesondere daran, ihre Position im Bereich von Online-Kartenanwendungen auszubauen und mit Anwendungen, wie etwa Navigationssystemen, in neue Märkte einzusteigen. Damit verbunden sei eine wichtige Einnahmequelle für das Unternehmen, der Verkauf von Werbefläche. Indem das Kartenmaterial selber beschafft werde, würden zudem weitere Kosten gespart. Als öffentliche Interessen machen die Beschwerdeführerinnen einerseits den Wettbewerbsdruck geltend, der durch ihr Angebot erzielt werde, andererseits verweisen sie auf die Interessen zahlreicher Privater, Unternehmen und Gemeinwesen an der Verwendung ihres Dienstes. Letzteren sprach das Bundesverwaltungsgericht die Qualität eines öffentlichen Interesses ab. Es handle sich auch dabei um eigene wirtschaftliche Interessen vor allem finanzieller Art von Google. Die Beschwerdeführerinnen könnten sich somit einzig auf ihre privaten Interessen berufen. Angesichts der bundesgerichtlichen Rechtsprechung, wonach überwiegende private oder öffentliche Interessen nur zurückhaltend zu bejahen seien (BGE 136 II 508 E. 5.2.4 S. 521), genügten die angeführten wirtschaftlichen Interessen nicht, um die Persönlichkeitsverletzungen zu rechtfertigen. Die Beschwerdeführerinnen nähmen im Interesse ihres wirtschaftlichen Erfolgs die Verletzung der Persönlichkeitsrechte zahlreicher Personen in Kauf. Dabei gehe es nicht darum, dass sie ihren Online-Dienst nicht ohne Rücksicht auf das informationelle Selbstbestimmungsrecht der Betroffenen anbieten könnten. Vielmehr wären allfällige Persönlichkeitsverletzungen vermeidbar, würden aber einen finanziellen Mehraufwand für die Beschwerdeführerinnen nach sich ziehen, weil sie die Bilder teilweise manuell unkenntlich machen müssten. Der Mehraufwand würde ihre wirtschaftliche Existenz jedoch offensichtlich nicht infrage stellen. Es sei im Übrigen nicht ausgeschlossen, einen allfälligen Mehraufwand für die manuelle Anonymisierung auf die an Street View Interessierten zu überwälzen, gebe es doch keinen Grund, dass die Anwendung kostenlos angeboten werden müsse. Die Vermeidung von finanziellem Mehraufwand sowie das kostenlose und damit wirtschaftlich attraktive Anbieten von Street
BGE 138 II 346 S. 366

View anerkannte die Vorinstanz grundsätzlich als beachtenswerte gewinnstrebige Interessen. Diese würden jedoch die Schutzinteressen der von Persönlichkeitsverletzungen betroffenen Personen nicht überwiegen. Die Kostenlosigkeit von Street View sei denn auch kein überwiegendes privates oder gar öffentliches Interesse. Genauso wenig vermöge der angeblich erzeugte Wettbewerbsdruck durch Street View die Persönlichkeitsrechte der betroffenen Personen zu überwiegen.
10.5 Die Beschwerdeführerinnen halten die vorinstanzliche Interessenabwägung für einseitig und lückenhaft. Zusätzlich zu den vom Bundesverwaltungsgericht berücksichtigten Interessen stellen sie das Informationsinteresse des Publikums in den Vordergrund, das die Vorinstanz nicht hinreichend berücksichtigt habe. Street View entspreche einem über blosse Neugierde hinausgehenden Nutzen für die Bevölkerung, etwa bei Wegbeschreibungen oder bei der Orientierung über eine Anfahrt zu einem bestimmten Ziel, bei der Urlaubsplanung oder bei Fernbesichtigungen im Hinblick auf den Kauf oder die Miete einer Liegenschaft. Zudem ermögliche es virtuelle Ausflüge zu Sehenswürdigkeiten etc. Weiter verweisen die Beschwerdeführerinnen auf den Nutzen für sehbehinderte Personen, die sich auf Street View vorweg mit Örtlichkeiten vertraut machen könnten und damit weniger auf fremde Hilfe angewiesen seien. Diese Nutzerinteressen stünden unter dem Schutz der Informationsfreiheit nach Art. 16 Abs. 3 BV, was das Bundesverwaltungsgericht nicht beachtet habe. Weiter zu berücksichtigen seien die Interessen zahlreicher Nutzniesser wie der Tourismusbranche, der Immobilienbranche und all jener Anbieter, die Street View in ihre Website eingebunden hätten, um etwa Besuchern die Wegfindung zu erleichtern.
10.6

10.6.1 Den Beschwerdeführerinnen ist darin zuzustimmen, dass im Rahmen der Interessenabwägung nicht nur ihre vorwiegend wirtschaftlichen Interessen zu beachten sind, sondern auch die Interessen Dritter, die aus Street View einen Nutzen durch erleichterte Informationsbeschaffung und -verwendung ziehen (vgl. PHILIPPE MEIER, A l'impossible nul n'est tenu ... sauf Google ?, Medialex 2011 S. 70). Inwieweit dieses Interesse dem Schutz der in Art. 16 Abs. 3 BV verankerten Informationsfreiheit unterliegt, ist im Rahmen der vorliegenden Interessenabwägung nicht abschliessend zu prüfen. Es ist offensichtlich, dass Street View seit seiner Einführung für einen erheblichen Teil der Bevölkerung die Suche nach Informationen über
BGE 138 II 346 S. 367

den öffentlichen Raum erleichtert und insofern ein willkommenes, legitimes Hilfsmittel etwa bei der Reiseplanung, der Suche nach einer Liegenschaft oder der Erkundung unbekannter Örtlichkeiten darstellt. In diesem Sinne ergänzt der Dienst die Orientierung mittels Stadtplänen oder Landkarten, die auch im Internet konsultiert werden können. Allfällige unlautere Absichten gewisser Nutzer stellen die grundsätzlich positiven Aspekte der mit Street View eröffneten Orientierungshilfen nicht infrage. Das beschriebene Interesse an der Nutzung von Street View ist in der Interessenabwägung zu berücksichtigen.
Dem umstrittenen Betrieb von Street View stehen namentlich die von der Vorinstanz erörterten Persönlichkeitsschutzinteressen der Betroffenen entgegen. Für diese negativ auswirken kann sich auch die flächendeckende Wirkung von Street View, die Anlasslosigkeit bzw. Unverbundenheit der Abgebildeten mit Google als Dienstanbieter, die in einzelnen Fällen mögliche hohe Persönlichkeitsrelevanz der Daten, die Zweckungebundenheit und Unkontrolliertheit, mit der Dritte Daten aus Street View speichern, rekombinieren und verwenden können, mögliche Nachteile durch erleichterte Ausspähung, fehlende Information über den Eingriff usw. (vgl. DREIER/SPIECKER GENANNT DÖHMANN, a.a.O., S. 134 f.).
10.6.2 Den Persönlichkeitsverletzungen und weiteren negativen Auswirkungen beugen die Beschwerdeführerinnen vor, indem die meisten Bilder von Personen und Fahrzeugkennzeichen in Street View mit der automatischen Verwischungstechnologie "anonymisiert" im Internet erscheinen. Beim systematischen Bearbeiten sehr grosser Mengen von Personendaten mit Veröffentlichung für einen unbestimmbar grossen Kreis potenzieller Nutzer, wie es bei Street View der Fall ist, erscheint es grundsätzlich gerechtfertigt, hohe Anforderungen an die Anonymisierung zu stellen. Insbesondere, weil sich der öffentliche und der private Raum nur schwer voneinander abgrenzen lassen und die Trennung wesentlich auch vom Betrachter abhängt, sollten die betroffenen Personen möglichst auch im öffentlichen Raum in ähnlichem Mass durch Anonymisierung geschützt werden, als würde es um einen Einblick in einen privaten Raum gehen. Ausserdem ist zu bedenken, dass infolge der technologischen Entwicklung der letzten Jahre die Speicherfähigkeit, Durchlässigkeit und Vernetzung von Informationen enorm zugenommen haben (vgl. SCHWEIZER/BISCHOF, a.a.O., S. 156 f.).

BGE 138 II 346 S. 368

Die Fehlerquote der von den Beschwerdeführerinnen verwendeten Verwischungstechnologie beträgt nach dem angefochtenen Entscheid 0,9 bis 2,5 %, wobei die Beschwerdeführerinnen behaupten, sie hätten die Qualität der automatisierten Verwischung seither noch verbessert, was tatsächlich zu einer tieferen Fehlerquote führe. Der EDÖB hält diesen Ausführungen entgegen, bei der hohen Anzahl Bilder, die in Street View verwendet würden, sei auch eine tiefe Fehlerquote nicht hinnehmbar, da damit immer noch die Persönlichkeit einer grossen Anzahl Personen verletzt werde. Diese Überlegung ist grundsätzlich richtig. Wird nach den Angaben des EDÖB betreffend die Schweiz von 20 Mio. veröffentlichten Bildern ausgegangen, resultiert bei einer Fehlerquote von 2 % immerhin eine Anzahl von 400'000 mangelhaft anonymisierten Bildern. Bei einer Trefferquote von 99,5 % wären immer noch 100'000 Bilder nicht hinreichend bearbeitet. Hinzu kommt, dass auf einem Bild mehrere Mängel bei der Anonymisierung denkbar sind, welche potenziell zu einer höheren Anzahl von Persönlichkeitsverletzungen führen, und dass je nach den Umständen auch bei der Anonymisierung von Gesichtern und Kennzeichen eine gewisse Identifizierbarkeit für Dritte verbleibt (vgl. DREIER/SPIECKER GENANNT DÖHMANN, a.a.O., S. 83 f.; MÜLLER, a.a.O., S. 49). Die Beschwerdeführerinnen sind somit bestrebt, mit der Verwischungstechnologie alle Abbildungen von Gesichtern und Fahrzeugkennzeichen unkenntlich zu machen, um den Eingriff in die Persönlichkeitsrechte betroffener Personen zu vermeiden. Zudem bieten sie eine Widerspruchsmöglichkeit an, mit der Betroffene die Entfernung oder wirksame Verwischung bestimmter Aufnahmen beantragen können. Die getroffenen Massnahmen reichen nach Auffassung der Vorinstanz nicht aus, da immer wieder Personen und Fahrzeugkennzeichen nicht genügend unkenntlich gemacht würden und somit erkenn- und bestimmbar blieben. Umso mehr gelte dies im Bereich von sensiblen Einrichtungen (insbesondere Schulen, Spitälern, Altersheimen, Frauenhäusern, Sozial- und Vormundschaftsbehörden, Gerichten, Gefängnissen). Hinzu komme, dass angesichts der Aufnahmehöhe Einblicke in Gärten und Höfe und teilweise auch in das Innere von Gebäuden ermöglicht würden, die etwa einem vorbeigehenden Passanten verborgen blieben. Daran ändere auch das von den Beschwerdeführerinnen angebotene Widerspruchsrecht nichts, da dieses zwangsläufig erst nach einer Verletzung des Persönlichkeitsrechts ausgeübt werden könne.
BGE 138 II 346 S. 369

10.6.3 Grundsätzlich stellt jede unterbliebene Anonymisierung eines Gesichts oder eines anderen Identifikationsmerkmals eine Persönlichkeitsverletzung dar, soweit der Betroffene der Publikation des Bildes nicht zugestimmt hat und keine gesetzliche Rechtfertigung vorliegt (Art. 13 Abs. 1 DSG). Die Beschwerdeführerinnen haben sich jedoch verpflichtet, auf einfache Meldung hin die erforderlichen Nachbesserungen vorzunehmen. Dazu besteht im Internetauftritt von Street View eine kleine Schaltfläche ("ein Problem melden") mit einem Link zur Bezeichnung von Bildern, die Persönlichkeitsrechte verletzen. In Anbetracht der Tatsache, dass ein stark überwiegender Teil der Bilder vor der Publikation im Internet automatisch korrekt anonymisiert wird, erscheint es grundsätzlich vertretbar, dass die restlichen Anonymisierungen erst auf Anzeige hin manuell vorgenommen werden. Dies setzt allerdings voraus, dass die Benutzer gut erkennbar über die Widerspruchsmöglichkeit informiert werden und die zusätzlichen Anonymisierungen effizient und unbürokratisch herbeigeführt werden können. Die zurzeit auf Street View bestehende kleine, kaum erkennbare Schaltfläche zur Meldung von Problemen genügt als Information über die Widerspruchsmöglichkeit nicht. Den Benutzern muss ein gut sichtbarer Link - etwa mit dem klaren Hinweis "Anonymisierung verlangen" - zur Verfügung gestellt werden. Aus einem solchen Link muss sich ergeben, dass die Benutzer die hinreichende Anonymisierung unzulässiger Inhalte in Street View veranlassen können. Die Beschwerdeführerinnen müssen berechtigte Anonymisierungswünsche rasch und für die Benutzer kostenlos umsetzen, ohne dass diese ein Interesse an der Anonymisierung nachweisen müssten. Eine komplizierte Auseinandersetzung darüber, ob und inwieweit Anonymisierungswünsche gerechtfertigt sind bzw. die Beschwerdeführerinnen zu deren Umsetzung verpflichtet sind, wäre mit dem Anspruch auf Persönlichkeitsschutz nicht vereinbar. Sollte sich ergeben, dass die Widerspruchsmöglichkeit nicht reibungslos ausgeübt werden kann, so steht den Betroffenen neben der Klage nach Art. 28a ZGB (vgl. Art. 15 DSG) die Benachrichtigung des EDÖB offen, der gestützt auf Art. 29 DSG eigene Abklärungen vornimmt und die Rechte nach Art. 29 Abs. 2 -4 DSG ausüben kann. Die Beschwerdeführerinnen haben daher auf der Internetseite von Street View eine einfach handhabbare Widerspruchsmöglichkeit zu schaffen, die auch von ungeübten Internetbenutzern problemlos in
BGE 138 II 346 S. 370

Anspruch genommen werden kann. Für Personen, die ihren Widerspruch nicht via Internet schriftlich erheben wollen, müssen sie eine Postadresse in der Schweiz für Beanstandungen angeben. Die Beschwerdeführerinnen müssen diese Widerspruchsmöglichkeiten in regelmässigen Abständen (mindestens alle drei Jahre) in weit verbreiteten Medien, namentlich auch Presseerzeugnissen öffentlich bekannt machen. Wenn neue Aufnahmefahrten durchgeführt werden und wenn neue Aufnahmen in Street View aufgeschaltet werden, ist dies ebenfalls in den Medien bekannt zu machen (Klagebegehren 5 und 6; E. 11 hiernach). Bei der Bekanntgabe neuer Aufnahmefahrten und der Aufschaltung neuer Aufnahmen in den Medien ist ebenfalls deutlich auf die Widerspruchsmöglichkeit hinzuweisen.
10.6.4 Die Benutzung der beschriebenen nachträglichen Widerspruchsmöglichkeit ist den von einer Persönlichkeitsverletzung Betroffenen unter datenschutzrechtlichen Gesichtspunkten umso eher zumutbar, als nach dem angefochtenen Entscheid im Bereich von sensiblen Einrichtungen (insbesondere Schulen, Spitälern, Altersheimen, Frauenhäusern, Gerichten, Gefängnissen) nicht nur Gesichter und Kontrollschilder zu anonymisieren sind, sondern eine weitergehende Verwischung erfolgen muss, die zusätzliche individualisierende Merkmale wie Hautfarbe, Kleidung, Hilfsmittel von körperlich behinderten Personen etc. umfasst. Diese Verpflichtung kritisieren die Beschwerdeführerinnen zwar auch als zu weitgehend und in Bezug auf die Definition der "sensiblen Einrichtungen" als zu unbestimmt. Ihrer Kritik kann jedoch nicht gefolgt werden, da sich dem angefochtenen Entscheid mit hinreichender Klarheit entnehmen lässt, welche Bereiche und Gebäude zu den sensiblen Einrichtungen gehören, in deren Umgebung ein erhöhtes Interesse an lückenlosem Schutz vor Persönlichkeitsbeeinträchtigungen besteht.
Soweit die Beschwerdeführerinnen behaupten, eine lückenlose manuelle Anonymisierung sei mit einem unzumutbaren Aufwand verbunden, sodass die Fortführung von Street View in der Schweiz infrage gestellt sei, ergibt sich vor dem Hintergrund der auf dem Spiel stehenden Persönlichkeitsschutzinteressen, dass der zusätzliche Aufwand für die generelle vorgängige Anonymisierung zumindest im Bereich sensibler Einrichtungen im Verhältnis zum Gesamtaufwand, den die Beschwerdeführerinnen für die Bereitstellung von Street View auf sich nehmen, nicht als übermässig bezeichnet werden kann. Sollten sich bei der manuellen Verwischung einzelner

BGE 138 II 346 S. 371

Personen und Fahrzeuge vor gewissen sensiblen Einrichtung grössere Schwierigkeiten ergeben, so kann auch eine Totalverwischung eines Gebäudes mitsamt der sich in dessen Einzugsbereich befindenden Personen, Fahrzeugen etc. Platz greifen, ohne dass damit der Informationsgehalt von Street View insgesamt ernsthaft infrage gestellt wäre. Bei einer solchen Anonymisierung ist dafür Sorge zu tragen, dass aus der Anonymisierung keine eigenständigen Rückschlüsse gezogen werden können, etwa durch Angaben, warum und auf wessen Intervention hin eine Verwischung erfolgt ist (vgl. DREIER/SPIECKER GENANNT DÖHMANN, a.a.O., S. 84 f.).

10.6.5 Im Hinblick auf die wegen mangelhafter Anonymisierung verbleibenden Persönlichkeitsverletzungen ist weiter darauf hinzuweisen, dass jede widerrechtliche Persönlichkeitsverletzung einen Verstoss gegen Art. 28 ZGB darstellt, gegen den Berechtigte auf dem Klageweg vorgehen können (Art. 15 DSG i.V.m. Art. 28a ZGB; vgl. BGE 136 II 401 und 410). Trotz der vom Bundesrat in seinem Bericht vom 9. Dezember 2011 über die Evaluation des Bundesgesetzes über den Datenschutz beklagten geringen Bekanntheit der gesetzlichen Durchsetzungsrechte (vgl. BBl 2012 342 f. Ziff. 3.2, BGE 136 II 348 Ziff. 5.1) haben die Beschwerdeführerinnen ungeachtet der hier umstrittenen Begehren des EDÖB ein hohes Interesse an einer möglichst zuverlässigen Anonymisierung von Personendaten, ansonsten ihnen zivilrechtliche Folgen wegen Persönlichkeitsverletzungen drohen, die ihren eigenen (wirtschaftlichen) Interessen zuwiderlaufen. Es besteht somit ein immanentes Interesse, die Anonymisierungssoftware weiter zu verbessern. Der EDÖB hat ausserdem unter anderem Anspruch auf Bekanntgabe der Daten über die Fortschritte bei der automatischen Anonymisierung und den Aufwand über die zusätzliche Verwischung (Art. 29 Abs. 2 DSG). Sollte er dabei feststellen, dass die Bearbeitungsmethoden trotz der nach diesem Urteil vorzunehmenden Verbesserungen geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Art. 29 Abs. 1 lit. a DSG), so kann er diesbezüglich neue Empfehlungen abgeben (Art. 29 Abs. 3 DSG). Es besteht somit auch in datenschutzrechtlicher Hinsicht begründeter Anlass zur Annahme, dass die Gefahr von Persönlichkeitsverletzungen erheblich reduziert wird, selbst wenn nicht sämtliche Bilder einer manuellen Anonymisierung unterzogen werden. Trotz des Verzichts auf eine umfassende vorgängige manuelle Anonymisierung sind die Beschwerdeführerinnen verpflichtet, mit allen zur Verfügung stehenden technischen Mitteln eine vollständige Anonymisierung
BGE 138 II 346 S. 372

anzustreben und die automatische Anonymisierung laufend dem Stand der Technik anzupassen. Sollten die Beschwerdeführerinnen ihrer Pflicht nicht nachkommen, kann der EDÖB die nach Art. 29 DSG zulässigen Massnahmen ergreifen (E. 10.7 in fine). Unter den gegebenen Umständen erübrigt sich der Beizug eines Gutachtens zum Aufwand für eine manuelle Anonymisierung.
10.6.6 Bei einer gesamthaften Abwägung der verschiedenen Interessen ist auch zu beachten, dass angesichts der in der heutigen Gesellschaft faktisch bestehenden Einbindung von Personendaten in die soziale Realität nicht ein totaler Schutz vor einer unbefugten Bildveröffentlichung gewährleistet werden kann. Häufig haben die Bilder und betroffenen Daten nur eine geringe Persönlichkeitsrelevanz und sie geben einen statischen Zustand wieder, der in der Regel einige Zeit zurückliegt, ohne dass der genaue Zeitpunkt der Aufnahme für den Betrachter erkennbar wäre. Damit ist davon auszugehen, dass ein namhafter Teil der mit Street View hervorgerufenen Persönlichkeitsverletzungen nicht sehr schwer wiegt und mit einer unbürokratisch gehandhabten Widerspruchsmöglichkeit hinreichend korrigiert werden kann (vgl. E. 10.6.3 hiervor). Hingegen behaupten die Beschwerdeführerinnen zu Unrecht, sie würden im Vergleich zu anderen Unternehmen und Personen, die Abbildungen mit erkennbaren Personen oder Stadtrundgänge etc. im Internet veröffentlichen, rechtsungleich behandelt. Die von den Beschwerdeführerinnen genannten anderen Dienste sind im Unterschied zu Street View nicht darauf ausgerichtet, die städtischen Räume in der Schweiz flächendeckend zu erfassen und eine derart grosse Datenmenge im Internet zu publizieren wie Google. Sie sind somit mit Street View nur beschränkt vergleichbar. Soweit sie ähnliche Persönlichkeitsverletzungen bewirken wie Street View, sind sie öffentlich- und privatrechtlich unter dem Gesichtspunkt des Persönlichkeitsschutzes gleich zu behandeln wie die Beschwerdeführerinnen. Wie erwähnt ist dabei zu berücksichtigen, dass eine Grosszahl von frei zugänglichen Abbildungen im Internet vorhanden ist, bei denen die Gefahr einer Persönlichkeitsverletzung in Kauf genommen wird. Dies ist Ausdruck einer gesellschaftlichen Realität, die bei der datenschutzrechtlichen Beurteilung von Street View berücksichtigt werden muss. Der Bundesrat hat im Übrigen die Bedrohungen für den Datenschutz durch die technologischen und gesellschaftlichen Entwicklungen der letzten Jahre erkannt und ist bestrebt, den Datenschutz zu
BGE 138 II 346 S. 373

stärken, ohne dadurch die Teilhabe von Bevölkerung, Wirtschaft und Gesellschaft an den neuen Kommunikationstechnologien und die weitere technologische Entwicklung zu gefährden (BBl 2012 348 Ziff. 5.1). Während der Bundesrat den weiteren Handlungsbedarf auf den Ebenen des Gesetzesvollzugs und der Gesetzesänderung prüft, sind im vorliegenden Verfahren die verschiedenen Interessen möglichst umfassend zu berücksichtigen.
10.7 Unter Beachtung der genannten Gesichtspunkte erscheint es nicht gerechtfertigt, die Beschwerdeführerinnen zusätzlich zur automatischen Anonymisierung vor der Aufschaltung im Internet auf eine vollständige Unkenntlichmachung aller Gesichter und Fahrzeugkennzeichen in Street View zu verpflichten. Diese Forderung gemäss Ziff. 1 der Rechtsbegehren des EDÖB entspricht zwar als Zielsetzung dem Datenschutzgesetz, doch ergibt sich im Rahmen der Interessenabwägung, dass eine kleine Fehlerquote von ca. 1 % bei der automatischen Anonymisierung hingenommen werden kann, wenn die Beschwerdeführerinnen bei der Veröffentlichung von Abbildungen in Street View verschiedene Kriterien erfüllen. Dazu gehört neben der in E. 10.6.3 hiervor genannten Widerspruchsmöglichkeit die Gewährleistung der Anonymität von Personen im Bereich von sensiblen Einrichtungen, insbesondere vor Frauenhäusern, Altersheimen, Gefängnissen, Schulen, Gerichten und Spitälern im Sinne von Ziff. 2 der Klagebegehren und E. 10.6.4 hiervor. Ausserdem haben die Beschwerdeführerinnen sicherzustellen, dass der Privatbereich der betroffenen Personen (umfriedete Höfe, Gärten, Balkone usw.) respektiert wird (Ziff. 3 der Klagebegehren und E. 11 des angefochtenen Entscheids A-7040/2009). Dabei geht es um Privatbereiche, die dem Einblick eines gewöhnlichen Passanten verschlossen bleiben. Nichts anderes ergibt sich aus BGE 137 I 327, der allerdings im Unterschied zur vorliegenden Sache eine gezielte Observation einer Person auf einem von jedermann ohne Weiteres frei einsehbaren Balkon in einem spezifischen sozialversicherungsrechtlichen Verfahren ohne Publikation der Aufnahmen im Internet betraf. Die Publikation von Aufnahmen aus dem nicht frei einsehbaren Privatbereich ohne Einwilligung der Berechtigten bewirkt ungerechtfertigte Persönlichkeitsverletzungen, die nicht hingenommen werden können. Dies ergibt sich insbesondere daraus, dass die Aufnahmen zurzeit von einer erhöhten Kameraposition (ca. 2,8 m) aus aufgenommen werden. Die von den Beschwerdeführerinnen
BGE 138 II 346 S. 374

vorgebrachte Rechtfertigung, die im Vergleich zu durchschnittlichen Passanten erhöhte Kameraposition entspreche dem, was Bewohner von Nachbargebäuden oder Bus- und Trampassagiere etc. sehen könnten, überzeugt nicht, da die von einer erhöhten Kameraposition aufgenommenen Standbilder etwa in Verbindung mit der Zoom-Funktion einem grösseren Personenkreis einen viel präziseren Einblick in Privatbereiche erlauben als dies bei einer persönlichen Präsenz im nachbarlichen Umfeld der Regel entspricht. Es ist somit anzuordnen, dass Bilder, die Privatbereiche wie umfriedete Gärten, Höfe etc. zeigen, die dem Einblick eines gewöhnlichen Passanten verschlossen bleiben, nicht in Street View veröffentlicht werden dürfen und solche bereits vorhandenen Bilder aus Street View entfernt werden müssen oder eine Einwilligung der betroffenen Personen einzuholen ist. Für die Entfernung der genannten, bereits aufgeschalteten Bilder können die Beschwerdeführerinnen eine Übergangsfrist von maximal drei Jahren beanspruchen, soweit Berechtigte nicht im Einzelfall früher von ihrem Widerspruchsrecht Gebrauch machen (E. 10.6.3) und die unverzügliche Beseitigung der Persönlichkeitsverletzung verlangen.
Bei der Handhabung des von den Beschwerdeführerinnen als zu unbestimmt gerügten Begriffs des gewöhnlichen Passanten erscheint im Hinblick auf die Aufschaltung neuer Aufnahmen eine Kamerahöhe von maximal 2 m als zulässig. Diese Höhenbeschränkung entspricht ungefähr der Augenhöhe eines Passanten auf dem Trottoir, wenn dem Umstand Rechnung getragen wird, dass die Strassenebene, auf welcher die Fahrzeuge von Google verkehren, in der Regel etwas tiefer liegt. Damit kann ein Sichtschutz (wie Zäune oder Hecken) die gegenüber Passanten beabsichtigte Schutzwirkung grundsätzlich auch gegenüber den Kameras von Google entfalten (vgl. DREIER/SPIECKER GENANNT DÖHMANN, a.a.O., S. 88 f.). Der von den Beschwerdeführerinnen zu Recht beklagten Schwierigkeit der Abgrenzung des Privatbereichs vom öffentlichen Raum kann dadurch Rechnung getragen werden, dass im Zweifelsfall eine Anonymisierung erfolgt, um Persönlichkeitsverletzungen möglichst weitgehend vorzubeugen. Der EDÖB ist nach Art. 29 Abs. 1 DSG zuständig, die weitere Handhabung von Street View durch die Beschwerdeführerinnen und insbesondere die Praxis der Anonymisierung sowie die Erfüllung der Auflagen zu beobachten. Soweit nötig kann er auch neue Empfehlungen abgeben, wenn er ungerechtfertigte Persönlichkeitsverletzungen feststellen sollte, und von den weiteren Möglichkeiten nach Art. 29 DSG Gebrauch machen (s. auch E. 10.6.3 und 10.6.5 hiervor).
BGE 138 II 346 S. 375

11. Schliesslich ergibt sich in Bezug auf die Rechtsbegehren 5 und 6 des EDÖB, dass die Vorinstanz diese zu Recht gutgeheissen hat. Die Beschwerdeführerinnen bemängeln, dass die Vorinstanz betreffend die Information über geplante Aufnahmeorte und die Aufschaltung neuer Bilder entschied, dass ein Hinweis auf der Startseite von Google Maps nicht genüge, sondern darüber hinaus auch in lokalen Presseerzeugnissen darüber zu orientieren sei. Mit der Pflicht zur Orientierung in lokalen Presseerzeugnissen sei die Vorinstanz über die Anträge des EDÖB hinausgegangen, da dieser nur beantragt habe, dass über die Aufnahmen und Aufschaltungen zu informieren sei, ohne ein bestimmtes Medium vorzuschreiben. Dem kann insoweit nicht beigepflichtet werden, als der EDÖB bereits in seiner Replik an die Vorinstanz die Rechtsbegehren 5 und 6 dahin präzisierte, dass die Beschwerdeführerinnen über bevorstehende Aufnahmen und Aufschaltungen nicht nur auf ihrer Homepage, sondern auch in sprachregionalen und lokalen Presseerzeugnissen informieren müssten. Die Kritik der Beschwerdeführerinnen, die Vorinstanz sei über die Begehren des EDÖB hinausgegangen, ist somit haltlos. Die Gutheissung der präzisierten Rechtsbegehren 5 und 6 ist sachlich gerechtfertigt. Die Vorinstanz hat damit berücksichtigt, dass es betroffene Personen gibt, die das Internet nicht nutzen, und dass selbst für den grösseren Teil der Bevölkerung, der das Internet regelmässig nutzen dürfte, eine ständige Konsultation von Google Maps - nur um auf allfällige Aufnahmegebiete aufmerksam zu werden -, nicht zumutbar ist. Gleiches gilt in Bezug auf Aufschaltungen von Aufnahmen im Internet. Die Bekanntgabe in den lokalen Medien ermöglicht den potenziell Betroffenen, sich über die aktuell aufzunehmenden Gebiete zu informieren und sich danach zu richten, indem etwa bestimmte Gegenden während der möglichen Aufnahmedauer gemieden werden. Dies dient der vorsorglichen Vermeidung von Konflikten zwischen Betroffenen und Google. Es bestehen keine Hinweise, dass die verlangte breitere Information, die im Übrigen nicht nur über die Presse, sondern etwa auch über Radio und Fernsehen erfolgen kann, den Beschwerdeführerinnen nicht zumutbar wäre.
12. Die Beschwerdeführerinnen erheben zahlreiche weitere Rügen, die, soweit im Lichte von Art. 42 BGG überhaupt darauf einzutreten ist, angesichts der vorstehenden Ausführungen keine eigenständige Bedeutung haben. Somit ist darauf nicht im Einzelnen einzugehen. Die Beschwerdeführerinnen verlangen im Übrigen, die vorliegende Sache sei im Sinne von Art. 23 Abs. 2 BGG unter Mitwirkung der
BGE 138 II 346 S. 376

II. zivilrechtlichen Abteilung zu beurteilen, die zur Beurteilung von Beschwerden betreffend Persönlichkeitsverletzungen nach Art. 28 ZGB zuständig ist (Art. 32 Abs. 1 lit. a Ziff. 1 des Reglements vom 20. November 2006 für das Bundesgericht [BGerR; SR 173.110.131]). Ein solcher Antrag ist im bundesgerichtlichen Verfahren nicht zulässig. Die Abteilung entscheidet autonom, ob sie ein Verfahren nach Art. 23 Abs. 2 BGG für angezeigt hält. Im Übrigen ist in der vorliegenden Angelegenheit im Unterschied zu den in die Zuständigkeit der II. zivilrechtlichen Abteilung fallenden Beschwerden keine konkrete Persönlichkeitsverletzung zu prüfen (s. vorne E. 10.2). Zur Beurteilung der datenschutzrechtlichen Voraussetzungen von Street View ist allein die I. öffentlich-rechtliche Abteilung zuständig (Art. 29 Abs. 2 lit. d BGerR). Die Rechtsfragen, die sich in den datenschutzrechtlichen und in den zivilrechtlichen Verfahren stellen, können sich wegen des identischen Inhalts von Art. 13 Abs. 1 DSG und Art. 28 Abs. 2 ZGB zwar überschneiden. Die II. zivilrechtliche Abteilung beurteilt die Widerrechtlichkeit einer Persönlichkeitsverletzung indessen nicht unter den in der vorliegenden Angelegenheit massgebenden datenschutzrechtlichen Gesichtspunkten.
13. Nach Art. 107 Abs. 1 BGG darf das Bundesgericht nicht über die Begehren der Parteien hinausgehen. Heisst das Bundesgericht die Beschwerde gut, so entscheidet es in der Sache selbst oder weist diese zu neuer Beurteilung an die Vorinstanz zurück. Es kann die Sache auch an die Behörde zurückweisen, die als erste Instanz entschieden hat (Art. 107 Abs. 2 BGG). In der vorliegenden Angelegenheit besteht kein Anlass, die Sache an die Vorinstanz zurückzuweisen. Indessen sind gewisse Präzisierungen in Bezug auf die Gewährleistung des Datenschutzes vorzunehmen (vgl. E. 10.6.3 und 10.7 hiervor), die für die Tätigkeit der Beschwerdeführerinnen mit weniger Einschränkungen verbunden sind als das von der Vorinstanz gutgeheissene und von den Beschwerdeführerinnen im vorliegenden Beschwerdeverfahren bekämpfte Rechtsbegehren 1 des EDÖB. Das Bundesgericht kann diese Präzisierungen gestützt auf Art. 107 Abs. 2 BGG mit dem vorliegenden Urteil anordnen.
14. Zusammenfassend ergibt sich in Bezug auf Ziff. 1 der Rechtsbegehren des EDÖB, dass eine kleine Fehlerquote (ca. 1 %) bei der automatischen Anonymisierung hingenommen werden kann, wenn die Beschwerdeführerinnen die folgenden Kriterien erfüllen:
14.1 Die Beschwerdeführerinnen sind verpflichtet, mit allen zur Verfügung stehenden technischen Mitteln eine vollständige
BGE 138 II 346 S. 377

Anonymisierung anzustreben und die automatische Anonymisierung laufend dem Stand der Technik anzupassen.
14.2 Im Bereich von sensiblen Einrichtungen, insbesondere vor Frauenhäusern, Altersheimen, Gefängnissen, Schulen, Gerichten und Spitälern ist bei der Publikation von Abbildungen in Street View die vollständige, vor der Aufschaltung im Internet vorzunehmende Anonymisierung von Personen im Sinne von Ziff. 2 der Klagebegehren zu gewährleisten, damit nebst den Gesichtern auch weitere individualisierende Merkmale wie Hautfarbe, Kleidung, Hilfsmittel von körperlich behinderten Personen etc. nicht mehr feststellbar sind (vgl. E. 10.6.4 hiervor).

14.3 Die Beschwerdeführerinnen stellen sicher, dass bei der Publikation von Abbildungen in Street View der Privatbereich (umfriedete Höfe, Gärten usw.) respektiert wird. Abbildungen von Privatbereichen, die von einer Kamerahöhe von über 2 m aufgenommen wurden und dem Einblick eines gewöhnlichen Passanten verschlossen bleiben, dürfen nicht in Street View veröffentlicht werden. Soweit die Einwilligung der Betroffenen fehlt, sind bereits publizierte Bilder von Privatbereichen, die von einem höheren Kamerastandort aus aufgenommen wurden, aus Street View zu entfernen. Dazu können die Beschwerdeführerinnen eine Übergangsfrist von maximal drei Jahren beanspruchen, soweit Berechtigte nicht im Einzelfall früher von ihrem Widerspruchsrecht Gebrauch machen (E. 10.6.3) und die unverzügliche Beseitigung der Persönlichkeitsverletzung verlangen. Der Schwierigkeit der Abgrenzung des Privatbereichs vom öffentlichen Raum kann dadurch Rechnung getragen werden, dass im Zweifelsfall eine Anonymisierung erfolgt, um Persönlichkeitsverletzungen möglichst weitgehend vorzubeugen (vgl. E. 10.7 hiervor).
14.4 Die Beschwerdeführerinnen nehmen auf Anzeige von Betroffenen hin manuell hinreichende Anonymisierungen in Street View vor, welche die Anonymisierungssoftware nicht automatisch ausführte, und sie machen diese Widerspruchsmöglichkeiten in geeigneter Form bekannt (E. 10.6.3). Dazu gehört im Wesentlichen, dass den Benutzern in Street View ein gut sichtbarer Link - etwa mit dem klaren Hinweis "Anonymisierung verlangen" - angeboten wird, mit welchem die hinreichende Anonymisierung unzulässiger Inhalte in Street View veranlasst werden kann. Die Beschwerdeführerinnen müssen
BGE 138 II 346 S. 378

berechtigte Anonymisierungswünsche rasch und für die Benutzer kostenlos umsetzen, ohne dass diese ein Interesse an der Anonymisierung nachweisen müssten. Für Personen, die ihren Widerspruch schriftlich erheben wollen, müssen sie für Beanstandungen eine Postadresse in der Schweiz angeben. Diese Widerspruchsmöglichkeiten sind in regelmässigen Abständen (mindestens alle drei Jahre) in weit verbreiteten und lokalen Medienerzeugnissen, insbesondere auch in der Presse, öffentlich bekannt zu machen. Wenn neue Aufnahmefahrten durchgeführt werden und wenn neue Aufnahmen in Street View aufgeschaltet werden, ist dies ebenfalls in den Medien bekannt zu machen und dabei deutlich auf die Widerspruchsmöglichkeit hinzuweisen.
15. Die Beschwerde ist somit im Sinne der Erwägungen teilweise gutzuheissen. Der angefochtene Entscheid ist in Bezug auf die Rechtsbegehren 1-3 des Klägers insoweit aufzuheben, als darin den Beschwerdeführerinnen Pflichten auferlegt werden, die über die im vorliegenden Urteil genannten Pflichten hinausgehen. Im Übrigen ist die Beschwerde abzuweisen, soweit darauf einzutreten ist. (...)

SR 210 Codice civile svizzero del 10 dicembre 1907 CC Art. 28 - 1 Chi è illecitamente leso nella sua personalità può, a sua tutela, chiedere l'intervento del giudice contro chiunque partecipi all'offesa.
¹	Chi è illecitamente leso nella sua personalità può, a sua tutela, chiedere l'intervento del giudice contro chiunque partecipi all'offesa.
²	La lesione è illecita quando non è giustificata dal consenso della persona lesa, da un interesse preponderante pubblico o privato, oppure dalla legge.

SR 210 Codice civile svizzero del 10 dicembre 1907 CC Art. 28 - 1 Chi è illecitamente leso nella sua personalità può, a sua tutela, chiedere l'intervento del giudice contro chiunque partecipi all'offesa.
¹	Chi è illecitamente leso nella sua personalità può, a sua tutela, chiedere l'intervento del giudice contro chiunque partecipi all'offesa.
²	La lesione è illecita quando non è giustificata dal consenso della persona lesa, da un interesse preponderante pubblico o privato, oppure dalla legge.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 29 Restrizioni del diritto di farsi consegnare dati o di esigerne la trasmissione a terzi - 1 Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
¹	Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
²	Il titolare del trattamento indica il motivo per cui rifiuta, limita o differisce la consegna o la trasmissione.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 29 Restrizioni del diritto di farsi consegnare dati o di esigerne la trasmissione a terzi - 1 Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
¹	Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
²	Il titolare del trattamento indica il motivo per cui rifiuta, limita o differisce la consegna o la trasmissione.

SR 173.32 Legge del 17 giugno 2005 sul Tribunale amministrativo federale (LTAF) LTAF Art. 35 Principio - Il Tribunale amministrativo federale giudica su azione in prima istanza:
^a	le controversie derivanti da contratti di diritto pubblico sottoscritti dalla Confederazione, dai suoi stabilimenti, dalle sue aziende o dalle organizzazioni ai sensi dell'articolo 33 lettera h;
^b	...
^c	le controversie tra la Confederazione e la Banca nazionale concernenti le convenzioni sui servizi bancari e sulla distribuzione dell'utile;
^d	le domande di confisca di valori patrimoniali conformemente alla legge del 18 dicembre 201552 sui valori patrimoniali di provenienza illecita.

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 82 Principio - Il Tribunale federale giudica i ricorsi:
^a	contro le decisioni pronunciate in cause di diritto pubblico;
^b	contro gli atti normativi cantonali;
^c	concernenti il diritto di voto dei cittadini nonché le elezioni e votazioni popolari.

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 86 Autorità inferiori in generale - 1 Il ricorso è ammissibile contro le decisioni:
¹	Il ricorso è ammissibile contro le decisioni:
^a	del Tribunale amministrativo federale;
^b	del Tribunale penale federale;
^c	dell'autorità indipendente di ricorso in materia radiotelevisiva;
^d	delle autorità cantonali di ultima istanza, sempreché non sia ammissibile il ricorso al Tribunale amministrativo federale.
²	I Cantoni istituiscono tribunali superiori che giudicano quali autorità di grado immediatamente inferiore al Tribunale federale, in quanto un'altra legge federale non preveda che le decisioni di altre autorità giudiziarie sono impugnabili mediante ricorso al Tribunale federale.
³	Per le decisioni di carattere prevalentemente politico i Cantoni possono istituire quale autorità di grado immediatamente inferiore al Tribunale federale un'autorità diversa da un tribunale.

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 89 Diritto di ricorso - 1 Ha diritto di interporre ricorso in materia di diritto pubblico chi:
¹	Ha diritto di interporre ricorso in materia di diritto pubblico chi:
^a	ha partecipato al procedimento dinanzi all'autorità inferiore o è stato privato della possibilità di farlo;
^b	è particolarmente toccato dalla decisione o dall'atto normativo impugnati; e
^c	ha un interesse degno di protezione all'annullamento o alla modifica degli stessi.
²	Hanno inoltre diritto di ricorrere:
^a	la Cancelleria federale, i dipartimenti federali o, in quanto lo preveda il diritto federale, i servizi loro subordinati, se l'atto impugnato può violare la legislazione federale nella sfera dei loro compiti;
^b	in materia di rapporti di lavoro del personale federale, l'organo competente dell'Assemblea federale;
^c	i Comuni e gli altri enti di diritto pubblico, se fanno valere la violazione di garanzie loro conferite dalla costituzione cantonale o dalla Costituzione federale;
^d	le persone, le organizzazioni e le autorità legittimate al ricorso in virtù di un'altra legge federale.
³	In materia di diritti politici (art. 82 lett. c), il diritto di ricorrere spetta inoltre a chiunque abbia diritto di voto nell'affare in causa.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
¹	La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
²	Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 6 Principi - 1 I dati personali devono essere trattati in modo lecito.
¹	I dati personali devono essere trattati in modo lecito.
²	Il trattamento deve essere conforme ai principi della buona fede e della proporzionalità.
³	I dati personali possono essere raccolti soltanto per uno scopo determinato e riconoscibile per la persona interessata; possono essere trattati ulteriormente soltanto in modo compatibile con tale scopo.
⁴	I dati personali sono distrutti o resi anonimi appena non sono più necessari per lo scopo del trattamento.
⁵	Chi tratta dati personali deve accertarsi della loro esattezza. Deve prendere tutte le misure adeguate per rettificare, cancellare o distruggere i dati inesatti o incompleti rispetto allo scopo per il quale sono stati raccolti o trattati. L'adeguatezza delle misure dipende segnatamente dal tipo e dall'entità del trattamento dei dati come pure dai rischi derivanti dal trattamento per la personalità o i diritti fondamentali della persona interessata.
⁶	Laddove sia una condizione necessaria per il trattamento, il consenso della persona interessata è valido soltanto se, dopo debita informazione, è dato in modo libero in riferimento a uno o più trattamenti specifici.
⁷	È necessario l'espresso consenso per:
^a	il trattamento di dati personali degni di particolare protezione;
^b	la profilazione a rischio elevato da parte di privati;
^c	la profilazione da parte di un organo federale.

SR 101 Costituzione federale della Confederazione Svizzera del 18 aprile 1999 Cost. Art. 13 Protezione della sfera privata - 1 Ognuno ha diritto al rispetto della sua vita privata e familiare, della sua abitazione, della sua corrispondenza epistolare nonché delle sue relazioni via posta e telecomunicazioni.
¹	Ognuno ha diritto al rispetto della sua vita privata e familiare, della sua abitazione, della sua corrispondenza epistolare nonché delle sue relazioni via posta e telecomunicazioni.
²	Ognuno ha diritto d'essere protetto da un impiego abusivo dei suoi dati personali.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 4 Incaricato federale della protezione dei dati e della trasparenza - 1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
¹	L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
²	Non sono sottoposti alla vigilanza dell'IFPDT:
^a	l'Assemblea federale;
^b	il Consiglio federale;
^c	i tribunali della Confederazione;
^d	il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;
^e	le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 12 Registro delle attività di trattamento - 1 I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
¹	I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
²	Il registro del titolare del trattamento contiene almeno:
^a	l'identità del titolare del trattamento;
^b	lo scopo del trattamento;
^c	una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
^d	le categorie di destinatari;
^e	se possibile, la durata di conservazione dei dati personali o i criteri per determinare tale durata;
^f	se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l'articolo 8;
^g	se i dati personali sono comunicati all'estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all'articolo 16 capoverso 2.
³	Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella del titolare del trattamento, alle categorie dei trattamenti eseguiti su incarico del titolare del trattamento, come pure le indicazioni di cui al capoverso 2 lettere f e g.
⁴	Gli organi federali notificano i loro registri all'IFPDT.
⁵	Il Consiglio federale prevede eccezioni per le imprese con meno di 250 collaboratori i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 13 Certificazione - 1 I fornitori di programmi o sistemi di trattamento di dati personali come pure i titolari e i responsabili del trattamento possono sottoporre i loro sistemi, prodotti e servizi a una valutazione da parte di organismi di certificazione indipendenti riconosciuti.
¹	I fornitori di programmi o sistemi di trattamento di dati personali come pure i titolari e i responsabili del trattamento possono sottoporre i loro sistemi, prodotti e servizi a una valutazione da parte di organismi di certificazione indipendenti riconosciuti.
²	Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull'introduzione di un marchio di qualità inerente alla protezione dei dati. Tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 5 Definizioni - Nella presente legge s'intende per:
^a	dati personali: tutte le informazioni concernenti una persona fisica identificata o identificabile;
^b	persona interessata: la persona fisica i cui dati personali sono oggetto di trattamento;
^c	dati personali degni di particolare protezione:
^c1	i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali,
^c2	i dati concernenti la salute, la sfera intima o l'appartenenza a una razza o a un'etnia,
^c3	i dati genetici,
^c4	i dati biometrici che identificano in modo univoco una persona fisica,
^c5	i dati concernenti perseguimenti e sanzioni amministrativi e penali,
^c6	i dati concernenti le misure d'assistenza sociale;
^d	trattamento: qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l'utilizzazione, la modificazione, la comunicazione, l'archiviazione, la cancellazione o la distruzione di dati;
^e	comunicazione: la trasmissione di dati personali o il fatto di renderli accessibili;
^f	profilazione: trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere aspetti concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, i luoghi di permanenza e gli spostamenti di tale persona;
^g	profilazione a rischio elevato: profilazione che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata poiché comporta un collegamento tra dati che permette di valutare aspetti essenziali della personalità di una persona fisica;
^h	violazione della sicurezza dei dati: violazione della sicurezza in seguito alla quale, in modo accidentale o illecito, dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate;
ⁱ	organo federale: autorità o servizio della Confederazione, oppure persona cui sono affidati compiti federali;
^j	titolare del trattamento: il privato o l'organo federale che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento;
^k	responsabile del trattamento: il privato o l'organo federale che tratta dati personali per conto del titolare del trattamento.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 7 Protezione dei dati personali sin dalla progettazione e per impostazione predefinita - 1 Il titolare del trattamento è tenuto ad adottare i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati personali sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all'articolo 6. Li adotta sin dalla progettazione.
¹	Il titolare del trattamento è tenuto ad adottare i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati personali sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all'articolo 6. Li adotta sin dalla progettazione.
²	I provvedimenti tecnici e organizzativi devono essere adeguati in particolare allo stato della tecnica, al tipo e all'entità del trattamento dei dati personali come pure ai rischi derivanti dal trattamento per la personalità o i diritti fondamentali delle persone interessate.
³	Il titolare del trattamento è tenuto a garantire, mediante appropriate impostazioni predefinite, che il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito, salvo che la persona interessata disponga altrimenti.

IR 0.101 Convenzione del 4 novembre 1950 per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU) CEDU Art. 8 Diritto al rispetto della vita privata e familiare - 1. Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza.
¹	Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza.
²	Non può esservi ingerenza della pubblica autorità nell'esercizio di tale diritto se non in quanto tale ingerenza sia prevista dalla legge e in quanto costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, l'ordine pubblico, il benessere economico del paese, la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui.

SR 101 Costituzione federale della Confederazione Svizzera del 18 aprile 1999 Cost. Art. 35 Attuazione dei diritti fondamentali - 1 I diritti fondamentali devono improntare l'intero ordinamento giuridico.
¹	I diritti fondamentali devono improntare l'intero ordinamento giuridico.
²	Chi svolge un compito statale deve rispettare i diritti fondamentali e contribuire ad attuarli.
³	Le autorità provvedono affinché i diritti fondamentali, per quanto vi si prestino, siano realizzati anche nelle relazioni tra privati.

SR 101 Costituzione federale della Confederazione Svizzera del 18 aprile 1999 Cost. Art. 5 Stato di diritto - 1 Il diritto è fondamento e limite dell'attività dello Stato.
¹	Il diritto è fondamento e limite dell'attività dello Stato.
²	L'attività dello Stato deve rispondere al pubblico interesse ed essere proporzionata allo scopo.
³	Organi dello Stato, autorità e privati agiscono secondo il principio della buona fede.
⁴	La Confederazione e i Cantoni rispettano il diritto internazionale.

SR 101 Costituzione federale della Confederazione Svizzera del 18 aprile 1999 Cost. Art. 16 Libertà d'opinione e d'informazione - 1 La libertà d'opinione e d'informazione è garantita.
¹	La libertà d'opinione e d'informazione è garantita.
²	Ognuno ha il diritto di formarsi liberamente la propria opinione, di esprimerla e diffonderla senza impedimenti.
³	Ognuno ha il diritto di ricevere liberamente informazioni, nonché di procurarsele presso fonti accessibili a tutti e di diffonderle.

SR 210 Codice civile svizzero del 10 dicembre 1907 CC Art. 28^a - 1 L'attore può chiedere al giudice:
¹	L'attore può chiedere al giudice:
¹	di proibire una lesione imminente;
²	di far cessare una lesione attuale;
³	di accertare l'illiceità di una lesione che continua a produrre effetti molesti.
²	L'attore può in particolare chiedere che una rettificazione o la sentenza sia comunicata a terzi o pubblicata.
³	Sono fatte salve le azioni di risarcimento del danno, di riparazione morale e di consegna dell'utile conformemente alle disposizioni sulla gestione d'affari senza mandato.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 15 Obblighi del rappresentante - 1 Il rappresentante tiene un registro delle attività di trattamento del titolare del trattamento; il registro contiene le indicazioni di cui all'articolo 12 capoverso 2.
¹	Il rappresentante tiene un registro delle attività di trattamento del titolare del trattamento; il registro contiene le indicazioni di cui all'articolo 12 capoverso 2.
²	Su richiesta, il rappresentante trasmette all'IFPDT le indicazioni contenute nel registro.
³	Su richiesta, il rappresentante fornisce alle persone interessate informazioni su come esercitare i loro diritti.

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 42 Atti scritti - 1 Gli atti scritti devono essere redatti in una lingua ufficiale, contenere le conclusioni, i motivi e l'indicazione dei mezzi di prova ed essere firmati.
¹	Gli atti scritti devono essere redatti in una lingua ufficiale, contenere le conclusioni, i motivi e l'indicazione dei mezzi di prova ed essere firmati.
^1bis	Se un procedimento in materia civile si è svolto in inglese dinanzi all'autorità inferiore, gli atti scritti possono essere redatti in tale lingua.14
²	Nei motivi occorre spiegare in modo conciso perché l'atto impugnato viola il diritto. Qualora il ricorso sia ammissibile soltanto se concerne una questione di diritto di importanza fondamentale o un caso particolarmente importante per altri motivi, occorre spiegare perché la causa adempie siffatta condizione.15 16
³	Se sono in possesso della parte, i documenti indicati come mezzi di prova devono essere allegati; se l'atto scritto è diretto contro una decisione, anche questa deve essere allegata.
⁴	In caso di trasmissione per via elettronica, la parte o il suo patrocinatore deve munire l'atto scritto di una firma elettronica qualificata secondo la legge del 18 marzo 201617 sulla firma elettronica. Il Tribunale federale determina mediante regolamento:
^a	il formato dell'atto scritto e dei relativi allegati;
^b	le modalità di trasmissione;
^c	le condizioni alle quali può essere richiesta la trasmissione successiva di documenti cartacei in caso di problemi tecnici.18
⁵	Se mancano la firma della parte o del suo patrocinatore, la procura dello stesso o gli allegati prescritti, o se il patrocinatore non è autorizzato in quanto tale, è fissato un congruo termine per sanare il vizio, con la comminatoria che altrimenti l'atto scritto non sarà preso in considerazione.
⁶	Gli atti illeggibili, sconvenienti, incomprensibili, prolissi o non redatti in una lingua ufficiale possono essere del pari rinviati al loro autore affinché li modifichi.
⁷	Gli atti scritti dovuti a condotta processuale da querulomane o altrimenti abusiva sono inammissibili.

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 23 Modifica della giurisprudenza e precedenti - 1 Una corte può derogare alla giurisprudenza di una o più altre corti soltanto con il consenso delle corti interessate riunite.
¹	Una corte può derogare alla giurisprudenza di una o più altre corti soltanto con il consenso delle corti interessate riunite.
²	Se deve giudicare una questione di diritto concernente più corti, la corte giudicante, qualora lo ritenga opportuno ai fini dell'elaborazione del diritto giudiziale o per garantire una giurisprudenza uniforme, chiede il consenso delle corti interessate riunite.
³	Le corti riunite deliberano validamente soltanto se alla seduta o alla procedura per circolazione degli atti partecipano almeno due terzi dei giudici ordinari di ciascuna corte interessata. La decisione è presa senza dibattimento e a porte chiuse; è vincolante per la corte che deve giudicare la causa.

SR 173.110.131 Regolamento del 20 novembre 2006 del Tribunale federale (RTF) RTF Art. 32 Quarta Corte di diritto pubblico - (art. 22 LTF)
^a	assicurazione per l'invalidità;
^b	assicurazione contro gli infortuni;
^c	assicurazione contro la disoccupazione;
^d	assicurazione sociale cantonale;
^e	assegni familiari;
^f	aiuto sociale e aiuto in situazioni di bisogno secondo l'articolo 12 Cost.30;
^g	assicurazione militare;
^h	...
ⁱ	prestazioni complementari;
^j	prestazioni transitorie per i disoccupati anziani.

SR 173.110.131 Regolamento del 20 novembre 2006 del Tribunale federale (RTF) RTF Art. 29 Prima Corte di diritto pubblico - (art. 22 LTF)
¹	La prima Corte di diritto pubblico tratta i ricorsi in materia di diritto pubblico e i ricorsi sussidiari in materia costituzionale che concernono i seguenti campi:
^a	espropriazioni;
^b	materie concernenti il territorio, segnatamente:
^b1	pianificazione del territorio e diritto edilizio,
^b2	protezione dell'ambiente, protezione delle acque, protezione del bosco, della natura e del paesaggio,
^b3	lavori pubblici,
^b4	bonifiche del suolo,
^b5	promovimento della costruzione legata alla pianificazione del territorio,
^b6	sentieri;
^c	diritti politici;
^d	assistenza internazionale in materia penale;
^e	circolazione stradale;
^f	diritto di cittadinanza;
^g	...
^h	personale nel settore pubblico.
²	Nella misura in cui non è possibile collegare la vertenza ad un altro campo del diritto, la prima Corte di diritto pubblico tratta i ricorsi in materia di diritto pubblico e i ricorsi sussidiari in materia costituzionale che concernono i seguenti diritti fondamentali:
^a	uguaglianza giuridica (art. 8 della Costituzione federale, Cost.21);
^b	protezione dall'arbitrio e tutela della buona fede (art. 9 Cost.);
^c	diritto alla vita e alla libertà personale (art. 10 Cost.);
^d	protezione della sfera privata, diritto al matrimonio e alla famiglia, libertà d'opinione e d'informazione, libertà dei media (art. 13, 14, 16 e 17 Cost.);
^e	libertà artistica, libertà di riunione, libertà d'associazione (art. 21 a 23 Cost.);
^f	garanzia della proprietà (art. 26 Cost.);
^g	garanzie procedurali generali, garanzia della via giudiziaria, procedura giudiziaria, privazione della libertà (art. 29 a 31 Cost.).
³	...22
⁴	Essa tratta su azione conflitti di competenza tra autorità federali e cantonali (art. 120 cpv. 1 lett. a LTF) e le controversie di diritto pubblico tra la Confederazione e i Cantoni o tra i Cantoni (art. 120 cpv. 1 lett. b LTF).

SR 173.110 Legge del 17 giugno 2005 sul Tribunale federale (LTF) - Organizzazione giudiziaria LTF Art. 107 Sentenza - 1 Il Tribunale federale non può andare oltre le conclusioni delle parti.
¹	Il Tribunale federale non può andare oltre le conclusioni delle parti.
²	Se accoglie il ricorso, giudica esso stesso nel merito o rinvia la causa all'autorità inferiore affinché pronunci una nuova decisione. Può anche rinviare la causa all'autorità che ha deciso in prima istanza.
³	Se ritiene inammissibile un ricorso interposto nel campo dell'assistenza giudiziaria internazionale in materia penale o dell'assistenza amministrativa internazionale in materia fiscale, il Tribunale federale prende la decisione di non entrare nel merito entro 15 giorni dalla chiusura di un eventuale scambio di scritti. Nel campo dell'assistenza giudiziaria internazionale non è tenuto a rispettare tale termine se la procedura d'estradizione concerne una persona sulla cui domanda d'asilo non è ancora stata pronunciata una decisione finale passata in giudicato.98
⁴	Sui ricorsi interposti contro le decisioni del Tribunale federale dei brevetti in materia di rilascio di una licenza secondo l'articolo 40d della legge del 25 giugno 195419 sui brevetti, il Tribunale federale decide entro un mese dalla presentazione del ricorso.99