Im Zusammenhang mit Meldungen, welche die Eidgenössische Finanzkontrolle (EFK) als Whistleblowing-Stelle erhält, bejahte das BVGer in seinem Urteil A-788/2014 vom 16. Dezember 2014 u.a. das Vorliegen einer Datensammlung (Art. 3 lit. g DSG), deren Anmeldung beim EDÖB (Art. 11a Abs. 2 DSG) und die Notwendigkeit eines Bearbeitungsreglements (Art. 21 VDSG):
Die EFK hielt u.a. fest, die von ihr abgelegten Whistleblowing-Meldungen seien nicht als Datensammlung zu qualifizieren. Die erhaltenen Meldungen zu Missständen und illegalem Verhalten innerhalb der Bundesverwaltung würden weder abschliessend erfasst noch enthielten sie in jedem Fall Personendaten. Vielmehr seien diverse Meldungen kaum erschliessbar und auch nicht systematisch erfasst. Im Übrigen würden keine Kategorien von Personendaten festgelegt und ein Zugriff sei nur mit entsprechendem Spezialwissen möglich, über welches lediglich die Mitglieder des "Team Verdacht" verfügten. Aus diesen Gründen sehe sich die EFK nicht veranlasst, den Empfehlungen des EDÖB (Art. 27 Abs. 4 DSG), die Datensammlung anzumelden und ein Bearbeitungsreglement zu erstellen, nachzukommen (vgl. Erw. 3).
Das BVGer folgte dieser Argumentation nicht und hielt fest, das die erhaltene Meldung Angaben zur meldenden Person - sofern die Meldung nicht anonym erfolge -, der betroffenen Amtsstellen und der jeweiligen Situation enthalte. In diesem Zusammenhang sei es durchaus möglich und wahrscheinlich, dass Angaben zu weiteren Personen erfolgen. Ferner sei eine gewisse Kategorisierung der Daten möglich, gehe es doch letztlich darum, Meldungen, die gestützt auf Art. 22a BPG ergehen, zu erfassen. Daran ändere nichts, dass es der EFK nicht darum gehe, eine Datensammlung als solche zu erstellen, sondern lediglich eine interne Ablage zu führen (vgl. Erw. 5.4.3). Mit Hilfe der Suchfunktion lassen sich innerhalb der Dokumente somit Personendaten auffinden, ohne dass ein besonderes Fachwissen erforderlich wäre. Wenn ein solches Fachwissen für die Arbeit der Meldestelle auch hilfreich sein mag, ist es aus datenschutzrechtlicher Sicht nicht relevant für die Auffindbarkeit resp. die Erschliessbarkeit der Daten. Was das Verzeichnis mit anonymisierten Meldungen betrifft, sei es unter Zuhilfenahme von abgespeicherten Daten aus einem zweiten Verzeichnis möglich, Rückschlüsse auf bestimmte Personen zu ziehen (vgl. Erw. 5.4.4).
Bezüglich der Pflicht, ein Bearbeitungsreglement zu erstellen, hielt das BVGer folgendes fest: "Gemäss Art. 21 Abs. 1 Bst. a VDSG erstellen die verantwortlichen Bundesorgane ein Bearbeitungsreglement für automatisierte Datensammlungen, die besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten. (...) Es ist nicht ausgeschlossen, dass in den beschriebenen, hier betroffenen Datensammlungen auch besonders schützenswerte Personendaten enthalten sind, seien dies, wie schon der Beschwerdeführer [EDÖB] vorbringt, solche über die Gesundheit oder über administrative oder strafrechtliche Massnahmen oder aber auch betreffend Ansichten und Tätigkeiten. Die Vorinstanz [EFK] hat demnach ein entsprechendes, die Anforderungen von Art. 21 Abs. 2 VDSG erfüllendes Reglement zu erstellen" (vgl. Erw. 6.2).
NB Das Urteil A-788/2014 ist nicht rechtskräftig.
Michal Cichocki
Die EFK hielt u.a. fest, die von ihr abgelegten Whistleblowing-Meldungen seien nicht als Datensammlung zu qualifizieren. Die erhaltenen Meldungen zu Missständen und illegalem Verhalten innerhalb der Bundesverwaltung würden weder abschliessend erfasst noch enthielten sie in jedem Fall Personendaten. Vielmehr seien diverse Meldungen kaum erschliessbar und auch nicht systematisch erfasst. Im Übrigen würden keine Kategorien von Personendaten festgelegt und ein Zugriff sei nur mit entsprechendem Spezialwissen möglich, über welches lediglich die Mitglieder des "Team Verdacht" verfügten. Aus diesen Gründen sehe sich die EFK nicht veranlasst, den Empfehlungen des EDÖB (Art. 27 Abs. 4 DSG), die Datensammlung anzumelden und ein Bearbeitungsreglement zu erstellen, nachzukommen (vgl. Erw. 3).
Das BVGer folgte dieser Argumentation nicht und hielt fest, das die erhaltene Meldung Angaben zur meldenden Person - sofern die Meldung nicht anonym erfolge -, der betroffenen Amtsstellen und der jeweiligen Situation enthalte. In diesem Zusammenhang sei es durchaus möglich und wahrscheinlich, dass Angaben zu weiteren Personen erfolgen. Ferner sei eine gewisse Kategorisierung der Daten möglich, gehe es doch letztlich darum, Meldungen, die gestützt auf Art. 22a BPG ergehen, zu erfassen. Daran ändere nichts, dass es der EFK nicht darum gehe, eine Datensammlung als solche zu erstellen, sondern lediglich eine interne Ablage zu führen (vgl. Erw. 5.4.3). Mit Hilfe der Suchfunktion lassen sich innerhalb der Dokumente somit Personendaten auffinden, ohne dass ein besonderes Fachwissen erforderlich wäre. Wenn ein solches Fachwissen für die Arbeit der Meldestelle auch hilfreich sein mag, ist es aus datenschutzrechtlicher Sicht nicht relevant für die Auffindbarkeit resp. die Erschliessbarkeit der Daten. Was das Verzeichnis mit anonymisierten Meldungen betrifft, sei es unter Zuhilfenahme von abgespeicherten Daten aus einem zweiten Verzeichnis möglich, Rückschlüsse auf bestimmte Personen zu ziehen (vgl. Erw. 5.4.4).
Bezüglich der Pflicht, ein Bearbeitungsreglement zu erstellen, hielt das BVGer folgendes fest: "Gemäss Art. 21 Abs. 1 Bst. a VDSG erstellen die verantwortlichen Bundesorgane ein Bearbeitungsreglement für automatisierte Datensammlungen, die besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten. (...) Es ist nicht ausgeschlossen, dass in den beschriebenen, hier betroffenen Datensammlungen auch besonders schützenswerte Personendaten enthalten sind, seien dies, wie schon der Beschwerdeführer [EDÖB] vorbringt, solche über die Gesundheit oder über administrative oder strafrechtliche Massnahmen oder aber auch betreffend Ansichten und Tätigkeiten. Die Vorinstanz [EFK] hat demnach ein entsprechendes, die Anforderungen von Art. 21 Abs. 2 VDSG erfüllendes Reglement zu erstellen" (vgl. Erw. 6.2).
NB Das Urteil A-788/2014 ist nicht rechtskräftig.
Michal Cichocki