Das Bundesverwaltungsgericht zieht in Erwägung:
1.
1.1 Gemäss Art. 31
des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 (VGG, SR
173.32) beurteilt das Bundesverwaltungsgericht
Beschwerden gegen Verfügungen nach Art. 5
des Verwaltungsverfahrensgesetzes vom 20. Dezember
1968 (VwVG, SR
172.021), sofern sie von einer Vorinstanz nach Art. 33
VGG stammen und keine Ausnahme
nach Art. 32
VGG vorliegt.
1.2 Bei der EFK handelt
es sich um eine Behörde nach Art. 33 Bst. d
VGG und es liegt keine Ausnahme nach Art. 32
VGG vor. Wie das Bundesverwaltungsgericht in seinem Zwischenentscheid vom 23. April 2014 festgehalten
hat, stellt das Schreiben der EFK vom 19. Dezember 2013 materiell eine Verfügung dar (Zwischenentscheid
des Bundesverwaltungsgerichts A-788/2014 vom 23. April 2014 E. 1.1 ff., insb. E. 1.3).
Mangels eines für die Aufsicht über die EFK zuständigen Departements (vgl. Art. 1
des Finanzkontrollgesetzes vom 28. Juni 1967 [FKG, SR
614.0]; auch Botschaft des Bundesrates vom
22. Juni 1998 betreffend die Revision des FKG, Bundesblatt [BBl] 1998 4703, 4718) stand es dem EDÖB
offen, sich gestützt auf Art. 27 Abs. 6
DSG mit Beschwerde gegen diese Verfügung
direkt an das Bundesverwaltungsgericht zu wenden. Das Bundesverwaltungsgericht ist somit für die
Beurteilung der vorliegenden Angelegenheit zuständig.
1.3 Wie ebenfalls
bereits mit Zwischenentscheid vom 23. April 2014 festgestellt wurde, kann angesichts der vorliegenden
besonderen Umstände - das Fehlen einer Rechtsmittelbelehrung im Schreiben der EFK und
die nicht eindeutige Rechtslage, insbesondere das nicht offensichtliche Vorliegen einer anfechtbaren
Verfügung - in Anwendung von Art. 38
VwVG und gestützt auf den Vertrauensschutz
ausnahmsweise vom Erfordernis der Beschwerdeerhebung innert Frist abgesehen werden (Zwischenentscheid
des Bundesverwaltungsgerichts A-788/2014 vom 23. April 2014 E. 2). Auf die Beschwerde ist entsprechend
einzutreten, zumal die übrigen Beschwerdevoraussetzungen (Art. 48
und Art. 52
VwVG) erfüllt
sind.
2.
Das
Bundesverwaltungsgericht entscheidet grundsätzlich mit uneingeschränkter Kognition. Es überprüft
die angefochtene Verfügung auf Rechtsverletzungen - einschliesslich unrichtiger oder
unvollständiger Feststellung des rechtserheblichen Sachverhalts und Rechtsfehler bei der Ausübung
des Ermessens - sowie auf Angemessenheit hin (Art. 49
VwVG).
3.
Die
Vorinstanz hielt in ihrem Schreiben vom 19. Dezember 2013 fest, die von ihr abgelegten Whistleblowing-Meldungen
nicht als Datensammlung zu erachten. Die Meldungen würden weder abschliessend erfasst noch enthielten
sie in jedem Fall Personendaten. Vielmehr seien diverse Meldungen kaum erschliessbar und auch nicht systematisch
erfasst. Im Übrigen würden keine Kategorien von Personendaten festgelegt und ein Zugriff sei
nur mit entsprechendem Spezialwissen möglich, über welches lediglich die Mitglieder des "Team
Verdacht" verfügten. Aus diesen Gründen sehe sie sich nicht veranlasst, den Empfehlungen
des EDÖB, die Datensammlung anzumelden und ein Bearbeitungsreglement zu erstellen, nachzukommen.
Dagegen sei sie aber bereit, ihre Ausführungen betreffend die Aufbewahrung, Löschung und Archivierung
der Meldungen in den internen Bearbeitungsprozess aufzunehmen und umzusetzen.
Die Vorinstanz erklärte sich demnach damit einverstanden,
der dritten Empfehlung des Beschwerdeführers grundsätzlich, wenn auch nicht in Form eines Bearbeitungsreglements,
nachzukommen (vgl. vorstehend Sachverhalt A.). Vorliegend umstritten und entsprechend als Rechtsbegehren
ausformuliert ist, ob die von der Vorinstanz erfassten Whistleblowing-Meldungen als Datensammlung gelten
und dem Beschwerdeführer gemäss Art. 11
a Abs. 2
DSG anzumelden sind, und ob die Vorinstanz ein Bearbeitungsreglement im Sinne von Art. 21
VDSG zu
erstellen hat.
4.
Das
Bundespersonalgesetz vom 24. März 2000 (BPG, SR
172.220.1) wurde per 1. Januar 2011 um
einen Art. 22
a BPG ergänzt. Damit wurde eine gesetzliche
Grundlage zum Schutz von "Whistleblowing" geschaffen. Die Bestimmung sieht zunächst eine
Anzeigepflicht der Bundesangestellten bei Offizialdelikten vor. Des Weiteren können diese bei anderen
Unregelmässigkeiten eine Meldung bei der EFK erstatten. Wer dabei in guten Treuen eine Anzeige oder
Meldung einreicht oder wer als Zeuge oder Zeugin ausgesagt hat, darf deswegen nicht in seiner beruflichen
Stellung benachteiligt werden. Gestützt auf diese gesetzliche Grundlage (vgl. Art. 17
DSG,
welcher das Legalitätsprinzip im Bereich des Datenschutzes konkretisiert) bearbeitet die EFK Personendaten.
5.
Gemäss
Art. 11
a Abs. 2 DSG müssen Bundesorgane sämtliche
Datensammlungen beim EDÖB zur Registrierung anmelden. Die Registrierung dient einerseits der Transparenz
gegenüber der Öffentlichkeit, womit die Ausübung des Auskunftsrechts erleichtert werden
soll, andererseits soll sie dem EDÖB einen Überblick über die Datenbearbeitungen vermitteln
und auf diese Weise seine Aufsichtstätigkeit begünstigen (Jennifer
Ehrensperger/Urs Belser, in: Maurer-Lambrou/Blechta [Hrsg.], Datenschutzgesetz, Öffentlichkeitsgesetz,
Basler Kommentar, 3. Aufl., Basel 2014 [nachfolgend: BSK DSG/BGÖ], N. 1 zu Art. 11
a
DSG).
5.1 Der Beschwerdeführer
macht geltend, für das Vorliegen einer Datensammlung sei entscheidend, dass der Datenbestand Informationen
über mehr als eine Person enthalte und eine Erschliessbarkeit der Daten nach betroffenen Personen
erlaube. Bei den anonym bei der Vorinstanz eingereichten Meldungen seien keine Personendaten der Meldenden
vorhanden. Hingegen bestünden bei den Meldungen, die nicht anonym erfolgten, je nach Eingangskanal
folgende Personendaten: Email-Adresse, je nach dem Name und Adresse, Telefonnummer etc. In allen Meldungen
könnten auch weitere Personendaten der Meldenden, darunter auch besonders schützenswerte Daten
nach Art. 3 Bst. c
DSG, enthalten sein. Weiter lägen auch Personendaten von Dritten vor,
etwa der Name der Person, gegen die ein Verdacht gemeldet wurde. Die Kategorisierung der Daten erweise
sich zudem als genügend bestimmt. Sodann liessen sich die Daten, die in Windows auf einem eigenen
Verzeichnis abgelegt seien, mit Hilfe der Suchfunktion auffinden. Die Erschliessbarkeit der Daten sei
damit gegeben. Es sei somit klar davon auszugehen, dass es sich beim "Verzeichnis L" um
eine Datensammlung handle. Was die Excel-Übersichtstabelle im "Verzeichnis O" angehe,
so seien darin nur anonymisierte Daten enthalten. Jedoch könnten diese mit den Daten aus dem "Verzeichnis L"
per Fallnummer in Verbindung gebracht werden, mithin sei ein Rückschluss auf eine bestimmte Person
möglich, weshalb das "Verzeichnis O" als Teil der Datensammlung erwähnt werden
sollte.
5.2 Dagegen führt
die Vorinstanz an, von Gesetzes wegen verpflichtet zu sein, festgestellte Mängel in der Organisation,
der Verwaltungsführung oder in der Aufgabenerfüllung der zuständigen Verwaltungseinheit
zur Kenntnis zu bringen und sich über die getroffenen Massnahmen Bericht erstatten zu lassen. Die
in diesem Zusammenhang eingehenden Whistleblowing-Meldungen lege sie in einem geschützten Ordner
"Hinweise" auf dem "Laufwerk L" chronologisch ab. Nur das "Team Verdacht"
(bestehend aus drei Personen) sowie der Systemadministrator (zurzeit eine Person) hätten Zugriff
auf diesen Ordner. Die Meldungen würden im betreffenden Jahr jeweils in einem Unterordner fortlaufend
abgelegt, wobei die Unterordner nummeriert und mit dem Kürzel der bearbeitenden Person des "Team
Verdacht" versehen seien. Daneben würden die wichtigsten Informationen zu den jeweiligen Meldungen
in eine Excel-Übersichtstabelle auf dem "Laufwerk O" eingetragen, das heisst das
Datum des Eingangs, eine kurze Umschreibung des Problems, das betroffene Amt und das mögliche weitere
interne Vorgehen. Die Tabelle enthalte keinerlei persönliche Daten und diene einzig als Ablagesystem
der internen Organisation, der Übersicht über die eingegangenen Meldungen sowie der Statistik.
Was die Datensammlung anbelange, gehe der Gesetzgeber stillschweigend
davon aus, dass eine solche begrifflich voraussetze, dass die Kategorien der Personendaten, die darin
vorkommen könnten, vorgängig in generell-abstrakter Weise festgelegt seien. So gingen etwa
auch Art. 3 Abs. 1 Bst. e
VDSG und Art. 8 Abs. 2
DSG selbstverständlich
davon aus, dass sich die Daten einer jeden Datensammlung in Kategorien einteilen lassen, weshalb diese
im Rahmen der Anmelde- und der Auskunftspflicht zwingend anzugeben seien. Welche Informationen in den
Unterordnern im Ordner "Hinweise" und ob allenfalls Dokumente mit Personendaten enthalten seien,
sei aber nicht von vornherein festgelegt. Von festgelegten Kategorien von Personendaten könne daher
keine Rede sein. Auch sei die geforderte Erschliessbarkeit einer Datensammlung nicht gegeben: Bei der
"einfachen Suchfunktion" in Windows würde lediglich
der Dokumentenname von Word- und PDF-Dokumenten bzw. der Betreff von Emails angezeigt. Diese Felder enthielten
jedoch keine Personennamen, weshalb Personendaten auf diesem Weg nicht erschliessbar seien. Bei der Suchfunktion
"Programme/Dateien durchsuchen" lasse sich der Suchbereich
nicht eingrenzen, was zu einer Fülle von nicht brauchbaren Ergebnissen führe. Schliesslich
sei für ein brauchbares Ergebnis ein bestimmtes Vorwissen nötig, was indes lediglich bei den
drei Mitgliedern des "Team Verdacht" vorhanden sei. Würde das Ablagesystem der Vorinstanz
als meldepflichtige Datensammlung eingestuft, so hätte eine Registrierung und damit Veröffentlichung
negative Auswirkungen auf die von ihr angestrebte Vertraulichkeit sowie auf das in Art. 22
a
BPG statuierte Melderecht resp. die Meldepflicht.
5.3 Was das Verzeichnis
"Hinweise" auf dem "Laufwerk L" betrifft, ist nicht umstritten, dass darin Personendaten
aufgeführt werden. Dagegen geht die Vorinstanz bei der Excel-Tabelle davon aus, dass diese keine
solchen umfasse. Sie enthalte keinerlei persönliche Daten - weder von der meldenden Person
noch von Personen, die allenfalls im Zusammenhang mit der Meldung genannt würden. Das Ablagesystem
diene einzig der Organisation innerhalb der Vorinstanz, der Übersicht über die eingegangen
Meldungen sowie der Statistik.
5.3.1 Unter Personendaten
(Daten) fallen nach Art. 3 Bst. a
DSG alle Angaben, die sich auf eine bestimmte oder bestimmbare
Person beziehen. Unter "Angaben" ist jede Art von Information zu verstehen, die auf die Vermittlung
oder die Aufbewahrung von Kenntnissen ausgerichtet ist, unabhängig davon, ob es sich dabei um eine
Tatsachenfeststellung oder um ein Werturteil handelt. Unerheblich ist auch, ob eine Aussage als Zeichen,
Wort, Bild, Ton oder Kombination aus diesen auftritt und auf welcher Art von Datenträger die Informationen
gespeichert sind. Entscheidend ist, dass sich die Angaben einer oder mehreren Personen zuordnen lassen
(Gabor P. Blechta, BSK DSG/BGÖ, N. 6 f. zu Art. 3
DSG).
Der Begriff der Personendaten setzt somit drei Elemente voraus: Es muss sich um Angaben handeln, diese
müssen einen Bezug zu einer Person haben und diese Person muss bestimmt oder bestimmbar sein. Der
Begriff ist im Übrigen weit zu verstehen und folglich extensiv auszulegen (David
Rosenthal, in: Rosenthal/Jöhri [Hrsg.], Handkommentar zum DSG, Zürich 2008 [nachfolgend:
Handkommentar DSG], Rz. 2 und 6 zu Art. 3
DSG; Blechta, BSK DSG/BGÖ,
N. 7 zu Art. 3
DSG).
5.3.2 Vorliegend handelt
es sich fraglos um "Angaben" im Sinne der Legaldefinition. Auch weisen diese einen Bezug zu
einer oder mehreren Personen auf, nämlich der meldenden Person oder einer Person, die im Zusammenhang
mit einer Meldung steht. Fraglich ist aber, ob diese Person(en) auch bestimmt oder zumindest bestimmbar
sind.
Eine Person ist bestimmt, wenn sich bereits aufgrund der
Informationen selbst eindeutig ergibt, auf welche Person sich diese beziehen. Bestimmbar ist die Person
hingegen, wenn sich die Angaben selbst nicht oder nicht eindeutig einer bestimmten Person zuordnen lassen,
für den Betrachter aber die Möglichkeit besteht, diese Zuordnung vorzunehmen (Rosenthal,
Handkommentar DSG, Rz. 20 zu Art. 3
DSG). Die Frage der Bestimmbarkeit stellt sich dabei aus
der Warte der Datenbearbeiterin, das heisst es ist zu prüfen, ob ihr die Mittel zur Bestimmung der
Identität der betroffenen Personen zur Verfügung stehen, die sie vernünftigerweise einsetzen
würde, wenn sie an einer Identifizierung interessiert wäre. Dabei sind nicht nur die Mittel
einzubeziehen, die grundsätzlich jedermann zugänglich sind, sondern auch diejenigen, über
die die Datenbearbeiterin zusätzlich verfügt, sei es aufgrund ihres besonderen Wissens, der
ihr zugänglichen Informationsquellen oder anderer besonderer Umstände (Rosenthal,
Handkommentar DSG, Rz. 26 zu Art. 3
DSG).
5.3.3 Wie die Vorinstanz
darlegt und aus den im vorliegenden Verfahren eingereichten Unterlagen hervorgeht, ist der Tabelle nicht
zu entnehmen, wer jeweils eine Meldung veranlasst hat. In der Rubrik "commentaire" wird kurz
die Problematik des jeweiligen Falls aufgeführt. Allfällige Personen sind darin zwar weitgehend
anonymisiert, doch lassen sich vereinzelt Personen bestimmen, so wenn etwa im Zusammenhang mit einer
Meldung die Tochter des Chefs einer Einheit erwähnt wird. Für den oder die Datenbearbeiter,
aus deren Sicht jeweils zu beurteilen ist, ob Personendaten vorliegen, können sich die Personen
somit durchaus bestimmen lassen. Hinzu kommt, dass er oder sie zusätzlich über ein besonderes
Wissen verfügt und mittels Zugang zu den im Verzeichnis "Hinweise" erfassten Angaben Rückschlüsse
auf die betroffenen Personen zu ziehen vermag. Insgesamt ist vorliegend deshalb davon auszugehen, dass -
gerade mit Blick auf die angebrachte extensive Auslegung der Begrifflichkeit (vorstehend E. 5.3.1) -
in beiden Laufwerken Personendaten bearbeitet werden.
5.4 Das DSG definiert
den Begriff "Datensammlung" als jeden Bestand von Personendaten, der so aufgebaut ist, dass
die Daten nach betroffenen Personen erschliessbar sind (Art. 3 Bst. g
DSG).
5.4.1 Der Botschaft
zufolge soll es sich bei der Datensammlung um einen Bestand von Daten handeln, der auf mehr als eine
Person Bezug nimmt. Dabei kann die Datensammlung ganz unterschiedlich organisiert und aufgebaut sein.
Entscheidend ist, dass die zu einer bestimmten Person gehörenden Daten auffindbar sind (Botschaft
des Bundesrates vom 23. März 1988 zum DSG, BBl 1988 II 413, 447 f. [nachfolgend: Botschaft
zum DSG]). In der Lehre wird im Zusammenhang mit dem Kriterium der Erschliessbarkeit mitunter die Auffassung
vertreten, dass es sich bei der Datensammlung um eine vergleichbar offene Begriffsbestimmung handle,
so dass auch Datenbestände, die an sich nicht als Datensammlungen angelegt wurden und soweit auch
keine eigene, erkennbare Zweckbestimmung aufweisen, wie etwa die Festplatte eines PC oder das Internet
an sich, die indessen anhand der technischen Möglichkeiten nach Personen erschlossen werden können,
als Datensammlungen zu qualifizieren seien. In diesem Sinne würde sich jeder elektronische Datenträger,
wie etwa eine Festplatte, eine Diskette oder eine CD-ROM, als Trägermedium einer Datensammlung erweisen,
soweit er der Speicherung von Personendaten diene und ein personenbezogener Zugriff mittels eines entsprechenden
Programms möglich sei, was bei Office-Programmen standardmässig der Fall sei. Somit stelle
ein Bestand von elektronisch gespeicherten Textdokumenten regelmässig eine Datensammlung im Sinne
des DSG dar. Nicht als Datensammlungen könnten daher eigentlich nur noch ungeordnete und verstreute
Ablagen von Papierunterlagen gelten (vgl. Blechta, BSK DSG/BGÖ, N. 81
zu Art. 3
DSG).
Dieses weite Verständnis der Legaldefinition von Art. 3
Bst. g
DSG wird in der Literatur zu Recht kritisiert: Mit den heutigen Suchprogrammen ist es in
der Regel möglich, den Inhalt sämtlicher Festplatten beispielsweise nach einem Personennamen
zu durchsuchen. Zudem ist es auch wahrscheinlich, dass auf zahlreichen Festplatten Personendaten
vorhanden sind. Doch wird es kaum der Wille des Gesetzgebers gewesen sein - noch entspricht
es dem Sinn und Zweck des Datenschutzgesetzes -, dass mit einer weiten Begriffsauslegung zahlreiche
Datenbestände, wie die Festplatten von Computern, als Datensammlungen gelten, mit der Konsequenz,
dass diese etwa dem Auskunftsrecht nach Art. 8
DSG oder - wie hier - der Registrierungspflicht
nach Art. 11
a DSG unterstehen (vgl. Rosenthal,
Handkommentar DSG, Rz. 82 zu Art. 3
DSG). Rosenthal
will den Begriff daher enger verstanden haben und stellt deshalb folgende Voraussetzungen auf, die kumulativ
erfüllt sein müssen, damit von einer Datensammlung im Sinne des DSG gesprochen werden kann:
Es muss sich um Personendaten von mehr als einer Person handeln. Diese müssen festgehalten sein
und - begriffsnotwendig - aus mehr als einem Datensatz bestehen, um als Sammlung
zu gelten. Des Weiteren sind die Kategorien der Personendaten, die in der Datensammlung vorkommen, vorgängig
in generell-abstrakter Weise festzulegen. Die einzelnen Datensätze müssen einen thematischen,
logischen Zusammenhang und die Sammlung eine gewisse Beständigkeit aufweisen. Schliesslich
müssen die Personendaten nach betroffenen Personen erschliessbar sein. Eine Datensammlung erfasst
Datenbestände sodann nur insoweit, als sie bezüglich Inhalt und Zweck faktisch unter einer
einheitlichen Herrschaft stehen (vgl. Rosenthal, Handkommentar
DSG, Rz. 83 ff. zu Art. 3
DSG).
5.4.2 Ob abschliessend
an diesen Kriterien festgehalten werden soll, kann an dieser Stelle offen bleiben; wie zu sehen sein
wird, ist vorliegend so oder anders von Datensammlungen im Sinne des Gesetzes auszugehen. Umstritten
sind im vorliegenden Fall zwei verschiedene Datenbestände: Einerseits erfasst die Vorinstanz eingehende
Meldungen in einem Verzeichnis "Hinweise" auf dem "Laufwerk L". In der Regel wird
für jeden Hinweis ein Ordner mit Unterordnern erstellt. Darin werden die Dateien der jeweiligen
Fälle, mitunter Emails, Notizen, eingescannte Unterlagen etc., gespeichert. Andererseits führt
die Vorinstanz eine Excel-Tabelle (gespeichert auf dem "Laufwerk O"), in welcher sie die einzelnen
Meldungen in anonymer Form aufführt. Erfasst werden darin der Eingang jeder Meldung und die betroffene
Stelle. Zudem wird das konkrete Problem kurz umschrieben und das weitere Vorgehen vermerkt. Schliesslich
wird festgehalten, ob die Meldung vertraulich zu behandeln ist.
5.4.3 Die Vorinstanz
stellt sich auf den Standpunkt, die eingehenden Meldungen im Verzeichnis "Hinweise" lediglich
chronologisch abzulegen, dagegen jedoch nicht systematisch zu erfassen. Entsprechend gebe es auch keine
festgelegten Kategorien von Personendaten. Demgegenüber erachtet der Beschwerdeführer die Kategorien
als genügend bestimmt. Mit der Vorinstanz ist einig zu gehen, dass im Verzeichnis "Hinweise"
nicht etwa ein vorbestehendes Formular ausgefüllt und abgespeichert wird. Vielmehr werden in Unterordnern
sämtliche Unterlagen zu einer Meldung gesammelt. Wie die Vorinstanz weiter geltend macht, wird zwar
nicht eine generell-abstrakte Definition von Kategorien von Personendaten in dem Sinne vorgesehen, dass
jeder Datensatz über alle Arten von Personendaten verfügen würde, die im betreffenden
Fall vorkommen könnten. Doch liegt dies mitunter auch in der Natur der hier betroffenen Daten: So
handelt es sich um Angaben zur meldenden Person - sofern die Meldung nicht anonym erfolgt -,
der betroffenen Amtsstellen und der jeweiligen Situation. In diesem Zusammenhang ist es durchaus möglich
und wahrscheinlich, dass Angaben zu weiteren Personen erfolgen. Insoweit ist es zwar, wie die Vorinstanz
vorbringt, naheliegend, dass nicht schon im Vornherein festgelegt werden kann, welche konkreten Informationen
in den Unterordnern enthalten sein werden. Eine gewisse Kategorisierung der Daten ist aber durchaus möglich,
geht es doch letztlich darum, Meldungen, die gestützt auf Art. 22
a
BPG ergehen, zu erfassen. Daran ändert nichts, dass es der Vorinstanz nicht darum geht, eine Datensammlung
als solche zu erstellen, sondern lediglich eine interne Ablage zu führen.
5.4.4 Mit Bezug auf
die Erschliessbarkeit bringt die Vorinstanz vor, der Aufwand zur Suche nach Personendaten sei übermässig
gross, weshalb diese nicht gegeben sei. Mit der einfachen Suchfunktion würden nur der Dokumentenname
bzw. der Betreff von Emails angezeigt; diese würden jedoch keine Personendaten enthalten. Mit der
Suchfunktion "Programme/Dateien durchsuchen" lasse sich der Suchbereich nicht eingrenzen, was
zu einer Fülle von nicht brauchbaren Ergebnissen führe. Zudem sei für ein brauchbares
Ergebnis ein Vorwissen nötig, über das lediglich die drei Mitglieder des "Team Verdacht"
verfügen würden.
Das Kriterium der Erschliessbarkeit verlangt, dass es für
den Bearbeiter des Datenbestands möglich sein muss, die zu einer bestimmten Person gehörenden
Personendaten mit vernünftigem Aufwand aufzufinden (Rosenthal,
Handkommentar DSG, Rz. 90 zu Art. 3
DSG). Die Botschaft zum DSG führt dazu aus, bei den
automatisch geführten Datensammlungen mit ihren vielfältigen Abfragemöglichkeiten treffe
dies fast unbeschränkt zu, unabhängig davon, ob Personennamen als eigentliche Suchbegriffe
vorgesehen seien oder nicht. Bei den manuell geführten Beständen von Personendaten fielen nicht
nur jene Karteien oder Sammlungen unter den Begriff der Datensammlung, die nach den betroffenen Personen
gegliedert seien, sondern auch solche, bei denen nur mittelbar, über eine Hilfsdatensammlung (zum
Beispiel ein Suchregister), ein personenbezogener Zugriff möglich sei. Keine Datensammlung sollen
dagegen Datenbestände darstellen, wenn darin zwar noch Personendaten gefunden werden können,
der damit verbundene Aufwand aber übermässig gross wäre. Beispielsweise nennt die Botschaft
den Fall bei den Millionen von Zolldeklarationen, die bei sämtlichen Zollämtern der Schweiz
zwar eine gewisse Zeit aufbewahrt, aber nicht nach Namen abgelegt sind (Botschaft zum DSG, BBl 1988 II
448). Dabei müssten die Daten mit den entsprechenden Hilfsmitteln oder aufgrund der Strukturierung
der Datensammlung auch ohne Spezialwissen auffindbar sein. Die Erschliessbarkeit wäre zu verneinen,
wenn der personenbezogene Zugriff für einen Benutzer lediglich als Resultat seines Wissens möglich
ist, er sich dieses etwa beim Aufbau, Studium oder der "Fütterung" der Datensammlung angeeignet
hat, beispielsweise weil er sich erinnert, wo sich der Datensatz einer bestimmten Person befindet, obwohl
es hierfür kein Verzeichnis und keine Suchfunktion gibt (Rosenthal,
Handkommentar DSG, Rz. 91 zu Art. 3
DSG).
Das Verzeichnis "Hinweise" setzt sich vorliegend
aus mehreren Unterordnern, je Meldung einem, zusammen. Darin sind, sofern die Meldungen nicht anonym
erfolgt sind, Personennamen und weitere Angaben erfasst. Mit Hilfe der Suchfunktion lassen sich innerhalb
der Dokumente somit Personendaten auffinden, ohne dass ein besonderes Fachwissen erforderlich wäre.
Wenn ein solches Fachwissen für die Arbeit der Meldestelle auch hilfreich sein mag, ist es aus datenschutzrechtlicher
Sicht nicht relevant für die Auffindbarkeit resp. die Erschliessbarkeit der Daten. Was die Excel-Übersichtstabelle
betrifft, sind die Angaben über die Personen in dieser zwar anonymisiert. Jedoch ist es unter Zuhilfenahme
der im Verzeichnis "Hinweise" abgespeicherten Daten möglich, Rückschlüsse auf
bestimmte Personen zu ziehen. Insofern ist auch die Feststellung des Beschwerdeführers, dass die
Dokumente gemeinsam eine Datensammlung darstellen, richtig.
5.4.5 Schliesslich
macht die Vorinstanz geltend, dass, sofern tatsächlich von einer Datensammlung ausgegangen würde,
diese als Korrespondenzregistratur im Sinne von Art. 18 Abs. 1 Bst. a
VDSG von einer Anmeldepflicht
ausgenommen sei.
Gemäss dieser Bestimmung ist Korrespondenzregistratur
von der Anmeldepflicht nach Art. 11
a DSG ausgenommen, sofern
sie ausschliesslich für verwaltungsinterne Zwecke verwendet wird. Bei der Korrespondenzregistratur
handelt es sich um einfache Datensammlungen, die Korrespondenz verzeichnen und in erster Linie Namen
und Adressen von Absendern, das Eingangsdatum des Begehrens, die für das Begehren verantwortlichen
Mitarbeiter sowie die Antworten und ihre Ausgangsdaten enthalten (Korrespondenzverzeichnis; Ehrensperger/Belser,
BSK DSG/BGÖ, N. 14g zu Art. 11
a DSG). Zugang zu
einer Korrespondenzregistratur hat an sich nur eine stark begrenzte Anzahl von Personen. In erster Linie
sind dies die für die Registratur Zuständigen. Eine Datensammlung, die Bürgerbriefe verzeichnet,
würde in diese Kategorie fallen. Wenn eine Datensammlung hingegen Verwendungen zulässt, die
über das blosse Verzeichnen von Korrespondenz hinausgehen, oder weitere Daten enthält -
namentlich besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die aus der
Behandlung einer Anfrage stammen und Bearbeitungsweisen einschliessen, bei denen Daten von Dritten, aus
Gutachten, Abklärungen, Ermittlungs- oder Einvernahmeprotokollen etc. in die Sammlung aufgenommen
werden -, handelt es sich nicht mehr um eine Korrespondenzregistratur, sondern um ein Verwaltungs-
und Dokumentationssystem ("Die Anmeldung von Datensammlungen kurz erklärt", Stand 7. Mai
2014, aufzufinden auf < http://www.edoeb.admin.ch/datenschutz/00626/ 00743/00858/index.html?lang=de
>). Bei den hier fraglichen Verzeichnissen resp. Dokumenten geht es nicht bloss um einfache Sammlungen
von Korrespondenzen und dazugehörige Daten. Vielmehr werden die bei der Vorinstanz eingehenden Meldungen
systematisch erfasst und aufgenommen und sie stellen damit anmeldepflichtige Datensammlungen dar. Eine
Korrespondenzregistratur, die von der Anmeldepflicht ausgenommen wäre, liegt demnach entgegen dem
Vorbringen der Vorinstanz nicht vor.
5.4.6 Im Übrigen
geht die Argumentation der Vorinstanz auch insofern fehl, als eine Registrierungspflicht nicht automatisch
eine Bekanntgabe der Daten nach Art. 8
DSG nach sich zieht. Vielmehr bleiben die Einschränkungen,
gerade etwa das Vorliegen überwiegender Interessen Dritter (vgl. Art. 9 Abs. 1 Bst. b
DSG), trotz allem bestehen und sind im Einzelfall zu berücksichtigen. Es geht vielmehr darum, der
grundsätzlichen Transparenz der öffentlichen Tätigkeit nachzukommen, wofür es erforderlich
ist zu wissen, dass bestimmte Daten überhaupt existieren.
5.5 Nach dem Gesagten
erweisen sich die fraglichen Datenbestände als Datensammlungen im Sinne von Art. 3 Bst. g
DSG und sind folglich nach Art. 11
a DSG beim EDÖB anzumelden.
6.
Art. 21
VDSG sieht die Erstellung eines Bearbeitungsreglements durch Bundesorgane vor.
6.1 Der Beschwerdeführer
weist diesbezüglich darauf hin, dass die Datensammlung auch aus besonders schützenswerten Personendaten
im Sinne von Art. 3 Bst. c
DSG bestehe. Vorstellbar seien zum Beispiel Daten über die
Gesundheit oder auch Daten über administrative oder strafrechtliche Massnahmen. Grundsätzlich
werde bei der Bearbeitung von Daten in Informationssystemen meist eine Ausführungsverordnung erlassen,
in welcher die organisatorischen und technischen Massnahmen und zum Beispiel auch die Zugriffsberechtigungen
und Aufbewahrungsfristen festgelegt würden. Da es sich bei den Whistleblowing-Meldungen jedoch nicht
um ein solches System, sondern um eine Datensammlung in einem Verzeichnissystem handle, werde der Erlass
einer Verordnung als unverhältnismässig erachtet. Umso wichtiger sei aber die Erstellung eines
Bearbeitungsreglements zur Regelung der Massnahmen, Fristen, Berechtigungen und des Verfahrens.
6.2 Gemäss Art. 21
Abs. 1 Bst. a
VDSG erstellen die verantwortlichen Bundesorgane ein Bearbeitungsreglement für
automatisierte Datensammlungen, die besonders schützenswerte Daten oder Persönlichkeitsprofile
beinhalten. Art. 3 Bst. c
DSG definiert besonders schützenswerte Personendaten als Daten
über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder
Tätigkeiten (Ziff. 1), die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit
(Ziff. 2), Massnahmen der sozialen Hilfe (Ziff. 3) oder administrative oder strafrechtliche
Verfolgungen und Sanktionen (Ziff. 4). Es ist nicht ausgeschlossen, dass in den beschriebenen, hier
betroffenen Datensammlungen auch besonders schützenswerte Personendaten enthalten sind, seien dies,
wie schon der Beschwerdeführer vorbringt, solche über die Gesundheit oder über administrative
oder strafrechtliche Massnahmen oder aber auch betreffend Ansichten und Tätigkeiten. Die Vorinstanz
hat demnach ein entsprechendes, die Anforderungen von Art. 21 Abs. 2
VDSG erfüllendes
Reglement zu erstellen. Nachdem sie die Zuständigkeiten und Arbeitsschritte ohnehin schon in ihrem
internen Bearbeitungsprozess festhält, erscheint die Erstellung eines Reglements durchaus im Rahmen
des - vom Aufwand her - Vertretbaren und stellt keine einschneidende Massnahme
dar. Mit Blick auf den Grundsatz der Verhältnismässigkeit erweist sich ein solches zudem auch
als angemessen, wird doch nicht der Erlass einer Ausführungsverordnung verlangt, wie dies sonst -
wie der Beschwerdeführer darauf hinweist - bei der Bearbeitung von Daten in Informationssystemen
üblich ist.
6.3 Der Beschwerdeführer
verlangt demnach auch zu Recht, dass die Vorinstanz ein Bearbeitungsreglement gemäss Art. 21
VDSG erstellt.
7.
Zusammenfassend
erweisen sich die Anträge des Beschwerdeführers als begründet. Die Beschwerde ist demnach
gutzuheissen und die Vorinstanz anzuweisen, in Ergänzung ihres Schreibens vom 19. Dezember
2013 ihre beiden Datenbestände im Zusammenhang mit den Meldungen, die bei ihr als Whistleblowing-Meldestelle
eingehen, auf den Laufwerken L und O dem EDÖB innerhalb von zwei Monaten nach Rechtskraft dieses
Urteils gemäss Art. 11
a Abs. 2 DSG anzumelden.
Zudem ist sie anzuweisen, ein Bearbeitungsreglement gemäss Art. 21
VDSG für die Datenbearbeitung
in diesen beiden Beständen zu erstellen.
8.
Es
sind weder Verfahrenskosten aufzuerlegen (Art. 63 Abs. 2
VwVG) noch ist eine Parteientschädigung
zuzusprechen (Art. 7 Abs. 3
des Reglements vom 21. Februar 2008 über die Kosten und
Entschädigungen vor dem Bundesverwaltungsgericht [VGKE, SR
173.320.2]).
Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim
Bundesgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Angelegenheiten
geführt werden (Art. 82
ff., 90 ff. und 100 BGG). Die Rechtsschrift ist in einer Amtssprache
abzufassen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift
zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie der Beschwerdeführer
in Händen hat, beizulegen (Art. 42
BGG).