E‑VDSG

Text des Ent­wurfs der revi­dier­ten VDSG vom 23. Juni 2021. Die Tex­te wur­den auto­ma­ti­siert kon­ver­tiert – wir dan­ken für Hin­wei­se auf Feh­ler. Kri­ti­sche Anmer­kun­gen zum E‑VDSG fin­den sich hier, das revi­dier­te DSG hier und die aktu­el­le VDSG hier.
aus­klap­pen | ein­klap­pen

1. Kapi­tel: All­ge­mei­ne Bestimmungen

1. Abschnitt: Datensicherheit

Art. 1 Grundsätze

1 Ob die tech­ni­schen oder orga­ni­sa­to­ri­schen Mass­nah­men zur Gewähr­lei­stung der Daten­si­cher­heit dem Risi­ko ange­mes­se­nen sind, beur­teilt sich nach den fol­gen­den Kri­te­ri­en:
a. Zweck, Art, Umfang und Umstän­de der Datenbearbeitung;
b. die Ein­tritts­wahr­schein­lich­keit einer Ver­let­zung der Daten­si­cher­heit und deren poten­zi­el­len Aus­wir­kun­gen für die betrof­fe­nen Personen;
c. der Stand der Technik;
d. Implementierungskosten.
2 Die Mass­nah­men sind über die gesam­te Bear­bei­tungs­dau­er hin­weg in ange­mes­se­nen Abstän­den zu überprüfen.

Art. 2 Schutzziele 

Soweit ange­mes­sen, müs­sen die Mass­nah­men zur Gewähr­lei­stung der Daten­si­cher­heit fol­gen­de Schutz­zie­le errei­chen:
a. Zugriffs­kon­trol­le: Der Zugriff der berech­tig­ten Per­so­nen ist auf die­je­ni­gen Per­so­nen­da­ten beschränkt, die sie zur Erfül­lung ihrer Auf­ga­be benötigen.
b. Zugangs­kon­trol­le: Der Zugang zu den Ein­rich­tun­gen und Anla­gen, in denen Per­so­nen­da­ten bear­bei­tet wer­den, wird unbe­fug­ten Per­so­nen verwehrt.
c. Daten­trä­ger­kon­trol­le: Das Lesen, Kopie­ren, Ver­än­dern, Ver­schie­ben oder Ent­fer­nen von Daten­trä­gern wird unbe­fug­ten Per­so­nen verunmöglicht.
d. Spei­cher­kon­trol­le: Unbe­fug­te Ein­ga­be in den Daten­spei­cher sowie unbe­fug­te Ein­sicht­nah­me, Ver­än­de­rung oder Löschung gespei­cher­ter Per­so­nen­da­ten wird verhindert.
e. Benut­zer­kon­trol­le: Die Benut­zung von auto­ma­ti­sier­ten Daten­be­ar­bei­tungs­sy­ste­men mit­tels Ein­rich­tun­gen zur Daten­über­tra­gung durch unbe­fug­te Per­so­nen wird verhindert.
f. Trans­port­kon­trol­le: Bei der Bekannt­ga­be von Per­so­nen­da­ten sowie beim Trans­port von Daten­trä­gern wird ver­hin­dert, dass die Daten unbe­fugt gele­sen, kopiert, ver­än­dert oder gelöscht wer­den können.
g. Ein­ga­be­kon­trol­le: In auto­ma­ti­sier­ten Syste­men kann über­prüft wer­den, wel­che Per­so­nen­da­ten zu wel­cher Zeit und von wel­cher Per­son ein­ge­ge­ben oder ver­än­dert wurden.
h. Bekannt­ga­be­kon­trol­le: Es kann über­prüft wer­den, wem Per­so­nen­da­ten mit Hil­fe von Ein­rich­tun­gen zur Daten­über­tra­gung bekannt gege­ben wurden.
i. Wie­der­her­stel­lung: Die Ver­füg­bar­keit der Per­so­nen­da­ten und der Zugang zu ihnen kann bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­ge­stellt werden.
j. Es wird gewähr­lei­stet, dass alle Funk­tio­nen des Systems zur Ver­fü­gung ste­hen (Ver­füg­bar­keit), auf­tre­ten­de Fehl­funk­tio­nen gemel­det wer­den (Zuver­läs­sig­keit) und gespei­cher­te Per­so­nen­da­ten nicht durch Fehl­funk­tio­nen des Systems beschä­digt wer­den kön­nen (Daten­in­te­gri­tät).
k. Erken­nung: Ver­let­zun­gen der Daten­si­cher­heit kön­nen rasch erkannt und Mass­nah­men zur Min­de­rung oder Besei­ti­gung der Fol­gen ein­ge­lei­tet werden.

Art. 3 Protokollierung

1 Ergibt sich aus der Daten­schutz-Fol­gen­ab­schät­zung, dass bei der auto­ma­ti­sier­ten Bear­bei­tung von Per­so­nen­da­ten trotz der vom Ver­ant­wort­li­chen vor­ge­se­he­nen Mass­nah­men noch ein hohes Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­so­nen besteht, pro­to­kol­lie­ren der pri­va­te Ver­ant­wort­li­che und des­sen Auf­trags­be­ar­bei­ter zumin­dest fol­gen­de Vor­gän­ge: das Spei­chern, Ver­än­dern, Lesen, Bekannt­ge­ben, Löschen oder Vernichten.
2 Bun­des­or­ga­ne und deren Auf­trags­be­ar­bei­ter pro­to­kol­lie­ren bei der auto­ma­ti­sier­ten Bear­bei­tung von Per­so­nen­da­ten zumin­dest fol­gen­de Vor­gän­ge: das Spei­chern, Ver­än­dern, Lesen, Bekannt­ge­ben, Löschen oder Vernichten.
3 Die Pro­to­kol­lie­rung gibt Auf­schluss über die Art des Bear­bei­tungs­vor­gangs, die Iden­ti­tät der Per­son, die die Bear­bei­tung vor­ge­nom­men hat, die Iden­ti­tät der Emp­fän­ge­rin oder des Emp­fän­gers sowie den Zeit­punkt, an dem die Bear­bei­tung erfolgt ist.
4 Die Pro­to­kol­le sind wäh­rend zwei Jah­ren getrennt vom System, in wel­chem die Per­so­nen­da­ten bear­bei­tet wer­den, auf­zu­be­wah­ren. Sie sind aus­schliess­lich den Orga­nen oder Per­so­nen zugäng­lich, denen die Über­wa­chung der Daten­schutz­vor­schrif­ten oder die Wie­der­her­stel­lung der Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Nach­voll­zieh­bar­keit der Daten oblie­gen, und dür­fen nur für die­sen Zweck ver­wen­det werden.

Art. 4 Bear­bei­tungs­re­gle­ment von pri­va­ten Personen

1 Der Ver­ant­wort­li­che und des­sen Auf­trags­be­ar­bei­ter müs­sen ein Regle­ment für auto­ma­ti­sier­te Bear­bei­tun­gen erstel­len, wenn sie:
a. umfang­reich beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­ten; oder
b. ein Pro­fil­ing mit hohem Risi­ko durchführen.
2 Das Regle­ment muss min­de­stens Anga­ben ent­hal­ten:
a. zum Bearbeitungszweck;
b. zu den Kate­go­rien betrof­fe­ner Per­so­nen und der Kate­go­rien bear­bei­te­ter Personendaten;
c. zur Auf­be­wah­rungs­dau­er der Per­so­nen­da­ten oder die Kri­te­ri­en zur Fest­le­gung die­ser Dauer;
d. zur inter­nen Organisation;
e. zur Her­kunft der Per­so­nen­da­ten und zur Art ihrer Beschaffung;
f. zu den tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men zur Gewähr­lei­stung der Datensicherheit;
g. zu den Zugriffs­be­rech­ti­gun­gen sowie zur Art und zum Umfang der Zugriffe;
h. zu den Mass­nah­men, die zur Daten­mi­ni­mie­rung getrof­fen werden;
i. zu den Daten­be­ar­bei­tungs­ver­fah­ren, ins­be­son­de­re den Ver­fah­ren bei der Spei­che­rung, Berich­ti­gung, Bekannt­ga­be, Auf­be­wah­rung, Archi­vie­rung, Pseud­ony­mi­sie­rung, Anony­mi­sie­rung und Löschung oder Vernichtung;
j. zum Ver­fah­ren zur Aus­übung des Aus­kunfts­rechts und des Rechts auf Daten­her­aus­ga­be oder ‑über­tra­gung.
3 Die pri­va­te Per­son muss das Regle­ment regel­mä­ssig aktua­li­sie­ren und der Daten­schutz­be­ra­te­rin oder dem Daten­schutz­be­ra­ter in einer für die­se oder die­sen ver­ständ­li­chen Form zur Ver­fü­gung stellen.

Art. 5 Bear­bei­tungs­re­gle­ment von Bundesorganen

1 Das ver­ant­wort­li­che Bun­des­or­gan und des­sen Auf­trags­be­ar­bei­ter erstel­len ein Bear­bei­tungs­re­gle­ment für auto­ma­ti­sier­te Bear­bei­tun­gen, wenn sie:
a. beson­ders schüt­zens­wer­te Per­so­nen­da­ten bearbeiten;
b. ein Pro­fil­ing durchführen;
c. Daten­be­ar­bei­tun­gen im Sin­ne von Arti­kel 34 Absatz 2 Buch­sta­be c DSG ausführen;
d. Kan­to­nen, aus­län­di­schen Behör­den, inter­na­tio­na­len Orga­ni­sa­tio­nen oder pri­va­ten Per­so­nen wer­den Per­so­nen­da­ten zugäng­lich machen;
e. Daten­be­stän­de mit­ein­an­der ver­knüp­fen; oder
f. mit ande­ren Bun­des­or­ga­nen zusam­men ein Infor­ma­ti­ons­sy­stem betrei­ben oder Daten­be­stän­de bewirtschaften.
2 Das Regle­ment muss min­de­stens die Anga­ben nach Arti­kel 4 Absatz 2 enthalten.
3 Das ver­ant­wort­li­che Bun­des­or­gan muss das Regle­ment regel­mä­ssig aktua­li­sie­ren und der Daten­schutz­be­ra­te­rin oder dem Daten­schutz­be­ra­ter in einer für die­se oder die­sen ver­ständ­li­chen Form sowie dem Eid­ge­nös­si­schen Daten­schutz- und Öffent­lich­keits­be­auf­trag­ten (EDÖB) auf Anfra­ge zur Ver­fü­gung stellen.

2. Abschnitt: Bear­bei­tung durch Auftragsbearbeiter

Art. 6 Modalitäten

1 Der Ver­ant­wort­li­che, der die Bear­bei­tung von Per­so­nen­da­ten einem Auf­trags­be­ar­bei­ter über­trägt, bleibt für den Daten­schutz ver­ant­wort­lich. Er muss sicher­stel­len, dass die Daten ver­trags- oder geset­zes­ge­mäss bear­bei­tet werden.
2 Unter­steht der Auf­trags­be­ar­bei­ter dem DSG nicht, so muss sich der Ver­ant­wort­li­che ver­ge­wis­sern, dass ande­re gesetz­li­che Bestim­mun­gen einen gleich­wer­ti­gen Daten­schutz gewähr­lei­sten. Andern­falls muss er die­sen auf ver­trag­li­chem Wege sicherstellen.
3 Han­delt es sich beim Ver­ant­wort­li­chen um ein Bun­des­or­gan, so darf der Auf­trags­be­ar­bei­ter die Daten­be­ar­bei­tung einem Drit­ten über­tra­gen, wenn das Bun­des­or­gan dies schrift­lich geneh­migt hat.

Art. 7 Infor­ma­ti­on an die Daten­schutz­be­ra­te­rin oder den Daten­schutz­be­ra­ter des Bundesorgans

Das Bun­des­or­gan infor­miert die Daten­schutz­be­ra­te­rin oder den ‑bera­ter umge­hend über den Abschluss eines Ver­trags mit einem Auf­trags­be­ar­bei­ter oder die Geneh­mi­gung zur Über­tra­gung der Daten­be­ar­bei­tung an einen Drit­ten. Über­dies infor­miert es die­se oder die­sen, wenn Pro­ble­me bei der Ein­hal­tung der gesetz­li­chen oder ver­trag­li­chen Daten­schutz­vor­schrif­ten entstehen.

3. Abschnitt: Bekannt­ga­be von Per­so­nen­da­ten ins Ausland

Art. 8 Beur­tei­lung der Ange­mes­sen­heit des Daten­schut­zes eines aus­län­di­schen Staa­tes oder eines inter­na­tio­na­len Organs

1 Wer­den Per­so­nen­da­ten ins Aus­land bekannt­ge­ge­ben, so müs­sen bei der Beur­tei­lung, ob ein Staat, ein Gebiet, einer oder meh­re­re spe­zi­fi­sche Sek­to­ren in einem Staat oder ein inter­na­tio­na­les Organ einen ange­mes­se­nen Daten­schutz gewähr­lei­stet, nament­lich die fol­gen­den Kri­te­ri­en berück­sich­tigt wer­den:
a. die inter­na­tio­na­len Ver­pflich­tun­gen des Staa­tes oder inter­na­tio­na­len Organs im Bereich des Datenschutzes;
b. die Ach­tung der Menschenrechte;
c. die gel­ten­de Gesetz­ge­bung zum Daten­schutz sowie deren Umset­zung und die ein­schlä­gi­ge Rechtsprechung;
d. die wirk­sa­me Gewähr­lei­stung der Rech­te der betrof­fe­nen Per­so­nen und des Rechtsschutzes;
e. das wirk­sa­me Funk­tio­nie­ren von einer oder meh­re­ren unab­hän­gi­gen Behör­den, die im betref­fen­den Staat mit dem Daten­schutz beauf­tragt sind oder denen ein inter­na­tio­na­les Organ unter­steht und die über aus­rei­chen­de Befug­nis­se und Kom­pe­ten­zen verfügen.
2 Bei der Beur­tei­lung kön­nen die Ein­schät­zun­gen von inter­na­tio­na­len Orga­nen oder aus­län­di­schen Behör­den, die für den Daten­schutz zustän­dig sind, berück­sich­tigt werden.
3 Die Ange­mes­sen­heit des Daten­schut­zes des betref­fen­den Staa­tes, des Gebiets, der spe­zi­fi­schen Sek­to­ren in einem Staat oder des inter­na­tio­na­len Organs wird peri­odisch neu beurteilt.
4 Ergibt sich aus einer Beur­tei­lung nach Absatz 3 oder aus ver­füg­ba­ren Infor­ma­tio­nen, dass ein Staat, ein Gebiet, einer oder meh­re­re spe­zi­fi­sche Sek­to­ren in einem Staat oder ein inter­na­tio­na­les Organ kein ange­mes­se­ner Daten­schutz mehr gewähr­lei­stet, so wird der Ent­scheid gemäss Arti­kel 16 Absatz 1 DSG geän­dert, sistiert oder auf­ge­ho­ben. Die­ser neue Ent­scheid hat kei­ne Aus­wir­kun­gen auf bereits erfolg­te Datenbekanntgaben.
5 Die Staa­ten, Gebie­te, spe­zi­fi­schen Sek­to­ren in einem Staat und inter­na­tio­na­len Orga­ne mit einem ange­mes­se­nen Daten­schutz sind in Anhang 1 aufgeführt.
6 Der EDÖB wird vor jedem Ent­scheid über die Ange­mes­sen­heit des Daten­schut­zes konsultiert.

Art. 9 Daten­schutz­klau­seln und spe­zi­fi­sche Garantien

1 Die Daten­schutz­klau­seln in einem Ver­trag nach Arti­kel 16 Absatz 2 Buch­sta­be b DSG und die spe­zi­fi­schen Garan­tien nach Arti­kel 16 Absatz 2 Buch­sta­be c DSG müs­sen min­de­stens die fol­gen­den Punk­te regeln:
a. die Anwen­dung der Grund­sät­ze der Recht­mä­ssig­keit, von Treu und Glau­ben, der Ver­hält­nis­mä­ssig­keit, der Zweck­bin­dung und der Richtigkeit;
b. die Kate­go­rien der bekannt­ge­ge­be­nen Per­so­nen­da­ten sowie der betrof­fe­nen Personen;
c. die Art und der Zweck der Bekannt­ga­be von Personendaten;
d. die Namen der Staa­ten, in die Per­so­nen­da­ten bekannt­ge­ge­ben werden;
e. die Namen der inter­na­tio­na­len Orga­ne, denen Per­so­nen­da­ten bekannt­ge­ge­ben werden;
f. die Anfor­de­run­gen an die Auf­be­wah­rung, die Löschung und die Ver­nich­tung von Personendaten;
g. die zur Bear­bei­tung der Daten berech­tig­ten Emp­fän­ge­rin­nen und Empfänger;
h. die Mass­nah­men zur Gewähr­lei­stung der Datensicherheit;
i. die Anfor­de­run­gen an eine Bekannt­ga­be von Per­so­nen­da­ten in einen ande­ren aus­län­di­schen Staat oder an ein ande­res inter­na­tio­na­les Organ;
j. die Pflicht der Emp­fän­ge­rin oder des Emp­fän­gers, die betrof­fe­nen Per­so­nen über die Bear­bei­tung zu informieren;
k. die Rech­te der betrof­fe­nen Per­son, nament­lich:
1 . das Auskunftsrecht,
2 . das Widerspruchsrecht,
3 . das Recht auf Berich­ti­gung, Löschung oder Ver­nich­tung ihrer Daten,
4 . das Recht, eine unab­hän­gi­ge Behör­de um Rechts­schutz zu ersuchen.
2 Der Ver­ant­wort­li­che muss ange­mes­se­ne Mass­nah­men tref­fen, um sicher­zu­stel­len, dass die Emp­fän­ge­rin oder der Emp­fän­ger die Daten­schutz­klau­seln in einem Ver­trag oder die spe­zi­fi­schen Garan­tien einhält.
3 Wur­de der EDÖB über die Daten­schutz­klau­seln in einem Ver­trag oder die spe­zi­fi­schen Garan­tien infor­miert, so gilt die Infor­ma­ti­ons­pflicht für alle wei­te­ren Bekannt­ga­ben als erfüllt, die:
a. unter den­sel­ben Daten­schutz­klau­seln oder Garan­tien erfol­gen, soweit die Kate­go­rien der Emp­fän­ge­rin­nen und Emp­fän­ger, der Zweck der Bear­bei­tung und die Daten­ka­te­go­rien im Wesent­li­chen unver­än­dert blei­ben; oder
b. inner­halb der­sel­ben juri­sti­schen Per­son oder Gesell­schaft oder zwi­schen Unter­neh­men, die zum sel­ben Kon­zern gehö­ren, statt­fin­den, soweit die Daten­schutz­klau­seln oder Garan­tien wei­ter­hin einen geeig­ne­ten Daten­schutz gewährleisten.

Art. 10 Standarddatenschutzklauseln

1 Gibt der Ver­ant­wort­li­che Per­so­nen­da­ten mit­tels Stan­dard­da­ten­schutz­klau­seln nach Arti­kel 16 Absatz 2 Buch­sta­be d DSG ins Aus­land bekannt, so trifft er ange­mes­se­ne Mass­nah­men, um sicher­zu­stel­len, dass die Emp­fän­ge­rin oder der Emp­fän­ger die­se beachtet.
2 Der EDÖB ver­öf­fent­licht eine Liste von Stan­dard­da­ten­schutz­klau­seln, die er geneh­migt, aus­ge­stellt oder aner­kannt hat.

Art. 11 Ver­bind­li­che unter­neh­mens­in­ter­ne Datenschutzvorschriften

1 Ver­bind­li­che unter­neh­mens­in­ter­ne Daten­schutz­vor­schrif­ten nach Arti­kel 16 Absatz 2 Buch­sta­be e DSG gel­ten für alle Unter­neh­men, die zum sel­ben Kon­zern gehören.
2 Sie umfas­sen min­de­stens die in Arti­kel 9 Absatz 1 genann­ten Punk­te sowie die fol­gen­den Anga­ben:
a. die Orga­ni­sa­ti­on und die Kon­takt­da­ten des Kon­zerns und sei­ner Unternehmen;
b. die inner­halb des Kon­zerns getrof­fe­nen Mass­nah­men zur Gewähr­lei­stung der Ein­hal­tung der ver­bind­li­chen unter­neh­mens­in­ter­nen Datenschutzvorschriften.

Art. 12 Ver­hal­tens­ko­di­zes und Zertifizierungen

1 Per­so­nen­da­ten dür­fen ins Aus­land bekannt gege­ben wer­den, wenn durch einen Ver­hal­tens­ko­dex oder eine Zer­ti­fi­zie­rung ein geeig­ne­ter Daten­schutz gewähr­lei­stet wird.
2 Der Ver­hal­tens­ko­dex ent­hält min­de­stens die Anga­ben nach Arti­kel 9 Absatz 1 und muss vor­gän­gig vom EDÖB geneh­migt werden.
3 Der Ver­hal­tens­ko­dex oder die Zer­ti­fi­zie­rung muss mit einer ver­bind­li­chen und durch­setz­ba­ren Ver­pflich­tung des Ver­ant­wort­li­chen oder des Auf­trags­be­ar­bei­ters im Dritt­staat ver­bun­den wer­den, die dar­in ent­hal­te­nen Mass­nah­men anzuwenden.

2. Kapi­tel: Pflich­ten des Ver­ant­wort­li­chen und des Auftragsbearbeiters

Art. 13 Moda­li­tä­ten der Informationspflichten

1 Der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter tei­len die Infor­ma­ti­on über die Beschaf­fung von Per­so­nen­da­ten in prä­zi­ser, ver­ständ­li­cher und leicht zugäng­li­cher Form mit.
2 Teilt er die Infor­ma­tio­nen in Kom­bi­na­ti­on mit Pik­to­gram­men mit, die elek­tro­nisch dar­ge­stellt wer­den, so müs­sen die­se maschi­nen­les­bar sein.

Art. 14 Infor­ma­ti­ons­pflicht der Bun­des­or­ga­ne bei der syste­ma­ti­schen Beschaf­fung von Personendaten

Ist die betrof­fe­ne Per­son nicht zur Aus­kunft ver­pflich­tet, so weist das ver­ant­wort­li­che Bun­des­or­gan sie bei einer syste­ma­ti­schen Beschaf­fung von Per­so­nen­da­ten, ins­be­son­de­re mit­tels Fra­ge­bo­gen, auf die Frei­wil­lig­keit der Aus­kunfts­er­tei­lung hin. 

Art. 15 Infor­ma­ti­on bei der Bekannt­ga­be von Personendaten

Der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter infor­mie­ren die Emp­fän­ge­rin oder den Emp­fän­ger über die Aktua­li­tät, Zuver­läs­sig­keit und Voll­stän­dig­keit der von ihnen bekannt gege­be­nen Per­so­nen­da­ten, soweit sich die­se Infor­ma­tio­nen nicht aus den Daten selbst oder aus den Umstän­den ergeben. 

Art. 16 Infor­ma­ti­on über die Berich­ti­gung, Löschung oder Ver­nich­tung sowie die Ein­schrän­kung der Bear­bei­tung von Personendaten

Der Ver­ant­wort­li­che infor­miert die Emp­fän­ge­rin­nen und Emp­fän­ger, denen er Per­so­nen­da­ten bekannt­ge­ge­ben hat, unver­züg­lich über die Berich­ti­gung, Löschung oder Ver­nich­tung sowie die Ein­schrän­kung der Bear­bei­tung von Per­so­nen­da­ten, ausser die Benach­rich­ti­gung ist unmög­lich oder mit einem unver­hält­nis­mä­ssi­gen Auf­wand verbunden. 

Art. 17 Über­prü­fung einer auto­ma­ti­sier­ten Einzelentscheidung

Ver­langt eine von einer auto­ma­ti­sier­ten Ein­zel­ent­schei­dung betrof­fe­ne Per­son, dass sie ihren Stand­punkt dar­le­gen kann oder dass eine natür­li­che Per­son die Ent­schei­dung über­prüft, so darf sie des­we­gen nicht benach­tei­ligt werden. 

Art. 18 Form und Auf­be­wah­rung der Datenschutz-Folgenabschätzung

Der Ver­ant­wort­li­che muss die Daten­schutz-Fol­gen­ab­schät­zung schrift­lich fest­hal­ten. Sie muss wäh­rend zwei Jah­ren nach Been­di­gung der Daten­be­ar­bei­tung auf­be­wahrt werden. 

Art. 19 Mel­dung von Ver­let­zun­gen der Datensicherheit

1 Der Ver­ant­wort­li­che mel­det dem EDÖB bei einer Ver­let­zung der Daten­si­cher­heit:
a. die Art der Verletzung;
b. soweit mög­lich den Zeit­punkt und die Dauer;
c. soweit mög­lich die Kate­go­rien und unge­fäh­re Anzahl der betrof­fe­nen Personendaten;
d. soweit mög­lich die Kate­go­rien und unge­fäh­re Anzahl der betrof­fe­nen Personen;
e. die Fol­gen, ein­schliess­lich der all­fäl­li­gen Risi­ken, für die betrof­fe­nen Personen;
f. wel­che Mass­nah­men getrof­fen wur­den oder vor­ge­se­hen sind, um den Man­gel zu behe­ben oder die Fol­gen zu mildern;
g. den Namen und die Kon­takt­da­ten einer Ansprechperson.
2 Ist es dem Ver­ant­wort­li­chen bei Ent­deckung der Ver­let­zung der Daten­si­cher­heit nicht mög­lich, dem EDÖB alle Infor­ma­tio­nen gemäss Absatz 1 zur glei­chen Zeit bereit­zu­stel­len, so kann er die­se Infor­ma­tio­nen ohne unan­ge­mes­se­ne wei­te­re Ver­zö­ge­rung schritt­wei­se zur Ver­fü­gung stellen.
3 Der Ver­ant­wort­li­che teilt den betrof­fe­nen Per­so­nen in ein­fa­cher und ver­ständ­li­cher Spra­che min­de­stens die Infor­ma­tio­nen nach Absatz 1 Buch­sta­ben a, e, f und g mit.
4 Han­delt es sich beim Ver­ant­wort­li­chen um ein Bun­des­or­gan, so erfolgt die Mel­dung an den EDÖB über die Daten­schutz­be­ra­te­rin oder den Datenschutzberater.
5 Der Ver­ant­wort­li­che muss die Ver­let­zun­gen doku­men­tie­ren. Die Doku­men­ta­ti­on muss alle mit den Vor­fäl­len zusam­men­hän­gen­den Tat­sa­chen, deren Aus­wir­kun­gen und die ergrif­fe­nen Mass­nah­men ent­hal­ten. Sie ist ab dem Zeit­punkt der Mel­dung nach Absatz 1 min­de­stens drei Jah­re aufzubewahren.

3. Kapi­tel: Rech­te der betrof­fe­nen Person

1. Abschnitt: Auskunftsrecht

Art. 20 Modalitäten

1 Das Aus­kunfts­be­geh­ren wird schrift­lich gestellt. Ist der Ver­ant­wort­li­che ein­ver­stan­den, so kann das Begeh­ren auch münd­lich gestellt werden.
2 Die Aus­kunft wird in der Regel schrift­lich erteilt. Im Ein­ver­neh­men mit dem Ver­ant­wort­li­chen oder auf des­sen Vor­schlag hin kann die betrof­fe­ne Per­son ihre Daten auch an Ort und Stel­le ein­se­hen. Die Aus­kunft kann auch münd­lich erteilt wer­den, wenn die betrof­fe­ne Per­son ein­ge­wil­ligt hat.
3 Die Aus­kunft muss für die betrof­fe­ne Per­son ver­ständ­lich sein.
4 Der Ver­ant­wort­li­che muss die ange­mes­se­nen Mass­nah­men tref­fen, um die Iden­ti­fi­zie­rung der betrof­fe­nen Per­son sicher­zu­stel­len und die Per­so­nen­da­ten der betrof­fe­nen Per­son bei der Aus­kunfts­er­tei­lung vor dem Zugriff unbe­rech­tig­ter Drit­ter zu schüt­zen. Die betrof­fe­ne Per­son muss bei ihrer Iden­ti­fi­zie­rung mitwirken.
5 Der Ver­ant­wort­li­che hat die Grün­de für eine Ver­wei­ge­rung, Ein­schrän­kung oder den Auf­schub der Aus­kunft zu doku­men­tie­ren. Die Doku­men­ta­ti­on ist min­de­stens drei Jah­re lang aufzubewahren.

Art. 21 Zuständigkeit

1 Sind für die Bear­bei­tung von Per­so­nen­da­ten meh­re­re ver­ant­wort­lich, so kann die betrof­fe­ne Per­son ihr Aus­kunfts­recht bei jedem Ver­ant­wort­li­chen gel­tend machen.
2 Ist ein Ver­ant­wort­li­cher für die Behand­lung des Begeh­rens nicht zustän­dig, so lei­tet er es an den zustän­di­gen Ver­ant­wort­li­chen weiter.
3 Betrifft das Begeh­ren Daten, die von einem Auf­trags­be­ar­bei­ter bear­bei­tet wer­den, so lei­tet der Ver­ant­wort­li­che das Begeh­ren an den Auf­trags­be­ar­bei­ter wei­ter, sofern er nicht in der Lage ist, selbst Aus­kunft zu erteilen.

Art. 22 Frist

1 Die Aus­kunft wird innert 30 Tagen seit dem Ein­gang des Begeh­rens erteilt. Wenn der Ver­ant­wort­li­che die Aus­kunft ver­wei­gert, ein­schränkt oder auf­schiebt, muss er dies innert der­sel­ben Frist mitteilen.
2 Kann die Aus­kunft nicht innert 30 Tagen erteilt wer­den, so muss der Ver­ant­wort­li­che die betrof­fe­ne Per­son dar­über benach­rich­ti­gen und ihr die Frist mit­tei­len, in der die Aus­kunft erfol­gen wird.

Art. 23 Aus­nah­men von der Kostenlosigkeit

1 Eine ange­mes­se­ne Betei­li­gung an den Kosten kann ver­langt wer­den, wenn die Aus­kunfts­er­tei­lung mit einem unver­hält­nis­mä­ssi­gen Auf­wand ver­bun­den ist.
2 Die Betei­li­gung beträgt maxi­mal 300 Franken.
3 Die betrof­fe­ne Per­son ist über die Höhe der Betei­li­gung vor der Aus­kunfts­er­tei­lung in Kennt­nis zu set­zen und kann ihr Gesuch innert zehn Tagen zurückziehen.

2. Abschnitt: Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung

Art. 24

Die Arti­kel 20 Absät­ze 1, 4 und 5, sowie 21, 22 und 23 sind auf das Recht auf Daten­her­aus­ga­be und ‑über­tra­gung sowie deren Ein­schrän­kun­gen sinn­ge­mäss anwendbar. 

4. Kapi­tel: Beson­de­re Bestim­mun­gen zur Daten­be­ar­bei­tung durch pri­va­te Personen

Art. 25 Daten­schutz­be­ra­te­rin oder Datenschutzberater

1 Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter eines pri­va­ten Ver­ant­wort­li­chen muss fol­gen­de Auf­ga­ben wahr­neh­men:
a. Sie oder er prüft die Bear­bei­tung von Per­so­nen­da­ten sowie deren Vor­aus­set­zun­gen und emp­fiehlt Kor­rek­tur­mass­nah­men, wenn sie oder er fest­stellt, dass Daten­schutz­vor­schrif­ten ver­letzt wurden.
b. Sie oder er wirkt bei der Erstel­lung der Daten­schutz-Fol­gen­ab­schät­zung mit und über­prüft die­se, jeden­falls dann, wenn der pri­va­te Ver­ant­wort­li­che von der Kon­sul­ta­ti­on des EDÖB im Sin­ne von Art. 23 Abs. 4 DSG abse­hen will.
2 Der pri­va­te Ver­ant­wort­li­che muss der Daten­schutz­be­ra­te­rin oder dem Daten­schutz­be­ra­ter:
a. die not­wen­di­gen Res­sour­cen zur Ver­fü­gung stellen;
b. Zugang zu allen Aus­künf­ten, Unter­la­gen, Ver­zeich­nis­sen der Bear­bei­tungs­tä­tig­kei­ten und Per­so­nen­da­ten gewäh­ren, die sie oder er zur Erfül­lung ihrer oder sei­ner Auf­ga­ben benötigt.

Art. 26 Aus­nah­me von der Pflicht zur Füh­rung eines Ver­zeich­nis­ses der Bearbeitungstätigkeiten

Unter­neh­men und ande­re pri­vat­recht­li­che Orga­ni­sa­tio­nen, die am Anfang eines Jah­res weni­ger als 250 Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter beschäf­ti­gen, sowie natür­li­che Per­so­nen sind von der Pflicht befreit, ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten zu füh­ren, ausser eine der fol­gen­den Vor­aus­set­zun­gen ist erfüllt:
a. Es wer­den umfang­reich beson­ders schüt­zens­wer­te Per­so­nen­da­ten bearbeitet.
b. Es wird ein Pro­fil­ing mit hohem Risi­ko durchgeführt.

5. Kapi­tel: Beson­de­re Bestim­mun­gen zur Daten­be­ar­bei­tung durch Bundesorgane

1. Abschnitt: Daten­schutz­be­ra­te­rin oder ‑bera­ter

Art. 27 Ernennung

Jedes Bun­des­or­gan ernennt eine Daten­schutz­be­ra­te­rin oder einen Daten­schutz­be­ra­ter. Meh­re­re Bun­des­or­ga­ne kön­nen gemein­sam eine Daten­schutz­be­ra­te­rin oder einen Daten­schutz­be­ra­ter ernennen. 

Art. 28 Anfor­de­run­gen und Aufgaben

1 Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter muss die fol­gen­den Anfor­de­run­gen erfül­len:
a. Sie oder er ver­fügt über die erfor­der­li­chen Fachkenntnisse.
b. Sie oder er übt ihre oder sei­ne Funk­ti­on gegen­über dem Bun­des­or­gan fach­lich unab­hän­gig und wei­sungs­un­ge­bun­den aus.
2 Sie oder er muss fol­gen­de Auf­ga­ben wahr­neh­men:
a. Sie oder er prüft die Bear­bei­tung von Per­so­nen­da­ten sowie deren Vor­aus­set­zun­gen und emp­fiehlt Kor­rek­tur­mass­nah­men, wenn sie oder er fest­stellt, dass Daten­schutz­vor­schrif­ten ver­letzt wurden.
b. Sie oder er wirkt bei der Erstel­lung der Daten­schutz-Fol­gen­ab­schät­zung mit und über­prüft diese.
c. Sie oder er mel­det dem EDÖB Ver­let­zun­gen der Datensicherheit.
d. Sie oder er dient als Anlauf­stel­le für die betrof­fe­nen Personen.
f. Sie oder er schult und berät das Bun­des­or­gan sowie des­sen Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter in Fra­gen des Datenschutzes.

Art. 29 Pflich­ten des Bundesorgans

1 Das Bun­des­or­gan gewährt der Daten­schutz­be­ra­te­rin oder dem Daten­schutz­be­ra­ter Zugang zu allen Aus­künf­ten, Unter­la­gen, Ver­zeich­nis­sen der Bear­bei­tungs­tä­tig­kei­ten und Per­so­nen­da­ten, die sie oder er zur Erfül­lung ihrer oder sei­ner Auf­ga­ben benötigt.
2 Es ver­öf­fent­licht die Kon­takt­da­ten der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters im Inter­net und teilt die­se dem EDÖB mit.

Art. 30 Anlauf­stel­le des EDÖB

Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter dient dem EDÖB als Anlauf­stel­le für Fra­gen im Zusam­men­hang mit der Bear­bei­tung von Per­so­nen­da­ten durch das betref­fen­de Bundesorgan. 

2. Abschnitt: Pro­jek­te von Bun­des­or­ga­nen zur auto­ma­ti­sier­ten Bear­bei­tung von Personendaten

Art. 31 Infor­ma­ti­on an die Daten­schutz­be­ra­te­rin oder den Datenschutzberater

Das ver­ant­wort­li­che Bun­des­or­gan infor­miert die Daten­schutz­be­ra­te­rin oder den Daten­schutz­be­ra­ter recht­zei­tig bei der Pla­nung eines Pro­jek­tes zur auto­ma­ti­sier­ten Bear­bei­tung von Per­so­nen­da­ten sowie bei Anpas­sun­gen nach Abschluss des Pro­jekts, damit die Erfor­der­nis­se des Daten­schut­zes sogleich berück­sich­tigt werden. 

Art. 32 Mel­dung an den EDÖB

1 Das ver­ant­wort­li­che Bun­des­or­gan mel­det dem EDÖB die geplan­ten auto­ma­ti­sier­ten Bear­bei­tungs­tä­tig­kei­ten im Zeit­punkt der Pro­jekt­frei­ga­be oder des Ent­scheids zur Pro­jekt­ent­wick­lung. Der EDÖB nimmt die­se Mel­dung in das Regi­ster der Bear­bei­tungs­tä­tig­kei­ten auf.
2 Die Mel­dung muss die Anga­ben nach Arti­kel 12 Absatz 2 Buch­sta­ben a‑d DSG sowie das vor­aus­sicht­li­che Datum des Beginns der Bear­bei­tungs­tä­tig­kei­ten enthalten.
3 Das ver­ant­wort­li­che Bun­des­or­gan aktua­li­siert die Mel­dung beim Über­gang in den pro­duk­ti­ven Betrieb oder bei der Projekteinstellung.

3. Abschnitt: Pilotversuche

Art. 33 Unent­behr­lich­keit der Testphase

Eine Test­pha­se als Pilot­ver­such ist unent­behr­lich, wenn eine der fol­gen­den Bedin­gun­gen erfüllt ist:
a. Die Erfül­lung einer Auf­ga­be erfor­dert tech­ni­sche Neue­run­gen, deren Aus­wir­kun­gen zunächst eva­lu­iert wer­den müssen.
b. Die Erfül­lung einer Auf­ga­be erfor­dert bedeu­ten­de orga­ni­sa­to­ri­sche oder tech­ni­sche Mass­nah­men, deren Wirk­sam­keit zunächst geprüft wer­den muss, ins­be­son­de­re bei der Zusam­men­ar­beit zwi­schen Orga­nen des Bun­des und der Kantone.
c. Die Erfül­lung der Auf­ga­ben erfor­dert, dass die Per­so­nen­da­ten mit­tels eines Abruf­ver­fah­rens zugäng­lich gemacht werden.

Art. 34 Bewilligung

1 Vor der Kon­sul­ta­ti­on der inter­es­sier­ten Ver­wal­tungs­ein­hei­ten legt das für den Pilot­ver­such zustän­di­ge Bun­des­or­gan zu Han­den des EDÖB dar, wie die Ein­hal­tung der Anfor­de­run­gen nach Arti­kel 35 DSG gewähr­lei­stet wer­den soll, und lädt ihn zur Stel­lung­nah­me ein.
2 Der EDÖB nimmt zur Fra­ge Stel­lung, ob die Bewil­li­gungs­vor­aus­set­zun­gen nach Arti­kel 35 DSG erfüllt sind. Das zustän­di­ge Bun­des­or­gan stellt ihm alle dazu not­wen­di­gen Unter­la­gen zur Ver­fü­gung, ins­be­son­de­re:
a. eine all­ge­mei­ne Beschrei­bung des Pilotversuchs;
b. einen Bericht, der nach­weist, dass die Erfül­lung der gesetz­lich vor­ge­se­he­nen Auf­ga­ben die Bear­bei­tung im Sin­ne von Arti­kel 34 Absatz 2 DSG erfor­dert und dass eine Test­pha­se vor dem Inkraft­tre­ten des Geset­zes im for­mel­len Sinn unent­behr­lich ist (Arti­kel 35 Absatz 1 Buch­sta­be c DSG);
c. eine Beschrei­bung der inter­nen Orga­ni­sa­ti­on sowie der Daten­be­ar­bei­tungs­und Kontrollverfahren;
d. eine Beschrei­bung der Sicher­heits- und Datenschutzmassnahmen;
e. den Ent­wurf einer Ver­ord­nung, wel­che die Ein­zel­hei­ten der Bear­bei­tung regelt, oder das Kon­zept einer Verordnung;
f. die Infor­ma­tio­nen betref­fend die Pla­nung der ver­schie­de­nen Pha­sen des Pilotversuches.
3 Der EDÖB kann wei­te­re Doku­men­te anfor­dern und zusätz­li­che Abklä­run­gen vornehmen.
4 Das zustän­di­ge Bun­des­or­gan infor­miert den EDÖB über jede wich­ti­ge Ände­rung, wel­che die Ein­hal­tung der Anfor­de­run­gen von Arti­kel 35 DSG betrifft. Der EDÖB nimmt, falls erfor­der­lich, erneut Stellung.
5 Die Stel­lung­nah­me des EDÖB ist dem Antrag an den Bun­des­rat beizufügen.
6 Die Moda­li­tä­ten der auto­ma­ti­sier­ten Daten­be­ar­bei­tung wer­den in einer Ver­ord­nung geregelt.

Art. 35 Evaluationsbericht

Das zustän­di­ge Bun­des­or­gan legt dem EDÖB den Ent­wurf des Eva­lua­ti­ons­be­richts an den Bun­des­rat zur Stel­lung­nah­me vor. Die Stel­lung­nah­me des EDÖB ist dem Bun­des­rat zur Kennt­nis zu bringen.

4. Abschnitt: Daten­be­ar­bei­tung für nicht per­so­nen­be­zo­ge­ne Zwecke

Art. 36

Wer­den Per­so­nen­da­ten zu nicht per­so­nen­be­zo­ge­nen Zwecken, ins­be­son­de­re For­schung, Pla­nung und Sta­ti­stik, und gleich­zei­tig zu einem ande­ren Zweck bear­bei­tet, so sind die Aus­nah­men nach Arti­kel 39 Absatz 2 DSG nur für die Bear­bei­tung zu den nicht per­so­nen­be­zo­ge­nen Zwecken anwendbar. 

6. Kapi­tel: Eid­ge­nös­si­scher Daten­schutz- und Öffentlichkeitsbeauftragter

Art. 37 Sitz und stän­di­ges Sekretariat

1 Der Sitz des EDÖB befin­det sich in Bern.
2 Auf die Arbeits­ver­hält­nis­se der Ange­stell­ten des stän­di­gen Sekre­ta­ri­ats des EDÖB ist die Bun­des­per­so­nal­ge­setz­ge­bung anwend­bar. Die Ange­stell­ten des stän­di­gen Sekre­ta­ri­ats des EDÖB sind im Rah­men des Vor­sor­ge­werks Bund bei der Pen­si­ons­kas­se des Bun­des PUBLICA gegen die wirt­schaft­li­chen Fol­gen von Alter, Inva­li­di­tät und Tod versichert.

Art. 38 Kommunikationsweg

1 Der EDÖB ver­kehrt mit dem Bun­des­rat über die Bun­des­kanz­le­rin oder den Bun­des­kanz­ler. Die­se oder die­ser lei­tet die Vor­schlä­ge, Stel­lung­nah­men und Berich­te unver­än­dert an den Bun­des­rat weiter.
2 Er reicht Berich­te zuhan­den der Bun­des­ver­samm­lung über die Par­la­ments­dien­ste ein.

Art. 39 Mit­tei­lung von Richt­li­ni­en und Entscheiden

1 Die Depar­te­men­te und die Bun­des­kanz­lei tei­len dem EDÖB ihre Richt­li­ni­en im Bereich des Daten­schut­zes sowie ihre Ent­schei­de in anony­mi­sier­ter Form mit.
2 Die Bun­des­or­ga­ne legen dem EDÖB alle Recht­set­zungs­ent­wür­fe vor, wel­che die Bear­bei­tung von Per­so­nen­da­ten, den Daten­schutz sowie den Zugang zu amt­li­chen Doku­men­ten betreffen.

Art. 40 Bear­bei­tung von Personendaten

Der EDÖB bear­bei­tet Per­so­nen­da­ten, ein­schliess­lich beson­ders schüt­zens­wer­ter Per­so­nen­da­ten, ins­be­son­de­re zu fol­gen­den Zwecken:
a. zur Aus­übung sei­ner Aufsichtstätigkeiten;
b. zur Unter­su­chung von Ver­stö­ssen gegen Datenschutzvorschriften;
c. zur Schu­lung und Bera­tung von Bun­des­or­ga­nen und pri­va­ten Personen;
d. zur Zusam­men­ar­beit mit Bun­des­be­hör­den, kan­to­na­len und aus­län­di­schen Behörden;
e. zur Durch­füh­rung von Schlich­tungs­ver­fah­ren und Eva­lua­tio­nen nach dem Bun­des­ge­setz vom 17. Dezem­ber 2004 2 über das Öffent­lich­keits­prin­zip der Ver­wal­tung (BGÖ);
f. zur Beant­wor­tung von Bürgeranfragen.

Art. 41 Selbstkontrolle

1 Der EDÖB erstellt ein Bear­bei­tungs­re­gle­ment für sämt­li­che auto­ma­ti­sier­ten Bear­bei­tun­gen. Arti­kel 5 Absatz 1 fin­det kei­ne Anwendung.
2 Er sieht inter­ne Pro­zes­se vor, die gewähr­lei­sten, dass die Bear­bei­tun­gen ent­spre­chend dem Bear­bei­tungs­re­gle­ment vor­ge­nom­men wer­den. Er über­prüft jähr­lich, ob das Bear­bei­tungs­re­gle­ment ein­ge­hal­ten wird.

Art. 42 Zusam­men­ar­beit mit dem Natio­na­len Zen­trum für Cyber­si­cher­heit (NCSC)

1 Der EDÖB kann die Anga­ben zur Mel­dung einer Ver­let­zung der Daten­si­cher­heit zwecks Ana­ly­se des Vor­falls dem NCSC wei­ter­lei­ten. Der EDÖB muss vor­gän­gig das Ein­ver­ständ­nis des mel­de­pflich­ti­gen Ver­ant­wort­li­chen einholen.
2 Er lädt das NCSC zur Stel­lung­nah­me ein, bevor er gegen­über einem Bun­des­or­gan eine Mass­nah­me gemäss Arti­kel 51 Absatz 3 Buch­sta­be b DSG betref­fend die Daten­si­cher­heit anordnet.

Art. 43 Regi­ster der Bear­bei­tungs­tä­tig­kei­ten der Bundesorgane

1 Das Regi­ster der Bear­bei­tungs­tä­tig­kei­ten der Bun­des­or­ga­ne ent­hält die von den Bun­des­or­ga­nen und deren Auf­trags­be­ar­bei­ter gemach­ten Anga­ben nach Arti­kel 12 Absatz 2 und 3 DSG sowie Arti­kel 32 Absatz 2 die­ser Verordnung.
2 Es ist im Inter­net zu ver­öf­fent­li­chen. Nicht ver­öf­fent­licht wer­den die Regi­ster­ein­trä­ge über geplan­te auto­ma­ti­sier­te Bear­bei­tungs­tä­tig­kei­ten nach Arti­kel 32.

Art. 44 Verhaltenskodizes

Wird dem EDÖB ein Ver­hal­tens­ko­dex vor­ge­legt, so teilt die­ser in sei­ner Stel­lung­nah­me mit, ob der Ver­hal­tens­ko­dex die Vor­aus­set­zun­gen nach Arti­kel 22 Absatz 5 Buch­sta­be a und b DSG erfüllt. 

Art. 45 Gebühren

1 Die vom EDÖB in Rech­nung gestell­ten Gebüh­ren bemes­sen sich nach dem Zeitaufwand.
2 Es gilt ein Stun­den­an­satz von 150 bis 350 Fran­ken. Die­ser rich­tet sich nach der Kom­ple­xi­tät des Geschäfts und nach der Funk­ti­on der für die Bear­bei­tung zustän­di­gen Person.
3 Im Übri­gen gilt die All­ge­mei­ne Gebüh­ren­ver­ord­nung vom 8. Sep­tem­ber 2004 3 .

7. Kapi­tel: Schlussbestimmungen

Art. 46 Auf­he­bung und Ände­rung ande­rer Erlasse

Die Auf­he­bung und die Ände­rung ande­rer Erlas­se wer­den im Anhang 2 geregelt. 

Art. 47 Über­gangs­be­stim­mung betref­fend die Mel­dung geplan­ter auto­ma­ti­sier­ter Bear­bei­tungs­tä­tig­kei­ten an den EDÖB

Arti­kel 32 ist nicht anwend­bar auf geplan­te auto­ma­ti­sier­te Bear­bei­tungs­tä­tig­kei­ten, bei wel­chen im Zeit­punkt des Inkraft­tre­tens die Pro­jekt­frei­ga­be oder der Ent­scheid zur Pro­jekt­ent­wick­lung bereits erfolgt ist. 

Art. 48 Inkrafttreten

Die­se Ver­ord­nung tritt am … in Kraft.
Anhang 1 (Arti­kel 8 Absatz 5) Staa­ten, Gebie­te, spe­zi­fi­sche Sek­to­ren in einem Staat und inter­na­tio­na­le Orga­ne mit einem ange­mes­se­nen Daten­schutz […] Anhang 2 (Arti­kel 46) Auf­he­bung und Ände­rung ande­rer Erlasse […]