Entscheid bestätigt durch BGer mit
Urteil vom 12.11.2015 (
1C_66/2015)

 

\\vs00001a.adb.intra.admin.ch\BVGER-home$\U80709142\config\Desktop\Logo_BVG_7.10_RZ.bmp

 

 

 

 

Abteilung I

A-788/2014

 

 

 


Sachverhalt:

A.
Im Rahmen seiner Aufsichtstätigkeit gemäss dem Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG, SR
235.1) führt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) verschiedene Kontrollen durch. Im Jahr 2013 überprüfte er unter anderem die Einhaltung der datenschutzrechtlichen Bestimmungen durch die Whistle­blowing-Meldestelle für Bundesangestellte bei der Eidgenössischen Finanzkontrolle (EFK). Nach Prüfung der Unterlagen und Durchführung eines Augenscheins erliess der EDÖB am 19. November 2013 gestützt auf Art. 27 Abs. 4 DSG eine Empfehlung. Er empfahl der EFK, ihre Datensammlung "Whistleblowing" gemäss Art. 11a Abs. 2 DSG innerhalb von zwei Monaten beim EDÖB anzumelden (Ziff. 1), ein Bearbeitungsreglement gemäss Art. 21 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11) für die Datenbearbeitungen in dieser Datensammlung zu erstellen (Ziff. 2) und in diesem Bearbeitungsreglement die Dauer der Aufbewahrungsfrist zu regeln sowie Regeln aufzustellen, damit Meldungen, die nicht mehr weiter bearbeitet werden müssen und somit nicht mehr notwendig sind, gelöscht oder archiviert werden (Ziff. 3).

B.
Mit Schreiben vom 19. Dezember 2013 erklärte sich die EFK bereit, die Empfehlung des EDÖB betreffend die Aufbewahrung, Löschung und Archivierung der Meldungen in den internen Bearbeitungsprozess aufzunehmen und umzusetzen. Weitergehend lehnte sie es jedoch ab, die Meldungen, die sie als Whistleblowing-Stelle erhalte, als Datensammlung anzumelden und ein Bearbeitungsreglement zu erstellen.

C.
Mit als "Antrag auf Entscheid" bezeichneter Eingabe vom 10. Februar 2014 ist der EDÖB (nachfolgend: Beschwerdeführer) an das Bundesverwaltungsgericht gelangt und ersucht dieses darum, mittels eines Entscheides die EFK zu verpflichten, gemäss Art. 11a Abs. 2 DSG ihre Datensammlung "Whistleblowing" innerhalb von zwei Monaten bei ihm anzumelden und ein Bearbeitungsreglement gemäss Art. 21 VDSG für die Datenbearbeitungen in dieser Datensammlung zu erstellen.

D.
Der Instruktionsrichter hat das Verfahren zunächst auf die Frage der Zuständigkeit beschränkt und die EFK sowie das Eidgenössische Finanzdepartement (EFD) eingeladen, sich zu dieser Frage vernehmen zu lassen. Mit Zwischenentscheid vom 23. April 2014 erklärte sich das Bundesverwaltungsgericht zur Behandlung der vorliegenden Angelegenheit zuständig.

E.
In ihrer Stellungnahme in der Hauptsache vom 23. Mai 2014 beantragt die EFK (nachfolgend: Vorinstanz) die Ablehnung der Anträge des Beschwerdeführers resp. die Abweisung der Beschwerde.

F.
Der Beschwerdeführer reichte am 16. Juni 2014 seine Schlussbemerkungen ein. Er hält darin an seinen bisherigen Anträgen und Ausführungen fest.

G.
Auf weitergehende Ausführungen der Parteien und die sich bei den Akten befindlichen Schriftstücke wird - soweit entscheidrelevant - im Rahmen der nachfolgenden Erwägungen eingegangen.

 

Das Bundesverwaltungsgericht zieht in Erwägung:

1.  

1.1 Gemäss Art. 31 des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 (VGG, SR 173.32) beurteilt das Bundesverwaltungsgericht Beschwerden gegen Verfügungen nach Art. 5 des Verwaltungsverfahrensgesetzes vom 20. Dezember 1968 (VwVG, SR 172.021), sofern sie von einer Vorinstanz nach Art. 33 VGG stammen und keine Ausnahme nach Art. 32 VGG vorliegt.

1.2 Bei der EFK handelt es sich um eine Behörde nach Art. 33 Bst. d VGG und es liegt keine Ausnahme nach Art. 32 VGG vor. Wie das Bundesverwaltungsgericht in seinem Zwischenentscheid vom 23. April 2014 festgehalten hat, stellt das Schreiben der EFK vom 19. Dezember 2013 materiell eine Verfügung dar (Zwischenentscheid des Bundesverwaltungsgerichts A-788/2014 vom 23. April 2014 E. 1.1 ff., insb. E. 1.3). Mangels eines für die Aufsicht über die EFK zuständigen Departements (vgl. Art. 1 des Finanzkontrollgesetzes vom 28. Juni 1967 [FKG, SR 614.0]; auch Botschaft des Bundesrates vom 22. Juni 1998 betreffend die Revision des FKG, Bundesblatt [BBl] 1998 4703, 4718) stand es dem EDÖB offen, sich gestützt auf Art. 27 Abs. 6 DSG mit Beschwerde gegen diese Verfügung direkt an das Bundesverwaltungsgericht zu wenden. Das Bundesverwaltungsgericht ist somit für die Beurteilung der vorliegenden Angelegenheit zuständig.

1.3 Wie ebenfalls bereits mit Zwischenentscheid vom 23. April 2014 festgestellt wurde, kann angesichts der vorliegenden besonderen Umstände - das Fehlen einer Rechtsmittelbelehrung im Schreiben der EFK und die nicht eindeutige Rechtslage, insbesondere das nicht offensichtliche Vorliegen einer anfechtbaren Verfügung - in Anwendung von Art. 38 VwVG und gestützt auf den Vertrauensschutz ausnahmsweise vom Erfordernis der Beschwerdeerhebung innert Frist abgesehen werden (Zwischenentscheid des Bundesverwaltungsgerichts A-788/2014 vom 23. April 2014 E. 2). Auf die Beschwerde ist entsprechend einzutreten, zumal die übrigen Beschwerdevoraussetzungen (Art. 48 und Art. 52 VwVG) erfüllt sind.

2.
Das Bundesverwaltungsgericht entscheidet grundsätzlich mit uneingeschränkter Kognition. Es überprüft die angefochtene Verfügung auf Rechtsverletzungen - einschliesslich unrichtiger oder unvollständiger Feststellung des rechtserheblichen Sachverhalts und Rechtsfehler bei der Ausübung des Ermessens - sowie auf Angemessenheit hin (Art. 49 VwVG).

3.
Die Vorinstanz hielt in ihrem Schreiben vom 19. Dezember 2013 fest, die von ihr abgelegten Whistleblowing-Meldungen nicht als Datensammlung zu erachten. Die Meldungen würden weder abschliessend erfasst noch enthielten sie in jedem Fall Personendaten. Vielmehr seien diverse Meldungen kaum erschliessbar und auch nicht systematisch erfasst. Im Übrigen würden keine Kategorien von Personendaten festgelegt und ein Zugriff sei nur mit entsprechendem Spezialwissen möglich, über welches lediglich die Mitglieder des "Team Verdacht" verfügten. Aus diesen Gründen sehe sie sich nicht veranlasst, den Empfehlungen des EDÖB, die Datensammlung anzumelden und ein Bearbeitungsreglement zu erstellen, nachzukommen. Dagegen sei sie aber bereit, ihre Ausführungen betreffend die Aufbewahrung, Löschung und Archivierung der Meldungen in den internen Bearbeitungsprozess aufzunehmen und umzusetzen.

Die Vorinstanz erklärte sich demnach damit einverstanden, der dritten Empfehlung des Beschwerdeführers grundsätzlich, wenn auch nicht in Form eines Bearbeitungsreglements, nachzukommen (vgl. vorstehend Sachverhalt A.). Vorliegend umstritten und entsprechend als Rechtsbegehren ausformuliert ist, ob die von der Vorinstanz erfassten Whistleblowing-Meldungen als Datensammlung gelten und dem Beschwerdeführer gemäss Art. 11a Abs. 2 DSG anzumelden sind, und ob die Vorinstanz ein Bearbeitungsreglement im Sinne von Art. 21 VDSG zu erstellen hat.

4.
Das Bundespersonalgesetz vom 24. März 2000 (BPG, SR 172.220.1) wurde per 1. Januar 2011 um einen Art. 22a BPG ergänzt. Damit wurde eine gesetzliche Grundlage zum Schutz von "Whistleblowing" geschaffen. Die Bestimmung sieht zunächst eine Anzeigepflicht der Bundesangestellten bei Offizialdelikten vor. Des Weiteren können diese bei anderen Unregelmässigkeiten eine Meldung bei der EFK erstatten. Wer dabei in guten Treuen eine Anzeige oder Meldung einreicht oder wer als Zeuge oder Zeugin ausgesagt hat, darf deswegen nicht in seiner beruflichen Stellung benachteiligt werden. Gestützt auf diese gesetzliche Grundlage (vgl. Art. 17 DSG, welcher das Legalitätsprinzip im Bereich des Datenschutzes konkretisiert) bearbeitet die EFK Personendaten.

5.
Gemäss Art. 11a Abs. 2 DSG müssen Bundesorgane sämtliche Datensammlungen beim EDÖB zur Registrierung anmelden. Die Registrierung dient einerseits der Transparenz gegenüber der Öffentlichkeit, womit die Ausübung des Auskunftsrechts erleichtert werden soll, andererseits soll sie dem EDÖB einen Überblick über die Datenbearbeitungen vermitteln und auf diese Weise seine Aufsichtstätigkeit begünstigen (Jennifer Ehrensperger/Urs Belser, in: Maurer-Lambrou/Blechta [Hrsg.], Datenschutzgesetz, Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014 [nachfolgend: BSK DSG/BGÖ], N. 1 zu Art. 11a DSG).

5.1 Der Beschwerdeführer macht geltend, für das Vorliegen einer Datensammlung sei entscheidend, dass der Datenbestand Informationen über mehr als eine Person enthalte und eine Erschliessbarkeit der Daten nach betroffenen Personen erlaube. Bei den anonym bei der Vorinstanz eingereichten Meldungen seien keine Personendaten der Meldenden vorhanden. Hingegen bestünden bei den Meldungen, die nicht anonym erfolgten, je nach Eingangskanal folgende Personendaten: Email-Adresse, je nach dem Name und Adresse, Telefonnummer etc. In allen Meldungen könnten auch weitere Personendaten der Meldenden, darunter auch besonders schützenswerte Daten nach Art. 3 Bst. c DSG, enthalten sein. Weiter lägen auch Personendaten von Dritten vor, etwa der Name der Person, gegen die ein Verdacht gemeldet wurde. Die Kategorisierung der Daten erweise sich zudem als genügend bestimmt. Sodann liessen sich die Daten, die in Windows auf einem eigenen Verzeichnis abgelegt seien, mit Hilfe der Suchfunktion auffinden. Die Erschliessbarkeit der Daten sei damit gegeben. Es sei somit klar davon auszugehen, dass es sich beim "Verzeichnis L" um eine Datensammlung handle. Was die Excel-Übersichtstabelle im "Verzeichnis O" angehe, so seien darin nur anonymisierte Daten enthalten. Jedoch könnten diese mit den Daten aus dem "Verzeichnis L" per Fallnummer in Verbindung gebracht werden, mithin sei ein Rückschluss auf eine bestimmte Person möglich, weshalb das "Verzeichnis O" als Teil der Datensammlung erwähnt werden sollte.

5.2 Dagegen führt die Vorinstanz an, von Gesetzes wegen verpflichtet zu sein, festgestellte Mängel in der Organisation, der Verwaltungsführung oder in der Aufgabenerfüllung der zuständigen Verwaltungseinheit zur Kenntnis zu bringen und sich über die getroffenen Massnahmen Bericht erstatten zu lassen. Die in diesem Zusammenhang eingehenden Whistleblowing-Meldungen lege sie in einem geschützten Ordner "Hinweise" auf dem "Laufwerk L" chronologisch ab. Nur das "Team Verdacht" (bestehend aus drei Personen) sowie der Systemadministrator (zurzeit eine Person) hätten Zugriff auf diesen Ordner. Die Meldungen würden im betreffenden Jahr jeweils in einem Unterordner fortlaufend abgelegt, wobei die Unterordner nummeriert und mit dem Kürzel der bearbeitenden Person des "Team Verdacht" versehen seien. Daneben würden die wichtigsten Informationen zu den jeweiligen Meldungen in eine Excel-Übersichtstabelle auf dem "Laufwerk O" eingetragen, das heisst das Datum des Eingangs, eine kurze Umschreibung des Problems, das betroffene Amt und das mögliche weitere interne Vorgehen. Die Tabelle enthalte keinerlei persönliche Daten und diene einzig als Ablagesystem der internen Organisation, der Übersicht über die eingegangenen Meldungen sowie der Statistik.

Was die Datensammlung anbelange, gehe der Gesetzgeber stillschweigend davon aus, dass eine solche begrifflich voraussetze, dass die Kategorien der Personendaten, die darin vorkommen könnten, vorgängig in generell-abstrakter Weise festgelegt seien. So gingen etwa auch Art. 3 Abs. 1 Bst. e VDSG und Art. 8 Abs. 2 DSG selbstverständlich davon aus, dass sich die Daten einer jeden Datensammlung in Kategorien einteilen lassen, weshalb diese im Rahmen der Anmelde- und der Auskunftspflicht zwingend anzugeben seien. Welche Informationen in den Unterordnern im Ordner "Hinweise" und ob allenfalls Dokumente mit Personendaten enthalten seien, sei aber nicht von vornherein festgelegt. Von festgelegten Kategorien von Personendaten könne daher keine Rede sein. Auch sei die geforderte Erschliessbarkeit einer Datensammlung nicht gegeben: Bei der "einfachen Suchfunktion" in Windows würde lediglich der Dokumentenname von Word- und PDF-Dokumenten bzw. der Betreff von Emails angezeigt. Diese Felder enthielten jedoch keine Personennamen, weshalb Personendaten auf diesem Weg nicht erschliessbar seien. Bei der Suchfunktion "Programme/Dateien durchsuchen" lasse sich der Such­bereich nicht eingrenzen, was zu einer Fülle von nicht brauchbaren Ergebnissen führe. Schliesslich sei für ein brauchbares Ergebnis ein bestimmtes Vorwissen nötig, was indes lediglich bei den drei Mitgliedern des "Team Verdacht" vorhanden sei. Würde das Ablagesystem der Vorinstanz als meldepflichtige Datensammlung eingestuft, so hätte eine Registrierung und damit Veröffentlichung negative Auswirkungen auf die von ihr angestrebte Vertraulichkeit sowie auf das in Art. 22a BPG statuierte Melderecht resp. die Meldepflicht.

5.3 Was das Verzeichnis "Hinweise" auf dem "Laufwerk L" betrifft, ist nicht umstritten, dass darin Personendaten aufgeführt werden. Dagegen geht die Vorinstanz bei der Excel-Tabelle davon aus, dass diese keine solchen umfasse. Sie enthalte keinerlei persönliche Daten - weder von der meldenden Person noch von Personen, die allenfalls im Zusammenhang mit der Meldung genannt würden. Das Ablagesystem diene einzig der Organisation innerhalb der Vorinstanz, der Übersicht über die eingegangen Meldungen sowie der Statistik.

5.3.1 Unter Personendaten (Daten) fallen nach Art. 3 Bst. a DSG alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Unter "Angaben" ist jede Art von Information zu verstehen, die auf die Vermittlung oder die Aufbewahrung von Kenntnissen ausgerichtet ist, unabhängig davon, ob es sich dabei um eine Tatsachenfeststellung oder um ein Werturteil handelt. Unerheblich ist auch, ob eine Aussage als Zeichen, Wort, Bild, Ton oder Kombination aus diesen auftritt und auf welcher Art von Datenträger die Informationen gespeichert sind. Entscheidend ist, dass sich die Angaben einer oder mehreren Personen zuordnen lassen (Gabor P. Blechta, BSK DSG/BGÖ, N. 6 f. zu Art. 3 DSG). Der Begriff der Personendaten setzt somit drei Elemente voraus: Es muss sich um Angaben handeln, diese müssen einen Bezug zu einer Person haben und diese Person muss bestimmt oder bestimmbar sein. Der Begriff ist im Übrigen weit zu verstehen und folglich extensiv auszulegen (David Rosenthal, in: Rosenthal/Jöhri [Hrsg.], Handkommentar zum DSG, Zürich 2008 [nachfolgend: Handkommentar DSG], Rz. 2 und 6 zu Art. 3 DSG; Blechta, BSK DSG/BGÖ, N. 7 zu Art. 3 DSG).

5.3.2 Vorliegend handelt es sich fraglos um "Angaben" im Sinne der Legaldefinition. Auch weisen diese einen Bezug zu einer oder mehreren Personen auf, nämlich der meldenden Person oder einer Person, die im Zusammenhang mit einer Meldung steht. Fraglich ist aber, ob diese Person(en) auch bestimmt oder zumindest bestimmbar sind.

Eine Person ist bestimmt, wenn sich bereits aufgrund der Informationen selbst eindeutig ergibt, auf welche Person sich diese beziehen. Bestimmbar ist die Person hingegen, wenn sich die Angaben selbst nicht oder nicht eindeutig einer bestimmten Person zuordnen lassen, für den Be­trachter aber die Möglichkeit besteht, diese Zuordnung vorzunehmen (Rosenthal, Handkommentar DSG, Rz. 20 zu Art. 3 DSG). Die Frage der Bestimmbarkeit stellt sich dabei aus der Warte der Datenbearbeiterin, das heisst es ist zu prüfen, ob ihr die Mittel zur Bestimmung der Identität der betroffenen Personen zur Verfügung stehen, die sie vernünftigerweise einsetzen würde, wenn sie an einer Identifizierung interessiert wäre. Dabei sind nicht nur die Mittel einzubeziehen, die grundsätzlich jedermann zugänglich sind, sondern auch diejenigen, über die die Datenbearbeiterin zusätzlich verfügt, sei es aufgrund ihres besonderen Wissens, der ihr zugänglichen Informationsquellen oder anderer besonderer Umstände (Rosenthal, Handkommentar DSG, Rz. 26 zu Art. 3 DSG).

5.3.3 Wie die Vorinstanz darlegt und aus den im vorliegenden Verfahren eingereichten Unterlagen hervorgeht, ist der Tabelle nicht zu entnehmen, wer jeweils eine Meldung veranlasst hat. In der Rubrik "commentaire" wird kurz die Problematik des jeweiligen Falls aufgeführt. Allfällige Personen sind darin zwar weitgehend anonymisiert, doch lassen sich vereinzelt Personen bestimmen, so wenn etwa im Zusammenhang mit einer Meldung die Tochter des Chefs einer Einheit erwähnt wird. Für den oder die Datenbearbeiter, aus deren Sicht jeweils zu beurteilen ist, ob Personendaten vorliegen, können sich die Personen somit durchaus bestimmen lassen. Hinzu kommt, dass er oder sie zusätzlich über ein besonderes Wissen verfügt und mittels Zugang zu den im Verzeichnis "Hinweise" erfassten Angaben Rückschlüsse auf die betroffenen Personen zu ziehen vermag. Insgesamt ist vorliegend deshalb davon auszugehen, dass - gerade mit Blick auf die angebrachte extensive Auslegung der Begrifflichkeit (vorstehend E. 5.3.1) - in beiden Laufwerken Personendaten bearbeitet werden.

5.4 Das DSG definiert den Begriff "Datensammlung" als jeden Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind (Art. 3 Bst. g DSG).

5.4.1 Der Botschaft zufolge soll es sich bei der Datensammlung um einen Bestand von Daten handeln, der auf mehr als eine Person Bezug nimmt. Dabei kann die Datensammlung ganz unterschiedlich organisiert und aufgebaut sein. Entscheidend ist, dass die zu einer bestimmten Person gehörenden Daten auffindbar sind (Botschaft des Bundesrates vom 23. März 1988 zum DSG, BBl 1988 II 413, 447 f. [nachfolgend: Botschaft zum DSG]). In der Lehre wird im Zusammenhang mit dem Kriterium der Erschliessbarkeit mitunter die Auffassung vertreten, dass es sich bei der Datensammlung um eine vergleichbar offene Begriffsbestimmung handle, so dass auch Datenbestände, die an sich nicht als Datensammlungen angelegt wurden und soweit auch keine eigene, erkennbare Zweckbestimmung aufweisen, wie etwa die Festplatte eines PC oder das Internet an sich, die indessen anhand der technischen Möglichkeiten nach Personen erschlossen werden können, als Datensammlungen zu qualifizieren seien. In diesem Sinne würde sich jeder elektronische Datenträger, wie etwa eine Festplatte, eine Diskette oder eine CD-ROM, als Trägermedium einer Datensammlung erweisen, soweit er der Speicherung von Personendaten diene und ein personenbezogener Zugriff mittels eines entsprechenden Programms möglich sei, was bei Office-Programmen standardmässig der Fall sei. Somit stelle ein Bestand von elektronisch gespeicherten Textdokumenten regelmässig eine Datensammlung im Sinne des DSG dar. Nicht als Datensammlungen könnten daher eigentlich nur noch ungeordnete und verstreute Ablagen von Papierunterlagen gelten (vgl. Blechta, BSK DSG/BGÖ, N. 81 zu Art. 3 DSG).

Dieses weite Verständnis der Legaldefinition von Art. 3 Bst. g DSG wird in der Literatur zu Recht kritisiert: Mit den heutigen Suchprogrammen ist es in der Regel möglich, den Inhalt sämtlicher Festplatten beispielsweise nach einem Personennamen zu durchsuchen. Zudem ist es auch wahr­scheinlich, dass auf zahlreichen Festplatten Personendaten vorhanden sind. Doch wird es kaum der Wille des Gesetzgebers gewesen sein - noch entspricht es dem Sinn und Zweck des Datenschutzgesetzes -, dass mit einer weiten Begriffsauslegung zahlreiche Datenbestände, wie die Festplatten von Computern, als Datensammlungen gelten, mit der Konsequenz, dass diese etwa dem Auskunftsrecht nach Art. 8 DSG oder - wie hier - der Registrierungspflicht nach Art. 11a DSG unterstehen (vgl. Rosenthal, Handkommentar DSG, Rz. 82 zu Art. 3 DSG). Rosen­thal will den Begriff daher enger verstanden haben und stellt deshalb folgende Voraussetzungen auf, die kumulativ erfüllt sein müssen, damit von einer Datensammlung im Sinne des DSG gesprochen werden kann: Es muss sich um Personendaten von mehr als einer Person handeln. Diese müssen festgehalten sein und - begriffsnotwendig - aus mehr als einem Datensatz bestehen, um als Sammlung zu gelten. Des Weiteren sind die Kategorien der Personendaten, die in der Datensammlung vorkommen, vorgängig in generell-abstrakter Weise festzulegen. Die ein­zelnen Datensätze müssen einen thematischen, logischen Zusammen­hang und die Sammlung eine gewisse Beständigkeit aufweisen. Schliess­lich müssen die Personendaten nach betroffenen Personen erschliessbar sein. Eine Datensammlung erfasst Datenbestände sodann nur insoweit, als sie bezüglich Inhalt und Zweck faktisch unter einer einheitlichen Herr­schaft stehen (vgl. Rosenthal, Handkommentar DSG, Rz. 83 ff. zu Art. 3 DSG).

5.4.2 Ob abschliessend an diesen Kriterien festgehalten werden soll, kann an dieser Stelle offen bleiben; wie zu sehen sein wird, ist vorliegend so oder anders von Datensammlungen im Sinne des Gesetzes auszugehen. Umstritten sind im vorliegenden Fall zwei verschiedene Datenbestände: Einerseits erfasst die Vorinstanz eingehende Meldungen in einem Verzeichnis "Hinweise" auf dem "Laufwerk L". In der Regel wird für jeden Hinweis ein Ordner mit Unterordnern erstellt. Darin werden die Dateien der jeweiligen Fälle, mitunter Emails, Notizen, eingescannte Unterlagen etc., gespeichert. Andererseits führt die Vorinstanz eine Excel-Tabelle (gespeichert auf dem "Laufwerk O"), in welcher sie die einzelnen Meldungen in anonymer Form aufführt. Erfasst werden darin der Eingang jeder Meldung und die betroffene Stelle. Zudem wird das konkrete Problem kurz umschrieben und das weitere Vorgehen vermerkt. Schliesslich wird festgehalten, ob die Meldung vertraulich zu behandeln ist.

5.4.3 Die Vorinstanz stellt sich auf den Standpunkt, die eingehenden Meldungen im Verzeichnis "Hinweise" lediglich chronologisch abzulegen, dagegen jedoch nicht systematisch zu erfassen. Entsprechend gebe es auch keine festgelegten Kategorien von Personendaten. Demgegenüber erachtet der Beschwerdeführer die Kategorien als genügend bestimmt. Mit der Vorinstanz ist einig zu gehen, dass im Verzeichnis "Hinweise" nicht etwa ein vorbestehendes Formular ausgefüllt und abgespeichert wird. Vielmehr werden in Unterordnern sämtliche Unterlagen zu einer Meldung gesammelt. Wie die Vorinstanz weiter geltend macht, wird zwar nicht eine generell-abstrakte Definition von Kategorien von Personendaten in dem Sinne vorgesehen, dass jeder Datensatz über alle Arten von Personendaten verfügen würde, die im betreffenden Fall vorkommen könnten. Doch liegt dies mitunter auch in der Natur der hier betroffenen Daten: So handelt es sich um Angaben zur meldenden Person - sofern die Meldung nicht anonym erfolgt -, der betroffenen Amtsstellen und der jeweiligen Situation. In diesem Zusammenhang ist es durchaus möglich und wahrscheinlich, dass Angaben zu weiteren Personen erfolgen. Insoweit ist es zwar, wie die Vorinstanz vorbringt, naheliegend, dass nicht schon im Vornherein festgelegt werden kann, welche konkreten Informationen in den Unterordnern enthalten sein werden. Eine gewisse Kategorisierung der Daten ist aber durchaus möglich, geht es doch letztlich darum, Meldungen, die gestützt auf Art. 22a BPG ergehen, zu erfassen. Daran ändert nichts, dass es der Vorinstanz nicht darum geht, eine Datensammlung als solche zu erstellen, sondern lediglich eine interne Ablage zu führen.

5.4.4 Mit Bezug auf die Erschliessbarkeit bringt die Vorinstanz vor, der Aufwand zur Suche nach Personendaten sei übermässig gross, weshalb diese nicht gegeben sei. Mit der einfachen Suchfunktion würden nur der Dokumentenname bzw. der Betreff von Emails angezeigt; diese würden jedoch keine Personendaten enthalten. Mit der Suchfunktion "Programme/Dateien durchsuchen" lasse sich der Suchbereich nicht eingrenzen, was zu einer Fülle von nicht brauchbaren Ergebnissen führe. Zudem sei für ein brauchbares Ergebnis ein Vorwissen nötig, über das lediglich die drei Mitglieder des "Team Verdacht" verfügen würden.

Das Kriterium der Erschliessbarkeit verlangt, dass es für den Bearbeiter des Datenbestands möglich sein muss, die zu einer bestimmten Person gehörenden Personendaten mit vernünftigem Aufwand aufzufinden (Rosenthal, Handkommentar DSG, Rz. 90 zu Art. 3 DSG). Die Botschaft zum DSG führt dazu aus, bei den automatisch geführten Datensammlungen mit ihren vielfältigen Abfragemöglichkeiten treffe dies fast unbeschränkt zu, unabhängig davon, ob Personennamen als eigentliche Such­begriffe vorgesehen seien oder nicht. Bei den manuell geführten Beständen von Personendaten fielen nicht nur jene Karteien oder Sammlungen unter den Begriff der Datensammlung, die nach den betroffenen Personen gegliedert seien, sondern auch solche, bei denen nur mittelbar, über eine Hilfsdatensammlung (zum Beispiel ein Suchregister), ein personenbezogener Zugriff möglich sei. Keine Datensammlung sollen dagegen Datenbestände darstellen, wenn darin zwar noch Personendaten gefunden werden können, der damit verbundene Aufwand aber übermässig gross wäre. Beispielsweise nennt die Botschaft den Fall bei den Millionen von Zolldeklarationen, die bei sämtlichen Zollämtern der Schweiz zwar eine gewisse Zeit aufbewahrt, aber nicht nach Namen abgelegt sind (Botschaft zum DSG, BBl 1988 II 448). Dabei müssten die Daten mit den entsprechenden Hilfsmitteln oder aufgrund der Strukturierung der Datensammlung auch ohne Spezialwissen auffindbar sein. Die Erschliessbarkeit wäre zu verneinen, wenn der personenbezogene Zugriff für einen Benutzer lediglich als Resultat seines Wissens möglich ist, er sich dieses etwa beim Aufbau, Studium oder der "Fütterung" der Datensammlung angeeignet hat, beispielsweise weil er sich erinnert, wo sich der Datensatz einer bestimmten Person befindet, obwohl es hierfür kein Verzeichnis und keine Suchfunktion gibt (Rosenthal, Handkommentar DSG, Rz. 91 zu Art. 3 DSG).

Das Verzeichnis "Hinweise" setzt sich vorliegend aus mehreren Unterordnern, je Meldung einem, zusammen. Darin sind, sofern die Meldungen nicht anonym erfolgt sind, Personennamen und weitere Angaben erfasst. Mit Hilfe der Suchfunktion lassen sich innerhalb der Dokumente somit Personendaten auffinden, ohne dass ein besonderes Fachwissen erforderlich wäre. Wenn ein solches Fachwissen für die Arbeit der Meldestelle auch hilfreich sein mag, ist es aus datenschutzrechtlicher Sicht nicht relevant für die Auffindbarkeit resp. die Erschliessbarkeit der Daten. Was die Excel-Übersichtstabelle betrifft, sind die Angaben über die Personen in dieser zwar anonymisiert. Jedoch ist es unter Zuhilfenahme der im Verzeichnis "Hinweise" abgespeicherten Daten möglich, Rückschlüsse auf bestimmte Personen zu ziehen. Insofern ist auch die Feststellung des Beschwerdeführers, dass die Dokumente gemeinsam eine Datensammlung darstellen, richtig.

5.4.5 Schliesslich macht die Vorinstanz geltend, dass, sofern tatsächlich von einer Datensammlung ausgegangen würde, diese als Korrespondenzregistratur im Sinne von Art. 18 Abs. 1 Bst. a VDSG von einer Anmeldepflicht ausgenommen sei.

Gemäss dieser Bestimmung ist Korrespondenzregistratur von der Anmeldepflicht nach Art. 11a DSG ausgenommen, sofern sie ausschliesslich für verwaltungsinterne Zwecke verwendet wird. Bei der Korrespondenzregistratur handelt es sich um einfache Datensammlungen, die Korrespondenz verzeichnen und in erster Linie Namen und Adressen von Absendern, das Eingangsdatum des Begehrens, die für das Begehren verantwortlichen Mitarbeiter sowie die Antworten und ihre Ausgangsdaten enthalten (Korrespondenzverzeichnis; Ehrensperger/Belser, BSK DSG/BGÖ, N. 14g zu Art. 11a DSG). Zugang zu einer Korrespondenzregistratur hat an sich nur eine stark begrenzte Anzahl von Personen. In erster Linie sind dies die für die Registratur Zuständigen. Eine Datensammlung, die Bürgerbriefe verzeichnet, würde in diese Kategorie fallen. Wenn eine Datensammlung hingegen Verwendungen zulässt, die über das blosse Verzeichnen von Korrespondenz hinausgehen, oder weitere Daten enthält - namentlich besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die aus der Behandlung einer Anfrage stammen und Bearbeitungsweisen einschliessen, bei denen Daten von Dritten, aus Gutachten, Abklärungen, Ermittlungs- oder Einvernahmeprotokollen etc. in die Sammlung aufgenommen werden -, handelt es sich nicht mehr um eine Korrespondenzregistratur, sondern um ein Verwaltungs- und Dokumentationssystem ("Die Anmeldung von Datensammlungen kurz erklärt", Stand 7. Mai 2014, aufzufinden auf < http://www.edoeb.admin.ch/datenschutz/00626/ 00743/00858/index.html?lang=de >). Bei den hier fraglichen Verzeichnissen resp. Dokumenten geht es nicht bloss um einfache Sammlungen von Korrespondenzen und dazugehörige Daten. Vielmehr werden die bei der Vorinstanz eingehenden Meldungen systematisch erfasst und aufgenommen und sie stellen damit anmeldepflichtige Datensammlungen dar. Eine Korrespondenzregistratur, die von der Anmeldepflicht ausgenommen wäre, liegt demnach entgegen dem Vorbringen der Vorinstanz nicht vor.

5.4.6 Im Übrigen geht die Argumentation der Vorinstanz auch insofern fehl, als eine Registrierungspflicht nicht automatisch eine Bekanntgabe der Daten nach Art. 8 DSG nach sich zieht. Vielmehr bleiben die Einschränkungen, gerade etwa das Vorliegen überwiegender Interessen Dritter (vgl. Art. 9 Abs. 1 Bst. b DSG), trotz allem bestehen und sind im Einzelfall zu berücksichtigen. Es geht vielmehr darum, der grundsätzlichen Transparenz der öffentlichen Tätigkeit nachzukommen, wofür es erforderlich ist zu wissen, dass bestimmte Daten überhaupt existieren.

5.5 Nach dem Gesagten erweisen sich die fraglichen Datenbestände als Datensammlungen im Sinne von Art. 3 Bst. g DSG und sind folglich nach Art. 11a DSG beim EDÖB anzumelden.

6.
Art. 21 VDSG sieht die Erstellung eines Bearbeitungsreglements durch Bundesorgane vor.

6.1 Der Beschwerdeführer weist diesbezüglich darauf hin, dass die Datensammlung auch aus besonders schützenswerten Personendaten im Sinne von Art. 3 Bst. c DSG bestehe. Vorstellbar seien zum Beispiel Daten über die Gesundheit oder auch Daten über administrative oder strafrechtliche Massnahmen. Grundsätzlich werde bei der Bearbeitung von Daten in Informationssystemen meist eine Ausführungsverordnung erlassen, in welcher die organisatorischen und technischen Massnahmen und zum Beispiel auch die Zugriffsberechtigungen und Aufbewahrungsfristen festgelegt würden. Da es sich bei den Whistleblowing-Meldungen jedoch nicht um ein solches System, sondern um eine Datensammlung in einem Verzeichnissystem handle, werde der Erlass einer Verordnung als unverhältnismässig erachtet. Umso wichtiger sei aber die Erstellung eines Bearbeitungsreglements zur Regelung der Massnahmen, Fristen, Berechtigungen und des Verfahrens.

6.2 Gemäss Art. 21 Abs. 1 Bst. a VDSG erstellen die verantwortlichen Bundesorgane ein Bearbeitungsreglement für automatisierte Datensammlungen, die besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten. Art. 3 Bst. c DSG definiert besonders schützenswerte Personendaten als Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten (Ziff. 1), die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit (Ziff. 2), Mass­nahmen der sozialen Hilfe (Ziff. 3) oder administrative oder strafrechtliche Verfolgungen und Sanktionen (Ziff. 4). Es ist nicht ausgeschlossen, dass in den beschriebenen, hier betroffenen Datensammlungen auch besonders schützenswerte Personendaten enthalten sind, seien dies, wie schon der Beschwerdeführer vorbringt, solche über die Gesundheit oder über administrative oder strafrechtliche Massnahmen oder aber auch betreffend Ansichten und Tätigkeiten. Die Vorinstanz hat demnach ein entsprechendes, die Anforderungen von Art. 21 Abs. 2 VDSG erfüllendes Reglement zu erstellen. Nachdem sie die Zuständigkeiten und Arbeitsschritte ohnehin schon in ihrem internen Bearbeitungsprozess festhält, erscheint die Erstellung eines Reglements durchaus im Rahmen des - vom Aufwand her - Vertretbaren und stellt keine einschneidende Massnahme dar. Mit Blick auf den Grundsatz der Verhältnismässigkeit erweist sich ein solches zudem auch als angemessen, wird doch nicht der Erlass einer Ausführungsverordnung verlangt, wie dies sonst - wie der Beschwerdeführer darauf hinweist - bei der Bearbeitung von Daten in Informationssystemen üblich ist.

6.3 Der Beschwerdeführer verlangt demnach auch zu Recht, dass die Vorinstanz ein Bearbeitungsreglement gemäss Art. 21 VDSG erstellt.

7.
Zusammenfassend erweisen sich die Anträge des Beschwerdeführers als begründet. Die Beschwerde ist demnach gutzuheissen und die Vorinstanz anzuweisen, in Ergänzung ihres Schreibens vom 19. Dezember 2013 ihre beiden Datenbestände im Zusammenhang mit den Meldungen, die bei ihr als Whistleblowing-Meldestelle eingehen, auf den Laufwerken L und O dem EDÖB innerhalb von zwei Monaten nach Rechtskraft dieses Urteils gemäss Art. 11a Abs. 2 DSG anzumelden. Zudem ist sie anzuweisen, ein Bearbeitungsreglement gemäss Art. 21 VDSG für die Datenbearbeitung in diesen beiden Beständen zu erstellen.

8.
Es sind weder Verfahrenskosten aufzuerlegen (Art. 63 Abs. 2 VwVG) noch ist eine Parteientschädigung zuzusprechen (Art. 7 Abs. 3 des Reglements vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht [VGKE, SR 173.320.2]).


Demnach erkennt das Bundesverwaltungsgericht:

1.
Die Beschwerde wird gutgeheissen und die Vorinstanz angewiesen, in Ergänzung ihres Schreibens vom 19. Dezember 2013 ihre beiden Datenbestände im Zusammenhang mit den Meldungen, die bei ihr als Whistleblowing-Meldestelle eingehen, dem EDÖB innerhalb von zwei Monaten nach Rechtskraft dieses Urteils gemäss Art. 11a Abs. 2 DSG anzumelden. Zudem wird sie angewiesen, ein Bearbeitungsreglement gemäss Art. 21 VDSG für die Datenbearbeitung in diesen beiden Beständen zu erstellen.

2.
Es werden keine Verfahrenskosten erhoben.

3.
Es wird keine Parteientschädigung zugesprochen.

4.
Dieses Urteil geht an:

-        den Beschwerdeführer (Gerichtsurkunde)

-        die Vorinstanz (Gerichtsurkunde)

 

Der vorsitzende Richter:

Die Gerichtsschreiberin:

 

 

André Moser

Mia Fuchs

 

Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bundesgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Angelegenheiten geführt werden (Art. 82 ff., 90 ff. und 100 BGG). Die Rechtsschrift ist in einer Amtssprache abzufassen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie der Beschwerdeführer in Händen hat, beizulegen (Art. 42 BGG).

Versand:

vorheriges Urteil
nächstes Urteil

pdf

Wichtiger Hinweis: Die Liste der vorgeschlagenen Entscheide wird automatisch, ohne jegliche intellektuelle Bearbeitung, generiert.
Deskriptoren
personendaten
datensammlung
person
vorinstanz
angabe(allgemein)
entscheid
beschwerdeführer
bundesverwaltungsgericht
eidgenössische finanzkontrolle
bestimmbarkeit
schriftstück
bundesbehörde
aufzählung
inventar
datenschutzbeauftragter
anzeige(allgemein)
begriff
bauarbeit
kategorie
falsche angabe
abstimmungsbotschaft
verdacht
eintragung
kommunikation
meldepflicht
stelle
innerhalb
zwischenentscheid
zuständigkeit
akte
auskunftspflicht
verordnung
sammlung
sanktion
zollmeldepflicht
betroffene person(vormundschaft und erwachsenenschutz)
botschaft(parlamentsvorlage)
besonders schützenswerte personendaten
datenbearbeitung
archiv
kosten(allgemein)
name
gesuch an eine behörde
wissen
anonymität
subordinationsverhältnis
dritter
frage
verwaltungsverordnung
richtlinie(allgemein)
bundesrecht
rechtsbegehren
form und inhalt
zahl
erbschaft
beschwerde in öffentlich-rechtlichen angelegenheiten
ausführung
adresse
verfahren
sachverhalt
datenschutz
staatsorganisation und verwaltung
kenntnis
zugang(allgemein)
behandlung(allgemein)
parentel
tätigkeit
kantonales rechtsmittel
anschlussbeschwerde
richterliche behörde
voraussetzung(allgemein)
Weitere Urteile ab 2000
Entscheide BVGer