Verordnung zum Bundesgesetz über den Datenschutz (vom 14. Juni 1993 Stand am 16. Oktober 2012 Der Schweizerische Bundesrat, gestützt auf die Artikel 6 Absatz 3, 7 Absatz 2, 8, 11 a Absatz 6, 16 Absatz 2, 17 a und 36 Absätze 1, 4 und 6 des Bundesgesetzes vom 19. Juni 1992 1 über den Datenschutz DSG und auf Artikel 46 a des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997 2 , 3 verordnet: 1 SR 235.1 2 SR 172.010 3 Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 AS 2007 4993 . 1. Kapitel: Bearbeiten von Personendaten durch private Personen 1. Abschnitt: Auskunftsrecht)
(VDSG) vom 14. Juni 1993 (Stand am 16. Oktober 2012)
Der Schweizerische Bundesrat,
gestützt auf die Artikel 6 Absatz 3, 7 Absatz 2, 8, 11 a Absatz 6, 16 Absatz 2, 17 a und 36 Absätze 1, 4 und 6 des Bundesgesetzes vom 19. Juni 1992¹ über den Datenschutz (DSG) und auf Artikel 46 a des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997²,³
verordnet:
¹ SR 235.1 ² SR 172.010 ³ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
1. Kapitel: Bearbeiten von Personendaten durch private Personen
1. Abschnitt: Auskunftsrecht
Art. 1 Modalitäten
¹ Jede Person, die vom Inhaber einer Datensammlung Auskunft darüber verlangt, ob Daten über sie bearbeitet werden (Art. 8 DSG), muss dies in der Regel in schriftlicher Form beantragen und sich über ihre Identität ausweisen.
² Das Auskunftsbegehren sowie die Auskunftserteilung können auf elektronischem Weg erfolgen, wenn der Inhaber der Datensammlung dies ausdrücklich vorsieht und angemessene Massnahmen trifft, um:
a. die Identifizierung der betroffenen Person sicherzustellen; und
b. die persönlichen Daten der betroffenen Person bei der Auskunftserteilung vor dem Zugriff unberechtigter Dritter zu schützen.⁴
³ Im Einvernehmen mit dem Inhaber der Datensammlung oder auf dessen Vorschlag hin kann die betroffene Person ihre Daten auch an Ort und Stelle einsehen. Die Auskunft kann auch mündlich erteilt werden, wenn die betroffene Person eingewilligt hat und vom Inhaber identifiziert worden ist.
⁴ Die Auskunft oder der begründete Entscheid über die Beschränkung des Auskunftsrechts (Art. 9 und 10 DSG) wird innert 30 Tagen seit dem Eingang des Auskunftsbegehrens erteilt. Kann die Auskunft nicht innert 30 Tagen erteilt werden, so muss der Inhaber der Datensammlung den Gesuchsteller hierüber benachrichtigen und ihm die Frist mitteilen, in der die Auskunft erfolgen wird.
⁵ Werden eine oder mehrere Datensammlungen von mehreren Inhabern gemeinsam geführt, kann das Auskunftsrecht bei jedem Inhaber geltend gemacht werden, sofern nicht einer von ihnen für die Behandlung aller Auskunftsbegehren verantwortlich ist. Wenn der Inhaber der Datensammlung zur Auskunftserteilung nicht ermächtigt ist, leitet er das Begehren an den Zuständigen weiter.
⁶ Betrifft das Auskunftsbegehren Daten, die im Auftrag des Inhabers der Datensammlung von einem Dritten bearbeitet werden, so leitet der Auftraggeber das Begehren an den Dritten zur Erledigung weiter, sofern er nicht selbst in der Lage ist, Auskunft zu erteilen.⁵
⁷ Wird Auskunft über Daten von verstorbenen Personen verlangt, so ist sie zu erteilen, wenn der Gesuchsteller ein Interesse an der Auskunft nachweist und keine überwiegenden Interessen von Angehörigen der verstorbenen Person oder von Dritten entgegenstehen. Nahe Verwandtschaft sowie Ehe mit der verstorbenen Person begründen ein Interesse.
⁴ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
⁵ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 2 Ausnahmen von der Kostenlosigkeit
¹ Eine angemessene Beteiligung an den Kosten kann ausnahmsweise verlangt werden, wenn:
a. der antragstellenden Person in den zwölf Monaten vor dem Gesuch die gewünschten Auskünfte bereits mitgeteilt wurden und kein schutzwürdiges Interesse an einer neuen Auskunftserteilung nachgewiesen werden kann. Ein schutzwürdiges Interesse ist insbesondere gegeben, wenn die Personendaten ohne Mitteilung an die betroffene Person verändert wurden;
b. die Auskunftserteilung mit einem besonders grossen Arbeitsaufwand verbunden ist.
² Die Beteiligung beträgt maximal 300 Franken. Der Gesuchsteller ist über die Höhe der Beteiligung vor der Auskunftserteilung in Kenntnis zu setzen und kann sein Gesuch innert zehn Tagen zurückziehen.
2. Abschnitt: Anmeldung der Datensammlungen
Art. 3 Anmeldung
¹ Datensammlungen (Art. 11 a Abs. 3 DSG) sind beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Beauftragter) anzumelden, bevor die Datensammlung eröffnet wird.⁶ Die Anmeldung enthält folgende Angaben:
a. Name und Adresse des Inhabers der Datensammlung;
b. Name und vollständige Bezeichnung der Datensammlung;
c. Person, bei welcher das Auskunftsrecht geltend gemacht werden kann;
d. Zweck der Datensammlung;
e. Kategorien der bearbeiteten Personendaten;
f. Kategorien der Datenempfänger;
g. Kategorien der an der Datensammlung Beteiligten, das heisst Dritte, die in die Datensammlung Daten eingeben und Änderungen an den Daten vornehmen dürfen.
² Jeder Inhaber einer Datensammlung aktualisiert diese Angaben laufend. ...⁷
⁶ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
⁷ Satz aufgehoben durch Ziff. I der V vom 28. Sept. 2007, mit Wirkung seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 4 ⁸ Ausnahmen von der Anmeldepflicht
¹ Ausgenommen von der Pflicht zur Anmeldung der Datensammlungen sind die Datensammlungen nach Artikel 11 a Absatz 5 Buchstaben a und c–f DSG sowie die folgenden Datensammlungen (Art. 11 a Abs. 5 Bst. b DSG):
a. Datensammlungen von Lieferanten oder Kunden, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;
b. Datensammlungen, deren Daten ausschliesslich zu nicht personenbezogenen Zwecken verwendet werden, namentlich in der Forschung, der Planung und der Statistik;
c. archivierte Datensammlungen, die nur zu historischen oder wissenschaftlichen Zwecken aufbewahrt werden;
d. Datensammlungen, die ausschliesslich Daten enthalten, die veröffentlicht wurden oder welche die betroffene Person selbst allgemein zugänglich gemacht und deren Bearbeitung sie nicht ausdrücklich untersagt hat;
e. Daten, die ausschliesslich der Erfüllung der Anforderungen nach Artikel 10 dienen;
f. Buchhaltungsunterlagen;
g. Hilfsdatensammlungen für die Personalverwaltung des Inhabers der Datensammlung, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten.
² Der Inhaber der Datensammlungen trifft die erforderlichen Massnahmen, um die Angaben (Art. 3 Abs. 1) zu den nicht der Anmeldepflicht unterliegenden Datensammlungen auf Gesuch hin dem Beauftragten oder den betroffenen Personen mitteilen zu können.
⁸ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
3. Abschnitt: Bekanntgabe ins Ausland
Art. 5 ⁹ Veröffentlichung in elektronischer Form
Werden Personendaten mittels automatisierter Informations- und Kommunikationsdienste zwecks Information der Öffentlichkeit allgemein zugänglich gemacht, so gilt dies nicht als Übermittlung ins Ausland.
⁹ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 6 ¹⁰ Informationspflicht
¹ Der Inhaber der Datensammlung informiert den Beauftragten vor der Bekanntgabe ins Ausland über die Garantien und Datenschutzregeln nach Artikel 6 Absatz 2 Buchstaben a und g DSG. Ist die vorgängige Information nicht möglich, so hat sie unmittelbar nach der Bekanntgabe zu erfolgen.
² Wurde der Beauftragte über die Garantien und die Datenschutzregeln informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:
a. unter denselben Garantien erfolgen, soweit die Kategorien der Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder
b. innerhalb derselben juristischen Person oder Gesellschaft oder zwischen juristischen Personen oder Gesellschaften, die einer einheitlichen Leitung unterstehen, stattfinden, soweit die Datenschutzregeln weiterhin einen angemessenen Schutz gewährleisten.
³ Die Informationspflicht gilt ebenfalls als erfüllt, wenn Daten gestützt auf Musterverträge oder Standardvertragsklauseln übermittelt werden, die vom Beauftragten erstellt oder anerkannt wurden, und der Beauftragte vom Inhaber der Datensammlung in allgemeiner Form über die Verwendung dieser Musterverträge oder Standardvertragsklauseln informiert wurde. Der Beauftragte veröffentlicht eine Liste der von ihm erstellten oder anerkannten Musterverträge und Standardvertragsklauseln.
⁴ Der Inhaber der Datensammlung trifft angemessene Massnahmen um sicherzustellen, dass der Empfänger die Garantien und die Datenschutzregeln beachtet.
⁵ Der Beauftragte prüft die Garantien und die Datenschutzregeln, die ihm mitgeteilt werden (Art. 31 Abs. 1 Bst. e DSG) und teilt dem Inhaber der Datensammlung das Ergebnis seiner Prüfung innert 30 Tagen ab dem Empfang der Information mit.
¹⁰ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 7 ¹¹ Liste der Staaten mit angemessener Datenschutzgesetzgebung
Der Beauftragte veröffentlicht eine Liste der Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet.
¹¹ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
4. Abschnitt: Technische und organisatorische Massnahmen
Art. 8 Allgemeine Massnahmen
¹ Wer als Privatperson Personendaten bearbeitet oder ein Datenkommunikationsnetz zur Verfügung stellt, sorgt für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten, um einen angemessenen Datenschutz zu gewährleisten.¹² Insbesondere schützt er die Systeme gegen folgende Risiken:
a. unbefugte oder zufällige Vernichtung;
b. zufälligen Verlust;
c. technische Fehler;
d. Fälschung, Diebstahl oder widerrechtliche Verwendung;
e. unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.
² Die technischen und organisatorischen Massnahmen müssen angemessen sein. Insbesondere tragen sie folgenden Kriterien Rechnung:
a. Zweck der Datenbearbeitung;
b. Art und Umfang der Datenbearbeitung;
c. Einschätzung der möglichen Risiken für die betroffenen Personen;
d. gegenwärtiger Stand der Technik.
³ Diese Massnahmen sind periodisch zu überprüfen.
⁴ ...¹³
¹² Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
¹³ Aufgehoben durch Ziff. I der V vom 28. Sept. 2007, mit Wirkung seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 9 Besondere Massnahmen
¹ Der Inhaber der Datensammlung trifft insbesondere bei der automatisierten Bearbeitung von Personendaten die technischen und organisatorischen Massnahmen, die geeignet sind, namentlich folgenden Zielen gerecht zu werden:
a. Zugangskontrolle: unbefugten Personen ist der Zugang zu den Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren;
b. Personendatenträgerkontrolle: unbefugten Personen ist das Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verunmöglichen;
c. Transportkontrolle: bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern ist zu verhindern, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können;
d. Bekanntgabekontrolle: Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden, müssen identifiziert werden können;
e. Speicherkontrolle: unbefugte Eingabe in den Speicher sowie unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten sind zu verhindern;
f. Benutzerkontrolle: die Benutzung von automatisierten Datenverarbeitungssystemen mittels Einrichtungen zur Datenübertragung durch unbefugte Personen ist zu verhindern;
g. Zugriffskontrolle: der Zugriff der berechtigten Personen ist auf diejenigen Personendaten zu beschränken, die sie für die Erfüllung ihrer Aufgabe benötigen;
h. Eingabekontrolle: in automatisierten Systemen muss nachträglich überprüft werden können, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden.
² Die Datensammlungen sind so zu gestalten, dass die betroffenen Personen ihr Auskunftsrecht und ihr Recht auf Berichtigung wahrnehmen können.
Art. 10 ¹⁴ Protokollierung
¹ Der Inhaber der Datensammlung protokolliert die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen, wenn die präventiven Massnahmen den Datenschutz nicht gewährleisten können. Eine Protokollierung hat insbesondere dann zu erfolgen, wenn sonst nicht nachträglich festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie erhoben oder bekannt gegeben wurden. Der Beauftragte¹⁵ kann die Protokollierung auch für andere Bearbeitungen empfehlen.
² Die Protokolle sind während eines Jahres revisionsgerecht festzuhalten. Sie sind ausschliesslich den Organen oder privaten Personen zugänglich, denen die Überwachung der Datenschutzvorschriften obliegt, und dürfen nur für diesen Zweck verwendet werden.
¹⁴ Die Berichtigung vom 16. Okt. 2012 betrifft nur den italienischen Text ( AS 2012 5521 ).
¹⁵ Ausdruck gemäss Anhang 2 Ziff. 3 der Öffentlichkeitsverordnung vom 24. Mai 2006, in Kraft seit 1. Juli 2006 ( AS 2006 2331 ). Diese Änd. ist im ganzen Erlass berücksichtigt.
Art. 11 ¹⁶ Bearbeitungsreglement
¹ Der Inhaber einer meldepflichtigen automatisierten Datensammlung (Art. 11 a Abs. 3 DSG), die nicht aufgrund von Artikel 11 a Absatz 5 Buchstaben b–d DSG von der Meldepflicht ausgenommen ist, erstellt ein Bearbeitungsreglement, das insbesondere die interne Organisation sowie das Datenbearbeitungs- und Kontrollverfahren umschreibt und die Unterlagen über die Planung, die Realisierung und den Betrieb der Datensammlung und der Informatikmittel enthält.
² Der Inhaber der Datensammlung aktualisiert das Reglement regelmässig. Er stellt es dem Beauftragten oder dem Datenschutzverantwortlichen nach Artikel 11 a Absatz 5 Buchstabe e DSG auf Anfrage in einer für sie verständlichen Form zur Verfügung.
¹⁶ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 12 Bekanntgabe der Daten
Der Inhaber der Datensammlung meldet dem Datenempfänger die Aktualität und die Zuverlässigkeit der von ihm bekannt gegebenen Personendaten, soweit diese Informationen nicht aus den Daten selbst oder aus den Umständen ersichtlich sind.
5. Abschnitt: ¹⁷ Datenschutzverantwortlicher
¹⁷ Eingefügt durch Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 12 a Bezeichnung des Datenschutzverantwortlichen und Mitteilung an den Beauftragten
¹ Will der Inhaber der Datensammlung nach Artikel 11 a Absatz 5 Buchstabe e DSG von der Pflicht zur Anmeldung der Datensammlung befreit werden, so muss er:
a. einen betrieblichen Datenschutzverantwortlichen bezeichnen, der die Anforderungen von Absatz 2 und von Artikel 12 b erfüllt; und
b. den Beauftragten über die Bezeichnung des Datenschutzverantwortlichen informieren.
² Der Inhaber der Datensammlung kann einen Mitarbeiter oder einen Dritten als Datenschutzverantwortlichen bezeichnen. Dieser darf keine anderen Tätigkeiten ausüben, die mit seinen Aufgaben als Datenschutzverantwortlicher unvereinbar sind, und muss über die erforderliche Fachkenntnis verfügen.
Art. 12 b Aufgaben und Stellung des Datenschutzverantwortlichen
¹ Der Datenschutzverantwortliche hat namentlich folgende Aufgaben:
a. Er prüft die Bearbeitung von Personendaten und empfiehlt Korrekturmassnahmen, wenn er feststellt, dass Datenschutzvorschriften verletzt wurden.
b. Er führt eine Liste der Datensammlungen nach Artikel 11 a Absatz 3 DSG, die vom Inhaber der Datensammlungen geführt werden; diese Liste ist dem Beauftragten oder betroffenen Personen, die ein entsprechendes Gesuch stellen, zur Verfügung zu stellen.
² Der Datenschutzverantwortliche:
a. übt seine Funktion fachlich unabhängig aus, ohne diesbezüglich Weisungen des Inhabers der Datensammlung zu unterliegen;
b. verfügt über die zur Erfüllung seiner Aufgaben erforderlichen Ressourcen;
c. hat Zugang zu allen Datensammlungen und Datenbearbeitungen sowie zu allen Informationen, die er zur Erfüllung seiner Aufgabe benötigt.
2. Kapitel: Bearbeiten von Personendaten durch Bundesorgane
1. Abschnitt: Auskunftsrecht
Art. 13 Modalitäten
Artikel 1 und 2 sind auf die an Bundesorgane gerichteten Auskunftsbegehren sinngemäss anwendbar.
Art. 14 Auskunftsbegehren an die diplomatischen Vertretungen der Schweiz im Ausland
¹ Die Vertretungen der Schweiz im Ausland sowie die Missionen bei den Europäischen Gemeinschaften und bei internationalen Organisationen übermitteln Auskunftsgesuche, die bei ihnen gestellt werden, der zuständigen Stelle im eidgenössischen Departement für auswärtige Angelegenheiten. Das Departement regelt die Zuständigkeiten.¹⁸
² Im Übrigen gelten für die Auskunftsbegehren über die Militärkontrolle im Ausland die Bestimmungen der Verordnung vom 10. Dezember 2004¹⁹ über das militärische Kontrollwesen.²⁰
¹⁸ Fassung gemäss Anhang 2 Ziff. 3 der Öffentlichkeitsverordnung vom 24. Mai 2006, in Kraft seit 1. Juli 2006 ( AS 2006 2331 ).
¹⁹ SR 511.22
²⁰ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 15 ²¹
²¹ Aufgehoben gemäss Art. 26 Abs. 2 der Archivierungsverordnung vom 8. Sept. 1999 ( AS 1999 2424 ).
2. Abschnitt: Anmeldung der Datensammlungen
Art. 16 Anmeldung ²²
¹ Die verantwortlichen Bundesorgane (Art. 16 DSG) melden alle von ihnen geführten Datensammlungen vor deren Eröffnung beim Beauftragten an. Die Anmeldung enthält folgende Angaben:
a. Name und Adresse des verantwortlichen Bundesorgans;
b. Name und vollständige Bezeichnung der Datensammlung;
c. das Organ, bei dem das Auskunftsrecht geltend gemacht werden kann;
d. Rechtsgrundlage und Zweck der Datensammlung;
e. Kategorien der bearbeiteten Personendaten;
f. Kategorien der Empfänger der Daten;
g. Kategorien der an der Datensammlung Beteiligten, das heisst Dritte, die Daten in eine Datensammlung eingeben und verändern dürfen.
h. ...²³
² Das verantwortliche Bundesorgan aktualisiert diese Angaben laufend.²⁴
²² Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
²³ Aufgehoben durch Ziff. I der V vom 28. Sept. 2007, mit Wirkung seit 1. Jan. 2008 ( AS 2007 4993 ).
²⁴ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 17 ²⁵
²⁵ Aufgehoben durch Ziff. I der V vom 28. Sept. 2007, mit Wirkung seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 18 ²⁶ Ausnahmen von der Anmeldepflicht
¹ Folgende Datensammlungen unterliegen nicht der Anmeldepflicht, sofern die Bundesorgane sie ausschliesslich für verwaltungsinterne Zwecke verwenden:
a. Korrespondenzregistraturen;
b. Datensammlungen von Lieferanten oder Kunden, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;
c. Adressensammlungen, die einzig der Adressierung dienen, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;
d. Listen für Entschädigungszahlungen;
e. Buchhaltungsunterlagen;
f. Hilfsdatensammlungen für die Personalverwaltung des Bundes, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;
g. Bibliothekdatensammlungen (Autorenkataloge, Ausleiher- und Benutzerverzeichnisse).
² Ebenfalls nicht der Anmeldepflicht unterliegen:
a. Datensammlungen, die beim Bundesarchiv archiviert sind;
b. Datensammlungen, die der Öffentlichkeit in Form von Verzeichnissen zugänglich gemacht werden;
c. Datensammlungen, deren Daten ausschliesslich zu nicht personenbezogenen Zwecken verwendet werden, namentlich in der Forschung, der Planung und der Statistik.
³ Das verantwortliche Bundesorgan trifft die erforderlichen Massnahmen, um die Angaben (Art. 16 Abs. 1) zu den nicht der Anmeldepflicht unterliegenden Datensammlungen auf Gesuch hin dem Beauftragten oder den betroffenen Personen mitteilen zu können.
²⁶ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
3. Abschnitt: Bekanntgabe ins Ausland
Art. 19 ²⁷
Gibt ein Bundesorgan gestützt auf Artikel 6 Absatz 2 Buchstabe a DSG Personendaten ins Ausland bekannt, so gilt Artikel 6.
²⁷ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 , 2008 189 ).
4. Abschnitt: Technische und organisatorische Massnahmen
Art. 20 ²⁸ Grundsätze
¹ Die verantwortlichen Bundesorgane treffen die nach den Artikeln 8–10 erforderlichen technischen und organisatorischen Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der Personen, über die Daten bearbeitet werden. Bei der automatisierten Datenbearbeitung arbeiten die Bundesorgane mit dem Informatikstrategieorgan Bund (ISB) zusammen.
² Die verantwortlichen Bundesorgane melden dem Datenschutzverantwortlichen nach Artikel 11 a Absatz 5 Buchstabe e DSG oder, falls kein solcher besteht, dem Beauftragten unverzüglich alle Projekte zur automatisierten Bearbeitung von Personendaten, damit die Erfordernisse des Datenschutzes sogleich berücksichtigt werden. Die Meldung an den Beauftragten erfolgt über das ISB, wenn das Projekt auch bei diesem angemeldet werden muss.²⁹
³ Der Beauftragte und das ISB arbeiten im Rahmen ihrer Aktivitäten betreffend die technischen Massnahmen zusammen. Der Beauftragte holt die Stellungnahme des ISB ein, bevor er solche Massnahmen empfiehlt.
⁴ Im Übrigen sind die Weisungen anwendbar, die von den verantwortlichen Bundesorganen gestützt auf die Bundesinformatikverordnung vom 26. September 2003³⁰ erlassen wurden.³¹
²⁸ Fassung gemäss Anhang Ziff. II 7 der Bundesinformatikverordnung vom 23. Febr. 2000 ( AS 2000 1227 ).
²⁹ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
³⁰ SR 172.010.58
³¹ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 21 Bearbeitungsreglement
¹ Die verantwortlichen Bundesorgane erstellen ein Bearbeitungsreglement für automatisierte Datensammlungen, die:
a. besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten;
b. durch mehrere Bundesorgane benutzt werden;
c. Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen zugänglich gemacht werden; oder
d. mit anderen Datensammlungen verknüpft sind.
² Das verantwortliche Bundesorgan legt seine interne Organisation in dem Bearbeitungsreglement fest. Dieses umschreibt insbesondere die Datenbearbeitungs- und Kontrollverfahren und enthält alle Unterlagen über die Planung, Realisierung und den Betrieb der Datensammlung. Das Reglement enthält die für die Meldepflicht erforderlichen Angaben (Art. 16) sowie Angaben über:
a. das für den Datenschutz und die Datensicherheit der Daten verantwortliche Organ;
b. die Herkunft der Daten;
c. die Zwecke, für welche die Daten regelmässig bekannt gegeben werden;
d. die Kontrollverfahren und insbesondere die technischen und organisatorischen Massnahmen nach Artikel 20;
e. die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben;
f. Art und Umfang des Zugriffs der Benutzer der Datensammlung;
g. die Datenbearbeitungsverfahren, insbesondere die Verfahren bei der Berichtigung, Sperrung, Anonymisierung, Speicherung, Aufbewahrung, Archivierung oder Vernichtung der Daten;
h. die Konfiguration der Informatikmittel;
i. das Verfahren zur Ausübung des Auskunftsrechts.
³ Das Reglement wird regelmässig aktualisiert. Es wird den zuständigen Kontrollorganen in einer für diese verständlichen Form zur Verfügung gestellt.
Art. 22 Datenbearbeitung im Auftrag
¹ ...³²
² Das Bundesorgan, das Personendaten durch Dritte bearbeiten lässt, bleibt für den Datenschutz verantwortlich. Es sorgt dafür, dass die Daten auftragsgemäss bearbeitet werden, insbesondere was deren Verwendung und Bekanntgabe betrifft.
³ Untersteht der Dritte dem DSG nicht, vergewissert sich das verantwortliche Organ, dass andere gesetzliche Bestimmungen einen gleichwertigen Datenschutz gewährleisten, andernfalls stellt es diesen auf vertraglichem Wege sicher.
³² Aufgehoben durch Ziff. I der V vom 28. Sept. 2007, mit Wirkung seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 23 ³³ Berater für den Datenschutz
¹ Die Bundeskanzlei und die Departemente bezeichnen jeweils mindestens einen Berater für den Datenschutz. Dieser Berater hat folgende Aufgaben:
a. Unterstützung der verantwortlichen Organe und Benützer;
b. Förderung der Information und der Ausbildung der Mitarbeiter;
c. Mitwirkung beim Vollzug der Datenschutzvorschriften.
² Wollen Bundesorgane nach Artikel 11 a Absatz 5 Buchstabe e DSG von der Pflicht zur Anmeldung ihrer Datensammlungen befreit werden, so sind die Artikel 12 a und 12 b anwendbar.
³ Die Bundesorgane verkehren mit dem Beauftragten über den Berater.
³³ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
5. Abschnitt: Besondere Bestimmungen
Art. 24 ³⁴ Beschaffung von Personendaten
Ist die befragte Person nicht zur Auskunftserteilung verpflichtet, so muss sie vom Bundesorgan, das die Personendaten systematisch mittels Fragebogen beschafft, auf die Freiwilligkeit der Auskunftserteilung hingewiesen werden.
³⁴ Fassung gemäss Ziff. I der V vom 4. Juni 2010, in Kraft seit 1. Dez. 2010 ( AS 2010 3399 ).
Art. 25 Persönliche Identifikationsnummer
¹ Das Bundesorgan, welches für die Verwaltung seiner Datensammlung eine persönliche Identifikationsnummer einführt, schafft eine nichtsprechende Nummer, die im eigenen Aufgabenbereich verwendet wird. Eine nichtsprechende Nummer ist jede eindeutige oder umkehrbar eindeutige Summe von Zeichen, die jeder Person, die in einer Datensammlung registriert ist, zugeteilt wird, und aus der keine Rückschlüsse auf die Person gezogen werden können.
² Die Verwendung der persönlichen Identifikationsnummer durch andere Organe des Bundes oder der Kantone sowie durch private Personen muss vom betroffenen Bundesorgan genehmigt werden.
³ Die Genehmigung kann erteilt werden, wenn ein enger Zusammenhang zwischen der vorgesehenen und derjenigen Datenbearbeitung besteht, für welche die persönliche Identifikationsnummer geschaffen wurde.
⁴ Im Übrigen wird die Verwendung der AHV-Nummer von der AHV-Gesetzgebung geregelt.
Art. 26 Bekanntgabe der Daten
Das verantwortliche Bundesorgan meldet dem Datenempfänger die Aktualität und die Zuverlässigkeit der von ihm bekannt gegebenen Personendaten, soweit diese Informationen nicht aus den Daten selbst oder aus den Umständen ersichtlich sind.
Art. 27 ³⁵ Verfahren bei der Bewilligung von Pilotversuchen
¹ Vor der Konsultation der interessierten Verwaltungseinheiten legt das für den Pilotversuch zuständige Bundesorgan zu Handen des Beauftragten dar, wie die Einhaltung der Anforderungen nach Artikel 17 a DSG gewährleistet werden soll, und lädt ihn zur Stellungnahme ein.
² Der Beauftragte nimmt zur Frage Stellung, ob die Bewilligungsvoraussetzungen nach Artikel 17 a Absätze 1 und 2 DSG erfüllt sind. Das zuständige Bundesorgan stellt ihm alle dazu notwendigen Unterlagen zur Verfügung, insbesondere:
a. eine allgemeine Beschreibung des Pilotversuches;
b. einen Bericht, der nachweist, dass die Erfüllung der gesetzlich vorgesehenen Aufgaben die Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen erfordert und dass eine Testphase vor dem Inkrafttreten des Gesetzes im formellen Sinn zwingend erforderlich ist (Art. 17 a Abs. 1 Bst. c DSG);
c. eine Beschreibung der internen Organisation sowie der Datenbearbeitungs- und Kontrollverfahren (Art. 21);
d. eine Beschreibung der Sicherheits- und Datenschutzmassnahmen;
e. den Entwurf oder das Konzept einer Verordnung, welche die Einzelheiten der Bearbeitung regelt;
f. die Informationen betreffend die Planung der verschiedenen Phasen des Pilotversuches.
³ Der Beauftragte kann weitere Dokumente anfordern und zusätzliche Abklärungen vornehmen.
⁴ Das zuständige Bundesorgan informiert den Beauftragten über jede wichtige Änderung, welche die Einhaltung der Anforderungen von Artikel 17 a DSG betrifft. Der Beauftragte nimmt, falls erforderlich, erneut Stellung.
⁵ Die Stellungnahme des Beauftragten ist dem Antrag an den Bundesrat beizufügen.
³⁵ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 27 a ³⁶ Evaluationsbericht bei Pilotversuchen
Das zuständige Bundesorgan legt dem Beauftragten den Entwurf des Evaluationsberichts an den Bundesrat (Art. 17 a Abs. 4 DSG) zur Stellungnahme vor. Die Stellungnahme des Beauftragten ist dem Bundesrat zur Kenntnis zu bringen.
³⁶ Eingefügt durch Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
3. Kapitel: Register der Datensammlungen, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter ³⁷ und Verfahren vor dem Bundesverwaltungsgericht ³⁸
³⁷ Ausdruck gemäss Anhang 2 Ziff. 3 der Öffentlichkeitsverordnung vom 24. Mai 2006, in Kraft seit 1. Juli 2006 ( AS 2006 2331 ).
³⁸ Ausdruck gemäss Ziff. II 24 der V vom 8. Nov. 2006 über die Anpassung von Bundesratsverordnungen an die Totalrevision der Bundesrechtspflege, in Kraft seit 1. Jan. 2007 ( AS 2006 4705 ). Diese Änd. ist im ganzen Erlass berücksichtigt.
1. Abschnitt: Register und Registrierung von Datensammlungen
Art. 28 ³⁹ Register der Datensammlungen
¹ Das vom Beauftragten geführte Register enthält die Informationen nach den Artikeln 3 und 16.
² Das Register ist für die Öffentlichkeit online zugänglich. Der Beauftragte erstellt auf Gesuch hin kostenlos Auszüge.
³ Der Beauftragte führt ein Verzeichnis der Inhaber von Datensammlungen, die ihrer Pflicht zur Anmeldung der Datensammlungen nach Artikel 11 a Absatz 5 Buchstaben e und f DSG enthoben sind. Dieses Verzeichnis ist für die Öffentlichkeit online zugänglich.
⁴ Wenn der Inhaber der Datensammlung seine Datensammlung nicht oder nicht vollständig anmeldet, setzt ihm der Beauftragte eine Frist, um seinen Verpflichtungen nachzukommen. Nach Ablauf der Frist kann er gestützt auf die Angaben, die ihm zur Verfügung stehen, von Amtes wegen die Datensammlung registrieren oder die Einstellung der Bearbeitung empfehlen.
³⁹ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 29 ⁴⁰
⁴⁰ Aufgehoben durch Ziff. I der V vom 28. Sept. 2007, mit Wirkung seit 1. Jan. 2008 ( AS 2007 4993 ).
2. Abschnitt: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Art. 30 Sitz und Rechtsstellung
¹ Sitz und Sekretariat des Beauftragten befinden sich in Bern.
² Das Arbeitsverhältnis des Sekretariats des Beauftragten bestimmt sich nach dem Bundespersonalgesetz vom 24. März 2000⁴¹ sowie nach dessen Vollzugsbestimmungen.⁴²
³ Das Budget des Beauftragten wird in einem besonderen Abschnitt des Budgets der Bundeskanzlei aufgeführt.⁴³
⁴¹ SR 172.220.1
⁴² Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
⁴³ Eingefügt durch Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 31 Beziehungen zu anderen Behörden und privaten Personen
¹ Der Beauftragte verkehrt mit dem Bundesrat über den Bundeskanzler.⁴⁴ Dieser übermittelt dem Bundesrat alle Empfehlungen und Berichte des Beauftragten, selbst wenn er diesen nicht zustimmen kann.
¹bis Der Beauftragte übermittelt die für die Bundesversammlung bestimmten Berichte direkt den Parlamentsdiensten.⁴⁵
² Der Beauftragte verkehrt direkt mit den anderen Verwaltungseinheiten, den eidgenössischen Gerichten, den ausländischen Datenschutzbehörden und mit allen anderen Behörden und privaten Personen, die der Datenschutzgesetzgebung des Bundes oder der Gesetzgebung über das Öffentlichkeitsprinzip der Verwaltung unterstehen.⁴⁶
⁴⁴ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
⁴⁵ Eingefügt durch Ziff. I der V vom 4. Juni 2010, in Kraft seit 1. Dez. 2010 ( AS 2010 3399 ).
⁴⁶ Fassung gemäss Ziff. II 24 der V vom 8. Nov. 2006 über die Anpassung von Bundesratsverordnungen an die Totalrevision der Bundesrechtspflege, in Kraft seit 1. Jan. 2007 ( AS 2006 4705 ).
Art. 32 Dokumentation
¹ Die Bundesorgane legen dem Beauftragten alle Rechtsetzungsentwürfe vor, welche die Bearbeitung von Personendaten, den Datenschutz sowie den Zugang zu amtlichen Dokumenten betreffen.⁴⁷ Im Bereich des Datenschutzes teilen ihm die Departemente und die Bundeskanzlei ihre Entscheide in anonymisierter Form sowie ihre Richtlinien mit.⁴⁸
² Der Beauftragte muss über eine für seine Tätigkeit ausreichende Dokumentation verfügen. Er betreibt ein unabhängiges Informations- und Dokumentationssystem für die Verwaltung, Indexierung und Kontrolle der Korrespondenz und der Dossiers sowie für die Publikation von Informationen von allgemeinem Interesse und des Registers der Datensammlungen im Internet.⁴⁹
³ Das Bundesverwaltungsgericht hat Zugriff auf die wissenschaftliche Dokumentation des Beauftragten.⁵⁰
⁴⁷ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
⁴⁸ Fassung gemäss Anhang 2 Ziff. 3 der Öffentlichkeitsverordnung vom 24. Mai 2006, in Kraft seit 1. Juli 2006 ( AS 2006 2331 ).
⁴⁹ Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
⁵⁰ Fassung gemäss Ziff. II 24 der V vom 8. Nov. 2006 über die Anpassung von Bundesratsverordnungen an die Totalrevision der Bundesrechtspflege, in Kraft seit 1. Jan. 2007 ( AS 2006 4705 ).
Art. 33 Gebühren
¹ Für die Gutachten (Art. 28 DSG) des Beauftragten wird eine Gebühr erhoben. Die Bestimmungen der Allgemeinen Gebührenverordnung vom 8. September 2004⁵¹ sind anwendbar.⁵²
² Gegenüber Verwaltungseinheiten des Bundes, Behörden und der Kantone wird keine Gebühr erhoben.
⁵¹ SR 172.041.1
⁵² Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 ( AS 2007 4993 ).
Art. 34 Prüfung der Datenbearbeitung von Personendaten
¹ Für die Abklärung des Sachverhalts nach den Artikeln 27 und 29 DSG, insbesondere bei der Prüfung der Rechtmässigkeit der Datenbearbeitung, kann der Beauftragte vom Inhaber der Datensammlung insbesondere folgende Auskünfte verlangen:
a. technische und organisatorische Massnahmen (Art. 8–10, 20), die getroffen wurden oder geplant sind;
b. die Regelungen betreffend Berichtigung, Sperrung, Anonymisierung, Speicherung, Aufbewahrung und Vernichtung von Personendaten;
c. die Konfiguration der Informatikmittel;
d. die Verknüpfungen mit anderen Datensammlungen;
e. die Art der Bekanntgabe der Daten;
f. die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben;
g. Art und Umfang des Zugriffs der Benutzer auf die Daten der Datensammlung.
² Bei Bekanntgaben ins Ausland kann der Beauftragte zusätzliche Angaben verlangen, insbesondere über die Bearbeitungsmöglichkeiten des Datenempfängers oder über die zum Datenschutz getroffenen Massnahmen.
3. Abschnitt: Verfahren vor dem Bundesverwaltungsgericht
Art. 35 ⁵³
¹ Das Bundesverwaltungsgericht kann verlangen, dass ihm Datenbearbeitungen vorgelegt werden.
² Es gibt dem Beauftragten seine Entscheide bekannt.
⁵³ Fassung gemäss Ziff. II 24 der V vom 8. Nov. 2006 über die Anpassung von Bundesratsverordnungen an die Totalrevision der Bundesrechtspflege, in Kraft seit 1. Jan. 2007 ( AS 2006 4705 ).
4. Kapitel: Schlussbestimmungen
Art. 36 Änderung des bisherigen Rechts
1. und 2. ...⁵⁴
3.–8. ...⁵⁵
⁵⁴ Aufgehoben durch Anhang Ziff. II 7 der Bundesinformatikverordnung vom 23. Febr. 2000 ( AS 2000 1227 ).
⁵⁵ Die Änderungen können unter AS 1993 1962 konsultiert werden.
Art. 37 Übergangsbestimmungen
¹ Die Datensammlungen, die bei Inkrafttreten des Datenschutzgesetzes und dieser Verordnung in Bearbeitung stehen, sind beim Beauftragten bis zum 30. Juni 1994 anzumelden.
² Die technischen und organisatorischen Massnahmen (Artikel 8–11, 20 und 21) sind innerhalb von fünf Jahren nach Inkrafttreten der vorliegenden Verordnung für sämtliche automatisierten Bearbeitungen und Datensammlungen zu verwirklichen.
Art. 38 Inkrafttreten
Diese Verordnung tritt am 1. Juli 1993 in Kraft.
Feedback