«Whistleblowing-Meldestelle»
Bundesverwaltungsgericht vom 16. Dezember 2014
Kriterien für eine melde- und reglementspflichtige Datensammlung
DSG 3a, 3c, 11a II. Das Kriterium der Bestimmbarkeit ist erfüllt, wenn die Datenbearbeiterin über die Mittel zur Bestimmung der Identität der betroffenen Personen verfügt, die sie vernünftigerweise einsetzen würde, wäre sie an einer Identifizierung interessiert. Dabei sind nicht bloss die Mittel einzubeziehen, die allen zugänglich sind, sondern auch diejenigen, über die nur die Datenbearbeiterin verfügt, sei es aufgrund eines besonderen Wissens, der ihr zugänglichen Informationsquellen oder anderer besonderer Umstände (E. 5-5.3.3).
DSG 3g, 11a. Das Kriterium der Erschliessbarkeit verlangt, dass es für die Datenbearbeiterin möglich sein muss, die zu einer bestimmten Person gehörenden Daten mit vernünftigem Aufwand aufzufinden. Dies ist etwa der Fall, wenn etwa in Verzeichnissen oder Tabellen Angaben über die Personen zwar anonymisiert sind, doch mittels andernorts gespeicherter Daten oder gar über die Suchfunktion Rückschlüsse auf bestimmte Personen gezogen werden können (E. 5.4-5.4.4).
DSG 11a; VDSG 18 I a. Lässt eine Datensammlung Verwendungen zu, die über das blosse Verzeichnen von Korrespondenz hinausgehen, oder enthält sie weitere Daten (namentlich besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die aus der Behandlung einer Anfrage stammen und Bearbeitungsweisen einschliessen, bei denen Daten von Dritten, aus Gutachten, Abklärungen, Ermittlungs- oder Einvernahmeprotokollen usw. in die Sammlung aufgenommen werden), handelt es sich um ein Verwaltungs- und Dokumentationssystem und nicht um eine Korrespondenzregistratur (E. 5.4.5).
DSG 3c; VDSG 21. Kann vernünftigerweise nicht ausgeschlossen werden, dass in den betroffenen Datensammlungen auch besonders schützenswerte Personendaten enthalten sind, ist ein Datenbearbeitungsreglement zu erstellen (E. 6-6.3).
LPD 3a, 3c, 11a II. Le critère du caractère identifiable est rempli lorsque la personne traitant les données dispose des moyens permettant d’identifier les personnes concernées et qu’elle les mettrait réellement en œuvre si elle était bien intéressée à leur identification. À cet égard, il ne faut pas seulement considérer les moyens à disposition de tout un chacun, mais également ceux dont seule la personne traitant les données dispose, que ce soit sur la base de connaissances spécifiques, de sources d’informations auxquelles elle a accès ou encore d’autres circonstances particulières (consid. 5.-5.3.3).
LPD 3g, 11a. La notion de structure permettant de rechercher les données suppose que la personne traitant les données soit en mesure de trouver des données concernant une personne en particulier sans grand investissement de moyens. Tel est par exemple le cas lorsqu’on dispose de listes ou de tabelles dont les indications personnelles sont certes anonymes, mais qu’elles permettent de déduire l’identité de certaines personnes grâce à des données enregistrées sur d’autres supports ou à la fonction de recherche (consid. 5.4-5.4.4).
LPD 11a; OLPD 18 I a. Lorsqu’un fichier permet des utilisations qui dépassent le simple enregistrement de correspondance ou qu’il comporte d’autres données (en particulier des données sensibles ou des profils de la personnalité résultant d’un questionnaire et incluant des méthodes de traitement par lesquelles des données de tiers émanant d’expertises, d’enquêtes, de procès-verbaux d’enquête ou d’audition, etc., ont été enregistrées), on est en présence d’un système d’administration et de documentation et non pas de fichiers usuels d’enregistrement de la correspondance (consid. 5.4.5).
LPD 3c; OLPD 21. Il est nécessaire d’établir un règlement de traitement lorsqu’on ne peut pas raisonnablement exclure que les fichiers concernés contiennent aussi des données sensibles (consid. 6-6.3).
Abteilung 1; Gutheissung der Beschwerde; Akten-Nr. A-788/2014
Im Rahmen seiner datenschutzrechtlichen Aufsichtstätigkeit führt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) diverse Kontrollen durch. 2013 überprüfte er u.a. die Einhaltung der datenschutzrechtlichen Bestimmungen durch die Whistle|blowing-Meldestelle für Bundesangestellte bei der Eidgenössischen Finanzkontrolle (EFK) und empfahl dieser, ihre Datensammlung «Whistleblowing» innert zweier Monate beim EDÖB anzumelden, ein Reglement für die Datenbearbeitungen in dieser Datensammlung zu erstellen und in diesem Bearbeitungsreglement die Dauer der Aufbewahrungsfrist zu regeln sowie Regeln aufzustellen, damit Meldungen, die nicht mehr weiter bearbeitet werden müssen und somit nicht mehr notwendig sind, gelöscht oder archiviert werden.
Die EFK erklärte sich zwar bereit, die Empfehlung des EDÖB betreffend die Aufbewahrung, Löschung und Archivierung der Meldungen in den internen Bearbeitungsprozess aufzunehmen und umzusetzen. Sie lehnte es jedoch ab, die Meldungen, die sie als Whistleblowing-Stelle erhält, als Datensammlung anzumelden und ein Bearbeitungsreglement zu erstellen.
Mittels Beschwerde verlangte der EDÖB darauf vom BVGer, die EFK sei zu verpflichten, ihre Datensammlung «Whistleblowing» innert zweier Monate beim EDÖB anzumelden und ein Reglement für die Datenbearbeitungen in dieser Datensammlung zu erstellen.
3. […]. Vorliegend umstritten und entsprechend als Rechtsbegehren ausformuliert ist, ob die von der Vorinstanz erfassten Whistleblowing-Meldungen als Datensammlung gelten und dem Beschwerdeführer gemäss Art. 11a Abs. 2 DSG anzumelden sind, und ob die Vorinstanz ein Bearbeitungsreglement im Sinne von Art. 21 VDSG zu erstellen hat.
4. Das Bundespersonalgesetz vom 24. März 2000 wurde per 1. Januar 2011 um einen Art. 22a BPG ergänzt. Damit wurde eine gesetzliche Grundlage zum Schutz von «Whistleblowing» geschaffen. Die Bestimmung sieht zunächst eine Anzeigepflicht der Bundesangestellten bei Offizialdelikten vor. Des Weiteren können diese bei anderen Unregelmässigkeiten eine Meldung bei der EFK erstatten. Wer dabei in guten Treuen eine Anzeige oder Meldung einreicht oder wer als Zeuge oder Zeugin ausgesagt hat, darf deswegen nicht in seiner beruflichen Stellung benachteiligt werden. Gestützt auf diese gesetzliche Grundlage (vgl. Art. 17 DSG, welcher das Legalitätsprinzip im Bereich des Datenschutzes konkretisiert) bearbeitet die EFK Personendaten.
5. Gemäss Art. 11a Abs. 2 DSG müssen Bundesorgane sämtliche Datensammlungen beim EDÖB zur Registrierung anmelden. Die Registrierung dient einerseits der Transparenz gegenüber der Öffentlichkeit, womit die Ausübung des Auskunftsrechts erleichtert werden soll, andererseits soll sie dem EDÖB einen Überblick über die Datenbearbeitungen vermitteln und auf diese Weise seine Aufsichtstätigkeit begünstigen (J. Ehrensperger/U. Belser, in: U. Maurer-Lambrou/G.-P. Blechta (Hg.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014, DSG 11a N 1).
5.1 Der Beschwerdeführer macht geltend, für das Vorliegen einer Datensammlung sei entscheidend, dass der Datenbestand Informationen über mehr als eine Person enthalte und eine Erschliessbarkeit der Daten nach betroffenen Personen erlaube. Bei den anonym bei der Vorinstanz eingereichten Meldungen seien keine Personendaten der Meldenden vorhanden. Hingegen bestünden bei den Meldungen, die nicht anonym erfolgten, je nach Eingangskanal folgende Personendaten: E-Mail-Adresse, je nachdem Name und Adresse, Telefonnummer etc. In allen Meldungen könnten auch weitere Personendaten der Meldenden, darunter auch besonders schützenswerte Daten nach Art. 3 lit. c DSG, enthalten sein. Weiter lägen auch Personendaten von Dritten vor, etwa der Name der Person, gegen die ein Verdacht gemeldet wurde. Die Kategorisierung der Daten erweise sich zudem als genügend bestimmt. Sodann liessen sich die Daten, die in Windows auf einem eigenen Verzeichnis abgelegt seien, mit Hilfe der Suchfunktion auffinden. Die Erschliessbarkeit der Daten sei damit gegeben. Es sei somit klar davon auszugehen, dass es sich beim «Verzeichnis L» um eine Datensammlung handle. Was die Excel-Übersichtstabelle im «Verzeichnis O» angehe, so seien darin nur anonymisierte Daten enthalten. Jedoch könnten diese mit den Daten aus dem «Verzeichnis L» per Fallnummer in Verbindung gebracht werden, mithin sei ein Rückschluss auf eine bestimmte Person möglich, weshalb das «Verzeichnis O» als Teil der Datensammlung erwähnt werden sollte.
5.2 Dagegen führt die Vorinstanz an, von Gesetzes wegen verpflichtet zu sein, festgestellte Mängel in der Organisation, der Verwaltungsführung oder in der Aufgabenerfüllung der zuständigen Verwaltungseinheit zur Kenntnis zu bringen und sich über die getroffenen Massnahmen Bericht erstatten zu lassen. Die in diesem Zusammenhang eingehenden Whistleblowing-Meldungen lege sie in einem geschützten Ordner «Hinweise» auf dem «Laufwerk L» chronologisch ab. Nur das «Team Verdacht» (bestehend aus drei Personen) sowie der Systemadministrator (zurzeit eine Person) hätten Zugriff auf diesen Ordner. Die Meldungen würden im betreffenden Jahr jeweils in einem Unterordner fortlaufend abgelegt, wobei die Unterordner nummeriert und mit dem Kürzel der bearbeitenden Person des «Team Verdacht» versehen seien. Daneben würden die wichtigsten Informationen zu den jeweiligen Meldungen in eine Excel-Übersichtstabelle auf dem «Laufwerk O» eingetragen, das heisst das Datum des Eingangs, eine kurze Umschreibung des Problems, das betroffene Amt und das mögliche weitere in|terne Vorgehen. Die Tabelle enthalte keinerlei persönliche Daten und diene einzig als Ablagesystem der internen Organisation, der Übersicht über die eingegangenen Meldungen sowie der Statistik.
Was die Datensammlung anbelange, gehe der Gesetzgeber stillschweigend davon aus, dass eine solche begrifflich voraussetze, dass die Kategorien der Personendaten, die darin vorkommen könnten, vorgängig in generell-abstrakter Weise festgelegt seien. So gingen etwa auch Art. 3 Abs. 1 lit. e VDSG und Art. 8 Abs. 2 DSG selbstverständlich davon aus, dass sich die Daten einer jeden Datensammlung in Kategorien einteilen lassen, weshalb diese im Rahmen der Anmelde- und der Auskunftspflicht zwingend anzugeben seien. Welche Informationen in den Unterordnern im Ordner «Hinweise» und ob allenfalls Dokumente mit Personendaten enthalten seien, sei aber nicht von vornherein festgelegt. Von festgelegten Kategorien von Personendaten könne daher keine Rede sein. Auch sei die geforderte Erschliessbarkeit einer Datensammlung nicht gegeben: Bei der «einfachen Suchfunktion» in Windows würde lediglich der Dokumentenname von Word- und PDF-Dokumenten bzw. der Betreff von Emails angezeigt. Diese Felder enthielten jedoch keine Personennamen, weshalb Personendaten auf diesem Weg nicht erschliessbar seien. Bei der Suchfunktion «Programme/Dateien durchsuchen» lasse sich der Suchbereich nicht eingrenzen, was zu einer Fülle von nicht brauchbaren Ergebnissen führe. Schliesslich sei für ein brauchbares Ergebnis ein bestimmtes Vorwissen nötig, was indes lediglich bei den drei Mitgliedern des «Team Verdacht» vorhanden sei. Würde das Ablagesystem der Vorinstanz als meldepflichtige Datensammlung eingestuft, so hätte eine Registrierung und damit Veröffentlichung negative Auswirkungen auf die von ihr angestrebte Vertraulichkeit sowie auf das in Art. 22a BPG statuierte Melderecht resp. die Meldepflicht.
5.3 Was das Verzeichnis «Hinweise» auf dem «Laufwerk L» betrifft, ist nicht umstritten, dass darin Personendaten aufgeführt werden. Dagegen geht die Vorinstanz bei der Excel-Tabelle davon aus, dass diese keine solchen umfasse. Sie enthalte keinerlei persönliche Daten – weder von der meldenden Person noch von Personen, die allenfalls im Zusammenhang mit der Meldung genannt würden. Das Ablagesystem diene einzig der Organisation innerhalb der Vorinstanz, der Übersicht über die eingegangen Meldungen sowie der Statistik.
5.3.1 Unter Personendaten (Daten) fallen nach Art. 3 lit. a DSG alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Unter «Angaben» ist jede Art von Information zu verstehen, die auf die Vermittlung oder die Aufbewahrung von Kenntnissen ausgerichtet ist, unabhängig davon, ob es sich dabei um eine Tatsachenfeststellung oder um ein Werturteil handelt. Unerheblich ist auch, ob eine Aussage als Zeichen, Wort, Bild, Ton oder Kombination aus diesen auftritt und auf welcher Art von Datenträger die Informationen gespeichert sind. Entscheidend ist, dass sich die Angaben einer oder mehreren Personen zuordnen lassen (G.-P. Blechta, in: G.-P. Blechta/U. Maurer-Lambrou (Hg.), Datenschutzgesetz (DSG)/Öffentlichkeitsgesetz (BGÖ), Basler Kommentar, 3. Aufl., Basel 2014, DSG 3 N 6 f.). Der Begriff der Personendaten setzt somit drei Elemente voraus: Es muss sich um Angaben handeln, diese müssen einen Bezug zu einer Person haben und diese Person muss bestimmt oder bestimmbar sein. Der Begriff ist im Übrigen weit zu verstehen und folglich extensiv auszulegen (D. Rosenthal, in: D. Rosenthal/Y. Jöhri (Hg.), Handkommentar zum DSG, Zürich 2008, DSG 3 N 2 und 6; Blechta, DSG 3 N 7.
5.3.2 Vorliegend handelt es sich fraglos um «Angaben» im Sinne der Legaldefinition. Auch weisen diese einen Bezug zu einer oder mehreren Personen auf, nämlich der meldenden Person oder einer Person, die im Zusammenhang mit einer Meldung steht. Fraglich ist aber, ob diese Person(en) auch bestimmt oder zumindest bestimmbar sind.
Eine Person ist bestimmt, wenn sich bereits aufgrund der Informationen selbst eindeutig ergibt, auf welche Person sich diese beziehen. Bestimmbar ist die Person hingegen, wenn sich die Angaben selbst nicht oder nicht eindeutig einer bestimmten Person zuordnen lassen, für den Betrachter aber die Möglichkeit besteht, diese Zuordnung vorzunehmen (Rosenthal, DSG 3 N 20). Die Frage der Bestimmbarkeit stellt sich dabei aus der Warte der Datenbearbeiterin, das heisst, es ist zu prüfen, ob ihr die Mittel zur Bestimmung der Identität der betroffenen Personen zur Verfügung stehen, die sie vernünftigerweise einsetzen würde, wenn sie an einer Identifizierung interessiert wäre. Dabei sind nicht nur die Mittel einzubeziehen, die grundsätzlich jedermann zugänglich sind, sondern auch diejenigen, über die die Datenbearbeiterin zusätzlich verfügt, sei es aufgrund ihres besonderen Wissens, der ihr zugänglichen Informationsquellen oder anderer besonderer Umstände (Rosenthal, DSG 3 N 26).
5.3.3 Wie die Vorinstanz darlegt und aus den im vorliegenden Verfahren eingereichten Unterlagen hervorgeht, ist der Tabelle nicht zu entnehmen, wer jeweils eine Meldung veranlasst hat. In der Rubrik «commentaire» wird kurz die Problematik des jeweiligen Falls aufgeführt. Allfällige Personen sind darin zwar weitgehend anonymisiert, doch lassen sich vereinzelt Personen bestimmen, so wenn etwa im Zusammenhang mit einer Meldung die Tochter des Chefs einer Einheit erwähnt wird. Für den oder die Daten|bearbeiter, aus deren Sicht jeweils zu beurteilen ist, ob Personendaten vorliegen, können sich die Personen somit durchaus bestimmen lassen. Hinzu kommt, dass er oder sie zusätzlich über ein besonderes Wissen verfügt und mittels Zugang zu den im Verzeichnis «Hinweise» erfassten Angaben Rückschlüsse auf die betroffenen Personen zu ziehen vermag. Insgesamt ist vorliegend deshalb davon auszugehen, dass – gerade mit Blick auf die angebrachte extensive Auslegung der Begrifflichkeit (vorstehend E. 5.3.1) – in beiden Laufwerken Personendaten bearbeitet werden.
5.4 Das DSG definiert den Begriff «Datensammlung» als jeden Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind (Art. 3 lit. g DSG).
5.4.1 Der Botschaft zufolge soll es sich bei der Datensammlung um einen Bestand von Daten handeln, der auf mehr als eine Person Bezug nimmt. Dabei kann die Datensammlung ganz unterschiedlich organisiert und aufgebaut sein. Entscheidend ist, dass die zu einer bestimmten Person gehörenden Daten auffindbar sind (Botschaft des Bundesrates vom 23. März 1988 zum DSG, BBl 1988 II 413, 447 f.). In der Lehre wird im Zusammenhang mit dem Kriterium der Erschliessbarkeit mitunter die Auffassung vertreten, dass es sich bei der Datensammlung um eine vergleichbar offene Begriffsbestimmung handle, so dass auch Datenbestände, die an sich nicht als Datensammlungen angelegt wurden und soweit auch keine eigene, erkennbare Zweckbestimmung aufweisen, wie etwa die Festplatte eines PC oder das Internet an sich, die indessen anhand der technischen Möglichkeiten nach Personen erschlossen werden können, als Datensammlungen zu qualifizieren seien. In diesem Sinne würde sich jeder elektronische Datenträger, wie etwa eine Festplatte, eine Diskette oder eine CD-ROM, als Trägermedium einer Datensammlung erweisen, soweit er der Speicherung von Personendaten diene und ein personenbezogener Zugriff mittels eines entsprechenden Programms möglich sei, was bei Office-Programmen standardmässig der Fall sei. Somit stelle ein Bestand von elektronisch gespeicherten Textdokumenten regelmässig eine Datensammlung im Sinne des DSG dar. Nicht als Datensammlungen könnten daher eigentlich nur noch ungeordnete und verstreute Ablagen von Papierunterlagen gelten (vgl. Blechta, DSG 3 N 81).
Dieses weite Verständnis der Legaldefinition von Art. 3 lit. g DSG wird in der Literatur zu Recht kritisiert: Mit den heutigen Suchprogrammen ist es in der Regel möglich, den Inhalt sämtlicher Festplatten beispielsweise nach einem Personennamen zu durchsuchen. Zudem ist es auch wahrscheinlich, dass auf zahlreichen Festplatten Personendaten vorhanden sind. Doch wird es kaum der Wille des Gesetzgebers gewesen sein – noch entspricht es dem Sinn und Zweck des Datenschutzgesetzes –, dass mit einer weiten Begriffsauslegung zahlreiche Datenbestände, wie die Festplatten von Computern, als Datensammlungen gelten, mit der Konsequenz, dass diese etwa dem Auskunftsrecht nach Art. 8 DSG oder – wie hier – der Registrierungspflicht nach Art. 11a DSG unterstehen (vgl. Rosenthal, DSG 3 N 82). Rosenthal will den Begriff daher enger verstanden haben und stellt deshalb folgende Voraussetzungen auf, die kumulativ erfüllt sein müssen, damit von einer Datensammlung im Sinne des DSG gesprochen werden kann: Es muss sich um Personendaten von mehr als einer Person handeln. Diese müssen festgehalten sein und – begriffsnotwendig – aus mehr als einem Datensatz bestehen, um als Sammlung zu gelten. Des Weiteren sind die Kategorien der Personendaten, die in der Datensammlung vorkommen, vorgängig in generell-abstrakter Weise festzulegen. Die einzelnen Datensätze müssen einen thematischen, logischen Zusammenhang und die Sammlung eine gewisse Beständigkeit aufweisen. Schliesslich müssen die Personendaten nach betroffenen Personen erschliessbar sein. Eine Datensammlung erfasst Datenbestände sodann nur insoweit, als sie bezüglich Inhalt und Zweck faktisch unter einer einheitlichen Herrschaft stehen (vgl. Rosenthal, DSG 3 N 83 ff.).
5.4.2 Ob abschliessend an diesen Kriterien festgehalten werden soll, kann an dieser Stelle offenbleiben; wie zu sehen sein wird, ist vorliegend so oder anders von Datensammlungen im Sinne des Gesetzes auszugehen. Umstritten sind im vorliegenden Fall zwei verschiedene Datenbestände: Einerseits erfasst die Vorinstanz eingehende Meldungen in einem Verzeichnis «Hinweise» auf dem «Laufwerk L». In der Regel wird für jeden Hinweis ein Ordner mit Unterordnern erstellt. Darin werden die Dateien der jeweiligen Fälle, mitunter Emails, Notizen, eingescannte Unterlagen etc., gespeichert. Andererseits führt die Vorinstanz eine Excel-Tabelle (gespeichert auf dem «Laufwerk O»), in welcher sie die einzelnen Meldungen in anonymer Form aufführt. Erfasst werden darin der Eingang jeder Meldung und die betroffene Stelle. Zudem wird das konkrete Problem kurz umschrieben und das weitere Vorgehen vermerkt. Schliesslich wird festgehalten, ob die Meldung vertraulich zu behandeln ist.
5.4.3 Die Vorinstanz stellt sich auf den Standpunkt, die eingehenden Meldungen im Verzeichnis «Hinweise» lediglich chronologisch abzulegen, dagegen jedoch nicht systematisch zu erfassen. Entsprechend gebe es auch keine festgelegten Kategorien von Personendaten. Demgegenüber erachtet der Beschwerdeführer die Kategorien als genügend bestimmt. Mit der Vorinstanz ist einig zu gehen, dass im Verzeichnis «Hinweise» nicht etwa ein |vorbestehendes Formular ausgefüllt und abgespeichert wird. Vielmehr werden in Unterordnern sämtliche Unterlagen zu einer Meldung gesammelt. Wie die Vorinstanz weiter geltend macht, wird zwar nicht eine generell-abstrakte Definition von Kategorien von Personendaten in dem Sinne vorgesehen, dass jeder Datensatz über alle Arten von Personendaten verfügen würde, die im betreffenden Fall vorkommen könnten. Doch liegt dies mitunter auch in der Natur der hier betroffenen Daten: So handelt es sich um Angaben zur meldenden Person – sofern die Meldung nicht anonym erfolgt –, der betroffenen Amtsstellen und der jeweiligen Situation. In diesem Zusammenhang ist es durchaus möglich und wahrscheinlich, dass Angaben zu weiteren Personen erfolgen. Insoweit ist es zwar, wie die Vorinstanz vorbringt, naheliegend, dass nicht schon im Vornherein festgelegt werden kann, welche konkreten Informationen in den Unterordnern enthalten sein werden. Eine gewisse Kategorisierung der Daten ist aber durchaus möglich, geht es doch letztlich darum, Meldungen, die gestützt auf Art. 22a BPG ergehen, zu erfassen. Daran ändert nichts, dass es der Vorinstanz nicht darum geht, eine Datensammlung als solche zu erstellen, sondern lediglich eine interne Ablage zu führen.
5.4.4 Mit Bezug auf die Erschliessbarkeit bringt die Vorinstanz vor, der Aufwand zur Suche nach Personendaten sei übermässig gross, weshalb diese nicht gegeben sei. Mit der einfachen Suchfunktion würden nur der Dokumentenname bzw. der Betreff von Emails angezeigt; diese würden jedoch keine Personendaten enthalten. Mit der Suchfunktion «Programme/Dateien durchsuchen» lasse sich der Suchbereich nicht eingrenzen, was zu einer Fülle von nicht brauchbaren Ergebnissen führe. Zudem sei für ein brauchbares Ergebnis ein Vorwissen nötig, über das lediglich die drei Mitglieder des «Team Verdacht» verfügen würden.
Das Kriterium der Erschliessbarkeit verlangt, dass es für den Bearbeiter des Datenbestands möglich sein muss, die zu einer bestimmten Person gehörenden Personendaten mit vernünftigem Aufwand aufzufinden (Rosenthal, DSG 3 N 90). Die Botschaft zum DSG führt dazu aus, bei den automatisch geführten Datensammlungen mit ihren vielfältigen Abfragemöglichkeiten treffe dies fast unbeschränkt zu, unabhängig davon, ob Personennamen als eigentliche Suchbegriffe vorgesehen seien oder nicht. Bei den manuell geführten Beständen von Personendaten fielen nicht nur jene Karteien oder Sammlungen unter den Begriff der Datensammlung, die nach den betroffenen Personen gegliedert seien, sondern auch solche, bei denen nur mittelbar, über eine Hilfsdatensammlung (zum Beispiel ein Suchregister), ein personenbezogener Zugriff möglich sei. Keine Datensammlung sollen dagegen Datenbestände darstellen, wenn darin zwar noch Personendaten gefunden werden können, der damit verbundene Aufwand aber übermässig gross wäre. Beispielsweise nennt die Botschaft den Fall bei den Millionen von Zolldeklarationen, die bei sämtlichen Zollämtern der Schweiz zwar eine gewisse Zeit aufbewahrt, aber nicht nach Namen abgelegt sind (Botschaft zum DSG, BBl 1988 II, 448). Dabei müssten die Daten mit den entsprechenden Hilfsmitteln oder aufgrund der Strukturierung der Datensammlung auch ohne Spezialwissen auffindbar sein. Die Erschliessbarkeit wäre zu verneinen, wenn der personenbezogene Zugriff für einen Benutzer lediglich als Resultat seines Wissens möglich ist, er sich dieses etwa beim Aufbau, Studium oder der «Fütterung» der Datensammlung angeeignet hat, beispielsweise weil er sich erinnert, wo sich der Datensatz einer bestimmten Person befindet, obwohl es hierfür kein Verzeichnis und keine Suchfunktion gibt (Rosenthal, DSG 3 N 91).
Das Verzeichnis «Hinweise» setzt sich vorliegend aus mehreren Unterordnern, je Meldung einem, zusammen. Darin sind, sofern die Meldungen nicht anonym erfolgt sind, Personennamen und weitere Angaben erfasst. Mit Hilfe der Suchfunktion lassen sich innerhalb der Dokumente somit Personendaten auffinden, ohne dass ein besonderes Fachwissen erforderlich wäre. Wenn ein solches Fachwissen für die Arbeit der Meldestelle auch hilfreich sein mag, ist es aus datenschutzrechtlicher Sicht nicht relevant für die Auffindbarkeit resp. die Erschliessbarkeit der Daten. Was die Excel-Übersichtstabelle betrifft, sind die Angaben über die Personen in dieser zwar anonymisiert. Jedoch ist es unter Zuhilfenahme der im Verzeichnis «Hinweise» abgespeicherten Daten möglich, Rückschlüsse auf bestimmte Personen zu ziehen. Insofern ist auch die Feststellung des Beschwerdeführers, dass die Dokumente gemeinsam eine Datensammlung darstellen, richtig.
5.4.5 Schliesslich macht die Vorinstanz geltend, dass, sofern tatsächlich von einer Datensammlung ausgegangen würde, diese als Korrespondenzregistratur im Sinne von Art. 18 Abs. 1 lit. a VDSG von einer Anmeldepflicht ausgenommen sei.
Gemäss dieser Bestimmung ist Korrespondenzregistratur von der Anmeldepflicht nach Art. 11a DSG ausgenommen, sofern sie ausschliesslich für verwaltungsinterne Zwecke verwendet wird. Bei der Korrespondenzregistratur handelt es sich um einfache Datensammlungen, die Korrespondenz verzeichnen und in erster Linie Namen und Adressen von Absendern, das Eingangsdatum des Begehrens, die für das Begehren verantwortlichen Mitarbeiter sowie die Antworten und ihre Ausgangsdaten enthalten (Korrespondenzverzeichnis; Ehrensperger/Belser, DSG 11a N 14g). Zugang zu einer Korrespondenzregistratur hat an sich nur |eine stark begrenzte Anzahl von Personen. In erster Linie sind dies die für die Registratur Zuständigen. Eine Datensammlung, die Bürgerbriefe verzeichnet, würde in diese Kategorie fallen. Wenn eine Datensammlung hingegen Verwendungen zulässt, die über das blosse Verzeichnen von Korrespondenz hinausgehen, oder weitere Daten enthält – namentlich besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die aus der Behandlung einer Anfrage stammen und Bearbeitungsweisen einschliessen, bei denen Daten von Dritten, aus Gutachten, Abklärungen, Ermittlungs- oder Einvernahmeprotokollen etc. in die Sammlung aufgenommen werden –, handelt es sich nicht mehr um eine Korrespondenzregistratur, sondern um ein Verwaltungs- und Dokumentationssystem («Die Anmeldung von Datensammlungen kurz erklärt», Stand 7. Mai 2014, aufzufinden auf <www.edoeb.admin.ch/datenschutz/00626/00743/00858/index.html?lang=de>). Bei den hier fraglichen Verzeichnissen resp. Dokumenten geht es nicht bloss um einfache Sammlungen von Korrespondenzen und dazugehörige Daten. Vielmehr werden die bei der Vorinstanz eingehenden Meldungen systematisch erfasst und aufgenommen und sie stellen damit anmeldepflichtige Datensammlungen dar. Eine Korrespondenzregistratur, die von der Anmeldepflicht ausgenommen wäre, liegt demnach entgegen dem Vorbringen der Vorinstanz nicht vor.
5.4.6 Im Übrigen geht die Argumentation der Vorinstanz auch insofern fehl, als eine Registrierungspflicht nicht automatisch eine Bekanntgabe der Daten nach Art. 8 DSG nach sich zieht. Vielmehr bleiben die Einschränkungen, gerade etwa das Vorliegen überwiegender Interessen Dritter (vgl. Art. 9 Abs. 1 lit. b DSG), trotz allem bestehen und sind im Einzelfall zu berücksichtigen. Es geht vielmehr darum, der grundsätzlichen Transparenz der öffentlichen Tätigkeit nachzukommen, wofür es erforderlich ist, zu wissen, dass bestimmte Daten überhaupt existieren.
5.5 Nach dem Gesagten erweisen sich die fraglichen Datenbestände als Datensammlungen im Sinne von Art. 3 lit. g DSG und sind folglich nach Art. 11a DSG beim EDÖB anzumelden.
6. Art. 21 VDSG sieht die Erstellung eines Bearbeitungsreglements durch Bundesorgane vor.
6.1 Der Beschwerdeführer weist diesbezüglich darauf hin, dass die Datensammlung auch aus besonders schützenswerten Personendaten im Sinne von Art. 3 lit. c DSG bestehe. Vorstellbar seien zum Beispiel Daten über die Gesundheit oder auch Daten über administrative oder strafrechtliche Massnahmen. Grundsätzlich werde bei der Bearbeitung von Daten in Informationssystemen meist eine Ausführungsverordnung erlassen, in welcher die organisatorischen und technischen Massnahmen und zum Beispiel auch die Zugriffsberechtigungen und Aufbewahrungsfristen festgelegt würden. Da es sich bei den Whistleblowing-Meldungen jedoch nicht um ein solches System, sondern um eine Datensammlung in einem Verzeichnissystem handle, werde der Erlass einer Verordnung als unverhältnismässig erachtet. Umso wichtiger sei aber die Erstellung eines Bearbeitungsreglements zur Regelung der Massnahmen, Fristen, Berechtigungen und des Verfahrens.
6.2 Gemäss Art. 21 Abs. 1 lit. a VDSG erstellen die verantwortlichen Bundesorgane ein Bearbeitungsreglement für automatisierte Datensammlungen, die besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten. Art. 3 lit. c DSG definiert besonders schützenswerte Personendaten als Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten (Ziff. 1), die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit (Ziff. 2), Massnahmen der sozialen Hilfe (Ziff. 3) oder administrative oder strafrechtliche Verfolgungen und Sanktionen (Ziff. 4). Es ist nicht ausgeschlossen, dass in den beschriebenen, hier betroffenen Datensammlungen auch besonders schützenswerte Personendaten enthalten sind, seien dies, wie schon der Beschwerdeführer vorbringt, solche über die Gesundheit oder über administrative oder strafrechtliche Massnahmen oder aber auch betreffend Ansichten und Tätigkeiten. Die Vorinstanz hat demnach ein entsprechendes, die Anforderungen von Art. 21 Abs. 2 VDSG erfüllendes Reglement zu erstellen. Nachdem sie die Zuständigkeiten und Arbeitsschritte ohnehin schon in ihrem internen Bearbeitungsprozess festhält, erscheint die Erstellung eines Reglements durchaus im Rahmen des – vom Aufwand her – Vertretbaren und stellt keine einschneidende Massnahme dar. Mit Blick auf den Grundsatz der Verhältnismässigkeit erweist sich ein solches zudem auch als angemessen, wird doch nicht der Erlass einer Ausführungsverordnung verlangt, wie dies sonst – wie der Beschwerdeführer darauf hinweist – bei der Bearbeitung von Daten in Informationssystemen üblich ist.
6.3 Der Beschwerdeführer verlangt demnach auch zu Recht, dass die Vorinstanz ein Bearbeitungsreglement gemäss Art. 21 VDSG erstellt.
7. Zusammenfassend erweisen sich die Anträge des Beschwerdeführers als begründet. Die Beschwerde ist demnach gutzuheissen […].
Hinweis:
Entscheid bestätigt durch BGer mit Urteil vom 12. November 2015 (1C_66/2015).
St