Empfehlung

gemäss

Artikel 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz

in Sachen

CD-ROM Black Book

 

 

1. Im Laufe des Jahres 2000 wurde die CD-ROM Black Book in der Schweiz auf den Markt gebracht. Sie wurde hergestellt und importiert durch das Unternehmen IConnect Inc. USA (im Folgenden IConnect genannt), eingetragen im Bundesstaat Nevada.
2. F.G. Farinoli vertritt von der Schweiz aus das Unternehmen IConnect in Europa (vgl. dazu den Briefkopf eines dem Eidgenössichen Datenschutzbeauftragten (EDSB) vorliegenden Begleitbriefes zu einer Lieferung sowie das Schreiben vom 26. Juni 2001 von F.G. Farinoli an den EDSB). Gemäss einem Schreiben, das dem EDSB vorliegt und das von F.G: Farinoli unterschrieben ist, liefert er die CD-ROM dder Kundschaft in der Schweiz und bietet seine Unterstützung bei der Installation an. Er verwaltet beispielsweise die Passwörter und aktualisiert die Daten auf der CD-ROM. Er zeichnet mit dem Vermerk "IConnect Inc. USA, Germansupport".
3. Die CD-ROM enthält Personendaten (Namen, Strasse, Wohnort, Beruf, Telefonnummer, E-Mail-Adressen, Internetadresse usw.) von 450'000 Personen in der Schweiz (450'000 E-Mailadressen von Greschäften, 150'000 Kontaktadressen und 160'000 Homepages; siehe Beschreibung der CD-ROM, Seite 1).
4. Anfang 2001 erschien ein Internetdokument mit dem Titel Database Analysis Black Book 2000, Autor: Adrian Wiesmann, Datum: 25.04.2001, Copyright 2001 by Verein zur Gründung der "SwordLord-Foundation for new technology ethics". Das Dokument analysiert die auf der CD-ROM enthaltene Datenbank und will Folgendes aufzeigen: die schlechte Qualität der darauf gespeicherten Daten, die Unrechtmässigkeit der Datenbeschaffung im Sinne des Datenschutzgesetzes (DSG, SR 235.1) und inwiefern diese Datenbank für unbestellte elektronische Massenwerbesendungen (sogenannte Spams) verwendet werden. Die CD-ROM enthält namentlich Software, die Spamming ermöglicht ("Bulk.Mail 2.0").
5. Gleichzeitig machte Roman Racine (Klünenfeldstr. 47, 4127 Birsfelden) das oben erwähnte Dokument auf seiner Internetseite "http://bbook.trash.net" zugänglich.
6. Mit Schreiben vom 3. Mai 2001 an Roman Racine kündete F.G. Farinoli (Langstrasse 21, 8004 Zürich) eine Zivilklage gegen R. Racine an. Er forderte, dass die Verbreitung des oben erwähnten Dokumentes gestoppt wird. Er werde dadurch in seiner Persönlichkeit verletzt, da seine eigene Internetseite ("www.carfashop.com") und sein eigener Name darin erwähnt werden.
7. Am 17. Mai 2001 wurde am Zürcher Bezirksgericht mittels einer vorsorglichen Massnahme vereinbart, dass der Inhalt der Einstiegsseite des Sites "http://bbook.trash.net" gesperrt wird, bis ein Entscheid zur Sache gefällt ist. Während der Verhandlung bestätigte F.G. Farinoli, dass er die CD-ROM im Auftrag der IConnect in der Schweiz vertreibt, dass die Personendaten ohne ausdrückliches Einverständnis der betroffenen Personen gesammelt worden sind und dass die CD-ROM Daten enthält, die zum Teil aus der Domain-Namen- Datenbank der Registrierungsstelle Switch beschafft worden sind. Er räumte ebenfalls ein, dass gewisse Daten vollkommen falsch sind. Weiter machte er geltend, dass jemand, der E-Mail-Adressen auf einem Website veröffentlicht, automatisch damit einverstanden sei, jede Art von elektronischer Post zu erhalten. Wie es auf der CD-ROM selbst vermerkt sei, diene diese im Übrigen der Verwaltung der Adressen von Newsletter- Kundinnen und Kunden und nicht dem Versenden von Spams.
8. Ebenfalls am 17. Mai 2001 beschlossen verschiedene Internetbenutzer- Organisationen (trash.net, SIUG, Swordlord, Linux User Group Switzerland sowie das Community- Projekt Symlink.ch) und einige Einzelpersonen, einen Fonds zu schaffen, der die Wahrung der Interessen von Internetbenutzerinnen und -benutzern im vorliegenden und in zukünftigen Fällen ermöglichen soll. In der Folge haben zwei von den oben erwähnten Kreisen beauftragte Anwaltskanzleien mit dem Eidgenössischen Datenschutzbeauftragten (EDSB) Kontakt aufgenommen und ihn um eine Stellungnahme gebeten.
9. Zur gleichen Zeit teilten mehrere Personen, die immer mehr unerwünschte Werbung erhielten, dem EDSB mit, sie hätten gegenüber F.G. Farinoli ihren Anspruch auf Auskunft geltend gemacht. Sie wollten erfahren, über welche Personendaten er verfügt und ihm die Verwendung der Daten auf der CD-ROM verbieten. F.G. Farinoli kam ihrer Forderung nicht nach. Immer mehr Werbung erhielt auch David Rosenthal, der auf seinem Website "www.rosenthal.ch" ausdrücklich vermerkt, dass er keine Werbung wünscht.
10. Mit den Schreiben vom 29. Mai und 1. Juni 2001 eröffnete der EDSB gegen F.G. Farinoli eine Untersuchung im Sinne von Artikel 29 des Bundesgesetzes über den Datenschutz (DSG; SR 235.1). Zu diesem Zweck forderte er ein Exemplar der CD-ROM an. Vorsorglich wurde F.G. Farinoli ausserdem aufgefordert, seine CD-ROM nach Erhalt des zweiten Schreibens des EDSB und bis zur Klärung der Angelegenheit nicht mehr in Verkehr zu bringen.
11. In den Schreiben vom 26. Juni und 24. August nahm F.G. Farinoli Stellung. Einige Beispiele auf Papier der CD-ROM wurden dem EDSB übergegben. F.G. Farinoli erklärte, er habe die Forderung des EDSB, die Vermarktung der CD-ROM in der Schweiz einzustellen, der IConnect weitergeleitet. Er selbst sei zu einer solchen Massnahme nicht befähigt. Seiner Ansicht nach hat die IConnect die Massnahme durchgeführt.
12. Mit dem Schreiben vom 2. Oktober 2001 forderte der EDSB nochmals die Zustellung der CD-ROM.
13. Mit Schreiben vom 5. Oktober 2001 übermittelte F.G. Farinoli dem EDSB ein Exemplar der besagten CD-ROM. Deren Überprüfung ergab Folgendes: Die verschiedenen Vorwahltabellen können miteinander verknüpft werden; wenn man z.B. einen Beruf eingibt, kann man die entsprechenden E-Mailadressen erhalten.- Viele E-Mailadressen sind nicht brauchbar. - Der Benutzer oder die Benutzerin hat ebenfalls Zugriff auf Postadressen.- Neben den Suchresultaten erscheint der Vermerk "opt-in", was vermuten lässt, dass alle Personendaten auf der CD-ROM mit ausdrücklicher Zustimmung der betroffenen Personen beschafft worden sin. Im Übrigen bestreitet F.G. Farinoli in seinem Begleitbrief nicht, dass Daten auf der Basis der Domain-Namen-Datenbank der Switch beschafft worden sind.
14. Mit Schreiben vom 10. Oktober 2001 bestätigte Roman Racine dem EDSB, er habe auf sein Ersuchen nach Auskunft zu den über ihn in der Datensammlung vorhandenen Daten von F.G. Farinoli keine Antwort erhalten.

II. Der Eidgenössiche Datenschutzbeauftragte zieht in Erwägung

1. Das Bundesgesetz über den Datenschutz (DSG, SR 235.1) regelt unter anderem die Bearbeitung von Daten natürlicher und juristischer Personen durch private Personen (Art. 2 Abs. 1 DSG). Zum einen stellt die Vermarktung der von der IConnect hergestellten und in der Schweiz über F.G. Farinoli vertriebenen CD-ROM eine Bearbeitung von Personendaten im Sinne von Artikel 3 Buchstabe e DSG dar. Zum anderen ist F.G. Farinoli eine private Person. Seine Tätigkeit fällt daher unter die Bestimmungen des DSG (Art. 2 Abs. 1 DSG).
2. Gemäss Artikel 29 DSG klärt der EDSB im Privatbereich von sich aus oder auf Meldung Dritter den Sachverhalt näher ab, namentlich wenn die Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler) [Art. 29 Abs. 1 Bst. a DSG]. Die Eidgenössische Datenschutzkommission hat in ihrem Entscheid vom 21. November 1996 in Sachen Mietwesen (VPB 1998 62.42B) festgestellt, "dass die Empfehlungsbefugnis des EDSB nach Artikel 29 Absatz 1 Buchstabe a DSG weiter zu interpretieren ist und nicht bloss auf Fehler von Informationssystemen der EDV zu beschränken sei." Mit anderen Worten ist von einem "Systemfehler" im Sinne der genannten Bestimmung auch dann zu sprechen, "Wenn die Bearbeitung von Daten inhaltlich rechtswidrig, d.h. die Bearbeitung als solche so angelegt ist, dass sie geeignet ist, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen." Die fragliche CD-ROM enthält Personendaten von rund 500'000 Personen in der Schweiz. Es handelt sich dabei um eine Bearbeitung von Personendaten, die geeignet ist, die Persönlichkeit einer grösseren anzahl von Personen zu verletzen. Deshalb kann der EDSB dazu eine Empfehlung im Sinne von Artikel 29 Absatz 2 DSG abgeben.
3. Mit Schreiben vom 26. Juli 2001 bestreitet F.G. Farinoli, dass die fragliche Datenbearbeitung unter das DSG fällt. Er begründet seine Haltung damit, dass er nur an folgenden Tätigkeiten beteiligt war:
   • an der Programmierung der Indexierungssuchmaschine IConnect Inc. USA mit dem Ziel, die Sites von Schweizer und europäischen Unternehmen durch Auflistung zu indexieren und klassifizieren;
   • im Rahmen eines Freelance- Vertrags an der Speicherung, Erstellung und Programmierung der deutschen Version des Sites "www.carfashop.com" der IConnect Inc. USA;
   • an der Lieferung der CD-ROMs, die Schweizerischen Kundinnen und Kunden bei der IConnect Inc. USA bestellt hatten und an der dazu gehörigen technischen Wartung.
4. Er weist eine Beteiligung an der Beschaffung der Persoendaten, am Datenexport, am Betrieb der Suchmaschine sowie an der Werbung für dieses Produkt auf seinem Internetsite "www.farinoli.com" zurück. Diese Tätigkeiten seien ausschliesslich durch die IConnect ausgeführt worden. F.G. Farinoli schliesst daraus, dass er nicht als Inhaber oder als Besitzer der Datensammlung bezeichnet werden könne. Die Verantwortung für alle Massnahmen- auch den Stopp des Vertriebs der CD-ROM- liege ausschliesslich bei der IConnect, der er im Übrigen alle Schreiben des EDSB weitergeleitet habe.
5. Die Frage, ob F.G. Farinoli an der Beschaffung der betroffenen Daten beteiligt war, oder er "Inhaber der Datensammlung" im Sinne von Artikel 8 DSG ist oder ob er als "Besitzer der Datensammlung"- ein Begriff, der übrigens im DSG nicht verwendet wird- bezeichnet werden soll, kann offen bleiben. Mit dem Import einer CD-ROM, die Personendaten enthält und mit der Aufbewahrung dieser CD-ROM im Hinblick auf ihre Vermarktung, bearbeitet F.G. Farinoli Personendaten einer beträchtlichen Anzahl von Personen in der Schweiz. In Artikel 12 Absatz 1 DSG steht klar: "Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen." namentlich auf Grund dieser Bestimmung ist F.G. Farinoli dem DSG unterstellt.
6. F.G. Farinoli legt ebenfalls dar, die CD-ROM enthalte Adressen von Internet-Homepages zu spezifischen Berufssparten sowie Beschreibungen der jeweiligen beruflichen Tätigkeiten, so wie sie im Internet stehen. Zudem finden sich dort die E-Mail-Adressen, die auf den betreffenden Homepages veröffentlicht sind, Namen und Adressen der Betreiber sowie gegebenenfalls die Telefon- und Faxnummern. Nach F.G. Farinoli ist mit dieser CD-ROM kein Zugang zu den Daten allein vom Namen und vom Vornamen einer Person aus möglich. Die CD-ROM enthalte also keine Personendaten, da diese sich werder auf bestimmte noch bestimmbare Personen beziehen.
7. Die CD-ROM enthält ganz klar Personendaten im Sinne von Artikel 3 Buchstabe a DSG, da darauf Name, Adresse, Wohnort, Beruf, Telefonnummer und E-Mailadresse vermerkt sind. diese beziehen sich klar auf bestimmte oder zumindest bestimmbare natürliche oder juristische Personen. Es können zudem Persönlichkeitsprofile erstellt werden, da die Daten mit Hilfe der ebenfalls vorhandenen Tabellen miteinander verknüpft werden können.
8. Mit Schreiben vom 26. Juni 2001 gibt F.G. Farinoli zu, mit der CD-ROM sei der Zugriff auf Daten wie Name, Vorname, Strasse, Postleitzahl, Ort, Beruf möglich, dies aber nur für Daten, die sowieso auf dem Internet veröffentlicht sind. Er erklärt, dass die Daten auf der CD-ROM mit Hilfe von Suchmaschinen beschafft worden seien, und zwar mit "www.sear.ch", "www.infoseek.com" unter Berücksichtigung der Robot Metatags ("Robot-exclusion- Norm des W3C-Consortiums"); letzterer schliesst Daten von Personen aus, die nicht wollen, dass die Daten, die sie betreffen, von den Suchmaschinen angezeigt werden. Dieser in der Internetgemeinschaft allgemein bekannte Roboter entspreche den international anerkannten Standards (namentlich in Bezug auf das Erkennen der Sprache und der Metatags). Bezüglich David Rosenthal führt F.G. Farinoli aus, dieser habe zwar auf seinen Internetsites "www.insider.ch" und "www.ipd.ch" vermerkt, dass er keine Verwendung seiner E-Mail-Adresse zu Werbezwecken wolle. Er habe aber keine Metatags verwendet, die den Suchmaschinen eine solche Benutzungsbeschränkung anzeigt. Ausserdem stellt F.G. Farinoli fest, die E-Mail-Adresse von David Rosenthal tauche auf einem anderen Site("www.bigfoot.com") auf. Damit sei die Adresse öffentlich zugänglich, namentlich über das Suchwort "E-Mail". Im Übrigen seien viele Post- und E-Mailadressen sowie Telefonnummern auf dem Internet über spezielle Suchmaschinen für Adressen zugänglich. Das Projekt Blackbook unterscheide sich von diesen lediglich dadurch, dass die Daten auf einer CD-ROM vereint seien. F.G. Farinoli präzisiert, die Daten stammten in keinem Fall von einem E-Mail-Server eines Unternehmens, von der Benutzerliste eines Internetanbieters (wie Bluewindow) oder von der Liste der Teilnemerinnen und Teilnehmer einer Newsgroup. Die gesammelten Daten seien für Unternehmen bestimmt, die ihre Kontakte ausdehnen wollen. Die Verantwortlichen seien sich auch bewusst, dass die Daten gebraucht, nachverfolgt und indexiert werden. Wer "Robot-exclusion Norm des W3C- Consortiums" nicht verwendet, will bewusst die Verwendung seiner Daten nicht einschränken. F.G. Farinoli unterstreicht weiter, dass es auf dem Markt bereits eine Reihe von Produkten gebe, die Name, Vorname, Adresse, Telefonnummer und E-Mail- Adresse auflisten, namentlich elektronische Verzeichnisse wie das elektronisch Telefonbuch, TwixTel oder Outlook-Express. Verzeichnisse dieser Art seien zudem leicht zu erstellen. Mit anderen Worten glaubt F.G. Farinoli, es handle sich beim vorliegenden Fall nicht um eine Verletzung der Persönlichkeit, da die betroffenen Personen die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt haben (Art. 12 Abs. 3 DSG).
9. Es ist unbestritten dass die Daten aus dem Internet beschafft worden sind, einem Medium, das allen zugänglich ist, die wie F.G. Farinoli über einen Netzzugang verfügen. Dies bedeutet aber noch nicht, dass über diese Daten uneingeschränkt verfügt werden kann. Die Anhörung vor dem Bezirksgericht zürich vom 17. Mai 2001 hat ergeben, dass die Daten auf der CD-ROM mit Hilfe der Switch Domain-Namen-Datenbank beschafft worden sind. Dies geht auch aus den Briefen von F.G. Farinoli hervor. Auf dem Site von Switch verbietet jedoch ein Hinweis ausdrücklich, die Datenbank für den Adressenhandel, für Werbung oder für elektronische Massenversände zu verwenden. Indem er sich an der Vermarktung der betroffenen Daten beteiligt hat, hat F.G. Farinoli die formelle Ablehnung der Sitebetreiber gegenüber solchen Verwendungszwecken nicht respektiert. Das Beschaffen der auf der CD-ROM enthaltenen Daten ist deshalb rechtswidrig und deren Bearbeitung erfüllt den Grundsatz des Zweckbindungsprinzips nicht (Art. 4 Abs. 1 DSG).
10. Zudem werden auf der CD-ROM David Rosenthals Personendaten veröffentlicht, ohne darauf hinzuweisen, dass letzterer eine Verwendung der Daten zu Werbezwecken ablehnt. Die Angabe auf der Etikette der CD-ROM, das Programm nicht für das Spamming oder ähnliche Zwecke zu verwenden, reicht nicht aus. Der Vermerk muss bei jeder Person erscheinen, die die Verwendung der Daten zu Werbezwecken ausdrücklich ablehnt. Es kommt auch nicht darauf an, dass das System "Robot-exclusion- Norm des W3C-Consortiums" von D. Rosenthal nicht verwendet wurde: Dies ist nach schweizerischem Recht nicht zwingend. Im Übrigen ist ein solcher Roboter nicht hundertprozentig wirksam, auch wenn er programmiert worden ist. Ein automatischer Filter funktioniert momentan noch nicht immer; man muss einen manuellen Filter einbauen, um sicherzustellen, dass alle Daten rechtmässig beschafft werden. Weiter ist es unwichtig, ob die Daten auch auf einem anderen Site ("infoseek.org") veröffentlicht sind oder nicht. Es liegt an der Person, die Personendaten verarbeitet, selbst die Rechtmässigkeit der Bearbeitung zu überprüfen. Schliesslich verletzt eine solche Bearbeitung den Grundsatz von Treu und Glauben sowie den Grundsatz des Zweckbindungsprinzips (Art. 4 Abs. 2 und 3 DSG).
11. In beiden Fällen (Switch und D. Rosenthal) kann kein Rechtfertigungsgrund (Art. 12 Abs. 2 und Art. 13 DSG) vorgebracht werden. Weder die Firma Switch- beziehungsweise die betroffenen in der Schweiz registrierten Personen- noch D. Rosenthal haben in die Bearbeitung der Daten eingewilligt. Ebensowenig gibt es ein Gesetz oder ein überwiegendes öffentliches Interesse, die eine Bearbeitung rechtfertigen würden (Art. 12 Abs. 2 und Art. 13 DSG). Schliesslich kann auch kein überwiegendes privates Interesse geltend gemacht werden; F.G. Farinoli kann sich insbesondere auf keine Vertragsverhandlungen (Art. 13 Abs. 2 Bst. a DSG) mit Switch oder Herrn Rosenthal und auf keinen gegenwärtigen oder zukünftigen wirtschaftlichen Wettbewerb mit ihnen (Art. 13 Abs. 2 Bst. b DSG) berufen.
12. Der Vergleich mit anderen Produkten wie mit dem elektronischen Telefonbuch oder TwixTel ist zudem nicht stichhaltig. Diese Datenbanken wurden auf Grund von schon bestehenden Verträgen erstellt (Kundinnen und Kunden von Swisscom) und halten sich an die Bestimmungen der Telekommunikationsgesetzgebung; sie respektieren insbesondere den Wunsch von Personen, die keine Werbung erhalten möchten (mittels Kennzeichnung mit einem Stern), und die nicht wollen, dass ihre Daten veröffentlciht werden (via schwarze, rote, grüne und weisse Listen). Das Beschaffen von Daten im Internet, deren Verwendung nicht wie in den beiden oben erwähnten Fällen (Switch und Rosenthal) eingeschränkt ist, ist im Übrigen rechtmässig (Art. 12 Abs. 3 DSG).
13. Das Argument, wonach die Daten auf Grund des Prinzips "opt-in" beschafft worden sind, ist auch nicht stichhaltig. Bei der Beschaffung der Daten wurde nämlich von einem stillschweigenden Einverständnis ausgegangen. Dieses Vorgehen widerspricht sowohl dem Grundsatz von Treu und Glauben (Art. 4 Abs. 2 DSG) als auch dem Grudnsatz der Richtigkeit der Daten (Art. 5 Abs. 1 DSG), wonach sich alle, die Personendaten bearbeiten, über deren Richtigkeit vergewissern müssen. Zudem stellt das von der "SwordLord- Foundation for new technology ethics" in Auftrag gegebene Dokument "Database Analysis Black Book 200" auf Seite 10 schwere Mängel bei der Datenrichtigkeit fest (85 Prozent der E-Mail-Adressen seien unbrauchbar), was ebenfalls eine Verletzung von Artikel 5 DSG ist.
14. Die Personen schliesslich, die sich nachträglich gegen eine Veröffentlichung und Weiterleitung ihrer Daten durch Verkauf der CD-ROM wehren, verfügen über mehrere Rechte. So haben sie ein Auskunftsrecht (Art. 8 DSG). Artikel 8 Absatz 4 DSG sieht vor, dass eine Drittperson auskunftspflichtig ist, wenn sie den Inhaber der Datensammlung nicht bekannt gibt oder dieser nicht Wohnsitz in der Schweiz hat. Im vorliegenden Fall ist F.G. Farinoli also auskunftspflichtig. Die betroffenen Personen ihrerseits können verlangen, dass unrichtige Daten berichtigt werden (Art. 5 Abs. 2 DSG) und dass die Bearbeitung eingestellt wird (Art. 15 DSG bzw. Art. 28-28l ZGB).

III. Auf Grund dieser Erwägungen empfiehlt der Eidg. Datenschutzbeauftragte

1. Die Version 2000 der CD-ROM und alle eventuellen anderen Versionen, auf die der Sachverhalt zutrifft werden nach Erhalt dieses Schreibens nicht mehr vertrieben.
2. Die mit Hilfe der Switch Domain-Namen-Datenbank gesammelten Personendaten werden in der nächsten Version der CD-ROM nicht mehr enthalten sein.
3. Die Personendaten von Personen, die ausdrücklich schriftlich oder mündlich darauf hingewiesen haben, dass sie keine Werbung wünschen, werden in der nächsten bereinigten Version mit dem Vermerk "Wünscht keine Werbung" versehen. Dies gilt namentlich für die Daten von Personen, die sich mit einem Schreiben direkt an F.G. Farinoli gewendet haben, die sich in eine Robinson- Liste eingetragen haben, die bei der Swisscom die Verwendung eines Sternchens vor ihrem Namen beantragt haben oder die mit einem klaren Hinweis auf ihrer Internetsite erklärt haben, adss sie keine Werbung wünschen.
4. Die Personendaten von Personen, die deren Veröffentlichung ablehnen, erscheinen in der nächsten Version der CD-ROM nicht mehr.
5. F.G. Farinoli kommt seiner Auskunftspflicht nach unt teilt den betroffenen Personen die Personendaten, die er bearbeitet, und deren Quellen mit.
6. Die unrichtigen Daten werden berichtigt; insbesondere wird der Vermerk "opt-in" nur verwendet, wenn eine explizite Einwilligung der betroffenen Person vorliegt.
7. Die vorliegende Empfehlung wird F.G. Farinoli eingeschrieben zugestellt.
8. F.G. Farinoli teilt dem Eidg. Datenschutzbeauftragten innerhalb von 30 Tagen nach Erhalt dieses Schreibens mit, ob er die Empfehlung annimmt oder ablehnt. Wird diese Empfehlung abgelehnt oder nicht befolgt, so kann der Eidg. Datenschutzbeauftragte die Angelegenheit der Eidg. Datenschutzkommissioni zum Entscheid vorlegen.