17 commentaries
Anonymisierung und Pseudonymisierung stellen Bearbeitungen im Sinne von Art. 3 lit. e DSG dar. Anonymisierung hebt den Personenbezug nach den Quellen irreversibel auf; pseudonymisierte Daten behalten den Personenbezug grundsätzlich, soweit Dritte Zugang zum Re-Identifizierungs‑Schlüssel oder anderweitige Mittel zur Zuordnung haben. Werden Personendaten vor einer Übermittlung ins Ausland derart anonymisiert oder pseudonymisiert, dass der ausländische Empfänger keinen Personenbezug mehr herstellen kann, liegt nach den Quellen keine grenzüberschreitende Bekanntgabe im Sinne von Art. 6 DSG vor.
“Bei der Pseudonymisierung wird der Personenbezug nur rever- sibel aufgehoben, indem der Schlüssel zur Re-Identifizierung bzw. Re- Personalisierung erhalten bleibt (RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Für alle, die Zugang zum Schlüssel haben, bleiben pseudonymisierte Personendaten weiter- hin Personendaten im Sinne des DSG. Für Personen, die keinen Zugang zum Schlüssel haben und auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können, stellen pseudonymisierte Personendaten hingegen keine Personendaten mehr dar (R OSENTHAL, a.a.O., N. 36 zu Art. 3 DSG; RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Die Anonymisierung oder Pseudonymisierung stellt eine Bearbeitung von Personendaten im Sinne von Art. 3 lit. e DSG dar, auch wenn deren Resultat (gegebenenfalls) keine Personen- daten bzw. geschützten Daten mehr sind (zit. Urteil des Bundesgerichts 4A_365/2017 E. 5.2.2; R OSENTHAL, a.a.O. N. 63 zu Art. 3 DSG). Wenn Personen- daten vor der Bekanntgabe ins Ausland so anonymisiert oder pseudonymisiert werden, dass deren Empfänger im Ausland keinen Personenbezug mehr herstel- len kann, liegt auch keine grenzüberschreitende Bekanntgabe von Personendaten im Sinne von Art. 6 DSG vor (R OSENTHAL, a.a.O., N. 36 zu Art. 3 und N. 8 zu Art. 6 DSG). - 13 -”
“Anonymisierung von Daten bedeutet, dass der Personenbezug irreversibel aufge- hoben wird (B LECHTA, in: Basler Kommentar, Datenschutzgesetz / Öffentlichkeits- gesetzt, 3. Aufl. 2014, N. 13 zu Art. 3 DSG; ROSENTHAL, a.a.O., N. 35 zu Art. 3 DSG; RUDIN, in: Stämpflis Handkommentar, Datenschutzgesetz (DSG), 2015, N. 13 zu Art. 3 DSG). Anonymisierte Daten sind keine Personendaten mehr (Blechta, N. 13). Bei der Pseudonymisierung wird der Personenbezug nur rever- sibel aufgehoben, indem der Schlüssel zur Re-Identifizierung bzw. Re- Personalisierung erhalten bleibt (RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Für alle, die Zugang zum Schlüssel haben, bleiben pseudonymisierte Personendaten weiter- hin Personendaten im Sinne des DSG. Für Personen, die keinen Zugang zum Schlüssel haben und auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können, stellen pseudonymisierte Personendaten hingegen keine Personendaten mehr dar (R OSENTHAL, a.a.O., N. 36 zu Art. 3 DSG; RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Die Anonymisierung oder Pseudonymisierung stellt eine Bearbeitung von Personendaten im Sinne von Art. 3 lit. e DSG dar, auch wenn deren Resultat (gegebenenfalls) keine Personen- daten bzw. geschützten Daten mehr sind (zit. Urteil des Bundesgerichts 4A_365/2017 E. 5.2.2; R OSENTHAL, a.a.O. N. 63 zu Art. 3 DSG). Wenn Personen- daten vor der Bekanntgabe ins Ausland so anonymisiert oder pseudonymisiert werden, dass deren Empfänger im Ausland keinen Personenbezug mehr herstel- len kann, liegt auch keine grenzüberschreitende Bekanntgabe von Personendaten im Sinne von Art. 6 DSG vor (R OSENTHAL, a.a.O., N. 36 zu Art. 3 und N. 8 zu Art. 6 DSG). - 13 -”
“5, in welchem Fall die Inhaber der dort in Frage stehenden, weitergegebenen IP- Adressen erst durch Einleitung eines Strafverfahrens gegen unbekannt und da- rauf folgende Einsicht in die Strafakten durch die Empfänger der betreffenden IP- Adressen ermittelt werden konnten; vgl. dazu auch Urteil des Appellationsgerichts Basel-Stadt (ZB.2019.3) vom 9. August 2019 E. 4.2.1). Anonymisierung von Daten bedeutet, dass der Personenbezug irreversibel aufge- hoben wird (B LECHTA, in: Basler Kommentar, Datenschutzgesetz / Öffentlichkeits- gesetzt, 3. Aufl. 2014, N. 13 zu Art. 3 DSG; ROSENTHAL, a.a.O., N. 35 zu Art. 3 DSG; RUDIN, in: Stämpflis Handkommentar, Datenschutzgesetz (DSG), 2015, N. 13 zu Art. 3 DSG). Anonymisierte Daten sind keine Personendaten mehr (Blechta, N. 13). Bei der Pseudonymisierung wird der Personenbezug nur rever- sibel aufgehoben, indem der Schlüssel zur Re-Identifizierung bzw. Re- Personalisierung erhalten bleibt (RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Für alle, die Zugang zum Schlüssel haben, bleiben pseudonymisierte Personendaten weiter- hin Personendaten im Sinne des DSG. Für Personen, die keinen Zugang zum Schlüssel haben und auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können, stellen pseudonymisierte Personendaten hingegen keine Personendaten mehr dar (R OSENTHAL, a.a.O., N. 36 zu Art. 3 DSG; RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Die Anonymisierung oder Pseudonymisierung stellt eine Bearbeitung von Personendaten im Sinne von Art. 3 lit. e DSG dar, auch wenn deren Resultat (gegebenenfalls) keine Personen- daten bzw. geschützten Daten mehr sind (zit. Urteil des Bundesgerichts 4A_365/2017 E. 5.2.2; R OSENTHAL, a.a.O. N. 63 zu Art. 3 DSG). Wenn Personen- daten vor der Bekanntgabe ins Ausland so anonymisiert oder pseudonymisiert werden, dass deren Empfänger im Ausland keinen Personenbezug mehr herstel- len kann, liegt auch keine grenzüberschreitende Bekanntgabe von Personendaten im Sinne von Art.”
Personendaten sind weit zu verstehen und umfassen auch Angaben mit sehr geringem Personenbezug sowie solche mit geringer Gefährdung der Persönlichkeit. Als ‚Angabe‘ gilt jede Art von Information, unabhängig von Inhalt und Form. Eine Person ist bestimmt, wenn sich aus der Information selbst ergibt, dass es genau diese Person ist. Bestimmbarkeit liegt vor, wenn aufgrund zusätzlicher Informationen auf die Person geschlossen werden kann; nicht jede theoretische Identifikationsmöglichkeit genügt. Fehlt die Bestimmbarkeit, wenn der zur Identifizierung erforderliche Aufwand nach allgemeiner Lebenserfahrung nicht von einem Interessenten zu erwarten ist. Die Frage ist entscheidungsabhängig und dabei insbesondere unter Berücksichtigung der technischen Möglichkeiten zu prüfen.
“Kriterien Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 Abs. 1 DSG), wobei dieser Begriff weit zu verstehen ist und auch Daten mit sehr geringem Personenbezug und geringer Gefährdung der Persönlichkeit der betroffenen Person erfasst. Mit Angabe ist jede Art von Infor- mation gemeint unabhängig von ihrem Inhalt und ihrer Form (R OSENTHAL, a.a.O., N. 2 zu Art. 3 DSG). Eine Person ist dann bestimmt, wenn sich aus der Informati- on selbst ergibt, dass es sich genau um diese Person handelt. Bestimmbar ist die Person, wenn aufgrund zusätzlicher Informationen auf sie geschlossen werden kann, wobei nicht jede theoretische Möglichkeit der Identifizierung für die Be- stimmbarkeit genügt. Ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird, liegt keine Bestimmbarkeit vor. Die Frage ist abhängig vom konkreten Fall zu beantworten, wobei insbesondere auch die Möglichkeiten der Technik zu berücksichtigen sind.”
Bei der Pseudonymisierung wird der Personenbezug lediglich reversibel aufgehoben, weil ein Schlüssel zur Re‑Identifizierung besteht. Für diejenigen, die Zugang zu diesem Schlüssel haben, bleiben pseudonymisierte Daten somit Personendaten im Sinne des Art. 3 DSG. Für Personen ohne Zugang zum Schlüssel — und die auch über keine sonstigen Kenntnisse verfügen, mit denen sie eine Reidentifikation vornehmen könnten — stellen die pseudonymisierten Daten hingegen keine Personendaten mehr dar.
“Bei der Pseudonymisierung wird der Personenbezug nur rever- sibel aufgehoben, indem der Schlüssel zur Re-Identifizierung bzw. Re- Personalisierung erhalten bleibt (RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Für alle, die Zugang zum Schlüssel haben, bleiben pseudonymisierte Personendaten weiter- hin Personendaten im Sinne des DSG. Für Personen, die keinen Zugang zum Schlüssel haben und auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können, stellen pseudonymisierte Personendaten hingegen keine Personendaten mehr dar (R OSENTHAL, a.a.O., N. 36 zu Art. 3 DSG; RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Die Anonymisierung oder Pseudonymisierung stellt eine Bearbeitung von Personendaten im Sinne von Art. 3 lit. e DSG dar, auch wenn deren Resultat (gegebenenfalls) keine Personen- daten bzw. geschützten Daten mehr sind (zit. Urteil des Bundesgerichts 4A_365/2017 E. 5.2.2; R OSENTHAL, a.a.O. N. 63 zu Art. 3 DSG). Wenn Personen- daten vor der Bekanntgabe ins Ausland so anonymisiert oder pseudonymisiert werden, dass deren Empfänger im Ausland keinen Personenbezug mehr herstel- len kann, liegt auch keine grenzüberschreitende Bekanntgabe von Personendaten im Sinne von Art. 6 DSG vor (R OSENTHAL, a.a.O., N. 36 zu Art. 3 und N. 8 zu Art. 6 DSG). - 13 -”
“Bei der Pseudonymisierung wird der Personenbezug nur rever- sibel aufgehoben, indem der Schlüssel zur Re-Identifizierung bzw. Re- Personalisierung erhalten bleibt (RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Für alle, die Zugang zum Schlüssel haben, bleiben pseudonymisierte Personendaten weiter- hin Personendaten im Sinne des DSG. Für Personen, die keinen Zugang zum Schlüssel haben und auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können, stellen pseudonymisierte Personendaten hingegen keine Personendaten mehr dar (R OSENTHAL, a.a.O., N. 36 zu Art. 3 DSG; RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Die Anonymisierung oder Pseudonymisierung stellt eine Bearbeitung von Personendaten im Sinne von Art. 3 lit. e DSG dar, auch wenn deren Resultat (gegebenenfalls) keine Personen- daten bzw. geschützten Daten mehr sind (zit. Urteil des Bundesgerichts 4A_365/2017 E. 5.2.2; R OSENTHAL, a.a.O. N. 63 zu Art. 3 DSG). Wenn Personen- daten vor der Bekanntgabe ins Ausland so anonymisiert oder pseudonymisiert werden, dass deren Empfänger im Ausland keinen Personenbezug mehr herstel- len kann, liegt auch keine grenzüberschreitende Bekanntgabe von Personendaten im Sinne von Art. 6 DSG vor (R OSENTHAL, a.a.O., N. 36 zu Art. 3 und N. 8 zu Art. 6 DSG). - 13 -”
Für Sachverhalte, die unter Art. 3 DSG fallen, ist das DSG bei der Beurteilung der Verwertbarkeit von Beweismitteln relevant. Nach der Rechtsprechung können Beweismittel, die aus Verletzungen des DSG (oder des ZGB) stammen, als unzulässig gelten; ihre Verwertbarkeit hängt jedoch davon ab, ob sie hätten rechtmässig von den Strafbehörden erhoben werden können und ob eine Interessenabwägung dies erlaubt. Bei der Abwägung ist zu beachten, dass der Einsatz der Beweismittel nur dann gerechtfertigt sein kann, wenn sie für die Aufklärung schwerer Straftaten als unabdingbar erscheinen.
“2 CPP, les preuves qui ont été administrées d'une manière illicite ou en violation de règles de validité par les autorités pénales ne sont pas exploitables, à moins que leur exploitation soit indispensable pour élucider des infractions graves. La loi pénale ne règle pas, de manière explicite, la situation dans laquelle de telles preuves ont été recueillies non par l'Etat mais par un particulier. Selon la jurisprudence, ces preuves ne sont exploitables que si, d'une part, elles auraient pu être recueillies licitement par les autorités pénales et si, d'autre part, une pesée des intérêts en présence plaide pour une exploitabilité (cf. arrêt du Tribunal fédéral 6B_1282/2019 du 13 novembre 2020 consid. 2 et les références citées). Peuvent notamment être qualifiées d'illicites les preuves résultant d'une violation de la loi fédérale sur la protection des données (LPD) ou du Code civil suisse (CC). Les preuves récoltées de manière licite par des particuliers sont exploitables sans restriction. 2.4. A teneur de l'art. 3 LPD, on entend par données personnelles, toutes les informations qui se rapportent à une personne identifiée ou identifiable (let. a). Le traitement de données doit être effectué conformément aux principes de la bonne foi et de la proportionnalité (art. 4 al. 2 LPD). La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée (art. 4 al. 4 LPD). L'art. 12 LPD dispose que quiconque traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées (al. 1). Selon l'al. 2, personne n'est en droit notamment de traiter des données personnelles en violation des principes définis aux art. 4, 5 al. 1, et 7 al. 1 (let. a) ou de traiter des données contre la volonté expresse de la personne concernée sans motifs justificatifs (let. b). Les motifs justificatifs sont régis par l'art. 13 LPD, dont l'al. 1 prévoit qu'une atteinte à la personnalité est illicite à moins d'être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.”
“Selon la jurisprudence, ces preuves ne sont exploitables que si, d'une part, elles auraient pu être recueillies licitement par les autorités pénales et si, d'autre part, une pesée des intérêts en présence plaide pour une exploitabilité (TF 6B_53/2020 consid. 1.1; TF 6B_902/2019 consid. 1.2; TF 6B_1188/2018 consid. 2.1). Dans le cadre de cette pesée d'intérêts, il convient d'appliquer les mêmes critères que ceux prévalant en matière d'administration des preuves par les autorités. Les moyens de preuve ne sont ainsi exploitables que s'ils sont indispensables pour élucider des infractions graves (TF 6B_1468/2019 consid. 1.3.1 ; TF 6B_1188/2018 consid. 2) 1.2. Peuvent notamment être qualifiées d'illicites les preuves résultant d'une violation de la loi fédérale du 19 juin 1992 sur la protection des données ou du Code civil (TF 6B_1468/2019 consid. 1.3.2 ; TF 6B_1404/2019 consid. 1.4; TF 6B_1188/2018 consid. 3; TF 6B_1310/2015 consid. 5 et 7; TF 6B_536/2009 consid. 3.7). Les preuves récoltées de manière licite par des particuliers sont exploitables sans restriction (TF 6B_902/2019 consid. 1.2; TF 6B_741/2019 consid. 5.2). 2. 2.1. A teneur de l'art. 3 LPD, on entend par données personnelles, toutes les informations qui se rapportent à une personne identifiée ou identifiable (let. a). Le traitement de données doit être effectué conformément aux principes de la bonne foi et de la proportionnalité (art. 4 al. 2 LPD). La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée (art. 4 al. 4 LPD). L'art. 12 LPD dispose que quiconque traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées (al. 1). Selon l'al. 2, personne n'est en droit notamment de traiter des données personnelles en violation des principes définis aux art. 4, 5 al. 1, et 7 al. 1 (let. a) ou de traiter des données contre la volonté expresse de la personne concernée sans motifs justificatifs (let. b). Les motifs justificatifs sont régis par l'art. 13 LPD, dont l'al. 1 prévoit qu'une atteinte à la personnalité est illicite à moins d'être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.”
“Selon la jurisprudence, ces preuves ne sont exploitables que si, d'une part, elles auraient pu être recueillies licitement par les autorités pénales et si, d'autre part, une pesée des intérêts en présence plaide pour une exploitabilité (cf. ATF 146 IV 226 consid. 2.1 p. 228). Dans le cadre de cette pesée d'intérêts, il convient d'appliquer les mêmes critères que ceux prévalant en matière d'administration des preuves par les autorités. Les moyens de preuve ne sont ainsi exploitables que s'ils sont indispensables pour élucider des infractions graves (ATF 147 IV 16 consid. 1.1 p. 18 s. et les références citées; 147 IV 9 consid. 1.3.1 p. 11; 146 IV 226 consid. 2 p. 228 et les références citées). Peuvent notamment être qualifiées d'illicites les preuves résultant d'une violation de la loi fédérale du 19 juin 1992 sur la protection des données (LPD; RS 235.1) ou du Code civil (cf. ATF 147 IV 9 consid. 1.3.2 p. 11; 146 IV 226 consid. 3 p. 229). Les preuves récoltées de manière licite par des particuliers sont exploitables sans restriction (ATF 147 IV 16 consid. 1.2 p. 19 et les références citées). A teneur de l'art. 3 LPD, on entend par données personnelles, toutes les informations qui se rapportent à une personne identifiée ou identifiable (let. a). Le traitement de données doit être effectué conformément aux principes de la bonne foi et de la proportionnalité (art. 4 al. 2 LPD). La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée (art. 4 al. 4 LPD). L'art. 12 LPD dispose que quiconque traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées (al. 1). Selon l'al. 2, personne n'est en droit notamment de traiter des données personnelles en violation des principes définis aux art. 4, 5 al. 1, et 7 al. 1 (let.”
“Les moyens de preuve ne sont ainsi exploitables que s’ils sont indispensables pour élucider des infractions graves (ATF 147 IV 16 précité ; ATF 147 IV 9 consid. 1.3.1 ; ATF 146 IV 226 précité consid. 2 et les références citées). En tout état de cause, au stade de l’instruction, il convient de ne constater l’inexploitabilité de ce genre de moyen de preuve que dans des cas manifestes (ATF 146 IV 226 précité ; TF 1B_234/2018 du 27 juillet 2018 consid. 3.1 et les références citées ; Moreillon/Parein-Reymond, Petit commentaire, Code de procédure pénale, 2e éd., Bâle 2016, n. 5 ad art. 141 CPP). Peuvent notamment être qualifiées d’illicites les preuves résultant d’une violation de la LPD ou du Code civil (Code civil suisse du 10 décembre 1907 ; RS 210) (ATF 147 IV 16 précité consid. 1.2 ; ATF 147 IV 9 précité consid. 1.3.2 ; ATF 146 IV 226 précité consid. 3). Les preuves récoltées de manière licite par des particuliers sont exploitables sans restriction (ATF 147 IV 16 précité ; TF 6B_902/2019 du 8 janvier 2020 consid. 1.2 ; TF 6B_741/2019 du 21 août 2019 consid. 5.2). 3.2.3 A teneur de l’art. 3 LPD, on entend par « données personnelles », toutes les informations qui se rapportent à une personne identifiée ou identifiable (let. a). Le traitement de données doit être effectué conformément aux principes de la bonne foi et de la proportionnalité (art. 4 al. 2 LPD). La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée (art. 4 al. 4 LPD). L’art. 12 LPD dispose que quiconque traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées (al. 1). Selon l’alinéa 2, personne n’est en droit notamment de traiter des données personnelles en violation des principes définis aux art. 4, 5 al. 1, et 7 al. 1 (let. a) ou de traiter des données contre la volonté expresse de la personne concernée sans motifs justificatifs (let. b). Les motifs justificatifs sont régis par l’art. 13 LPD, dont l’alinéa 1 prévoit qu’une atteinte à la personnalité est illicite à moins d’être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.”
Anonymisierung bedeutet, dass der Personenbezug irreversibel aufgehoben wird; anonymisierte Daten sind damit keine Personendaten mehr. Bei der Pseudonymisierung bleibt der Personenbezug nur reversibel aufgehoben; wer Zugang zum Schlüssel (oder zu sonstigen Re-Identifizierungsmöglichkeiten) hat, verfügt weiterhin über Personendaten. Ob für Empfänger ein Personenbezug noch herstellbar ist, bestimmt damit, ob Daten als Personendaten gelten. Die Vorgänge der Anonymisierung und Pseudonymisierung sind als Bearbeitung von Personendaten im Sinne von Art. 3 lit. e DSG zu qualifizieren.
“Anonymisierung von Daten bedeutet, dass der Personenbezug irreversibel aufge- hoben wird (B LECHTA, in: Basler Kommentar, Datenschutzgesetz / Öffentlichkeits- gesetzt, 3. Aufl. 2014, N. 13 zu Art. 3 DSG; ROSENTHAL, a.a.O., N. 35 zu Art. 3 DSG; RUDIN, in: Stämpflis Handkommentar, Datenschutzgesetz (DSG), 2015, N. 13 zu Art. 3 DSG). Anonymisierte Daten sind keine Personendaten mehr (Blechta, N. 13). Bei der Pseudonymisierung wird der Personenbezug nur rever- sibel aufgehoben, indem der Schlüssel zur Re-Identifizierung bzw. Re- Personalisierung erhalten bleibt (RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Für alle, die Zugang zum Schlüssel haben, bleiben pseudonymisierte Personendaten weiter- hin Personendaten im Sinne des DSG. Für Personen, die keinen Zugang zum Schlüssel haben und auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können, stellen pseudonymisierte Personendaten hingegen keine Personendaten mehr dar (R OSENTHAL, a.a.O., N. 36 zu Art. 3 DSG; RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Die Anonymisierung oder Pseudonymisierung stellt eine Bearbeitung von Personendaten im Sinne von Art. 3 lit. e DSG dar, auch wenn deren Resultat (gegebenenfalls) keine Personen- daten bzw. geschützten Daten mehr sind (zit. Urteil des Bundesgerichts 4A_365/2017 E. 5.2.2; R OSENTHAL, a.a.O. N. 63 zu Art. 3 DSG). Wenn Personen- daten vor der Bekanntgabe ins Ausland so anonymisiert oder pseudonymisiert werden, dass deren Empfänger im Ausland keinen Personenbezug mehr herstel- len kann, liegt auch keine grenzüberschreitende Bekanntgabe von Personendaten im Sinne von Art. 6 DSG vor (R OSENTHAL, a.a.O., N. 36 zu Art. 3 und N. 8 zu Art. 6 DSG). - 13 -”
“5, in welchem Fall die Inhaber der dort in Frage stehenden, weitergegebenen IP- Adressen erst durch Einleitung eines Strafverfahrens gegen unbekannt und da- rauf folgende Einsicht in die Strafakten durch die Empfänger der betreffenden IP- Adressen ermittelt werden konnten; vgl. dazu auch Urteil des Appellationsgerichts Basel-Stadt (ZB.2019.3) vom 9. August 2019 E. 4.2.1). Anonymisierung von Daten bedeutet, dass der Personenbezug irreversibel aufge- hoben wird (B LECHTA, in: Basler Kommentar, Datenschutzgesetz / Öffentlichkeits- gesetzt, 3. Aufl. 2014, N. 13 zu Art. 3 DSG; ROSENTHAL, a.a.O., N. 35 zu Art. 3 DSG; RUDIN, in: Stämpflis Handkommentar, Datenschutzgesetz (DSG), 2015, N. 13 zu Art. 3 DSG). Anonymisierte Daten sind keine Personendaten mehr (Blechta, N. 13). Bei der Pseudonymisierung wird der Personenbezug nur rever- sibel aufgehoben, indem der Schlüssel zur Re-Identifizierung bzw. Re- Personalisierung erhalten bleibt (RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Für alle, die Zugang zum Schlüssel haben, bleiben pseudonymisierte Personendaten weiter- hin Personendaten im Sinne des DSG. Für Personen, die keinen Zugang zum Schlüssel haben und auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können, stellen pseudonymisierte Personendaten hingegen keine Personendaten mehr dar (R OSENTHAL, a.a.O., N. 36 zu Art. 3 DSG; RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Die Anonymisierung oder Pseudonymisierung stellt eine Bearbeitung von Personendaten im Sinne von Art. 3 lit. e DSG dar, auch wenn deren Resultat (gegebenenfalls) keine Personen- daten bzw. geschützten Daten mehr sind (zit. Urteil des Bundesgerichts 4A_365/2017 E. 5.2.2; R OSENTHAL, a.a.O. N. 63 zu Art. 3 DSG). Wenn Personen- daten vor der Bekanntgabe ins Ausland so anonymisiert oder pseudonymisiert werden, dass deren Empfänger im Ausland keinen Personenbezug mehr herstel- len kann, liegt auch keine grenzüberschreitende Bekanntgabe von Personendaten im Sinne von Art.”
“Anonymisierung von Daten bedeutet, dass der Personenbezug irreversibel aufge- hoben wird (B LECHTA, in: Basler Kommentar, Datenschutzgesetz / Öffentlichkeits- gesetzt, 3. Aufl. 2014, N. 13 zu Art. 3 DSG; ROSENTHAL, a.a.O., N. 35 zu Art. 3 DSG; RUDIN, in: Stämpflis Handkommentar, Datenschutzgesetz (DSG), 2015, N. 13 zu Art. 3 DSG). Anonymisierte Daten sind keine Personendaten mehr (Blechta, N. 13). Bei der Pseudonymisierung wird der Personenbezug nur rever- sibel aufgehoben, indem der Schlüssel zur Re-Identifizierung bzw. Re- Personalisierung erhalten bleibt (RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Für alle, die Zugang zum Schlüssel haben, bleiben pseudonymisierte Personendaten weiter- hin Personendaten im Sinne des DSG. Für Personen, die keinen Zugang zum Schlüssel haben und auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können, stellen pseudonymisierte Personendaten hingegen keine Personendaten mehr dar (R OSENTHAL, a.a.O., N. 36 zu Art. 3 DSG; RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Die Anonymisierung oder Pseudonymisierung stellt eine Bearbeitung von Personendaten im Sinne von Art. 3 lit. e DSG dar, auch wenn deren Resultat (gegebenenfalls) keine Personen- daten bzw. geschützten Daten mehr sind (zit. Urteil des Bundesgerichts 4A_365/2017 E. 5.2.2; R OSENTHAL, a.a.O. N. 63 zu Art. 3 DSG). Wenn Personen- daten vor der Bekanntgabe ins Ausland so anonymisiert oder pseudonymisiert werden, dass deren Empfänger im Ausland keinen Personenbezug mehr herstel- len kann, liegt auch keine grenzüberschreitende Bekanntgabe von Personendaten im Sinne von Art. 6 DSG vor (R OSENTHAL, a.a.O., N. 36 zu Art. 3 und N. 8 zu Art. 6 DSG). - 13 -”
Nach heute geltendem Recht umfasst Art. 3 DSG auch den Schutz von Personendaten juristischer Personen (Art. 3 lit. b). Das totalrevidierte Datenschutzgesetz vom 25. September 2020 sieht nach den Vorbemerkungen voraussichtlich keinen Schutz für juristische Personen mehr vor.
“Der im BGÖ verwendete Begriff der Personendaten entspricht dem Begriff, wie er in Art. 3 DSG definiert wird. Nach Art. 3 lit. a DSG sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, Personendaten. Zu den besonders schützenswerten Personendaten gehören nach Art. 3 lit. c Ziff. 4 DSG unter anderem die Daten über administrative oder strafrechtliche Verfolgungen und Sanktionen. Der Datenschutz kommt nach heute noch geltendem Recht nicht nur natürlichen, sondern auch juristischen Personen zugute (Art. 3 lit. b DSG; BGE 144 II 77 E. 5.1 mit Hinweisen; das totalrevidierte Datenschutzgesetz vom 25. September 2020, das voraussichtlich im Jahr 2023 in Kraft treten wird, schützt Personendaten von juristischen Personen nicht mehr, vgl. z.B. Art. 1 des neuen Gesetzes, BBl 2020 7639).”
Kantonale Behörden sind keine Organe des Bundes, auch wenn sie Bundesaufgaben wahrnehmen. Folglich fällt die Bearbeitung von Personendaten durch und unter kantonale Behörden in den Geltungsbereich der kantonalen Datenschutzgesetze (z. B. KDSG des Kantons Bern) und nicht in den Anwendungsbereich des Bundes-DSG.
“Das DSG gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen und Bundesorgane (vgl. Art. 2 Abs. 1 DSG). Behörden der Kantone stellen keine Organe des Bundes dar, selbst wenn sie Bundesaufgaben wahrnehmen (Gabor P. Blechta, in: Basler Kommentar, Datenschutzgesetz / Öffentlichkeitsgesetz, 3. Aufl. 2014, N. 82 zu Art. 3 DSG). Die Bearbeitung von Personendaten durch und unter kantonalen Behörden fällt in den Geltungsbereich der kantonalen Datenschutzgesetze, im Kanton Bern des Datenschutzgesetzes (KDSG, BSG 152.04).”
“Das DSG gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen und Bundesorgane (vgl. Art. 2 Abs. 1 DSG). Behörden der Kantone stellen keine Organe des Bundes dar, selbst wenn sie Bundesaufgaben wahrnehmen (Gabor P. Blechta, in: Basler Kommentar, Datenschutzgesetz / Öffentlichkeitsgesetz, 3. Aufl. 2014, N. 82 zu Art. 3 DSG). Die Bearbeitung von Personendaten durch und unter kantonalen Behörden fällt in den Geltungsbereich der kantonalen Datenschutzgesetze, im Kanton Bern des Datenschutzgesetzes (KDSG, BSG 152.04).”
Zum Personenbegriff gehören auch Werturteile und Meinungsäusserungen.
“Gemäss Art. 3 Bst. a DSG sind Personendaten (Daten) alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Unter den Datenbegriff fällt dabei jede Art von Information, sowohl Tatsachenfeststellungen als auch Werturteile, mit denen Meinungen und Beurteilungen kundgetan werden (Urteil des BGer 2C_726/2018 vom 14. Oktober 2019 E. 3.4; Gabor P. Blechta, in: Basler Kommentar, Datenschutzgesetz, Öffentlichkeitsgesetz, 3. Aufl. 2014 [nachfolgend: Basler Kommentar], N. 6 zu Art. 3 DSG). Gemäss Art. 5 DSG hat, wer Personendaten bearbeitet, sich über deren Richtigkeit zu vergewissern. Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind (Abs. 1). Jede betroffene Person kann verlangen, dass unrichtige Daten berichtigt werden (Abs. 2). Personendaten sind dann richtig, wenn sie die Umstände und Tatsachen, bezogen auf die betroffene Person, sachgerecht wiedergeben. Daten müssen im Gesamtzusammenhang richtig sein, wobei der Zweck und die Art der Bearbeitung der Datensammlung zu berücksichtigen sind (Urteil des BGer 2C_726/2018 vom 14. Oktober 2019 E. 3.4; Urs Maurer-Lambrou/Matthias Raphael Schönbächler, in: Basler Kommentar, N. 5 zu Art. 5 DSG).”
Soweit ein Datensystem wie das in der Rechtssache Quattro P in der Schweiz wirksame Folgen hat, findet das DSG Anwendung auf die dort gespeicherten personenbezogenen Daten. Das Bundesverwaltungsgericht bestätigt, dass für Quattro P – namentlich Rechte auf Auskunft sowie Pflichten zur Berichtigung und Löschung und die Höchstdauer der Speicherung – das DSG gilt und der Zugang zu den Daten nach Art. 63 LRens durch das DSG geregelt wird.
“Les collaborateurs du SRC vérifient au moins une fois par an si les blocs de données personnelles transmises au SRC par les organes de contrôle à la frontière coïncident avec la liste établie par le Conseil fédéral en vertu de l'art. 55 al. 4 LRens (art. 54 al. 1 OSIS-SRC). Ils effacent les données devenues inutiles (al. 2). Ils rectifient, marquent ou effacent les données qui s'avèrent inexactes (al. 3). Enfin, la durée de conservation des données figurant dans le système Quattro P est de 5 ans au plus (art. 55 OSIS-SRC). 7.2.3 Selon l'art. 63 al. 1 LRens, le droit d'accès aux données saisies dans le système d'information Quattro P est régi par la LPD. 7.3 La LPD a pour but de protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; cf. arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3 ; arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.1). Elle régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (art. 2 al. 1 let. a LPD) ou des organes fédéraux (art. 2 al. 1 let. b LPD). 7.3.1 Selon l'art. 3 LPD, constituent des données personnelles toutes les informations se rapportant à une personne identifiée ou identifiable (let. a), alors que les données sensibles portent sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l'appartenance à une race, des mesures d'aide sociale ou des poursuites ou sanctions pénales et administratives (let. c). Par traitement, il faut comprendre toute opération relative à des données personnelles - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (let. e). Les informations et données visées par l'art. 3 let. a et let. e LPD peuvent consister en des constatations de fait ou en des jugements de valeur se rapportant à une personne identifiée ou identifiable, peu importe la forme des données (signe, mot, image, son ou une combinaison de ces éléments) et le support sur lequel elles reposent (matériel ou électronique) (cf.”
Ob eine Information als «beziehbar auf eine bestimmbare Person» im Sinne von Art. 3 lit. a DSG gilt, beurteilt sich aus der Sicht des jeweiligen Inhabers der Information. Können Datensätze mithilfe der AHV‑Nummer — bzw. gegebenenfalls weiterer zusätzlicher Angaben — miteinander verbunden werden, kann daraus die Bestimmbarkeit der betroffenen Person folgen.
“Ob eine Information aufgrund zusätzlicher Angaben mit einer Person in Verbindung gebracht werden kann, sich die Information mithin auf eine bestimmbare Person im Sinne von Art. 3 lit. a DSG bezieht, beurteilt sich aus der Sicht des jeweiligen Inhabers der Information (BGE 138 II 346 E. 6.1; 136 II 508 E. 3.4 mit Hinweisen; DAVID ROSENTHAL, in: Handkommentar zum Datenschutzgesetz, 2008, N. 20 und 25 f. zu Art. 3 DSG; BELSER/NOUREDDINE, in: Datenschutzrecht, Grundlagen und öffentliches Recht, 2011, S. 423). Inhaber sowohl der Informationen im archivierten Stichprobenrahmen als auch im Stichprobenregister (inklusive Adressverzeichnis) ist vorliegend unbestrittenermassen das BFS. An dieses sind gemäss Bearbeitungsreglement Auskunftsbegehren gemäss Art. 8 DSG zu stellen (Bearbeitungsreglement, Ziff. 8) und dieses Amt war es auch, das dem Beschwerdeführer mit Schreiben vom 16. April 2019 Auskunft über die im Stichprobenregister über dessen Person gespeicherte Daten Auskunft erteilt hat. Da die AHV-Nummer sowohl im archivierten Stichprobenrahmen als auch im Adressverzeichnis enthalten ist, können die Informationen aus diesen beiden Verzeichnissen anhand dieser Nummer miteinander verbunden werden. Insofern erachtete auch die Vorinstanz die Bestimmbarkeit der betroffenen Person als gegeben; erwog sie doch, wenn diese im Zeitpunkt einer Anfragebearbeitung gleichzeitig in einem (separaten) Adressverzeichnis erfasst wäre, könnte insbesondere über die AHV-Nummer (und eventuell andere Daten) eine Verbindung zum Namen oder Vornamen gefunden werden bzw.”
“Ob eine Information aufgrund zusätzlicher Angaben mit einer Person in Verbindung gebracht werden kann, sich die Information mithin auf eine bestimmbare Person im Sinne von Art. 3 lit. a DSG bezieht, beurteilt sich aus der Sicht des jeweiligen Inhabers der Information (BGE 138 II 346 E. 6.1; 136 II 508 E. 3.4 mit Hinweisen; DAVID ROSENTHAL, in: Handkommentar zum Datenschutzgesetz, 2008, N. 20 und 25 f. zu Art. 3 DSG; BELSER/NOUREDDINE, in: Datenschutzrecht, Grundlagen und öffentliches Recht, 2011, S. 423). Inhaber sowohl der Informationen im archivierten Stichprobenrahmen als auch im Stichprobenregister (inklusive Adressverzeichnis) ist vorliegend unbestrittenermassen das BFS. An dieses sind gemäss Bearbeitungsreglement Auskunftsbegehren gemäss Art. 8 DSG zu stellen (Bearbeitungsreglement, Ziff. 8) und dieses Amt war es auch, das dem Beschwerdeführer mit Schreiben vom 16. April 2019 Auskunft über die im Stichprobenregister über dessen Person gespeicherte Daten Auskunft erteilt hat. Da die AHV-Nummer sowohl im archivierten Stichprobenrahmen als auch im Adressverzeichnis enthalten ist, können die Informationen aus diesen beiden Verzeichnissen anhand dieser Nummer miteinander verbunden werden. Insofern erachtete auch die Vorinstanz die Bestimmbarkeit der betroffenen Person als gegeben; erwog sie doch, wenn diese im Zeitpunkt einer Anfragebearbeitung gleichzeitig in einem (separaten) Adressverzeichnis erfasst wäre, könnte insbesondere über die AHV-Nummer (und eventuell andere Daten) eine Verbindung zum Namen oder Vornamen gefunden werden bzw.”
Als «Angabe» genügt nach ständiger Verwaltungspraxis bereits ein informations‑ oder kenntnisvermittelnder Gehalt; der Begriff ist weit zu verstehen. Zu welchem Zweck Angaben bearbeitet werden oder ob der Datenbearbeiter an ihnen interessiert ist, spielt für die Qualifikation als Personendatum keine Rolle.
“Ebenso wenig kommt es darauf an, ob der Datenbearbeiter an den betreffenden Informationen mit Personenbezug überhaupt interessiert ist (vgl. Rosenthal, in: HK aDSG, a.a.O., Rz. 16 zu Art. 3 DSG). Eine Person ist dann im Sinne von Art. 3 Bst. a aDSG bestimmt, wenn sich aus den Informationen selbst ergibt, dass es sich genau um diese Person handelt (Urteile BGer 1C_425/2020 vom 28. Februar 2022 E. 3.1 und 4A_365/2017 vom 26. Februar 2018 E. 5). Unter Angaben ist jede Art von Information zu verstehen, die dem «Vermitteln oder Verfügbarhalten von Kenntnis dient». Der Begriff ist ausserordentlich weit; die Information muss schlicht einen Informationsgehalt haben. Unerheblich ist, ob die Information als Tatsachenfeststellung oder als Werturteil daherkommt (Rudin, SHK DSG, a.a.O., Rz. 3 ff. zu Art. 5 DSG). Insofern ist der Inhalt der Information unerheblich. Es kommt nicht darauf an, wie stark die Information einen Bezug zur Persönlichkeit der betroffenen Person aufweist (Rosenthal, in: HK aDSG, a.a.O., Rz. 10 zu Art. 3 DSG).”
“Der Begriff des Personendatums ist ausserordentlich weit zu verstehen. Darunter werden alle Informationen, die mit einer natürlichen oder juristischen Person in Verbindung gebracht werden können, erfasst (vgl. Beat Rudin, in: Baeriswyl/Pärli/Blonski [Hrsg.], Datenschutzgesetz [DSG], SHK - Stämpflis Handkommentar, 2. Aufl. 2023 [nachfolgend: SHK DSG], Rz. 7 zu Art. 5 DSG; Blechta, in: BSK aDSG, a.a.O., Rz. 7 zu Art. 3 aDSG). Personendaten Dritter, die sich im selben Dokument befinden, sind in der Regel keine Personendaten der betroffenen Person, ausser sie beziehen sich auf letztere (vgl. Ralph Gramigna, in: Blechta/Vasella [Hrsg.], Datenschutzgesetz - Öffentlichkeitsgesetz, Basler Kommentar, 4. Aufl. 2024, Rz. 20 zu 25 DSG). Zu welchem Zweck Angaben bearbeitet werden, spielt für deren Qualifikation als Personendaten keine Rolle. Ebenso wenig kommt es darauf an, ob der Datenbearbeiter an den betreffenden Informationen mit Personenbezug überhaupt interessiert ist (vgl. Rosenthal, in: HK aDSG, a.a.O., Rz. 16 zu Art. 3 DSG). Eine Person ist dann im Sinne von Art. 3 Bst. a aDSG bestimmt, wenn sich aus den Informationen selbst ergibt, dass es sich genau um diese Person handelt (Urteile BGer 1C_425/2020 vom 28. Februar 2022 E. 3.1 und 4A_365/2017 vom 26. Februar 2018 E. 5). Unter Angaben ist jede Art von Information zu verstehen, die dem «Vermitteln oder Verfügbarhalten von Kenntnis dient». Der Begriff ist ausserordentlich weit; die Information muss schlicht einen Informationsgehalt haben. Unerheblich ist, ob die Information als Tatsachenfeststellung oder als Werturteil daherkommt (Rudin, SHK DSG, a.a.O., Rz. 3 ff. zu Art. 5 DSG). Insofern ist der Inhalt der Information unerheblich. Es kommt nicht darauf an, wie stark die Information einen Bezug zur Persönlichkeit der betroffenen Person aufweist (Rosenthal, in: HK aDSG, a.a.O., Rz. 10 zu Art. 3 DSG).”
Für die Frage, ob ein Informationsbestand von mehreren Organen gemeinsam bearbeitet wird, ist keine zentrale (elektronische) Datenbank erforderlich. Entscheidend ist, dass mehrere öffentliche Organe denselben Informationsbestand nutzen und bearbeiten; Erscheinungsform, physische Implementation, Speichermodalitäten und Speichermedium sind dabei unerheblich.
“Gemeinsam bearbeitete Informationsbestände sind insbesondere (elektronische) Datenbanken, die von verschiedenen öffentlichen Organen genutzt werden, also nicht bloss einem einzelnen öffentlichen Organ zur Aufgabenerfüllung dienen (Rudin, a.a.O., § 6 N 25). Die Speicherung des Informationsbestands in einer zentralen (elektronischen) Datenbank ist entgegen der Ansicht der Rekurrenten (vgl. Rekursbegründung Rz. 16 f.) aber keine notwendige Voraussetzung für die Anwendung von § 6 Abs. 2 IDG BS. Erforderlich ist bloss, dass mehrere öffentliche Organe einen gemeinsamen Informationsbestand bearbeiten. Die Erscheinungsform, die physische Implementation, die Speichermodalitäten und das Speichermedium des Informationsbestands sind unerheblich (vgl. betreffend Datensammlungen Blechta, in: Basler Kommentar, 3. Auflage 2014, Art. 3 DSG N 80; Rosenthal, in: Rosenthal/Jöhri, Handkommentar zum Datenschutzgesetz, Zürich 2008, Art. 3 N 95 und Art. 11a N 57). Dafür spricht auch, dass gemäss § 3 Abs. 5 IDG BS jeder Umgang mit Informationen unabhängig von den angewandten Mitteln und Verfahren als Bearbeiten gilt.”
Daten aus Aufsichtsverfahren sind als besonders schützenswerte Personendaten zu qualifizieren. Für die Einstufung ist massgeblich, dass solche Verfahren zu Sanktionen führen können; die datenschutzrechtliche Gleichstellung von natürlichen und juristischen Personen bedeutet, dass dies auch für Akten betrifft, die eine juristische Person zum Gegenstand haben.
“Sie dürfe daher nur in seltenen Fällen, beispielsweise wenn die Glaubwürdigkeit des Schweizer Aufsichtssystems bedroht sei, angeordnet werden (Peter Böckli, Revisionsstelle und Abschlussprüfung nach neuem Recht, 2007, S. 38). Entgegen der Auffassung des Beschwerdeführers stellen die Aufsichtsverfahren der Vorinstanz keine Gerichtsverfahren im Sinne von Art. 30 BV dar. Die verfahrensabschliessenden Endverfügungen sind daher auch keine Gerichtsurteile, welche öffentlich zu verkünden wären (vgl. Art. 30 Abs. 2 BV). Vielmehr stellen Daten über administrative oder strafrechtliche Verfolgungen und Sanktionen besonders schützenswerte Personendaten dar (Art. 3 Bst. c Ziff. 4 Bundesgesetz über den Datenschutz vom 19. Juni 1992 [DSG, SR 235.1]; BGE 142 II 268 E. 6.1). Aufsichtsrechtliche Verfahren der Vorinstanz können zu Sanktionen führen, weshalb die Akten dieser Verfahren als besonders schützenswerte Personendaten im Sinne dieser Bestimmung einzustufen sind. Natürliche und juristische Personen sind in datenschutzrechtlicher Hinsicht grundsätzlich gleichgestellt (vgl. Art. 3 Bst. b DSG; Gabor P. Blechta, in: BSK DSG/BGÖ, Art. 3 DSG N 21), weshalb der Umstand, dass die B._______ eine juristische und keine natürliche Person ist, in Bezug auf die Einstufung der in Frage stehenden Verfahrensakten als besonders schützenswerte Personendaten nicht relevant ist. Das Datenschutzgesetz sieht vor, dass im Rahmen der behördlichen Information der Öffentlichkeit von Amtes wegen oder im Fall eines Zugangsgesuchs gestützt auf das Öffentlichkeitsgesetz Personendaten von Dritten nur bekannt gegeben werden dürfen, wenn die betreffenden Personendaten im Zusammenhang mit der Erfüllung öffentlicher Aufgaben stehen und an deren Bekanntgabe ein überwiegendes öffentliches Interesse besteht (Art. 19 Abs. 1bis DSG). Selbst wenn die Bestimmung von Art. 19 Abs. 2 RAG nicht als lex specialis im Sinne von Art. 4 BGÖ eingestuft würde, würden es daher auch die Bestimmungen des Datenschutzgesetzes der Vorinstanz verbieten, auf ein Gesuch nach dem Öffentlichkeitsgesetz hin einem Dritten gegen den Willen des betreffenden Beaufsichtigten Zugang zu den Akten eines laufenden oder abgeschlossenen Aufsichtsverfahrens zu gewähren, sofern diese Voraussetzungen nicht gegeben sind.”
Anonymisierung bedeutet das irreversible Aufheben des Personenbezugs. Anonymisierte Daten gelten daher nicht mehr als Personendaten im Sinne von Art. 3 DSG.
“Anonymisierung von Daten bedeutet, dass der Personenbezug irreversibel aufge- hoben wird (B LECHTA, in: Basler Kommentar, Datenschutzgesetz / Öffentlichkeits- gesetzt, 3. Aufl. 2014, N. 13 zu Art. 3 DSG; ROSENTHAL, a.a.O., N. 35 zu Art. 3 DSG; RUDIN, in: Stämpflis Handkommentar, Datenschutzgesetz (DSG), 2015, N. 13 zu Art. 3 DSG). Anonymisierte Daten sind keine Personendaten mehr (Blechta, N. 13). Bei der Pseudonymisierung wird der Personenbezug nur rever- sibel aufgehoben, indem der Schlüssel zur Re-Identifizierung bzw. Re- Personalisierung erhalten bleibt (RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Für alle, die Zugang zum Schlüssel haben, bleiben pseudonymisierte Personendaten weiter- hin Personendaten im Sinne des DSG. Für Personen, die keinen Zugang zum Schlüssel haben und auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können, stellen pseudonymisierte Personendaten hingegen keine Personendaten mehr dar (R OSENTHAL, a.a.O., N. 36 zu Art. 3 DSG; RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Die Anonymisierung oder Pseudonymisierung stellt eine Bearbeitung von Personendaten im Sinne von Art. 3 lit. e DSG dar, auch wenn deren Resultat (gegebenenfalls) keine Personen- daten bzw. geschützten Daten mehr sind (zit. Urteil des Bundesgerichts 4A_365/2017 E. 5.2.2; R OSENTHAL, a.a.O. N. 63 zu Art. 3 DSG). Wenn Personen- daten vor der Bekanntgabe ins Ausland so anonymisiert oder pseudonymisiert werden, dass deren Empfänger im Ausland keinen Personenbezug mehr herstel- len kann, liegt auch keine grenzüberschreitende Bekanntgabe von Personendaten im Sinne von Art. 6 DSG vor (R OSENTHAL, a.a.O., N. 36 zu Art. 3 und N. 8 zu Art. 6 DSG). - 13 -”
“5, in welchem Fall die Inhaber der dort in Frage stehenden, weitergegebenen IP- Adressen erst durch Einleitung eines Strafverfahrens gegen unbekannt und da- rauf folgende Einsicht in die Strafakten durch die Empfänger der betreffenden IP- Adressen ermittelt werden konnten; vgl. dazu auch Urteil des Appellationsgerichts Basel-Stadt (ZB.2019.3) vom 9. August 2019 E. 4.2.1). Anonymisierung von Daten bedeutet, dass der Personenbezug irreversibel aufge- hoben wird (B LECHTA, in: Basler Kommentar, Datenschutzgesetz / Öffentlichkeits- gesetzt, 3. Aufl. 2014, N. 13 zu Art. 3 DSG; ROSENTHAL, a.a.O., N. 35 zu Art. 3 DSG; RUDIN, in: Stämpflis Handkommentar, Datenschutzgesetz (DSG), 2015, N. 13 zu Art. 3 DSG). Anonymisierte Daten sind keine Personendaten mehr (Blechta, N. 13). Bei der Pseudonymisierung wird der Personenbezug nur rever- sibel aufgehoben, indem der Schlüssel zur Re-Identifizierung bzw. Re- Personalisierung erhalten bleibt (RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Für alle, die Zugang zum Schlüssel haben, bleiben pseudonymisierte Personendaten weiter- hin Personendaten im Sinne des DSG. Für Personen, die keinen Zugang zum Schlüssel haben und auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können, stellen pseudonymisierte Personendaten hingegen keine Personendaten mehr dar (R OSENTHAL, a.a.O., N. 36 zu Art. 3 DSG; RUDIN, a.a.O., N. 14 zu Art. 3 DSG). Die Anonymisierung oder Pseudonymisierung stellt eine Bearbeitung von Personendaten im Sinne von Art. 3 lit. e DSG dar, auch wenn deren Resultat (gegebenenfalls) keine Personen- daten bzw. geschützten Daten mehr sind (zit. Urteil des Bundesgerichts 4A_365/2017 E. 5.2.2; R OSENTHAL, a.a.O. N. 63 zu Art. 3 DSG). Wenn Personen- daten vor der Bekanntgabe ins Ausland so anonymisiert oder pseudonymisiert werden, dass deren Empfänger im Ausland keinen Personenbezug mehr herstel- len kann, liegt auch keine grenzüberschreitende Bekanntgabe von Personendaten im Sinne von Art.”
Die Qualifikation als besonders schützenswerte (sensible) Personendaten erfolgt abstrakt bzw. formal: Es genügt, dass eine Angabe in den gesetzlich genannten Kategorien liegt (z. B. Gesundheit, intime Sphäre, religiöse oder politische Überzeugungen, Zugehörigkeit zu einer Rasse, Sozialhilfemassnahmen, straf- oder aufsichtsrechtliche Verfolgungen). Massgeblich ist damit der Datentyp selbst, unabhängig vom konkreten Gefährdungs- oder Eingriffspotenzial im Einzelfall. Die Aufzählung in Art. 3 DSG ist ausschliesslich.
“a) ; sont des données sensibles les données personnelles sur : les opinions ou les activités religieuses, philosophiques, politiques ou syndicales (let. c ch. 1), la santé, la sphère intime, ou l'appartenance à une race (let. c ch. 2), des mesures d'aide sociale (let. c ch. 3) et des poursuites ou des sanctions pénales et administratives (let. c, ch. 4) ; est un profil de la personnalité un assemblage de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique (let. d) ; par communication, on entend le fait de rendre les données personnelles accessibles, par exemple en autorisant leur consultation, en les transmettant et en les diffusant (let. f). La qualification de donnée sensible est de nature abstraite ou formelle, c’est-à-dire qu’il suffit qu’une donnée porte sur l’un des sujets évoqués ci-dessus pour être protégée, peu importe le potentiel d’atteinte à la personnalité qui existe réellement (Cellina, La commercialisation des données personnelles, 2020, n° 156 p. 46 ; Blechta, in Basler Kommentar LPD, n. 27 ad art. 3 LPD 3 N 27 ; Meier, Protection des données, 2011, nos 469 et 474 pp. 215-216). L’énumération de l’art. 3 LPD est exhaustive : ainsi, une donnée telle que le revenu ou l’état de la fortune n’est pas une donnée sensible au sens de cette loi (ATF 124 I 176, p. 179 ; Meier, op. et loc. cit., et les références citées). La définition est de nature statique et se réfère exclusivement au type de données en cause ; certaines données en elles-mêmes anodines (par ex. un nom et une adresse) peuvent, en fonction du contexte ou du but de leur traitement (par exemple si elles figurent sur une liste de personnes recherchées ou un fichier de mauvais payeurs), avoir un potentiel important d’atteinte à la personnalité (Meier, op. cit., no 476 p. 216 et les références citées). Les informations formant un profil de la personnalité sont diverses et variées et peuvent par exemple révéler la structure de la personnalité, mais aussi les compétences ou les activités d’une personne, ainsi que ses habitudes. L’existence d’un profil de la personnalité se définit au cas par cas en fonction des circonstances et après une analyse de la situation permettant de savoir si l’assemblage d’information constitue effectivement un profil de la personnalité au sens de la définition légale.”
“c) ; par traitement toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données (let. d) ; par communication le fait de transmettre des données personnelles ou de les rendre accessibles (let. e) ; et par profilage toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique (let. f). La qualification de donnée sensible est de nature abstraite ou formelle, c'est-à-dire qu'il suffit qu'une donnée porte sur l'un des sujets évoqués ci-dessus pour être protégée, peu importe le potentiel d'atteinte à la personnalité qui existe réellement (Cellina, La commercialisation des données personnelles, 2020, n. 56 p. 46 ; Blechta, Basler Kommentar LPD, n. 27 ad art. 3 LPD ; Meier, Protection des données, 2011, nn. 469 et 474, pp. 215-216). L'énumération de l'art. 5 LPD est exhaustive : ainsi, une donnée telle que le revenu ou l'état de la fortune n'est pas une donnée sensible au sens de cette loi (ATF 124 I 176 ; Meier, op. et loc. cit., et les réf.). La définition est de nature statique et se réfère exclusivement au type de données en cause ; certaines données en elles-mêmes anodines (par ex. un nom et une adresse) peuvent, en fonction du contexte ou du but de leur traitement (par exemple si elles figurent sur une liste de personnes recherchées ou un fichier de mauvais payeurs), avoir un potentiel important d'atteinte à la personnalité (Meier, op. cit., n. 476, p. 216 et les réf.). Les informations formant un profil de la personnalité sont diverses et variées et peuvent par exemple révéler la structure de la personnalité, mais aussi les compétences ou les activités d'une personne, ainsi que ses habitudes. L'existence d'un profil de la personnalité se définit au cas par cas en fonction des circonstances et après une analyse de la situation permettant de savoir si l'assemblage d'information constitue effectivement un profil de la personnalité au sens de la définition légale.”
Bei grenzüberschreitenden Sachverhalten nach Art. 3 DSG sind die datenschutzrechtlichen Grundsätze (u. a. Treu und Verhältnismässigkeit) sowie die anerkannten Rechtfertigungsgründe (Einwilligung, überwiegendes privates oder öffentliches Interesse, gesetzliche Grundlage) anzuwenden. Verstösse gegen datenschutzrechtliche Vorgaben können die Verwertbarkeit von Beweismitteln beeinträchtigen; demgegenüber bleiben Beweismittel, die rechtmässig von Privaten gewonnen wurden, grundsätzlich verwertbar.
“Selon la jurisprudence, ces preuves ne sont exploitables que si, d'une part, elles auraient pu être recueillies licitement par les autorités pénales et si, d'autre part, une pesée des intérêts en présence plaide pour une exploitabilité (TF 6B_53/2020 consid. 1.1; TF 6B_902/2019 consid. 1.2; TF 6B_1188/2018 consid. 2.1). Dans le cadre de cette pesée d'intérêts, il convient d'appliquer les mêmes critères que ceux prévalant en matière d'administration des preuves par les autorités. Les moyens de preuve ne sont ainsi exploitables que s'ils sont indispensables pour élucider des infractions graves (TF 6B_1468/2019 consid. 1.3.1 ; TF 6B_1188/2018 consid. 2) 1.2. Peuvent notamment être qualifiées d'illicites les preuves résultant d'une violation de la loi fédérale du 19 juin 1992 sur la protection des données ou du Code civil (TF 6B_1468/2019 consid. 1.3.2 ; TF 6B_1404/2019 consid. 1.4; TF 6B_1188/2018 consid. 3; TF 6B_1310/2015 consid. 5 et 7; TF 6B_536/2009 consid. 3.7). Les preuves récoltées de manière licite par des particuliers sont exploitables sans restriction (TF 6B_902/2019 consid. 1.2; TF 6B_741/2019 consid. 5.2). 2. 2.1. A teneur de l'art. 3 LPD, on entend par données personnelles, toutes les informations qui se rapportent à une personne identifiée ou identifiable (let. a). Le traitement de données doit être effectué conformément aux principes de la bonne foi et de la proportionnalité (art. 4 al. 2 LPD). La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée (art. 4 al. 4 LPD). L'art. 12 LPD dispose que quiconque traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées (al. 1). Selon l'al. 2, personne n'est en droit notamment de traiter des données personnelles en violation des principes définis aux art. 4, 5 al. 1, et 7 al. 1 (let. a) ou de traiter des données contre la volonté expresse de la personne concernée sans motifs justificatifs (let. b). Les motifs justificatifs sont régis par l'art. 13 LPD, dont l'al. 1 prévoit qu'une atteinte à la personnalité est illicite à moins d'être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.”
“Les moyens de preuve ne sont ainsi exploitables que s’ils sont indispensables pour élucider des infractions graves (ATF 147 IV 16 précité ; ATF 147 IV 9 consid. 1.3.1 ; ATF 146 IV 226 précité consid. 2 et les références citées). En tout état de cause, au stade de l’instruction, il convient de ne constater l’inexploitabilité de ce genre de moyen de preuve que dans des cas manifestes (ATF 146 IV 226 précité ; TF 1B_234/2018 du 27 juillet 2018 consid. 3.1 et les références citées ; Moreillon/Parein-Reymond, Petit commentaire, Code de procédure pénale, 2e éd., Bâle 2016, n. 5 ad art. 141 CPP). Peuvent notamment être qualifiées d’illicites les preuves résultant d’une violation de la LPD ou du Code civil (Code civil suisse du 10 décembre 1907 ; RS 210) (ATF 147 IV 16 précité consid. 1.2 ; ATF 147 IV 9 précité consid. 1.3.2 ; ATF 146 IV 226 précité consid. 3). Les preuves récoltées de manière licite par des particuliers sont exploitables sans restriction (ATF 147 IV 16 précité ; TF 6B_902/2019 du 8 janvier 2020 consid. 1.2 ; TF 6B_741/2019 du 21 août 2019 consid. 5.2). 2.2.3 A teneur de l’art. 3 LPD, on entend par « données personnelles », toutes les informations qui se rapportent à une personne identifiée ou identifiable (let. a). Le traitement de données doit être effectué conformément aux principes de la bonne foi et de la proportionnalité (art. 4 al. 2 LPD). La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée (art. 4 al. 4 LPD). L’art. 12 LPD dispose que quiconque traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées (al. 1). Selon l’alinéa 2, personne n’est en droit notamment de traiter des données personnelles en violation des principes définis aux art. 4, 5 al. 1, et 7 al. 1 (let. a) ou de traiter des données contre la volonté expresse de la personne concernée sans motifs justificatifs (let. b). Les motifs justificatifs sont régis par l’art. 13 LPD, dont l’alinéa 1 prévoit qu’une atteinte à la personnalité est illicite à moins d’être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.”
Ob ein im Ausland veranlasster Sachverhalt dem DSG unterliegt, richtet sich danach, ob die für das Gesetz massgeblichen Wirkungen in der Schweiz eintreten. Für den Zugang zu Rechten aus dem DSG ist insbesondere zu beachten, dass das Recht sich auf Personendaten bezieht, die in einer Datensammlung vorhanden sind (BGE 147 III 139). Zudem ist das Zugänglichmachen von Daten — im Sinne einer Bekanntgabe oder Kommunikation, also des Ermöglichens der Einsichtnahme, der Übermittlung oder Verbreitung — eine relevante Tatsächlichkeit für die Frage, ob Daten Dritten zugänglich gemacht wurden (Entscheidung 2021/1033).
“An der von der Vorinstanz zitierten Stelle geht es um den Begriff der "Personendaten" im Sinne von Art. 3 lit. a DSG, der weit zu verstehen ist (ROSENTHAL, a.a.O., N. 2 zu Art. 3 DSG; vgl. E. 3.1 hiervor). Das Auskunftsrecht nach Art. 8 DSG besteht aber nicht in Bezug auf sämtliche Informationen, die nach der Legaldefinition als Personendaten anzusehen sind. Mitgeteilt werden müssen nur Personendaten, die sich in einer Datensammlung befinden (ROSENTHAL, a.a.O., N. 15 zu Art. 8 DSG). Das Auskunftsrecht richtet sich gegen den Inhaber der Datensammlung. Es bezieht sich nach dem Gesetzestext einerseits auf die in der Datensammlung vorhandenen Daten und schliesst andererseits die verfügbaren Angaben über die Herkunft der Daten ein (Art. 8 Abs. 2 lit. a DSG). Den Begriff der Datensammlung definiert der von der Vorinstanz zitierte Autor, auch wenn er ihn grundsätzlich weit versteht (ROSENTHAL, a.a.O., N. 15 zu Art. 8 DSG), in seiner Besprechung von Art. 3 lit. g DSG indessen einschränkend. Er wendet sich ausdrücklich gegen die in der Lehre vertretene Auffassung, wonach praktisch jeder Datenbestand, der mittels EDV-Techniken mindestens nach Personen erschliessbar sein kann, eine Datensammlung im Sinne des DSG darstellen könne.”
“1) prévoit que se rend coupable de violation du devoir de discrétion la personne qui, intentionnellement, aura révélé d'une manière illicite des données personnelles secrètes et sensibles ou des profils de la personnalité portés à sa connaissance dans l'exercice d'une profession qui requiert la connaissance de telles données (al. 1) ou dans le cadre des activités qu'elle exerce pour le compte de la personne soumise à l'obligation de garder le secret ou lors de sa formation chez elle (al. 2). Les textes latins ont repris la terminologie de l'art. 321 CP. Le texte allemand parle quant à lui de « Bekanntgabe » (et non de « Offenbarung », comme à l'art. 321 CP), ce qui fait le lien avec la notion technique de « communication », définie à l'art. 3 let. f LPD. Il y a donc révélation au regard de l'art. 35 LPD dans le fait de rendre les données accessibles à un tiers qui n'en avait pas connaissance auparavant. La révélation doit être illicite. Elle ne l'est pas lorsqu'il existe un motif justificatif (cf. art. 13 al. 1 LPD : consentement, intérêts prépondérants, loi) : une communication licite sous l'angle de la LPD ne saurait être sanctionnée pénalement. Selon l'art. 3 LPD, sont des données personnelles, toutes les informations qui se rapportent à une personne identifiée ou identifiable (let. a) ; sont des données sensibles les données personnelles sur : les opinions ou les activités religieuses, philosophiques, politiques ou syndicales (let. c ch. 1), la santé, la sphère intime, ou l'appartenance à une race (let. c ch. 2), des mesures d'aide sociale (let. c ch. 3) et des poursuites ou des sanctions pénales et administratives (let. c, ch. 4) ; est un profil de la personnalité un assemblage de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique (let. d) ; par communication, on entend le fait de rendre les données personnelles accessibles, par exemple en autorisant leur consultation, en les transmettant et en les diffusant (let. f). La qualification de donnée sensible est de nature abstraite ou formelle, c’est-à-dire qu’il suffit qu’une donnée porte sur l’un des sujets évoqués ci-dessus pour être protégée, peu importe le potentiel d’atteinte à la personnalité qui existe réellement (Cellina, La commercialisation des données personnelles, 2020, n° 156 p.”