DSG (SR 235.1)

aus­klap­pen | ein­klap­pen

1. Abschnitt: Zweck, Gel­tungs­be­reich und Begrif­fe

Art. 1 Zweck

Die­ses Gesetz bezweckt den Schutz der Per­sön­lich­keit und der Grund­rech­te von Per­so­nen, über die Daten bear­bei­tet wer­den.

Art. 2 Gel­tungs­be­reich Anwen­dungs­be­reich DSG

1 Die­ses Gesetz gilt für das Bear­bei­ten von Daten natür­li­cher und juri­sti­scher Per­so­nen durch:

a pri­va­te Per­so­nen;
b Bun­des­or­ga­ne.

2 Es ist nicht anwend­bar auf:

a Per­so­nen­da­ten, die eine natür­li­che Per­son aus­schliess­lich zum per­sön­li­chen Gebrauch bear­bei­tet und nicht an Aussen­ste­hen­de bekannt gibt;
b Bera­tun­gen in den Eid­ge­nös­si­schen Räten und in den par­la­men­ta­ri­schen Kom­mis­sio­nen;
c hän­gi­ge Zivil­pro­zes­se, Straf­ver­fah­ren, Ver­fah­ren der inter­na­tio­na­len Rechts­hil­fe sowie staats- und ver­wal­tungs­recht­li­che Ver­fah­ren mit Aus­nah­me erst­in­stanz­li­cher Ver­wal­tungs­ver­fah­ren;
d öffent­li­che Regi­ster des Pri­vat­rechts­ver­kehrs;
e Per­so­nen­da­ten, die das Inter­na­tio­na­le Komi­tee vom Roten Kreuz bear­bei­tet.

Art. 3 Begrif­fe

Die fol­gen­den Aus­drücke bedeu­ten:

a. Per­so­nen­da­ten: alle Anga­ben, die sich auf eine bestimm­te oder bestimm­ba­re Per­son bezie­hen;
b. betrof­fe­ne Per­so­nen: natür­li­che oder juri­sti­sche Per­so­nen, über die Daten bear­bei­tet wer­den;
c. beson­ders schüt­zens­wer­te Per­so­nen­da­ten: Daten über:
1. die reli­giö­sen, welt­an­schau­li­chen, poli­ti­schen oder gewerk­schaft­li­chen Ansich­ten oder Tätig­kei­ten,
2. die Gesund­heit, die Intim­sphä­re oder die Ras­sen­zu­ge­hö­rig­keit,
3. Mass­nah­men der sozia­len Hil­fe,
4. admi­ni­stra­ti­ve oder straf­recht­li­che Ver­fol­gun­gen und Sank­tio­nen;
d. Per­sön­lich­keits­pro­fil: eine Zusam­men­stel­lung von Daten, die eine Beur­tei­lung wesent­li­cher Aspek­te der Per­sön­lich­keit einer natür­li­chen Per­son erlaubt;
e. Bear­bei­ten: jeder Umgang mit Per­so­nen­da­ten, unab­hän­gig von den ange­wand­ten Mit­teln und Ver­fah­ren, ins­be­son­de­re das Beschaf­fen, Auf­be­wah­ren, Ver­wen­den, Umar­bei­ten, Bekannt­ge­ben, Archi­vie­ren oder Ver­nich­ten von Daten;
f. Bekannt­ga­be: das Zugäng­lich­ma­chen von Per­so­nen­da­ten wie das Ein­sicht­ge­wäh­ren, Wei­ter­ge­ben oder Ver­öf­fent­li­chen;
g. Daten­samm­lung: jeder Bestand von Per­so­nen­da­ten, der so auf­ge­baut ist, dass die Daten nach betrof­fe­nen Per­so­nen erschliess­bar sind;
h. Bun­des­or­ga­ne: Behör­den und Dienst­stel­len des Bun­des sowie Per­so­nen, soweit sie mit öffent­li­chen Auf­ga­ben des Bun­des betraut sind;
i. Inha­ber der Daten­samm­lung: pri­va­te Per­so­nen oder Bun­des­or­ga­ne, die über den Zweck und den Inhalt der Daten­samm­lung ent­schei­den;
j. Gesetz im for­mel­len Sinn:
1. Bun­des­ge­set­ze,
2. für die Schweiz ver­bind­li­che Beschlüs­se inter­na­tio­na­ler Orga­ni­sa­tio­nen und von der Bun­des­ver­samm­lung geneh­mig­te völ­ker­recht­li­che Ver­trä­ge mit recht­set­zen­dem Inhalt;
k.

2. Abschnitt: All­ge­mei­ne Daten­schutz­be­stim­mun­gen

Art. 4 Grund­sät­ze

1 Per­so­nen­da­ten dür­fen nur recht­mä­ssig bear­bei­tet wer­den.

2 Ihre Bear­bei­tung hat nach Treu und Glau­ben zu erfol­gen und muss ver­hält­nis­mä­ssig sein.

3 Per­so­nen­da­ten dür­fen nur zu dem Zweck bear­bei­tet wer­den, der bei der Beschaf­fung ange­ge­ben wur­de, aus den Umstän­den ersicht­lich oder gesetz­lich vor­ge­se­hen ist.

4 Die Beschaf­fung von Per­so­nen­da­ten und ins­be­son­de­re der Zweck ihrer Bear­bei­tung müs­sen für die betrof­fe­ne Per­son erkenn­bar sein.

5 Ist für die Bear­bei­tung von Per­so­nen­da­ten die Ein­wil­li­gung der betrof­fe­nen Per­son erfor­der­lich, so ist die­se Ein­wil­li­gung erst gül­tig, wenn sie nach ange­mes­se­ner Infor­ma­ti­on frei­wil­lig erfolgt. Bei der Bear­bei­tung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­len muss die Ein­wil­li­gung zudem aus­drück­lich erfol­gen.

Art. 5 Rich­tig­keit der Daten

1 Wer Per­so­nen­da­ten bear­bei­tet, hat sich über deren Rich­tig­keit zu ver­ge­wis­sern. Er hat alle ange­mes­se­nen Mass­nah­men zu tref­fen, damit die Daten berich­tigt oder ver­nich­tet wer­den, die im Hin­blick auf den Zweck ihrer Beschaf­fung oder Bear­bei­tung unrich­tig oder unvoll­stän­dig sind.

2 Jede betrof­fe­ne Per­son kann ver­lan­gen, dass unrich­ti­ge Daten berich­tigt wer­den.

Art. 6 Grenz­über­schrei­ten­de Bekannt­ga­be

1 Per­so­nen­da­ten dür­fen nicht ins Aus­land bekannt gege­ben wer­den, wenn dadurch die Per­sön­lich­keit der betrof­fe­nen Per­so­nen schwer­wie­gend gefähr­det wür­de, nament­lich weil eine Gesetz­ge­bung fehlt, die einen ange­mes­se­nen Schutz gewähr­lei­stet.

2 Fehlt eine Gesetz­ge­bung, die einen ange­mes­se­nen Schutz gewähr­lei­stet, so kön­nen Per­so­nen­da­ten ins Aus­land nur bekannt gege­ben wer­den, wenn:

a hin­rei­chen­de Garan­tien, ins­be­son­de­re durch Ver­trag, einen ange­mes­se­nen Schutz im Aus­land gewähr­lei­sten;
b die betrof­fe­ne Per­son im Ein­zel­fall ein­ge­wil­ligt hat;
c die Bear­bei­tung in unmit­tel­ba­rem Zusam­men­hang mit dem Abschluss oder der Abwick­lung eines Ver­trags steht und es sich um Per­so­nen­da­ten des Ver­trags­part­ners han­delt;
d die Bekannt­ga­be im Ein­zel­fall ent­we­der für die Wah­rung eines über­wie­gen­den öffent­li­chen Inter­es­ses oder für die Fest­stel­lung, Aus­übung oder Durch­set­zung von Rechts­an­sprü­chen vor Gericht uner­läss­lich ist;
e die Bekannt­ga­be im Ein­zel­fall erfor­der­lich ist, um das Leben oder die kör­per­li­che Inte­gri­tät der betrof­fe­nen Per­son zu schüt­zen;
f die betrof­fe­ne Per­son die Daten all­ge­mein zugäng­lich gemacht und eine Bear­bei­tung nicht aus­drück­lich unter­sagt hat;
g die Bekannt­ga­be inner­halb der­sel­ben juri­sti­schen Per­son oder Gesell­schaft oder zwi­schen juri­sti­schen Per­so­nen oder Gesell­schaf­ten, die einer ein­heit­li­chen Lei­tung unter­ste­hen, statt­fin­det, sofern die Betei­lig­ten Daten­schutz­re­geln unter­ste­hen, wel­che einen ange­mes­se­nen Schutz gewähr­lei­sten.

3 Der Eid­ge­nös­si­sche Daten­schutz- und Öffent­lich­keits­be­auf­trag­te (Beauf­trag­te, Arti­kel 26) muss über die Garan­tien nach Absatz 2 Buch­sta­be a und die Daten­schutz­re­geln nach Absatz 2 Buch­sta­be g infor­miert wer­den. Der Bun­des­rat regelt die Ein­zel­hei­ten die­ser Infor­ma­ti­ons­pflicht.

Art. 7 Daten­si­cher­heit

1 Per­so­nen­da­ten müs­sen durch ange­mes­se­ne tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men gegen unbe­fug­tes Bear­bei­ten geschützt wer­den.

2 Der Bun­des­rat erlässt nähe­re Bestim­mun­gen über die Min­dest­an­for­de­run­gen an die Daten­si­cher­heit.

Art. 7a

[auf­ge­ho­ben]

Art. 8 Aus­kunfts­recht

1 Jede Per­son kann vom Inha­ber einer Daten­samm­lung Aus­kunft dar­über ver­lan­gen, ob Daten über sie bear­bei­tet wer­den.

2 Der Inha­ber der Daten­samm­lung muss der betrof­fe­nen Per­son mit­tei­len:

a alle über sie in der Daten­samm­lung vor­han­de­nen Daten ein­schliess­lich der ver­füg­ba­ren Anga­ben über die Her­kunft der Daten;
b den Zweck und gege­be­nen­falls die Rechts­grund­la­gen des Bear­bei­tens sowie die Kate­go­rien der bear­bei­te­ten Per­so­nen­da­ten, der an der Samm­lung Betei­lig­ten und der Daten­emp­fän­ger.

3 Daten über die Gesund­heit kann der Inha­ber der Daten­samm­lung der betrof­fe­nen Per­son durch einen von ihr bezeich­ne­ten Arzt mit­tei­len las­sen.

4 Lässt der Inha­ber der Daten­samm­lung Per­so­nen­da­ten durch einen Drit­ten bear­bei­ten, so bleibt er aus­kunfts­pflich­tig. Der Drit­te ist aus­kunfts­pflich­tig, wenn er den Inha­ber nicht bekannt gibt oder die­ser kei­nen Wohn­sitz in der Schweiz hat.

5 Die Aus­kunft ist in der Regel schrift­lich, in Form eines Aus­drucks oder einer Foto­ko­pie sowie kosten­los zu ertei­len. Der Bun­des­rat regelt die Aus­nah­men.

6 Nie­mand kann im Vor­aus auf das Aus­kunfts­recht ver­zich­ten.

Art. 9 Ein­schrän­kung des Aus­kunfts­rechts

1 Der Inha­ber der Daten­samm­lung kann die Aus­kunft ver­wei­gern, ein­schrän­ken oder auf­schie­ben, soweit:

a ein Gesetz im for­mel­len Sinn dies vor­sieht;
b es wegen über­wie­gen­der Inter­es­sen Drit­ter erfor­der­lich ist.

2 Ein Bun­des­or­gan kann zudem die Aus­kunft ver­wei­gern, ein­schrän­ken oder auf­schie­ben, soweit:

a es wegen über­wie­gen­der öffent­li­cher Inter­es­sen, ins­be­son­de­re der inne­ren oder äusse­ren Sicher­heit der Eid­ge­nos­sen­schaft, erfor­der­lich ist;
b die Aus­kunft den Zweck einer Straf­un­ter­su­chung oder eines andern Unter­su­chungs­ver­fah­rens in Fra­ge stellt.

3 Sobald der Grund für die Ver­wei­ge­rung, Ein­schrän­kung oder Auf­schie­bung einer Aus­kunft weg­fällt, muss das Bun­des­or­gan die Aus­kunft ertei­len, ausser dies ist unmög­lich oder nur mit einem unver­hält­nis­mä­ssi­gen Auf­wand mög­lich.

4 Der pri­va­te Inha­ber einer Daten­samm­lung kann zudem die Aus­kunft ver­wei­gern, ein­schrän­ken oder auf­schie­ben, soweit eige­ne über­wie­gen­de Inter­es­sen es erfor­dern und er die Per­so­nen­da­ten nicht Drit­ten bekannt gibt.

5 Der Inha­ber der Daten­samm­lung muss ange­ben, aus wel­chem Grund er die Aus­kunft ver­wei­gert, ein­schränkt oder auf­schiebt.

Art. 10 Ein­schrän­kun­gen des Aus­kunfts­rechts für Medi­en­schaf­fen­de

1 Der Inha­ber einer Daten­samm­lung, die aus­schliess­lich für die Ver­öf­fent­li­chung im redak­tio­nel­len Teil eines peri­odisch erschei­nen­den Medi­ums ver­wen­det wird, kann die Aus­kunft ver­wei­gern, ein­schrän­ken oder auf­schie­ben, soweit:

a die Per­so­nen­da­ten Auf­schluss über die Infor­ma­ti­ons­quel­len geben;
b Ein­blick in Ent­wür­fe für Publi­ka­tio­nen gege­ben wer­den müss­te;
c die freie Mei­nungs­bil­dung des Publi­kums gefähr­det wür­de.

2 Medi­en­schaf­fen­de kön­nen die Aus­kunft zudem ver­wei­gern, ein­schrän­ken oder auf­schie­ben, wenn ihnen eine Daten­samm­lung aus­schliess­lich als per­sön­li­ches Arbeits­in­stru­ment dient.

Art. 10a Daten­be­ar­bei­tung durch Drit­te

1 Das Bear­bei­ten von Per­so­nen­da­ten kann durch Ver­ein­ba­rung oder Gesetz Drit­ten über­tra­gen wer­den, wenn:

a die Daten nur so bear­bei­tet wer­den, wie der Auf­trag­ge­ber selbst es tun dürf­te; und
b kei­ne gesetz­li­che oder ver­trag­li­che Geheim­hal­tungs­pflicht es ver­bie­tet.

2 Der Auf­trag­ge­ber muss sich ins­be­son­de­re ver­ge­wis­sern, dass der Drit­te die Daten­si­cher­heit gewähr­lei­stet.

3 Drit­te kön­nen die­sel­ben Recht­fer­ti­gungs­grün­de gel­tend machen wie der Auf­trag­ge­ber.

Art. 11 Zer­ti­fi­zie­rungs­ver­fah­ren

1 Um den Daten­schutz und die Daten­si­cher­heit zu ver­bes­sern, kön­nen die Her­stel­ler von Daten­be­ar­bei­tungs­sy­ste­men oder pro­gram­men sowie pri­va­te Per­so­nen oder Bun­des­or­ga­ne, die Per­so­nen­da­ten bear­bei­ten, ihre Syste­me, Ver­fah­ren und ihre Orga­ni­sa­ti­on einer Bewer­tung durch aner­kann­te unab­hän­gi­ge Zer­ti­fi­zie­rungs­stel­len unter­zie­hen.

2 Der Bun­des­rat erlässt Vor­schrif­ten über die Aner­ken­nung von Zer­ti­fi­zie­rungs­ver­fah­ren und die Ein­füh­rung eines Daten­schutz-Qua­li­täts­zei­chens. Er berück­sich­tigt dabei das inter­na­tio­na­le Recht und die inter­na­tio­nal aner­kann­ten tech­ni­schen Nor­men.

Art. 11a Regi­ster der Daten­samm­lun­gen

1 Der Beauf­trag­te führt ein Regi­ster der Daten­samm­lun­gen, das über Inter­net zugäng­lich ist. Jede Per­son kann das Regi­ster ein­se­hen.

2 Bun­des­or­ga­ne müs­sen sämt­li­che Daten­samm­lun­gen beim Beauf­trag­ten zur Regi­strie­rung anmel­den.

3 Pri­va­te Per­so­nen müs­sen Daten­samm­lun­gen anmel­den, wenn: #Bear­bei­tungs­re­gle­ment

a regel­mä­ssig beson­ders schüt­zens­wer­te Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­le bear­bei­tet wer­den; oder
b regel­mä­ssig Per­so­nen­da­ten an Drit­te bekannt gege­ben wer­den.

4 Die Daten­samm­lun­gen müs­sen ange­mel­det wer­den, bevor sie eröff­net wer­den.

5 Ent­ge­gen den Bestim­mun­gen der Absät­ze 2 und 3 muss der Inha­ber von Daten­samm­lun­gen sei­ne Samm­lun­gen nicht anmel­den, wenn:

a pri­va­te Per­so­nen Daten auf­grund einer gesetz­li­chen Ver­pflich­tung bear­bei­ten;
b der Bun­des­rat eine Bear­bei­tung von der Anmel­de­pflicht aus­ge­nom­men hat, weil sie die Rech­te der betrof­fe­nen Per­so­nen nicht gefähr­det;
c er die Daten aus­schliess­lich für die Ver­öf­fent­li­chung im redak­tio­nel­len Teil eines peri­odisch erschei­nen­den Medi­ums ver­wen­det und kei­ne Daten an Drit­te wei­ter­gibt, ohne dass die betrof­fe­nen Per­so­nen davon Kennt­nis haben;
d die Daten durch Jour­na­li­sten bear­bei­tet wer­den, denen die Daten­samm­lung aus­schliess­lich als per­sön­li­ches Arbeits­in­stru­ment dient;
e er einen Daten­schutz­ver­ant­wort­li­chen bezeich­net hat, der unab­hän­gig die betriebs­in­ter­ne Ein­hal­tung der Daten­schutz­vor­schrif­ten über­wacht und ein Ver­zeich­nis der Daten­samm­lun­gen führt;
f er auf­grund eines Zer­ti­fi­zie­rungs­ver­fah­rens nach Arti­kel 11 ein Daten­schutz-Qua­li­täts­zei­chen erwor­ben hat und das Ergeb­nis der Bewer­tung dem Beauf­trag­ten mit­ge­teilt wur­de.

6 Der Bun­des­rat regelt die Moda­li­tä­ten der Anmel­dung der Daten­samm­lun­gen, der Füh­rung und der Ver­öf­fent­li­chung des Regi­sters sowie die Stel­lung und die Auf­ga­ben der Daten­schutz­ver­ant­wort­li­chen nach Absatz 5 Buch­sta­be e und die Ver­öf­fent­li­chung eines Ver­zeich­nis­ses der Inha­ber der Daten­samm­lun­gen, wel­che nach Absatz 5 Buch­sta­ben e und f der Mel­de­pflicht ent­ho­ben sind.

3. Abschnitt: Bear­bei­ten von Per­so­nen­da­ten durch pri­va­te Per­so­nen

Art. 12 Per­sön­lich­keits­ver­let­zun­gen

1 Wer Per­so­nen­da­ten bear­bei­tet, darf dabei die Per­sön­lich­keit der betrof­fe­nen Per­so­nen nicht wider­recht­lich ver­let­zen.

2 Er darf ins­be­son­de­re nicht:

a Per­so­nen­da­ten ent­ge­gen den Grund­sät­zen der Arti­kel 4, 5 Absatz 1 und 7 Absatz 1 bear­bei­ten;
b ohne Recht­fer­ti­gungs­grund Daten einer Per­son gegen deren aus­drück­li­chen Wil­len bear­bei­ten;
c ohne Recht­fer­ti­gungs­grund beson­ders schüt­zens­wer­te Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­le Drit­ten bekannt­ge­ben.

3 In der Regel liegt kei­ne Per­sön­lich­keits­ver­let­zung vor, wenn die betrof­fe­ne Per­son die Daten all­ge­mein zugäng­lich gemacht und eine Bear­bei­tung nicht aus­drück­lich unter­sagt hat.

Art. 13 Recht­fer­ti­gungs­grün­de

1 Eine Ver­let­zung der Per­sön­lich­keit ist wider­recht­lich, wenn sie nicht durch Ein­wil­li­gung des Ver­letz­ten, durch ein über­wie­gen­des pri­va­tes oder öffent­li­ches Inter­es­se oder durch Gesetz gerecht­fer­tigt ist.

2 Ein über­wie­gen­des Inter­es­se der bear­bei­ten­den Per­son fällt ins­be­son­de­re in Betracht, wenn die­se:

a in unmit­tel­ba­rem Zusam­men­hang mit dem Abschluss oder der Abwick­lung eines Ver­trags Per­so­nen­da­ten über ihren Ver­trags­part­ner bear­bei­tet;
b mit einer ande­ren Per­son in wirt­schaft­li­chem Wett­be­werb steht oder tre­ten will und zu die­sem Zweck Per­so­nen­da­ten bear­bei­tet, ohne die­se Drit­ten bekannt zu geben;
c zur Prü­fung der Kre­dit­wür­dig­keit einer ande­ren Per­son weder beson­ders schüt­zens­wer­te Per­so­nen­da­ten noch Per­sön­lich­keits­pro­fi­le bear­bei­tet und Drit­ten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwick­lung eines Ver­tra­ges mit der betrof­fe­nen Per­son benö­ti­gen;
d beruf­lich Per­so­nen­da­ten aus­schliess­lich für die Ver­öf­fent­li­chung im redak­tio­nel­len Teil eines peri­odisch erschei­nen­den Medi­ums bear­bei­tet;
e Per­so­nen­da­ten zu nicht per­so­nen­be­zo­ge­nen Zwecken ins­be­son­de­re in der For­schung, Pla­nung und Sta­ti­stik bear­bei­tet und die Ergeb­nis­se so ver­öf­fent­licht, dass die betrof­fe­nen Per­so­nen nicht bestimm­bar sind;
f Daten über eine Per­son des öffent­li­chen Lebens sam­melt, sofern sich die Daten auf das Wir­ken die­ser Per­son in der Öffent­lich­keit bezie­hen.

Art. 14 Trans­pa­renz und Infor­ma­ti­on beim Beschaf­fen von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten und Per­sön­lich­keits­pro­fi­len

1 Der Inha­ber der Daten­samm­lung ist ver­pflich­tet, die betrof­fe­ne Per­son über die Beschaf­fung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­len zu infor­mie­ren; die­se Infor­ma­ti­ons­pflicht gilt auch dann, wenn die Daten bei Drit­ten beschafft wer­den.

2 Der betrof­fe­nen Per­son sind min­de­stens mit­zu­tei­len:

a der Inha­ber der Daten­samm­lung;
b der Zweck des Bear­bei­tens;
c die Kate­go­rien der Daten­emp­fän­ger, wenn eine Daten­be­kannt­ga­be vor­ge­se­hen ist.

3 Wer­den die Daten nicht bei der betrof­fe­nen Per­son beschafft, so hat deren Infor­ma­ti­on spä­te­stens bei der Spei­che­rung der Daten oder, wenn die Daten nicht gespei­chert wer­den, mit ihrer ersten Bekannt­ga­be an Drit­te zu erfol­gen.

4 Die Infor­ma­ti­ons­pflicht des Inha­bers der Daten­samm­lung ent­fällt, wenn die betrof­fe­ne Per­son bereits infor­miert wur­de oder, in Fäl­len nach Absatz 3, wenn:

a die Spei­che­rung oder die Bekannt­ga­be der Daten aus­drück­lich im Gesetz vor­ge­se­hen ist; oder
b die Infor­ma­ti­on nicht oder nur mit unver­hält­nis­mä­ssi­gem Auf­wand mög­lich ist.

5 Der Inha­ber der Daten­samm­lung kann die Infor­ma­ti­on unter den in Arti­kel 9 Absät­ze 1 und 4 genann­ten Vor­aus­set­zun­gen ver­wei­gern, ein­schrän­ken oder auf­schie­ben.

Art. 15 Rechts­an­sprü­che

1 Kla­gen zum Schutz der Per­sön­lich­keit rich­ten sich nach den Arti­keln 28, 28a sowie 28l des Zivil­ge­setz­buchs. Die kla­gen­de Par­tei kann ins­be­son­de­re ver­lan­gen, dass die Daten­be­ar­bei­tung gesperrt wird, kei­ne Daten an Drit­te bekannt gege­ben oder die Per­so­nen­da­ten berich­tigt oder ver­nich­tet wer­den.

2 Kann weder die Rich­tig­keit noch die Unrich­tig­keit von Per­so­nen­da­ten dar­ge­tan wer­den, so kann die kla­gen­de Par­tei ver­lan­gen, dass bei den Daten ein ent­spre­chen­der Ver­merk ange­bracht wird.

3 Die kla­gen­de Par­tei kann zudem ver­lan­gen, dass die Berich­ti­gung, die Ver­nich­tung, die Sper­re, nament­lich die Sper­re der Bekannt­ga­be an Drit­te, der Ver­merk über die Bestrei­tung oder das Urteil Drit­ten mit­ge­teilt oder ver­öf­fent­licht wird.

4 Über Kla­gen zur Durch­set­zung des Aus­kunfts­rechts ent­schei­det das Gericht im ver­ein­fach­ten Ver­fah­ren nach der Zivil­pro­zess­ord­nung vom 19. Dezem­ber 2008.

4. Abschnitt: Bear­bei­ten von Per­so­nen­da­ten durch Bun­des­or­ga­ne

Art. 16 Ver­ant­wort­li­ches Organ und Kon­trol­le

1 Für den Daten­schutz ist das Bun­des­or­gan ver­ant­wort­lich, das die Per­so­nen­da­ten in Erfül­lung sei­ner Auf­ga­ben bear­bei­tet oder bear­bei­ten lässt.

2 Bear­bei­ten Bun­des­or­ga­ne Per­so­nen­da­ten zusam­men mit ande­ren Bun­des­or­ga­nen, mit kan­to­na­len Orga­nen oder mit Pri­va­ten, so kann der Bun­des­rat die Kon­trol­le und Ver­ant­wor­tung für den Daten­schutz beson­ders regeln.

Art. 17 Rechts­grund­la­gen

1 Orga­ne des Bun­des dür­fen Per­so­nen­da­ten bear­bei­ten, wenn dafür eine gesetz­li­che Grund­la­ge besteht.

2 Beson­ders schüt­zens­wer­te Per­so­nen­da­ten sowie Per­sön­lich­keits­pro­fi­le dür­fen sie nur bear­bei­ten, wenn ein Gesetz im for­mel­len Sinn es aus­drück­lich vor­sieht oder wenn aus­nahms­wei­se:

a es für eine in einem Gesetz im for­mel­len Sinn klar umschrie­be­ne Auf­ga­be unent­behr­lich ist;
b der Bun­des­rat es im Ein­zel­fall bewil­ligt, weil die Rech­te der betrof­fe­nen Per­son nicht gefähr­det sind; oder
c die betrof­fe­ne Per­son im Ein­zel­fall ein­ge­wil­ligt oder ihre Daten all­ge­mein zugäng­lich gemacht und eine Bear­bei­tung nicht aus­drück­lich unter­sagt hat.

Art. 17a Auto­ma­ti­sier­te Daten­be­ar­bei­tung im Rah­men von Pilot­ver­su­chen

1 Der Bun­des­rat kann, nach­dem er die Stel­lung­nah­me des Beauf­trag­ten ein­ge­holt hat, vor Inkraft­tre­ten eines Geset­zes im for­mel­len Sinn die auto­ma­ti­sier­te Bear­bei­tung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­len bewil­li­gen, wenn:

a die Auf­ga­ben, die die­se Bear­bei­tung erfor­der­lich machen, in einem Gesetz im for­mel­len Sinn gere­gelt sind;
b aus­rei­chen­de Mass­nah­men zur Ver­hin­de­rung von Per­sön­lich­keits­ver­let­zun­gen getrof­fen wer­den;
c die prak­ti­sche Umset­zung einer Daten­be­ar­bei­tung eine Test­pha­se vor dem Inkraft­tre­ten des Geset­zes im for­mel­len Sinn zwin­gend erfor­dert.

2 Die prak­ti­sche Umset­zung einer Daten­be­ar­bei­tung kann eine Test­pha­se dann zwin­gend erfor­dern, wenn:

a die Erfül­lung einer Auf­ga­be tech­ni­sche Neue­run­gen erfor­dert, deren Aus­wir­kun­gen zunächst eva­lu­iert wer­den müs­sen;
b die Erfül­lung einer Auf­ga­be bedeu­ten­de orga­ni­sa­to­ri­sche oder tech­ni­sche Mass­nah­men erfor­dert, deren Wirk­sam­keit zunächst geprüft wer­den muss, ins­be­son­de­re bei der Zusam­men­ar­beit zwi­schen Orga­nen des Bun­des und der Kan­to­ne; oder
c sie die Über­mitt­lung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­len an kan­to­na­le Behör­den mit­tels eines Abruf­ver­fah­rens erfor­dert.

3 Der Bun­des­rat regelt die Moda­li­tä­ten der auto­ma­ti­sier­ten Daten­be­ar­bei­tung in einer Ver­ord­nung.

4 Das zustän­di­ge Bun­des­or­gan legt dem Bun­des­rat spä­te­stens innert zwei Jah­ren nach Inbe­trieb­nah­me des Pilot­sy­stems einen Eva­lua­ti­ons­be­richt vor. Es schlägt dar­in die Fort­füh­rung oder die Ein­stel­lung der Bear­bei­tung vor.

5 Die auto­ma­ti­sier­te Daten­be­ar­bei­tung muss in jedem Fall abge­bro­chen wer­den, wenn innert fünf Jah­ren nach der Inbe­trieb­nah­me des Pilot­sy­stems kein Gesetz im for­mel­len Sinn in Kraft getre­ten ist, wel­ches die erfor­der­li­che Rechts­grund­la­ge umfasst.

Art. 18 Beschaf­fen von Per­so­nen­da­ten

1 Bei syste­ma­ti­schen Erhe­bun­gen, nament­lich mit Fra­ge­bo­gen, gibt das Bun­des­or­gan den Zweck und die Rechts­grund­la­ge des Bear­bei­tens, die Kate­go­rien der an der Daten­samm­lung Betei­lig­ten und der Daten­emp­fän­ger bekannt.

2

Art. 18a Trans­pa­renz und Infor­ma­ti­on beim Beschaf­fen von Per­so­nen­da­ten

1 Bun­des­or­ga­ne sind ver­pflich­tet, die betrof­fe­ne Per­son über die Beschaf­fung von Per­so­nen­da­ten zu infor­mie­ren; die­se Infor­ma­ti­ons­pflicht gilt auch dann, wenn die Daten bei Drit­ten beschafft wer­den.

2 Der betrof­fe­nen Per­son sind min­de­stens mit­zu­tei­len:

a der Inha­ber der Daten­samm­lung;
b der Zweck des Bear­bei­tens;
c die Kate­go­rien der Daten­emp­fän­ger, wenn eine Daten­be­kannt­ga­be vor­ge­se­hen ist;
d das Aus­kunfts­recht nach Arti­kel 8;
e die Fol­gen einer Wei­ge­rung der betrof­fe­nen Per­son, die ver­lang­ten Per­so­nen­da­ten anzu­ge­ben.

3 Wer­den die Daten nicht bei der betrof­fe­nen Per­son beschafft, so hat deren Infor­ma­ti­on spä­te­stens bei der Spei­che­rung der Daten oder, wenn die Daten nicht gespei­chert wer­den, mit ihrer ersten Bekannt­ga­be an Drit­te zu erfol­gen.

4 Die Infor­ma­ti­ons­pflicht der Bun­des­or­ga­ne ent­fällt, wenn die betrof­fe­ne Per­son bereits infor­miert wur­de oder, in Fäl­len nach Absatz 3, wenn:

a die Spei­che­rung oder die Bekannt­ga­be der Daten aus­drück­lich im Gesetz vor­ge­se­hen ist; oder
b die Infor­ma­ti­on nicht oder nur mit unver­hält­nis­mä­ssi­gem Auf­wand mög­lich ist.

5 Wenn die Infor­ma­ti­ons­pflicht die Wett­be­werbs­fä­hig­keit eines Bun­des­or­ga­nes beein­träch­ti­gen wür­de, so kann sie der Bun­des­rat auf die Beschaf­fung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten und von Per­sön­lich­keits­pro­fi­len beschrän­ken.

Art. 18b Ein­schrän­kung der Trans­pa­renz und Infor­ma­ti­on

1 Bun­des­or­ga­ne kön­nen die Infor­ma­ti­on unter den in Arti­kel 9 Absät­ze 1 und 2 genann­ten Vor­aus­set­zun­gen ver­wei­gern, ein­schrän­ken oder auf­schie­ben.

2 Sobald der Grund für die Ver­wei­ge­rung, Ein­schrän­kung oder Auf­schie­bung weg­fällt, sind die Bun­des­or­ga­ne durch die Infor­ma­ti­ons­pflicht gebun­den, ausser die­se ist unmög­lich oder nur mit einem unver­hält­nis­mä­ssi­gen Auf­wand zu erfül­len.

Art. 19 Bekannt­ga­be von Per­so­nen­da­ten

1 Bun­des­or­ga­ne dür­fen Per­so­nen­da­ten nur bekannt geben, wenn dafür eine Rechts­grund­la­ge im Sin­ne von Arti­kel 17 besteht oder wenn:

a die Daten für den Emp­fän­ger im Ein­zel­fall zur Erfül­lung sei­ner gesetz­li­chen Auf­ga­be unent­behr­lich sind;
b die betrof­fe­ne Per­son im Ein­zel­fall ein­ge­wil­ligt hat;
c die betrof­fe­ne Per­son ihre Daten all­ge­mein zugäng­lich gemacht und eine Bekannt­ga­be nicht aus­drück­lich unter­sagt hat; oder
d der Emp­fän­ger glaub­haft macht, dass die betrof­fe­ne Per­son die Ein­wil­li­gung ver­wei­gert oder die Bekannt­ga­be sperrt, um ihm die Durch­set­zung von Rechts­an­sprü­chen oder die Wahr­neh­mung ande­rer schutz­wür­di­ger Inter­es­sen zu ver­weh­ren; der betrof­fe­nen Per­son ist vor­her wenn mög­lich Gele­gen­heit zur Stel­lung­nah­me zu geben.

1bis Bun­des­or­ga­ne dür­fen im Rah­men der behörd­li­chen Infor­ma­ti­on der Öffent­lich­keit von Amtes wegen oder gestützt auf das Öffent­lich­keits­ge­setz vom 17. Dezem­ber 2004 auch Per­so­nen­da­ten bekannt geben, wenn:

a die betref­fen­den Per­so­nen­da­ten im Zusam­men­hang mit der Erfül­lung öffent­li­cher Auf­ga­ben ste­hen; und
b an deren Bekannt­ga­be ein über­wie­gen­des öffent­li­ches Inter­es­se besteht.

2 Bun­des­or­ga­ne dür­fen auf Anfra­ge Name, Vor­na­me, Adres­se und Geburts­da­tum einer Per­son auch bekannt geben, wenn die Vor­aus­set­zun­gen von Absatz 1 nicht erfüllt sind.

3 Bun­des­or­ga­ne dür­fen Per­so­nen­da­ten durch ein Abruf­ver­fah­ren zugäng­lich machen, wenn dies aus­drück­lich vor­ge­se­hen ist. Beson­ders schüt­zens­wer­te Per­so­nen­da­ten sowie Per­sön­lich­keits­pro­fi­le dür­fen nur durch ein Abruf­ver­fah­ren zugäng­lich gemacht wer­den, wenn ein Gesetz im for­mel­len Sinn es aus­drück­lich vor­sieht.

3bis Bun­des­or­ga­ne dür­fen Per­so­nen­da­ten mit­tels auto­ma­ti­sier­ter Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­dien­ste jeder­mann zugäng­lich machen, wenn eine Rechts­grund­la­ge die Ver­öf­fent­li­chung die­ser Daten vor­sieht oder wenn sie gestützt auf Absatz 1bis Infor­ma­tio­nen der Öffent­lich­keit zugäng­lich machen. Besteht das öffent­li­che Inter­es­se an der Zugäng­lich­ma­chung nicht mehr, so sind die betref­fen­den Daten wie­der aus dem auto­ma­ti­sier­ten Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­dienst zu ent­fer­nen.

4 Das Bun­des­or­gan lehnt die Bekannt­ga­be ab, schränkt sie ein oder ver­bin­det sie mit Auf­la­gen, wenn:

a wesent­li­che öffent­li­che Inter­es­sen oder offen­sicht­lich schutz­wür­di­ge Inter­es­sen einer betrof­fe­nen Per­son es ver­lan­gen oder
b gesetz­li­che Geheim­hal­tungs­pflich­ten oder beson­de­re Daten­schutz­vor­schrif­ten es ver­lan­gen.

Art. 20 Sper­rung der Bekannt­ga­be

1 Eine betrof­fe­ne Per­son, die ein schutz­wür­di­ges Inter­es­se glaub­haft macht, kann vom ver­ant­wort­li­chen Bun­des­or­gan ver­lan­gen, dass es die Bekannt­ga­be von bestimm­ten Per­so­nen­da­ten sperrt.

2 Das Bun­des­or­gan ver­wei­gert die Sper­rung oder hebt sie auf, wenn:

a eine Rechts­pflicht zur Bekannt­ga­be besteht; oder
b die Erfül­lung sei­ner Auf­ga­be sonst gefähr­det wäre.

3 Die Sper­rung steht unter dem Vor­be­halt von Arti­kel 19 Absatz 1bis.

Art. 21 Ange­bot von Unter­la­gen an das Bun­des­ar­chiv

1 In Über­ein­stim­mung mit dem Archi­vie­rungs­ge­setz vom 26. Juni 1998 bie­ten die Bun­des­or­ga­ne dem Bun­des­ar­chiv alle Per­so­nen­da­ten an, die sie nicht mehr stän­dig benö­ti­gen.

2 Die Bun­des­or­ga­ne ver­nich­ten die vom Bun­des­ar­chiv als nicht archiv­wür­dig bezeich­ne­ten Per­so­nen­da­ten, ausser wenn die­se:

a anony­mi­siert sind;
b zu Beweis- oder Sicher­heits­zwecken oder zur Wah­rung der schutz­wür­di­gen Inter­es­sen der betrof­fe­nen Per­son auf­be­wahrt wer­den müs­sen.

Art. 22 Bear­bei­ten für For­schung, Pla­nung und Sta­ti­stik

1 Bun­des­or­ga­ne dür­fen Per­so­nen­da­ten für nicht per­so­nen­be­zo­ge­ne Zwecke, ins­be­son­de­re für For­schung, Pla­nung und Sta­ti­stik bear­bei­ten, wenn:

a die Daten anony­mi­siert wer­den, sobald es der Zweck des Bear­bei­tens erlaubt;
b der Emp­fän­ger die Daten nur mit Zustim­mung des Bun­des­or­gans wei­ter­gibt; und
c die Ergeb­nis­se so ver­öf­fent­licht wer­den, dass die betrof­fe­nen Per­so­nen nicht bestimm­bar sind.

2 Die Anfor­de­run­gen der fol­gen­den Bestim­mun­gen müs­sen nicht erfüllt sein:

a Arti­kel 4 Absatz 3 über den Zweck des Bear­bei­tens
b Arti­kel 17 Absatz 2 über die Rechts­grund­la­gen für die Bear­bei­tung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten und Per­sön­lich­keits­pro­fi­len;
c Arti­kel 19 Absatz 1 über die Bekannt­ga­be von Per­so­nen­da­ten.

Art. 23 Pri­vat­recht­li­che Tätig­keit von Bun­des­or­ga­nen

1 Han­delt ein Bun­des­or­gan pri­vat­recht­lich, so gel­ten die Bestim­mun­gen für das Bear­bei­ten von Per­so­nen­da­ten durch pri­va­te Per­so­nen.

2 Die Auf­sicht rich­tet sich nach den Bestim­mun­gen für Bun­des­or­ga­ne.

Art. 24

[auf­ge­ho­ben]

Art. 25 Ansprü­che und Ver­fah­ren

1 Wer ein schutz­wür­di­ges Inter­es­se hat, kann vom ver­ant­wort­li­chen Bun­des­or­gan ver­lan­gen, dass es:

a das wider­recht­li­che Bear­bei­ten von Per­so­nen­da­ten unter­lässt;
b die Fol­gen eines wider­recht­li­chen Bear­bei­tens besei­tigt;
c die Wider­recht­lich­keit des Bear­bei­tens fest­stellt.

2 Kann weder die Rich­tig­keit noch die Unrich­tig­keit von Per­so­nen­da­ten bewie­sen wer­den, so muss das Bun­des­or­gan bei den Daten einen ent­spre­chen­den Ver­merk anbrin­gen.

3 Der Gesuch­stel­ler kann ins­be­son­de­re ver­lan­gen, dass das Bun­des­or­gan:

a Per­so­nen­da­ten berich­tigt, ver­nich­tet oder die Bekannt­ga­be an Drit­te sperrt;
b sei­nen Ent­scheid, nament­lich die Berich­ti­gung, Ver­nich­tung, Sper­re oder den Ver­merk über die Bestrei­tung Drit­ten mit­teilt oder ver­öf­fent­licht.

4 Das Ver­fah­ren rich­tet sich nach dem Bun­des­ge­setz vom 20. Dezem­ber 1968 über das Ver­wal­tungs­ver­fah­ren (Ver­wal­tungs­ver­fah­rens­ge­setz). Die Aus­nah­men von Arti­kel 2 und 3 des Ver­wal­tungs­ver­fah­rens­ge­set­zes gel­ten nicht.

Art. 25bis Ver­fah­ren im Fal­le der Bekannt­ga­be von amt­li­chen Doku­men­ten, die Per­so­nen­da­ten ent­hal­ten

Solan­ge ein Ver­fah­ren betref­fend den Zugang zu amt­li­chen Doku­men­ten im Sin­ne des Öffent­lich­keits­ge­set­zes vom 17. Dezem­ber 2004, wel­che Per­so­nen­da­ten ent­hal­ten, im Gan­ge ist, kann die betrof­fe­ne Per­son im Rah­men die­ses Ver­fah­rens die Rech­te gel­tend machen, die ihr auf­grund von Arti­kel 25 des vor­lie­gen­den Geset­zes bezo­gen auf die­je­ni­gen Doku­men­te zuste­hen, die Gegen­stand des Zugangs­ver­fah­rens sind.

5. Abschnitt: Eid­ge­nös­si­scher Daten­schutz- und Öffent­lich­keits­be­auf­trag­ter

Art. 26 Wahl und Stel­lung

1 Der Beauf­trag­te wird vom Bun­des­rat für eine Amts­dau­er von vier Jah­ren gewählt. Die Wahl ist durch die Bun­des­ver­samm­lung zu geneh­mi­gen.

2 Das Arbeits­ver­hält­nis des Beauf­trag­ten rich­tet sich, soweit die­ses Gesetz nichts ande­res vor­sieht, nach dem Bun­des­per­so­nal­ge­setz vom 24. März 2000.

3 Der Beauf­trag­te übt sei­ne Funk­ti­on unab­hän­gig aus, ohne Wei­sun­gen einer Behör­de zu erhal­ten. Er ist der Bun­des­kanz­lei admi­ni­stra­tiv zuge­ord­net.

4 Er ver­fügt über ein stän­di­ges Sekre­ta­ri­at und ein eige­nes Bud­get. Er stellt sein Per­so­nal an.

5 Der Beauf­trag­te unter­steht nicht dem Beur­tei­lungs­sy­stem nach Arti­kel 4 Absatz 3 des Bun­des­per­so­nal­ge­set­zes vom 24. März 2000.

Art. 26a Wie­der­wahl und Been­di­gung der Amts­dau­er

1 Ver­fügt der Bun­des­rat nicht spä­te­stens sechs Mona­te vor Ablauf der Amts­dau­er aus sach­lich hin­rei­chen­den Grün­den die Nicht­wie­der­wahl, so ist der Beauf­trag­te für eine neue Amts­dau­er wie­der­ge­wählt.

2 Der Beauf­trag­te kann den Bun­des­rat unter Ein­hal­tung einer Frist von sechs Mona­ten um Ent­las­sung auf ein Monats­en­de ersu­chen.

3 Der Bun­des­rat kann den Beauf­trag­ten vor Ablauf der Amts­dau­er des Amtes ent­he­ben, wenn die­ser:

a vor­sätz­lich oder grob­fahr­läs­sig Amts­pflich­ten schwer ver­letzt hat; oder
b die Fähig­keit, das Amt aus­zu­üben, auf Dau­er ver­lo­ren hat.

Art. 26b Ande­re Beschäf­ti­gung

Der Bun­des­rat kann dem Beauf­trag­ten gestat­ten, eine ande­re Beschäf­ti­gung aus­zu­üben, wenn dadurch des­sen Unab­hän­gig­keit und des­sen Anse­hen nicht beein­träch­tigt wer­den.

Art. 27 Auf­sicht über Bun­des­or­ga­ne

1 Der Beauf­trag­te über­wacht die Ein­hal­tung die­ses Geset­zes und der übri­gen Daten­schutz­vor­schrif­ten des Bun­des durch die Bun­des­or­ga­ne. Der Bun­des­rat ist von die­ser Auf­sicht aus­ge­nom­men.

2 Der Beauf­trag­te klärt von sich aus oder auf Mel­dung Drit­ter hin den Sach­ver­halt näher ab.

3 Bei der Abklä­rung kann er Akten her­aus­ver­lan­gen, Aus­künf­te ein­ho­len und sich Daten­be­ar­bei­tun­gen vor­füh­ren las­sen. Die Bun­des­or­ga­ne müs­sen an der Fest­stel­lung des Sach­ver­hal­tes mit­wir­ken. Das Zeug­nis­ver­wei­ge­rungs­recht nach Arti­kel 16 des Verwaltungsverfahrensgesetzes52 gilt sinn­ge­mäss.

4 Ergibt die Abklä­rung, dass Daten­schutz­vor­schrif­ten ver­letzt wer­den, so emp­fiehlt der Beauf­trag­te dem ver­ant­wort­li­chen Bun­des­or­gan, das Bear­bei­ten zu ändern oder zu unter­las­sen. Er ori­en­tiert das zustän­di­ge Depar­te­ment oder die Bun­des­kanz­lei über sei­ne Emp­feh­lung.

5 Wird eine Emp­feh­lung nicht befolgt oder abge­lehnt, so kann er die Ange­le­gen­heit dem Depar­te­ment oder der Bun­des­kanz­lei zum Ent­scheid vor­le­gen. Der Ent­scheid wird den betrof­fe­nen Per­so­nen in Form einer Ver­fü­gung mit­ge­teilt.

6 Der Beauf­trag­te ist berech­tigt, gegen die Ver­fü­gung nach Absatz 5 und gegen den Ent­scheid der Beschwer­de­be­hör­de Beschwer­de zu füh­ren.

Art. 28 Bera­tung Pri­va­ter

Der Beauf­trag­te berät pri­va­te Per­so­nen in Fra­gen des Daten­schut­zes.

Art. 29 Abklä­run­gen und Emp­feh­lun­gen im Pri­vat­rechts­be­reich

1 Der Beauf­trag­te klärt von sich aus oder auf Mel­dung Drit­ter hin den Sach­ver­halt näher ab, wenn:

a Bear­bei­tungs­me­tho­den geeig­net sind, die Per­sön­lich­keit einer grö­sse­ren Anzahl von Per­so­nen zu ver­let­zen (System­feh­ler);
b Daten­samm­lun­gen regi­striert wer­den müs­sen (Arti­kel 11a);
c eine Infor­ma­ti­ons­pflicht nach Arti­kel 6 Absatz 3 besteht.

2 Er kann dabei Akten her­aus­ver­lan­gen, Aus­künf­te ein­ho­len und sich Daten­be­ar­bei­tun­gen vor­füh­ren las­sen. Das Zeug­nis­ver­wei­ge­rungs­recht nach Arti­kel 16 des Ver­wal­tungs­ver­fah­rens­ge­set­zes gilt sinn­ge­mäss.

3 Der Beauf­trag­te kann auf­grund sei­ner Abklä­run­gen emp­feh­len, das Bear­bei­ten zu ändern oder zu unter­las­sen.

4 Wird eine sol­che Emp­feh­lung des Beauf­trag­ten nicht befolgt oder abge­lehnt, so kann er die Ange­le­gen­heit dem Bun­des­ver­wal­tungs­ge­richt zum Ent­scheid vor­le­gen. Er ist berech­tigt, gegen die­sen Ent­scheid Beschwer­de zu füh­ren.

Art. 30 Infor­ma­ti­on

1 Der Beauf­trag­te erstat­tet der Bun­des­ver­samm­lung peri­odisch sowie nach Bedarf Bericht. Er über­mit­telt den Bericht gleich­zei­tig dem Bun­des­rat. Die peri­odi­schen Berich­te wer­den ver­öf­fent­licht.

2 In Fäl­len von all­ge­mei­nem Inter­es­se kann er die Öffent­lich­keit über sei­ne Fest­stel­lun­gen und Emp­feh­lun­gen infor­mie­ren. Per­so­nen­da­ten, die dem Amts­ge­heim­nis unter­ste­hen, darf er nur mit Zustim­mung der zustän­di­gen Behör­de ver­öf­fent­li­chen. Ver­wei­gert die­se die Zustim­mung, so ent­schei­det der Prä­si­dent der auf dem Gebiet des Daten­schut­zes zustän­di­gen Abtei­lung des Bun­des­ver­wal­tungs­ge­richts end­gül­tig.

Art. 31 Wei­te­re Auf­ga­ben

1 Der Beauf­trag­te hat ins­be­son­de­re fol­gen­de wei­te­ren Auf­ga­ben:

a Er unter­stützt Orga­ne des Bun­des und der Kan­to­ne in Fra­gen des Daten­schut­zes.
b Er nimmt Stel­lung zu Vor­la­gen über Erlas­se und Mass­nah­men des Bun­des, die für den Daten­schutz erheb­lich sind.
c Er arbei­tet mit in- und aus­län­di­schen Daten­schutz­be­hör­den zusam­men.
d Er begut­ach­tet, inwie­weit die Daten­schutz­ge­setz­ge­bung im Aus­land einen ange­mes­se­nen Schutz gewähr­lei­stet.
e Er prüft die ihm nach Arti­kel 6 Absatz 3 gemel­de­ten Garan­tien und Daten­schutz­re­geln.
f Er prüft die Zer­ti­fi­zie­rungs­ver­fah­ren nach Arti­kel 11 und kann dazu Emp­feh­lun­gen nach Arti­kel 27 Absatz 4 oder 29 Absatz 3 abge­ben.
g Er nimmt die ihm durch das Öffent­lich­keits­ge­setz vom 17. Dezem­ber 2004 über­tra­ge­nen Auf­ga­ben wahr.

2 Er kann Orga­ne der Bun­des­ver­wal­tung auch dann bera­ten, wenn die­ses Gesetz nach Arti­kel 2 Absatz 2 Buch­sta­ben c und d nicht anwend­bar ist. Die Orga­ne der Bun­des­ver­wal­tung kön­nen ihm Ein­blick in ihre Geschäf­te gewäh­ren.

Art. 32

[auf­ge­ho­ben]

6. Abschnitt: Rechts­schutz

Art. 33

1 Der Rechts­schutz rich­tet sich nach den all­ge­mei­nen Bestim­mun­gen über die Bun­des­rechts­pfle­ge.

2 Stellt der Beauf­trag­te bei einer Sach­ver­halts­ab­klä­rung nach Arti­kel 27 Absatz 2 oder nach Arti­kel 29 Absatz 1 fest, dass den betrof­fe­nen Per­so­nen ein nicht leicht wie­der gut­zu­ma­chen­der Nach­teil droht, so kann er dem Prä­si­den­ten der auf dem Gebiet des Daten­schut­zes zustän­di­gen Abtei­lung des Bun­des­ver­wal­tungs­ge­richts vor­sorg­li­che Mass­nah­men bean­tra­gen. Das Ver­fah­ren rich­tet sich sinn­ge­mäss nach den Arti­keln 79 – 84 des Bun­des­ge­set­zes vom 4. Dezem­ber 1947 über den Bun­des­zi­vil­pro­zess.

7. Abschnitt: Straf­be­stim­mun­gen

Art. 34 Ver­let­zung der Auskunfts‑, Mel­de- und Mit­wir­kungs­pflich­ten

1 Mit Bus­se wer­den pri­va­te Per­so­nen auf Antrag bestraft:

a die ihre Pflich­ten nach den Arti­keln 8 – 10 und 14 ver­let­zen, indem sie vor­sätz­lich eine fal­sche oder eine unvoll­stän­di­ge Aus­kunft ertei­len;
b die es vor­sätz­lich unter­las­sen:
1. die betrof­fe­ne Per­son nach Arti­kel 14 Absatz 1 zu infor­mie­ren, oder
2. ihr die Anga­ben nach Arti­kel 14 Absatz 2 zu lie­fern.

2 Mit Bus­se wer­den pri­va­te Per­so­nen bestraft, die vor­sätz­lich:

a die Infor­ma­ti­on nach Arti­kel 6 Absatz 3 oder die Mel­dung nach Arti­kel 11a unter­las­sen oder dabei vor­sätz­lich fal­sche Anga­ben machen;
b dem Beauf­trag­ten bei der Abklä­rung eines Sach­ver­hal­tes (Arti­kel 29) fal­sche Aus­künf­te ertei­len oder die Mit­wir­kung ver­wei­gern.

Art. 35 Ver­let­zung der beruf­li­chen Schwei­ge­pflicht

1 Wer vor­sätz­lich gehei­me, beson­ders schüt­zens­wer­te Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­le unbe­fugt bekannt gibt, von denen er bei der Aus­übung sei­nes Beru­fes, der die Kennt­nis sol­cher Daten erfor­dert, erfah­ren hat, wird auf Antrag mit Bus­se bestraft.

2 Gleich wird bestraft, wer vor­sätz­lich gehei­me, beson­ders schüt­zens­wer­te Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­le unbe­fugt bekannt gibt, von denen er bei der Tätig­keit für den Geheim­hal­tungs­pflich­ti­gen oder wäh­rend der Aus­bil­dung bei die­sem erfah­ren hat.

3 Das unbe­fug­te Bekannt­ge­ben gehei­mer, beson­ders schüt­zens­wer­ter Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­le ist auch nach Been­di­gung der Berufs­aus­übung oder der Aus­bil­dung straf­bar.

8. Abschnitt: Schluss­be­stim­mun­gen

Art. 36 Voll­zug

1 Der Bun­des­rat erlässt die Aus­füh­rungs­be­stim­mun­gen.

2

3 Er kann für die Aus­kunfts­er­tei­lung durch diplo­ma­ti­sche und kon­su­la­ri­sche Ver­tre­tun­gen der Schweiz im Aus­land Abwei­chun­gen von den Arti­keln 8 und 9 vor­se­hen.

4 Er kann fer­ner bestim­men:

a wel­che Daten­samm­lun­gen ein Bear­bei­tungs­re­gle­ment benö­ti­gen;
b unter wel­chen Vor­aus­set­zun­gen ein Bun­des­or­gan Per­so­nen­da­ten durch einen Drit­ten bear­bei­ten las­sen oder für Drit­te bear­bei­ten darf;
c wie die Mit­tel zur Iden­ti­fi­ka­ti­on von Per­so­nen ver­wen­det wer­den dür­fen.

5 Er kann völ­ker­recht­li­che Ver­trä­ge über den Daten­schutz abschlie­ssen, wenn sie den Grund­sät­zen die­ses Geset­zes ent­spre­chen.

6 Er regelt, wie Daten­samm­lun­gen zu sichern sind, deren Daten im Kriegs- oder Kri­sen­fall zu einer Gefähr­dung von Leib und Leben der betrof­fe­nen Per­so­nen füh­ren kön­nen.

Art. 37 Voll­zug durch die Kan­to­ne

1 Soweit kei­ne kan­to­na­len Daten­schutz­vor­schrif­ten bestehen, die einen ange­mes­se­nen Schutz gewähr­lei­sten, gel­ten für das Bear­bei­ten von Per­so­nen­da­ten durch kan­to­na­le Orga­ne beim Voll­zug von Bun­des­recht die Arti­kel 1 – 11a, 16, 17, 18 – 22 und 25 Absät­ze 1 – 3 die­ses Geset­zes.

2 Die Kan­to­ne bestim­men ein Kon­troll­organ, wel­ches für die Ein­hal­tung des Daten­schut­zes sorgt. Die Arti­kel 27, 30 und 31 sind sinn­ge­mäss anwend­bar.

Art. 38 Über­gangs­be­stim­mun­gen

1 Die Inha­ber von Daten­samm­lun­gen müs­sen bestehen­de Daten­samm­lun­gen, die nach Arti­kel 11 zu regi­strie­ren sind, spä­te­stens ein Jahr nach Inkraft­tre­ten die­ses Geset­zes anmel­den.

2 Sie müs­sen innert einem Jahr nach Inkraft­tre­ten die­ses Geset­zes die not­wen­di­gen Vor­keh­ren tref­fen, damit sie die Aus­künf­te nach Arti­kel 8 ertei­len kön­nen.

3 Bun­des­or­ga­ne dür­fen eine bestehen­de Daten­samm­lung mit beson­ders schüt­zens­wer­ten Per­so­nen­da­ten oder mit Per­sön­lich­keits­pro­fi­len noch bis am 31. Dezem­ber 2000 benüt­zen, ohne dass die Vor­aus­set­zun­gen von Arti­kel 17 Absatz 2 erfüllt sind.

4 Im Asyl- und Aus­län­der­be­reich wird die Frist nach Absatz 3 bis zum Inkraft­tre­ten des total­re­vi­dier­ten Asyl­ge­set­zes vom 26. Juni 1998 sowie der Ände­rung des Bun­des­ge­set­zes vom 26. März 1931 über Auf­ent­halt und Nie­der­las­sung der Aus­län­der ver­län­gert.

38a Über­gangs­be­stim­mung zur Ände­rung vom 19. März 2010

Die Wahl des Beauf­trag­ten und die Been­di­gung sei­nes Arbeits­ver­hält­nis­ses unter­ste­hen bis zum Ende der Legis­la­tur­pe­ri­ode, in der die­se Ände­rung in Kraft tritt, dem bis­he­ri­gen Recht.

Art. 39 Refe­ren­dum und Inkraft­tre­ten

1 Die­ses Gesetz unter­steht dem fakul­ta­ti­ven Refe­ren­dum.

2 Der Bun­des­rat bestimmt das Inkraft­tre­ten.

Datum des Inkraft­tre­tens: 1. Juli 1993