1 Ob die tech­ni­schen oder orga­ni­sa­to­ri­schen Mass­nah­men zur Gewähr­lei­stung der Daten­si­cher­heit dem Risi­ko ange­mes­se­nen sind, beur­teilt sich nach den fol­gen­den Kriterien:

2 Die Mass­nah­men sind über die gesam­te Bear­bei­tungs­dau­er hin­weg in ange­mes­se­nen Abstän­den zu überprüfen.

Soweit ange­mes­sen, müs­sen die Mass­nah­men zur Gewähr­lei­stung der Daten­si­cher­heit fol­gen­de Schutz­zie­le erreichen:

1 Ergibt sich aus der Daten­schutz-Fol­gen­ab­schät­zung, dass bei der auto­ma­ti­sier­ten Bear­bei­tung von Per­so­nen­da­ten trotz der vom Ver­ant­wort­li­chen vor­ge­se­he­nen Mass­nah­men noch ein hohes Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­so­nen besteht, pro­to­kol­lie­ren der pri­va­te Ver­ant­wort­li­che und des­sen Auf­trags­be­ar­bei­ter zumin­dest fol­gen­de Vor­gän­ge: das Spei­chern, Ver­än­dern, Lesen, Bekannt­ge­ben, Löschen oder Vernichten.

2 Bun­des­or­ga­ne und deren Auf­trags­be­ar­bei­ter pro­to­kol­lie­ren bei der auto­ma­ti­sier­ten Bear­bei­tung von Per­so­nen­da­ten zumin­dest fol­gen­de Vor­gän­ge: das Spei­chern, Ver­än­dern, Lesen, Bekannt­ge­ben, Löschen oder Vernichten.

3 Die Pro­to­kol­lie­rung gibt Auf­schluss über die Art des Bear­bei­tungs­vor­gangs, die Iden­ti­tät der Per­son, die die Bear­bei­tung vor­ge­nom­men hat, die Iden­ti­tät der Emp­fän­ge­rin oder des Emp­fän­gers sowie den Zeit­punkt, an dem die Bear­bei­tung erfolgt ist.

4 Die Pro­to­kol­le sind wäh­rend zwei Jah­ren getrennt vom System, in wel­chem die Per­so­nen­da­ten bear­bei­tet wer­den, auf­zu­be­wah­ren. Sie sind aus­schliess­lich den Orga­nen oder Per­so­nen zugäng­lich, denen die Über­wa­chung der Daten­schutz­vor­schrif­ten oder die Wie­der­her­stel­lung der Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Nach­voll­zieh­bar­keit der Daten oblie­gen, und dür­fen nur für die­sen Zweck ver­wen­det werden.

1 Der Ver­ant­wort­li­che und des­sen Auf­trags­be­ar­bei­ter müs­sen ein Regle­ment für auto­ma­ti­sier­te Bear­bei­tun­gen erstel­len, wenn sie:

2 Das Regle­ment muss min­de­stens Anga­ben enthalten:

3 Die pri­va­te Per­son muss das Regle­ment regel­mä­ssig aktua­li­sie­ren und der Daten­schutz­be­ra­te­rin oder dem Daten­schutz­be­ra­ter in einer für die­se oder die­sen ver­ständ­li­chen Form zur Ver­fü­gung stellen.

1 Das ver­ant­wort­li­che Bun­des­or­gan und des­sen Auf­trags­be­ar­bei­ter erstel­len ein Bear­bei­tungs­re­gle­ment für auto­ma­ti­sier­te Bear­bei­tun­gen, wenn sie:

2 Das Regle­ment muss min­de­stens die Anga­ben nach Arti­kel 4 Absatz 2 enthalten.

3 Das ver­ant­wort­li­che Bun­des­or­gan muss das Regle­ment regel­mä­ssig aktua­li­sie­ren und der Daten­schutz­be­ra­te­rin oder dem Daten­schutz­be­ra­ter in einer für die­se oder die­sen ver­ständ­li­chen Form sowie dem Eid­ge­nös­si­schen Daten­schutz- und Öffent­lich­keits­be­auf­trag­ten (EDÖB) auf Anfra­ge zur Ver­fü­gung stellen.

1 Der Ver­ant­wort­li­che, der die Bear­bei­tung von Per­so­nen­da­ten einem Auf­trags­be­ar­bei­ter über­trägt, bleibt für den Daten­schutz ver­ant­wort­lich. Er muss sicher­stel­len, dass die Daten ver­trags- oder geset­zes­ge­mäss bear­bei­tet werden.

2 Unter­steht der Auf­trags­be­ar­bei­ter dem DSG nicht, so muss sich der Ver­ant­wort­li­che ver­ge­wis­sern, dass ande­re gesetz­li­che Bestim­mun­gen einen gleich­wer­ti­gen Daten­schutz gewähr­lei­sten. Andern­falls muss er die­sen auf ver­trag­li­chem Wege sicherstellen.

3 Han­delt es sich beim Ver­ant­wort­li­chen um ein Bun­des­or­gan, so darf der Auf­trags­be­ar­bei­ter die Daten­be­ar­bei­tung einem Drit­ten über­tra­gen, wenn das Bun­des­or­gan dies schrift­lich geneh­migt hat.

1 Wer­den Per­so­nen­da­ten ins Aus­land bekannt­ge­ge­ben, so müs­sen bei der Beur­tei­lung, ob ein Staat, ein Gebiet, einer oder meh­re­re spe­zi­fi­sche Sek­to­ren in einem Staat oder ein inter­na­tio­na­les Organ einen ange­mes­se­nen Daten­schutz gewähr­lei­stet, nament­lich die fol­gen­den Kri­te­ri­en berück­sich­tigt werden:

2 Bei der Beur­tei­lung kön­nen die Ein­schät­zun­gen von inter­na­tio­na­len Orga­nen oder aus­län­di­schen Behör­den, die für den Daten­schutz zustän­dig sind, berück­sich­tigt werden.

3 Die Ange­mes­sen­heit des Daten­schut­zes des betref­fen­den Staa­tes, des Gebiets, der spe­zi­fi­schen Sek­to­ren in einem Staat oder des inter­na­tio­na­len Organs wird peri­odisch neu beurteilt.

4 Ergibt sich aus einer Beur­tei­lung nach Absatz 3 oder aus ver­füg­ba­ren Infor­ma­tio­nen, dass ein Staat, ein Gebiet, einer oder meh­re­re spe­zi­fi­sche Sek­to­ren in einem Staat oder ein inter­na­tio­na­les Organ kein ange­mes­se­ner Daten­schutz mehr gewähr­lei­stet, so wird der Ent­scheid gemäss Arti­kel 16 Absatz 1 DSG geän­dert, sistiert oder auf­ge­ho­ben. Die­ser neue Ent­scheid hat kei­ne Aus­wir­kun­gen auf bereits erfolg­te Datenbekanntgaben.

5 Die Staa­ten, Gebie­te, spe­zi­fi­schen Sek­to­ren in einem Staat und inter­na­tio­na­len Orga­ne mit einem ange­mes­se­nen Daten­schutz sind in Anhang 1 aufgeführt.

6 Der EDÖB wird vor jedem Ent­scheid über die Ange­mes­sen­heit des Daten­schut­zes konsultiert.

1 Die Daten­schutz­klau­seln in einem Ver­trag nach Arti­kel 16 Absatz 2 Buch­sta­be b DSG und die spe­zi­fi­schen Garan­tien nach Arti­kel 16 Absatz 2 Buch­sta­be c DSG müs­sen min­de­stens die fol­gen­den Punk­te regeln:

2 Der Ver­ant­wort­li­che muss ange­mes­se­ne Mass­nah­men tref­fen, um sicher­zu­stel­len, dass die Emp­fän­ge­rin oder der Emp­fän­ger die Daten­schutz­klau­seln in einem Ver­trag oder die spe­zi­fi­schen Garan­tien einhält.

3 Wur­de der EDÖB über die Daten­schutz­klau­seln in einem Ver­trag oder die spe­zi­fi­schen Garan­tien infor­miert, so gilt die Infor­ma­ti­ons­pflicht für alle wei­te­ren Bekannt­ga­ben als erfüllt, die:

1 Gibt der Ver­ant­wort­li­che Per­so­nen­da­ten mit­tels Stan­dard­da­ten­schutz­klau­seln nach Arti­kel 16 Absatz 2 Buch­sta­be d DSG ins Aus­land bekannt, so trifft er ange­mes­se­ne Mass­nah­men, um sicher­zu­stel­len, dass die Emp­fän­ge­rin oder der Emp­fän­ger die­se beachtet.

2 Der EDÖB ver­öf­fent­licht eine Liste von Stan­dard­da­ten­schutz­klau­seln, die er geneh­migt, aus­ge­stellt oder aner­kannt hat.

1 Ver­bind­li­che unter­neh­mens­in­ter­ne Daten­schutz­vor­schrif­ten nach Arti­kel 16 Absatz 2 Buch­sta­be e DSG gel­ten für alle Unter­neh­men, die zum sel­ben Kon­zern gehören.

2 Sie umfas­sen min­de­stens die in Arti­kel 9 Absatz 1 genann­ten Punk­te sowie die fol­gen­den Angaben:

1 Per­so­nen­da­ten dür­fen ins Aus­land bekannt gege­ben wer­den, wenn durch einen Ver­hal­tens­ko­dex oder eine Zer­ti­fi­zie­rung ein geeig­ne­ter Daten­schutz gewähr­lei­stet wird.

2 Der Ver­hal­tens­ko­dex ent­hält min­de­stens die Anga­ben nach Arti­kel 9 Absatz 1 und muss vor­gän­gig vom EDÖB geneh­migt werden.

3 Der Ver­hal­tens­ko­dex oder die Zer­ti­fi­zie­rung muss mit einer ver­bind­li­chen und durch­setz­ba­ren Ver­pflich­tung des Ver­ant­wort­li­chen oder des Auf­trags­be­ar­bei­ters im Dritt­staat ver­bun­den wer­den, die dar­in ent­hal­te­nen Mass­nah­men anzuwenden.

1 Der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter tei­len die Infor­ma­ti­on über die Beschaf­fung von Per­so­nen­da­ten in prä­zi­ser, ver­ständ­li­cher und leicht zugäng­li­cher Form mit.

2 Teilt er die Infor­ma­tio­nen in Kom­bi­na­ti­on mit Pik­to­gram­men mit, die elek­tro­nisch dar­ge­stellt wer­den, so müs­sen die­se maschi­nen­les­bar sein.

1 Der Ver­ant­wort­li­che mel­det dem EDÖB bei einer Ver­let­zung der Datensicherheit:

2 Ist es dem Ver­ant­wort­li­chen bei Ent­deckung der Ver­let­zung der Daten­si­cher­heit nicht mög­lich, dem EDÖB alle Infor­ma­tio­nen gemäss Absatz 1 zur glei­chen Zeit bereit­zu­stel­len, so kann er die­se Infor­ma­tio­nen ohne unan­ge­mes­se­ne wei­te­re Ver­zö­ge­rung schritt­wei­se zur Ver­fü­gung stellen.

3 Der Ver­ant­wort­li­che teilt den betrof­fe­nen Per­so­nen in ein­fa­cher und ver­ständ­li­cher Spra­che min­de­stens die Infor­ma­tio­nen nach Absatz 1 Buch­sta­ben a, e, f und g mit.

4 Han­delt es sich beim Ver­ant­wort­li­chen um ein Bun­des­or­gan, so erfolgt die Mel­dung an den EDÖB über die Daten­schutz­be­ra­te­rin oder den Datenschutzberater.

5 Der Ver­ant­wort­li­che muss die Ver­let­zun­gen doku­men­tie­ren. Die Doku­men­ta­ti­on muss alle mit den Vor­fäl­len zusam­men­hän­gen­den Tat­sa­chen, deren Aus­wir­kun­gen und die ergrif­fe­nen Mass­nah­men ent­hal­ten. Sie ist ab dem Zeit­punkt der Mel­dung nach Absatz 1 min­de­stens drei Jah­re aufzubewahren.

1 Das Aus­kunfts­be­geh­ren wird schrift­lich gestellt. Ist der Ver­ant­wort­li­che ein­ver­stan­den, so kann das Begeh­ren auch münd­lich gestellt werden.

2 Die Aus­kunft wird in der Regel schrift­lich erteilt. Im Ein­ver­neh­men mit dem Ver­ant­wort­li­chen oder auf des­sen Vor­schlag hin kann die betrof­fe­ne Per­son ihre Daten auch an Ort und Stel­le ein­se­hen. Die Aus­kunft kann auch münd­lich erteilt wer­den, wenn die betrof­fe­ne Per­son ein­ge­wil­ligt hat.

3 Die Aus­kunft muss für die betrof­fe­ne Per­son ver­ständ­lich sein.

4 Der Ver­ant­wort­li­che muss die ange­mes­se­nen Mass­nah­men tref­fen, um die Iden­ti­fi­zie­rung der betrof­fe­nen Per­son sicher­zu­stel­len und die Per­so­nen­da­ten der betrof­fe­nen Per­son bei der Aus­kunfts­er­tei­lung vor dem Zugriff unbe­rech­tig­ter Drit­ter zu schüt­zen. Die betrof­fe­ne Per­son muss bei ihrer Iden­ti­fi­zie­rung mitwirken.

5 Der Ver­ant­wort­li­che hat die Grün­de für eine Ver­wei­ge­rung, Ein­schrän­kung oder den Auf­schub der Aus­kunft zu doku­men­tie­ren. Die Doku­men­ta­ti­on ist min­de­stens drei Jah­re lang aufzubewahren.

1 Sind für die Bear­bei­tung von Per­so­nen­da­ten meh­re­re ver­ant­wort­lich, so kann die betrof­fe­ne Per­son ihr Aus­kunfts­recht bei jedem Ver­ant­wort­li­chen gel­tend machen.

2 Ist ein Ver­ant­wort­li­cher für die Behand­lung des Begeh­rens nicht zustän­dig, so lei­tet er es an den zustän­di­gen Ver­ant­wort­li­chen weiter.

3 Betrifft das Begeh­ren Daten, die von einem Auf­trags­be­ar­bei­ter bear­bei­tet wer­den, so lei­tet der Ver­ant­wort­li­che das Begeh­ren an den Auf­trags­be­ar­bei­ter wei­ter, sofern er nicht in der Lage ist, selbst Aus­kunft zu erteilen.

1 Die Aus­kunft wird innert 30 Tagen seit dem Ein­gang des Begeh­rens erteilt. Wenn der Ver­ant­wort­li­che die Aus­kunft ver­wei­gert, ein­schränkt oder auf­schiebt, muss er dies innert der­sel­ben Frist mitteilen.

2 Kann die Aus­kunft nicht innert 30 Tagen erteilt wer­den, so muss der Ver­ant­wort­li­che die betrof­fe­ne Per­son dar­über benach­rich­ti­gen und ihr die Frist mit­tei­len, in der die Aus­kunft erfol­gen wird.

1 Eine ange­mes­se­ne Betei­li­gung an den Kosten kann ver­langt wer­den, wenn die Aus­kunfts­er­tei­lung mit einem unver­hält­nis­mä­ssi­gen Auf­wand ver­bun­den ist.

2 Die Betei­li­gung beträgt maxi­mal 300 Franken.

3 Die betrof­fe­ne Per­son ist über die Höhe der Betei­li­gung vor der Aus­kunfts­er­tei­lung in Kennt­nis zu set­zen und kann ihr Gesuch innert zehn Tagen zurückziehen.

1 Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter eines pri­va­ten Ver­ant­wort­li­chen muss fol­gen­de Auf­ga­ben wahrnehmen:

2 Der pri­va­te Ver­ant­wort­li­che muss der Daten­schutz­be­ra­te­rin oder dem Datenschutzberater:

1 Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter muss die fol­gen­den Anfor­de­run­gen erfüllen:

2 Sie oder er muss fol­gen­de Auf­ga­ben wahrnehmen:

1 Das Bun­des­or­gan gewährt der Daten­schutz­be­ra­te­rin oder dem Daten­schutz­be­ra­ter Zugang zu allen Aus­künf­ten, Unter­la­gen, Ver­zeich­nis­sen der Bear­bei­tungs­tä­tig­kei­ten und Per­so­nen­da­ten, die sie oder er zur Erfül­lung ihrer oder sei­ner Auf­ga­ben benötigt.

2 Es ver­öf­fent­licht die Kon­takt­da­ten der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters im Inter­net und teilt die­se dem EDÖB mit.

1 Das ver­ant­wort­li­che Bun­des­or­gan mel­det dem EDÖB die geplan­ten auto­ma­ti­sier­ten Bear­bei­tungs­tä­tig­kei­ten im Zeit­punkt der Pro­jekt­frei­ga­be oder des Ent­scheids zur Pro­jekt­ent­wick­lung. Der EDÖB nimmt die­se Mel­dung in das Regi­ster der Bear­bei­tungs­tä­tig­kei­ten auf.

2 Die Mel­dung muss die Anga­ben nach Arti­kel 12 Absatz 2 Buch­sta­ben a‑d DSG sowie das vor­aus­sicht­li­che Datum des Beginns der Bear­bei­tungs­tä­tig­kei­ten enthalten.

3 Das ver­ant­wort­li­che Bun­des­or­gan aktua­li­siert die Mel­dung beim Über­gang in den pro­duk­ti­ven Betrieb oder bei der Projekteinstellung.

1 Vor der Kon­sul­ta­ti­on der inter­es­sier­ten Ver­wal­tungs­ein­hei­ten legt das für den Pilot­ver­such zustän­di­ge Bun­des­or­gan zu Han­den des EDÖB dar, wie die Ein­hal­tung der Anfor­de­run­gen nach Arti­kel 35 DSG gewähr­lei­stet wer­den soll, und lädt ihn zur Stel­lung­nah­me ein.

2 Der EDÖB nimmt zur Fra­ge Stel­lung, ob die Bewil­li­gungs­vor­aus­set­zun­gen nach Arti­kel 35 DSG erfüllt sind. Das zustän­di­ge Bun­des­or­gan stellt ihm alle dazu not­wen­di­gen Unter­la­gen zur Ver­fü­gung, insbesondere:

3 Der EDÖB kann wei­te­re Doku­men­te anfor­dern und zusätz­li­che Abklä­run­gen vornehmen.

4 Das zustän­di­ge Bun­des­or­gan infor­miert den EDÖB über jede wich­ti­ge Ände­rung, wel­che die Ein­hal­tung der Anfor­de­run­gen von Arti­kel 35 DSG betrifft. Der EDÖB nimmt, falls erfor­der­lich, erneut Stellung.

5 Die Stel­lung­nah­me des EDÖB ist dem Antrag an den Bun­des­rat beizufügen.

6 Die Moda­li­tä­ten der auto­ma­ti­sier­ten Daten­be­ar­bei­tung wer­den in einer Ver­ord­nung geregelt.

1 Der Sitz des EDÖB befin­det sich in Bern.

2 Auf die Arbeits­ver­hält­nis­se der Ange­stell­ten des stän­di­gen Sekre­ta­ri­ats des EDÖB ist die Bun­des­per­so­nal­ge­setz­ge­bung anwend­bar. Die Ange­stell­ten des stän­di­gen Sekre­ta­ri­ats des EDÖB sind im Rah­men des Vor­sor­ge­werks Bund bei der Pen­si­ons­kas­se des Bun­des PUBLICA gegen die wirt­schaft­li­chen Fol­gen von Alter, Inva­li­di­tät und Tod versichert.

1 Der EDÖB ver­kehrt mit dem Bun­des­rat über die Bun­des­kanz­le­rin oder den Bun­des­kanz­ler. Die­se oder die­ser lei­tet die Vor­schlä­ge, Stel­lung­nah­men und Berich­te unver­än­dert an den Bun­des­rat weiter.

2 Er reicht Berich­te zuhan­den der Bun­des­ver­samm­lung über die Par­la­ments­dien­ste ein.

1 Die Depar­te­men­te und die Bun­des­kanz­lei tei­len dem EDÖB ihre Richt­li­ni­en im Bereich des Daten­schut­zes sowie ihre Ent­schei­de in anony­mi­sier­ter Form mit.

2 Die Bun­des­or­ga­ne legen dem EDÖB alle Recht­set­zungs­ent­wür­fe vor, wel­che die Bear­bei­tung von Per­so­nen­da­ten, den Daten­schutz sowie den Zugang zu amt­li­chen Doku­men­ten betreffen.

1 Der EDÖB erstellt ein Bear­bei­tungs­re­gle­ment für sämt­li­che auto­ma­ti­sier­ten Bear­bei­tun­gen. Arti­kel 5 Absatz 1 fin­det kei­ne Anwendung.

2 Er sieht inter­ne Pro­zes­se vor, die gewähr­lei­sten, dass die Bear­bei­tun­gen ent­spre­chend dem Bear­bei­tungs­re­gle­ment vor­ge­nom­men wer­den. Er über­prüft jähr­lich, ob das Bear­bei­tungs­re­gle­ment ein­ge­hal­ten wird.

1 Der EDÖB kann die Anga­ben zur Mel­dung einer Ver­let­zung der Daten­si­cher­heit zwecks Ana­ly­se des Vor­falls dem NCSC wei­ter­lei­ten. Der EDÖB muss vor­gän­gig das Ein­ver­ständ­nis des mel­de­pflich­ti­gen Ver­ant­wort­li­chen einholen.

2 Er lädt das NCSC zur Stel­lung­nah­me ein, bevor er gegen­über einem Bun­des­or­gan eine Mass­nah­me gemäss Arti­kel 51 Absatz 3 Buch­sta­be b DSG betref­fend die Daten­si­cher­heit anordnet.

1 Das Regi­ster der Bear­bei­tungs­tä­tig­kei­ten der Bun­des­or­ga­ne ent­hält die von den Bun­des­or­ga­nen und deren Auf­trags­be­ar­bei­ter gemach­ten Anga­ben nach Arti­kel 12 Absatz 2 und 3 DSG sowie Arti­kel 32 Absatz 2 die­ser Verordnung.

2 Es ist im Inter­net zu ver­öf­fent­li­chen. Nicht ver­öf­fent­licht wer­den die Regi­ster­ein­trä­ge über geplan­te auto­ma­ti­sier­te Bear­bei­tungs­tä­tig­kei­ten nach Arti­kel 32.

1 Die vom EDÖB in Rech­nung gestell­ten Gebüh­ren bemes­sen sich nach dem Zeitaufwand.

2 Es gilt ein Stun­den­an­satz von 150 bis 350 Fran­ken. Die­ser rich­tet sich nach der Kom­ple­xi­tät des Geschäfts und nach der Funk­ti­on der für die Bear­bei­tung zustän­di­gen Person.

3 Im Übri­gen gilt die All­ge­mei­ne Gebüh­ren­ver­ord­nung vom 8. Sep­tem­ber 2004 3 .