Text des Entwurfs der revidierten VDSG vom 23. Juni 2021. Die Texte wurden automatisiert konvertiert – wir danken für Hinweise auf Fehler.
Kritische Anmerkungen zum E‑VDSG finden sich hier, das revidierte DSG hier und die aktuelle VDSG hier.
1. Kapitel: Allgemeine Bestimmungen
1. Abschnitt: Datensicherheit
Art. 1 Grundsätze
1 Ob die technischen oder organisatorischen Massnahmen zur Gewährleistung der Datensicherheit dem Risiko angemessenen sind, beurteilt sich nach den folgenden Kriterien:
2 Die Massnahmen sind über die gesamte Bearbeitungsdauer hinweg in angemessenen Abständen zu überprüfen.
Art. 2 Schutzziele
Soweit angemessen, müssen die Massnahmen zur Gewährleistung der Datensicherheit folgende Schutzziele erreichen:
Art. 3 Protokollierung
1 Ergibt sich aus der Datenschutz-Folgenabschätzung, dass bei der automatisierten Bearbeitung von Personendaten trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht, protokollieren der private Verantwortliche und dessen Auftragsbearbeiter zumindest folgende Vorgänge: das Speichern, Verändern, Lesen, Bekanntgeben, Löschen oder Vernichten.
2 Bundesorgane und deren Auftragsbearbeiter protokollieren bei der automatisierten Bearbeitung von Personendaten zumindest folgende Vorgänge: das Speichern, Verändern, Lesen, Bekanntgeben, Löschen oder Vernichten.
3 Die Protokollierung gibt Aufschluss über die Art des Bearbeitungsvorgangs, die Identität der Person, die die Bearbeitung vorgenommen hat, die Identität der Empfängerin oder des Empfängers sowie den Zeitpunkt, an dem die Bearbeitung erfolgt ist.
4 Die Protokolle sind während zwei Jahren getrennt vom System, in welchem die Personendaten bearbeitet werden, aufzubewahren. Sie sind ausschliesslich den Organen oder Personen zugänglich, denen die Überwachung der Datenschutzvorschriften oder die Wiederherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten obliegen, und dürfen nur für diesen Zweck verwendet werden.
Art. 4 Bearbeitungsreglement von privaten Personen
1 Der Verantwortliche und dessen Auftragsbearbeiter müssen ein Reglement für automatisierte Bearbeitungen erstellen, wenn sie:
2 Das Reglement muss mindestens Angaben enthalten:
3 Die private Person muss das Reglement regelmässig aktualisieren und der Datenschutzberaterin oder dem Datenschutzberater in einer für diese oder diesen verständlichen Form zur Verfügung stellen.
Art. 5 Bearbeitungsreglement von Bundesorganen
1 Das verantwortliche Bundesorgan und dessen Auftragsbearbeiter erstellen ein Bearbeitungsreglement für automatisierte Bearbeitungen, wenn sie:
2 Das Reglement muss mindestens die Angaben nach Artikel 4 Absatz 2 enthalten.
3 Das verantwortliche Bundesorgan muss das Reglement regelmässig aktualisieren und der Datenschutzberaterin oder dem Datenschutzberater in einer für diese oder diesen verständlichen Form sowie dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) auf Anfrage zur Verfügung stellen.
2. Abschnitt: Bearbeitung durch Auftragsbearbeiter
Art. 6 Modalitäten
1 Der Verantwortliche, der die Bearbeitung von Personendaten einem Auftragsbearbeiter überträgt, bleibt für den Datenschutz verantwortlich. Er muss sicherstellen, dass die Daten vertrags- oder gesetzesgemäss bearbeitet werden.
2 Untersteht der Auftragsbearbeiter dem DSG nicht, so muss sich der Verantwortliche vergewissern, dass andere gesetzliche Bestimmungen einen gleichwertigen Datenschutz gewährleisten. Andernfalls muss er diesen auf vertraglichem Wege sicherstellen.
3 Handelt es sich beim Verantwortlichen um ein Bundesorgan, so darf der Auftragsbearbeiter die Datenbearbeitung einem Dritten übertragen, wenn das Bundesorgan dies schriftlich genehmigt hat.
Art. 7 Information an die Datenschutzberaterin oder den Datenschutzberater des Bundesorgans
3. Abschnitt: Bekanntgabe von Personendaten ins Ausland
Art. 8 Beurteilung der Angemessenheit des Datenschutzes eines ausländischen Staates oder eines internationalen Organs
1 Werden Personendaten ins Ausland bekanntgegeben, so müssen bei der Beurteilung, ob ein Staat, ein Gebiet, einer oder mehrere spezifische Sektoren in einem Staat oder ein internationales Organ einen angemessenen Datenschutz gewährleistet, namentlich die folgenden Kriterien berücksichtigt werden:
2 Bei der Beurteilung können die Einschätzungen von internationalen Organen oder ausländischen Behörden, die für den Datenschutz zuständig sind, berücksichtigt werden.
3 Die Angemessenheit des Datenschutzes des betreffenden Staates, des Gebiets, der spezifischen Sektoren in einem Staat oder des internationalen Organs wird periodisch neu beurteilt.
4 Ergibt sich aus einer Beurteilung nach Absatz 3 oder aus verfügbaren Informationen, dass ein Staat, ein Gebiet, einer oder mehrere spezifische Sektoren in einem Staat oder ein internationales Organ kein angemessener Datenschutz mehr gewährleistet, so wird der Entscheid gemäss Artikel 16 Absatz 1 DSG geändert, sistiert oder aufgehoben. Dieser neue Entscheid hat keine Auswirkungen auf bereits erfolgte Datenbekanntgaben.
5 Die Staaten, Gebiete, spezifischen Sektoren in einem Staat und internationalen Organe mit einem angemessenen Datenschutz sind in Anhang 1 aufgeführt.
6 Der EDÖB wird vor jedem Entscheid über die Angemessenheit des Datenschutzes konsultiert.
Art. 9 Datenschutzklauseln und spezifische Garantien
1 Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte regeln:
k. die Rechte der betroffenen Person, namentlich:
2 Der Verantwortliche muss angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien einhält.
3 Wurde der EDÖB über die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:
Art. 10 Standarddatenschutzklauseln
1 Gibt der Verantwortliche Personendaten mittels Standarddatenschutzklauseln nach Artikel 16 Absatz 2 Buchstabe d DSG ins Ausland bekannt, so trifft er angemessene Massnahmen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese beachtet.
2 Der EDÖB veröffentlicht eine Liste von Standarddatenschutzklauseln, die er genehmigt, ausgestellt oder anerkannt hat.
Art. 11 Verbindliche unternehmensinterne Datenschutzvorschriften
1 Verbindliche unternehmensinterne Datenschutzvorschriften nach Artikel 16 Absatz 2 Buchstabe e DSG gelten für alle Unternehmen, die zum selben Konzern gehören.
2 Sie umfassen mindestens die in Artikel 9 Absatz 1 genannten Punkte sowie die folgenden Angaben:
Art. 12 Verhaltenskodizes und Zertifizierungen
1 Personendaten dürfen ins Ausland bekannt gegeben werden, wenn durch einen Verhaltenskodex oder eine Zertifizierung ein geeigneter Datenschutz gewährleistet wird.
2 Der Verhaltenskodex enthält mindestens die Angaben nach Artikel 9 Absatz 1 und muss vorgängig vom EDÖB genehmigt werden.
3 Der Verhaltenskodex oder die Zertifizierung muss mit einer verbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen oder des Auftragsbearbeiters im Drittstaat verbunden werden, die darin enthaltenen Massnahmen anzuwenden.
2. Kapitel: Pflichten des Verantwortlichen und des Auftragsbearbeiters
Art. 13 Modalitäten der Informationspflichten
1 Der Verantwortliche und der Auftragsbearbeiter teilen die Information über die Beschaffung von Personendaten in präziser, verständlicher und leicht zugänglicher Form mit.
2 Teilt er die Informationen in Kombination mit Piktogrammen mit, die elektronisch dargestellt werden, so müssen diese maschinenlesbar sein.
Art. 14 Informationspflicht der Bundesorgane bei der systematischen Beschaffung von Personendaten
Art. 15 Information bei der Bekanntgabe von Personendaten
Art. 16 Information über die Berichtigung, Löschung oder Vernichtung sowie die Einschränkung der Bearbeitung von Personendaten
Art. 17 Überprüfung einer automatisierten Einzelentscheidung
Art. 18 Form und Aufbewahrung der Datenschutz-Folgenabschätzung
Art. 19 Meldung von Verletzungen der Datensicherheit
1 Der Verantwortliche meldet dem EDÖB bei einer Verletzung der Datensicherheit:
2 Ist es dem Verantwortlichen bei Entdeckung der Verletzung der Datensicherheit nicht möglich, dem EDÖB alle Informationen gemäss Absatz 1 zur gleichen Zeit bereitzustellen, so kann er diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
3 Der Verantwortliche teilt den betroffenen Personen in einfacher und verständlicher Sprache mindestens die Informationen nach Absatz 1 Buchstaben a, e, f und g mit.
4 Handelt es sich beim Verantwortlichen um ein Bundesorgan, so erfolgt die Meldung an den EDÖB über die Datenschutzberaterin oder den Datenschutzberater.
5 Der Verantwortliche muss die Verletzungen dokumentieren. Die Dokumentation muss alle mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen enthalten. Sie ist ab dem Zeitpunkt der Meldung nach Absatz 1 mindestens drei Jahre aufzubewahren.
3. Kapitel: Rechte der betroffenen Person
1. Abschnitt: Auskunftsrecht
Art. 20 Modalitäten
1 Das Auskunftsbegehren wird schriftlich gestellt. Ist der Verantwortliche einverstanden, so kann das Begehren auch mündlich gestellt werden.
2 Die Auskunft wird in der Regel schriftlich erteilt. Im Einvernehmen mit dem Verantwortlichen oder auf dessen Vorschlag hin kann die betroffene Person ihre Daten auch an Ort und Stelle einsehen. Die Auskunft kann auch mündlich erteilt werden, wenn die betroffene Person eingewilligt hat.
3 Die Auskunft muss für die betroffene Person verständlich sein.
4 Der Verantwortliche muss die angemessenen Massnahmen treffen, um die Identifizierung der betroffenen Person sicherzustellen und die Personendaten der betroffenen Person bei der Auskunftserteilung vor dem Zugriff unberechtigter Dritter zu schützen. Die betroffene Person muss bei ihrer Identifizierung mitwirken.
5 Der Verantwortliche hat die Gründe für eine Verweigerung, Einschränkung oder den Aufschub der Auskunft zu dokumentieren. Die Dokumentation ist mindestens drei Jahre lang aufzubewahren.
Art. 21 Zuständigkeit
1 Sind für die Bearbeitung von Personendaten mehrere verantwortlich, so kann die betroffene Person ihr Auskunftsrecht bei jedem Verantwortlichen geltend machen.
2 Ist ein Verantwortlicher für die Behandlung des Begehrens nicht zuständig, so leitet er es an den zuständigen Verantwortlichen weiter.
3 Betrifft das Begehren Daten, die von einem Auftragsbearbeiter bearbeitet werden, so leitet der Verantwortliche das Begehren an den Auftragsbearbeiter weiter, sofern er nicht in der Lage ist, selbst Auskunft zu erteilen.
Art. 22 Frist
1 Die Auskunft wird innert 30 Tagen seit dem Eingang des Begehrens erteilt. Wenn der Verantwortliche die Auskunft verweigert, einschränkt oder aufschiebt, muss er dies innert derselben Frist mitteilen.
2 Kann die Auskunft nicht innert 30 Tagen erteilt werden, so muss der Verantwortliche die betroffene Person darüber benachrichtigen und ihr die Frist mitteilen, in der die Auskunft erfolgen wird.
Art. 23 Ausnahmen von der Kostenlosigkeit
1 Eine angemessene Beteiligung an den Kosten kann verlangt werden, wenn die Auskunftserteilung mit einem unverhältnismässigen Aufwand verbunden ist.
2 Die Beteiligung beträgt maximal 300 Franken.
3 Die betroffene Person ist über die Höhe der Beteiligung vor der Auskunftserteilung in Kenntnis zu setzen und kann ihr Gesuch innert zehn Tagen zurückziehen.
2. Abschnitt: Recht auf Datenherausgabe oder ‑übertragung
Art. 24
4. Kapitel: Besondere Bestimmungen zur Datenbearbeitung durch private Personen
Art. 25 Datenschutzberaterin oder Datenschutzberater
1 Die Datenschutzberaterin oder der Datenschutzberater eines privaten Verantwortlichen muss folgende Aufgaben wahrnehmen:
2 Der private Verantwortliche muss der Datenschutzberaterin oder dem Datenschutzberater:
Art. 26 Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten
5. Kapitel: Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane
1. Abschnitt: Datenschutzberaterin oder ‑berater
Art. 27 Ernennung
Art. 28 Anforderungen und Aufgaben
1 Die Datenschutzberaterin oder der Datenschutzberater muss die folgenden Anforderungen erfüllen:
2 Sie oder er muss folgende Aufgaben wahrnehmen:
Art. 29 Pflichten des Bundesorgans
1 Das Bundesorgan gewährt der Datenschutzberaterin oder dem Datenschutzberater Zugang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten, die sie oder er zur Erfüllung ihrer oder seiner Aufgaben benötigt.
2 Es veröffentlicht die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters im Internet und teilt diese dem EDÖB mit.
Art. 30 Anlaufstelle des EDÖB
2. Abschnitt: Projekte von Bundesorganen zur automatisierten Bearbeitung von Personendaten
Art. 31 Information an die Datenschutzberaterin oder den Datenschutzberater
Art. 32 Meldung an den EDÖB
1 Das verantwortliche Bundesorgan meldet dem EDÖB die geplanten automatisierten Bearbeitungstätigkeiten im Zeitpunkt der Projektfreigabe oder des Entscheids zur Projektentwicklung. Der EDÖB nimmt diese Meldung in das Register der Bearbeitungstätigkeiten auf.
2 Die Meldung muss die Angaben nach Artikel 12 Absatz 2 Buchstaben a‑d DSG sowie das voraussichtliche Datum des Beginns der Bearbeitungstätigkeiten enthalten.
3 Das verantwortliche Bundesorgan aktualisiert die Meldung beim Übergang in den produktiven Betrieb oder bei der Projekteinstellung.
3. Abschnitt: Pilotversuche
Art. 33 Unentbehrlichkeit der Testphase
Art. 34 Bewilligung
1 Vor der Konsultation der interessierten Verwaltungseinheiten legt das für den Pilotversuch zuständige Bundesorgan zu Handen des EDÖB dar, wie die Einhaltung der Anforderungen nach Artikel 35 DSG gewährleistet werden soll, und lädt ihn zur Stellungnahme ein.
2 Der EDÖB nimmt zur Frage Stellung, ob die Bewilligungsvoraussetzungen nach Artikel 35 DSG erfüllt sind. Das zuständige Bundesorgan stellt ihm alle dazu notwendigen Unterlagen zur Verfügung, insbesondere:
3 Der EDÖB kann weitere Dokumente anfordern und zusätzliche Abklärungen vornehmen.
4 Das zuständige Bundesorgan informiert den EDÖB über jede wichtige Änderung, welche die Einhaltung der Anforderungen von Artikel 35 DSG betrifft. Der EDÖB nimmt, falls erforderlich, erneut Stellung.
5 Die Stellungnahme des EDÖB ist dem Antrag an den Bundesrat beizufügen.
6 Die Modalitäten der automatisierten Datenbearbeitung werden in einer Verordnung geregelt.
Art. 35 Evaluationsbericht
4. Abschnitt: Datenbearbeitung für nicht personenbezogene Zwecke
Art. 36
6. Kapitel: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Art. 37 Sitz und ständiges Sekretariat
1 Der Sitz des EDÖB befindet sich in Bern.
2 Auf die Arbeitsverhältnisse der Angestellten des ständigen Sekretariats des EDÖB ist die Bundespersonalgesetzgebung anwendbar. Die Angestellten des ständigen Sekretariats des EDÖB sind im Rahmen des Vorsorgewerks Bund bei der Pensionskasse des Bundes PUBLICA gegen die wirtschaftlichen Folgen von Alter, Invalidität und Tod versichert.
Art. 38 Kommunikationsweg
1 Der EDÖB verkehrt mit dem Bundesrat über die Bundeskanzlerin oder den Bundeskanzler. Diese oder dieser leitet die Vorschläge, Stellungnahmen und Berichte unverändert an den Bundesrat weiter.
2 Er reicht Berichte zuhanden der Bundesversammlung über die Parlamentsdienste ein.
Art. 39 Mitteilung von Richtlinien und Entscheiden
1 Die Departemente und die Bundeskanzlei teilen dem EDÖB ihre Richtlinien im Bereich des Datenschutzes sowie ihre Entscheide in anonymisierter Form mit.
2 Die Bundesorgane legen dem EDÖB alle Rechtsetzungsentwürfe vor, welche die Bearbeitung von Personendaten, den Datenschutz sowie den Zugang zu amtlichen Dokumenten betreffen.
Art. 40 Bearbeitung von Personendaten
Art. 41 Selbstkontrolle
1 Der EDÖB erstellt ein Bearbeitungsreglement für sämtliche automatisierten Bearbeitungen. Artikel 5 Absatz 1 findet keine Anwendung.
2 Er sieht interne Prozesse vor, die gewährleisten, dass die Bearbeitungen entsprechend dem Bearbeitungsreglement vorgenommen werden. Er überprüft jährlich, ob das Bearbeitungsreglement eingehalten wird.
Art. 42 Zusammenarbeit mit dem Nationalen Zentrum für Cybersicherheit (NCSC)
1 Der EDÖB kann die Angaben zur Meldung einer Verletzung der Datensicherheit zwecks Analyse des Vorfalls dem NCSC weiterleiten. Der EDÖB muss vorgängig das Einverständnis des meldepflichtigen Verantwortlichen einholen.
2 Er lädt das NCSC zur Stellungnahme ein, bevor er gegenüber einem Bundesorgan eine Massnahme gemäss Artikel 51 Absatz 3 Buchstabe b DSG betreffend die Datensicherheit anordnet.
Art. 43 Register der Bearbeitungstätigkeiten der Bundesorgane
1 Das Register der Bearbeitungstätigkeiten der Bundesorgane enthält die von den Bundesorganen und deren Auftragsbearbeiter gemachten Angaben nach Artikel 12 Absatz 2 und 3 DSG sowie Artikel 32 Absatz 2 dieser Verordnung.
2 Es ist im Internet zu veröffentlichen. Nicht veröffentlicht werden die Registereinträge über geplante automatisierte Bearbeitungstätigkeiten nach Artikel 32.
Art. 44 Verhaltenskodizes
Art. 45 Gebühren
1 Die vom EDÖB in Rechnung gestellten Gebühren bemessen sich nach dem Zeitaufwand.
2 Es gilt ein Stundenansatz von 150 bis 350 Franken. Dieser richtet sich nach der Komplexität des Geschäfts und nach der Funktion der für die Bearbeitung zuständigen Person.
3 Im Übrigen gilt die Allgemeine Gebührenverordnung vom 8. September 2004 3 .
7. Kapitel: Schlussbestimmungen
Art. 46 Aufhebung und Änderung anderer Erlasse
Art. 47 Übergangsbestimmung betreffend die Meldung geplanter automatisierter Bearbeitungstätigkeiten an den EDÖB
Art. 48 Inkrafttreten
Anhang 1 (Artikel 8 Absatz 5) Staaten, Gebiete, spezifische Sektoren in einem Staat und internationale Organe mit einem angemessenen Datenschutz
[…] Anhang 2 (Artikel 46) Aufhebung und Änderung anderer Erlasse
[…]