Einführungsverordnung zur EU-Datenschutzrichtlinie 2016/680 über den Schutz personenbezogener Daten
1 152.043 Einführungsverordnung zur EU-Datenschutzrichtlinie 2016/680 über den Schutz personenbezogener Daten (Einführungsverordnung zur EU- Datenschutzrichtlinie, EV EDS) vom 04.07.2018 (Stand 01.09.2023) Der Regierungsrat des Kantons Bern, gestützt auf Artikel 88 Absatz 3 der Kantonsverfassung 1 ) , beschliesst:
Art. 1
Gegenstand und Geltungsbereich
1 Diese Verordnung regelt die Einführung der EU-Richtlinie 2016/680 des Euro päischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständi gen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Ver folgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenver kehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates 2 ) .
2 Sie findet Anwendung auf die Behörden, die zuständig sind für die Verarbei tung personenbezogener Daten zum Zweck der Verhütung, Ermittlung, Aufde ckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschliess lich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicher heit (Art. 1 Abs. 1 der EU-Richtlinie 2016/680).
Art. 2
Profiling
1 Profiling ist die Bewertung bestimmter Merkmale einer Person auf der Grund lage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhal ten, die Vorlieben, den Aufenthaltsort oder die Mobilität zu analysieren oder vorherzusagen.
2 Es ist unter den Voraussetzungen von Artikel 5 des Datenschutzgesetzes vom 19. Februar 1986 (KDSG) 3 ) zulässig.
3 Führt es zu einem schwerwiegenden Eingriff in die Grundrechte der betroffe nen Person, ist es unter den Voraussetzungen von Artikel 6 KDSG zulässig.
1) BSG 101.1
2) CELEX Nr. 32016L0680
3) BSG 152.04 * Änderungstabellen am Schluss des Erlasses
18-055
152.043 2
4 Die Bestimmungen der Artikel 10 bis 14a KDSG über die Bekanntgabe von Personendaten gelten auch für die Resultate eines Profilings, sofern sie Perso nendaten enthalten.
Art. 3
Nachweis der Einhaltung der Datenschutzbestimmungen
1 Die verantwortliche Behörde muss nachweisen können, dass sie die Daten schutzbestimmungen von Artikel 4 Absätze 1 bis 3 der EU-Richtlinie 2016/680 einhält.
Art. 4
Informationspflicht bei der Beschaffung von Personendaten 1. Grundsatz
1 Die verantwortliche Behörde informiert die betroffene Person über jede Be schaffung von Daten. Diese Informationspflicht gilt auch, wenn die Daten bei Dritten beschafft werden.
2 Die Information umfasst insbesondere Angaben über a die verantwortliche Behörde samt Kontaktdaten, b die bearbeiteten Daten oder die Kategorien der bearbeiteten Daten, c die Rechtsgrundlage und den Zweck des Bearbeitens, d die Datenempfängerinnen und Datenempfänger oder die Kategorien der Datenempfängerinnen und Datenempfänger, falls die Daten Dritten be kannt gegeben werden, und e die Rechte der betroffenen Person.
3 Die Information erfolgt a durch entsprechende Angaben im öffentlich zugänglichen Register der Datensammlungen nach Artikel 18 KDSG, b auf der Internetseite der verantwortlichen Behörde oder c durch Mitteilung an die betroffene Person.
Art. 5
2. Ausnahmen
1 Auf die Information kann verzichtet werden, wenn a die betroffene Person bereits über die Informationen nach Artikel 4 Absatz 2 verfügt, b das Bearbeiten der Personendaten gesetzlich ausdrücklich vorgesehen ist oder c die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist.
3 152.043
2 Die Übermittlung der Informationen kann überdies unter denselben Voraus setzungen eingeschränkt werden wie der Zugang zu den eigenen Personenda ten.
Art. 6
Mitteilung an die Empfängerinnen und Empfänger der Personen daten
1 Die verantwortliche Behörde teilt denjenigen Behörden oder Privaten, denen sie Personendaten bekanntgegeben hatte (Art. 10 bis 14a KDSG), mit, wenn Daten aufgrund der Artikel 23 oder 24 KDSG berichtigt oder vernichtet worden sind.
2 Die Mitteilung kann unterbleiben, wenn sie nicht möglich ist oder mit unver hältnismässigem Aufwand verbunden wäre.
Art. 7
Bearbeiten im Auftrag (Art. 16 KDSG)
1 Wer im Sinne von Artikel 16 KDSG Personendaten im Auftrag einer Behörde bearbeitet (Auftragsdatenbearbeiterinnen und Auftragsdatenbearbeiter), darf ohne deren vorgängige schriftliche Zustimmung die Datenbearbeitung keiner weiteren Auftragsdatenbearbeiterin und keinem weiteren Auftragsdatenbear beiter übertragen.
Art. 8
Meldung von Verletzungen des Datenschutzes 1. An die Aufsichtsstelle
1 Die verantwortliche Behörde meldet der zuständigen Aufsichtsstelle für Da tenschutz (Aufsichtsstelle) unverzüglich, das heisst möglichst binnen 72 Stun den, eine Verletzung des Datenschutzes. Die Meldung besteht in einer Be schreibung der Verletzung und deren Auswirkungen sowie der ergriffenen und vorgesehenen Massnahmen zur Wiederherstellung des Schutzes bzw. zur Abschwächung der Folgen der Verletzung.
2 Eine Verletzung des Datenschutzes liegt vor, wenn die Datensicherheit so verletzt wird, dass bearbeitete Personendaten unwiederbringlich vernichtet werden oder verloren gehen, unbeabsichtigt oder unrechtmässig verändert oder offenbart werden oder dass Unbefugte Zugang zu solchen Personendaten erhalten.
3 Eine Meldepflicht besteht nicht, wenn die Verletzung des Datenschutzes vor aussichtlich nicht zu einem Risiko für die Grundrechte der betroffenen Person führt.
152.043 4
Art. 9
2. An die betroffenen Personen
1 Die verantwortliche Behörde informiert die betroffenen Personen, wenn die Umstände dies erfordern oder die Aufsichtsstelle es verlangt. Die Benachrichti gung hat insbesondere zu erfolgen, wenn die betroffenen Personen zur Ab wendung des Schadens Massnahmen ergreifen können.
2 Die Benachrichtigung kann unterbleiben, wenn a die verantwortliche Behörde technische und organisatorische Sicherheits vorkehrungen getroffen hat, die im konkreten Fall den Eintritt eines Scha dens bei der betroffenen Person verhindert haben, b durch nachträgliche Vorkehrungen sichergestellt werden konnte, dass für die Grundrechte der betroffenen Personen aller Wahrscheinlichkeit nach kein hohes Risiko mehr besteht oder c es mit unverhältnismässigem Aufwand verbunden wäre; in diesem Fall er folgt die Benachrichtigung durch eine öffentliche Bekanntmachung.
3 Die Benachrichtigung der betroffenen Personen kann ausserdem ganz oder teilweise eingeschränkt oder aufgeschoben werden, wenn öffentliche oder pri vate Geheimhaltungsinteressen überwiegen.
Art. 10
3. Beim Bearbeiten im Auftrag (Art. 16 KDSG)
1 Wer Personendaten im Auftrag einer Behörde bearbeitet, informiert die auf traggebende Behörde unverzüglich über eine Verletzung des Datenschutzes. Artikel 8 Absatz 1 Satz 2 und Absatz 2 gelten sinngemäss.
Art. 11
Prozessvertretung (Art. 26 KDSG)
1 Zur Prozessvertretung sind gemeinnützige Organisationen zugelassen, die sich nach ihren Statuten mit den Anliegen des Datenschutzes befassen.
Art. 12
Aufsichtsrechtliche Anzeigen (Art. 34 Abs. 1 Bst. d KDSG)
1 Die Aufsichtsstelle informiert die betroffenen Personen innerhalb von höchs tens drei Monaten seit Eingang einer aufsichtsrechtlichen Anzeige über das Er gebnis oder den Stand der Abklärungen.
Art. 13
Inkrafttreten und Befristung
1 Diese Verordnung tritt am 1. September 2018 in Kraft und gilt bis zum 31. Au gust 2026. *
5 152.043 Bern, 4. Juli 2018 Im Namen des Regierungsrates Der Präsident: Neuhaus Der Staatsschreiber: Auer
152.043 6 Änderungstabelle - nach Beschluss Beschluss Inkrafttreten Element Änderung BAG-Fundstelle
04.07.2018 01.09.2018 Erlass Erstfassung 18-055
23.08.2023 01.09.2023
Art. 13 Abs. 1
geändert 23-045
7 152.043 Änderungstabelle - nach Artikel Element Beschluss Inkrafttreten Änderung BAG-Fundstelle Erlass 04.07.2018 01.09.2018 Erstfassung 18-055
Art. 13 Abs. 1
23.08.2023 01.09.2023 geändert 23-045
Feedback