B u n d e s v e r w a l t u n g s g e r i c h t T r i b u n a l a d m i n i s t r a t i f f é d é r a l T r i b u n a l e a m m i n i s t r a t i v o f e d e r a l e T r i b u n a l a d m i n i s t r a t i v f e d e r a l Entscheid bestätigt durch BGer mit Urteil vom 12.11.2015 (1C_66/2015)
Abteilung I A-788/2014
Urteil vom 16. Dezember 2014 Besetzung
Richter André Moser (Vorsitz), Richterin Marianne Ryter, Richter Maurizio Greppi, Richterin Kathrin Dietrich, Richter Christoph Bandli, Gerichtsschreiberin Mia Fuchs.
Parteien
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, Feldeggweg 1, 3003 Bern, Beschwerdeführer,
gegen
Eidgenössische Finanzkontrolle, Monbijoustrasse 45, 3003 Bern, Vorinstanz.
Gegenstand
Bearbeitung von Daten bei der Whistleblowing-Meldestelle EFK.
A-788/2014 Seite 2 Sachverhalt: A. Im Rahmen seiner Aufsichtstätigkeit gemäss dem Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) führt der Eidgenös- sische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) verschiedene Kontrollen durch. Im Jahr 2013 überprüfte er unter anderem die Einhaltung der datenschutzrechtlichen Bestimmungen durch die Whistleblowing-Mel- destelle für Bundesangestellte bei der Eidgenössischen Finanzkontrolle (EFK). Nach Prüfung der Unterlagen und Durchführung eines Augen- scheins erliess der EDÖB am 19. November 2013 gestützt auf Art. 27 Abs. 4 DSG eine Empfehlung. Er empfahl der EFK, ihre Datensammlung "Whistleblowing" gemäss Art. 11a Abs. 2 DSG innerhalb von zwei Monaten beim EDÖB anzumelden (Ziff. 1), ein Bearbeitungsreglement gemäss Art. 21 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11) für die Datenbearbeitungen in dieser Da- tensammlung zu erstellen (Ziff. 2) und in diesem Bearbeitungsreglement die Dauer der Aufbewahrungsfrist zu regeln sowie Regeln aufzustellen, da- mit Meldungen, die nicht mehr weiter bearbeitet werden müssen und somit nicht mehr notwendig sind, gelöscht oder archiviert werden (Ziff. 3). B. Mit Schreiben vom 19. Dezember 2013 erklärte sich die EFK bereit, die Empfehlung des EDÖB betreffend die Aufbewahrung, Löschung und Archi- vierung der Meldungen in den internen Bearbeitungsprozess aufzunehmen und umzusetzen. Weitergehend lehnte sie es jedoch ab, die Meldungen, die sie als Whistleblowing-Stelle erhalte, als Datensammlung anzumelden und ein Bearbeitungsreglement zu erstellen. C. Mit als "Antrag auf Entscheid" bezeichneter Eingabe vom 10. Februar 2014 ist der EDÖB (nachfolgend: Beschwerdeführer) an das Bundesverwal- tungsgericht gelangt und ersucht dieses darum, mittels eines Entscheides die EFK zu verpflichten, gemäss Art. 11a Abs. 2 DSG ihre Datensammlung "Whistleblowing" innerhalb von zwei Monaten bei ihm anzumelden und ein Bearbeitungsreglement gemäss Art. 21 VDSG für die Datenbearbeitungen in dieser Datensammlung zu erstellen. D. Der Instruktionsrichter hat das Verfahren zunächst auf die Frage der Zu- ständigkeit beschränkt und die EFK sowie das Eidgenössische Finanzde- partement (EFD) eingeladen, sich zu dieser Frage vernehmen zu lassen.
A-788/2014 Seite 3 Mit Zwischenentscheid vom 23. April 2014 erklärte sich das Bundesverwal- tungsgericht zur Behandlung der vorliegenden Angelegenheit zuständig. E. In ihrer Stellungnahme in der Hauptsache vom 23. Mai 2014 beantragt die EFK (nachfolgend: Vorinstanz) die Ablehnung der Anträge des Beschwer- deführers resp. die Abweisung der Beschwerde. F. Der Beschwerdeführer reichte am 16. Juni 2014 seine Schlussbemerkun- gen ein. Er hält darin an seinen bisherigen Anträgen und Ausführungen fest. G. Auf weitergehende Ausführungen der Parteien und die sich bei den Akten befindlichen Schriftstücke wird – soweit entscheidrelevant – im Rahmen der nachfolgenden Erwägungen eingegangen.
Das Bundesverwaltungsgericht zieht in Erwägung: 1. 1.1 Gemäss Art. 31 des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 (VGG, SR 173.32) beurteilt das Bundesverwaltungsgericht Beschwerden gegen Verfügungen nach Art. 5 des Verwaltungsverfahrensgesetzes vom 20. Dezember 1968 (VwVG, SR 172.021), sofern sie von einer Vorinstanz nach Art. 33 VGG stammen und keine Ausnahme nach Art. 32 VGG vor- liegt. 1.2 Bei der EFK handelt es sich um eine Behörde nach Art. 33 Bst. d VGG und es liegt keine Ausnahme nach Art. 32 VGG vor. Wie das Bundesver- waltungsgericht in seinem Zwischenentscheid vom 23. April 2014 festge- halten hat, stellt das Schreiben der EFK vom 19. Dezember 2013 materiell eine Verfügung dar (Zwischenentscheid des Bundesverwaltungsgerichts A-788/2014 vom 23. April 2014 E. 1.1 ff., insb. E. 1.3). Mangels eines für die Aufsicht über die EFK zuständigen Departements (vgl. Art. 1 des Fi- nanzkontrollgesetzes vom 28. Juni 1967 [FKG, SR 614.0]; auch Botschaft des Bundesrates vom 22. Juni 1998 betreffend die Revision des FKG, Bun- desblatt [BBl] 1998 4703, 4718) stand es dem EDÖB offen, sich gestützt auf Art. 27 Abs. 6 DSG mit Beschwerde gegen diese Verfügung direkt an
A-788/2014 Seite 4 das Bundesverwaltungsgericht zu wenden. Das Bundesverwaltungsge- richt ist somit für die Beurteilung der vorliegenden Angelegenheit zustän- dig. 1.3 Wie ebenfalls bereits mit Zwischenentscheid vom 23. April 2014 fest- gestellt wurde, kann angesichts der vorliegenden besonderen Umstände – das Fehlen einer Rechtsmittelbelehrung im Schreiben der EFK und die nicht eindeutige Rechtslage, insbesondere das nicht offensichtliche Vorlie- gen einer anfechtbaren Verfügung – in Anwendung von Art. 38 VwVG und gestützt auf den Vertrauensschutz ausnahmsweise vom Erfordernis der Beschwerdeerhebung innert Frist abgesehen werden (Zwischenentscheid des Bundesverwaltungsgerichts A-788/2014 vom 23. April 2014 E. 2). Auf die Beschwerde ist entsprechend einzutreten, zumal die übrigen Be- schwerdevoraussetzungen (Art. 48 und Art. 52 VwVG) erfüllt sind. 2. Das Bundesverwaltungsgericht entscheidet grundsätzlich mit uneinge- schränkter Kognition. Es überprüft die angefochtene Verfügung auf Rechtsverletzungen – einschliesslich unrichtiger oder unvollständiger Feststellung des rechtserheblichen Sachverhalts und Rechtsfehler bei der Ausübung des Ermessens – sowie auf Angemessenheit hin (Art. 49 VwVG). 3. Die Vorinstanz hielt in ihrem Schreiben vom 19. Dezember 2013 fest, die von ihr abgelegten Whistleblowing-Meldungen nicht als Datensammlung zu erachten. Die Meldungen würden weder abschliessend erfasst noch enthielten sie in jedem Fall Personendaten. Vielmehr seien diverse Mel- dungen kaum erschliessbar und auch nicht systematisch erfasst. Im Übri- gen würden keine Kategorien von Personendaten festgelegt und ein Zugriff sei nur mit entsprechendem Spezialwissen möglich, über welches lediglich die Mitglieder des "Team Verdacht" verfügten. Aus diesen Gründen sehe sie sich nicht veranlasst, den Empfehlungen des EDÖB, die Datensamm- lung anzumelden und ein Bearbeitungsreglement zu erstellen, nachzukom- men. Dagegen sei sie aber bereit, ihre Ausführungen betreffend die Aufbe- wahrung, Löschung und Archivierung der Meldungen in den internen Bear- beitungsprozess aufzunehmen und umzusetzen. Die Vorinstanz erklärte sich demnach damit einverstanden, der dritten Empfehlung des Beschwerdeführers grundsätzlich, wenn auch nicht in Form eines Bearbeitungsreglements, nachzukommen (vgl. vorstehend
A-788/2014 Seite 5 Sachverhalt A.). Vorliegend umstritten und entsprechend als Rechtsbegeh- ren ausformuliert ist, ob die von der Vorinstanz erfassten Whistleblowing- Meldungen als Datensammlung gelten und dem Beschwerdeführer ge- mäss Art. 11a Abs. 2 DSG anzumelden sind, und ob die Vorinstanz ein Be- arbeitungsreglement im Sinne von Art. 21 VDSG zu erstellen hat. 4. Das Bundespersonalgesetz vom 24. März 2000 (BPG, SR 172.220.1) wurde per 1. Januar 2011 um einen Art. 22a BPG ergänzt. Damit wurde eine gesetzliche Grundlage zum Schutz von "Whistleblowing" geschaffen. Die Bestimmung sieht zunächst eine Anzeigepflicht der Bundesangestell- ten bei Offizialdelikten vor. Des Weiteren können diese bei anderen Unre- gelmässigkeiten eine Meldung bei der EFK erstatten. Wer dabei in guten Treuen eine Anzeige oder Meldung einreicht oder wer als Zeuge oder Zeu- gin ausgesagt hat, darf deswegen nicht in seiner beruflichen Stellung be- nachteiligt werden. Gestützt auf diese gesetzliche Grundlage (vgl. Art. 17 DSG, welcher das Legalitätsprinzip im Bereich des Datenschutzes konkre- tisiert) bearbeitet die EFK Personendaten. 5. Gemäss Art. 11a Abs. 2 DSG müssen Bundesorgane sämtliche Daten- sammlungen beim EDÖB zur Registrierung anmelden. Die Registrierung dient einerseits der Transparenz gegenüber der Öffentlichkeit, womit die Ausübung des Auskunftsrechts erleichtert werden soll, andererseits soll sie dem EDÖB einen Überblick über die Datenbearbeitungen vermitteln und auf diese Weise seine Aufsichtstätigkeit begünstigen (JENNIFER EH- RENSPERGER/URS BELSER, in: Maurer-Lambrou/Blechta [Hrsg.], Daten- schutzgesetz, Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014 [nachfolgend: BSK DSG/BGÖ], N. 1 zu Art. 11a DSG). 5.1 Der Beschwerdeführer macht geltend, für das Vorliegen einer Daten- sammlung sei entscheidend, dass der Datenbestand Informationen über mehr als eine Person enthalte und eine Erschliessbarkeit der Daten nach betroffenen Personen erlaube. Bei den anonym bei der Vorinstanz einge- reichten Meldungen seien keine Personendaten der Meldenden vorhan- den. Hingegen bestünden bei den Meldungen, die nicht anonym erfolgten, je nach Eingangskanal folgende Personendaten: Email-Adresse, je nach dem Name und Adresse, Telefonnummer etc. In allen Meldungen könnten auch weitere Personendaten der Meldenden, darunter auch besonders schützenswerte Daten nach Art. 3 Bst. c DSG, enthalten sein. Weiter lägen auch Personendaten von Dritten vor, etwa der Name der Person, gegen
A-788/2014 Seite 6 die ein Verdacht gemeldet wurde. Die Kategorisierung der Daten erweise sich zudem als genügend bestimmt. Sodann liessen sich die Daten, die in Windows auf einem eigenen Verzeichnis abgelegt seien, mit Hilfe der Suchfunktion auffinden. Die Erschliessbarkeit der Daten sei damit gege- ben. Es sei somit klar davon auszugehen, dass es sich beim "Verzeich- nis L" um eine Datensammlung handle. Was die Excel-Übersichtstabelle im "Verzeichnis O" angehe, so seien darin nur anonymisierte Daten enthal- ten. Jedoch könnten diese mit den Daten aus dem "Verzeichnis L" per Fall- nummer in Verbindung gebracht werden, mithin sei ein Rückschluss auf eine bestimmte Person möglich, weshalb das "Verzeichnis O" als Teil der Datensammlung erwähnt werden sollte. 5.2 Dagegen führt die Vorinstanz an, von Gesetzes wegen verpflichtet zu sein, festgestellte Mängel in der Organisation, der Verwaltungsführung o- der in der Aufgabenerfüllung der zuständigen Verwaltungseinheit zur Kenntnis zu bringen und sich über die getroffenen Massnahmen Bericht erstatten zu lassen. Die in diesem Zusammenhang eingehenden Whist- leblowing-Meldungen lege sie in einem geschützten Ordner "Hinweise" auf dem "Laufwerk L" chronologisch ab. Nur das "Team Verdacht" (bestehend aus drei Personen) sowie der Systemadministrator (zurzeit eine Person) hätten Zugriff auf diesen Ordner. Die Meldungen würden im betreffenden Jahr jeweils in einem Unterordner fortlaufend abgelegt, wobei die Unter- ordner nummeriert und mit dem Kürzel der bearbeitenden Person des "Team Verdacht" versehen seien. Daneben würden die wichtigsten Infor- mationen zu den jeweiligen Meldungen in eine Excel-Übersichtstabelle auf dem "Laufwerk O" eingetragen, das heisst das Datum des Eingangs, eine kurze Umschreibung des Problems, das betroffene Amt und das mögliche weitere interne Vorgehen. Die Tabelle enthalte keinerlei persönliche Daten und diene einzig als Ablagesystem der internen Organisation, der Über- sicht über die eingegangenen Meldungen sowie der Statistik. Was die Datensammlung anbelange, gehe der Gesetzgeber stillschwei- gend davon aus, dass eine solche begrifflich voraussetze, dass die Kate- gorien der Personendaten, die darin vorkommen könnten, vorgängig in ge- nerell-abstrakter Weise festgelegt seien. So gingen etwa auch Art. 3 Abs. 1 Bst. e VDSG und Art. 8 Abs. 2 DSG selbstverständlich davon aus, dass sich die Daten einer jeden Datensammlung in Kategorien einteilen lassen, weshalb diese im Rahmen der Anmelde- und der Auskunftspflicht zwin- gend anzugeben seien. Welche Informationen in den Unterordnern im Ord- ner "Hinweise" und ob allenfalls Dokumente mit Personendaten enthalten
A-788/2014 Seite 7 seien, sei aber nicht von vornherein festgelegt. Von festgelegten Katego- rien von Personendaten könne daher keine Rede sein. Auch sei die gefor- derte Erschliessbarkeit einer Datensammlung nicht gegeben: Bei der "ein- fachen Suchfunktion" in Windows würde lediglich der Dokumentenname von Word- und PDF-Dokumenten bzw. der Betreff von Emails angezeigt. Diese Felder enthielten jedoch keine Personennamen, weshalb Personen- daten auf diesem Weg nicht erschliessbar seien. Bei der Suchfunktion "Programme/Dateien durchsuchen" lasse sich der Suchbereich nicht ein- grenzen, was zu einer Fülle von nicht brauchbaren Ergebnissen führe. Schliesslich sei für ein brauchbares Ergebnis ein bestimmtes Vorwissen nötig, was indes lediglich bei den drei Mitgliedern des "Team Verdacht" vor- handen sei. Würde das Ablagesystem der Vorinstanz als meldepflichtige Datensammlung eingestuft, so hätte eine Registrierung und damit Veröf- fentlichung negative Auswirkungen auf die von ihr angestrebte Vertraulich- keit sowie auf das in Art. 22a BPG statuierte Melderecht resp. die Melde- pflicht. 5.3 Was das Verzeichnis "Hinweise" auf dem "Laufwerk L" betrifft, ist nicht umstritten, dass darin Personendaten aufgeführt werden. Dagegen geht die Vorinstanz bei der Excel-Tabelle davon aus, dass diese keine solchen umfasse. Sie enthalte keinerlei persönliche Daten – weder von der mel- denden Person noch von Personen, die allenfalls im Zusammenhang mit der Meldung genannt würden. Das Ablagesystem diene einzig der Organi- sation innerhalb der Vorinstanz, der Übersicht über die eingegangen Mel- dungen sowie der Statistik. 5.3.1 Unter Personendaten (Daten) fallen nach Art. 3 Bst. a DSG alle An- gaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Unter "Angaben" ist jede Art von Information zu verstehen, die auf die Ver- mittlung oder die Aufbewahrung von Kenntnissen ausgerichtet ist, unab- hängig davon, ob es sich dabei um eine Tatsachenfeststellung oder um ein Werturteil handelt. Unerheblich ist auch, ob eine Aussage als Zeichen, Wort, Bild, Ton oder Kombination aus diesen auftritt und auf welcher Art von Datenträger die Informationen gespeichert sind. Entscheidend ist, dass sich die Angaben einer oder mehreren Personen zuordnen lassen (GABOR P. BLECHTA, BSK DSG/BGÖ, N. 6 f. zu Art. 3 DSG). Der Begriff der Personendaten setzt somit drei Elemente voraus: Es muss sich um Anga- ben handeln, diese müssen einen Bezug zu einer Person haben und diese Person muss bestimmt oder bestimmbar sein. Der Begriff ist im Übrigen weit zu verstehen und folglich extensiv auszulegen (DAVID ROSENTHAL, in:
A-788/2014 Seite 8 Rosenthal/Jöhri [Hrsg.], Handkommentar zum DSG, Zürich 2008 [nachfol- gend: Handkommentar DSG], Rz. 2 und 6 zu Art. 3 DSG; BLECHTA, BSK DSG/BGÖ, N. 7 zu Art. 3 DSG). 5.3.2 Vorliegend handelt es sich fraglos um "Angaben" im Sinne der Le- galdefinition. Auch weisen diese einen Bezug zu einer oder mehreren Per- sonen auf, nämlich der meldenden Person oder einer Person, die im Zu- sammenhang mit einer Meldung steht. Fraglich ist aber, ob diese Per- son(en) auch bestimmt oder zumindest bestimmbar sind. Eine Person ist bestimmt, wenn sich bereits aufgrund der Informationen selbst eindeutig ergibt, auf welche Person sich diese beziehen. Bestimm- bar ist die Person hingegen, wenn sich die Angaben selbst nicht oder nicht eindeutig einer bestimmten Person zuordnen lassen, für den Betrachter aber die Möglichkeit besteht, diese Zuordnung vorzunehmen (ROSENTHAL, Handkommentar DSG, Rz. 20 zu Art. 3 DSG). Die Frage der Bestimmbar- keit stellt sich dabei aus der Warte der Datenbearbeiterin, das heisst es ist zu prüfen, ob ihr die Mittel zur Bestimmung der Identität der betroffenen Personen zur Verfügung stehen, die sie vernünftigerweise einsetzen würde, wenn sie an einer Identifizierung interessiert wäre. Dabei sind nicht nur die Mittel einzubeziehen, die grundsätzlich jedermann zugänglich sind, sondern auch diejenigen, über die die Datenbearbeiterin zusätzlich verfügt, sei es aufgrund ihres besonderen Wissens, der ihr zugänglichen Informa- tionsquellen oder anderer besonderer Umstände (ROSENTHAL, Handkom- mentar DSG, Rz. 26 zu Art. 3 DSG). 5.3.3 Wie die Vorinstanz darlegt und aus den im vorliegenden Verfahren eingereichten Unterlagen hervorgeht, ist der Tabelle nicht zu entnehmen, wer jeweils eine Meldung veranlasst hat. In der Rubrik "commentaire" wird kurz die Problematik des jeweiligen Falls aufgeführt. Allfällige Personen sind darin zwar weitgehend anonymisiert, doch lassen sich vereinzelt Per- sonen bestimmen, so wenn etwa im Zusammenhang mit einer Meldung die Tochter des Chefs einer Einheit erwähnt wird. Für den oder die Datenbear- beiter, aus deren Sicht jeweils zu beurteilen ist, ob Personendaten vorlie- gen, können sich die Personen somit durchaus bestimmen lassen. Hinzu kommt, dass er oder sie zusätzlich über ein besonderes Wissen verfügt und mittels Zugang zu den im Verzeichnis "Hinweise" erfassten Angaben Rückschlüsse auf die betroffenen Personen zu ziehen vermag. Insgesamt ist vorliegend deshalb davon auszugehen, dass – gerade mit Blick auf die angebrachte extensive Auslegung der Begrifflichkeit (vorstehend E. 5.3.1) – in beiden Laufwerken Personendaten bearbeitet werden.
A-788/2014 Seite 9 5.4 Das DSG definiert den Begriff "Datensammlung" als jeden Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Per- sonen erschliessbar sind (Art. 3 Bst. g DSG). 5.4.1 Der Botschaft zufolge soll es sich bei der Datensammlung um einen Bestand von Daten handeln, der auf mehr als eine Person Bezug nimmt. Dabei kann die Datensammlung ganz unterschiedlich organisiert und auf- gebaut sein. Entscheidend ist, dass die zu einer bestimmten Person gehö- renden Daten auffindbar sind (Botschaft des Bundesrates vom 23. März 1988 zum DSG, BBl 1988 II 413, 447 f. [nachfolgend: Botschaft zum DSG]). In der Lehre wird im Zusammenhang mit dem Kriterium der Er- schliessbarkeit mitunter die Auffassung vertreten, dass es sich bei der Da- tensammlung um eine vergleichbar offene Begriffsbestimmung handle, so dass auch Datenbestände, die an sich nicht als Datensammlungen ange- legt wurden und soweit auch keine eigene, erkennbare Zweckbestimmung aufweisen, wie etwa die Festplatte eines PC oder das Internet an sich, die indessen anhand der technischen Möglichkeiten nach Personen erschlos- sen werden können, als Datensammlungen zu qualifizieren seien. In die- sem Sinne würde sich jeder elektronische Datenträger, wie etwa eine Fest- platte, eine Diskette oder eine CD-ROM, als Trägermedium einer Daten- sammlung erweisen, soweit er der Speicherung von Personendaten diene und ein personenbezogener Zugriff mittels eines entsprechenden Pro- gramms möglich sei, was bei Office-Programmen standardmässig der Fall sei. Somit stelle ein Bestand von elektronisch gespeicherten Textdokumen- ten regelmässig eine Datensammlung im Sinne des DSG dar. Nicht als Datensammlungen könnten daher eigentlich nur noch ungeordnete und verstreute Ablagen von Papierunterlagen gelten (vgl. BLECHTA, BSK DSG/BGÖ, N. 81 zu Art. 3 DSG). Dieses weite Verständnis der Legaldefinition von Art. 3 Bst. g DSG wird in der Literatur zu Recht kritisiert: Mit den heutigen Suchprogrammen ist es in der Regel möglich, den Inhalt sämtlicher Festplatten beispielsweise nach einem Personennamen zu durchsuchen. Zudem ist es auch wahr- scheinlich, dass auf zahlreichen Festplatten Personendaten vorhanden sind. Doch wird es kaum der Wille des Gesetzgebers gewesen sein – noch entspricht es dem Sinn und Zweck des Datenschutzgesetzes –, dass mit einer weiten Begriffsauslegung zahlreiche Datenbestände, wie die Festplatten von Computern, als Datensammlungen gelten, mit der Konsequenz, dass diese etwa dem Auskunftsrecht nach Art. 8 DSG oder – wie hier – der Registrierungspflicht nach Art. 11a DSG unterstehen (vgl. ROSENTHAL, Handkommentar DSG, Rz. 82 zu Art. 3 DSG). ROSENTHAL will
A-788/2014 Seite 10 den Begriff daher enger verstanden haben und stellt deshalb folgende Voraussetzungen auf, die kumulativ erfüllt sein müssen, damit von einer Datensammlung im Sinne des DSG gesprochen werden kann: Es muss sich um Personendaten von mehr als einer Person handeln. Diese müssen festgehalten sein und – begriffsnotwendig – aus mehr als einem Datensatz bestehen, um als Sammlung zu gelten. Des Weiteren sind die Kategorien der Personendaten, die in der Datensammlung vorkommen, vorgängig in generell-abstrakter Weise festzulegen. Die einzelnen Datensätze müssen einen thematischen, logischen Zusammenhang und die Sammlung eine gewisse Beständigkeit aufweisen. Schliesslich müssen die Personendaten nach betroffenen Personen erschliessbar sein. Eine Datensammlung erfasst Datenbestände sodann nur insoweit, als sie bezüglich Inhalt und Zweck faktisch unter einer einheitlichen Herrschaft stehen (vgl. ROSENTHAL, Handkommentar DSG, Rz. 83 ff. zu Art. 3 DSG). 5.4.2 Ob abschliessend an diesen Kriterien festgehalten werden soll, kann an dieser Stelle offen bleiben; wie zu sehen sein wird, ist vorliegend so oder anders von Datensammlungen im Sinne des Gesetzes auszugehen. Umstritten sind im vorliegenden Fall zwei verschiedene Datenbestände: Einerseits erfasst die Vorinstanz eingehende Meldungen in einem Ver- zeichnis "Hinweise" auf dem "Laufwerk L". In der Regel wird für jeden Hin- weis ein Ordner mit Unterordnern erstellt. Darin werden die Dateien der jeweiligen Fälle, mitunter Emails, Notizen, eingescannte Unterlagen etc., gespeichert. Andererseits führt die Vorinstanz eine Excel-Tabelle (gespei- chert auf dem "Laufwerk O"), in welcher sie die einzelnen Meldungen in anonymer Form aufführt. Erfasst werden darin der Eingang jeder Meldung und die betroffene Stelle. Zudem wird das konkrete Problem kurz um- schrieben und das weitere Vorgehen vermerkt. Schliesslich wird festgehal- ten, ob die Meldung vertraulich zu behandeln ist. 5.4.3 Die Vorinstanz stellt sich auf den Standpunkt, die eingehenden Mel- dungen im Verzeichnis "Hinweise" lediglich chronologisch abzulegen, da- gegen jedoch nicht systematisch zu erfassen. Entsprechend gebe es auch keine festgelegten Kategorien von Personendaten. Demgegenüber erach- tet der Beschwerdeführer die Kategorien als genügend bestimmt. Mit der Vorinstanz ist einig zu gehen, dass im Verzeichnis "Hinweise" nicht etwa ein vorbestehendes Formular ausgefüllt und abgespeichert wird. Vielmehr werden in Unterordnern sämtliche Unterlagen zu einer Meldung gesam- melt. Wie die Vorinstanz weiter geltend macht, wird zwar nicht eine gene- rell-abstrakte Definition von Kategorien von Personendaten in dem Sinne
A-788/2014 Seite 11 vorgesehen, dass jeder Datensatz über alle Arten von Personendaten ver- fügen würde, die im betreffenden Fall vorkommen könnten. Doch liegt dies mitunter auch in der Natur der hier betroffenen Daten: So handelt es sich um Angaben zur meldenden Person – sofern die Meldung nicht anonym erfolgt –, der betroffenen Amtsstellen und der jeweiligen Situation. In die- sem Zusammenhang ist es durchaus möglich und wahrscheinlich, dass Angaben zu weiteren Personen erfolgen. Insoweit ist es zwar, wie die Vo- rinstanz vorbringt, naheliegend, dass nicht schon im Vornherein festgelegt werden kann, welche konkreten Informationen in den Unterordnern enthal- ten sein werden. Eine gewisse Kategorisierung der Daten ist aber durch- aus möglich, geht es doch letztlich darum, Meldungen, die gestützt auf Art. 22a BPG ergehen, zu erfassen. Daran ändert nichts, dass es der Vo- rinstanz nicht darum geht, eine Datensammlung als solche zu erstellen, sondern lediglich eine interne Ablage zu führen. 5.4.4 Mit Bezug auf die Erschliessbarkeit bringt die Vorinstanz vor, der Auf- wand zur Suche nach Personendaten sei übermässig gross, weshalb diese nicht gegeben sei. Mit der einfachen Suchfunktion würden nur der Doku- mentenname bzw. der Betreff von Emails angezeigt; diese würden jedoch keine Personendaten enthalten. Mit der Suchfunktion "Programme/Dateien durchsuchen" lasse sich der Suchbereich nicht eingrenzen, was zu einer Fülle von nicht brauchbaren Ergebnissen führe. Zudem sei für ein brauch- bares Ergebnis ein Vorwissen nötig, über das lediglich die drei Mitglieder des "Team Verdacht" verfügen würden. Das Kriterium der Erschliessbarkeit verlangt, dass es für den Bearbeiter des Datenbestands möglich sein muss, die zu einer bestimmten Person gehörenden Personendaten mit vernünftigem Aufwand aufzufinden (RO- SENTHAL, Handkommentar DSG, Rz. 90 zu Art. 3 DSG). Die Botschaft zum DSG führt dazu aus, bei den automatisch geführten Datensammlungen mit ihren vielfältigen Abfragemöglichkeiten treffe dies fast unbeschränkt zu, un- abhängig davon, ob Personennamen als eigentliche Suchbegriffe vorgese- hen seien oder nicht. Bei den manuell geführten Beständen von Personen- daten fielen nicht nur jene Karteien oder Sammlungen unter den Begriff der Datensammlung, die nach den betroffenen Personen gegliedert seien, son- dern auch solche, bei denen nur mittelbar, über eine Hilfsdatensammlung (zum Beispiel ein Suchregister), ein personenbezogener Zugriff möglich sei. Keine Datensammlung sollen dagegen Datenbestände darstellen, wenn darin zwar noch Personendaten gefunden werden können, der damit verbundene Aufwand aber übermässig gross wäre. Beispielsweise nennt
A-788/2014 Seite 12 die Botschaft den Fall bei den Millionen von Zolldeklarationen, die bei sämt- lichen Zollämtern der Schweiz zwar eine gewisse Zeit aufbewahrt, aber nicht nach Namen abgelegt sind (Botschaft zum DSG, BBl 1988 II 448). Dabei müssten die Daten mit den entsprechenden Hilfsmitteln oder auf- grund der Strukturierung der Datensammlung auch ohne Spezialwissen auffindbar sein. Die Erschliessbarkeit wäre zu verneinen, wenn der perso- nenbezogene Zugriff für einen Benutzer lediglich als Resultat seines Wis- sens möglich ist, er sich dieses etwa beim Aufbau, Studium oder der "Füt- terung" der Datensammlung angeeignet hat, beispielsweise weil er sich er- innert, wo sich der Datensatz einer bestimmten Person befindet, obwohl es hierfür kein Verzeichnis und keine Suchfunktion gibt (ROSENTHAL, Hand- kommentar DSG, Rz. 91 zu Art. 3 DSG). Das Verzeichnis "Hinweise" setzt sich vorliegend aus mehreren Unterord- nern, je Meldung einem, zusammen. Darin sind, sofern die Meldungen nicht anonym erfolgt sind, Personennamen und weitere Angaben erfasst. Mit Hilfe der Suchfunktion lassen sich innerhalb der Dokumente somit Per- sonendaten auffinden, ohne dass ein besonderes Fachwissen erforderlich wäre. Wenn ein solches Fachwissen für die Arbeit der Meldestelle auch hilfreich sein mag, ist es aus datenschutzrechtlicher Sicht nicht relevant für die Auffindbarkeit resp. die Erschliessbarkeit der Daten. Was die Excel- Übersichtstabelle betrifft, sind die Angaben über die Personen in dieser zwar anonymisiert. Jedoch ist es unter Zuhilfenahme der im Verzeichnis "Hinweise" abgespeicherten Daten möglich, Rückschlüsse auf bestimmte Personen zu ziehen. Insofern ist auch die Feststellung des Beschwerde- führers, dass die Dokumente gemeinsam eine Datensammlung darstellen, richtig. 5.4.5 Schliesslich macht die Vorinstanz geltend, dass, sofern tatsächlich von einer Datensammlung ausgegangen würde, diese als Korrespondenz- registratur im Sinne von Art. 18 Abs. 1 Bst. a VDSG von einer Anmelde- pflicht ausgenommen sei. Gemäss dieser Bestimmung ist Korrespondenzregistratur von der Anmel- depflicht nach Art. 11a DSG ausgenommen, sofern sie ausschliesslich für verwaltungsinterne Zwecke verwendet wird. Bei der Korrespondenzregist- ratur handelt es sich um einfache Datensammlungen, die Korrespondenz verzeichnen und in erster Linie Namen und Adressen von Absendern, das Eingangsdatum des Begehrens, die für das Begehren verantwortlichen Mitarbeiter sowie die Antworten und ihre Ausgangsdaten enthalten (Kor- respondenzverzeichnis; EHRENSPERGER/BELSER, BSK DSG/BGÖ, N. 14g
A-788/2014 Seite 13 zu Art. 11a DSG). Zugang zu einer Korrespondenzregistratur hat an sich nur eine stark begrenzte Anzahl von Personen. In erster Linie sind dies die für die Registratur Zuständigen. Eine Datensammlung, die Bürgerbriefe verzeichnet, würde in diese Kategorie fallen. Wenn eine Datensammlung hingegen Verwendungen zulässt, die über das blosse Verzeichnen von Korrespondenz hinausgehen, oder weitere Daten enthält – namentlich be- sonders schützenswerte Personendaten oder Persönlichkeitsprofile, die aus der Behandlung einer Anfrage stammen und Bearbeitungsweisen ein- schliessen, bei denen Daten von Dritten, aus Gutachten, Abklärungen, Er- mittlungs- oder Einvernahmeprotokollen etc. in die Sammlung aufgenom- men werden –, handelt es sich nicht mehr um eine Korrespondenzregist- ratur, sondern um ein Verwaltungs- und Dokumentationssystem ("Die An- meldung von Datensammlungen kurz erklärt", Stand 7. Mai 2014, aufzufin- den auf < http://www.edoeb.admin.ch/datenschutz/00626/ 00743/00858/in- dex.html?lang=de >). Bei den hier fraglichen Verzeichnissen resp. Doku- menten geht es nicht bloss um einfache Sammlungen von Korresponden- zen und dazugehörige Daten. Vielmehr werden die bei der Vorinstanz ein- gehenden Meldungen systematisch erfasst und aufgenommen und sie stellen damit anmeldepflichtige Datensammlungen dar. Eine Korrespon- denzregistratur, die von der Anmeldepflicht ausgenommen wäre, liegt dem- nach entgegen dem Vorbringen der Vorinstanz nicht vor. 5.4.6 Im Übrigen geht die Argumentation der Vorinstanz auch insofern fehl, als eine Registrierungspflicht nicht automatisch eine Bekanntgabe der Da- ten nach Art. 8 DSG nach sich zieht. Vielmehr bleiben die Einschränkun- gen, gerade etwa das Vorliegen überwiegender Interessen Dritter (vgl. Art. 9 Abs. 1 Bst. b DSG), trotz allem bestehen und sind im Einzelfall zu berücksichtigen. Es geht vielmehr darum, der grundsätzlichen Transparenz der öffentlichen Tätigkeit nachzukommen, wofür es erforderlich ist zu wis- sen, dass bestimmte Daten überhaupt existieren. 5.5 Nach dem Gesagten erweisen sich die fraglichen Datenbestände als Datensammlungen im Sinne von Art. 3 Bst. g DSG und sind folglich nach Art. 11a DSG beim EDÖB anzumelden. 6. Art. 21 VDSG sieht die Erstellung eines Bearbeitungsreglements durch Bundesorgane vor. 6.1 Der Beschwerdeführer weist diesbezüglich darauf hin, dass die Daten- sammlung auch aus besonders schützenswerten Personendaten im Sinne
A-788/2014 Seite 14 von Art. 3 Bst. c DSG bestehe. Vorstellbar seien zum Beispiel Daten über die Gesundheit oder auch Daten über administrative oder strafrechtliche Massnahmen. Grundsätzlich werde bei der Bearbeitung von Daten in In- formationssystemen meist eine Ausführungsverordnung erlassen, in wel- cher die organisatorischen und technischen Massnahmen und zum Bei- spiel auch die Zugriffsberechtigungen und Aufbewahrungsfristen festgelegt würden. Da es sich bei den Whistleblowing-Meldungen jedoch nicht um ein solches System, sondern um eine Datensammlung in einem Verzeichnis- system handle, werde der Erlass einer Verordnung als unverhältnismässig erachtet. Umso wichtiger sei aber die Erstellung eines Bearbeitungsregle- ments zur Regelung der Massnahmen, Fristen, Berechtigungen und des Verfahrens. 6.2 Gemäss Art. 21 Abs. 1 Bst. a VDSG erstellen die verantwortlichen Bun- desorgane ein Bearbeitungsreglement für automatisierte Datensammlun- gen, die besonders schützenswerte Daten oder Persönlichkeitsprofile be- inhalten. Art. 3 Bst. c DSG definiert besonders schützenswerte Personen- daten als Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten (Ziff. 1), die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit (Ziff. 2), Massnahmen der sozi- alen Hilfe (Ziff. 3) oder administrative oder strafrechtliche Verfolgungen und Sanktionen (Ziff. 4). Es ist nicht ausgeschlossen, dass in den beschriebe- nen, hier betroffenen Datensammlungen auch besonders schützenswerte Personendaten enthalten sind, seien dies, wie schon der Beschwerdefüh- rer vorbringt, solche über die Gesundheit oder über administrative oder strafrechtliche Massnahmen oder aber auch betreffend Ansichten und Tä- tigkeiten. Die Vorinstanz hat demnach ein entsprechendes, die Anforderun- gen von Art. 21 Abs. 2 VDSG erfüllendes Reglement zu erstellen. Nach- dem sie die Zuständigkeiten und Arbeitsschritte ohnehin schon in ihrem internen Bearbeitungsprozess festhält, erscheint die Erstellung eines Reg- lements durchaus im Rahmen des – vom Aufwand her – Vertretbaren und stellt keine einschneidende Massnahme dar. Mit Blick auf den Grundsatz der Verhältnismässigkeit erweist sich ein solches zudem auch als ange- messen, wird doch nicht der Erlass einer Ausführungsverordnung verlangt, wie dies sonst – wie der Beschwerdeführer darauf hinweist – bei der Bear- beitung von Daten in Informationssystemen üblich ist. 6.3 Der Beschwerdeführer verlangt demnach auch zu Recht, dass die Vo- rinstanz ein Bearbeitungsreglement gemäss Art. 21 VDSG erstellt.
A-788/2014 Seite 15 7. Zusammenfassend erweisen sich die Anträge des Beschwerdeführers als begründet. Die Beschwerde ist demnach gutzuheissen und die Vorinstanz anzuweisen, in Ergänzung ihres Schreibens vom 19. Dezember 2013 ihre beiden Datenbestände im Zusammenhang mit den Meldungen, die bei ihr als Whistleblowing-Meldestelle eingehen, auf den Laufwerken L und O dem EDÖB innerhalb von zwei Monaten nach Rechtskraft dieses Urteils gemäss Art. 11a Abs. 2 DSG anzumelden. Zudem ist sie anzuweisen, ein Bearbeitungsreglement gemäss Art. 21 VDSG für die Datenbearbeitung in diesen beiden Beständen zu erstellen. 8. Es sind weder Verfahrenskosten aufzuerlegen (Art. 63 Abs. 2 VwVG) noch ist eine Parteientschädigung zuzusprechen (Art. 7 Abs. 3 des Reglements vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bun- desverwaltungsgericht [VGKE, SR 173.320.2]).
A-788/2014 Seite 16 Demnach erkennt das Bundesverwaltungsgericht: 1. Die Beschwerde wird gutgeheissen und die Vorinstanz angewiesen, in Er- gänzung ihres Schreibens vom 19. Dezember 2013 ihre beiden Datenbe- stände im Zusammenhang mit den Meldungen, die bei ihr als Whistleblo- wing-Meldestelle eingehen, dem EDÖB innerhalb von zwei Monaten nach Rechtskraft dieses Urteils gemäss Art. 11a Abs. 2 DSG anzumelden. Zu- dem wird sie angewiesen, ein Bearbeitungsreglement gemäss Art. 21 VDSG für die Datenbearbeitung in diesen beiden Beständen zu erstellen. 2. Es werden keine Verfahrenskosten erhoben. 3. Es wird keine Parteientschädigung zugesprochen. 4. Dieses Urteil geht an: – den Beschwerdeführer (Gerichtsurkunde) – die Vorinstanz (Gerichtsurkunde)
Der vorsitzende Richter: Die Gerichtsschreiberin:
André Moser Mia Fuchs
Rechtsmittelbelehrung: Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bun- desgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Ange- legenheiten geführt werden (Art. 82 ff., 90 ff. und 100 BGG). Die Rechts- schrift ist in einer Amtssprache abzufassen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie der Be- schwerdeführer in Händen hat, beizulegen (Art. 42 BGG). Versand: