DSV

Text der end­gül­ti­gen DSV vom 31. August 2022, ohne den Anhang 2 (Ände­run­gen ande­rer Erlas­se). Der Text wur­den auto­ma­ti­siert kon­ver­tiert – wir dan­ken für Hin­wei­se auf Feh­ler. Den Arti­keln ist jeweils der ent­spre­chen­de Text des Erläu­tern­den Berichts zuge­ord­net, dies ohne Anga­be der Sei­ten­zah­len und all­ge­mei­ne Aus­füh­run­gen des Berichts. 
aus­klap­pen | ein­klap­pen

1. Kapi­tel: All­ge­mei­ne Bestimmungen

1. Abschnitt: Datensicherheit

Erläu­tern­der Bericht
Die Leit­plan­ken zur Gewähr­lei­stung der Daten­si­cher­heit wer­den bereits im Gesetz nor­miert. Gemäss Arti­kel 8 Absatz 1 nDSG sind der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter ver­pflich­tet, durch geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men eine dem Risi­ko ange­mes­se­ne Daten­si­cher­heit zu gewähr­lei­sten. Gemäss Absatz 2 müs­sen die­se Mass­nah­men es ermög­li­chen, Ver­let­zun­gen der Daten­si­cher­heit zu ver­mei­den. In Absatz 3 wird der Bun­des­rat dazu beauf­tragt, die Min­dest­an­for­de­run­gen an die Daten­si­cher­heit auf Ver­ord­nungs­stu­fe zu prä­zi­sie­ren. Mit den Bestim­mun­gen zur Daten­si­cher­heit erfüllt der Bun­des­rat den gesetz­li­chen Auf­trag gemäss Arti­kel 8 Absatz 3 nDSG. An die­se Min­dest­an­for­de­run­gen knüpft zudem die Straf­norm in Arti­kel 61 Buch­sta­be c nDSG an. Der Grad an Sicher­heit, der ein­ge­hal­ten wer­den muss, damit die Straf­norm nicht ver­letzt wird, bestimmt sich dabei nach den Grund­sät­zen und Kri­te­ri­en des vor­lie­gen­den Abschnit­tes. Die Straf­bar­keit besteht gemäss Arti­kel 61 Buch­sta­be c nDSG nur im Fall einer vor­sätz­li­chen Bege­hung. Dies setzt vor­aus, dass der Ver­ant­wort­li­che die Min­dest­an­for­de­run­gen an die Daten­si­cher­heit wis­sent­lich und wil­lent­lich nicht ein­hält. So wür­de sich bei­spiels­wei­se der­je­ni­ge straf­bar machen, der es unter­lässt, eine Anti-Viren-Soft­ware zu instal­lie­ren, obwohl er weiss (oder zumin­dest in Kauf nimmt), dass er damit unge­nü­gen­de Mass­nah­men zur Ein­hal­tung der Min­dest­an­for­de­run­gen an die Daten­si­cher­heit trifft. Da bereits im Gesetz der Ansatz einer risi­ko­ba­sier­ten Daten­si­cher­heit ver­folgt wird und sich kei­ne all­ge­mein­gül­ti­gen Min­dest­an­for­de­run­gen für jeg­li­che Bran­chen fest­le­gen las­sen, wur­de in der Art. auf ein star­res Regime von Min­dest­an­for­de­run­gen ver­zich­tet. Der Ansatz der Art. beruht viel­mehr dar­auf, dass es in erster Linie in der Ver­ant­wor­tung des Ver­ant­wort­li­chen liegt, die im Ein­zel­fall not­wen­di­gen Mass­nah­men zu bestim­men und zu ergrei­fen. Die­se sind stark ein­zel­fall­be­zo­gen und abhän­gig vom jewei­li­gen Risi­ko zu bestim­men. So stel­len sich etwa in einem Spi­tal, wo regel­mä­ssig beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­tet wer­den, in aller Regel erhöh­te Anfor­de­run­gen im Ver­gleich zur Bear­bei­tung von Kun­den- oder Lie­fe­ran­ten­da­ten in einer Bäcke­rei oder Metz­ge­rei. Die Art. beinhal­tet daher ins­be­son­de­re die Leit­li­ni­en für die Bestim­mung der zu ergrei­fen­den Mass­nah­men (Art. 1, 2 und 3 Art.). Dadurch kann die ange­sichts der Viel­falt mög­li­cher Fall­kon­stel­la­tio­nen not­wen­di­ge Fle­xi­bi­li­tät gewähr­lei­stet wer­den und eine Über­re­gu­lie­rung, ins­be­son­de­re für Betrie­be mit gering­fü­gi­ger und wenig risi­ko­rei­cher Daten­be­ar­bei­tung, ver­hin­dert wer­den. Anders als die DSGVO kennt das Schwei­zer Recht kei­ne all­ge­mei­ne Rechen­schafts­pflicht (“accoun­ta­bi­li­ty”). Aller­dings ent­hält das Schwei­zer Recht bereits im gel­ten­den Recht Mass­nah­men, mit denen die Rechen­schafts­pflicht oder Pflicht zur “accoun­ta­bi­li­ty” erfüllt wer­den kann: die Pro­to­kol­lie­rung (Art. 4) und das Bear­bei­tungs­re­gle­ment (Art. 5, 6). Bei­de Mass­nah­men wer­den in der Art. über­nom­men. Sie sind aus­schlag­ge­bend dafür, dass das Schwei­zer Recht ein im Ver­gleich zum EU-Recht ange­mes­se­nes Schutz­ni­veau gewähr­lei­sten kann. Dar­über hin­aus ver­langt die Richt­li­nie (EU) 2016/680 die Pro­to­kol­lie­rung. Bei­de Mass­nah­men stel­len Min­dest­an­for­de­run­gen an die Daten­si­cher­heit im Sin­ne von Arti­kel 8 Absatz 3 nDSG dar. Der Bun­des­rat ver­folgt auch hier einen risi­ko­ba­sier­ten Ansatz: Je höher die Gefähr­dung für die Per­sön­lich­keits­rech­te und die Grund­rech­te des Ein­zel­nen, desto höher die Anfor­de­run­gen. Die Min­dest­an­for­de­run­gen der Daten­si­cher­heit sind gemäss gel­ten­dem Recht in Arti­kel 8 – 12 und Arti­kel 20 – 21 VDSG gere­gelt. Der Bun­des­rat hat ent­schie­den, am gel­ten­den Stan­dard der Daten­si­cher­heit anzu­knüp­fen. Die mate­ri­ell­recht­li­chen Vor­ga­ben wer­den daher im Grund­satz so über­nom­men. Anpas­sun­gen wer­den nur vor­ge­nom­men, wo dies auf­grund der Digi­ta­li­sie­rung bzw. des tech­ni­schen Fort­schritts, der Vor­ga­ben im revi­dier­ten Gesetz oder der für die Schweiz mass­geb­li­chen Richt­li­nie (EU) 2016/680, nament­lich deren Arti­kel 25 und 29, ange­zeigt scheint. Zudem hat sich der Bun­des­rat auch an der Ver­ord­nung (EU) 2016/679 ori­en­tiert, damit Schwei­zer Unter­neh­men, die in der EU tätig sind und eine gemäss der DSGVO kon­for­me Daten­si­cher­heit gewähr­lei­sten, auch in der Schweiz davon aus­ge­hen kön­nen, dass sie die Min­dest­an­for­de­run­gen erfül­len. In syste­ma­ti­scher Hin­sicht wird die Daten­si­cher­heit neu in einem eigens dafür vor­ge­se­he­nen Abschnitt nor­miert. In der aktu­el­len VDSG wird die Daten­si­cher­heit für Pri­va­te und Bun­des­or­ga­ne getrennt gere­gelt, aus Grün­den der Über­sicht­lich­keit und der bes­se­ren Les­bar­keit wer­den die Bestim­mun­gen neu zusam­men­ge­führt. Wo unter­schied­li­che Vor­ga­ben für Pri­va­te und Bun­des­or­ga­ne gel­ten, wer­den die­se in getrenn­ten Arti­keln oder Absät­zen geregelt. 

Art. 1 Grundsätze

1 Zur Gewähr­lei­stung einer ange­mes­se­nen Daten­si­cher­heit müs­sen der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter den Schutz­be­darf der Per­so­nen­da­ten bestim­men und die im Hin­blick auf das Risi­ko geeig­ne­ten tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men festlegen
2 Der Schutz­be­darf der Per­so­nen­da­ten wird nach den fol­gen­den Kri­te­ri­en beur­teilt:
a. Art der bear­bei­te­ten Daten;
b. Zweck, Art, Umfang und Umstän­de der Bearbeitung.
3 Das Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son wird nach den fol­gen­den Kri­te­ri­en beur­teilt:
a. Ursa­chen des Risikos;
b. haupt­säch­li­che Gefahren;
c. ergrif­fe­ne oder vor­ge­se­he­ne Mass­nah­men, um das Risi­ko zu verringern;
d. Wahr­schein­lich­keit und Schwe­re einer Ver­let­zung der Daten­si­cher­heit trotz der ergrif­fe­nen oder vor­ge­se­he­nen Massnahmen.
4 Bei der Fest­le­gung der tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men wer­den zudem die fol­gen­den Kri­te­ri­en berück­sich­tigt:
a. Stand der Technik;
b. Imple­men­tie­rungs­ko­sten.
5 Der Schutz­be­darf der Per­so­nen­da­ten, das Risi­ko und die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men sind über die gesam­te Bear­bei­tungs­dau­er hin­weg zu über­prü­fen. Die Mass­nah­men sind nöti­gen­falls anzupassen.
Erläu­tern­der Bericht
Arti­kel 1 Art. regelt die Grund­sät­ze, die bei der Bestim­mung der Mass­nah­men zu beach­ten sind. Er über­nimmt im Wesent­li­chen das Rege­lungs­kon­zept von Arti­kel 8 Absät­ze 2 und 3 VDSG, wobei bestimm­te Aspek­te prä­zi­ser gere­gelt wer­den. Arti­kel 8 Absatz 1 VDSG wur­de hin­ge­gen gestri­chen, da die Zie­le zur Gewähr­lei­stung der Daten­si­cher­heit neu auf Geset­zes­ebe­ne ange­sie­delt sind. Arti­kel 8 Absatz 2 nDSG legt nament­lich fest, dass die Mass­nah­men der Daten­si­cher­heit es ermög­li­chen müs­sen, Ver­let­zun­gen der Daten­si­cher­heit zu ver­mei­den. Eine Ver­let­zung der Daten­si­cher­heit liegt gemäss Arti­kel 5 Buch­sta­be h nDSG vor, wenn Per­so­nen­da­ten unbe­ab­sich­tigt oder wider­recht­lich ver­lo­ren­ge­hen, gelöscht, ver­nich­tet oder ver­än­dert wer­den oder Unbe­fug­ten offen­ge­legt oder zugäng­lich gemacht wer­den. Dar­aus las­sen sich die her­kömm­li­chen IT-Schutz­zie­le der Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Nach­voll­zieh­bar­keit ablei­ten. Gemäss Arti­kel 8 Absatz 1 nDSG müs­sen der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter eine dem Risi­ko ange­mes­se­ne Daten­si­cher­heit gewähr­lei­sten. In Arti­kel 1 Art. wird die­ses Schutz­ziel in einem neu­en Absatz 1 auf­ge­nom­men. Ausser­dem wer­den ver­schie­de­ne Kri­te­ri­en zur Beur­tei­lung des Schutz­be­darfs (Abs. 2) sowie zur Beur­tei­lung des Risi­kos für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son (Abs. 3) fest­ge­legt. In Absatz 4 wird prä­zi­siert, dass bei der Fest­le­gung der tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men, die zur Gewähr­lei­stung einer ange­mes­se­nen Daten­si­cher­heit erfor­der­lich sind, wei­te­re Kri­te­ri­en berück­sich­tigt wer­den kön­nen (Abs. 4). Die Liste der Kri­te­ri­en lehnt sich an das gel­ten­de Recht an. Arti­kel 1 Absatz 2 Art. über­nimmt Arti­kel 8 Absatz 2 Buch­sta­ben a und b VDSG in inhalt­li­cher Hin­sicht und ergänzt die­sen, um die Schutz­be­darfs­ana­ly­se zu regeln. Der Schutz­be­darf wird auf der Grund­la­ge der Art der bear­bei­te­ten Daten sowie des Zwecks, der Art, des Umfangs und der Umstän­de der Daten­be­ar­bei­tung beur­teilt. Dabei geht es ins­be­son­de­re um das Schutz­ni­veau, das ange­sichts des Risi­kos für die Per­sön­lich­keits- und Grund­rech­te der betrof­fe­nen Per­so­nen gewähr­lei­stet wer­den muss. Je höher der Schutz­be­darf, desto stren­ger sind die Anfor­de­run­gen an die Mass­nah­men. Bei der Beur­tei­lung des Schutz­be­darfs soll­ten die fol­gen­den Kri­te­ri­en berück­sich­tigt wer­den: Die Art der bear­bei­te­ten Daten (Bst. a): Es ist bei­spiels­wei­se ent­schei­dend, ob beson­ders schüt­zens­wer­te Per­so­nen­da­ten (Art. 5 Bst. c nDSG) bear­bei­tet wer­den. Zweck, Art, Umfang und Umstän­de der Daten­be­ar­bei­tung (Bst. b): Der Zweck bezieht sich auf den Zweck der Bear­bei­tung und ins­be­son­de­re auf die Prü­fung, ob der Bear­bei­tungs­zweck ein erhöh­tes Risi­ko für die Per­sön­lich­keits­rech­te und die Grund­rech­te mit sich bringt; bei der Art der Bear­bei­tung ist von Inter­es­se, wie die Daten bear­bei­tet wer­den. Der Schutz­be­darf kann bei­spiels­wei­se bei einer voll­stän­dig auto­ma­ti­sier­ten Ent­schei­dung (Ein­satz künst­li­cher Intel­li­genz) höher sein; der Umfang der Bear­bei­tung steht ins­be­son­de­re im Zusam­men­hang mit der Anzahl der von der Bear­bei­tung betrof­fe­nen Per­so­nen (z. B. wenn umfang­reich Daten bear­bei­tet wer­den oder syste­ma­tisch umfang­rei­che öffent­li­che Berei­che über­wacht wer­den). Bei der Nut­zung einer Cloud kann der Schutz­be­darf höher sein als wenn Daten auf einem inter­nen Ser­ver ohne exter­ne Zugriffs­mög­lich­keit gespei­chert sind. Buch­sta­be b wur­de ent­spre­chend Arti­kel 22 Absatz 2 nDSG mit dem Aus­druck der “Umstän­de” der Daten­be­ar­bei­tung ergänzt. Dabei han­delt es sich um Aspek­te, die im Ein­zel­fall von beson­de­rer Bedeu­tung sein kön­nen, weil sie Aus­wir­kun­gen auf die ande­ren Kri­te­ri­en haben. So kön­nen Kri­te­ri­en ein­be­zo­gen wer­den, die nicht in die Defi­ni­ti­on der bereits erwähn­ten Kri­te­ri­en pas­sen wür­den. In Arti­kel 1 Absatz 3 Art. wird Arti­kel 8 Absatz 2 Buch­sta­be c VDSG auf­ge­nom­men und prä­zi­siert. Mit der Bestim­mung wird die Beur­tei­lung des Risi­kos einer Ver­let­zung der Per­sön­lich­keit oder der Grund­rech­te der betrof­fe­nen Per­son ein­ge­führt. Wie im vor­he­ri­gen Absatz wird eine Rei­he von Kri­te­ri­en fest­ge­legt. Der Absatz wird umfor­mu­liert, damit deut­lich wird, dass die Ursa­chen des Risi­kos (Bst. a), die haupt­säch­li­chen Gefah­ren (Bst. b), die zur Ver­rin­ge­rung des Risi­kos ergrif­fe­nen oder vor­ge­se­he­nen Mass­nah­men (Bst. c) sowie die Wahr­schein­lich­keit und Schwe­re einer Ver­let­zung der Daten­si­cher­heit (Bst. d) ent­schei­dend sind. Dabei han­delt es sich um eine Beur­tei­lung gemäss einem Kas­ka­den­sy­stem: Das Ergeb­nis der Beur­tei­lung nach einem Kri­te­ri­um ist mass­ge­bend für die wei­te­re Risi­ko­be­ur­tei­lung. Zu den ein­zel­nen Punk­ten fin­den sich hier nähe­re Aus­füh­run­gen: Die Ursa­chen des Risi­kos (Bst. a): Es muss fest­ge­stellt wer­den kön­nen, wel­che Per­so­nen (z. B. eine IT-Ver­ant­wort­li­che, ein Nut­zer, eine Kon­kur­ren­tin) oder Ereig­nis­se (z. B. Feu­er, Com­pu­ter­vi­rus) dem Risi­ko zugrun­de lie­gen könn­ten. Die haupt­säch­li­chen Gefah­ren (Bst. b): Anhand die­ses Kri­te­ri­ums kön­nen Bedro­hun­gen eru­iert wer­den, die zu Ver­let­zun­gen der Daten­si­cher­heit füh­ren könn­ten (ver­lo­re­ne, beschä­dig­te, ver­än­der­te, unsach­ge­mäss oder betrü­ge­risch ver­wen­de­te Daten usw.). Die getrof­fe­nen oder ergrif­fe­nen Mass­nah­men, um das Risi­ko zu ver­rin­gern (Bst. c): Die ver­schie­de­nen tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men, die zur Ver­rin­ge­rung des Risi­kos vor­ge­se­hen oder ergrif­fen wer­den kön­nen, wer­den in Arti­kel 3 Art. prä­zi­siert. Die Wahr­schein­lich­keit und Schwe­re einer Ver­let­zung der Daten­si­cher­heit trotz der ergrif­fe­nen oder vor­ge­se­he­nen Mass­nah­men (Bst. d): Die poten­zi­el­len Aus­wir­kun­gen auf die betrof­fe­nen Per­so­nen müs­sen ermit­telt wer­den, wenn bei­spiels­wei­se Per­so­nen unrecht­mä­ssig auf Daten zugrei­fen (und sie wei­ter­ge­ben), sie ändern (was zu fal­schen Infor­ma­tio­nen über die betrof­fe­ne Per­son führt) oder löschen (wodurch sie Gefahr lau­fen, not­wen­di­ge Daten zu ver­lie­ren; hier ist z. B. an ein Pati­en­ten­dos­sier zu den­ken, in dem eini­ge Daten ver­nich­tet wur­den, wodurch eine ange­mes­se­ne medi­zi­ni­sche Behand­lung ver­hin­dert wird). Dabei gilt: Je wahr­schein­li­cher der Ein­tritt einer Ver­let­zung der Daten­si­cher­heit und je grö­sser die Aus­wir­kun­gen für die betrof­fe­nen Per­so­nen, desto höher die Anfor­de­run­gen an die Mass­nah­men. An die­ser Stel­le sei dar­auf hin­ge­wie­sen, dass nicht jede Ver­let­zung der Daten­si­cher­heit im Sin­ne von Arti­kel 5 Buch­sta­be h nDSG auch eine Ver­let­zung der Min­dest­an­for­de­run­gen im Sin­ne von Arti­kel 8 Absatz 3 nDSG und somit eine Ver­let­zung der Sorg­falts­pflich­ten gemäss Arti­kel 61 Buch­sta­be c nDSG dar­stellt. Eine abso­lu­te Sicher­heit kann und soll nicht ver­langt wer­den. So ist ins­be­son­de­re vor­stell­bar, dass der Ver­ant­wort­li­che alle ange­mes­se­nen Mass­nah­men getrof­fen hat, eine Ver­let­zung der Daten­si­cher­heit aber den­noch ein­tritt, nament­lich, weil sich das Rest­ri­si­ko rea­li­siert hat. Die­ses kann dem Ver­ant­wort­li­chen nicht ange­la­stet wer­den. Es ist im Rah­men der Min­dest­an­for­de­run­gen viel­mehr zu prü­fen, ob der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter ange­sichts der kon­kre­ten Sach­la­ge die ange­mes­se­nen Mass­nah­men zur Gewähr­lei­tung der Daten­si­cher­heit getrof­fen haben, und zwar unab­hän­gig davon, ob eine Ver­let­zung der Daten­si­cher­heit ein­tritt. In Anleh­nung an Arti­kel 8 Absatz 2 Buch­sta­be d VDSG wer­den in Arti­kel 1 Absatz 4 Art. noch wei­te­re Kri­te­ri­en ein­ge­führt, die bei der Fest­le­gung der tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men zur Gewähr­lei­stung der ange­mes­se­nen Daten­si­cher­heit berück­sich­tigt wer­den kön­nen. Der Aus­druck “Fest­le­gung” umfasst die “Beur­tei­lung” und den “Ent­scheids” (in der fran­zö­si­schen Fas­sung wird der Begriff “déter­mi­na­ti­on” ver­wen­det). Die Kri­te­ri­en lau­ten wie folgt: der Stand der Tech­nik (Bst. a) und die Imple­men­tie­rungs­ko­sten (Bst. b). Die­se Kri­te­ri­en geben nur indi­rekt Auf­schluss dar­über, ob Mass­nah­men ergrif­fen wer­den müs­sen und ob die zu ergrei­fen­den Mass­nah­men ange­mes­sen sind. Stand der Tech­nik (Bst. a): Die Mass­nah­men sind unter Berück­sich­ti­gung des Stands der Tech­nik (tech­ni­scher und wis­sen­schaft­li­cher Kennt­nis­stand) zu bestim­men und ggf. anzu­pas­sen. Der Stand der Tech­nik meint die Berück­sich­ti­gung des gegen­wär­ti­gen Stan­des. Es ist also aus­rei­chend, Mass­nah­men zu tref­fen, die bereits zur Ver­fü­gung ste­hen und sich ent­spre­chend bewährt haben. Hin­ge­gen kann nicht ver­langt wer­den, dass brand­neue uner­forsch­te Tech­ni­ken oder sol­che die sich noch im Ent­wick­lungs­pro­zess befin­den, ein­ge­setzt wer­den. Imple­men­tie­rungs­ko­sten (Bst. b): Der Begriff “Kosten” ist im wei­ten Sinn zu ver­ste­hen. Er ist nicht auf die finan­zi­el­len Kosten beschränkt, son­dern umfasst auch die erfor­der­li­chen per­so­nel­len und zeit­li­chen Res­sour­cen. Die­se Ter­mi­no­lo­gie ent­spricht der des euro­päi­schen Rechts (Richt­li­nie [EU] 2016/680 und DSGVO). Die Imple­men­tie­rungs­ko­sten sind – wie aus dem “Kom­men­tar des Bun­des­amts für Justiz zur Voll­zugs­ver­ord­nung vom 14. Juni 1993 (Stand am 1. Janu­ar 2008) zum Bun­des­ge­setz über den Daten­schutz (VDSG, SR 235.11)” (Ziff. 6.1.1) her­vor­geht – auch gemäss gel­ten­dem Recht ein Kri­te­ri­um bei Beur­tei­lung der Ange­mes­sen­heit der Mass­nah­men. In erster Linie ist aller­dings dar­auf abzu­stel­len, wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men ange­sichts der Kri­te­ri­en in Buch­sta­ben a – c erfor­der­lich sind. Ver­ant­wort­li­che und Auf­trags­be­ar­bei­ter kön­nen sich ins­be­son­de­re nicht mit der Begrün­dung von der Pflicht einer ange­mes­se­nen Daten­si­cher­heit befrei­en, dass damit über­mä­ssi­ge Kosten ver­bun­den sind; viel­mehr müs­sen sie jeden­falls in der Lage sein, eine ange­mes­se­ne Daten­si­cher­heit zu gewähr­lei­sten. Es kann auch nicht argu­men­tiert wer­den, dass sich bei feh­len­dem Kon­zept bei der Ent­wick­lung die Imple­men­tie­rungs­ko­sten zur Umset­zung der Daten­si­cher­heit nach Inbe­trieb­nah­me als zu hoch erwei­sen. Bei Lega­cy Appli­ka­tio­nen (Alt­an­wen­dun­gen) muss viel­mehr die geplan­te Zeit bis hin zur Ablö­sung ein­be­zo­gen wer­den (Life­cy­cle). Das Kri­te­ri­um der Kosten kann jedoch bedeu­ten, dass bei meh­re­ren zur Ver­fü­gung ste­hen­den Mass­nah­men zur Gewähr­lei­stung eines stets ange­mes­se­nen Daten­schutz­ni­veaus die kosten­gün­sti­ge­re Vari­an­te bevor­zugt wer­den darf. Zur Gewähr­lei­stung der Daten­si­cher­heit kom­men unter­schied­li­che Mass­nah­men in Betracht. Vor­lie­gend sei­en bei­spiels­haft drei Mass­nah­men erwähnt: die Anony­mi­sie­rung, Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung von Per­so­nen­da­ten: Die Anony­mi­sie­rung trägt ins­be­son­de­re dazu bei, dass all­fäl­lig nega­ti­ve Aus­wir­kun­gen für die betrof­fe­nen Per­so­nen redu­ziert wer­den, die sich bei­spiels­wei­se durch eine unbe­fug­te Offen­le­gung von Per­so­nen­da­ten erge­ben kön­nen. Liegt eine Anony­mi­sie­rung vor, so kommt das DSG gemäss des­sen Anwen­dungs­be­reich gar nicht zur Anwen­dung. Ver­fah­ren zur Iden­ti­fi­ka­ti­on, Bewer­tung und Eva­lu­ie­rung der Risi­ken und Über­prü­fung der Ange­mes­sen­heit der getrof­fe­nen Mass­nah­men: Ab einem gewis­sen Risi­ko wird es in vie­len Fäl­len sinn­voll bezie­hungs­wei­se sogar not­wen­dig sein, dass stan­dar­di­sier­te Ver­fah­ren und Pro­zes­se imple­men­tiert wer­den, wel­che die Risi­ken und die Ange­mes­sen­heit der getrof­fe­nen Mass­nah­men nicht nur regel­mä­ssig über­prü­fen, son­dern auch bewer­ten und eva­lu­ie­ren. Sol­che Mass­nah­men sind ins­be­son­de­re bei auto­ma­ti­sier­ten Syste­men bedeut­sam. Sie tra­gen dazu bei, dass die Daten­si­cher­heit dau­er­haft gewähr­lei­stet wird und auch ihr Nach­weis ein­fa­cher erbracht wer­den kann. die Schu­lung und Bera­tung der mit der Umset­zung betrau­ten Per­so­nen: Die­se Mass­nah­me ist aus Sicht des Bun­des­rats bedeut­sam, da die Umset­zung und Wirk­sam­keit der Daten­si­cher­heit auch ins­be­son­de­re davon abhängt, ob die invol­vier­ten Per­so­nen die fest­ge­leg­ten Mass­nah­men anwen­den. So kann eine feh­len­de Schu­lung und Bera­tung zu einer Daten­si­cher­heits­ver­let­zung füh­ren. Bei­spiels­wei­se soll­ten die Mit­ar­bei­ter und Mit­ar­bei­te­rin­nen über das Risi­ko, Mal­wa­re zu öff­nen, auf­ge­klärt wer­den. Letzt­lich blei­ben bei der Bestim­mung der Mass­nah­men selbst­re­dend die Umstän­de des Ein­zel­falls mass­geb­lich. Die Mass­nah­men sind gemäss Arti­kel 1 Absatz 5 wie gemäss gel­ten­dem Recht lau­fend zu über­prü­fen und ggf. anzu­pas­sen. Ins­be­son­de­re ist zu über­prü­fen, ob die Mass­nah­men noch immer dem Risi­ko ange­mes­sen und wirk­sam sind. Statt “peri­odisch” muss die Über­prü­fung neu “über die gesam­te Bear­bei­tungs­dau­er hin­weg” erfol­gen. Der Über­prü­fungs­be­darf hängt ins­be­son­de­re von der Gefähr­dungs­la­ge für die Per­sön­lich­keits­rech­te und Grund­rech­te Betrof­fe­ner ab: Je höher er ist, desto häu­fi­ger müs­sen die Mass­nah­men regel­mä­ssig über­prüft wer­den. Die neue For­mu­lie­rung geht in Rich­tung einer stän­di­gen Über­prü­fung. Sie lässt dem Ver­ant­wort­li­chen und dem Auf­trags­be­ar­bei­ter jedoch einen gro­ssen Ermes­sens­spiel­raum. Eine Über­prü­fung kann sich zusätz­lich auf­drän­gen, wenn eine Ver­let­zung der Daten­si­cher­heit erfolgt oder die Bear­bei­tung von Per­so­nen­da­ten ange­passt wor­den ist. Arti­kel 1 Absatz 5 stellt dar­über hin­aus klar, dass nicht nur die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men wäh­rend der gesam­ten Dau­er der Bear­bei­tung, also wäh­rend des gesam­ten “Life­cy­cles” der Per­so­nen­da­ten, über­prüft wer­den müs­sen, son­dern auch der Schutz­be­darf und die Risi­ken. Durch die Über­prü­fung des Schutz­be­darfs und der Risi­ken wird (indi­rekt) auch über­prüft, ob die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men geeig­net sind. 

Art. 2 Ziele

Der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter müs­sen tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men tref­fen, damit die bear­bei­te­ten Daten ihrem Schutz­be­darf ent­spre­chend:
a. nur Berech­tig­ten zugäng­lich sind (Ver­trau­lich­keit);
b. ver­füg­bar sind, wenn sie benö­tigt wer­den (Ver­füg­bar­keit);
c. nicht unbe­rech­tigt oder unbe­ab­sich­tigt ver­än­dert wer­den (Inte­gri­tät);
d. nach­voll­zieh­bar bear­bei­tet wer­den (Nach­voll­zieh­bar­keit).
Erläu­tern­der Bericht
Arti­kel 2 Art. ergänzt Arti­kel 1 nDSG in Bezug auf den Zweck des Geset­zes und kon­kre­ti­siert die Zie­le zur Gewähr­lei­stung der ange­mes­se­nen Daten­si­cher­heit, die nun­mehr in Arti­kel 8 Absatz 2 nDSG fest­ge­legt sind. Nach die­ser Bestim­mung müs­sen es die Mass­nah­men ermög­li­chen, eine Ver­let­zung der Daten­si­cher­heit zu ver­mei­den. Abso­lu­te Sicher­heit ist ein uner­reich­ba­res Ide­al. Mit dem risi­ko­ba­sier­ten Ansatz sol­len die Risi­ken iden­ti­fi­ziert wer­den (Art. 1 Art.), damit die Mass­nah­men auf die Zie­le abge­stimmt und ent­spre­chend aus­ge­wählt wer­den. Der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter müs­sen die Zie­le und den Umfang des Schut­zes bestim­men. In der Leh­re und Pra­xis wer­den in der Regel vier Schutz­zie­le fest­ge­hal­ten, die im Fran­zö­si­schen unter dem Akro­nym (C.A.I.D.) bekannt sind: die Ver­trau­lich­keit (con­fi­dentia­li­té), die Authen­ti­zi­tät (authen­ti­fi­ca­ti­on), die Inte­gri­tät (inté­gri­té) und die Ver­füg­bar­keit (dis­po­ni­bi­li­té) der Daten. In Anleh­nung an Arti­kel 32 DSGVO und mit Blick auf eine Har­mo­ni­sie­rung mit dem Bun­des­ge­setz über die Infor­ma­ti­ons­si­cher­heit beim Bund , das dem­nächst in Kraft tre­ten soll, soll Arti­kel 2 die Ver­trau­lich­keit (Bst. a), die Ver­füg­bar­keit (Bst. b), die Inte­gri­tät (Bst. c) und die Nach­voll­zieh­bar­keit (Bst. d) regeln. Die Ver­trau­lich­keit (Bst. a): Die Per­so­nen­da­ten dür­fen nur Berech­tig­ten zugäng­lich sein. Der Kreis der berech­tig­ten Per­so­nen wird durch den Kon­text des Auf­ga­ben­be­reichs sowie den Inhalt und die Wich­tig­keit der Daten bestimmt. Er kann sehr weit oder äusserst eng sein. Unter Ver­trau­lich­keit sind auch die Authen­ti­fi­zie­rung, die damit ver­bun­de­nen Metho­den sowie die Syste­me zur Ver­wal­tung und Ein­schrän­kung des Zugriffs zur Gewähr­lei­stung der Daten­si­cher­heit zu ver­ste­hen. Schliess­lich soll­te die Ver­trau­lich­keit des Systems und der Daten gewähr­lei­stet sein. Die Ver­füg­bar­keit (Bst. b): Gemäss die­sem Zweck sorgt der Ver­ant­wort­li­che dafür, dass die Daten jeder­zeit ein­ge­se­hen wer­den kön­nen. Die­se Anfor­de­rung ist umso höher, wenn die Infor­ma­tio­nen für die Erfül­lung wesent­li­cher oder sogar gesetz­li­cher Auf­ga­ben stän­dig ver­füg­bar sein müs­sen. Die Inte­gri­tät (Bst. c): Die­ses Ziel gewähr­lei­stet die Rich­tig­keit der Daten. Es ist ins­be­son­de­re dann von Bedeu­tung, wenn die Daten für die Öffent­lich­keit bestimmt sind oder wei­ter­ver­wen­det wer­den sol­len. Unter Inte­gri­tät sind die Authen­ti­zi­tät, die Zure­chen­bar­keit und die Nicht­ab­streit­bar­keit der Daten zu ver­ste­hen. Die­se Begrif­fe wer­den in der Pra­xis oder in der Leh­re auch anstel­le von Inte­gri­tät ver­wen­det. Die Nach­voll­zieh­bar­keit (Bst. d): Auf Grund­la­ge die­ses Ziels kön­nen unbe­fug­te Zugrif­fe oder sogar Miss­bräu­che iden­ti­fi­ziert wer­den. Dar­über hin­aus kann die Ursa­che eines Vor­falls ermit­telt wer­den. Der Ver­ant­wort­li­che sorgt für die Auf­zeich­nung der Ereig­nis­se und der Daten­spu­ren und stellt sicher, dass die­se nicht ver­än­dert wer­den kön­nen. Die Nach­voll­zieh­bar­keit der Bear­bei­tung kann für das Ver­fah­ren (Beweis­mit­tel) von Bedeu­tung sein und erleich­tert die Kon­trol­len und Über­wa­chung. Von Zure­chen­bar­keit und Nicht­ab­streit­bar­keit von Daten ist in der Pra­xis auch im Zusam­men­hang mit Mecha­nis­men der Nach­voll­zieh­bar­keit die Rede. Gestützt auf die­se Zie­le sol­len Ver­fah­ren ent­wickelt wer­den, um die Wirk­sam­keit der ergrif­fe­nen Mass­nah­men regel­mä­ssig zu kon­trol­lie­ren, zu ana­ly­sie­ren und zu beur­tei­len (Art. 1 Abs. 5 und Art. 3 Art.). 

Art. 3 Tech­ni­sche und orga­ni­sa­to­ri­sche Massnahmen

1 Um die Ver­trau­lich­keit zu gewähr­lei­sten, müs­sen der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter geeig­ne­te Mass­nah­men tref­fen, damit:
a. berech­tig­te Per­so­nen nur auf die­je­ni­gen Per­so­nen­da­ten Zugriff haben, die sie zur Erfül­lung ihrer Auf­ga­ben benö­ti­gen (Zugriffs­kon­trol­le);
b. nur berech­tig­te Per­so­nen Zugang zu den Räum­lich­kei­ten und Anla­gen haben, in denen Per­so­nen­da­ten bear­bei­tet wer­den (Zugangs­kon­trol­le);
c. unbe­fug­te Per­so­nen auto­ma­ti­sier­te Daten­be­ar­bei­tungs­sy­ste­me nicht mit­tels Ein­rich­tun­gen zur Daten­über­tra­gung benut­zen kön­nen (Benut­zer­kon­trol­le).
2 Um die Ver­füg­bar­keit und Inte­gri­tät zu gewähr­lei­sten, müs­sen der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter geeig­ne­te Mass­nah­men tref­fen, damit:
a. unbe­fug­te Per­so­nen Daten­trä­ger nicht lesen, kopie­ren, ver­än­dern, ver­schie­ben, löschen oder ver­nich­ten kön­nen (Daten­trä­ger­kon­trol­le);
b. unbe­fug­te Per­so­nen Per­so­nen­da­ten im Spei­cher nicht spei­chern, lesen, ändern, löschen oder ver­nich­ten kön­nen (Spei­cher­kon­trol­le);
c. unbe­fug­te Per­so­nen bei der Bekannt­ga­be von Per­so­nen­da­ten oder beim Trans­port von Daten­trä­gern Per­so­nen­da­ten nicht lesen, kopie­ren, ver­än­dern, löschen oder ver­nich­ten kön­nen (Trans­port­kon­trol­le);
d. die Ver­füg­bar­keit der Per­so­nen­da­ten und der Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­ge­stellt wer­den kön­nen (Wie­der­her­stel­lung);
e. alle Funk­tio­nen des auto­ma­ti­sier­ten Daten­be­ar­bei­tungs­sy­stems zur Ver­fü­gung ste­hen (Ver­füg­bar­keit), Fehl­funk­tio­nen gemel­det wer­den (Zuver­läs­sig­keit) und gespei­cher­te Per­so­nen­da­ten nicht durch Fehl­funk­tio­nen des Systems beschä­digt wer­den kön­nen (Daten­in­te­gri­tät);
f. Betriebs­sy­ste­me und Anwen­dungs­soft­ware stets auf dem neu­sten Sicher­heits­stand gehal­ten und bekann­te kri­ti­sche Lücken geschlos­sen wer­den (System­si­cher­heit).
3 Um die Nach­voll­zieh­bar­keit zu gewähr­lei­sten, müs­sen der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter geeig­ne­te Mass­nah­men tref­fen, damit:
a. über­prüft wer­den kann, wel­che Per­so­nen­da­ten zu wel­cher Zeit und von wel­cher Per­son im auto­ma­ti­sier­ten Daten­be­ar­bei­tungs­sy­stem ein­ge­ge­ben oder ver­än­dert wer­den (Ein­ga­be­kon­trol­le);
b. über­prüft wer­den kann, wem Per­so­nen­da­ten mit Hil­fe von Ein­rich­tun­gen zur Daten­über­tra­gung bekannt­ge­ge­ben wer­den (Bekannt­ga­be­kon­trol­le);
c. Ver­let­zun­gen der Daten­si­cher­heit rasch erkannt (Erken­nung) und Mass­nah­men zur Min­de­rung oder Besei­ti­gung der Fol­gen ergrif­fen wer­den kön­nen (Besei­ti­gung).
Erläu­tern­der Bericht
Arti­kel 8 Absatz 1 nDSG ver­langt, dass eine ange­mes­se­ne Sicher­heit der Per­so­nen­da­ten gewähr­lei­stet wird. Unter Berück­sich­ti­gung der Ver­nehm­las­sungs­er­geb­nis­se sieht Arti­kel 3 vor, dass orga­ni­sa­to­ri­sche und tech­ni­sche Mass­nah­men ergrif­fen wer­den müs­sen, um die Zie­le von Arti­kel 2 zu errei­chen. In Anwen­dung der Ver­hält­nis­mä­ssig­keit sind aus­ge­hend davon die orga­ni­sa­to­ri­schen und tech­ni­schen Mass­nah­men des Ein­zel­falls zu bestim­men. Die Ver­ant­wort­li­chen und Auf­trags­be­ar­bei­ter haben des­halb zu prü­fen, mit wel­chen geeig­ne­ten Mass­nah­men sie die Schutz­zie­le errei­chen. Es ist durch­aus vor­stell­bar, dass nicht jedes Schutz­ziel in jedem Fall von Rele­vanz ist. Ist ein Schutz­ziel in einem Fall nicht von Rele­vanz, so müs­sen der Ver­ant­wort­li­che und Auf­trags­be­ar­bei­ter aber in der Lage sein, zu begrün­den, wes­halb dies der Fall ist. Die “Eig­nung” der Mass­nah­men hängt von den Umstän­den ab. Der Arti­kel zeigt dem Ver­ant­wort­li­chen und dem Auf­trags­be­ar­bei­ter in didak­ti­scher Wei­se eine Rei­he von Mass­nah­men auf, mit denen er die Zie­le nach Arti­kel 2 errei­chen kann. Eine Mass­nah­me kann im Übri­gen zur Errei­chung ver­schie­de­ner Zie­le bei­tra­gen. Der Arti­kel stellt gröss­ten­teils eine Über­nah­me des Arti­kels 9 VDSG dar: Die Rege­lung steht neu unter dem Titel “Tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men”. Mit Arti­kel 3 Art. setzt die Schweiz auch die Anfor­de­run­gen von Arti­kel 29 der Richt­li­nie (EU) 2016/680 um. Nach Arti­kel 1 Absatz 3 Buch­sta­be c Art. ist der Ver­ant­wort­li­che ver­pflich­tet, tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men ergrei­fen, um das Risi­ko zu ver­rin­gern. Im Ver­ord­nungs­text wird bei meh­re­ren tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men auf “berech­tig­te” Per­so­nen Bezug genom­men. Dies setzt nicht zwin­gend ein direk­tes Tätig­wer­den einer Per­son vor­aus. Denn dar­un­ter kön­nen auch Fäl­le sub­su­miert wer­den, bei denen Per­so­nen­da­ten in Appli­ka­tio­nen oder in einem auto­ma­ti­sier­ten Infor­ma­ti­ons­sy­stem bear­bei­tet wer­den. Arti­kel 3 Absatz 1 Art. kon­kre­ti­siert Arti­kel 2 Absatz 1 Buch­sta­be a Art. und nennt Mass­nah­men für die Ver­trau­lich­keit; d. h. Mass­nah­men, die Zugriffs­kon­trol­le (Bst. a), die Zugangs­kon­trol­le (Bst. b) sowie die Benut­zer­kon­trol­le (Bst. c) gewähr­lei­sten sol­len. An erster Stel­le nor­miert Buch­sta­be a neu die Zugriffs­kon­trol­le. Das Schutz­ziel wur­de aus Arti­kel 9 Absatz 1 Buch­sta­be g VDSG über­nom­men. Es geht haupt­säch­lich dar­um, die Zugriffs­be­rech­ti­gun­gen zu bestim­men, die die Art und den Umfang des Zugriffs regeln. Dabei ist dar­auf zu ach­ten, dass die berech­tig­ten Per­so­nen nur Zugang zu den Per­so­nen­da­ten haben, für die sie berech­tigt sind. Die zu ergrei­fen­den Mass­nah­men sind orga­ni­sa­to­ri­scher und tech­ni­scher Art. Buch­sta­be b nor­miert die in Arti­kel 9 Absatz 1 Buch­sta­be a VDSG ver­an­ker­te Zugangs­kon­trol­le. Dem­nach muss unbe­fug­ten Per­so­nen der Zugang zu den Räum­lich­kei­ten und Anla­gen, in denen Per­so­nen­da­ten bear­bei­tet wer­den, ver­wehrt wer­den. Neu ent­hält das Schutz­ziel auch den Begriff “Anla­gen”. Dadurch soll ins­be­son­de­re zum Aus­druck kom­men, dass auch der Zugang zu mobi­len Bear­bei­tungs­an­la­gen zu unter­bin­den ist. Der Begriff ist sehr weit gefasst und umfasst von fest ange­leg­ten Ser­ver­an­la­gen über Com­pu­ter bis hin zu Mobil­te­le­fo­nen oder Tablets jeg­li­che Gerä­te zur Bear­bei­tung von Per­so­nen­da­ten. Auf­grund des tech­ni­schen Fort­schritts kann sich “Anla­ge” sowohl auf Anla­gen phy­si­scher als auch auf vir­tu­el­ler Natur bezie­hen. Mög­li­che Mass­nah­men sind bei­spiels­wei­se Alarm­an­la­gen und abschliess­ba­re Ser­ver­schrän­ke. Buch­sta­be c ent­hält die in Arti­kel 9 Absatz 1 Buch­sta­be f VDSG gere­gel­te Benut­zer­kon­trol­le. Die­se ist dar­auf aus­ge­rich­tet, dass die Benut­zung von auto­ma­ti­sier­ten Daten­be­ar­bei­tungs­sy­ste­men mit­tels Ein­rich­tun­gen zur Daten­über­tra­gung durch unbe­fug­te Per­so­nen ver­hin­dert wird. Die Mass­nah­men sor­gen dafür, dass die Daten nicht unbe­fugt benutzt oder wei­ter­ge­ge­ben wer­den kön­nen. Mög­li­che Mass­nah­men sind bei­spiels­wei­se die regel­mä­ssi­ge Kon­trol­le von Berech­ti­gun­gen (z. B. Sper­rung von Berech­ti­gun­gen auf­grund von Per­so­nal­wech­sel oder neu­en Auf­ga­ben­zu­tei­lun­gen) und der Ein­satz von Soft­ware gegen Viren oder Spy­wa­re oder auch die Sen­si­bi­li­sie­rung des Per­so­nals für Phis­hing-Metho­den. In Bezug auf Ver­füg­bar­keit und Inte­gri­tät über­nimmt die Arti­kel 3 Absatz 2 Art. die Zie­le von Arti­kel 2 Absatz 1 Buch­sta­ben b und c Art.. Die dies­be­züg­li­chen Mass­nah­men sol­len die Kon­trol­le der Daten­trä­ger (Bst. a), des Spei­chers (Bst. b), des Trans­ports (Bst. c) sowie der Wie­der­her­stel­lung (Bst. d) gewähr­lei­sten. Die Mass­nah­men müs­sen geeig­net sein, die Ver­füg­bar­keit, die Zuver­läs­sig­keit und die Inte­gri­tät zu gewähr­lei­sten (Bst. e). Schliess­lich muss die Sicher­heit des Systems auf dem neue­sten Stand gehal­ten wer­den (Bst. f). Buch­sta­be a regelt die Daten­trä­ger­kon­trol­le, die der­zeit in Arti­kel 9 Absatz 1 Buch­sta­be b VDSG nor­miert ist. Die­se beinhal­tet, dass unbe­fug­ten Per­so­nen das Lesen, Kopie­ren, Ver­än­dern, Ver­schie­ben, Löschen oder Ver­nich­ten von Daten­trä­gern ver­un­mög­licht wird. Es ist ins­be­son­de­re zu ver­hin­dern, dass Per­so­nen­da­ten unkon­trol­liert auf Daten­trä­ger (z. B. Fest­plat­ten, USB-Sticks) über­tra­gen wer­den kön­nen. Unter Daten­trä­ger sind dabei nicht nur phy­si­sche Trä­ger zu ver­ste­hen, son­dern auch bei­spiels­wei­se Cloud-Dien­ste. Mög­li­che Mass­nah­men sind bei­spiels­wei­se die Ver­schlüs­se­lung und das ord­nungs­ge­mä­sse Ver­nich­ten von Daten­trä­gern. Der Buch­sta­be ent­spricht der Vor­ga­be von Arti­kel 29 Absatz 2 Buch­sta­be b der Richt­li­nie (EU) 2016/680. Buch­sta­be b ent­spricht Arti­kel 9 Absatz 1 Buch­sta­be e VDSG und nor­miert die Spei­cher­kon­trol­le. Gemäss der Mass­nah­me dür­fen unbe­fug­te Per­so­nen Per­so­nen­da­ten im Spei­cher nicht spei­chern, ein­se­hen, ändern, löschen oder ver­nich­ten. Es ist zu ver­un­mög­li­chen, dass unbe­fug­te Per­so­nen auf den Inhalt des Daten­spei­chers Zugriff haben, die­sen ein­se­hen, ver­än­dern oder löschen kön­nen. Mög­li­che Mass­nah­men sind bei­spiels­wei­se die Fest­le­gung von dif­fe­ren­zier­ten Zugriffs­be­rech­ti­gun­gen für Daten, Anwen­dun­gen und Betriebs­sy­ste­me und die Pro­to­kol­lie­rung von Zugrif­fen auf Anwen­dun­gen. Der Buch­sta­be ent­spricht der Vor­ga­be von Arti­kel 29 Absatz 2 Buch­sta­be c der Richt­li­nie (EU) 2016/680. Buch­sta­be c nor­miert die Trans­port­kon­trol­le, die der­zeit in Arti­kel 9 Absatz 1 Buch­sta­be c VDSG gere­gelt ist. Dem­nach muss bei der Bekannt­ga­be von Per­so­nen­da­ten sowie beim Trans­port von Daten­trä­gern ver­hin­dert wer­den, dass die Daten unbe­fugt gele­sen, kopiert, ver­än­dert, gelöscht oder ver­nich­tet wer­den kön­nen. Der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter müs­sen dafür sor­gen, dass der desi­gnier­te Emp­fän­ger bzw. die desi­gnier­te Emp­fän­ge­rin die Daten in ihrer ursprüng­li­chen Form erhal­ten und kei­ne Drit­te die Daten unbe­fugt abfan­gen kön­nen. Ins­be­son­de­re bei beson­ders schüt­zens­wer­ten Per­so­nen­da­ten stel­len sich erhöh­te Anfor­de­run­gen an die Mass­nah­men. In Betracht kommt etwa die Ver­schlüs­se­lung von Daten bzw. von Daten­trä­gern. Bei Buch­sta­be d geht es um die Mög­lich­keit der Wie­der­her­stel­lung der Ver­füg­bar­keit der Per­so­nen­da­ten und des Zugangs zu ihnen nach einem phy­si­schen oder tech­ni­schen Zwi­schen­fall. Er wur­de in Anleh­nung an Arti­kel 32 Absatz 1 Buch­sta­be c der Ver­ord­nung (EU) 2016/679 neu in den Kata­log auf­ge­nom­men und ent­spricht der Vor­ga­be in Arti­kel 29 Absatz 2 Buch­sta­be i der Richt­li­nie (EU) 2016/680. Eine mög­li­che Mass­nah­me ist das Aus­ar­bei­ten und Anwen­den eines Back­up-Kon­zepts. Buch­sta­be e bestimmt, dass alle Funk­tio­nen des auto­ma­ti­sier­ten Daten­be­ar­bei­tungs­sy­stems zur Ver­fü­gung ste­hen (Ver­füg­bar­keit), auf­tre­ten­de Fehl­funk­tio­nen gemel­det wer­den (Zuver­läs­sig­keit) und gespei­cher­te Per­so­nen­da­ten nicht durch Fehl­funk­tio­nen des Systems beschä­digt wer­den kön­nen (Daten­in­te­gri­tät). Er wur­de in Anleh­nung an Arti­kel 32 Absatz 1 Buch­sta­be b der Ver­ord­nung (EU) 2016/679 neu in den Kata­log auf­ge­nom­men und ent­spricht der Vor­ga­be in Arti­kel 29 Absatz 2 Buch­sta­be j der Richt­li­nie (EU) 2016/680. Hier geht es ins­be­son­de­re dar­um, dass die Sta­bi­li­tät bzw. die Belast­bar­keit der ein­ge­setz­ten Syste­me dau­er­haft gewähr­lei­stet wird. Die Mel­dung der Fehl­funk­tio­nen soll vom System selbst getä­tigt wer­den, sodass der Ver­ant­wort­li­che oder der Auf­trags­be­ar­bei­ter auto­ma­tisch dar­auf auf­merk­sam gemacht wird, dass eine Fehl­funk­ti­on vor­liegt. Wenn eine Fehl­funk­ti­on gemel­det wird, bedeu­tet das nicht auto­ma­tisch, dass die Funk­tio­nen zuver­läs­sig sind; viel­mehr muss die Fehl­funk­ti­on dafür auch kor­ri­giert wer­den. Bei Buch­sta­be f geht es um die Gewähr­lei­stung der Sicher­heit von Betriebs­sy­ste­men und Anwen­dungs­soft­ware, die bei der Bear­bei­tung von Per­so­nen­da­ten zur Anwen­dung gelan­gen. Da die Bear­bei­tung von Per­so­nen­da­ten auf Syste­men und diver­sen dar­auf lau­fen­den Anwen­dun­gen basiert, ist es not­wen­dig, dass die­se auf dem aktu­ell­sten Sicher­heits­stand gehal­ten und kri­ti­sche Lücken zeit­nah geschlos­sen wer­den. Buch­sta­be f ergänzt damit die Vor­ga­ben in Buch­sta­be d und e, mit dem Ziel, eine ganz­heit­li­che Sicher­heit zu gewähr­lei­sten. Es wird nicht ver­langt, dass jedes System- und Anwen­dungs­up­date sofort instal­liert wird, son­dern dass ein Pro­zess für die Aktua­li­sie­rung vor­han­den ist (sog. Vul­nera­bi­li­ty- und Patch­ma­nage­ment). Die ent­spre­chen­de Sicher­heits­ak­tua­li­sie­rung kann zeit­lich abge­stuft, unter Berück­sich­ti­gung der Kri­ti­ka­li­täts­stu­fen (hoch, mit­tel, tief), umge­setzt wer­den. Bis zur Behe­bung von Schwach­stel­len müs­sen aber Mass­nah­men getrof­fen wer­den, damit die Daten­si­cher­heit den­noch gewähr­lei­stet bleibt. Im Unter­schied zu Arti­kel 3 Absatz 3 Buch­sta­be c geht es bei Buch­sta­be f nicht um reak­ti­ve Mass­nah­men, son­dern die pro­ak­ti­ve Behe­bung von Schwach­stel­len, für die im System bis­lang kei­ne Ver­let­zung der Daten­si­cher­heit fest­ge­stellt wur­de. Absatz 3 nennt die Mass­nah­men zur Nach­voll­zieh­bar­keit (Art. 2 Abs. 1 Bst. d Art.), d. h. Mass­nah­men, die die Kon­trol­le der Ein­ga­be (Bst. a) und der Bekannt­ga­be (Bst. b) gewähr­lei­sten sol­len, sowie Mass­nah­men zur Erken­nung und Besei­ti­gung (Bst. c). In Buch­sta­be a ist neu die Ein­ga­be­kon­trol­le gere­gelt. Die­se ver­langt – ent­spre­chend Arti­kel 9 Absatz 2 Buch­sta­be h VDSG –, dass nach­träg­lich über­prüft wer­den kann, wel­che Per­so­nen­da­ten zu wel­cher Zeit und von wel­cher Per­son im auto­ma­ti­sier­ten Daten­be­ar­bei­tungs­sy­stem ein­ge­ge­ben oder ver­än­dert wur­den. Das Schutz­ziel wur­de so ange­passt, dass neu expli­zit zum Aus­druck kommt, dass auch die Ver­än­de­rung von Per­so­nen­da­ten nach­träg­lich über­prüf­bar sein muss. Als mög­li­che Mass­nah­me kommt ins­be­son­de­re die Pro­to­kol­lie­rung in Betracht. Buch­sta­be b betrifft die Bekannt­ga­be­kon­trol­le. Sie wur­de von Arti­kel 9 Absatz 1 Buch­sta­be d VDSG über­nom­men und in der For­mu­lie­rung leicht ange­passt. Gemäss dem neu­en Buch­sta­ben b kann über­prüft wer­den, wem Per­so­nen­da­ten mit Hil­fe von Ein­rich­tun­gen zur Daten­über­tra­gung bekannt­ge­ge­ben wur­den. Die Mass­nah­men sol­len es ins­be­son­de­re ermög­li­chen, die Daten­emp­fän­ge­rin­nen und Daten­emp­fän­ger zu iden­ti­fi­zie­ren. Dabei kann es u. U. aus­rei­chend sein, dass das Organ als sol­ches bekannt ist, ohne dass die natür­li­che Per­son in jedem Fall iden­ti­fi­zier­bar sein muss. Bei Bedarf muss z. B. anhand von Pro­to­kol­len fest­stell­bar sein, mit wel­chen Mit­teln wel­che Per­so­nen­da­ten an wen bekannt­ge­ge­ben wur­den. Buch­sta­be c ver­langt, dass der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter Ver­let­zun­gen der Daten­si­cher­heit im Sin­ne von Arti­kel 5 Buch­sta­be h nDSG rasch erken­nen und Mass­nah­men zur Min­de­rung oder Besei­ti­gung deren Fol­gen ein­lei­ten kön­nen. Anders als bei Absatz 2 Buch­sta­be e geht es hier ins­be­son­de­re um reak­ti­ve Mass­nah­men, die vom Ver­ant­wort­li­chen und vom Auf­trags­be­ar­bei­ter getrof­fen wer­den. Arti­kel 9 Absatz 2 VDSG wur­de gestri­chen, da er aus Sicht des Bun­des­rats nicht mehr not­wen­dig ist. Die Grün­de für die Ver­wei­ge­rung, Ein­schrän­kung oder Auf­schie­bung eines Aus­kunfts­ge­su­ches wer­den auf Geset­zes­ebe­ne fest­ge­legt (vgl. Art. 26 nDSG). So sind die Ver­ant­wort­li­chen und Auf­trags­be­ar­bei­ter bereits auf­grund des nDSG ver­pflich­tet, dafür zu sor­gen, dass die Betrof­fe­nen ihre Rech­te wirk­sam wahr­neh­men kön­nen, und dies unab­hän­gig von den kon­kret ange­wen­de­ten Tech­no­lo­gien zur Bear­bei­tung der Personendaten. 

Art. 4 Protokollierung

1 Wer­den beson­ders schüt­zens­wer­te Per­so­nen­da­ten in gro­ssem Umfang auto­ma­ti­siert bear­bei­tet oder wird ein Pro­filing mit hohem Risi­ko durch­ge­führt und kön­nen die prä­ven­ti­ven Mass­nah­men den Daten­schutz nicht gewähr­lei­sten, so müs­sen der pri­va­te Ver­ant­wort­li­che und sein pri­va­ter Auf­trags­be­ar­bei­ter zumin­dest das Spei­chern, Ver­än­dern, Lesen, Bekannt­ge­ben, Löschen und Ver­nich­ten der Daten pro­to­kol­lie­ren. Eine Pro­to­kol­lie­rung muss ins­be­son­de­re dann erfol­gen, wenn sonst nach­träg­lich nicht fest­ge­stellt wer­den kann, ob die Daten für die­je­ni­gen Zwecke bear­bei­tet wur­den, für die sie beschafft oder bekannt­ge­ge­ben wurden.
2 Das ver­ant­wort­li­che Bun­des­or­gan und sein Auf­trags­be­ar­bei­ter pro­to­kol­lie­ren bei der auto­ma­ti­sier­ten Bear­bei­tung von Per­so­nen­da­ten zumin­dest das Spei­chern, Ver­än­dern, Lesen, Bekannt­ge­ben, Löschen und Ver­nich­ten der Daten.
3 Bei Per­so­nen­da­ten, wel­che all­ge­mein öffent­lich zugäng­lich sind, sind zumin­dest das Spei­chern, Ver­än­dern, Löschen und Ver­nich­ten der Daten zu protokollieren.
4 Die Pro­to­kol­lie­rung muss Auf­schluss geben über die Iden­ti­tät der Per­son, die die Bear­bei­tung vor­ge­nom­men hat, die Art, das Datum und die Uhr­zeit der Bear­bei­tung sowie gege­be­nen­falls die Iden­ti­tät der Emp­fän­ge­rin oder des Emp­fän­gers der Daten.
5 Die Pro­to­kol­le müs­sen wäh­rend min­de­stens einem Jahr getrennt vom System, in wel­chem die Per­so­nen­da­ten bear­bei­tet wer­den, auf­be­wahrt wer­den. Sie dür­fen aus­schliess­lich den Orga­nen und Per­so­nen zugäng­lich sein, denen die Über­prü­fung der Anwen­dung der Daten­schutz­vor­schrif­ten oder die Wah­rung oder Wie­der­her­stel­lung der Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Nach­voll­zieh­bar­keit der Daten obliegt, und dür­fen nur für die­sen Zweck ver­wen­det werden.
Erläu­tern­der Bericht
Die Pro­to­kol­lie­rung wird in Arti­kel 10 VDSG gere­gelt, der auf­grund des Ver­wei­ses in Arti­kel 20 Absatz 1 erster Satz VDSG auch auf Bun­des­or­ga­ne Anwen­dung fin­det. Arti­kel 4 über­nimmt die­se Rege­lung in geän­der­ter Form. Die Pro­to­kol­lie­rung stellt eine Mass­nah­me im Sin­ne von Arti­kel 3 Art. dar. Dadurch wird dem Umstand Rech­nung getra­gen, dass das Schwei­zer Recht im Unter­schied zur DSGVO kei­ne all­ge­mei­ne “Rechen­schafts­pflicht” vor­sieht. Über­dies wird die Pro­to­kol­lie­rung auch von gewis­sen euro­päi­schen Daten­schutz­be­hör­den emp­foh­len. Ausser­dem han­delt es sich bei der Pro­to­kol­lie­rung um ein klas­si­sches, prä­ven­ti­ves Mit­tel zur Gewähr­lei­stung der Cyber­si­cher­heit. Der Zweck der Pro­to­kol­lie­rung besteht dar­in, dass Bear­bei­tun­gen von Per­so­nen­da­ten nach­träg­lich über­prüf­bar sind, so dass im Nach­hin­ein fest­ge­stellt wer­den kann, ob Daten abhan­den­ge­kom­men sind oder gelöscht, ver­nich­tet, ver­än­dert oder offen­ge­legt wur­den. Ausser­dem geht es auch um die Gewähr­lei­stung der Zweck­kon­for­mi­tät und einer ange­mes­se­nen Daten­si­cher­heit. So kön­nen sich aus der Pro­to­kol­lie­rung auch Hin­wei­se erge­ben, ob Per­so­nen­da­ten zweck­kon­form bear­bei­tet wur­den. Wei­ter kön­nen die Pro­to­kol­lie­run­gen auch dazu die­nen, Ver­let­zun­gen der Daten­si­cher­heit auf­zu­decken und auf­zu­klä­ren. Die Pro­to­kol­lie­rung hat hin­ge­gen nicht zum Ziel, die Nut­ze­rin­nen und Nut­zer, die Per­so­nen­da­ten bear­bei­ten, zu über­wa­chen. Bei der Pro­to­kol­lie­rung han­delt es sich um einen auto­ma­ti­sier­ten Pro­zess. Heut­zu­ta­ge gibt es kaum ein Infor­ma­ti­ons­sy­stem oder ein System zur auto­ma­ti­sier­ten Daten­be­ar­bei­tung, in dem die Daten­be­ar­bei­tung nicht pro­to­kol­liert wird. Arti­kel 4 Absatz 1 Art. ver­langt die Pro­to­kol­lie­rung für den pri­va­ten Ver­ant­wort­li­chen und sei­nen pri­va­ten Auf­trags­be­ar­bei­ter bei der auto­ma­ti­sier­ten Bear­bei­tung beson­ders schüt­zens­wer­ter Daten in gro­ssem Umfang oder beim Pro­filing mit hohem Risi­ko, wenn die prä­ven­ti­ven Mass­nah­men den Daten­schutz nicht gewähr­lei­sten kön­nen und wenn ohne die­se Mass­nah­me nicht nach­träg­lich fest­ge­stellt wer­den kann, ob die Daten für die­je­ni­gen Zwecke bear­bei­tet wur­den, für die sie beschafft oder bekannt­ge­ge­ben wur­den. Pro­to­kol­liert wer­den müs­sen zumin­dest die Vor­gän­ge des Spei­cherns, Ver­än­derns, Lesens, Bekannt­ge­bens, Löschens und Ver­nich­tens von Daten. Der Vor­gang des “Lesens” ist als Zugriff ohne “Ver­än­dern” zu ver­ste­hen; es reicht dem­nach aus, wenn die Zugrif­fe auf Per­so­nen­da­ten und das Ver­än­dern die­ser Daten pro­to­kol­liert wer­den. Der Pro­to­kol­lie­rung des “Lesens” wird damit Genü­ge getan. Der Satz­teil “kön­nen die prä­ven­ti­ven Mass­nah­men den Daten­schutz nicht gewähr­lei­sten” wur­de aus dem gel­ten­den Recht über­nom­men. In der Pra­xis ist er von unter­ge­ord­ne­ter Bedeu­tung, da die prä­ven­ti­ven Mass­nah­men den Daten­schutz nur sel­ten gewähr­lei­sten. Gemäss Absatz 2 pro­to­kol­lie­ren das ver­ant­wort­li­che Bun­des­or­gan und sein Auf­trags­be­ar­bei­ter bei der auto­ma­ti­sier­ten Bear­bei­tung von Per­so­nen­da­ten zumin­dest das Spei­chern, Ver­än­dern, Lesen, Bekannt­ge­ben, Löschen und Ver­nich­ten der Daten. Dies sind die glei­chen Bear­bei­tungs­vor­gän­ge, die auch der pri­va­te Ver­ant­wort­li­chen pro­to­kol­lie­ren muss, aller­dings muss die Pro­to­kol­lie­rung bei Bun­des­or­ga­nen in einer grö­sse­ren Anzahl von Fäl­len (bei jeder auto­ma­ti­sier­ten Bear­bei­tung) erfol­gen. Damit wird den im Rah­men der Schen­ge­ner Zusam­men­ar­beit im Straf­rechts­be­reich gel­ten­den Anfor­de­run­gen von Arti­kel 25 der Richt­li­nie (EU) 2016/680 Rech­nung getra­gen. Wie oben aus­ge­führt, ist es in Bezug auf das “Lesen” aus­rei­chend, wenn die Zugrif­fe auf Per­so­nen­da­ten und das Ver­än­dern die­ser Daten pro­to­kol­liert wer­den. Für die Umset­zung der Pro­to­kol­lie­rungs­pflicht wird für Daten­be­ar­bei­tun­gen, die nicht in den Anwen­dungs­be­reich der Richt­li­nie (EU) 2016/680 fal­len, in Arti­kel 46 Absatz 1 eine Über­gangs­frist von drei Jah­ren vor­ge­se­hen. In Absatz 3 wird neu fest­ge­hal­ten, dass bei Per­so­nen­da­ten, wel­che all­ge­mein öffent­lich zugäng­lich sind, zumin­dest das Spei­chern, Ver­än­dern, Löschen und Ver­nich­ten der Daten pro­to­kol­liert wer­den muss. Dies bedeu­tet z.B., dass die Kon­sul­ta­ti­on des Staats­ka­len­ders, der all­ge­mein öffent­lich zugäng­lich ist, nicht zwin­gend pro­to­kol­liert wer­den muss. Die Rege­lung wur­de mit einem neu­en Absatz 4 ergänzt, wo die Inhal­te der Pro­to­kol­lie­rung kon­kre­ti­siert wer­den. So muss die Pro­to­kol­lie­rung Auf­schluss geben über die Iden­ti­tät der Per­son, die die Bear­bei­tung vor­ge­nom­men hat, die Art, das Datum und die Uhr­zeit der Bear­bei­tung sowie gege­be­nen­falls die Iden­ti­tät der Emp­fän­ge­rin oder des Emp­fän­gers der Daten. In Absatz 5 wird Arti­kel 10 Absatz 2 VDSG in leicht geän­der­ter Form über­nom­men. Die Pro­to­kol­le müs­sen wäh­rend min­de­stens eines Jah­res getrennt vom System, in wel­chem die Per­so­nen­da­ten bear­bei­tet wer­den, auf­be­wahrt wer­den. Dies bedeu­tet aller­dings nicht, dass die Pro­to­kol­le wäh­rend einer unver­hält­nis­mä­ssig lan­ger Dau­er auf­be­wahrt wer­den dür­fen. Die Auf­be­wah­rungs­dau­er muss im Ver­gleich zum Ziel einer ange­mes­se­nen Daten­si­cher­heit in einem ange­mes­se­nen Ver­hält­nis ste­hen. Im Übri­gen blei­ben für Bun­des­or­ga­ne jeden­falls die spe­zi­al­recht­li­chen Vor­schrif­ten vor­be­hal­ten. So sieht ins­be­son­de­re die Ver­ord­nung vom 22. Febru­ar 2012 über die Bear­bei­tung von Per­so­nen­da­ten, die bei der Nut­zung der elek­tro­ni­schen Infra­struk­tur des Bun­des anfal­len, in Arti­kel 4 Absatz 1 Buch­sta­be b vor, dass Daten über die Nut­zung der elek­tro­ni­schen Infra­struk­tur läng­stens zwei Jah­re auf­be­wahrt wer­den dür­fen. Die getrenn­te Auf­be­wah­rung vom System ist not­wen­dig, da anson­sten bei Cyber­an­grif­fen auch das Pro­to­koll sel­ber mani­pu­liert oder ver­schlüs­selt wer­den könn­te. Die Pro­to­kol­le sind aus­schliess­lich den Orga­nen oder Per­so­nen zugäng­lich, denen die Über­prü­fung der Anwen­dung der Daten­schutz­vor­schrif­ten oder die Wah­rung oder Wie­der­her­stel­lung der Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Nach­voll­zieh­bar­keit der Daten oblie­gen, und dür­fen nur für die­sen Zweck ver­wen­det wer­den. Mit letz­te­rer Ergän­zung kommt im Ver­ord­nungs­text neu zum Aus­druck, dass die Pro­to­kol­le auch Sicher­heits­ver­ant­wort­li­chen zugäng­lich sein sol­len, damit die­se die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Nach­voll­zieh­bar­keit der Daten wie­der­her­stel­len kön­nen. Mit dem Aus­druck Wah­rung soll über­dies sicher­ge­stellt wer­den, dass auch System­ad­mi­ni­stra­to­ren Zugriff auf auf die im System gene­rier­ten Pro­to­kol­le haben, wenn sie den Ver­dacht haben, dass eine Sicher­heits­lücke besteht. Die­se Daten dür­fen folg­lich nicht zum Zweck der Über­wa­chung der Nut­zer und Nut­ze­rin­nen, ins­be­son­de­re ihrer beruf­li­chen Tätig­keit, ver­wen­det wer­den. Vor­be­hal­ten bleibt natür­lich die Ver­wen­dung für spe­zi­al­ge­setz­lich vor­ge­se­he­ne Zwecke, wie etwa eine all­fäl­li­ge Ver­wen­dung in einem Straf­ver­fah­ren. Arti­kel 10 Absatz 1 drit­ter Satz VDSG wur­de gestri­chen. Er wäre system­wid­rig, wenn der EDÖB im Bereich der Daten­si­cher­heit, die gemäss Arti­kel 61 Buch­sta­be c der Straf­bar­keit unter­liegt, Emp­feh­lun­gen aus­spre­chen könn­te. Zudem kann der EDÖB gemäss sei­ner all­ge­mei­nen Ver­fü­gungs­kom­pe­tenz im Rah­men einer Unter­su­chung nach Arti­kel 51 nDSG ohne­hin eine Pro­to­kol­lie­rung anordnen. 

Art. 5 Bear­bei­tungs­re­gle­ment von pri­va­ten Personen

1 Der pri­va­te Ver­ant­wort­li­che und sein pri­va­ter Auf­trags­be­ar­bei­ter müs­sen ein Regle­ment für auto­ma­ti­sier­te Bear­bei­tun­gen erstel­len, wenn sie:
a. beson­ders schüt­zens­wer­te Per­so­nen­da­ten in gro­ssem Umfang bear­bei­ten; oder
b. ein Pro­filing mit hohem Risi­ko durchführen.
2 Das Regle­ment muss ins­be­son­de­re Anga­ben zur inter­nen Orga­ni­sa­ti­on, zum Daten­be­ar­bei­tungs- und Kon­troll­ver­fah­ren sowie zu den Mass­nah­men zur Gewähr­lei­stung der Daten­si­cher­heit enthalten.
3 Der pri­va­te Ver­ant­wort­li­che und sein pri­va­ter Auf­trags­be­ar­bei­ter müs­sen das Regle­ment regel­mä­ssig aktua­li­sie­ren. Wur­de eine Daten­schutz­be­ra­te­rin oder ein Daten­schutz­be­ra­ter ernannt, so muss die­ser oder die­sem das Regle­ment zur Ver­fü­gung gestellt werden.
Erläu­tern­der Bericht
Ein Bear­bei­tungs­re­gle­ment erstel­len muss­te der “Inha­ber einer mel­de­pflich­ti­gen auto­ma­ti­sier­ten Daten­samm­lung” nach Arti­kel 11a Absatz 3 DSG, der nicht auf­grund von Arti­kel 11a Absatz 5 Buch­sta­ben b – d DSG von der Pflicht, sei­ne Daten­samm­lun­gen anzu­mel­den, aus­ge­nom­men war (Art. 11 Abs. 1 VDSG). Da die Mel­de­pflicht für pri­va­te Ver­ant­wort­li­che (Art. 11a DSG) im nDSG nicht mehr besteht, kann Arti­kel 11 VDSG nicht unver­än­dert über­nom­men wer­den. Gemäss dem in der DSGVO vor­ge­se­he­nen Grund­satz der Rechen­schafts­pflicht oder “accoun­ta­bi­li­ty” muss der Ver­ant­wort­li­che die Ein­hal­tung der Grund­sät­ze der Daten­be­ar­bei­tung nach­wei­sen kön­nen (Art. 5 Abs. 2 DSGVO). Das Schwei­zer Recht kennt kei­ne all­ge­mei­ne Rechen­schafts­pflicht oder “accoun­ta­bi­li­ty”, aber die Pflicht zur Erstel­lung eines Bear­bei­tungs­re­gle­ments erfüllt den­sel­ben Zweck. Die Pflicht zur Erstel­lung eines Bear­bei­tungs­re­gle­ments obliegt dem Ver­ant­wort­li­chen sowie des­sen Auf­trags­be­ar­bei­ter. Pri­va­te Auf­trags­be­ar­bei­ter, die im Auf­trag von Bun­des­or­ga­nen han­deln, fal­len unter Arti­kel 6. Soll­te aus­nahms­wei­se ein­mal ein Bun­des­or­gan als Auf­trags­be­ar­bei­ter eines pri­va­ten Ver­ant­wort­li­chen han­deln, fällt es nicht unter Arti­kel 5, wo nur pri­va­te Auf­trags­be­ar­bei­ter erfasst wer­den, son­dern unter den stren­ge­ren Arti­kel 6. Das recht­fer­tigt sich durch die beson­de­re Stel­lung und Ver­ant­wor­tung, die sich aus der Rechts­na­tur des Bun­des­or­gans ergibt. Die Bear­bei­tungs­re­gle­men­te sind sepa­rat zu erstel­len. Ent­spre­chend dem risi­ko­ba­sier­ten Ansatz der Vor­ga­be der Daten­si­cher­heit soll ein Bear­bei­tungs­re­gle­ment immer dann erstellt wer­den, wenn ein erhöh­tes Risi­ko vor­liegt. So müs­sen pri­va­te Ver­ant­wort­li­che ein Bear­bei­tungs­re­gle­ment für auto­ma­ti­sier­te Bear­bei­tun­gen erstel­len, wenn sie beson­ders schüt­zens­wer­te Per­so­nen­da­ten in gro­ssem Umfang bear­bei­ten (Bst. a) oder ein Pro­filing mit hohem Risi­ko durch­füh­ren (Bst. b). Buch­sta­be a ent­spricht der Vor­ga­be in Arti­kel 22 Absatz 2 Buch­sta­be a nDSG und bezieht sich auf die Bear­bei­tung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten in gro­ssem Umfang. Aus­ge­schlos­sen wer­den damit Fäl­le, in denen beson­ders schüt­zens­wer­te Per­so­nen nur ver­ein­zelt bear­bei­tet wer­den. Vie­le Unter­neh­men, ins­be­son­de­re “tra­di­tio­nel­le” KMU, neh­men kei­ne sol­che Bear­bei­tun­gen vor. Sie sind somit von die­ser Bestim­mung nicht betrof­fen. Absatz 2 ent­hält eine Auf­li­stung der Inhal­te, die im Bear­bei­tungs­re­gle­ment min­de­stens ange­ge­ben wer­den müs­sen. Die Inhal­te wur­den von Arti­kel 11 Absatz 1 bzw. Arti­kel 21 Absatz 2 VDSG in leicht ange­pass­ter Form über­nom­men und ergänzt. Wie bis anhin ist das Bear­bei­tungs­re­gle­ment als eine Doku­men­ta­ti­on oder ein Hand­buch aus­zu­ge­stal­ten und soll­te dem Ver­ant­wort­li­chen auch dazu die­nen. Wie bis­her müs­sen der pri­va­te Ver­ant­wort­li­che und Auf­trags­be­ar­bei­ter im Bear­bei­tungs­re­gle­ment die inter­ne Orga­ni­sa­ti­on beschrei­ben. Dazu gehört auch die Umschrei­bung der Archi­tek­tur und der Funk­ti­ons­wei­se der Syste­me. Absatz 2 legt fest, dass die Daten­be­ar­bei­tungs­ver­fah­ren, d. h. ins­be­son­de­re die Ver­fah­ren zum Spei­chern, Berich­ti­gen, Bekannt­ge­ben, Auf­be­wah­ren, Archi­vie­ren, Pseud­ony­mi­sie­ren, Anony­mi­sie­ren, Löschen oder Ver­nich­ten der Daten, im Bear­bei­tungs­re­gle­ment ent­hal­ten sein müs­sen. Dazu gehö­ren auch Mass­nah­men zur Daten­mi­ni­mie­rung. Der Grund­satz der Daten­mi­ni­mie­rung ist ein zen­tra­ler Grund­satz des Daten­schut­zes und geht, wie der Bot­schaft DSG vom 15. Sep­tem­ber 2017 zu ent­neh­men ist , impli­zit aus dem Grund­satz der Ver­hält­nis­mä­ssig­keit gemäss Arti­kel 6 Absatz 2 nDSG her­vor. Es soll ins­be­son­de­re fest­ge­hal­ten wer­den, wel­che Daten­be­ar­bei­tungs­ver­fah­ren vor­ge­nom­men wer­den und wie die­se ablau­fen. Das Regle­ment muss auch das Ver­fah­ren zur Aus­übung des Aus­kunfts­rechts und des Rechts auf Daten­her­aus­ga­be oder ‑über­tra­gung ent­hal­ten. Die Kon­troll­ver­fah­ren müs­sen es ermög­li­chen, die Zugriffs­be­rech­ti­gun­gen, die Art und den Umfang des Zugriffs fest­zu­stel­len. Schliess­lich ist es von ent­schei­den­der Bedeu­tung, dass das Bear­bei­tungs­re­gle­ment auch die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men zur Gewähr­lei­stung der ange­mes­se­nen Daten­si­cher­heit umfasst. So ist etwa anzu­ge­ben, mit wel­chen Mass­nah­men den Schutz­zie­len nach Arti­kel 2 Rech­nung getra­gen wird. Die Anga­ben soll­ten auch Auf­schluss über die Kon­fi­gu­ra­ti­on der Infor­ma­tik­mit­tel geben, da es sich dabei um eine tech­ni­sche Mass­nah­me han­delt. Der bis­he­ri­ge Arti­kel 21 Absatz 2 Buch­sta­be h VDSG, der die Kon­fi­gu­ra­ti­on der Infor­ma­tik­mit­tel noch aus­drück­lich nennt, wur­de des­halb nicht über­nom­men. Es ist dabei aus­rei­chend, dass die wich­tig­sten Grund­kon­fi­gu­ra­tio­nen der Infor­ma­tik­mit­tel im Bear­bei­tungs­re­gle­ment erläu­tert wer­den. Sie müs­sen aber nicht bis in die tech­ni­schen Details aus­ge­führt wer­den. Absatz 3 stellt eine Über­nah­me von Arti­kel 11 Absatz 2 VDSG dar. Im Ver­gleich zum gel­ten­den Recht wur­de auf die Ergän­zung, dass das Bear­bei­tungs­re­gle­ment der Bera­te­rin oder dem Bera­ter in einer für die­se oder die­sen ver­ständ­li­chen Form zur Ver­fü­gung zu stel­len ist, ver­zich­tet. Da die Bera­te­rin oder der Bera­ter selbst an der Erstel­lung des Regle­ments mit­wirkt, ist die­ses für sie oder ihn in aller Regel auch ver­ständ­lich. Die Ver­pflich­tung, dass das Bear­bei­tungs­re­gle­ment auch dem Beauf­trag­ten auf Anfra­ge zur Ver­fü­gung zu stel­len ist, wur­de gestri­chen. Ana­log zum Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten kann der EDÖB die­ses aber im Rah­men einer Unter­su­chung her­aus­ver­lan­gen (Art. 50 Abs. 1 Bst. a nDSG). 

Art. 6 Bear­bei­tungs­re­gle­ment von Bundesorganen

1 Das ver­ant­wort­li­che Bun­des­or­gan und sein Auf­trags­be­ar­bei­ter erstel­len ein Bear­bei­tungs­re­gle­ment für auto­ma­ti­sier­te Bear­bei­tun­gen, wenn sie:
a. beson­ders schüt­zens­wer­te Per­so­nen­da­ten bearbeiten;
b. ein Pro­filing durchführen;
c. nach Arti­kel 34 Absatz 2 Buch­sta­be c DSG Per­so­nen­da­ten bearbeiten;
d. Kan­to­nen, aus­län­di­schen Behör­den, inter­na­tio­na­len Orga­ni­sa­tio­nen oder pri­va­ten Per­so­nen Per­so­nen­da­ten zugäng­lich machen;
e. Daten­be­stän­de mit­ein­an­der ver­knüp­fen; oder
f. mit ande­ren Bun­des­or­ga­nen zusam­men ein Infor­ma­ti­ons­sy­stem betrei­ben oder Daten­be­stän­de bewirtschaften.
2 Das Regle­ment muss ins­be­son­de­re Anga­ben zur inter­nen Orga­ni­sa­ti­on, zum Daten­be­ar­bei­tungs- und Kon­troll­ver­fah­ren sowie zu den Mass­nah­men zur Gewähr­lei­stung der Daten­si­cher­heit enthalten
3 Das ver­ant­wort­li­che Bun­des­or­gan und sein Auf­trags­be­ar­bei­ter müs­sen das Regle­ment regel­mä­ssig aktua­li­sie­ren und der Daten­schutz­be­ra­te­rin oder dem Daten­schutz­be­ra­ter zur Ver­fü­gung stellen
Erläu­tern­der Bericht
Arti­kel 6 ent­spricht, mit eini­gen Ände­run­gen, Arti­kel 21 VDSG. Die Pflicht zur Erstel­lung eines Bear­bei­tungs­re­gle­ments obliegt dem ver­ant­wort­li­chen Bun­des­or­gan sowie des­sen Auf­trags­be­ar­bei­ter. Wie oben erwähnt, betrifft Arti­kel 6 sowohl pri­va­te Auf­trags­be­ar­bei­ter als auch Bun­des­or­ga­ne, die aus­nahms­wei­se als Auf­trags­be­ar­bei­ter fun­gie­ren. Die Bear­bei­tungs­re­gle­men­te sind sepa­rat zu erstel­len. Im Ein­lei­tungs­satz von Absatz 1 wird der in Arti­kel 21 Absatz 1 Ein­lei­tungs­satz VDSG vor­kom­men­de Begriff “Daten­samm­lun­gen” durch “Bear­bei­tun­gen” ersetzt, weil er im nDSG nicht mehr ver­wen­det wird. Die­se Bestim­mung sieht nun vor, dass die ver­ant­wort­li­chen Bun­des­or­ga­ne in den Fäl­len nach Absatz 1 Buch­sta­ben a – f ein Bear­bei­tungs­re­gle­ment erstel­len. Mit dem nDSG wird der Begriff “Per­sön­lich­keits­pro­fil” auf­ge­ho­ben und der Begriff “Pro­filing” ein­ge­führt. Dem­entspre­chend ist Arti­kel 21 Absatz 1 Buch­sta­be a VDSG zu ändern und in Arti­kel 6 Absatz 1 Art. vor­zu­se­hen, dass das ver­ant­wort­li­che Bun­des­or­gan und des­sen Auf­trags­be­ar­bei­ter ein Bear­bei­tungs­re­gle­ment erstel­len muss, wenn es beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­tet (Bst. a), ein Pro­filing nach Arti­kel 5 Buch­sta­be f nDSG durch­führt (Bst. b) oder nach Arti­kel 34 Absatz 2 Buch­sta­be c nDSG Daten bear­bei­tet (Bst. c). Der Fall nach Buch­sta­be a ent­spricht dem bis­he­ri­gen Recht nach dem DSG. Die Buch­sta­ben b und c sind neu. Sie erset­zen Arti­kel 21 Absatz 1 Buch­sta­be a VDSG, der das ver­ant­wort­li­che Bun­des­or­gan ver­pflich­tet, für alle auto­ma­ti­sier­ten Daten­samm­lun­gen, die Per­sön­lich­keits­pro­fi­le beinhal­ten, ein Bear­bei­tungs­re­gle­ment zu erstel­len. Arti­kel 6 Absatz 1 Buch­sta­be d Art. erfährt gegen­über Arti­kel 21 Absatz 1 Buch­sta­be c VDSG nur ein paar redak­tio­nel­le Ände­run­gen. In Arti­kel 6 Absatz 1 Buch­sta­be e wird der im ent­spre­chen­den Arti­kel 21 Absatz 1 Buch­sta­be d VDSG ver­wen­de­te Begriff “Daten­samm­lun­gen” durch “Daten­be­stän­de” ersetzt. Auf­grund von Arti­kel 6 Absatz 1 Buch­sta­be f Art. ist ein Bear­bei­tungs­re­gle­ment auch dann zu erstel­len, wenn das ver­ant­wort­li­che Bun­des­or­gan zusam­men mit ande­ren Bun­des­or­ga­nen ein Infor­ma­ti­ons­sy­stem betreibt oder Daten­be­stän­de bewirt­schaf­tet. Die­se Bestim­mung ersetzt Arti­kel 21 Absatz 1 Buch­sta­be b VDSG, wonach eine sol­che Pflicht besteht, wenn eine auto­ma­ti­sier­te Daten­samm­lung von meh­re­ren Bun­des­or­ga­nen benutzt wird. Absatz 2 ent­spricht dem Inhalt des Bear­bei­tungs­re­gle­ments für Pri­va­te nach Arti­kel 5 Absatz 2 Art.. Es ist an die­ser Stel­le des­halb auf die oben gemach­ten Aus­füh­run­gen zu ver­wei­sen. Absatz 3 wur­de in leicht ange­pass­ter Form von Arti­kel 21 Absatz 3 VDSG über­nom­men. Wie in Arti­kel 5 Absatz 3 Art. wur­de auch an die­ser Stel­le die Bereit­stel­lung in ver­ständ­li­cher Form gestri­chen. Der Begriff “Kon­troll­orga­ne” wird durch “Daten­schutz­be­ra­te­rin oder Daten­schutz­be­ra­ter” ersetzt. Auf die Erwäh­nung des EDÖB wur­de aus den oben im Zusam­men­hang mit Arti­kel 5 Absatz 3 Art. genann­ten Grün­den verzichtet. 

2. Abschnitt: Bear­bei­tung durch Auftragsbearbeiter

Art. 7

1 Die vor­gän­gi­ge Geneh­mi­gung des Ver­ant­wort­li­chen, die dem Auf­trags­be­ar­bei­ter erlaubt, die Daten­be­ar­bei­tung einem Drit­ten zu über­tra­gen, kann spe­zi­fi­scher oder all­ge­mei­ner Art sein
2 Bei einer all­ge­mei­nen Geneh­mi­gung infor­miert der Auf­trags­be­ar­bei­ter den Ver­ant­wort­li­chen über jede beab­sich­tig­te Ände­rung in Bezug auf die Hin­zu­zie­hung oder die Erset­zung ande­rer Drit­ter. Der Ver­ant­wort­li­che kann Wider­spruch gegen die­se Ände­rung erheben
Erläu­tern­der Bericht
Arti­kel 7 Art. regelt die Art der vor­gän­gi­gen Geneh­mi­gung, mit wel­cher ein Ver­ant­wort­li­cher einen Auf­trags­be­ar­bei­ter zur Über­tra­gung der Daten­be­ar­bei­tung auf einen Drit­ten ermäch­ti­gen kann, gere­gelt. Die­se Bestim­mung ori­en­tiert sich an Arti­kel 22 Absatz 2 der Richt­li­nie (EU) 2016/680 bzw. Arti­kel 28 Abs. 2 DSGVO. Sie hält aus Grün­den der Rechts­si­cher­heit aus­drück­lich fest, was der Bun­des­rat bereits in der Bot­schaft zur Total­re­vi­si­on des Daten­schutz­ge­set­zes zur Geneh­mi­gung der Sub­auf­trags­be­ar­bei­tung aus­ge­führt hat (vgl. BBl 2017 6941, 7032). Die vor­gän­gi­ge Geneh­mi­gung des Ver­ant­wort­li­chen kann spe­zi­fi­scher oder all­ge­mei­ner Art sein (Art. 7 Abs. 1 Art.). Bei einer all­ge­mei­nen Geneh­mi­gung muss der Auf­trags­be­ar­bei­ter den Ver­ant­wort­li­chen über jede beab­sich­tig­te Ände­rung in Bezug auf die Hin­zu­zie­hung oder die Erset­zung eines ande­ren Sub­auf­trags­be­ar­bei­ters infor­mie­ren. Der Ver­ant­wort­li­che kann Wider­spruch gegen die­se Ände­rung erhe­ben (Art. 7 Abs. 2 Art.). 

3. Abschnitt: Bekannt­ga­be von Per­so­nen­da­ten ins Ausland

Erläu­tern­der Bericht
Ent­spre­chend der Syste­ma­tik des Geset­zes wur­den die Bestim­mun­gen zur Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land bei den all­ge­mei­nen Bestim­mun­gen im 1. Kapi­tel platz­iert. Meh­re­re Begrif­fe im Zusam­men­hang mit der Daten­be­kannt­ga­be ins Aus­land sind zu prä­zi­sie­ren. In der Art. erfolgt dies in fünf ver­schie­de­nen Arti­keln: In einem ersten Arti­kel wer­den die Kri­te­ri­en kon­kre­ti­siert, die der Bun­des­rat bei der Beur­tei­lung berück­sich­ti­gen muss, ob ein Staat, ein Gebiet, ein spe­zi­fi­scher Sek­tor in einem Staat oder eine inter­na­tio­na­le Orga­ni­sa­ti­on einen ange­mes­se­nen Daten­schutz gewähr­lei­stet; ein zwei­ter Arti­kel legt dar, was die Daten­schutz­klau­seln in einem Ver­trag und die spe­zi­fi­schen Garan­tien zur Gewähr­lei­stung eines geeig­ne­ten Daten­schut­zes regeln müs­sen; in einem drit­ten Arti­kel geht es um die Stan­dard­da­ten­schutz­klau­seln; ein vier­ter Arti­kel kon­zen­triert sich auf ver­bind­li­che unter­neh­mens­in­ter­ne Daten­schutz­vor­schrif­ten; auf­grund der in Arti­kel 16 Absatz 3 nDSG dem Bun­des­rat zuge­wie­se­nen Kom­pe­tenz wer­den in einer letz­ten Bestim­mung wei­te­re geeig­ne­te Garan­tien vorgesehen. 
 

Art. 8 Beur­tei­lung der Ange­mes­sen­heit des Daten­schut­zes eines Staa­tes, eines Gebiets, eines spe­zi­fi­schen Sek­tors in einem Staat oder eines inter­na­tio­na­len Organs

1 Die Staa­ten, Gebie­te, spe­zi­fi­schen Sek­to­ren in einem Staat und inter­na­tio­na­len Orga­ne mit einem ange­mes­se­nen Daten­schutz wer­den in Anhang 1 aufgeführt.
2 Bei der Beur­tei­lung, ob ein Staat, ein Gebiet, ein spe­zi­fi­scher Sek­tor in einem Staat oder ein inter­na­tio­na­les Organ einen ange­mes­se­nen Daten­schutz gewähr­lei­stet, wer­den ins­be­son­de­re die fol­gen­den Kri­te­ri­en berück­sich­tigt:
a. die inter­na­tio­na­len Ver­pflich­tun­gen des Staa­tes oder inter­na­tio­na­len Organs, ins­be­son­de­re im Bereich des Datenschutzes;
b. die Rechts­staat­lich­keit und die Ach­tung der Menschenrechte;
c. die gel­ten­de Gesetz­ge­bung ins­be­son­de­re zum Daten­schutz sowie deren Umset­zung und die ein­schlä­gi­ge Rechtsprechung;
d. die wirk­sa­me Gewähr­lei­stung der Rech­te der betrof­fe­nen Per­so­nen und des Rechtsschutzes;
e. das wirk­sa­me Funk­tio­nie­ren einer oder meh­re­rer unab­hän­gi­ger Behör­den, die im betref­fen­den Staat für den Daten­schutz zustän­dig sind oder denen ein inter­na­tio­na­les Organ unter­steht und die über aus­rei­chen­de Befug­nis­se und Kom­pe­ten­zen verfügen. 
3 Der Eid­ge­nös­si­sche Daten­schutz- und Öffent­lich­keits­be­auf­trag­te (EDÖB) wird bei jeder Beur­tei­lung kon­sul­tiert. Die Ein­schät­zun­gen von inter­na­tio­na­len Orga­nen oder aus­län­di­schen Behör­den, die für den Daten­schutz zustän­dig sind, kön­nen berück­sich­tigt werden.
4 Die Ange­mes­sen­heit des Daten­schut­zes wird peri­odisch neu beurteilt.
5 Die Beur­tei­lun­gen wer­den veröffentlicht.
6 Wenn die Beur­tei­lung nach Absatz 4 oder ande­re Infor­ma­tio­nen zei­gen, dass kein ange­mes­se­ner Daten­schutz mehr gewähr­lei­stet ist, wird Anhang 1 geän­dert; dies hat kei­ne Aus­wir­kun­gen auf die bereits erfolg­ten Datenbekanntgaben.
Erläu­tern­der Bericht
Sind bestimm­te Kri­te­ri­en erfüllt, kann der Bun­des­rat beur­tei­len, dass ein Staat bzw. ein Gebiet, ein spe­zi­fi­scher Sek­tor in einem Staat oder ein inter­na­tio­na­les Organ einen ange­mes­se­nen Schutz gewähr­lei­stet. Gemäss Arti­kel 7 Absatz 1 Buch­sta­be d der Orga­ni­sa­ti­ons­ver­ord­nung vom 17. Novem­ber 1999 für das Eid­ge­nös­si­sche Justiz- und Poli­zei­de­par­te­ment (OV-EJPD) fällt die Auf­ga­be, die Gewähr­lei­stung eines ange­mes­se­nen Daten­schut­zes eines Staa­tes, eines Gebie­tes, eines spe­zi­fi­schen Sek­tors in einem Staat oder eines inter­na­tio­na­len Organs in die Zustän­dig­keit des Bun­des­amt für Justiz. Gemäss Arti­kel 8 Absatz 1 DSV wer­den die Staa­ten, Gebie­te, spe­zi­fi­schen Sek­to­ren in einem Staat und inter­na­tio­na­len Orga­ne, deren Daten­schutz als ange­mes­sen ein­ge­stuft wur­de, im Anhang der Ver­ord­nung auf­ge­führt. Wie in der Bot­schaft erläu­tert, han­delt es sich dabei um eine “Posi­tiv-Liste”. Wenn ein Staat nicht ent­hal­ten ist, bedeu­tet dies nicht zwangs­läu­fig, dass er kei­ne Daten­schutz­ge­setz­ge­bung hat, die ein ange­mes­se­ner Daten­schutz gewähr­lei­stet; viel­mehr ist es denk­bar, dass der Staat vom Bun­des­rat (noch) nicht beur­teilt wur­de. Nur Staa­ten, die in der Liste im Anhang auf­ge­führt wer­den, kön­nen daher als Staa­ten ange­se­hen wer­den, die einen ange­mes­se­nen Daten­schutz gewähr­lei­sten. Die­ses Vor­ge­hen unter­schei­det sich etwas vom Vor­ge­hen des EDÖB. Der EDÖB hat näm­lich bis­her zu jedem Staat ange­ge­ben, ob die­ser einen ange­mes­se­nen Schutz, einen unter bestimm­ten Vor­aus­set­zun­gen ange­mes­se­nen Schutz oder einen unge­nü­gen­den Schutz gewähr­lei­stet. Es ist auch dar­auf hin­zu­wei­sen, dass die Liste des EDÖB nicht ver­bind­lich ist und ins­be­son­de­re die Gerich­te im Streit­fall nicht bin­det. Bevor die Fak­to­ren, die der Bun­des­rat bei der Beur­tei­lung berück­sich­ti­gen muss, im Ein­zel­nen erör­tert wer­den, soll­te zunächst geklärt wer­den, was unter einem “Gebiet” oder einem “spe­zi­fi­schen Sek­tor in einem Staat” zu ver­ste­hen ist. Der Begriff “Gebiet” bezieht sich auf Fäl­le, in denen das Land nicht einer ein­zi­gen Gesetz­ge­bung unter­liegt. Dies betrifft nament­lich der Fall von föde­ra­len Staa­ten, näm­lich wenn die Gesetz­ge­bung des Zen­tral­staa­tes nicht einen ange­mes­se­nen Schutz gewähr­lei­stet, wäh­rend ein Bun­des­staat über eine ange­mes­se­ne Daten­schutz­ge­setz­ge­bung ver­fügt, das jedoch nur auf sei­nem eige­nen Hoheits­ge­biet gilt. Zum Begriff “spe­zi­fi­scher Sek­tor in einem Staat” kann bei­spiels­wei­se die Liste des EDÖB ange­führt wer­den, in der unter Kana­da berück­sich­tigt wird, dass auf Grund­la­ge eines spe­zi­fi­schen Daten­schutz­ge­set­zes für den pri­va­ten Bereich nur für die­sen Bereich ein ange­mes­se­nes Schutz­ni­veau aner­kannt wer­den kann. Bis im Juli 2020 galt dies auf­grund des Pri­va­cy Shield CH – US, der die freie Daten­über­mitt­lung nur an Unter­neh­men erlaub­te, die sich zur Ein­hal­tung der ver­bind­li­chen Grund­sät­ze des Pri­va­cy Shield ver­pflich­tet hat­ten, auch für die USA. Zu nen­nen sind wei­te­re spe­zi­fi­sche Sek­to­ren wie der Finanz- oder Ver­si­che­rungs­sek­tor oder die Daten­be­ar­bei­tung durch Auf­trags­be­ar­bei­ter. Der Begriff des inter­na­tio­na­len Organs wur­de in der Bot­schaft zum Daten­schutz­ge­setz prä­zi­siert. Er bezieht sich auf “alle inter­na­tio­na­len Insti­tu­tio­nen, sei­en dies Orga­ni­sa­tio­nen oder Gerich­te” (BBl 2017 6941, 7038) . Beim Ent­scheid, ob ein Staat, ein Gebiet, ein spe­zi­fi­scher Sek­tor in einem Staat oder ein inter­na­tio­na­les Organ einen ange­mes­se­nen Daten­schutz gewähr­lei­stet, müs­sen unter ande­rem die fol­gen­den Kri­te­ri­en berück­sich­tigt wer­den (Art. 8 Abs. 2 DSV): Die inter­na­tio­na­len Ver­pflich­tun­gen des betrof­fe­nen Staa­tes oder des inter­na­tio­na­len Organs, ins­be­son­de­re im Bereich des Daten­schut­zes (Abs. 2 Bst. a): Ange­spro­chen wird damit ins­be­son­de­re das revi­dier­te Über­ein­kom­men SEV 108. Von Bedeu­tung sind aber nicht nur Abkom­men im Bereich des Daten­schut­zes, wes­halb der Aus­druck “ins­be­son­de­re” ver­wen­det wird (sie­he eben­falls die Erläu­te­rung zu Bst. c). So kön­nen bei­spielswie­se auch Abkom­men zur Rege­lung des Infor­ma­ti­ons­aus­tauschs bei­spiels­wei­se spie­len auch eine Rol­le. Die Rechts­staat­lich­keit und die Ach­tung der Men­schen­rech­te (Abs. 2 Bst. b): In Buch­sta­be b wird der Begriff “Men­schen­rech­te” ver­wen­det, um die glei­che Ter­mi­no­lo­gie wie in der EMRK und im UNO-Pakt II zu ver­wen­den. Der Bun­des­rat ver­fügt über den nöti­gen Ermes­sens­spiel­raum, um fest­zu­stel­len, ob ein Staat einen ange­mes­se­nen Daten­schutz gewähr­lei­stet, auch wenn er sich nicht voll­um­fas­send an die inter­na­tio­nal aner­kann­ten Men­schen­rech­te hält. Wich­tig ist dabei, dass der Schutz vor unver­hält­nis­mä­ssi­gen Ein­grif­fen in das Pri­vat­le­ben gewähr­lei­stet wird, auch wenn der Staat bei­spiels­wei­se nicht in allen Punk­ten die Anfor­de­run­gen der EMRK erfüllt. Die gel­ten­de Gesetz­ge­bung ins­be­son­de­re zum Daten­schutz sowie deren Umset­zung und die ein­schlä­gi­ge Recht­spre­chung (Abs. 2 Bst. c): Auf­grund des Aus­drucks “ins­be­son­de­re” ist auch die sek­to­ri­el­le Gesetz­ge­bung mit­ge­meint. Die­se ent­hal­ten oft (direk­te und/oder indi­rek­te) Rege­lun­gen zum Daten­schutz. Das gilt z.B. für Staa­ten, die kein Rah­men­ge­setz zum Daten­schutz haben, son­dern ein­zig ein Zivil­ge­setz­buch. In eini­gen Fäl­len haben die­se Staa­ten sek­to­ri­el­le Geset­ze, die Daten­schutz­be­stim­mun­gen ent­hal­ten. Wich­tig ist, dass die anwend­ba­ren Geset­ze auch gel­ten. Daher wird der Fokus auf die ein­schlä­gi­ge all­ge­mei­ne und beson­de­re Gesetz­ge­bung des Staa­tes gerich­tet, ein­schliess­lich der­je­ni­gen zur öffent­li­chen Sicher­heit, zur Ver­tei­di­gung, zur natio­na­len Sicher­heit, zum Straf­recht und zum Zugang der Behör­den zu Per­so­nen­da­ten. Die wirk­sa­me Gewähr­lei­stung der Rech­te der betrof­fe­nen Per­so­nen und des Rechts­schut­zes (Abs. 2 Bst. d): Es geht nicht nur dar­um, zu über­prü­fen, ob die Rech­te der betrof­fe­nen Per­so­nen in Rechts­grund­la­gen ent­hal­ten sind, son­dern auch dar­um, sicher­zu­stel­len, dass die­se Rech­te tat­säch­lich umge­setzt wer­den. Das wirk­sa­me Funk­tio­nie­ren einer oder meh­re­rer unab­hän­gi­ger Behör­den, die im betrof­fe­nen Staat mit dem Daten­schutz beauf­tragt sind oder denen ein inter­na­tio­na­les Organ unter­steht und die über aus­rei­chen­de Befug­nis­se und Kom­pe­ten­zen ver­fü­gen. In die­sem Sin­ne müs­sen die Min­dest­an­for­de­run­gen des revi­dier­ten Über­ein­kom­mens SEV 108 erfüllt sein (Abs. 2 Bst. e). Der drit­te Absatz bestimmt, dass der EDÖB bei jeder Beur­tei­lung der Ange­mes­sen­heit kon­sul­tiert wird. Sei­ne Stel­lung­nah­me ist für den Bun­des­rat nicht ver­bind­lich, muss aber berück­sich­tigt wer­den, ins­be­son­de­re im Rah­men der Ämter­kon­sul­ta­ti­on. Der EDÖB kann sei­ne Stel­lung­nah­me dar­über hin­aus ver­öf­fent­li­chen. Der Bun­des­rat kann auch eine Beur­tei­lung des Schutz­ni­veaus berück­sich­ti­gen, wel­che von einer aus­län­di­schen Behör­de, die für den Daten­schutz zustän­dig ist (und zu einem Staat mit einem ange­mes­se­nen Schutz­ni­veau gehört) oder von einem inter­na­tio­na­len Organ vor­ge­nom­men wur­de. Als inter­na­tio­na­les Organ im Sin­ne die­ses Absat­zes kann unter ande­rem der mit dem revi­dier­ten Über­ein­kom­men SEV 108 ein­ge­setz­te Aus­schuss der Ver­trags­par­tei­en gel­ten. Auch Beur­tei­lun­gen, wel­che die Euro­päi­sche Kom­mis­si­on vor­ge­nom­men hat, kön­nen als Infor­ma­ti­ons­quel­le die­nen. Der vier­te Absatz sieht vor, dass das Schutz­ni­veau im betref­fen­den Staat oder im betref­fen­den Organ peri­odisch neu beur­teilt wird. Auf­grund der ver­schie­de­nen Stel­lung­nah­men im Rah­men des Ver­nehm­las­sungs­ver­fah­rens sieht ein neu­er Absatz 5 vor, dass die vom Bun­des­amt für Justiz durch­ge­führ­ten Beur­tei­lun­gen ver­öf­fent­licht wer­den. Der Begriff der Beur­tei­lung umfasst sowohl die Beur­tei­lung als auch die Neu­be­ur­tei­lung von Staa­ten, Gebie­ten, spe­zi­fi­schen Sek­to­ren in einem Staat oder inter­na­tio­na­len Orga­nen, die bereits auf der Liste ste­hen und erneut beur­teilt wer­den. In einer neu­en Über­gangs­be­stim­mung (Art. 46 Abs. 2) wird klar­ge­stellt, dass die Beur­tei­lun­gen, die vor dem Inkraft­tre­ten der DSV durch­ge­führt wur­den, nicht ver­öf­fent­licht wer­den. Die Ver­ord­nung führt neu die Vor­nah­me einer Inter­es­sens­ab­wä­gung ein, die es ermög­licht, in dring­li­chen Fäl­len zu han­deln, wenn dar­auf geschlos­sen wer­den kann, dass die Ange­mes­sen­heit nicht mehr gewähr­lei­stet ist. Nach Absatz 6 wird Anhang 1 geän­dert, wenn fest­ge­stellt wird, dass das der Daten­schutz in einem Staat, einem Gebiet, einem spe­zi­fi­schen Sek­tor in einem Staat oder einem inter­na­tio­na­len Organ nicht mehr gewähr­lei­stet wer­den kann. Im Fall der USA hat bei­spiels­wei­se das Urteil “Schrems II” des EuGH vom Juli 2020 den EDÖB dazu ver­an­lasst, sei­ne Ein­schät­zung zu über­den­ken und sei­ne Liste zu ändern. Wenn Infor­ma­tio­nen dar­auf schlie­ssen las­sen, dass ein betrof­fe­ner Staat kei­nen ange­mes­se­nen Daten­schutz mehr gewähr­lei­stet (z. B. auf­grund einer Staats­kri­se), kann der Bun­des­rat die Liste dring­lich ändern, ohne eine for­mel­le und voll­stän­di­ge Prü­fung durch­ge­führt zu haben. Denn nach Arti­kel 7 Absatz 3 PublG sind dring­li­che Ver­öf­fent­li­chun­gen mög­lich. Dies gilt aller­dings nur bei einer Strei­chung aus der Liste. Bei einer Hin­zu­fü­gung zur Liste muss dem Beur­tei­lungs­ver­fah­ren gefolgt wer­den (Abs. 1 und 2). Die Ände­rung hat kei­ne Aus­wir­kun­gen auf bereits erfolg­te Datenbekanntgaben. 

Art. 9 Daten­schutz­klau­seln und spe­zi­fi­sche Garantien

1 Die Daten­schutz­klau­seln in einem Ver­trag nach Arti­kel 16 Absatz 2 Buch­sta­be b DSG und die spe­zi­fi­schen Garan­tien nach Arti­kel 16 Absatz 2 Buch­sta­be c DSG müs­sen min­de­stens die fol­gen­den Punk­te ent­hal­ten:
a. die Anwen­dung der Grund­sät­ze der Recht­mä­ssig­keit, von Treu und Glau­ben, der Ver­hält­nis­mä­ssig­keit, der Trans­pa­renz, der Zweck­bin­dung und der Richtigkeit;
b. die Kate­go­rien der bekannt­ge­ge­be­nen Per­so­nen­da­ten sowie der betrof­fe­nen Personen;
c. die Art und den Zweck der Bekannt­ga­be von Personendaten;
d. gege­be­nen­falls die Namen der Staa­ten oder inter­na­tio­na­len Orga­ne, in die oder denen Per­so­nen­da­ten bekannt­ge­ge­ben wer­den, sowie die Anfor­de­run­gen an die Bekanntgabe;
e. die Anfor­de­run­gen an die Auf­be­wah­rung, die Löschung und die Ver­nich­tung von Personendaten;
f. die Emp­fän­ge­rin­nen und Emp­fän­ger oder die Kate­go­rien der Emp­fän­ge­rin­nen und Empfänger;
g. die Mass­nah­men zur Gewähr­lei­stung der Datensicherheit;
h. die Pflicht, Ver­let­zun­gen der Daten­si­cher­heit zu melden;
i. falls die Emp­fän­ge­rin­nen und Emp­fän­ger Ver­ant­wort­li­che sind: die Pflicht, die betrof­fe­nen Per­so­nen über die Bear­bei­tung zu informieren;
j. die Rech­te der betrof­fe­nen Per­son, ins­be­son­de­re:
1. das Aus­kunfts­recht und das Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung,
2. das Recht, der Daten­be­kannt­ga­be zu widersprechen,
3. das Recht auf Berich­ti­gung, Löschung oder Ver­nich­tung ihrer Daten,
4. das Recht, eine unab­hän­gi­ge Behör­de um Rechts­schutz zu ersuchen.
2 Der Ver­ant­wort­li­che und im Fall von Daten­schutz­klau­seln in einem Ver­trag der Auf­trags­be­ar­bei­ter müs­sen ange­mes­se­ne Mass­nah­men tref­fen, um sicher­zu­stel­len, dass die Emp­fän­ge­rin oder der Emp­fän­ger die­se Klau­seln oder die spe­zi­fi­schen Garan­tien einhält
3 Wur­de der EDÖB über die Daten­schutz­klau­seln in einem Ver­trag oder die spe­zi­fi­schen Garan­tien infor­miert, so gilt die Infor­ma­ti­ons­pflicht für alle wei­te­ren Bekannt­ga­ben als erfüllt, die:
a. unter den­sel­ben Daten­schutz­klau­seln oder Garan­tien erfol­gen, sofern die Kate­go­rien der Emp­fän­ge­rin­nen und Emp­fän­ger, der Zweck der Bear­bei­tung und die Daten­ka­te­go­rien im Wesent­li­chen unver­än­dert blei­ben; oder
b. inner­halb der­sel­ben juri­sti­schen Per­son oder Gesell­schaft oder zwi­schen Unter­neh­men, die zum sel­ben Kon­zern gehö­ren, stattfinden.
Erläu­tern­der Bericht
Nach Arti­kel 16 Absatz 2 nDSG dür­fen Per­so­nen­da­ten an einen Staat bekannt­ge­ge­ben wer­den, der nicht in Anhang 1 der Ver­ord­nung auf­ge­führt ist – d. h. ohne dass der Bun­des­rat die Ange­mes­sen­heit des Daten­schut­zes als ange­mes­sen aner­kannt hat –, wenn ein geeig­ne­ter Daten­schutz gewähr­lei­stet wird. Im pri­va­ten Sek­tor kann die­ser durch eine Daten­schutz­klau­sel in einem Ver­trag zwi­schen dem Ver­ant­wort­li­chen oder dem Auf­trags­be­ar­bei­ter und sei­ner Ver­trags­part­ne­rin oder sei­nem Ver­trags­part­ner gewähr­lei­stet sein (Art. 16 Abs. 2 Bst. b nDSG), im öffent­li­chen Sek­tor durch spe­zi­fi­sche Garan­tien, die das zustän­di­ge Bun­des­or­gan erar­bei­tet hat (Art. 16 Abs. 2 Bst. c nDSG). Anders als bei den übri­gen in Absatz 2 von Arti­kel 16 nDSG genann­ten Instru­men­ten müs­sen die Ver­ant­wort­li­chen und die Auf­trags­be­ar­bei­ter die­se Garan­tien nicht vom EDÖB geneh­mi­gen las­sen, son­dern ihm die­se vor der Daten­be­kannt­ga­be ins Aus­land nur mit­tei­len. Es besteht ein gewis­ses Risi­ko, dass die Ver­ant­wort­li­chen und die Auf­trags­be­ar­bei­ter das Schutz­ni­veau, das mit die­sen Garan­tien erreicht wer­den soll, unter­schied­lich beur­tei­len, wobei dies für den pri­va­ten Sek­tor eben­so gilt wie für den öffent­li­chen Sek­tor. Der Bun­des­rat erach­tet es des­halb als ange­zeigt, bestimm­te Daten­schutz­stan­dards fest­zu­le­gen, und prä­zi­siert in Arti­kel 9 Absatz 1 Art., was die­se Daten­schutz­klau­seln oder spe­zi­fi­schen Garan­tien min­de­stens regeln müs­sen. Es han­delt sich um fol­gen­de Punk­te: Die Anwen­dung der Grund­sät­ze der Recht­mä­ssig­keit, von Treu und Glau­ben, der Ver­hält­nis­mä­ssig­keit, der Trans­pa­renz, der Zweck­bin­dung und der Rich­tig­keit (Bst. a). Die Kate­go­rien der bekannt­ge­ge­be­nen Per­so­nen­da­ten und der betrof­fe­nen Per­so­nen (Bst. b). Die Art und den Zweck der Bekannt­ga­be von Per­so­nen­da­ten (Bst. c). Gege­be­nen­falls die Namen der Staa­ten oder inter­na­tio­na­len Orga­ne, in die oder denen Per­so­nen­da­ten bekannt­ge­ge­ben wer­den, sowie die Anfor­de­run­gen an die Bekannt­ga­be (Bst. d): Der Aus­druck “gege­be­nen­falls” bie­tet die Mög­lich­keit, sich an die Umstän­de eines Ver­trags anzu­pas­sen. In bestimm­ten sehr eng gefass­ten Ver­trä­gen kommt die­ser Buch­sta­be nicht in Betracht. Wenn z.B. im Rah­men des Ver­trags kei­ne Daten an ein inter­na­tio­na­les Organ bekannt­ge­ge­ben wer­den, wäre ein sol­cher Hin­weis natür­lich über­flüs­sig. Die Anfor­de­run­gen an die Auf­be­wah­rung, die Löschung und Ver­nich­tung von Per­so­nen­da­ten (Bst. e). Die Emp­fän­ge­rin­nen und Emp­fän­ger oder die Kate­go­rien der Emp­fän­ge­rin­nen und Emp­fän­ger (Bst. f): Die Kate­go­rien von Emp­fän­ge­rin­nen und Emp­fän­gern kön­nen nütz­lich sein, wenn auch in der Anga­be einer gene­ri­schen Form, soweit dies erfor­der­lich ist (z. B.: Ver­tre­ter und Ver­tre­te­rin­nen, Auf­trags­be­ar­bei­ter, Mit­ver­ant­wort­li­che, behan­deln­de Ärz­tin­nen und Ärz­te, Gemein­den, exter­ne Part­ner­or­ga­ni­sa­tio­nen usw.). Die Mass­nah­men zur Gewähr­lei­stung der Daten­si­cher­heit (Bst. g). Die Pflicht, Ver­let­zun­gen der Daten­si­cher­heit zu mel­den (Bst. h). Falls die Emp­fän­ge­rin­nen und Emp­fän­ger Ver­ant­wort­li­che sind: die Pflicht, die betrof­fe­nen Per­so­nen über die Bear­bei­tung zu infor­mie­ren (Bst. i): Die Emp­fän­ge­rin oder der Emp­fän­ger als Auf­trags­be­ar­bei­ter kann nicht ver­ant­wort­lich sein und die­ser Pflicht nach­kom­men. Die Rech­te der betrof­fe­nen Per­son (Bst. j), ins­be­son­de­re: das Aus­kunfts­recht und das Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung (Ziff. 1), das Recht, der Daten­be­kannt­ga­be zu wider­spre­chen (Ziff. 2), das Recht auf Berich­ti­gung, Löschung oder Ver­nich­tung ihrer Daten (Ziff. 3) und das Recht, eine unab­hän­gi­ge Behör­de (Daten­schutz­be­hör­de oder Gericht) um Rechts­schutz zu ersu­chen (Ziff. 4). Alle die­se Punk­te ent­spre­chen den Grund­la­gen des nDSG. In Absatz 2 wird fer­ner klar­ge­stellt, dass der Ver­ant­wort­li­che bei einer Bekannt­ga­be der Per­so­nen­da­ten ins Aus­land ange­mes­se­ne Mass­nah­men tref­fen muss, um sicher­zu­stel­len, dass die Emp­fän­ge­rin oder der Emp­fän­ger die Daten­schutz­klau­seln in einem Ver­trag oder die spe­zi­fi­schen Garan­tien ein­hält; der Auf­trags­be­ar­bei­ter muss dies im Fall von Daten­schutz­klau­seln in einem Ver­trag eben­falls sicher­stel­len (die Auf­trags­be­ar­bei­tung ist auf die spe­zi­fi­schen Garan­tien nicht anwend­bar). So kann mit die­sem Absatz (der im Wesent­li­chen Art. 6 Abs. 2 und 4 VDSG über­nimmt) sicher­ge­stellt wer­den, dass die Emp­fän­ge­rin oder der Emp­fän­ger der bekannt­ge­ge­be­nen Daten den in der Schweiz gel­ten­den Daten­schutz­rah­men ein­hält. Ein drit­ter Absatz über­nimmt Arti­kel 6 Absatz 2 VDSG zur Infor­ma­ti­ons­pflicht des Ver­ant­wort­li­chen. Er wird nur redak­tio­nell ange­passt (z. B. wird in der fran­zö­si­schen Ver­si­on der Begriff “maît­re du fichier” ersetzt), indem der zwei­te Teil­satz in Arti­kel 6 Absatz 2 Buch­sta­be b VDSG gelöscht wird. Eine Bekannt­ga­be ins Aus­land ist ohne­hin nur zuläs­sig, wenn die Daten­schutz­klau­seln oder Garan­tien einen geeig­ne­ten Schutz gewähr­lei­sten, indem sie nament­lich den Anfor­de­run­gen von Arti­kel 9 Absatz 1 Art. gerecht wer­den. Es ist des­halb nicht not­wen­dig, dies in Arti­kel 9 Absatz 3 Buch­sta­be b Art. noch­mals zu erwähnen. 

Art. 10 Standarddatenschutzklauseln 

1 Gibt der Ver­ant­wort­li­che oder der Auf­trags­be­ar­bei­ter Per­so­nen­da­ten mit­tels Stan­dard­da­ten­schutz­klau­seln nach Arti­kel 16 Absatz 2 Buch­sta­be d DSG ins Aus­land bekannt, so trifft er ange­mes­se­ne Mass­nah­men, um sicher­zu­stel­len, dass die Emp­fän­ge­rin oder der Emp­fän­ger die­se beachtet
2 Der EDÖB ver­öf­fent­licht eine Liste von Stan­dard­da­ten­schutz­klau­seln, die er geneh­migt, aus­ge­stellt oder aner­kannt hat. Er teilt das Ergeb­nis der Prü­fung der Stan­dard­da­ten­schutz­klau­seln, die ihm unter­brei­tet wer­den, inner­halb von 90 Tagen mit
Erläu­tern­der Bericht
Wie bei der Daten­be­kannt­ga­be ins Aus­land, die sich auf Daten­schutz­klau­seln in einem Ver­trag und auf spe­zi­fi­sche Garan­tien stützt, sind auch bei der Daten­be­kannt­ga­be mit­tels Stan­dard­da­ten­schutz­klau­seln (Art. 16 Abs. 2 Bst. d nDSG) die schwei­ze­ri­schen Daten­schutz­vor­schrif­ten ein­zu­hal­ten. So prä­zi­siert Arti­kel 10 Absatz 1 Art., der Arti­kel 6 Absatz 4 VDSG grund­sätz­lich ent­spricht, dass der Ver­ant­wort­li­che oder der Auf­trags­be­ar­bei­ter ange­mes­se­ne Mass­nah­men tref­fen muss, um sicher­zu­stel­len, dass die Emp­fän­ge­rin oder der Emp­fän­ger die Stan­dard­klau­seln tat­säch­lich beach­tet. Im Kom­men­tar des Bun­des­am­tes für Justiz zur VDSG wird die­se Sorg­falts­pflicht wie folgt prä­zi­siert: “Die Ange­mes­sen­heit der gefor­der­ten Mass­nah­men rich­tet sich nach den Umstän­den im kon­kre­ten Fall und dem Stand der Tech­nik. Geht es um beson­ders schüt­zens­wer­te Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­le, sind die Anfor­de­run­gen höher, als wenn es um ein­fa­che Per­so­nen­da­ten geht.” Der Begriff “Per­sön­lich­keits­pro­fi­le” wird im nDSG zwar nicht mehr ver­wen­det, die Erläu­te­rung ist jedoch wei­ter­hin rele­vant zum Ver­ständ­nis, dass die Mass­nah­men den kon­kre­ten Umstän­den ange­passt sein müs­sen. Dabei han­delt es sich um eine Sorg­falts­pflicht und der Ver­ant­wort­li­che bzw. der Auf­trags­be­ar­bei­ter muss dafür sor­gen, dass die Mass­nah­men ergrif­fen wer­den, und ihre Umset­zung über­wa­chen. Absatz 2 betrifft die Geneh­mi­gung der Stan­dard­da­ten­schutz­klau­seln durch den EDÖB, die von einer pri­va­ten Per­son oder einem Bun­des­or­gan aus­ge­ar­bei­tet wur­den. Der EDÖB gibt eine Stel­lung­nah­me ab und ver­öf­fent­licht auf sei­ner Web­site eine Liste von Stan­dard­da­ten­schutz­klau­seln, die er geneh­migt, aus­ge­stellt oder aner­kannt hat. Die Stan­dard­klau­seln müs­sen den schwei­ze­ri­schen Daten­schutz­an­for­de­run­gen ent­spre­chen und in Über­ein­stim­mung mit dem schwei­ze­ri­schen Daten­schutz­recht aus­ge­legt wer­den kön­nen. Der EDÖB “teilt das Ergeb­nis der Prü­fung der Stan­dard­da­ten­schutz­klau­seln, die ihm unter­brei­tet wer­den, inner­halb von 90 Tagen mit”. 

Art. 11 Ver­bind­li­che unter­neh­mens­in­ter­ne Datenschutzvorschriften

1 Ver­bind­li­che unter­neh­mens­in­ter­ne Daten­schutz­vor­schrif­ten nach Arti­kel 16 Absatz 2 Buch­sta­be e DSG gel­ten für alle Unter­neh­men, die zum sel­ben Kon­zern gehören
2 Sie umfas­sen min­de­stens die in Arti­kel 9 Absatz 1 genann­ten Punk­te sowie die fol­gen­den Anga­ben:
a. die Orga­ni­sa­ti­on und die Kon­takt­da­ten des Kon­zerns und sei­ner Unternehmen;
b. die inner­halb des Kon­zerns getrof­fe­nen Mass­nah­men zur Ein­hal­tung der ver­bind­li­chen unter­neh­mens­in­ter­nen Datenschutzvorschriften.
3 Der EDÖB teilt das Ergeb­nis der Prü­fung der ver­bind­li­chen unter­neh­mens­in­ter­nen Daten­schutz­vor­schrif­ten, die ihm unter­brei­tet wer­den, inner­halb von 90 Tagen mit
Erläu­tern­der Bericht
Ver­bind­li­che unter­neh­mens­in­ter­ne Daten­schutz­vor­schrif­ten gel­ten für alle Unter­neh­men, die zum sel­ben Kon­zern gehö­ren, und müs­sen von die­sen ein­ge­hal­ten wer­den. Die­se Vor­schrif­ten müs­sen nicht nur die in Arti­kel 9 Absatz 1 Art. genann­ten Punk­te umfas­sen, son­dern auch Anga­ben zur Orga­ni­sa­ti­on und die Kon­takt­da­ten des Kon­zerns und jeder sei­ner Ein­hei­ten (Abs. 2 Bst. a) sowie Anga­ben zu den Mass­nah­men, die inner­halb des Kon­zerns getrof­fen wur­den, um die Ein­hal­tung der unter­neh­mens­in­ter­nen Vor­schrif­ten zu gewähr­lei­sten (Abs. 2 Bst. b). Die­se ver­bind­li­chen unter­neh­mens­in­ter­nen Vor­schrif­ten sind gemäss Arti­kel 16 Absatz 2 Buch­sta­be e nDSG über­dies dem EDÖB vor­zu­le­gen. Arti­kel 11 Art. umfasst einen neu­en Absatz 3, wonach der EDÖB “das Ergeb­nis der Prü­fung der ver­bind­li­chen unter­neh­mens­in­ter­nen Daten­schutz­vor­schrif­ten, die ihm unter­brei­tet wer­den, inner­halb von 90 Tagen” mitteilt. 

Art. 12 Ver­hal­tens­ko­di­zes und Zertifizierungen

1 Per­so­nen­da­ten dür­fen ins Aus­land bekannt­ge­ge­ben wer­den, wenn ein Ver­hal­tens­ko­dex oder eine Zer­ti­fi­zie­rung einen geeig­ne­ten Daten­schutz gewährleistet
2 Der Ver­hal­tens­ko­dex muss vor­gän­gig dem EDÖB zur Geneh­mi­gung unter­brei­tet werden
3 Der Ver­hal­tens­ko­dex oder die Zer­ti­fi­zie­rung muss mit einer ver­bind­li­chen und durch­setz­ba­ren Ver­pflich­tung des Ver­ant­wort­li­chen oder des Auf­trags­be­ar­bei­ters im Dritt­staat ver­bun­den wer­den, die dar­in ent­hal­te­nen Mass­nah­men anzuwenden
Erläu­tern­der Bericht
Gemäss Arti­kel 16 Absatz 3 nDSG kann der Bun­des­rat ande­re geeig­ne­te Garan­tien vor­se­hen, wel­che die Daten­be­kannt­ga­be ins Aus­land ermög­li­chen. So lässt sich ein geeig­ne­ter Daten­schutz auch durch einen Ver­hal­tens­ko­dex oder eine Zer­ti­fi­zie­rung gewähr­lei­sten (Abs. 1). Mit die­ser neu­en Mass­nah­me erhal­ten Unter­neh­men einen Anreiz, einen sol­chen Kodex ein­zu­füh­ren oder ihre Syste­me, Pro­duk­te oder Dienst­lei­stun­gen zer­ti­fi­zie­ren zu las­sen. Wie bei den Stan­dard­da­ten­schutz­klau­seln und den ver­bind­li­chen unter­neh­mens­in­ter­nen Vor­schrif­ten wird aus Grün­den der Kohä­renz auch bei den Ver­hal­tens­ko­di­zes bestimmt, dass die­se vom EDÖB geneh­migt wer­den müs­sen (Abs. 2). Denn die­se Instru­men­te sind auf ihre Taug­lich­keit zu prü­fen. Für sei­ne Prü­fung kann sich der EDÖB an die Kri­te­ri­en von Arti­kel 9 Absatz 1 Art. ori­en­tie­ren. Die Geneh­mi­gung der Ver­hal­tens­ko­di­zes durch den EDÖB steht nicht im Wider­spruch zu Arti­kel 11 nDSG, der in all­ge­mei­ner Wei­se vor­sieht, dass der EDÖB zu den ihm vor­ge­leg­ten Ver­hal­tens­ko­di­zes Stel­lung nimmt, aber die­se nicht geneh­migt. Im kon­kre­ten Fall, in dem ein Ver­ant­wort­li­cher sich bei der Daten­be­kannt­ga­be ins Aus­land auf sei­nen Ver­hal­tens­ko­dex stützt, ist es wie bei den Stan­dard­da­ten­schutz­klau­seln und den ver­bind­li­chen unter­neh­mens­in­ter­nen Vor­schrif­ten ange­zeigt, dass der EDÖB die­ses Instru­ment geneh­migt. Gemäss der Ver­ord­nung vom 28. Sep­tem­ber 2007 über die Daten­schutz­zer­ti­fi­zie­run­gen müs­sen aus­schliess­lich aus­län­di­sche Zer­ti­fi­zie­run­gen vom EDÖB aner­kannt wer­den. Dies wird mit der total­re­vi­dier­ten Ver­ord­nung so auf­recht­erhal­ten. Das bedeu­tet jedoch nicht, dass die Zer­ti­fi­zie­rung nicht den Anfor­de­run­gen der Ver­ord­nung über die Daten­schutz­zer­ti­fi­zie­run­gen ent­spre­chen muss. Zudem muss der Ver­ant­wort­li­che oder der Auf­trags­be­ar­bei­ter, der sich in einem Dritt­land befin­det, die ver­bind­li­che und durch­setz­ba­re Ver­pflich­tung ein­ge­hen, die im Ver­hal­tens­ko­dex oder in der Zer­ti­fi­zie­rung ent­hal­te­nen Mass­nah­men anzu­wen­den (Abs. 3). Auf­he­bung von Arti­keln 5 und 7 VDSG Die Arti­kel 5 und 7 VDSG wer­den nicht über­nom­men. Erste­re Bestim­mung wur­de in das nDSG (Art. 18) ein­ge­fügt. Die zwei­te, die dem EDÖB die Kom­pe­tenz zuwies, eine Liste der Staa­ten mit einem ange­mes­se­nen Daten­schutz­ni­veau zu erstel­len, ist über­holt, weil neu der Bun­des­rat die­se Kom­pe­tenz hat (Art. 16 Abs. 1 nDSG). 

2. Kapi­tel: Pflich­ten des Verantwortlichen

Art. 13 Moda­li­tä­ten der Informationspflicht

Der Ver­ant­wort­li­che muss der betrof­fe­nen Per­son die Infor­ma­ti­on über die Beschaf­fung von Per­so­nen­da­ten in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form mit­tei­len.
Erläu­tern­der Bericht
Die Infor­ma­ti­ons­pflicht des Ver­ant­wort­li­chen ist in Arti­kel 19 nDSG ver­an­kert. Aus­nah­men und Ein­schrän­kun­gen sind in Arti­kel 20 nDSG fest­ge­legt. Arti­kel 19 Absatz 1 nDSG sieht vor, dass die betrof­fe­ne Per­son “ange­mes­sen” infor­miert wer­den muss. Dies bedeu­tet, dass die Infor­ma­tio­nen soweit mög­lich in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form mit­ge­teilt wer­den. Mit ande­ren Wor­ten muss der Ver­ant­wort­li­che bei der Wahl der Infor­ma­ti­ons­form sicher­stel­len, dass die betrof­fe­ne Per­son bei der Beschaf­fung ihrer Per­so­nen­da­ten die wich­tig­sten Infor­ma­tio­nen stets auf der ersten Kom­mu­ni­ka­ti­ons­stu­fe erhält. Erfolgt die Kom­mu­ni­ka­ti­on zum Bei­spiel über eine Inter­net­sei­te, kann eine gute Pra­xis dar­in bestehen, dass alle wesent­li­chen Infor­ma­tio­nen auf einen Blick, z. B. in Form einer geglie­der­ten Über­sicht ver­füg­bar sind. Um wei­te­re Infor­ma­tio­nen zu erhal­ten, kann die betrof­fe­ne Per­son danach auf die­se zuerst ange­zeig­ten Infor­ma­tio­nen klicken, wor­auf sich ein Fen­ster mit detail­lier­te­ren Anga­ben öff­net. Es ist aller­dings fest­zu­hal­ten, dass die Kom­mu­ni­ka­ti­on über eine Web­site nicht immer genügt: Die betrof­fe­ne Per­son muss wis­sen, dass sie die Infor­ma­tio­nen auf einer bestimm­ten Web­site fin­det. Im Fall eines Tele­fon­ge­sprächs kön­nen die Infor­ma­tio­nen auch münd­lich mit­ge­teilt und allen­falls durch einen Link zu einer Web­site ergänzt wer­den. Bei auf­ge­zeich­ne­ten Infor­ma­tio­nen muss die betrof­fe­ne Per­son die Mög­lich­keit haben, sich aus­führ­li­che­re Infor­ma­tio­nen anzu­hö­ren. Für den Fall, dass die Per­son mit einem Video­über­wa­chungs­sy­stem oder einer Droh­ne gefilmt wird, muss sie bei­spiels­wei­se durch ein Hin­weis­schild oder im Rah­men einer Infor­ma­ti­ons­kam­pa­gne dar­auf auf­merk­sam gemacht wer­den. Ent­spre­chend Arti­kel 19 Absatz 1 nDSG rich­tet sich Arti­kel 13 Art. ein­zig an den Ver­ant­wort­li­chen und nicht an den Auf­trags­be­ar­bei­ter. Es sei jedoch an die­ser Stel­le dar­auf hin­ge­wie­sen, dass die Infor­ma­ti­on des Ver­ant­wort­li­chen gemäss Arti­kel 19 Absatz 2 Buch­sta­be c nDSG auch Anga­ben zu den Emp­fän­ge­rin­nen und Emp­fän­ger bzw. den Kate­go­rien von Emp­fän­ge­rin­nen und Emp­fän­gern ent­hal­ten muss. Gemäss Aus­füh­run­gen in der Bot­schaft zum Daten­schutz­ge­setz gehört auch der Auf­trags­be­ar­bei­ter zu den Emp­fän­ge­rin­nen oder Emp­fän­ger im Sin­ne von Arti­kel 19 Absatz 2 Buch­sta­be c nDSG (BBl 2017 6941, 7051). Der Ver­ant­wort­li­che muss daher die betrof­fe­ne Per­son bei der Beschaf­fung von Per­so­nen­da­ten auch dar­über infor­mie­ren, dass die Daten an einen Auf­trags­be­ar­bei­ter bekannt­ge­ge­ben werden. 

Art. 14 Auf­be­wah­rung der Datenschutz-Folgenabschätzung

Der Ver­ant­wort­li­che muss die Daten­schutz-Fol­gen­ab­schät­zung nach Been­di­gung der Daten­be­ar­bei­tung min­de­stens zwei Jah­ren auf­be­wah­ren.
Erläu­tern­der Bericht
Die Norm kon­kre­ti­siert die Auf­be­wah­rungs­dau­er der Daten­schutz-Fol­gen­ab­schät­zung im Sin­ne von Arti­kel 22 nDSG. Die­se ist wäh­rend min­de­stens 2 Jah­ren auf­zu­be­wah­ren. Der Grund für die Auf­be­wah­rung der Daten­schutz-Fol­gen­ab­schät­zung über die Vor­nah­me der Daten­be­ar­bei­tung hin­aus besteht dar­in, dass sie ein zen­tra­les daten­schutz­recht­li­ches Instru­ment dar­stellt. Sie kann ins­be­son­de­re bei der Abklä­rung von Ver­let­zun­gen der Daten­si­cher­heit oder der Beur­tei­lung der Straf­bar­keit eines Ver­hal­tens von Bedeu­tung sein. So gibt die Daten­schutz-Fol­gen­ab­schät­zung dar­über Aus­kunft, wie die Risi­ken für die Per­sön­lich­keit oder die Grund­rech­te bewer­tet wur­den und wel­che Mass­nah­men getrof­fen wur­den. Bei Bun­des­or­ga­nen, die grund­sätz­lich nur gestützt auf Rechts­grund­la­gen Daten bear­bei­ten kön­nen, kann es auf­grund der Bestän­dig­keit gewis­ser Rechts­grund­la­gen vor­kom­men, dass eine Daten­schutz-Fol­ge­ab­schät­zung über einen sehr lan­gen Zeit­raum auf­zu­be­wah­ren ist.< Im Fal­le der Bun­des­or­ga­ne wird wei­ter zu regeln sein, wie die Daten­schutz-Fol­gen­ab­schät­zung zeit­lich mit dem Gesetz­ge­bungs­ver­fah­ren zur Schaf­fung der Rechts­grund­la­gen für die Daten­be­ar­bei­tung zu koor­di­nie­ren ist. Es soll vor­ge­se­hen wer­den, dass die Bun­des­or­ga­ne die Daten­schutz-Fol­gen­ab­schät­zung zusam­men mit den Erlass­ent­wür­fen dem Antrag an den Bun­des­rat bei­fü­gen müs­sen und sie die Resul­ta­te der Daten­schutz-Fol­gen­ab­schät­zung in der Bot­schaft des Bun­des­rats fest­hal­ten müs­sen. Da die Rege­lung aber nur Wei­sungs­cha­rak­ter inner­halb der Bun­des­ver­wal­tung auf­weist, ist sie nicht auf Ver­ord­nungs­stu­fe zu regeln. Es ist geplant, die Rege­lung in den Richt­li­ni­en für Bun­des­rats­ge­schäf­te (“roter Ord­ner”) und im Bot­schafts­leit­fa­den umzu­set­zen. Für die Umset­zung der Daten­schutz-Fol­gen­ab­schät­zung kann der EDÖB von sei­ner Kom­pe­tenz Gebrauch machen, Arbeits­in­stru­men­te als Emp­feh­lun­gen der guten Pra­xis zuhan­den von Ver­ant­wort­li­chen im Sin­ne von Arti­kel 58 Absatz 1 Buch­sta­be g nDSG zu erar­bei­ten. Dabei hat er einen gewis­sen Ermessensspielraum. 

Art. 15 Mel­dung von Ver­let­zun­gen der Datensicherheit

1 Die Mel­dung einer Ver­let­zung der Daten­si­cher­heit an den EDÖB muss fol­gen­de Anga­ben ent­hal­ten:
a. die Art der Verletzung;
b. soweit mög­lich den Zeit­punkt und die Dauer;
c. soweit mög­lich die Kate­go­rien und die unge­fäh­re Anzahl der betrof­fe­nen Personendaten;
d. soweit mög­lich die Kate­go­rien und die unge­fäh­re Anzahl der betrof­fe­nen Personen;
e. die Fol­gen, ein­schliess­lich der all­fäl­li­gen Risi­ken, für die betrof­fe­nen Personen;
f. wel­che Mass­nah­men getrof­fen wur­den oder vor­ge­se­hen sind, um den Man­gel zu behe­ben und die Fol­gen, ein­schliess­lich der all­fäl­li­gen Risi­ken, zu mindern;
g. den Namen und die Kon­takt­da­ten einer Ansprechperson.
2 Ist es dem Ver­ant­wort­li­chen nicht mög­lich, alle Anga­ben gleich­zei­tig zu mel­den, so lie­fert er die feh­len­den Anga­ben so rasch als mög­lich nach
3 Ist der Ver­ant­wort­li­che ver­pflich­tet, die betrof­fe­ne Per­son zu infor­mie­ren, so teilt er ihr in ein­fa­cher und ver­ständ­li­cher Spra­che min­de­stens die Anga­ben nach Absatz 1 Buch­sta­ben a und e – g mit
4 Der Ver­ant­wort­li­che muss die Ver­let­zun­gen doku­men­tie­ren. Die Doku­men­ta­ti­on muss die mit den Vor­fäl­len zusam­men­hän­gen­den Tat­sa­chen, deren Aus­wir­kun­gen und die ergrif­fe­nen Mass­nah­men ent­hal­ten. Sie ist ab dem Zeit­punkt der Mel­dung nach Absatz 1 min­de­stens zwei Jah­re aufzubewahren
Erläu­tern­der Bericht
Arti­kel 24 Absatz 2 nDSG ent­hält die Min­dest­an­for­de­run­gen an eine Mel­dung des Ver­ant­wort­li­chen von Ver­let­zun­gen der Daten­si­cher­heit an den EDÖB: Dazu gehört die Art der Ver­let­zung der Daten­si­cher­heit, deren Fol­gen und die ergrif­fe­nen oder vor­ge­se­he­nen Mass­nah­men. Der Inhalt die­ser Mel­dung an den EDÖB wird in Arti­kel 15 Absatz 1 Art. (ehem. Art. 19 Abs. 1 E‑VDSG) wei­ter prä­zi­siert. Dabei ist zu beach­ten, dass die Mel­dung an den EDÖB gemäss Arti­kel 24 Absatz 1 nDSG auf Ver­let­zun­gen der Daten­si­cher­heit beschränkt ist, die vor­aus­sicht­lich zu einem hohen Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son füh­ren. Es müs­sen nur mel­de­pflich­ti­ge Ver­let­zun­gen gemel­det wer­den. Absatz 1 ent­hält fol­gen­den Kata­log an Anga­ben: Nebst der bereits im Gesetz erwähn­ten Art der Daten­si­cher­heits­ver­let­zung (Bst. a), ist wei­ter vor­ge­se­hen, dass, soweit mög­lich, auch der Zeit­punkt und die Dau­er der Daten­si­cher­heits­ver­let­zung mit­ge­teilt wer­den muss (Bst. b). Wei­ter müs­sen, soweit mög­lich, auch die Kate­go­rien und die unge­fäh­re Anzahl der Per­so­nen­da­ten, die von der Ver­let­zung der Daten­si­cher­heit betrof­fen sind (Bst. c), gemel­det wer­den, sowie die Kate­go­rien und die unge­fäh­re Anzahl der betrof­fe­nen Per­so­nen (Bst. d). Die­se Infor­ma­tio­nen sind von grund­sätz­li­cher Bedeu­tung, damit das Aus­mass der Ver­let­zung abge­schätzt wer­den kann. Dabei ist ins­be­son­de­re erfor­der­lich, dass bekannt ist, wel­che Kate­go­rien von Per­so­nen­da­ten von der Ver­let­zung betrof­fen sind (z. B. Adres­sen, Kre­dit­kar­ten­for­ma­tio­nen, Gesund­heits­da­ten), damit die Aus­füh­run­gen zu den Fol­gen, Risi­ken und Mass­nah­men über­haupt nach­voll­zieh­bar sind. Im Zusam­men­hang mit der Mel­dung von Fol­gen und Risi­ken für die betrof­fe­nen Per­so­nen (Bst. e) und den vom Ver­ant­wort­li­chen getrof­fe­nen Mass­nah­men (Bst. f), muss der Ver­ant­wort­li­che bei der Infor­ma­ti­on an die betrof­fe­ne Per­son unter ande­rem auch Aus­füh­run­gen dazu machen, wel­che Kate­go­rien von Per­so­nen­da­ten in ihrem Fall von der Ver­let­zung betrof­fen sind. Dies erlaubt es der betrof­fe­nen Per­son kon­kre­te Mass­nah­men selbst vor­zu­neh­men (z. B. unver­züg­li­che Pass­wor­t­än­de­rung, falls Anmel­de­da­ten ent­wen­det wur­den oder Kre­dit­kar­ten­sper­re). Schliess­lich muss der Ver­ant­wort­li­che den Namen und die Kon­takt­da­ten einer Ansprech­per­son mel­den (Bst. g), wel­che als Anlauf­stel­le für die Kom­mu­ni­ka­ti­on mit dem EDÖB als auch den betrof­fe­nen Per­so­nen fun­giert. Absatz 2 ermög­licht es dem Ver­ant­wort­li­chen, dem EDÖB die Infor­ma­tio­nen schritt­wei­se zur Ver­fü­gung zu stel­len, falls es dem Ver­ant­wort­li­chen nicht mög­lich sein soll­te bei Ent­deckung der Ver­let­zung der Daten­si­cher­heit bereits alle Infor­ma­tio­nen gemäss Absatz 1 gleich­zei­tig zu lie­fern. Da der Ver­ant­wort­li­che die Mel­dung gemäss Arti­kel 24 Absatz 1 nDSG “so rasch als mög­lich” abzu­set­zen hat, wird in der Pra­xis ins­be­son­de­re bei den Infor­ma­tio­nen nach Absatz 1 Buch­sta­ben b – d regel­mä­ssig das Pro­blem auf­tre­ten, dass die­se unmit­tel­bar nach Ent­deckung der Ver­let­zung der Daten­si­cher­heit häu­fig noch gar nicht vor­lie­gen. Daher wird es dem Ver­ant­wort­li­chen ermög­licht, dass er in einem ersten Schritt bei der Ent­deckung der Ver­let­zung nur die ihm bekann­ten Grund­an­ga­ben lie­fert. Für die Nach­mel­dung gilt – wie gemäss Arti­kel 24 Absatz 1 nDSG –, dass der Ver­ant­wort­li­che die rest­li­chen Anga­ben “so rasch als mög­lich” mel­den muss. Sobald die feh­len­den Infor­ma­tio­nen vor­lie­gen, muss der Ver­ant­wort­li­che die­se dem EDÖB mit einer Nach­mel­dung zur Ver­fü­gung stel­len. Müs­sen die Anga­ben erst noch beschafft wer­den, so hat er sich ohne Ver­zö­ge­rung dar­um zu küm­mern. In Absatz 3 wird fest­ge­hal­ten, wel­che Anga­ben der betrof­fe­nen Per­son gemacht wer­den müs­sen, falls gemäss Arti­kel 24 Absatz 4 nDSG eine Infor­ma­ti­on an die­se zu erfol­gen hat. Wei­ter muss die­se Infor­ma­ti­on – im Ver­gleich zur Mel­dung an den Beauf­trag­ten – in mög­lichst ein­fa­cher und ver­ständ­li­cher Spra­che mit­ge­teilt wer­den, da nicht vor­aus­ge­setzt wer­den kann, dass einer durch­schnitt­li­chen betrof­fe­nen Per­son der Fach­jar­gon die­ser tech­nisch gepräg­ten Mate­rie geläu­fig ist. Die Mel­dung an den EDÖB ist dabei inhalt­lich etwas brei­ter gefasst als die Infor­ma­ti­on der betrof­fe­nen Per­so­nen, da sich Erste­rer ein Bild über das Aus­mass einer Ver­let­zung der Daten­si­cher­heit ver­schaf­fen kön­nen muss. Absatz 4 sieht vor, dass die mit der gemel­de­ten Ver­let­zung der Daten­si­cher­heit zusam­men­hän­gen­den Tat­sa­chen, deren Aus­wir­kun­gen und die ergrif­fe­nen Mass­nah­men zu doku­men­tie­ren sind. Die Unter­la­gen sind dabei ab dem Zeit­punkt der Mel­dung der Ver­let­zung der Daten­si­cher­heit für min­de­stens zwei Jah­re auf­zu­be­wah­ren. Im Zusam­men­hang mit der prak­ti­schen Umset­zung der Mel­de­pflicht nach Arti­kel 24 nDSG ist dar­auf hin­zu­wei­sen, dass auf­grund von Erfah­run­gen aus­län­di­scher Auf­sichts­be­hör­den bei der Umset­zung der ähn­lich aus­ge­stal­te­ten Mel­de­pflicht in Arti­kel 33 der Ver­ord­nung (EU) 2016/679 eine gro­sse Anzahl jähr­li­cher Mel­dun­gen zu erwar­ten ist. So hat der Aus­tausch mit dem Baye­ri­schen Lan­des­amt für Daten­schutz­auf­sicht, des­sen Zah­len sich in etwa auf die Schweiz pro­ji­zie­ren las­sen, erge­ben, dass um die 6000 Mel­dun­gen pro Jahr ein­ge­hen könn­ten. Damit den Ver­ant­wort­li­chen eine struk­tu­rier­te Mel­de­mög­lich­keit ange­bo­ten und die Mas­se von Mel­dun­gen mög­lichst effi­zi­ent abge­ar­bei­tet wer­den kann, arbei­tet der EDÖB der­zeit an der Ent­wick­lung einer web­ba­sier­ten Mel­deober­flä­che, vor­aus­sicht­lich in Form eines inter­ak­ti­ven For­mu­lars. Im Rah­men die­ses Pro­jek­tes prüft der EDÖB der­zeit auch die Mög­lich­keit eines gemein­sa­men Mel­de­por­tals zusam­men mit ande­ren Bun­des­or­ga­nen, die ähn­li­che Mel­de­pflich­ten oder ‑mög­lich­kei­ten im Bereich der Daten­si­cher­heit vor­se­hen (z. B. für die Mel­dung bei kri­ti­schen Infra­struk­tu­ren). Mit einem sol­chen Mel­de­por­tal wür­de sich der Auf­wand für den Ver­ant­wort­li­chen redu­zie­ren, falls die­ser bei meh­re­ren Bun­des­stel­len Mel­dun­gen abset­zen muss. 

3. Kapi­tel: Rech­te der betrof­fe­nen Person

Erläu­tern­der Bericht
Das Kapi­tel zu den Rech­ten der betrof­fe­nen Per­son beinhal­te­te im E‑DSG nur das Aus­kunfts­recht und des­sen Ein­schrän­kun­gen. Das Par­la­ment hat ein Recht auf Daten­her­aus­ga­be und über­tra­gung hin­zu­ge­fügt. Dem­entspre­chend wer­den in der Ver­ord­nung die­se bei­den Arten von Rech­ten der betrof­fe­nen Per­son in getrenn­ten Abschnit­ten prä­zi­siert. Der 1. Abschnitt behan­delt das Aus­kunfts­recht. Nach Abspra­che mit dem Eid­ge­nös­si­schen Depar­te­ment für aus­wär­ti­ge Ange­le­gen­hei­ten und dem Eid­ge­nös­si­schen Depar­te­ment für Ver­tei­di­gung, Bevöl­ke­rungs­schutz und Sport wur­de der Inhalt von Arti­kel 14 VDSG nicht in die Art. über­nom­men, weil er nicht mehr aktu­ell ist. Des­halb wird nun das Aus­kunfts­recht für bei­de Sek­to­ren, den pri­va­ten und den öffent­li­chen, im glei­chen Kapi­tel gere­gelt. Die­ses folgt der Syste­ma­tik des nDSG und schliesst an die Bestim­mun­gen zu den Pflich­ten des Ver­ant­wort­li­chen an. Die ver­schie­de­nen Aspek­te des Aus­kunfts­rechts ver­tei­len sich neu auf meh­re­re Arti­kel. Ein erster Arti­kel kon­zen­triert sich auf die Moda­li­tä­ten des Aus­kunfts­rechts, ins­be­son­de­re die Form der Aus­kunfts­er­tei­lung. Ein zwei­ter Arti­kel regelt das Aus­kunfts­recht, wenn meh­re­re Ver­ant­wort­li­che gemein­sam Per­so­nen­da­ten bear­bei­ten oder wenn Daten von einem Auf­trags­be­ar­bei­ter bear­bei­tet wer­den. Ein drit­ter Arti­kel legt die Fri­sten fest, und ein vier­ter Arti­kel regelt die Aus­nah­men von der Kosten­lo­sig­keit des Aus­kunfts­rechts. Der 2. Abschnitt behan­delt das Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung. Er umfasst fol­gen­de Arti­kel: Arti­kel 20 Art. behan­delt den Umfang des Anspruchs, Arti­kel 21 Art. die tech­ni­schen Anfor­de­run­gen an die Umset­zung und Arti­kel 22 Art. (ehem. Art. 24 E‑VDSG) führt unter Frist, Moda­li­tä­ten und Zustän­dig­keit aus, inwie­fern die Bestim­mun­gen zum Aus­kunfts­recht auf das Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung anwend­bar sind. 

1. Abschnitt: Auskunftsrecht

Art. 16 Modalitäten

1 Wer vom Ver­ant­wort­li­chen Aus­kunft dar­über ver­langt, ob Per­so­nen­da­ten über sie oder ihn bear­bei­tet wer­den, muss dies schrift­lich tun. Ist der Ver­ant­wort­li­che ein­ver­stan­den, so kann das Begeh­ren auch münd­lich mit­ge­teilt werden
2 Die Aus­kunfts­er­tei­lung erfolgt schrift­lich oder in der Form, in der die Daten vor­lie­gen. Im Ein­ver­neh­men mit dem Ver­ant­wort­li­chen kann die betrof­fe­ne Per­son ihre Daten an Ort und Stel­le ein­se­hen. Die Aus­kunft kann münd­lich erteilt wer­den, wenn die betrof­fe­ne Per­son ein­ver­stan­den ist
3 Das Aus­kunfts­be­geh­ren und die Aus­kunfts­er­tei­lung kön­nen auf elek­tro­ni­schem Weg erfolgen
4 Die Aus­kunft muss der betrof­fe­nen Per­son in einer ver­ständ­li­chen Form erteilt werden
5 Der Ver­ant­wort­li­che muss ange­mes­se­ne Mass­nah­men tref­fen, um die betrof­fe­ne Per­son zu iden­ti­fi­zie­ren. Die­se ist zur Mit­wir­kung verpflichtet
Erläu­tern­der Bericht
Die­se Bestim­mung kon­kre­ti­siert die in Arti­kel 25 nDSG vor­ge­se­he­nen Moda­li­tä­ten des Aus­kunfts­rechts. Sie über­nimmt teil­wei­se Arti­kel 8 Absatz 5 DSG sowie Arti­kel 1 Absät­ze 1 – 3 VDSG. Abs. 1 Arti­kel 16 Art. (ehem. Art. 20 E‑VDSG) kon­zen­triert sich in Absatz 1 auf die Form des Aus­kunfts­be­geh­rens. “Schrift­lich” im Sin­ne von Arti­kel 16 Absatz 1 Art. umfasst jeg­li­che For­men, die den Nach­weis durch Text ermög­li­chen. Nicht gemeint ist hin­ge­gen die soge­nann­te ein­fa­che Schrift­lich­keit nach den Arti­keln 13 – 15 des Obli­ga­tio­nen­rechts . Die­se setzt eine Hand­un­ter­schrift oder eine mit einem qua­li­fi­zier­ten Zeits­tem­pel ver­bun­de­ne qua­li­fi­zier­te elek­tro­ni­sche Signa­tur gemäss Bun­des­ge­setz vom 18. März 2016 über die elek­tro­ni­sche Signa­tur vor­aus. Arti­kel 16 Absatz 1 Art. ver­langt hin­ge­gen ein­zig das Vor­lie­gen eines geschrie­be­nen Tex­tes. Art. 16 Abs. 1 Art. über­nimmt im Wesent­li­chen den Inhalt von Arti­kel 1 Absatz 1 VDSG, gemäss dem die Per­son ihr Aus­kunfts­recht “in der Regel in schrift­li­cher Form bean­tra­gen” muss. Im Kom­men­tar zur VDSG des Bun­des­am­tes für Justiz wird bereits prä­zi­siert, dass in bestimm­ten Fäl­len und unter Vor­be­halt des Ein­ver­ständ­nis­ses des Inha­bers der Daten­samm­lung (neu des Ver­ant­wort­li­chen) die münd­li­che Form genügt. Der erhöh­ten Klar­heit hal­ber wur­de Arti­kel 16 Art. ent­spre­chend umfor­mu­liert. Ausser­dem wur­de Arti­kel 1 Absatz 1 VDSG in redak­tio­nel­ler Hin­sicht ange­passt. Abs. 2 Im Ver­gleich zum gel­ten­den Recht legt Arti­kel 16 Absatz 2 Art. (ehem. Art. 20 Abs. 2 E‑VDSG) neu expli­zit fest, dass die Aus­kunfts­er­tei­lung nebst der Schrift­form auch in der Form erfol­gen kann, in der die Daten vor­lie­gen. In der Regel han­delt es sich um Per­so­nen­da­ten in Schrift­form. Lie­gen die Daten hin­ge­gen z. B. in Form von Bild- oder Ton­auf­nah­men vor, so erhält die betrof­fe­ne Per­son die Daten in die­ser Form. Wie oben aus­ge­führt, ist “schrift­lich” im vor­lie­gen­den Kon­text so zu ver­ste­hen, dass das Vor­lie­gen eines geschrie­be­nen Tex­tes ver­langt wird. Wie in Arti­kel 1 Absatz 3 VDSG vor­ge­se­hen, kön­nen Per­so­nen­da­ten auch an Ort und Stel­le ein­ge­se­hen wer­den, ins­be­son­de­re, wenn sie auf ver­schie­de­ne Dos­siers ver­teilt oder beson­ders umfang­reich sind oder wenn die ver­lang­ten Aus­künf­te der Erläu­te­rung bedür­fen. Im Unter­schied zu Arti­kel 1 Absatz 3 VDSG wur­de der Pas­sus, wonach die Ein­sicht­nah­me vor Ort auf Vor­schlag des Ver­ant­wort­li­chen erfolgt, gestri­chen. Für die Ein­sicht­nah­me vor Ort ist stets erfor­der­lich, dass der Ver­ant­wort­li­che und die betrof­fe­ne Per­son ein­ver­stan­den sind. Auf wes­sen Vor­schlag hin die Ein­sicht­nah­me vor Ort erfolgt, ist hin­ge­gen nicht mass­geb­lich. Bei der Ein­sicht­nah­me an Ort und Stel­le muss die betrof­fe­ne Per­son gleich­wohl die Mög­lich­keit haben, eine Foto­ko­pie bestimm­ter Akten in ihrem Dos­sier zu ver­lan­gen. Wie das Bun­des­ge­richt in BGE 119 III 141 fest­ge­stellt hat, kann die Aus­hän­di­gung schrift­li­cher (inkl. elek­tro­ni­scher) Doku­men­te für die betrof­fe­ne Per­son äusserst bedeut­sam sein. Die münd­li­che Mit­tei­lung von Infor­ma­tio­nen, zum Bei­spiel am Tele­fon, ist eben­falls mög­lich, sofern die betrof­fe­ne Per­son ein­ge­wil­ligt hat. Eine Aus­kunft in zusam­men­ge­fass­ter (“aggre­gier­ter”) Form ist nicht erlaubt. Abs. 3 Absatz 3 über­nimmt Arti­kel 1 Absatz 2 VDSG in ange­pass­ter Form. Er regelt nament­lich die Form der Über­mitt­lung des Aus­kunfts­be­geh­rens und der Aus­kunfts­er­tei­lung. So kön­nen das Aus­kunfts­be­geh­ren und die Aus­kunfts­er­tei­lung auch auf elek­tro­ni­schem Weg erfol­gen. Die betrof­fe­ne Per­son kann ihr Gesuch bei­spiels­wei­se mit­tels E‑Mail oder über eine Online-Platt­form eines Unter­neh­mens (z. B. die ver­brei­te­ten Kun­den­kon­tos) ein­rei­chen. Die Absen­de­rin oder der Absen­der trägt nach den all­ge­mei­nen Regeln die Beweis­last dafür, dass ihre bzw. sei­ne Bot­schaft die Emp­fän­ge­rin oder den Emp­fän­ger erreicht hat. Da die elek­tro­ni­sche Über­mitt­lung auch ohne gesetz­li­che Grund­la­ge zuläs­sig ist, han­delt es sich bei Absatz 3 um eine dekla­ra­to­ri­sche Bestim­mung. Abs. 4 Wer­den Per­so­nen­da­ten in einer tech­ni­schen Form, also bei­spiels­wei­se in einem nicht übli­chen Datei­en­for­mat, gelie­fert, die für die betrof­fe­ne Per­son nicht les­bar und/oder nicht ver­ständ­lich ist, muss der Ver­ant­wort­li­che imstan­de sein, ihr ergän­zen­de Erläu­te­run­gen zu geben, bei­spiels­wei­se münd­lich. Abs. 5 Der Ver­ant­wort­li­che muss ange­mes­se­ne Mass­nah­men tref­fen, um die Iden­ti­fi­zie­rung der betrof­fe­nen Per­son sicher­zu­stel­len. Die­se muss des­halb bei ihrer Iden­ti­fi­zie­rung mit­wir­ken. Damit der Ver­ant­wort­li­che die Iden­ti­fi­zie­rung der betrof­fe­nen Per­son sicher­stel­len kann, braucht er die nöti­gen Anga­ben von der betrof­fe­nen Per­son. Im Fall einer münd­li­chen Aus­kunft stellt der Ver­ant­wort­li­che vor­fra­ge­wei­se sicher (z. B. durch Anga­be der AHV-Nr.), dass er die Aus­kunft der kor­rek­ten Per­son erteilt. Arti­kel 16 Absatz 5 Art. (ehem. Art. 20 Abs. 4 E‑VDSG) ersetzt die Anfor­de­rung gemäss Arti­kel 1 Absatz 1 VDSG, wonach die betrof­fe­ne Per­son sich über ihre Iden­ti­tät aus­wei­sen muss. Wei­te­re Aspekte Absatz 4 von Arti­kel 1 VDSG, der die Frist für die Aus­kunfts­er­tei­lung betrifft, wird in einen eigen­stän­di­gen Arti­kel umge­wan­delt (sie­he Art. 18 Art., ehem. Art. 22 E‑VDSG unten). Das­sel­be gilt für Arti­kel 1 Absät­ze 5 und 6 VDSG (sie­he Art. 17 Art., ehem. Art. 21 E‑VDSG unten). 

Art. 17 Zuständigkeit

1 Bear­bei­ten meh­re­re Ver­ant­wort­li­che Per­so­nen­da­ten gemein­sam, so kann die betrof­fe­ne Per­son ihr Aus­kunfts­recht bei jedem Ver­ant­wort­li­chen gel­tend machen
2 Betrifft das Begeh­ren Daten, die von einem Auf­trags­be­ar­bei­ter bear­bei­tet wer­den, so unter­stützt der Auf­trags­be­ar­bei­ter den Ver­ant­wort­li­chen bei der Ertei­lung der Aus­kunft, sofern er das Begeh­ren nicht im Auf­trag des Ver­ant­wort­li­chen beantwortet
Erläu­tern­der Bericht
Zur Prä­zi­sie­rung der Zustän­dig­keit in den Fäl­len, in denen meh­re­ren Ver­ant­wort­li­chen gemein­sam Per­so­nen­da­ten bear­bei­ten, wur­de ein sepa­ra­ter Arti­kel vor­ge­se­hen. Abs. 1 Absatz 1 über­nimmt Absatz 5 von Arti­kel 1 VDSG in ange­pass­ter Form. In ter­mi­no­lo­gi­scher Hin­sicht wur­de der Begriff “Inha­ber der Daten­samm­lung” durch “Ver­ant­wort­li­cher” ersetzt. Die Aus­nah­me von der Mög­lich­keit, bei jedem Ver­ant­wort­li­chen das Aus­kunfts­recht gel­tend zu machen, wur­de auf­ge­ho­ben. Somit kann die betrof­fe­ne Per­son nun ihr Aus­kunfts­recht immer bei jedem Ver­ant­wort­li­chen gel­tend machen. Im Unter­schied zu Arti­kel 1 Absatz 5 VDSG ver­pflich­tet Arti­kel 17 Absatz 1 Art. die Ver­ant­wort­li­chen nicht mehr dazu, die Gesu­che wei­ter­zu­lei­ten; viel­mehr müs­sen sie in jedem Fall Aus­kunft ertei­len. Der Absatz ent­spricht Arti­kel 21 Absatz 2 der Richt­li­nie (EU) 2016/680 sowie Arti­kel 26 Absatz 3 DSGVO. Abs. 2 Absatz 2 über­nimmt Arti­kel 1 Absatz 6 VDSG in ange­pass­ter Form. Der im nDSG (Art. 5 Bst. k nDSG) ein­ge­führ­te Begriff “Auf­trags­be­ar­bei­ter” wird über­nom­men und der Begriff “Inha­ber der Daten­samm­lung” durch “Ver­ant­wort­li­cher” ersetzt. Gemäss Arti­kel 25 Absatz 4 nDSG bleibt der Ver­ant­wort­li­che aus­kunfts­pflich­tig, auch wenn er die Per­so­nen­da­ten von einem Auf­trags­be­ar­bei­ter bear­bei­ten lässt. Der Auf­trags­be­ar­bei­ter ist daher von Geset­zes wegen nicht ver­pflich­tet, Aus­kunfts­be­geh­ren selbst zu beant­wor­ten. In Arti­kel 17 Absatz 2 Art. wird des­halb im Unter­schied zur VDSG neu vor­ge­se­hen, dass der Auf­trags­be­ar­bei­ter den Ver­ant­wort­li­chen bei der Beant­wor­tung unter­stützt, sofern er das Begeh­ren nicht im Auf­trag des Ver­ant­wort­li­chen beant­wor­tet. Dies heisst, dass der Auf­trags­be­ar­bei­ter dem Ver­ant­wort­li­chen die Daten lie­fern muss, wenn die­ser nicht selbst dar­über verfügt. 

Art. 18 Frist

1 Die Aus­kunft muss inner­halb von 30 Tagen seit dem Ein­gang des Begeh­rens erteilt werden
2 Kann die Aus­kunft nicht inner­halb von 30 Tagen erteilt wer­den, so muss der Ver­ant­wort­li­che die betrof­fe­ne Per­son dar­über infor­mie­ren und ihr mit­tei­len, inner­halb wel­cher Frist die Aus­kunft erfolgt
3 Ver­wei­gert der Ver­ant­wort­li­che die Aus­kunft, schränkt er sie ein oder schiebt er sie auf, so muss er dies inner­halb der­sel­ben Frist mitteilen
Erläu­tern­der Bericht
Arti­kel 18 Art. (ehem. Art. 22 E‑VDSG) über­nimmt ohne wesent­li­che Ände­rung den vier­ten Absatz von Arti­kel 1 VDSG. Er prä­zi­siert den vom Par­la­ment in Arti­kel 25 nDSG ein­ge­füg­ten Absatz 7, der die bis anhin in der Ver­ord­nung vor­ge­se­he­ne Frist von 30 Tagen auf Geset­zes­stu­fe fest­legt. Die Prä­zi­sie­rung, wonach der Ent­scheid über die Beschrän­kung des Aus­kunfts­rechts begrün­det wer­den muss, wur­de gestri­chen, da die­se Bestim­mung bereits in Arti­kel 26 Absatz 4 nDSG auf­ge­nom­men wur­de. Fer­ner wird der Begriff “Gesuch­stel­ler” durch “betrof­fe­ne Per­son” ersetzt, damit die Ter­mi­no­lo­gie mit dem nDSG über­ein­stimmt. Im Wesent­li­chen bedeu­tet die Bestim­mung, dass der Ver­ant­wort­li­che der betrof­fe­nen Per­son die ver­lang­te Aus­kunft inner­halb von 30 Tagen ertei­len oder ihr innert die­ser Frist mit­tei­len muss, dass er die Aus­kunft ver­wei­gert, ein­schränkt oder auf­schiebt. Im öffent­li­chen Bereich han­delt es bei der Aus­kunfts­er­tei­lung sowie der Ver­wei­ge­rung, Ein­schrän­kung oder Auf­schie­bung der Aus­kunft um eine Ver­fü­gung im Sin­ne von Arti­kel 5 VwVG . Absatz 2 ist nur anwend­bar, wenn der Ver­ant­wort­li­che nicht in der Lage ist, die Aus­kunft innert 30 Tagen seit Ein­gang des Begeh­rens zu ertei­len (und nicht im Fall, in dem er das Aus­kunfts­recht im Sin­ne von Art. 26 nDSG ein­schränkt): In dem Fall muss der Ver­ant­wort­li­che recht­zei­tig, also ohne unan­ge­mes­se­ne Ver­zö­ge­rung die Frist mit­tei­len, in der die Aus­kunft erfol­gen wird. 

Art. 19 Aus­nah­me von der Kostenlosigkeit

1 Ist die Ertei­lung der Aus­kunft mit einem unver­hält­nis­mä­ssi­gen Auf­wand ver­bun­den, so kann der Ver­ant­wort­li­che von der betrof­fe­nen Per­son ver­lan­gen, dass sie sich an den Kosten ange­mes­sen beteiligt
2 Die Betei­li­gung beträgt maxi­mal 300 Franken
3 Der Ver­ant­wort­li­che muss der betrof­fe­nen Per­son die Höhe der Betei­li­gung vor der Aus­kunfts­er­tei­lung mit­tei­len. Bestä­tigt die betrof­fe­ne Per­son das Gesuch nicht inner­halb von zehn Tagen, so gilt es als ohne Kosten­fol­ge zurück­ge­zo­gen. Die Frist nach Arti­kel 18 Absatz 1 beginnt nach Ablauf der zehn­tä­gi­gen Bedenk­zeit zu laufen
Erläu­tern­der Bericht
Der Titel der Bestim­mung wird im Ver­gleich zu Arti­kel 2 VDSG redak­tio­nell geän­dert. Abs. 1 Arti­kel 2 Absatz 1 Buch­sta­be a VDSG, der que­ru­la­to­ri­sche Aus­kunfts­ge­su­che betrifft, wird auf­ge­ho­ben. Sol­che Fäl­le wer­den neu im nDSG gere­gelt, das in Arti­kel 26 Absatz 1 Buch­sta­be c vor­sieht, dass der Ver­ant­wort­li­che die Aus­kunft ver­wei­gern, ein­schrän­ken oder auf­schie­ben kann, wenn das Aus­kunfts­ge­such offen­sicht­lich que­ru­la­to­risch ist. Arti­kel 2 Absatz 1 Buch­sta­be b sowie Absatz 2 VDSG wer­den in leicht ange­pass­ter Form über­nom­men. Der Aus­druck “aus­nahms­wei­se” wird gestri­chen, da in der Sach­über­schrift des Arti­kels bereits von “Aus­nah­me” die Rede ist; der Begriff “Gesuch­stel­ler” (neu­er Abs. 3) wird aus Grün­den der ter­mi­no­lo­gi­schen Über­ein­stim­mung mit dem nDSG durch “betrof­fe­ne Per­son” ersetzt. Der Aus­druck “beson­ders gro­sser Arbeits­auf­wand” wird durch “unver­hält­nis­mä­ssi­ger Auf­wand” ersetzt, damit die For­mu­lie­rung mit den vom Natio­nal­rat in Arti­kel 25 Absatz 6 nDSG vor­ge­nom­me­nen Ände­run­gen über­ein­stimmt. Es stellt zum Bei­spiel kei­nen unver­hält­nis­mä­ssi­gen Auf­wand dar, wenn der Ver­ant­wort­li­che Zugang zu zahl­rei­chen Per­so­nen­da­ten gewäh­ren muss, wenn sein Inter­es­se gera­de dar­in besteht, mög­lichst vie­le Daten zu sam­meln. Das­sel­be gilt, wenn der Arbeits­auf­wand gross ist, weil der Ver­ant­wort­li­che nicht struk­tu­riert genug orga­ni­siert ist (Miss­ach­tung des Grund­sat­zes “Pri­va­cy by Design”; denn gemäss die­sem Grund­satz müs­sen die Ver­ant­wort­li­chen oder Auf­trags­be­ar­bei­ter über ein System ver­fü­gen, das einen ein­fa­chen Zugang zu den bear­bei­te­ten Daten ermög­licht). Abs. 2 Der Betrag von 300 Fran­ken bleibt unver­än­dert. Gemäss dem Lan­des­in­dex der Kon­su­men­ten­prei­se hat sich der Betrag seit sei­ner Ein­füh­rung in der Ver­ord­nung nur gering­fü­gig ver­än­dert. Zudem soll er auf die betrof­fe­ne Per­son nicht abschreckend wir­ken. Abs. 3 Der Ver­ant­wort­li­che muss der betrof­fe­nen Per­son die Höhe der Betei­li­gung vor der Aus­kunfts­er­tei­lung mit­tei­len. Bestä­tigt die Gesuch­stel­le­rin oder der Gesuch­stel­ler das Gesuch nicht inner­halb von zehn Tagen, so gilt es als ohne Kosten­fol­ge zurück­ge­zo­gen. Die Frist nach Arti­kel 18 Absatz 1 Art. (ehem. Art. 22 Abs. 1 E‑VDSG) beginnt nach Ablauf der 10 Tage Bedenk­zeit zu laufen. 

2. Abschnitt: Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung

Erläu­tern­der Bericht
Die­se Arti­kel prä­zi­sie­ren, wel­che ver­schie­de­nen Anfor­de­run­gen für das Recht auf Daten­her­aus­ga­be oder über­tra­gung, wie es in Arti­kel 28 nDSG ein­ge­führt wird, gel­ten. Vor dem Hin­ter­grund, dass es das Ziel des Gesetz­ge­bers war, eine ähn­li­che Rege­lung wie im euro­päi­schen Recht zu schaf­fen, wer­den dabei die in Arti­kel 20 DSGVO zum Recht auf Daten­über­trag­bar­keit gel­ten­den Regeln berück­sich­tigt. Mit dem Anspruch auf Daten­her­aus­ga­be oder ‑über­tra­gung erhal­ten die betrof­fe­nen Per­so­nen einer­seits das Recht, unter bestimm­ten Vor­aus­set­zun­gen, ihre Per­so­nen­da­ten, wel­che sie dem Ver­ant­wort­li­chen zur Ver­fü­gung gestellt haben, in wei­ter­ver­wend­ba­rer Form von die­sem her­aus zu ver­lan­gen. Die her­aus­ver­lang­ten Per­so­nen­da­ten kön­nen für ver­schie­de­ne Zwecke ver­wen­det wer­den: bei­spiels­wei­se für den rein per­sön­li­chen Gebrauch (z. B. um die Daten auf einem per­sön­li­chen Spei­cher­platz zu spei­chern), um sie an einen ande­ren Online­dien­ste-Anbie­ter wei­ter­zu­lei­ten oder um die Platt­form zu wech­seln. Mit dem Anspruch, die Über­tra­gung ihrer Per­so­nen­da­ten zu ver­lan­gen, erhal­ten die betrof­fe­nen Per­so­nen ande­rer­seits das Recht, den Ver­ant­wort­li­chen zu ersu­chen, dass er die­se Per­so­nen­da­ten direkt einem ande­ren Ver­ant­wort­li­chen über­trägt (z. B. damit ein neu­er Online­dien­ste-Anbie­ter die­se Per­so­nen­da­ten erwei­tern oder der betrof­fe­nen Per­son neue Dien­ste anbie­ten kann oder um bei einem Anbie­ter­wech­sel die eige­ne “Histo­rie” bei­zu­be­hal­ten), sofern dies kei­nen unver­hält­nis­mä­ssi­gen Auf­wand erfor­dert. Das Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung ist vom Aus­kunfts­recht nach Arti­kel 25 nDSG zu unter­schei­den. Das Aus­kunfts­recht berech­tigt die betrof­fe­ne Per­son, vom Ver­ant­wort­li­chen dar­über Aus­kunft zu ver­lan­gen, wel­che Per­so­nen­da­ten die­ser über sie bear­bei­tet. Dies ermög­licht es der betrof­fe­nen Per­son, im Fal­le einer wider­recht­li­chen Daten­be­ar­bei­tung, die Berich­ti­gung oder Löschung ihrer Per­so­nen­da­ten zu ver­lan­gen. Dahin­ge­gen bezweckt der neue Anspruch auf Daten­her­aus­ga­be oder ‑über­tra­gung, die Kon­trol­le der betrof­fe­nen Per­so­nen über ihre Per­so­nen­da­ten sowie über deren Wei­ter­ver­wen­dung zu stär­ken. Er erlaubt ihr damit, sel­ber über die her­aus­ge­ge­be­nen oder über­tra­ge­nen Per­so­nen­da­ten zu ver­fü­gen, die­se wei­ter­zu­ver­wen­den oder an ande­re Ver­ant­wort­li­che wei­ter­zu­ge­ben. Dane­ben erleich­tert es die­ser neue Anspruch den betrof­fe­nen Per­so­nen auch, zwi­schen ver­schie­de­nen Ange­bo­ten zu wech­seln, wodurch zudem Wett­be­werb und Inno­va­ti­on geför­dert wer­den. Für die Ver­ant­wort­li­chen begrün­det die­ser neue Anspruch die Pflicht, die her­aus­ver­lang­ten Per­so­nen­da­ten bin­nen ver­nünf­ti­ger Zeit aggre­giert zur Ver­fü­gung zu stel­len und zu ermög­li­chen, dass sie ohne unver­hält­nis­mä­ssi­gen Auf­wand in ein neu­es System ein­ge­bet­tet wer­den kön­nen. Dafür ist not­wen­dig, dass sie gän­gi­ge Datei­for­ma­te ver­wen­den und gän­gi­ge, stan­dar­di­sier­te Daten­ver­wal­tungs­sy­ste­me imple­men­tie­ren, damit die Daten wei­ter­ver­wend­bar blei­ben. Sowohl bei der Her­aus­ga­be der her­aus­ver­lang­ten Per­so­nen­da­ten sowie bei deren Über­tra­gung haben die Ver­ant­wort­li­chen die daten­schutz­recht­li­chen Grund­sät­ze sowie ihre daten­schutz­recht­li­chen Pflich­ten zu berücksichtigen. 
 

Art. 20 Umfang des Anspruchs

1 Als Per­so­nen­da­ten, die die betrof­fe­ne Per­son dem Ver­ant­wort­li­chen bekannt­ge­ge­ben hat, gel­ten:
a. Daten, die sie die­sem wis­sent­lich und wil­lent­lich zur Ver­fü­gung stellt;
b. Daten, die der Ver­ant­wort­li­che über die betrof­fe­ne Per­son und ihr Ver­hal­ten im Rah­men der Nut­zung eines Diensts oder Geräts erho­ben hat.
2 Per­so­nen­da­ten, die vom Ver­ant­wort­li­chen durch eige­ne Aus­wer­tung der bereit­ge­stell­ten oder beob­ach­te­ten Per­so­nen­da­ten erzeugt wer­den, gel­ten nicht als Per­so­nen­da­ten, die die betrof­fe­ne Per­son dem Ver­ant­wort­li­chen bekannt gege­ben hat
Erläu­tern­der Bericht
Abs. 1 Die­se Bestim­mung prä­zi­siert, wel­che Per­so­nen­da­ten unter den Anspruch auf Daten­her­aus­ga­be oder ‑über­tra­gung fal­len. Der Anspruch umfasst Per­so­nen­da­ten, die die betrof­fe­ne Per­son selbst betref­fen sowie auto­ma­ti­siert und auf Grund­la­ge einer Ein­wil­li­gung oder im Zusam­men­hang mit einem Ver­trag bear­bei­tet wer­den (Art. 28 Abs. 1 nDSG). In erster Linie sind vom Anspruch damit Per­so­nen­da­ten aus­ge­schlos­sen, wel­che in Papier­form auf­be­wahrt wer­den. Kei­ne Anwen­dung fin­det der Anspruch sodann auf Ver­ant­wort­li­che, wel­che Per­so­nen­da­ten in Erfül­lung einer öffent­li­chen Auf­ga­be oder in einem öffent­li­chen Inter­es­se bear­bei­ten. Dies ent­spricht der Rege­lung von Arti­kel 20 Absatz 3 DSGVO sowie dem pri­mär wirt­schaft­li­chen Zweck des Anspruchs auf Daten­her­aus­ga­be oder ‑über­tra­gung. Bun­des­or­ga­ne, wel­che im Rah­men ihrer gesetz­li­chen Auf­ga­ben sowie gestützt auf eine gesetz­li­che Grund­la­ge Per­so­nen­da­ten bear­bei­ten, sind des­halb grund­sätz­lich nicht vom Anspruch auf Daten­her­aus­ga­be oder ‑über­tra­gung betrof­fen. Sofern Bun­des­or­ga­ne aller­dings Per­so­nen­da­ten bei­spiels­wei­se im Wett­be­werb mit Pri­va­ten bear­bei­ten, ist denk­bar, dass die­se Per­so­nen­da­ten vom Anspruch umfasst wer­den. Auf jeden Fall ist es am Ver­ant­wort­li­chen zu prü­fen, auf wel­che Per­so­nen­da­ten, die die­ser bear­bei­tet, der Anspruch Anwen­dung fin­den könn­te und wel­che davon aus­ge­nom­men sind. Nicht vom Anspruch umfasst sind des Wei­te­ren anony­mi­sier­te Per­so­nen­da­ten oder sol­che, wel­che die betrof­fe­ne Per­son nicht betref­fen. Pseud­ony­mi­sier­te Per­so­nen­da­ten, die ein­deu­tig mit der betrof­fe­nen Per­son in Zusam­men­hang gebracht wer­den kön­nen, sind hin­ge­gen von Arti­kel 20 Absatz 1 Art. erfasst. In der Pra­xis dürf­ten in vie­len Fäl­len auch Infor­ma­tio­nen betrof­fen sein, wel­che die Per­so­nen­da­ten von meh­re­ren Per­so­nen umfas­sen, wie z. B. der Kon­to­ver­lauf einer Kun­din oder eines Kun­den oder Daten zu Tele­fon­ge­sprä­chen oder Nach­rich­ten, wel­che Anga­ben über Drit­te ent­hal­ten. Im Rah­men einer Anfra­ge um Her­aus­ga­be oder Über­tra­gung von Per­so­nen­da­ten soll­ten der Gesuch­stel­le­rin oder dem Gesuch­stel­ler auch die­se Auf­zeich­nun­gen bereit­ge­stellt wer­den. Die Per­so­nen­da­ten von Drit­ten dür­fen jedoch nicht für Zwecke bear­bei­tet wer­den, wel­che deren Rech­te und Frei­hei­ten beein­träch­ti­gen. Dies wäre der Fall, wenn der neue Ver­ant­wort­li­che die über­mit­tel­ten Per­so­nen­da­ten von Drit­ten für sei­ne eige­ne Zwecke ver­wen­det, bei­spiels­wei­se, um die­sen die eige­nen Dien­ste anzu­bie­ten. Kei­ne Beein­träch­ti­gung wür­de hin­ge­gen vor­lie­gen, wenn bei einer Über­mitt­lung von Kon­to­in­for­ma­tio­nen auf ein neu­es Bank­kon­to auf Anlass des Kon­to­in­ha­bers, die Kon­takt­adres­se im Kon­to­ver­lauf sei­nes Bank­kon­tos, wei­ter­hin für den­sel­ben Zweck, d.h. als Kon­takt­adres­se und für sei­nen per­sön­li­chen Gebrauch ver­wen­det wird. Wei­ter fal­len unter Arti­kel 20 Absatz 1 Art. nur die­je­ni­gen Per­so­nen­da­ten, wel­che die betrof­fe­ne Per­son einem Ver­ant­wort­li­chen aktiv zur Ver­fü­gung stellt. Dies betrifft gemäss Buch­sta­be a zum einen Per­so­nen­da­ten, wel­che sie dem Ver­ant­wort­li­chen direkt und bewusst angibt, wie z. B. ihre Kon­takt­da­ten über ein Online-For­mu­lar oder durch die Täti­gung von “Likes”. Gemäss Buch­sta­be b umfasst der Anspruch zum ande­ren auch Per­so­nen­da­ten, wel­che die betrof­fe­ne Per­son indi­rekt, das heisst durch ihre Akti­vi­tä­ten bei der Nut­zung eines Dien­stes oder eines Gerä­tes (wis­sent­lich oder unwis­sent­lich) erzeugt und die vom Ver­ant­wort­li­chen beob­ach­tet wer­den (soge­nann­te Nut­zungs­da­ten oder “beob­ach­te­te” Daten, wie z. B. Such­ab­fra­gen, Akti­vi­tä­ten-Pro­to­kol­le, Ver­lauf einer Web­site-Nut­zung). Dass die­se Per­so­nen­da­ten vom Anspruch auf Her­aus­ga­be und Über­tra­gung umfasst sind, ent­spricht der euro­päi­schen Rege­lung sowie dem Sinn und Zweck der Norm in Arti­kel 28 nDSG, wonach die betrof­fe­ne Per­son die von ihr einem Ver­ant­wort­li­chen zur Ver­fü­gung gestell­ten Per­so­nen­da­ten her­aus­ver­lan­gen und wei­ter­ver­wen­den kön­nen soll. Abs. 2 Absatz 2 beschreibt, wel­che Per­so­nen­da­ten nicht als von der betrof­fe­nen Per­son im Sin­ne von Arti­kel 28 Absatz 1 nDSG bekannt­ge­ge­be­ne Per­so­nen­da­ten anzu­se­hen sind. Damit prä­zi­siert die­se Rege­lung den Gel­tungs­be­reich des Anspruchs auf Daten­her­aus­ga­be oder ‑über­tra­gung. Nicht vom Anspruch umfasst sind dem­nach Per­so­nen­da­ten, wel­che ein Ver­ant­wort­li­cher aus Rück­schlüs­sen aus den durch die betrof­fe­ne Per­son im Sin­ne von Arti­kel 20 Absatz 1 Buch­sta­ben a und b bereit­ge­stell­ten oder beob­ach­te­ten Per­so­nen­da­ten sel­ber ablei­tet oder durch eige­ne Ana­ly­sen die­ser Per­so­nen­da­ten erzeugt. Zu den­ken ist bei­spiels­wei­se an die Bewer­tung des Gesund­heits­zu­stands eines Nut­zers, Nut­zer- oder Risi­ko­pro­fi­le, Kre­dit­ri­si­ko­ana­ly­sen etc. Im Unter­schied zu den bereit­ge­stell­ten Per­so­nen­da­ten bezie­hen sich hier die Lei­stun­gen und Inve­sti­tio­nen des Ver­ant­wort­li­chen auf die Ana­ly­se und Aus­wer­tung der bereit­ge­stell­ten Daten und nicht auf das Sam­meln und Bear­bei­ten der Per­so­nen­da­ten. Die Aus­nah­me die­ser Per­so­nen­da­ten vom Anspruch auf Daten­her­aus­ga­be oder ‑über­tra­gung ent­spricht der Rege­lung im euro­päi­schen Recht. Da es Ziel die­ses Anspruchs ist, der betrof­fe­nen Per­son eine Wei­ter­ver­wen­dung ihrer Per­so­nen­da­ten zu ermög­li­chen, erscheint es gerecht­fer­tigt, eine Aus­nah­me für sol­che Per­so­nen­da­ten vor­zu­se­hen, wel­che ein Ver­ant­wort­li­cher durch Aus­wer­tung und Ein­satz eige­ner Res­sour­cen (Eigen­lei­stun­gen, Eigen-Inve­sti­ti­on, fir­men­in­ter­ne Algo­rith­men und Ana­ly­se­ver­fah­ren) erzeugt. Im Unter­schied zu den durch die betrof­fe­ne Per­son “bereit­ge­stell­ten Per­so­nen­da­ten” gemäss Absatz 1, ist bei die­sen durch den Ver­ant­wort­li­chen erzeug­ten Per­so­nen­da­ten, des­sen Inter­es­se am Schutz sei­ner Eigen­lei­stung und eige­nen Inve­sti­ti­on höher zu gewich­ten. Sol­che Per­so­nen­da­ten fal­len daher nicht in den Gel­tungs­be­reich des Anspruchs auf Daten­her­aus­ga­be oder ‑über­tra­gung. Im Rah­men des Aus­kunfts­rechts nach Arti­kel 25 nDSG und der dazu­ge­hö­ri­gen Ver­ord­nungs­be­stim­mun­gen (Art. 16 – 19 Art.) hat die betrof­fe­ne Per­son jedoch die Mög­lich­keit, Aus­kunft vom Ver­ant­wort­li­chen über die­se Per­so­nen­da­ten, ihren Bear­bei­tungs­zweck, ihre Auf­be­wah­rungs­dau­er sowie bei Vor­lie­gen auto­ma­ti­sier­ter Ein­zel­ent­schei­dun­gen, über die Logik, auf der die­se Ent­schei­dung beruht, zu erhal­ten. Wich­tig fest­zu­hal­ten ist, dass die Rege­lung in Arti­kel 20 Absatz 2 nicht als eine Ein­schrän­kung vom in Arti­kel 28 nDSG ein­ge­führ­ten Anspruch auf Daten­her­aus­ga­be oder ‑über­tra­gung zu ver­ste­hen ist, son­dern der Aus­le­gung der gesetz­li­chen Bestim­mung dient, indem sie den Gel­tungs­be­reich des Anspruchs prä­zi­siert. Viel­mehr gel­ten auf­grund des Ver­wei­ses in Arti­kel 29 Absatz 1 nDSG auf Arti­kel 26 Absatz 1 und 2 nDSG die für die Ein­schrän­kung des Aus­kunfts­rechts vor­ge­se­he­nen Grün­de sinn­ge­mäss eben­so für die Ver­wei­ge­rung, Ein­schrän­kung oder den Auf­schub einer Her­aus­ga­be oder Über­tra­gung der Per­so­nen­da­ten, bei­spiels­wei­se zum Schutz über­wie­gen­der Inter­es­sen des Ver­ant­wort­li­chen (z. B. bei Geschäfts­ge­heim­nis­sen oder gei­sti­gem Eigen­tum) oder zum Schutz von über­wie­gen­der Inter­es­sen Drit­ter. Dies soll­te jedoch nicht dazu füh­ren, dass der betrof­fe­nen Per­son jeg­li­che Infor­ma­ti­ons­wei­ter­ga­be ver­wei­gert wird. Viel­mehr muss im Rah­men einer Ver­hält­nis­mä­ssig­keits­prü­fung und Inter­es­sen­ab­wä­gung im Ein­zel­fall bestimmt wer­den, ob und wel­che Per­so­nen­da­ten an die betrof­fe­ne Per­son her­aus­zu­ge­ben oder auf einen ande­ren Ver­ant­wort­li­chen zu über­tra­gen sind. Ver­wei­gert oder beschränkt der Ver­ant­wort­li­che die Her­aus­ga­be oder Über­tra­gung von Per­so­nen­da­ten oder schiebt die­se auf, ist er gemäss Arti­kel 29 Absatz 2 nDSG der betrof­fe­nen Per­son gegen­über zur Begrün­dung verpflichtet. 

Art. 21 Tech­ni­sche Anfor­de­run­gen an die Umsetzung

1 Als gän­gi­ges elek­tro­ni­sches For­mat gel­ten For­ma­te, die es ermög­li­chen, dass die Per­so­nen­da­ten mit ver­hält­nis­mä­ssi­gem Auf­wand über­tra­gen und von der betrof­fe­nen Per­son oder einem ande­ren Ver­ant­wort­li­chen wei­ter­ver­wen­det werden
2 Das Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung begrün­det für den Ver­ant­wort­li­chen nicht die Pflicht, tech­nisch kom­pa­ti­ble Daten­be­ar­bei­tungs­sy­ste­me zu über­neh­men oder beizubehalten
3 Ein unver­hält­nis­mä­ssi­ger Auf­wand für die Über­tra­gung von Per­so­nen­da­ten auf einen ande­ren Ver­ant­wort­li­chen liegt vor, wenn die Über­tra­gung tech­nisch nicht mög­lich ist
Erläu­tern­der Bericht
Abs. 1 Die­se Bestim­mung prä­zi­siert, was als gän­gi­ges elek­tro­ni­sches For­mat im Sin­ne von Arti­kel 28 Absatz 1 nDSG anzu­se­hen ist. Dies sind nament­lich sol­che For­ma­te, die es ermög­li­chen, dass die Per­so­nen­da­ten mit einem ver­hält­nis­mä­ssi­gen Auf­wand über­tra­gen und von der betrof­fe­nen Per­son oder einem ande­ren Ver­ant­wort­li­chen wei­ter­ver­wen­det wer­den kön­nen. Sofern Per­so­nen­da­ten nicht in einem all­ge­mein les­ba­ren For­mat vor­lie­gen (ins­be­son­de­re bei pro­prie­tä­ren oder wenig gebräuch­li­chen For­ma­ten), müs­sen sie vom Ver­ant­wort­li­chen in ein gän­gi­ges elek­tro­ni­sches For­mat über­führt wer­den. Die Daten­for­ma­te soll­ten es der betrof­fe­nen Per­son ermög­li­chen, ihre Daten in einem com­pu­ter­les­ba­ren Stan­dard­for­mat direkt von ihrem per­sön­li­chen Kon­to oder Bereich hoch­zu­la­den. Es sind daher Daten­for­ma­te zu wäh­len, die für die Art der betref­fen­den Daten geeig­net sind. Zu bevor­zu­gen sind offe­ne und inter­ope­ra­ble For­ma­te wie z. B. XML und JSON für umfang­rei­che­re Lösun­gen, sowie CSV, ODT, ODS usw., wel­che in vie­len Fäl­len für die Daten­her­aus­ga­be und ‑über­tra­gung geeig­net sind, da sie ohne nen­nens­wer­te Kom­pa­ti­bi­li­täts­pro­ble­me von ande­ren Ver­ant­wort­li­chen über­nom­men wer­den kön­nen. Daten, die in einem schwer zu ver­ar­bei­ten­den For­mat (z. B. ein Bild oder PDF) oder einem pro­prie­tä­ren For­mat gelie­fert wer­den, des­sen Nut­zung den Erwerb einer Soft­ware oder einer kosten­pflich­ti­gen Lizenz vor­aus­setzt, stel­len a prio­ri kein geeig­ne­tes For­mat dar. Des Wei­te­ren soll­te der Inhalt der über­mit­tel­ten Infor­ma­tio­nen mit geeig­ne­ten und ver­ständ­li­chen Meta­da­ten genau beschrie­ben wer­den, damit sie sinn­voll in ein neu­es System über­nom­men wer­den kön­nen. Die betrof­fe­nen Per­so­nen und die Ver­ant­wort­li­chen, wel­che die Daten im Rah­men einer Daten­über­tra­gung über­neh­men, müs­sen ver­ste­hen, um wel­che Art von Daten es sich han­delt. Die­se Meta­da­ten soll­ten umfang­reich genug sein, um die Nut­zung und Wie­der­ver­wen­dung der Daten zu ermög­li­chen, ohne Geschäfts­ge­heim­nis­se offen­zu­le­gen. Abs. 2 Ent­spre­chend dem euro­päi­schen Recht prä­zi­siert die­se Bestim­mung, dass das Recht der betrof­fe­nen Per­son, sie betref­fen­de Per­so­nen­da­ten vom Ver­ant­wort­li­chen her­aus zu ver­lan­gen oder durch die­sen an einen ande­ren Ver­ant­wort­li­chen über­tra­gen zu las­sen, für den Ver­ant­wort­li­chen nicht die Pflicht begrün­det, tech­nisch kom­pa­ti­ble Daten­be­ar­bei­tungs­sy­ste­me zu über­neh­men oder bei­zu­be­hal­ten. Obwohl die Ein­füh­rung von Stan­dards für Daten­for­ma­te grund­sätz­lich mög­lich wäre, dürf­te sich das jeweils am besten geeig­ne­te For­mat je nach Bran­che und Sek­tor unter­schei­den. Daher erscheint aus­rei­chend, die Ver­wen­dung gän­gi­ger For­ma­te vor­zu­se­hen, ohne die­se For­ma­te näher oder gar abschlie­ssend zu spe­zi­fi­zie­ren. Aus tech­ni­scher Sicht ist erfor­der­lich, dass die Ver­ant­wort­li­chen die Vor­aus­set­zun­gen schaf­fen, um Per­so­nen­da­ten aus­tau­schen zu kön­nen. Zudem müs­sen die aus­ge­tausch­ten Per­so­nen­da­ten durch die betrof­fe­ne Per­son oder den neu­en Ver­ant­wort­li­chen genutzt wer­den kön­nen. Dazu haben die Ver­ant­wort­li­chen die Per­so­nen­da­ten in inter­ope­ra­blen For­ma­ten zur Ver­fü­gung zu stel­len und die­se mit geeig­ne­ten Meta­da­ten für die betrof­fe­ne Per­son und den neu­en Ver­ant­wort­li­chen ver­ständ­lich zu beschrei­ben, um ihre Wei­ter­ver­wen­dung zu ermög­li­chen. Abs. 3 Absatz 3 prä­zi­siert, wann im Sin­ne von Arti­kel 28 Absatz 3 nDSG eine Über­tra­gung einen unver­hält­nis­mä­ssi­gen Auf­wand erfor­dert und der Ver­ant­wort­li­che nicht ver­pflich­tet ist, Per­so­nen­da­ten auf Ver­lan­gen der betrof­fe­nen Per­son an einen ande­ren Ver­ant­wort­li­chen zu über­tra­gen. Wie­der­um im Ein­klang mit dem euro­päi­schen Recht ist von einem ver­hält­nis­mä­ssi­gen Auf­wand für eine Über­tra­gung aus­zu­ge­hen, wenn die­se tech­nisch mög­lich und mach­bar ist. Der Ver­ant­wort­li­che ist dem­nach ver­pflich­tet, die Per­so­nen­da­ten auf Ver­lan­gen der betrof­fe­nen Per­son direkt und in einem inter­ope­ra­blen For­mat an einen ande­ren Ver­ant­wort­li­chen zu über­mit­teln. Selbst wenn der ande­re Ver­ant­wort­li­che die­ses For­mat nicht unter­stützt, kann eine direk­te Daten­über­tra­gung auch erfol­gen, wenn die Kom­mu­ni­ka­ti­on zwi­schen zwei Syste­men auf gesi­cher­te Wei­se mög­lich ist und das emp­fan­gen­de System tech­nisch in der Lage ist, die ein­ge­hen­den Daten zu emp­fan­gen. Ob eine Über­tra­gung tech­nisch mach­bar ist, ist von Fall zu Fall zu über­prü­fen. Denk­bar wäre auch, dass der Ver­ant­wort­li­che eine siche­re Anwen­dungs­pro­gramm-Schnitt­stel­len (API) zur Ver­fü­gung stellt, um dem ande­ren Ver­ant­wort­li­chen zu ermög­li­chen, die Per­so­nen­da­ten auto­ma­tisch abzu­ru­fen. Ist eine direk­te Daten­über­tra­gung wegen tech­ni­scher Hin­der­nis­se jedoch nicht mög­lich, muss der Ver­ant­wort­li­che die betrof­fe­ne Per­son über die­se Hin­der­nis­se infor­mie­ren (Art. 29 Abs. 2 nDSG). Der Ver­ant­wort­li­che darf die Über­mitt­lung der Per­so­nen­da­ten jedoch nicht unge­recht­fer­tigt behin­dern, indem er tech­ni­sche Hür­den vor­sieht, wel­che den Daten­zu­griff, die Daten­über­tra­gung oder die Daten­wie­der­ver­wen­dung durch die betrof­fe­ne Per­son oder einen ande­ren Ver­ant­wort­li­chen ver­lang­samt oder ver­hin­dert. Dies wäre bei­spiels­wei­se der Fall, wenn kei­ne Daten­in­ter­ope­ra­bi­li­tät gebo­ten wird bzw. kein Zugriff auf ein Daten­for­mat, kei­ne Pro­gram­mier­schnitt­stel­le oder nicht das bereit­ge­stell­te For­mat ange­bo­ten wird, wenn über­mä­ssi­ge Ver­zö­ge­run­gen auf­tre­ten oder die Abfra­ge des voll­stän­di­gen Daten­sat­zes zu kom­pli­ziert ist, wenn Daten absicht­lich ver­schlei­ert wer­den, oder wenn spe­zi­fi­sche oder nicht gerecht­fer­tig­te Sek­tor­spe­zi­fi­sche Nor­mungs- oder Akkre­di­tie­rungs­an­for­de­run­gen auf­ge­stellt werden. 

Art. 22 Frist, Moda­li­tä­ten und Zuständigkeit

Die Arti­kel 16 Absät­ze 1 und 5 sowie 17 – 19 gel­ten sinn­ge­mäss für das Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung.
Erläu­tern­der Bericht
Was die Moda­li­tä­ten des Rechts auf Daten­her­aus­ga­be oder ‑über­tra­gung betrifft, sind ver­schie­de­ne Bestim­mun­gen zum Aus­kunfts­recht sinn­ge­mäss anwend­bar. Das betrifft die Form, in der die betrof­fe­ne Per­son die Her­aus­ga­be oder Über­tra­gung ihrer Per­so­nen­da­ten ver­lan­gen kann (Art. 16 Abs. 1 Art., ehem. Art. 20 Abs. 1 E‑VDSG), sowie die ange­mes­se­nen Mass­nah­men, die getrof­fen wer­den müs­sen, um die Iden­ti­fi­zie­rung der betrof­fe­nen Per­son sicher­zu­stel­len (Art. 16 Abs. 5 Art., ehem. Art. 20 Abs. 4 E‑VDSG). Sinn­ge­mäss anwend­bar sind auch die Bestim­mun­gen zur Rege­lung der Zustän­dig­kei­ten bei Aus­kunfts­ge­su­chen bei meh­re­ren Ver­ant­wort­li­chen (Art. 17 Abs. 1 Art., ehem. Art. 21 Abs. 1 E‑VDSG), oder bei Daten­be­ar­bei­tun­gen durch einen Auf­trags­be­ar­bei­ter (Art. 17 Abs. 2 Art., ehem. Art. 21 Abs. 2 E‑VDSG). Anzu­mer­ken ist, dass auch Per­so­nen­da­ten, die durch Auf­trags­be­ar­bei­ter bear­bei­tet wer­den, dem Anspruch auf Daten­her­aus­ga­be oder ‑über­tra­gung unter­lie­gen. In die­sem Fall obliegt es dem Ver­ant­wort­li­chen, die tech­ni­schen und orga­ni­sa­to­ri­schen Lösun­gen zu schaf­fen, mit denen die­ses Recht durch­ge­setzt wer­den kann. Der Auf­trags­be­ar­bei­ter muss den Ver­ant­wort­li­chen bei der Erfül­lung sei­ner Pflich­ten in Bezug auf das Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung unter­stüt­zen (Art. 17 Abs. 2 Art., ehem. Art. 21 Abs. 2 E‑VDSG). Schliess­lich sind auch die Bestim­mun­gen zu den Fri­sten (Art. 18 Art., ehem. Art. 22 E‑VDSG) und den Aus­nah­men von der Kosten­lo­sig­keit (Art. 19 Art., ehem. Art. 23 E‑VDSG) bei Aus­kunfts­ge­su­chen sinn­ge­mäss auf das Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung anwendbar. 

4. Kapi­tel: Beson­de­re Bestim­mun­gen zur Daten­be­ar­bei­tung durch pri­va­te Personen

Art. 23 Daten­schutz­be­ra­te­rin oder Datenschutzberater

Der Ver­ant­wort­li­che muss der Daten­schutz­be­ra­te­rin oder dem Daten­schutz­be­ra­ter:
a. die not­wen­di­gen Res­sour­cen zur Ver­fü­gung stellen;
b. Zugang zu allen Aus­künf­ten, Unter­la­gen, Ver­zeich­nis­sen der Bear­bei­tungs­tä­tig­kei­ten und Per­so­nen­da­ten gewäh­ren, die die Bera­te­rin oder der Bera­ter zur Erfül­lung ihrer oder sei­ner Auf­ga­ben benötigt;
c. das Recht ein­räu­men, in wich­ti­gen Fäl­len das ober­ste Lei­tungs- oder Ver­wal­tungs­or­gan zu informieren.
Erläu­tern­der Bericht
In Arti­kel 10 Absatz 2 nDSG wer­den in nicht abschlie­ssen­der Wei­se zwei Auf­ga­ben­be­rei­che der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters eines pri­va­ten Ver­ant­wort­li­chen gere­gelt: Sie oder er schult und berät den pri­va­ten Ver­ant­wort­li­chen in Fra­gen des Daten­schut­zes (Bst. a) und wirkt beim Voll­zug der Daten­schutz­vor­schrif­ten mit (Bst. b). Da sich die­se Auf­ga­ben­be­rei­che genü­gend kon­kret aus dem Gesetz erge­ben, wer­den sie ent­ge­gen dem Ver­nehm­las­sungs­ent­wurf zukünf­tig nicht noch­mals in der Ver­ord­nung defi­niert. Bst. a und b Die­se Bestim­mun­gen ent­spre­chen inhalt­lich Arti­kel 12b Absatz 2 Buch­sta­ben b und c VDSG. Die Auf­zäh­lung, zu wel­chen Doku­men­ten die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter Zugang haben muss, wur­de der Ter­mi­no­lo­gie im nDSG ange­passt. Der Zugang ist dabei nicht unein­ge­schränkt, son­dern es ist nur Zugang zu den­je­ni­gen Unter­la­gen zu geben, wel­che die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter auch tat­säch­lich zur Auf­ga­ben­er­fül­lung benö­tigt. So ist ins­be­son­de­re der Zugang zu Per­so­nen­da­ten nur dann zu gewäh­ren, wenn die­se zur Auf­ga­ben­er­fül­lung benö­tigt wer­den. Prüft die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter bei­spiels­wei­se in gene­rel­ler Wei­se die inter­nen Daten­schutz­vor­schrif­ten oder Pro­zes­se zur Daten­be­ar­bei­tung, wird sie oder er in der Regel kei­ne Per­so­nen­da­ten ein­se­hen kön­nen müs­sen. Arti­kel 12b Absatz 2 Buch­sta­be a VDSG wird dage­gen nicht über­nom­men, weil die dar­in genann­te Anfor­de­rung neu im Gesetz vor­ge­se­hen ist (Art. 10 Abs. 3 Bst a nDSG). Bst. c Der Ver­ant­wort­li­che muss der Daten­schutz­be­ra­te­rin oder dem Daten­schutz­be­ra­ter das Recht ein­räu­men, in wich­ti­gen Fäl­len das ober­ste Lei­tungs- oder Ver­wal­tungs­or­gan zu infor­mie­ren. Gemeint ist damit die ober­ste Lei­tung des pri­va­ten Ver­ant­wort­li­chen, also das Organ, wel­ches auch die Ver­ant­wor­tung für die Ein­hal­tung der Daten­schutz­vor­schrif­ten trägt. Die Bestim­mung sta­tu­iert ein Eska­la­ti­ons­recht der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters. Dies ist nötig, damit die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter bei unter­neh­mens­in­ter­nen Prü­fun­gen der Ein­hal­tung daten­schutz­recht­li­cher Regeln nicht nur die ihr oder ihm zur Ver­fü­gung ste­hen­den Doku­men­ten ver­trau­en muss, son­dern auch die Beschaf­fung zusätz­li­cher Infor­ma­tio­nen und Doku­men­te durch­set­zen kann. Zudem wird damit gewähr­lei­stet, dass die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter im Fal­le kom­ple­xer Ver­hält­nis­se und beson­ders schwer­wie­gen­der Ver­stö­sse den höch­sten Orga­nen des Ver­ant­wort­li­chen oder des Auf­trags­be­ar­bei­ters berich­ten und einen Ent­scheid bewir­ken kann. Auf­he­bung von Arti­kel 12a VDSG Die­se Bestim­mung wird auf­ge­ho­ben, da ihr Inhalt neu ins Gesetz (Art. 10 Abs. 3 Bst. b und c nDSG) auf­ge­nom­men wurde. 

Art. 24 Aus­nah­me von der Pflicht zur Füh­rung eines Ver­zeich­nis­ses der Bearbeitungstätigkeiten

Unter­neh­men und ande­re pri­vat­recht­li­che Orga­ni­sa­tio­nen, die am 1. Janu­ar eines Jah­res weni­ger als 250 Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter beschäf­ti­gen, sowie natür­li­che Per­so­nen sind von der Pflicht befreit, ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten zu füh­ren, ausser eine der fol­gen­den Vor­aus­set­zun­gen ist erfüllt:
a. Es wer­den beson­ders schüt­zens­wer­te Per­so­nen­da­ten in gro­ssem Umfang bearbeitet.
b. Es wird ein Pro­filing mit hohem Risi­ko durchgeführt.
Erläu­tern­der Bericht
Auf­grund von Arti­kel 12 nDSG müs­sen die Ver­ant­wort­li­chen und die Auf­trags­be­ar­bei­ter je ein Ver­zeich­nis ihrer Bear­bei­tungs­tä­tig­kei­ten füh­ren. Die­ses muss eini­ge Min­destan­ga­ben ent­hal­ten. Für das Ver­zeich­nis des Ver­ant­wort­li­chen sind dies: die Iden­ti­tät des Ver­ant­wort­li­chen, den Bear­bei­tungs­zweck, eine Beschrei­bung der Kate­go­rien betrof­fe­ner Per­so­nen und der Kate­go­rien bear­bei­te­ter Per­so­nen­da­ten, die Kate­go­rien der Emp­fän­ge­rin­nen und Emp­fän­ger, wenn mög­lich die Auf­be­wah­rungs­dau­er der Per­so­nen­da­ten oder die Kri­te­ri­en zur Fest­le­gung die­ser Dau­er sowie eine all­ge­mei­ne Beschrei­bung der Mass­nah­men zur Gewähr­lei­stung der Daten­si­cher­heit nach Arti­kel 8 nDSG, und, falls die Daten ins Aus­land bekannt­ge­ge­ben wer­den, die Anga­be des Staa­tes sowie die Garan­tien nach Arti­kel 16 Absatz 2 nDSG (Art. 12 Abs. 2 nDSG). Für man­che KMU kann das Füh­ren eines sol­chen Ver­zeich­nis­ses einen unver­hält­nis­mä­ssi­gen Ver­wal­tungs­auf­wand bedeu­ten, im Ver­gleich zu den mög­li­chen Risi­ken, wel­che die Daten­be­ar­bei­tung für die Per­sön­lich­keit der betrof­fe­nen Per­so­nen mit sich bringt. Da der Bun­des­rat nach Arti­kel 12 Absatz 5 nDSG Aus­nah­men für Unter­neh­men, ein­schliess­lich Ein­zel­un­ter­neh­men, vor­zu­se­hen hat, ist er dem­entspre­chend auch befugt, die­se Aus­nah­men bei natür­li­chen Per­so­nen und ande­ren Rechts­ein­hei­ten wie Ver­ei­nen und Stif­tun­gen anzu­wen­den. Dies erscheint ange­mes­sen, weil das Füh­ren des Ver­zeich­nis­ses für sie, eben­so wie für die KMU, einen unver­hält­nis­mä­ssi­gen Auf­wand bedeu­ten könn­te. Arti­kel 24 Art. (ehem. Art. 26 E‑VDSG) kon­kre­ti­siert somit Arti­kel 12 Absatz 5 nDSG, indem er bestimmt, für wen die­se Aus­nah­men gel­ten und in wel­chen Fäl­len die Risi­ken von Per­sön­lich­keits­ver­let­zun­gen im Sin­ne die­ser Bestim­mung gering sind (vgl. Bot­schaft, BBl 2017 7037). Er sieht vor, dass Unter­neh­men und ande­re pri­vat­recht­li­che Orga­ni­sa­tio­nen mit weni­ger als 250 Mit­ar­bei­ten­den am 1. Janu­ar eines Jah­res (unab­hän­gig vom Beschäf­ti­gungs­grad) sowie natür­li­che Per­so­nen von der Pflicht befreit sind, ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten zu füh­ren. Aller­dings gilt dies nur, wenn nicht in gro­ssem Umfang beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­tet wer­den (Bst. a) und wenn kein Pro­filing mit hohem Risi­ko durch­ge­führt wird (Bst. b). Die Anfor­de­rung von Arti­kel 24 Buch­sta­be a Art. ent­spricht dabei Arti­kel 22 Absatz 2 Buch­sta­be a nDSG. Mit ande­ren Wor­ten sind nur KMU, die gewis­se Daten­be­ar­bei­tun­gen mit hohem Risi­ko durch­füh­ren, ver­pflich­tet, ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten zu füh­ren. Die Auf­zäh­lung der Daten­be­ar­bei­tun­gen mit hohem Risi­ko ist in die­ser Bestim­mung abschlie­ssend. Für die Vor­ga­be in Buch­sta­be a sei auf die Aus­füh­run­gen zur gleich aus­ge­stal­te­ten Vor­ga­be in Arti­kel 5 Absatz 1 Buch­sta­be a Art. (ehem. Art. 4 Abs. 1 Bst. a E‑VDSG) zur Pflicht von pri­va­ten Per­so­nen zur Erstel­lung eines Bear­bei­tungs­re­gle­ments ver­wie­sen. Als umfang­rei­che Bear­bei­tun­gen beson­ders schüt­zens­wer­ter Daten gel­ten ins­be­son­de­re Daten­be­ar­bei­tun­gen, die gro­sse Men­gen von Daten oder eine gro­sse Zahl von Per­so­nen betref­fen. KMU, wel­che Daten im Sin­ne von Arti­kel 24 Buch­sta­be a und b Art. bear­bei­ten, müs­sen nur für die­se Daten­be­ar­bei­tun­gen, nicht aber für ande­re Daten­be­ar­bei­tun­gen ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten füh­ren. Natür­lich bleibt es auch den KMU, die von der Pflicht aus­ge­nom­men sind, nicht ver­wehrt, frei­wil­lig ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten zu füh­ren. Gera­de wenn ein Ver­ant­wort­li­cher regel­mä­ssig Per­so­nen­da­ten bear­bei­tet, ist es ein nütz­li­ches und ein­fa­ches Instru­ment, um einen Über­blick über die Bear­bei­tungs­tä­tig­kei­ten zu behal­ten, was dem Ver­ant­wort­li­chen auch die Ein­hal­tung ande­rer Ver­pflich­tun­gen, wie etwa der Infor­ma­ti­onsplicht, erleich­tern kann. 

5. Kapi­tel: Beson­de­re Bestim­mun­gen zur Daten­be­ar­bei­tung durch Bundesorgane

1. Abschnitt: Daten­schutz­be­ra­te­rin oder ‑bera­ter

Erläu­tern­der Bericht
Die Arti­kel 25 – 28 Art. (ehem. Art. 25 – 30 E‑VDSG) erset­zen Arti­kel 23 VDSG, der sich mit der Daten­schutz­be­ra­te­rin oder dem Daten­schutz­be­ra­ter von Bun­des­or­ga­nen befasst. 

Art. 25 Ernennung

Jedes Bun­des­or­gan ernennt eine Daten­schutz­be­ra­te­rin oder einen Daten­schutz­be­ra­ter. Meh­re­re Bun­des­or­ga­ne kön­nen gemein­sam eine Daten­schutz­be­ra­te­rin oder einen Daten­schutz­be­ra­ter ernen­nen.
Erläu­tern­der Bericht
Arti­kel 25 Art. setzt Arti­kel 10 Absatz 4 nDSG und Arti­kel 32 der Richt­li­nie (EU) 2016/680 um. Die Rege­lung, wonach meh­re­re Bun­des­or­ga­ne gemein­sam eine Daten­schutz­be­ra­te­rin oder einen Daten­schutz­be­ra­ter bezeich­nen kön­nen, soll es ins­be­son­de­re klei­ne­ren Bun­des­or­ga­nen oder Depar­te­men­ten mit zen­tra­li­sier­ter Orga­ni­sa­ti­onstruk­tur ermög­li­chen, sinn­vol­le und res­sour­cen­ein­spa­ren­de Syn­er­gien zu nut­zen. Hin­ge­gen kann bei­spiels­wei­se von grö­sse­ren Bun­des­äm­tern erwar­tet wer­den, dass die­se für sich allei­ne über eine Daten­schutz­be­ra­te­rin oder einen Daten­schutz­be­ra­ter ver­fü­gen. Natür­lich steht es den Bun­des­or­ga­nen auch offen, meh­re­re Bera­te­rin­nen und Bera­ter zu bezeichnen. 

Art. 26 Anfor­de­run­gen und Aufgaben

1 Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter muss die fol­gen­den Anfor­de­run­gen erfül­len:
a. Sie oder er ver­fügt über die erfor­der­li­chen Fachkenntnisse.
b. Sie oder er übt ihre oder sei­ne Funk­ti­on gegen­über dem Bun­des­or­gan fach­lich unab­hän­gig und wei­sungs­un­ge­bun­den aus.
2 Sie oder er muss fol­gen­de Auf­ga­ben wahrnehmen: 
a. Sie oder er wirkt bei der Anwen­dung der Daten­schutz­vor­schrif­ten mit, indem sie oder er ins­be­son­de­re:
1. die Bear­bei­tung von Per­so­nen­da­ten prüft und Kor­rek­tur­mass­nah­men emp­fiehlt, wenn eine Ver­let­zung der Daten­schutz­vor­schrif­ten fest­ge­stellt wird,
2. den Ver­ant­wort­li­chen bei der Erstel­lung der Daten­schutz-Fol­gen­ab­schät­zung berät und deren Aus­füh­rung überprüft.
b. Sie oder er dient als Anlauf­stel­le für die betrof­fe­nen Personen.
c. Sie oder er schult und berät die Mit­ar­bei­ten­den des Bun­des­or­gans in Fra­gen des Datenschutzes.
Erläu­tern­der Bericht
Abs. 1 Arti­kel 26 Absatz 1 Art. über­nimmt in Buch­sta­be a die Anfor­de­rung des Arti­kels 12a Absatz 2 letz­ter Teil­satz VDSG. In Buch­sta­be b wird – wie bis­her in Arti­kel 12b Absatz 2 Buch­sta­be a VDSG gere­gelt und ana­log zur Rege­lung bei den pri­va­ten Ver­ant­wort­li­chen in Arti­kel 10 Absatz 3 Buch­sta­be a nDSG – neu für alle Bun­des­or­ga­ne ver­bind­lich vor­ge­se­hen (bis­her muss­ten nur die­je­ni­gen Bun­des­or­ga­ne die Anfor­de­run­gen von Art. 12a und Art. 12b VDSG erfül­len, die sich von der Pflicht befrei­en woll­ten, ihre Daten­samm­lun­gen anzu­mel­den, s. Art. 23 Abs. 2 VDSG), dass die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter ihre oder sei­ne Funk­ti­on fach­lich unab­hän­gig und wei­sungs­un­ge­bun­den aus­übt. Dadurch wird die Rol­le der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters in den übli­cher­wei­se hier­ar­chisch gepräg­ten Bun­des­or­ga­nen gestärkt und insti­tu­tio­na­li­siert, damit sie oder er ihre oder sei­ne Auf­ga­ben wirk­sam erfül­len kann. Zwar ist die Rol­le der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters ledig­lich bera­tend und unter­stüt­zend und somit das mög­li­che Kon­flikt­po­ten­zi­al mit den ver­ant­wort­li­chen und vor­ge­setz­ten Stel­len als her­ab­ge­setzt anzu­se­hen. Den­noch muss gewähr­lei­stet sein, dass die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter ihre Emp­feh­lun­gen – mögen sie in der Natur der Sache lie­gend teil­wei­se unlieb­sam sein – frei aus­spre­chen kön­nen, ohne Nach­tei­le befürch­ten zu müs­sen. Die Unab­hän­gig­keit impli­ziert auch, dass sich die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter in wich­ti­gen Fäl­len – wie dies für Pri­va­te in Arti­kel 23 Buch­sta­be c Art. expli­zit vor­ge­se­hen wird – an die ober­ste Lei­tung des Bun­des­or­gans wer­den kann. Die Unab­hän­gig­keit der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters ist vor allem durch orga­ni­sa­to­ri­sche Mass­nah­men sicher­zu­stel­len: So ist ins­be­son­de­re zu ver­hin­dern, dass sich die Tätig­keit als Daten­schutz­be­ra­te­rin oder ‑bera­ter nega­tiv auf das Mit­ar­bei­ter­ge­spräch aus­wir­ken kann. Abs. 2 Die Auf­ga­ben der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters des Bun­des­or­ga­nes in Absatz 2 wur­den ter­mi­no­lo­gisch mit der Bestim­mung bei den pri­va­ten Ver­ant­wort­li­chen (Art. 10 Abs. 3 nDSG) abge­stimmt. In Absatz 2 Buch­sta­be a wird fest­ge­hal­ten, dass die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter, wie bereits in Arti­kel 10 Absatz 2 Buch­sta­be b nDSG fest­ge­hal­ten, bei der Anwen­dung der Daten­schutz­vor­schrif­ten mit­wirkt. Dies beinhal­tet ins­be­son­de­re, dass sie oder er nach Zif­fer 1. die Bear­bei­tung von Per­so­nen­da­ten prüft und Kor­rek­tur­mass­nah­men emp­fiehlt, wenn eine Ver­let­zung der Daten­schutz­vor­schrif­ten fest­ge­stellt wird; und nach Zif­fer 2. den Ver­ant­wort­li­chen bei der Erstel­lung der Daten­schutz-Fol­gen­ab­schät­zung berät und deren Aus­füh­rung über­prüft. Die Mit­wir­kung der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters kann dazu bei­tra­gen, dass der EDÖB ent­la­stet wird. Die Vor­ga­be in Zif­fer 2. ent­spricht Arti­kel 7 Buch­sta­be c der Richt­li­nie (EU) 2016/680. Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter ist als bera­ten­de und unter­stüt­zen­de Stel­le zu ver­ste­hen und nicht als Über­wa­chungs­or­gan. In Bezug auf die Prü­fung von Bear­bei­tun­gen und Emp­feh­lung von Kor­rek­tur­mass­nah­men ist daher dar­auf hin­zu­wei­sen, dass es nicht etwa dar­um geht, eine akti­ve Prüf­pflicht ein­zu­füh­ren bezie­hungs­wei­se syste­ma­ti­sche Kon­trol­len aller Daten­be­ar­bei­tun­gen vor­zu­schrei­ben. Viel­mehr ist es aus­rei­chend, wenn sie oder er aktiv wird, falls bei­spiels­wei­se Anfra­gen der ver­ant­wort­li­chen Stel­len zur Prü­fung einer Daten­be­ar­bei­tung vor­lie­gen oder ihr oder ihm Hin­wei­se zuge­tra­gen wer­den, dass Daten­schutz­vor­schrif­ten ver­letzt wor­den sind. Natür­lich bleibt es aber auch unbe­nom­men, dass die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter pro­ak­tiv prüft. Wei­ter dient die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter gemäss Absatz 2 Buch­sta­be b als Anlauf­stel­le für die betrof­fe­nen Per­so­nen, bei­spiels­wei­se im Fal­le eines Aus­kunfts­ge­su­ches nach Arti­kel 25 nDSG. 

Art. 27 Pflich­ten des Bundesorgans

1 Das Bun­des­or­gan hat gegen­über der Daten­schutz­be­ra­te­rin oder dem Daten­schutz­be­ra­ter fol­gen­de Pflich­ten:
a. Es gewährt ihr oder ihm Zugang zu allen Aus­künf­ten, Unter­la­gen, Ver­zeich­nis­sen der Bear­bei­tungs­tä­tig­kei­ten und Per­so­nen­da­ten, die sie oder er zur Erfül­lung ihrer oder sei­ner Auf­ga­ben benötigt.
b. Es sorgt dafür, dass sie oder er über eine Ver­let­zung der Daten­si­cher­heit infor­miert wird.
2 Es ver­öf­fent­licht die Kon­takt­da­ten der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters im Inter­net und teilt die­se dem EDÖB mit
Erläu­tern­der Bericht
Arti­kel 27 Absatz 1 Buch­sta­be a Art. (ehem. Art. 29 Abs. 1 E‑VDSG) ist iden­tisch zur Rege­lung bei den pri­va­ten Ver­ant­wort­li­chen in Arti­kel 22 Buch­sta­be b Art. (ehem. Art. 25 Abs. 2 Bst. b E‑VDSG). Hier kann daher sinn­ge­mäss auf die dor­ti­gen Aus­füh­run­gen ver­wie­sen wer­den. Ste­hen spe­zi­al­ge­setz­li­che Grund­la­gen dem Zugang der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters zu gewis­sen Infor­ma­tio­nen, ins­be­son­de­re Per­so­nen­da­ten, ent­ge­gen, gehen die­se gemäss dem all­ge­mei­nen Grund­satz der Lex spe­cia­lis vor. Gege­be­nen­falls sind die Per­so­nen­da­ten zu schwär­zen, sofern die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter für ihre oder sei­ne Auf­ga­ben­er­fül­lung Zugang zu Infor­ma­tio­nen benö­tigt, die Per­so­nen­da­ten beinhal­ten. Gemäss Arti­kel 27 Absatz 1 Buch­sta­be b Art. ist das Bun­des­or­gan neu ver­pflich­tet, dafür zu sor­gen, dass die Bera­te­rin oder der Bera­ter über Ver­let­zun­gen der Daten­si­cher­heit infor­miert wird. Die­se Pflicht kann z. B. dadurch gewähr­lei­stet wer­den, dass das Bun­des­or­gan, die Mit­ar­bei­ten­den mit­tels Wei­sung dazu ver­pflich­tet, im Fall einer Ver­let­zung der Daten­si­cher­heit die Bera­te­rin bzw. den Bera­ter zu infor­mie­ren. Die Pflicht betrifft nicht nur Ver­let­zun­gen, die dem EDÖB gestützt auf Arti­kel 24 nDSG gemel­det wer­den müs­sen, son­dern bezieht sich auf jeg­li­che Ver­let­zun­gen der Daten­si­cher­heit. Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter berät den Ver­ant­wort­li­chen bei der Fra­ge, ob die Ver­let­zung einer Mel­de­pflicht im Sin­ne von Arti­kel 24 nDSG unter­liegt. Die Mel­dung an sich liegt aber in der Ver­ant­wor­tung des Ver­ant­wort­li­chen: Er ent­schei­det dar­über, ob und wel­che Ver­let­zun­gen dem EDÖB gemel­det wer­den. Absatz 2 wur­de neu ein­ge­fügt und sieht eine ana­lo­ge Rege­lung wie in Arti­kel 10 Absatz 3 Buch­sta­be d nDSG bei den pri­va­ten Ver­ant­wort­li­chen vor. Dadurch soll den betrof­fe­nen Per­so­nen die Aus­übung ihrer Rech­te erleich­tert wer­den, indem zumin­dest eine fach­li­che Ansprech­per­son unmit­tel­bar aus­fin­dig gemacht wer­den kann. Dabei ist es nicht erfor­der­lich, den Namen der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters zu ver­öf­fent­li­chen. So genügt es, wenn etwa eine E‑Mail-Adres­se der fach­lich zustän­di­gen Stel­le ange­ge­ben wird. Wei­ter sind auch dem EDÖB die Kon­takt­da­ten der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters mitzuteilen. 

Art. 28 Anlauf­stel­le des EDÖB

Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter dient dem EDÖB als Anlauf­stel­le für Fra­gen im Zusam­men­hang mit der Bear­bei­tung von Per­so­nen­da­ten durch das betref­fen­de Bun­des­or­gan.
Erläu­tern­der Bericht
Arti­kel 28 Art. (ehem. Art. 30 E‑VDSG) über­nimmt in prä­zi­sier­ter Form den Sinn­ge­halt von Arti­kel 23 Absatz 3 VDSG. Die For­mu­lie­rung wur­de aber ange­passt, da sie als Kon­takt­be­schrän­kung miss­ver­stan­den wur­de. Den Bun­des­or­ga­nen soll es unbe­nom­men blei­ben, auch über ande­re Stel­len mit dem EDÖB zu ver­keh­ren und nicht nur über die Daten­schutz­be­ra­te­rin oder den Daten­schutz­be­ra­ter. Es ist nicht die Mei­nung, dass sie oder er als Ver­bin­dungs­per­son für den EDÖB fun­giert, son­dern als Anlauf­stel­le, da sie oder er in Fra­gen im Zusam­men­hang mit der Bear­bei­tung von Per­so­nen­da­ten durch das eige­ne Bun­des­or­gan über die not­wen­di­gen Fach­kennt­nis­se und das inter­ne Wis­sen verfügt. 

2. Abschnitt: Informationspflichten

 

Art. 29 Infor­ma­ti­ons­pflicht bei der Bekannt­ga­be von Personendaten

Das Bun­des­or­gan infor­miert die Emp­fän­ge­rin oder den Emp­fän­ger über die Aktua­li­tät, Zuver­läs­sig­keit und Voll­stän­dig­keit der von ihm bekannt­ge­ge­be­nen Per­so­nen­da­ten, soweit sich die­se Infor­ma­tio­nen nicht aus den Daten selbst oder aus den Umstän­den erge­ben.
Erläu­tern­der Bericht
Die­se Bestim­mung ent­spricht den Arti­keln 12 und 26 VDSG und betrifft die Zuver­läs­sig­keit der bekannt­ge­ge­be­nen Per­so­nen­da­ten. Nebst der “Aktua­li­tät” und der “Zuver­läs­sig­keit” der Per­so­nen­da­ten wird in Arti­kel 29 Art. (ehem. Art. 15 E‑VDSG) neu die “Voll­stän­dig­keit” erwähnt. Zur Sicher­stel­lung der Daten­qua­li­tät müs­sen die Daten aktu­ell, zuver­läs­sig und voll­stän­dig (d. h. weder nur teil­wei­se vor­han­den noch lücken­haft) sein. Die Bestim­mung wird so an Arti­kel 7 Absatz 2 der Richt­li­nie (EU) 2016/680 ange­passt. Sie ergänzt Arti­kel 6 Absatz 5 nDSG. 

Art. 30 Infor­ma­ti­ons­pflicht bei der syste­ma­ti­schen Beschaf­fung von Personendaten

Ist die betrof­fe­ne Per­son nicht zur Aus­kunft ver­pflich­tet, so weist das ver­ant­wort­li­che Bun­des­or­gan sie bei einer syste­ma­ti­schen Beschaf­fung von Per­so­nen­da­ten dar­auf hin.
Erläu­tern­der Bericht
Die Rege­lung ent­spricht dem gel­ten­den Arti­kel 24 VDSG: Ist die betrof­fe­ne Per­son nicht zur Aus­kunft ver­pflich­tet, so muss das ver­ant­wort­li­che Bun­des­or­gan die­se auf die Frei­wil­lig­keit ihrer Aus­kunfts­er­tei­lung hin­wei­sen. Ent­spre­chend der Rege­lung des Arti­kels 24 VDSG gilt die­se Pflicht eben­falls ein­zig für die syste­ma­ti­sche Beschaf­fung von Per­so­nen­da­ten. Sie betrifft ins­be­son­de­re den Bereich der Sta­ti­stik und Forschung. 

3. Abschnitt: Mel­dung der Pro­jek­te zur auto­ma­ti­sier­ten Bear­bei­tung von Per­so­nen­da­ten an den EDÖB

Art. 31

1 Das ver­ant­wort­li­che Bun­des­or­gan mel­det dem EDÖB die geplan­ten auto­ma­ti­sier­ten Bear­bei­tungs­tä­tig­kei­ten im Zeit­punkt des Ent­scheids zur Pro­jekt­ent­wick­lung oder der Projektfreigabe
2 Die Mel­dung muss die Anga­ben nach Arti­kel 12 Absatz 2 Buch­sta­ben a – d DSG sowie das vor­aus­sicht­li­che Datum des Beginns der Bear­bei­tungs­tä­tig­kei­ten enthalten
3 Der EDÖB nimmt die­se Mel­dung in das Regi­ster der Bear­bei­tungs­tä­tig­kei­ten auf
4 Das ver­ant­wort­li­che Bun­des­or­gan aktua­li­siert die Mel­dung beim Über­gang in den pro­duk­ti­ven Betrieb oder bei der Projekteinstellung
Erläu­tern­der Bericht
In Arti­kel 31 Absatz 1 Art. wird gere­gelt, dass das ver­ant­wort­li­che Bun­des­or­gan dem EDÖB die geplan­ten auto­ma­ti­sier­ten Bear­bei­tungs­tä­tig­kei­ten zum Zeit­punkt der Pro­jekt­frei­ga­be oder des Ent­scheids zur Ent­wick­lung zu mel­den hat. Im Ver­gleich zur sub­si­diä­ren Mel­dung an den EDÖB nach Arti­kel 20 Absatz 2 VDSG, die auf eine inhalt­li­che Prü­fung der Pro­jek­te abzielt, dient die vor­lie­gen­de Mel­dung dem EDÖB hin­ge­gen zur rei­nen Über­sicht über geplan­te Pro­jek­te, in denen auto­ma­ti­siert Per­so­nen­da­ten bear­bei­tet wer­den sol­len. In erster Linie soll die Mel­dung es dem EDÖB ermög­li­chen, sich ein Gesamt­bild über die geplan­ten Pro­jek­te ver­schaf­fen zu kön­nen und so auch sei­ne Res­sour­cen­pla­nung im Bereich der Bera­tungs­tä­tig­kei­ten und Beglei­tung von Gesetz­ge­bungs­pro­jek­ten opti­mie­ren zu kön­nen. In zwei­ter Linie dient die­se Mel­dung natür­lich auch dem Per­sön­lich­keits­schutz. Da sich die Pro­jek­te im Zeit­punkt der Anmel­dung noch in einem frü­hen Sta­di­um befin­den, beschränkt sich der Inhalt der Mel­dung gemäss Absatz 2 auf eine Teil­men­ge der Anga­ben, die in Arti­kel 12 Absatz 2 nDSG ver­langt wer­den, näm­lich auf die Buch­sta­ben a – d. Wie die Mel­dung der Ver­zeich­nis­se der bereits bestehen­den Bear­bei­tungs­tä­tig­kei­ten gemäss Arti­kel 12 nDSG, nimmt der EDÖB auch die Mel­dun­gen der geplan­ten Bear­bei­tungs­tä­tig­kei­ten im Regi­ster der Bear­bei­tungs­tä­tig­kei­ten gemäss Arti­kel 56 nDSG auf. Die Anga­ben zur Mel­dung der geplan­ten Bear­bei­tungs­tä­tig­kei­ten wer­den aller­dings nicht ver­öf­fent­licht (sie­he Art. 42 Abs. 2 Art.). Das ver­ant­wort­li­che Bun­des­or­gan aktua­li­siert den Ein­trag gemäss Absatz 4 beim erfolg­rei­chen Abschluss des Pro­jek­tes, also beim Über­gang in den pro­duk­ti­ven Betrieb (bzw. über­führt den Ein­trag in eine Mel­dung nach Art. 12 Abs. 4 nDSG), oder bei der Pro­jekt­ein­stel­lung (d. h. Löschung des Ein­trags). Die Mel­dung ist für den EDÖB daher erst zum Zeit­punkt der Pro­jekt­frei­ga­be oder des Ent­scheids zur Ent­wick­lung des Pro­jekts “sicht­bar”.

4. Abschnitt: Pilotversuche

Art. 32 Unent­behr­lich­keit des Pilotversuchs

Ein Pilot­ver­such ist unent­behr­lich, wenn eine der fol­gen­den Bedin­gun­gen erfüllt ist:
a. Die Erfül­lung einer Auf­ga­be erfor­dert tech­ni­sche Neue­run­gen, deren Aus­wir­kun­gen zunächst eva­lu­iert wer­den müssen.
b. Die Erfül­lung einer Auf­ga­be erfor­dert bedeu­ten­de orga­ni­sa­to­ri­sche oder tech­ni­sche Mass­nah­men, deren Wirk­sam­keit zunächst geprüft wer­den muss, ins­be­son­de­re bei der Zusam­men­ar­beit zwi­schen Orga­nen des Bun­des und der Kantone.
c. Die Erfül­lung einer Auf­ga­be erfor­dert, dass die Per­so­nen­da­ten im Abruf­ver­fah­ren zugäng­lich sind.
Erläu­tern­der Bericht
Auf­grund von Arti­kel 35 Absatz 1 nDSG kann der Bun­des­rat vor Inkraft­tre­ten eines Geset­zes im for­mel­len Sinn die auto­ma­ti­sier­te Bear­bei­tung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten oder ande­re Daten­be­ar­bei­tun­gen nach Arti­kel 34 Absatz 2 Buch­sta­ben b und c nDSG bewil­li­gen, wenn bestimm­te Vor­aus­set­zun­gen kumu­la­tiv erfüllt sind. Eine die­ser Vor­aus­set­zun­gen besteht dar­in, dass für die prak­ti­sche Umset­zung der Daten­be­ar­bei­tung eine Test­pha­se vor dem Inkraft­tre­ten, ins­be­son­de­re aus tech­ni­schen Grün­den, unent­behr­lich ist. Um die Rege­lungs­dich­te in Arti­kel 35 nDSG zu ver­min­dern, hat der Bun­des­rat die­se Prä­zi­sie­run­gen von Arti­kel 17a Absatz 2 DSG in die Ver­ord­nung ver­scho­ben. Arti­kel 32 Art. bestimmt, in wel­chen Fäl­len eine Test­pha­se als unent­behr­lich anzu­se­hen ist. Er über­nimmt mit eini­gen redak­tio­nel­len Ände­run­gen Arti­kel 17a Absatz 2 DSG. So ist etwa der Begriff der “tech­ni­schen Neue­run­gen” wie bis anhin zu ver­ste­hen: Davon umfasst wird einer­seits der Ein­satz neu­er Tech­no­lo­gien, aber auch der Ein­satz von bereits bekann­ter Tech­no­lo­gie in einer neu­en Umge­bung bzw. beim Umset­zen neu­er Lösun­gen. Als Bei­spiel dafür kann die Swis­s­Co­vid App her­an­ge­zo­gen wer­den: Sie basiert zwar auf bereits bekann­ten Tech­no­lo­gien wie Blue­tooth, wel­che aber noch nie in einer ver­gleich­ba­ren Lösung ein­ge­setzt wur­den. Ein­zig Buch­sta­be c wird ange­passt: Neu wer­den vom Wort­laut alle Abruf­ver­fah­ren erfasst und nicht mehr nur die­je­ni­gen, die einen Zugang für kan­to­na­le Behör­den schaf­fen. Die­ser ein­schrän­ken­de Wort­laut hat­te ent­ste­hungs­ge­schicht­li­che Grün­de, in der Sache kann aber nicht ent­schei­dend sein, wer der Adres­sa­ten­kreis des Abruf­ver­fah­rens ist, son­dern der tech­ni­sche Aspekt steht für die Annah­me der Unent­behr­lich­keit im Vor­der­grund (vgl. Art. 35 Abs. 1 Bst. c nDSG). Min­de­stens eine Bedin­gung nach Buch­sta­ben a – c muss erfüllt sein, was ins­be­son­de­re bedeu­tet, dass ein Pilot­ver­such nicht nur aus rei­nen Zeit­grün­den ein­ge­setzt wer­den darf. 

Art. 33 Ver­fah­ren bei der Bewil­li­gung des Pilotversuchs

1 Vor der Kon­sul­ta­ti­on der inter­es­sier­ten Ver­wal­tungs­ein­hei­ten legt das für den Pilot­ver­such zustän­di­ge Bun­des­or­gan dar, wie die Ein­hal­tung der Vor­aus­set­zun­gen nach Arti­kel 35 DSG erfüllt wer­den soll, und lädt den EDÖB zur Stel­lung­nah­me ein
2 Der EDÖB nimmt zur Fra­ge Stel­lung, ob die Bewil­li­gungs­vor­aus­set­zun­gen nach Arti­kel 35 DSG erfüllt sind. Das Bun­des­or­gan stellt ihm alle dazu not­wen­di­gen Unter­la­gen zur Ver­fü­gung, ins­be­son­de­re:
a. eine all­ge­mei­ne Beschrei­bung des Pilotversuchs;
b. einen Bericht, der nach­weist, dass die Erfül­lung der gesetz­lich vor­ge­se­he­nen Auf­ga­ben eine Bear­bei­tung nach Arti­kel 34 Absatz 2 DSG erfor­dert und dass eine Test­pha­se vor dem Inkraft­tre­ten des Geset­zes im for­mel­len Sinn unent­behr­lich ist;
c. eine Beschrei­bung der inter­nen Orga­ni­sa­ti­on sowie der Daten­be­ar­bei­tungs- und Kontrollverfahren;
d. eine Beschrei­bung der Sicher­heits- und Datenschutzmassnahmen;
e. den Ent­wurf einer Ver­ord­nung, wel­che die Ein­zel­hei­ten der Bear­bei­tung regelt, oder das Kon­zept einer Verordnung;
f. die Pla­nung der ver­schie­de­nen Pha­sen des Pilotversuchs.
3 Der EDÖB kann wei­te­re Doku­men­te anfor­dern und zusätz­li­che Abklä­run­gen vornehmen
4 Das Bun­des­or­gan infor­miert den EDÖB über jede wich­ti­ge Ände­rung, wel­che die Ein­hal­tung der Vor­aus­set­zun­gen nach Arti­kel 35 DSG betrifft. Der EDÖB nimmt, falls erfor­der­lich, erneut Stellung
5 Die Stel­lung­nah­me des EDÖB ist dem Antrag an den Bun­des­rat beizufügen
6 Die auto­ma­ti­sier­te Daten­be­ar­bei­tung wird in einer Ver­ord­nung geregelt
Erläu­tern­der Bericht
Die­se Bestim­mung über­nimmt mit eini­gen redak­tio­nel­len Anpas­sun­gen Arti­kel 27 VDSG. Die Ver­wei­se wer­den wo nötig auf das nDSG ange­passt. Ein neu­er Absatz 6 wur­de hin­zu­ge­fügt, in wel­chem ‒ ähn­lich wie bis­her in Arti­kel 17a Absatz 3 DSG ‒ fest­ge­hal­ten wird, dass die auto­ma­ti­sier­te Daten­be­ar­bei­tung in einer Ver­ord­nung gere­gelt wird. Dadurch wird die Trans­pa­renz der Pilot­ver­su­che gewährleistet. 

Art. 34 Evaluationsbericht

1 Das zustän­di­ge Bun­des­or­gan unter­brei­tet dem EDÖB den Ent­wurf des Eva­lua­ti­ons­be­richts an den Bun­des­rat zur Stellungnahme
2 Es unter­brei­tet dem Bun­des­rat den Eva­lua­ti­ons­be­richt mit der Stel­lung­nah­me des EDÖB
Erläu­tern­der Bericht
Die­se Bestim­mung über­nimmt Arti­kel 27a VDSG. Nach Arti­kel 34 Art. unter­brei­tet das zustän­di­ge Bun­des­or­gan dem EDÖB den Ent­wurf des Eva­lua­ti­ons­be­richts zur Stel­lung­nah­me. Wenn es dies für not­wen­dig erach­tet, passt das zustän­di­ge Bun­des­or­gan den Eva­lua­ti­ons­be­richt an. 

5. Abschnitt: Daten­be­ar­bei­tung für nicht per­so­nen­be­zo­ge­ne Zwecke

Art. 35

Wer­den Per­so­nen­da­ten zu nicht per­so­nen­be­zo­ge­nen Zwecken, ins­be­son­de­re der For­schung, der Pla­nung und der Sta­ti­stik, und gleich­zei­tig zu einem ande­ren Zweck bear­bei­tet, so sind die Aus­nah­men nach Arti­kel 39 Absatz 2 DSG nur für die Bear­bei­tung zu den nicht per­so­nen­be­zo­ge­nen Zwecken anwend­bar.
Erläu­tern­der Bericht
Um sicher­zu­stel­len, dass die Anwen­dung der Aus­nah­men nach Arti­kel 39 Absatz 2 nDSG nicht über den gesetz­li­chen Rah­men hin­aus­geht, wird in der Ver­ord­nung prä­zi­siert, dass bei einer Daten­be­ar­bei­tung für nicht per­so­nen­be­zo­ge­ne Zwecke (z. B. für For­schung, Pla­nung oder Sta­ti­stik), die gleich­zei­tig einem ande­ren Zweck dient, die­se Aus­nah­men nur für die Bear­bei­tung zu den in Arti­kel 39 nDSG genann­ten Zwecken anwend­bar sind. 

6. Kapi­tel: Eid­ge­nös­si­scher Daten­schutz- und Öffentlichkeitsbeauftragter

Art. 36 Sitz und stän­di­ges Sekretariat

1 Der Sitz des EDÖB befin­det sich in Bern
2 Auf die Arbeits­ver­hält­nis­se der Ange­stell­ten des stän­di­gen Sekre­ta­ri­ats des EDÖB ist die Bun­des­per­so­nal­ge­setz­ge­bung anwend­bar. Die Ange­stell­ten sind im Rah­men des Vor­sor­ge­werks Bund bei der Pen­si­ons­kas­se des Bun­des versichert
Erläu­tern­der Bericht
Die­se Bestim­mung ent­spricht grund­sätz­lich Arti­kel 30 VDSG. Arti­kel 36 Absatz 1 Art. (ehem. Art. 37 Abs. 1 E‑VDSG) bleibt mate­ri­ell unver­än­dert. Auf die bis­he­ri­ge Nen­nung des Sekre­ta­ri­ats wird aber hier ver­zich­tet, da sich durch die Ände­rung der Ter­mi­no­lo­gie von “Beauf­trag­ten” zu “EDÖB” bereits ergibt, dass damit die Behör­de als Gan­zes gemeint ist und somit auch das Sekre­ta­ri­at umfasst wird. Arti­kel 36 Absatz 2 Art. (ehem. Art. 37 Abs. 1 E‑VDSG) regelt das Arbeits­ver­hält­nis des stän­di­gen Sekre­ta­ri­ats des EDÖB. Inhalt­lich ent­spricht die Bestim­mung dem heu­ti­gen Arti­kel 30 Absatz 2 VDSG. Sie ent­hält im Ver­gleich zum gel­ten­den Recht aber (ter­mi­no­lo­gi­sche) Anpas­sun­gen und eine Ergän­zung. Die oder der Beauf­trag­te und das stän­di­ge Sekre­ta­ri­at des EDÖB bil­den auch nach der Total­re­vi­si­on des DSG eine dezen­tra­li­sier­te Ver­wal­tungs­ein­heit ohne Rechts­per­sön­lich­keit, die der Bun­des­kanz­lei admi­ni­stra­tiv zuge­ord­net ist (Art. 43 Abs. 4 zwei­ter Satz nDSG, Art. 2 Abs. 1 Bst. e [BPG] , Art. 2 Abs. 3 des Regie­rungs- und Ver­wal­tungs­or­ga­ni­sa­ti­ons­ge­set­zes vom 21. März 1997 [RVOG] sowie Art. 8 Abs. 1 Bst. b i. V. m. Anhang 1 Bst. A Ziff. 2.1.1 der Regie­rungs- und Ver­wal­tungs­or­ga­ni­sa­ti­ons­ver­ord­nung vom 25. Novem­ber 1998 [RVOV]). Wie bis­her ist in Arti­kel 43 Absatz 5 zwei­ter Satz nDSG vor­ge­se­hen, dass die oder der Beauf­trag­te ihr bzw. sein Per­so­nal selbst anstellt und in die­sem Rah­men über gewis­se Kom­pe­ten­zen ver­fügt. So wer­den bei­spiels­wei­se die Arbeits­ver­trä­ge des Per­so­nals des EDÖB von der bzw. dem Beauf­trag­ten unter­zeich­net. Die oder der Beauf­trag­te gilt für das Sekre­ta­ri­at des EDÖB aber auch wei­ter­hin nicht als per­so­nal- oder vor­sor­ge­recht­li­cher Arbeit­ge­ber im Sin­ne des BPG. Arbeit­ge­ber ist gemäss Arti­kel 3 Absatz 1 Buch­sta­be a BPG der Bun­des­rat. Auf das Arbeits­ver­hält­nis der Ange­stell­ten des stän­di­gen Sekre­ta­ri­ats des EDÖB ist des­halb gemäss Arti­kel 36 Absatz 2 erster Satz Art. wei­ter­hin die Bun­des­per­so­nal­ge­setz­ge­bung anwend­bar. Somit sind wei­ter­hin die Bun­des­per­so­nal­ver­ord­nung vom 3. Juli 2001 (BPV), die Ver­ord­nung des EFD vom 6. Dezem­ber 2001 zur Bun­des­per­so­nal­ver­ord­nung (VBPV) und die Ver­ord­nung vom 22. Novem­ber 2017 über den Schutz von Per­so­nen­da­ten des Bun­des­per­so­nals (BPDV) anwend­bar. Der bis­he­ri­ge Arti­kel 30 Absatz 2 VDSG erfährt dies­be­züg­lich ledig­lich eine ter­mi­no­lo­gi­sche Anpas­sung (“Ange­stell­te des stän­di­gen Sekre­ta­ri­ats des EDÖB” statt “Sekre­ta­ri­at des Beauf­trag­ten” und “Bun­des­per­so­nal­ge­setz­ge­bung” statt “Bun­des­per­so­nal­ge­setz […] sowie […] des­sen Voll­zugs­be­stim­mun­gen”). Zusätz­lich wird in Arti­kel 36 Absatz 2 zwei­ter Satz Art. klar­ge­stellt, dass die Ange­stell­ten des stän­di­gen Sekre­ta­ri­ats des EDÖB im Rah­men des Vor­sor­ge­werks Bund bei der Pen­si­ons­kas­se des Bun­des ver­si­chert sind. Die­se Ergän­zung bringt kei­ne mate­ri­el­le Ände­rung mit sich, son­dern hält ledig­lich die auch schon bis­her bestehen­de vor­sor­ge­recht­li­che Rege­lung für das stän­di­ge Sekre­ta­ri­at des EDÖB aus­drück­lich fest (vgl. Art. 32a Abs. 1 und Art. 32d Abs. 1 BPG). Das Per­so­nal bleibt dem­nach gemäss den Bestim­mun­gen des Vor­sor­ge­re­gle­ments vom 15. Juni 2007 für die Ange­stell­ten und die Ren­ten­be­zie­hen­den des Vor­sor­ge­werks Bund (VRAB) ver­si­chert. Betref­fend das Arbeits­ver­hält­nis des stän­di­gen Sekre­ta­ri­ats des EDÖB wird also vor­läu­fig der Sta­tus quo bei­be­hal­ten. Dies recht­fer­tigt sich ins­be­son­de­re auch des­halb, weil die admi­ni­stra­ti­ve Zuord­nung zur Bun­des­kanz­lei dem EDÖB erlaubt, sei­ne Res­sour­cen auf den ope­ra­ti­ven Betrieb zu kon­zen­trie­ren. Die Zusam­men­ar­beit zwi­schen der Bun­des­kanz­lei und dem EDÖB ist so aus­ge­stal­tet, dass die Unab­hän­gig­keit des EDÖB gewähr­lei­stet bleibt. Gleich­wohl stellt sich die Fra­ge, ob der oder dem Beauf­trag­ten gegen­über den Ange­stell­ten des stän­di­gen Sekre­ta­ri­ats per­so­nal- und vor­sor­ge­recht­li­che Arbeit­ge­ber­be­fug­nis­se zukom­men soll­ten. Die­se Fra­ge ist bei näch­ster Gele­gen­heit auf for­mell­ge­setz­li­cher Stu­fe zu klä­ren. Die koor­di­nier­te Über­prü­fung und Anpas­sung der spe­zi­al­ge­setz­li­chen Rechts­grund­la­gen für die Daten juri­sti­scher Per­so­nen, die in den fünf Jah­ren nach Inkraft­tre­ten des nDSG erfol­gen soll (vgl. Art. 71 nDSG), könn­te dazu Gele­gen­heit bie­ten. Die Aus­füh­rungs­be­stim­mun­gen zum Arbeits­ver­hält­nis der oder des Beauf­trag­ten sind dage­gen nicht durch den Bun­des­rat, son­dern durch die Bun­des­ver­samm­lung zu erlas­sen. Denn das Arbeits­ver­hält­nis der oder des Beauf­trag­ten wird neu mit der Wahl durch die Ver­ei­nig­te Bun­des­ver­samm­lung begrün­det (Art. 43 Abs. 1 nDSG). Im Rah­men der par­la­men­ta­ri­schen Initia­ti­ve 21.443 hat die SPK‑N am 27. Janu­ar 2022 einen Ent­wurf für eine Ver­ord­nung der Bun­des­ver­samm­lung ver­ab­schie­det, der die Aus­füh­rungs­be­stim­mun­gen zum Arbeits­ver­hält­nis der oder des Beauf­trag­ten ent­hält. Ausser­dem sind in die­sem Zusam­men­hang ein­zel­ne Ände­run­gen des nDSG vor­ge­se­hen. Das Par­la­ment hat die Vor­la­gen in der Schluss­ab­stim­mung vom 17. Juni 2022 ange­nom­men. Arti­kel 30 Absatz 3 VDSG wur­de nicht bei­be­hal­ten, da der EDÖB neu ein eigen­stän­di­ges Bud­get führt, wel­ches in Arti­kel 45 nDSG sowie in Arti­kel 142 Absät­ze 2 und 3 des Par­la­ments­ge­set­zes vom 13. Dezem­ber 2002 (nParlG) abschlie­ssend gere­gelt wird. 

Art. 37 Kommunikationsweg

1 Der EDÖB kom­mu­ni­ziert mit dem Bun­des­rat über die Bun­des­kanz­le­rin oder den Bun­des­kanz­ler. Die­se oder die­ser lei­tet die Vor­schlä­ge, Stel­lung­nah­men und Berich­te unver­än­dert an den Bun­des­rat weiter
2 Der EDÖB reicht Berich­te zuhan­den der Bun­des­ver­samm­lung über die Par­la­ments­dien­ste ein
Erläu­tern­der Bericht
Arti­kel 37 Art. stellt weit­ge­hend eine Über­nah­me von Arti­kel 31 Absät­ze 1 und 1bis VDSG dar. Arti­kel 31 Absatz 2 wur­de nicht in die Art. über­nom­men, da sich aus der Unab­hän­gig­keit und der Wei­sungs­un­ge­bun­den­heit des EDÖB ohne­hin ergibt, dass der EDÖB mit ande­ren Ver­wal­tungs­ein­hei­ten direkt kom­mu­ni­zie­ren kann. Die Strei­chung führt daher zu kei­ner mate­ri­ell­recht­li­chen Ände­rung. Im Ver­gleich zu Arti­kel 31 VDSG wur­de der erste Absatz geän­dert. Mit der neu­en For­mu­lie­rung soll prä­zi­siert wer­den, dass der EDÖB bei Fra­gen, die nicht auf der Trak­tan­den­li­ste einer Bun­des­rats­sit­zung ste­hen, auch mit dem Bun­des­rat in Kon­takt tre­ten kann, indem er z. B. Stel­lung­nah­men an die­sen wei­ter­lei­ten lässt. Abge­se­hen davon bleibt Absatz 1 inhalt­lich unver­än­dert, weil die Bun­des­kanz­le­rin oder der Bun­des­kanz­ler sämt­li­che Mit­tei­lun­gen an den Bun­des­rat wei­ter­lei­ten muss und hier­bei kei­nen Hand­lungs­spiel­raum hat. Dies gilt auch für das Mit­be­richts­ver­fah­ren. Bei Absatz 2 wur­de ein­zig die For­mu­lie­rung leicht ange­passt; der mate­ri­el­le­recht­li­che Gehalt ent­spricht aber Arti­kel 31 Absatz 1bis VDSG. 

Art. 38 Mit­tei­lung von Ent­schei­den, Richt­li­ni­en und Projekten

1 Die Depar­te­men­te und die Bun­des­kanz­lei tei­len dem EDÖB im Bereich des Daten­schut­zes ihre Ent­schei­de in anony­mi­sier­ter Form sowie ihre Richt­li­ni­en mit
2 Die Bun­des­or­ga­ne legen dem EDÖB alle Recht­set­zungs­ent­wür­fe vor, wel­che die Bear­bei­tung von Per­so­nen­da­ten, den Daten­schutz sowie den Zugang zu amt­li­chen Doku­men­ten betreffen
Erläu­tern­der Bericht
Die­se Bestim­mung ent­spricht, abge­se­hen von ter­mi­no­lo­gi­schen und syste­ma­ti­schen Anpas­sun­gen, Arti­kel 32 Absatz 1 VDSG. Absatz 2: Der Ein­be­zug des EDÖB soll­te mög­lichst früh­zei­tig erfol­gen. Er ist spä­te­stens im Rah­men der Ämter­kon­sul­ta­ti­on zu konsultieren. 

Art. 39 Bear­bei­tung von Personendaten

Der EDÖB kann Per­so­nen­da­ten, ein­schliess­lich beson­ders schüt­zens­wer­ter Per­so­nen­da­ten, ins­be­son­de­re zu fol­gen­den Zwecken bear­bei­ten:
a. zur Aus­übung sei­ner Aufsichtstätigkeiten;
b. zur Aus­übung sei­ner Beratungstätigkeiten;
c. zur Zusam­men­ar­beit mit Bun­des­be­hör­den, kan­to­na­len und aus­län­di­schen Behörden;
d. zur Auf­ga­ben­er­fül­lung im Rah­men der Straf­be­stim­mun­gen nach dem DSG;
e. zur Durch­füh­rung von Schlich­tungs­ver­fah­ren und zum Erlass von Emp­feh­lun­gen nach dem Öffent­lich­keits­ge­setz vom 17. Dezem­ber 2004 (BGÖ);
f. zur Durch­füh­rung von Eva­lua­tio­nen nach dem BGÖ;
g. zur Durch­füh­rung von Ver­fah­ren für den Zugang zu amt­li­chen Doku­men­ten nach dem BGÖ;
h. zur Infor­ma­ti­on der par­la­men­ta­ri­schen Aufsicht;
i. zur Infor­ma­ti­on der Öffentlichkeit;
j. zur Aus­übung sei­ner Schulungstätigkeiten.
Erläu­tern­der Bericht
Nach gel­ten­dem Recht wird in Arti­kel 32 Absatz 2 VDSG fest­ge­hal­ten, für wel­che Zwecke der EDÖB ein Infor­ma­ti­ons- und Doku­men­ta­ti­ons­sy­stem betreibt. Der im Rah­men der Total­re­vi­si­on des DSG neu ein­ge­füg­te Arti­kel 57h RVOG hält aber zukünf­tig in all­ge­mei­ner Wei­se fest, dass die Ein­hei­ten der Bun­des­ver­wal­tung zur Ver­wal­tung ihrer Doku­men­te elek­tro­ni­sche Geschäfts­ver­wal­tungs­sy­ste­me füh­ren. Zukünf­tig ist es daher nicht not­wen­dig auf die Ver­wen­dung des Geschäfts­ver­wal­tungs­sy­stems in der Art. hin­zu­wei­sen. Hin­ge­gen wer­den die Zwecke, zu denen der EDÖB Per­so­nen­da­ten bear­bei­tet, neu aus­führ­li­cher gere­gelt (Abs. 1). Er kann Per­so­nen­da­ten, ein­schliess­lich beson­ders schüt­zens­wer­ter Per­so­nen­da­ten, ins­be­son­de­re zu fol­gen­den Zwecken bear­bei­ten: zur Aus­übung sei­ner Auf­sichts­tä­tig­kei­ten (Bst. a), zur Aus­übung sei­ner Bera­tungs­tä­tig­kei­ten (Bst. b), zur Zusam­men­ar­beit mit Bun­des­be­hör­den, kan­to­na­len und aus­län­di­schen Behör­den (Bst. c), zur Auf­ga­ben­er­fül­lung im Rah­men der Straf­be­stim­mun­gen nach dem DSG (Bst. d), zur Durch­füh­rung von Schlich­tungs­ver­fah­ren und zum Erlass von Emp­feh­lun­gen nach dem Bun­des­ge­setz vom 17. Dezem­ber 2004 über das Öffent­lich­keits­prin­zip der Ver­wal­tung (BGÖ) (Bst. e), zur Durch­füh­rung von Eva­lua­tio­nen nach dem BGÖ (Bst. f), zur Durch­füh­rung von Ver­fah­ren für den Zugang zu amt­li­chen Doku­men­ten nach dem BGÖ (Bst. g), zur Infor­ma­ti­on der par­la­men­ta­ri­schen Auf­sicht (Bst. h), zur Infor­ma­ti­on der Öffent­lich­keit (Bst. i) und zur Aus­übung sei­ner Schu­lungs­tä­tig­kei­ten (Bst. j). 

Art. 40 Selbstkontrolle

Der EDÖB erstellt ein Bear­bei­tungs­re­gle­ment für sämt­li­che auto­ma­ti­sier­ten Bear­bei­tun­gen; Arti­kel 6 Absatz 1 ist nicht anwend­bar.
Erläu­tern­der Bericht
Arti­kel 48 nDSG sieht vor, dass der EDÖB durch geeig­ne­te Mass­nah­men sicher­stel­len muss, dass die Daten­schutz­vor­schrif­ten inner­halb sei­ner Behör­de rechts­kon­form voll­zo­gen wer­den. In der Bot­schaft zum Daten­schutz­ge­setz wird prä­zi­siert, dass der Bun­des­rat die Auf­ga­be hat, die vom EDÖB zu ergrei­fen­den Mass­nah­men in der Ver­ord­nung zu kon­kre­ti­sie­ren (BBl 2017 6941, 7089). Vom EDÖB wird gemäss Arti­kel 40 Art. erwar­tet, dass er für sämt­li­che von ihm durch­ge­führ­ten auto­ma­ti­sier­ten Bear­bei­tun­gen ein Bear­bei­tungs­re­gle­ment erstellt, und nicht nur in den in Arti­kel 6 Absatz 1 Art. genann­ten Fäl­len, wie z. B. bei der Bear­bei­tung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten oder bei einem Pro­filing. Auch wenn dies (anders als noch in Art. 41 Abs. 2 E‑VDSG) nicht aus­drück­lich fest­ge­hal­ten wird, so muss der EDÖB eben­so wie ande­re Bun­des­or­ga­ne, wel­che zur Erstel­lung eines Bear­bei­tungs­re­gle­ments ver­pflich­tet sind (vgl. Art. 6 Art.), inter­ne Pro­zes­se vor­se­hen, die gewähr­lei­sten, dass sei­ne Daten­be­ar­bei­tun­gen ent­spre­chend dem Bear­bei­tungs­re­gle­ment durch­ge­führt wer­den, und die Ein­hal­tung des Bear­bei­tungs­re­gle­ments überprüfen. 

Art. 41 Zusam­men­ar­beit mit dem NCSC

1 Der EDÖB kann die Mel­dung einer Ver­let­zung der Daten­si­cher­heit mit dem Ein­ver­ständ­nis des mel­de­pflich­ti­gen Ver­ant­wort­li­chen zur Ana­ly­se des Vor­falls an das Natio­na­le Zen­trum für Cyber­si­cher­heit (NCSC) wei­ter­lei­ten. Die Mit­tei­lung kann Per­so­nen­da­ten enthalten
2 Der EDÖB lädt das NCSC zur Stel­lung­nah­me ein, bevor er anord­net, dass das Bun­des­or­gan die Vor­keh­ren nach Arti­kel 8 DSG trifft
Erläu­tern­der Bericht
Damit der EDÖB bei der Ana­ly­se einer ein­ge­tre­te­nen Ver­let­zung der Daten­si­cher­heit, die der Ver­ant­wort­li­che ihm gestützt auf Arti­kel 24 nDSG und Arti­kel 15 Art. (ehem. Art. 19 E‑VDSG) gemel­det hat, die tech­ni­schen Fach­spe­zia­li­stin­nen und Fach­spe­zia­li­sten des NCSC mit­ein­be­zie­hen kann, wird in Arti­kel 41 Absatz 1 Art. (ehem. Art. 42 E‑VDSG) vor­ge­se­hen, dass der EDÖB die Anga­ben zur Mel­dung einer Ver­let­zung der Daten­si­cher­heit dem an das NCSC wei­ter­lei­ten kann. Die Wei­ter­lei­tung kann jeg­li­che Anga­ben gemäss Arti­kel 15 Absatz 1 Art. ent­hal­ten, muss sich aber gleich­zei­tig auf die für das NCSC für die Ana­ly­se des Vor­falls not­wen­di­gen Daten beschrän­ken. Dabei kann die Mit­tei­lung des EDÖB an das NCSC auch Per­so­nen­da­ten ent­hal­ten. Vor­aus­ge­setzt ist, dass der Ver­ant­wort­li­che, der zur Mel­dung an den EDÖB ver­pflich­tet ist, vor­gän­gig sein Ein­ver­ständ­nis zur Wei­ter­lei­tung gege­ben hat. Ausser­dem darf die Wei­ter­lei­tung nicht dazu füh­ren, dass Arti­kel 24 Absatz 6 nDSG umgan­gen wird, wonach die Mel­dung nur mit Ein­ver­ständ­nis der mel­de­pflich­ti­gen Per­son im Rah­men eines Straf­ver­fah­rens ver­wen­det wer­den darf. Arti­kel 41 Absatz 1 Art. ermög­licht dem EDÖB kei­ne syste­ma­ti­sche Wei­ter­lei­tung von Mel­dun­gen an das NCSC. Viel­mehr darf der EDÖB von die­ser Mög­lich­keit nur in Ein­zel­fäl­len, wo das tech­ni­sche Fach­wis­sen des NCSC für die Abklä­rung eines Vor­falls erfor­der­lich ist, Gebrauch machen. Die Bestim­mung soll bei näch­ster Gele­gen­heit auf Geset­zes­stu­fe über­führt wer­den. Aus die­sem Grund wird im Anhang des Vor­ent­wurfs zur Ände­rung des Infor­ma­ti­ons­si­cher­heits­ge­set­zes vom 18. Dezem­ber 2020 (ISG), wel­chen der Bun­des­rat am 12. Janu­ar 2022 in die Ver­nehm­las­sung geschickt hat , ein neu­er Arti­kel 24 Absatz 5bis nDSG vor­ge­se­hen. Dar­in soll auch die Bekannt­ga­be von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten über ver­wal­tungs- und straf­recht­li­che Ver­fol­gun­gen oder Sank­tio­nen des mel­de­pflich­ti­gen Ver­ant­wort­li­chen durch den EDÖB an das NCSC gere­gelt wer­den. Falls und sobald der neue Arti­kel 24 Absatz 5bis nDSG in Kraft tritt, kann Arti­kel 41 Absatz 1 Art. wie­der auf­ge­ho­ben wer­den. Arti­kel 41 Absatz 2 Art. hält fest, dass sich der EDÖB und der NCSC in über­schnei­den­den Tätig­keits­be­rei­chen koor­di­nie­ren. Die Norm ent­spricht im Grund­satz Arti­kel 20 Absatz 3 zwei­ter Satz VDSG. Der EDÖB wird dazu ver­pflich­tet, das NCSC zur Stel­lung­nah­me ein­zu­la­den, bevor er anord­net, dass das Bun­des­or­gan die Vor­keh­ren nach Arti­kel 8 nDSG trifft. Die recht­li­che Grund­la­ge für eine sol­che Anord­nung ist 51 Absatz 3 Buch­sta­be b nDSG. Ziel ist es ins­be­son­de­re, dass der EDÖB und das NCSC in dem­sel­ben Bereich nicht unter­schied­li­che Vor­ga­ben an die Bun­des­or­ga­ne stel­len. Die Unab­hän­gig­keit des EDÖB bleibt aller­dings gewähr­lei­stet, da er ein­zig dazu ver­pflich­tet wird, die Stel­lung­nah­me ein­zu­ho­len, nicht aber auch die­se zu berücksichtigen. 

Art. 42 Regi­ster der Bear­bei­tungs­tä­tig­kei­ten der Bundesorgane

1 Das Regi­ster der Bear­bei­tungs­tä­tig­kei­ten der Bun­des­or­ga­ne ent­hält die von den Bun­des­or­ga­nen gemach­ten Anga­ben nach Arti­kel 12 Absatz 2 DSG sowie nach Arti­kel 31 Absatz 2 die­ser Verordnung
2 Es ist im Inter­net zu ver­öf­fent­li­chen. Nicht ver­öf­fent­licht wer­den die Regi­ster­ein­trä­ge über geplan­te auto­ma­ti­sier­te Bear­bei­tungs­tä­tig­kei­ten nach Arti­kel 31
Erläu­tern­der Bericht
Auf­grund von Arti­kel 12 Absatz 4 nDSG müs­sen die Bun­des­or­ga­ne ihre Ver­zeich­nis­se der Bear­bei­tungs­tä­tig­kei­ten dem EDÖB mel­den. Von die­sem wie­der­um wird in Arti­kel 56 nDSG ver­langt, dass er ein Regi­ster der Bear­bei­tungs­tä­tig­kei­ten der Bun­des­or­ga­ne führt und die­ses ver­öf­fent­licht. In Arti­kel 42 Absatz 1 Art. wird prä­zi­siert, was das Regi­ster des EDÖB ent­hal­ten muss, näm­lich die Anga­ben, die die Bun­des­or­ga­ne gemäss Arti­kel 12 Absatz 2 nDSG machen müs­sen. Zusätz­lich ent­hält das Regi­ster auch die Anga­ben zu den geplan­ten auto­ma­ti­sier­ten Bear­bei­tungs­tä­tig­kei­ten der Bun­des­or­ga­ne gemäss Arti­kel 31 Absatz 2 Art.. Der zwei­te Absatz prä­zi­siert, dass das Regi­ster des EDÖB im Inter­net zu ver­öf­fent­li­chen ist. Nicht ver­öf­fent­licht wer­den dabei die Regi­ster­ein­trä­ge über die geplan­ten auto­ma­ti­sier­ten Bear­bei­tungs­tä­tig­kei­ten der Bun­des­or­ga­ne gemäss Arti­kel 31 Art., da die­se im Zeit­punkt ihrer Anmel­dung als noch nicht defi­ni­tiv ange­se­hen wer­den kön­nen bezie­hungs­wei­se noch Ände­run­gen unter­lie­gen könnten. 

Art. 43 Verhaltenskodizes 

Wird dem EDÖB ein Ver­hal­tens­ko­dex vor­ge­legt, so teilt die­ser in sei­ner Stel­lung­nah­me mit, ob der Ver­hal­tens­ko­dex die Vor­aus­set­zun­gen nach Arti­kel 22 Absatz 5 Buch­sta­ben a und b DSG erfüllt.
Erläu­tern­der Bericht
Auf­grund von Arti­kel 22 Absatz 5 nDSG kann der pri­va­te Ver­ant­wort­li­che von der Erstel­lung einer Daten­schutz-Fol­gen­ab­schät­zung abse­hen, wenn er nach Arti­kel 13 nDSG zer­ti­fi­ziert ist oder, wenn er einen Ver­hal­tens­ko­dex nach Arti­kel 11 nDSG ein­hält, der bestimm­te Vor­aus­set­zun­gen erfüllt. Wird ein Ver­hal­tens­ko­dex dem EDÖB vor­ge­legt, gibt die­ser in sei­ner Stel­lung­nah­me an, ob nach sei­ner Ein­schät­zung die Vor­aus­set­zun­gen erfüllt sind, um von der Erstel­lung einer Daten­schutz-Fol­gen­ab­schät­zung abzu­se­hen. Mit die­ser Bestim­mung wird prä­zi­siert, dass ein Ver­ant­wort­li­cher, der auf eine Daten­schutz-Fol­gen­ab­schät­zung ver­zich­ten will, dem EDÖB sei­nen Ver­hal­tens­ko­dex vor­le­gen muss und die­ser die Mög­lich­keit haben muss, den Kodex zu beur­tei­len. Es geht nicht um eine Geneh­mi­gung, aber wenn ein Ver­ant­wort­li­cher, ent­ge­gen der Stel­lung­nah­me des EDÖB, von der Aus­nah­me nach Arti­kel 22 Absatz 5 Buch­sta­ben a – c Gebrauch machen will, kann der EDÖB auf­grund von Arti­kel 51 Absatz 3 Buch­sta­be d nDSG anord­nen, dass der Ver­ant­wort­li­che eine Daten­schutz-Fol­gen­ab­schät­zung vornimmt. 

Art. 44 Gebühren

1 Die vom EDÖB in Rech­nung gestell­ten Gebüh­ren bemes­sen sich nach dem Zeitaufwand
2 Es gilt ein Stun­den­an­satz von 150 bis 250 Fran­ken, je nach Funk­ti­on des aus­füh­ren­den Personals
3 Bei Dienst­lei­stun­gen von ausser­ge­wöhn­li­chem Umfang, beson­de­rer Schwie­rig­keit oder Dring­lich­keit kön­nen Zuschlä­ge bis zu 50 Pro­zent der Gebühr nach Absatz 2 erho­ben werden
4 Kann die Dienst­lei­stung des EDÖB von der gebüh­ren­pflich­ti­gen Per­son zu kom­mer­zi­el­len Zwecken wei­ter­ver­wen­det wer­den, so kön­nen Zuschlä­ge bis zu 100 Pro­zent der Gebühr nach Absatz 2 erho­ben werden
5 Im Übri­gen gilt die All­ge­mei­ne Gebüh­ren­ver­ord­nung vom 8. Sep­tem­ber 2004
Erläu­tern­der Bericht
Auf­grund von Arti­kel 59 Absatz 1 nDSG muss der EDÖB für bestimm­te Dienst­lei­stun­gen, die er für pri­va­te Per­so­nen erbringt, Gebüh­ren erhe­ben. Dazu gehö­ren die Stel­lung­nah­me zu einem Ver­hal­tens­ko­dex (Bst. a), die Geneh­mi­gung von Stan­dard­da­ten­schutz­klau­seln und ver­bind­li­chen unter­neh­mens­in­ter­nen Daten­schutz­vor­schrif­ten (Bst. b), die Prü­fung der Daten­schutz-Fol­gen­ab­schät­zung (Bst. c), vor­sorg­li­che Mass­nah­men und Mass­nah­men nach Arti­kel 51 nDSG (Bst. d) sowie Bera­tun­gen in Fra­gen des Daten­schut­zes (Bst. e). Mit Arti­kel 59 Absatz 2 nDSG wird der Bun­des­rat beauf­tragt, die Höhe der Gebüh­ren fest­zu­le­gen. Arti­kel 44 Absatz 1 Art. (ehem. Art. 44 Abs. 1 E‑VDSG) hält den Grund­satz fest, dass die Gebüh­ren sich nach dem Zeit­auf­wand bemes­sen. Gemäss Absatz 2 gilt ein Stun­den­an­satz von 150 – 250 Fran­ken je nach Funk­ti­on des aus­füh­ren­den Per­so­nals. Der Betrag rich­tet sich nach dem Stun­den­an­satz des Per­so­nals der erfor­der­li­chen Funk­ti­on, um die Dienst­lei­stung erbrin­gen zu kön­nen. Der EDÖB berech­net die Gebüh­ren dem­nach aus­ge­hend von den auf­ge­wen­de­ten Stun­den des aus­füh­ren­den Per­so­nals. Hier­bei sind jeg­li­che Per­so­nen mit­ein­zu­be­zie­hen, die zur Erbrin­gung der Dienst­lei­stung einen Bei­trag gelei­stet haben. Gemäss Absatz 3 hat der EDÖB die Mög­lich­keit bei einer Dienst­lei­stung von ausser­ge­wöhn­li­chem Umfang, beson­de­rer Schwie­rig­keit oder Dring­lich­keit Zuschlä­ge von bis zu 50 Pro­zent der Gebühr gemäss Absatz 2 zu erhe­ben. Die Rege­lung prä­zi­siert die all­ge­mei­ne Vor­ga­be von Arti­kel 5 Absatz 3 der All­ge­mei­nen Gebüh­ren­ver­ord­nung vom 8. Sep­tem­ber 2004 (Allg­GebV). Im Fall, dass die Dienst­lei­stung des EDÖB durch die gebüh­ren­pflich­ti­ge Per­son zu kom­mer­zi­el­len Zwecken wei­ter­ver­wen­det wer­den kann, kann der EDÖB gemäss Absatz 4 Zuschlä­ge bis zu 100 Pro­zent der Gebühr nach Absatz 2 erhe­ben. Wenn der EDÖB bei­spiels­wei­se ein Tool beur­teilt, dass von der gesuch­stel­len­den Per­son als daten­schutz­kon­for­me Anwen­dung wei­ter­ver­kauft wer­den kann, soll der EDÖB die Mög­lich­keit haben, die Gebühr zu erhö­hen, so dass sie unge­fähr dem Stun­den­lohn eines spe­zia­li­sier­ten Anwalts ent­spricht. Mass­geb­lich ist dabei, ob die Dienst­lei­stung geeig­net ist, zu kom­mer­zi­el­len Zwecken wei­ter­ver­wen­det zu wer­den, unab­hän­gig davon, ob dies tat­säch­lich geschieht. Die Rege­lung gemäss Absatz 4 betrifft ins­be­son­de­re den Fall der Bera­tung im Sin­ne von Arti­kel 59 Absatz 1 Buch­sta­be e nDSG. Gleich­wohl ist auch denk­bar, dass der EDÖB Stan­dard­da­ten­schutz­klau­seln oder Ver­hal­tens­ko­di­zes beur­teilt, die zu kom­mer­zi­el­len wei­ter­ver­wen­det wer­den kön­nen, z. B. weil sie als Pro­to­typ für wei­te­re Stan­dard­da­ten­schutz­klau­seln oder Ver­hal­tens­ko­di­zes her­an­ge­zo­gen wer­den kön­nen. In Absatz 5 wird im Übri­gen die Allg­GebV für anwend­bar erklärt. Die Allg­GebV ihrer­seits regelt ins­be­son­de­re die Grund­sät­ze der Gebüh­ren­er­he­bung, die Aus­nah­men von der Gebüh­ren­pflicht sowie das Inkassoverfahren. 

7. Kapi­tel: Schlussbestimmungen

Art. 45 Auf­he­bung und Ände­rung ande­rer Erlasse

Die Auf­he­bung und die Ände­rung ande­rer Erlas­se wer­den in Anhang 2 gere­gelt.
Erläu­tern­der Bericht
Da die Bestim­mun­gen zur Auf­he­bung und zur Ände­rung ande­rer Erlas­se zusam­men mehr als eine Druck­sei­te umfas­sen, wer­den sie in einem Anhang auf­ge­führt. Die Auf­he­bung und Ände­rung ande­rer Erlas­se wird unter Zif­fer 7 kommentiert. 

Art. 46 Übergangsbestimmungen

1 Für Daten­be­ar­bei­tun­gen, die nicht in den Anwen­dungs­be­reich der Richt­li­nie (EU) 2016/680 fal­len, gilt Arti­kel 4 Absatz 2 spä­te­stens drei Jah­re nach Inkraft­tre­ten die­ser Ver­ord­nung oder spä­te­stens nach Ende des Lebens­zy­klus des Systems. In der Zwi­schen­zeit unter­lie­gen die­se Bear­bei­tun­gen Arti­kel 4 Absatz 1
2 Arti­kel 8 Absatz 5 gilt nicht für Beur­tei­lun­gen, die vor dem Inkraft­tre­ten die­ser Ver­ord­nung durch­ge­führt wurden
3 Arti­kel 31 gilt nicht für geplan­te auto­ma­ti­sier­te Bear­bei­tungs­tä­tig­kei­ten, bei wel­chen im Zeit­punkt des Inkraft­tre­tens die­ser Ver­ord­nung die Pro­jekt­frei­ga­be oder der Ent­scheid zur Pro­jekt­ent­wick­lung bereits erfolgt ist
Erläu­tern­der Bericht
Arti­kel 4 Absatz 2 ver­pflich­tet die ver­ant­wort­li­chen Bun­des­or­ga­ne und ihre Auf­trags­be­ar­bei­ter dazu, die auto­ma­ti­sier­te Bear­bei­tung von Per­so­nen­da­ten zu pro­to­kol­lie­ren. Für Daten­be­ar­bei­tun­gen, die in den Anwen­dungs­be­reich der Richt­li­nie (EU) 2016/680 fal­len, gilt die Pflicht zur Pro­to­kol­lie­rung auf­grund der Vor­ga­be von Arti­kel 25 der genann­ten Richt­li­nie seit dem Inkraft­tre­ten des Schen­gen-Daten­schutz­ge­set­zes. Ver­schie­de­ne Bun­des­or­ga­ne haben im Zusam­men­hang mit der Umset­zung von Arti­kel 4 Absatz 2 Art. auf einen Mehr­auf­wand hin­ge­wie­sen. Um die­sem Mehr­auf­wand Rech­nung zu tra­gen, wird in Arti­kel 46 Absatz 1 für die rest­li­chen Daten­be­ar­bei­tun­gen eine Über­gangs­frist von drei Jah­ren ab Inkraft­tre­ten der Ver­ord­nung oder spä­te­stens nach Ende des Lebens­zy­klus des Systems vor­ge­se­hen. In die­ser Zeit gilt für die­se Daten­be­ar­bei­tun­gen Arti­kel 4 Absatz 1 der Ver­ord­nung. In Arti­kel 8 Absatz 5 Art. wird die Pflicht zur Ver­öf­fent­li­chung von Beur­tei­lun­gen ein­ge­führt. Arti­kel 46 Absatz 2 legt fest, dass die Beur­tei­lun­gen, die vor dem Inkraft­tre­ten der Ver­ord­nung durch­ge­führt wur­den, nicht ver­öf­fent­licht wer­den. Gemäss Arti­kel 31 Art. müs­sen Bun­des­or­ga­ne dem EDÖB neu ihre geplan­ten auto­ma­ti­sier­ten Bear­bei­tungs­tä­tig­kei­ten mel­den und zwar im Zeit­punkt der Pro­jekt­frei­ga­be oder des Ent­scheids zur Pro­jekt­ent­wick­lung. In Absatz 3 wird daher über­gangs­recht­lich fest­ge­legt, dass Arti­kel 31 Art. nicht anwend­bar ist auf geplan­te auto­ma­ti­sier­te Bear­bei­tungs­tä­tig­kei­ten, bei denen im Zeit­punkt des Inkraft­tre­tens der Ver­ord­nung die Pro­jekt­frei­ga­be oder der Ent­scheid zur Pro­jekt­ent­wick­lung bereits erfolgt ist. 

Art. 47 Inkrafttreten

Die­se Ver­ord­nung tritt am 1. Sep­tem­ber 2023 in Kraft. 

Anhän­ge

Anhang 1 (Art. 8 Abs. 1)

19.
1 Deutsch­land*
2 Andor­ra***
3 Argen­ti­ni­en***
4 Öster­reich*
5 Bel­gi­en*
6 Bul­ga­ri­en***
7 Kana­da*** Ein ange­mes­se­ner Daten­schutz gilt als gewähr­lei­stet, wenn das kana­di­sche Bun­des­ge­setz “Loi sur la pro­tec­tion des rens­eig­ne­ments per­son­nels et les docu­ments élec­tro­ni­ques” vom 13. April 2000 im pri­va­ten Bereich oder das Gesetz einer kana­di­schen Pro­vinz, das die­sem Bun­des­ge­setz weit­ge­hend ent­spricht, zur Anwen­dung gelangt. Das Bun­des­ge­setz gilt für Per­so­nen­da­ten, die im Rah­men kom­mer­zi­el­ler Tätig­kei­ten beschafft, bear­bei­tet oder bekannt­ge­ge­ben wer­den, unab­hän­gig davon, ob es sich um Orga­ni­sa­tio­nen wie Ver­ei­ne, Per­so­nen­ge­sell­schaf­ten, Ein­zel­per­so­nen oder Gewerk­schaf­ten oder bun­des­recht­lich gere­gel­te Unter­neh­men wie Anla­gen, Wer­ke, Unter­neh­men oder Geschäfts­tä­tig­kei­ten, die in die Gesetz­ge­bungs­kom­pe­tenz des kana­di­schen Par­la­ments fal­len, han­delt. Die Pro­vin­zen Qué­bec, Bri­tish Colum­bia und Alber­ta haben ein Gesetz erlas­sen, das dem Bun­des­ge­setz weit­ge­hend ent­spricht; die Pro­vin­zen Onta­rio, New Brunswick, Neu­fund­land und Labra­dor und Neu­schott­land haben ein Gesetz erlas­sen, das im Bereich der Gesund­heits­da­ten die­sem Gesetz weit­ge­hend ent­spricht. In allen kana­di­schen Pro­vin­zen gilt das Bun­des­ge­setz für alle Per­so­nen­da­ten, die von bun­des­recht­lich gere­gel­ten Unter­neh­men beschafft, bear­bei­tet oder bekannt­ge­ge­ben wer­den, ein­schliess­lich der Daten über Ange­stell­te die­ser Unter­neh­men. Das Bun­des­ge­setz gilt auch für Per­so­nen­da­ten, die im Rah­men kom­mer­zi­el­ler Tätig­kei­ten in eine ande­re Pro­vinz oder in ein ande­res Land über­mit­telt werden
8 Zypern***
9 Kroa­ti­en***
10 Däne­mark*
11 Spa­ni­en*
12 Est­land*
13 Finn­land*
14 Frank­reich*
15 Gibral­tar***
16 Grie­chen­land*
17 Guern­sey***
18 Ungarn*
19 Isle of Man***
20 Färö­er***
21 Irland***
22 Island*
23 Isra­el***
24 Ita­li­en*
25 Jer­sey***
26 Lett­land*
27 Liech­ten­stein*
28 Litau­en*
29 Luxem­burg*
30 Mal­ta*
31 Mona­co***
32 Nor­we­gen*
33 Neu­see­land***
34 Nie­der­lan­de*
35 Polen*
36 Por­tu­gal*
37 Tsche­chi­en*
38 Rumä­ni­en***
39 Ver­ei­nig­tes Königreich**
40 Slo­wa­kei*
41 Slo­we­ni­en*
42 Schwe­den*
43 Uru­gu­ay***
Die Beur­tei­lung der Ange­mes­sen­heit des Daten­schut­zes schliesst die Bekannt­ga­be von Per­so­nen­da­ten nach der Richt­li­nie (EU) 2016/680 mit ein. * Die Beur­tei­lung der Ange­mes­sen­heit des Daten­schut­zes schliesst die Bekannt­ga­be von Per­so­nen­da­ten gemäss einem Durch­füh­rungs­be­schluss der Euro­päi­schen Kom­mis­si­on, mit wel­chem die Ange­mes­sen­heit des Daten­schut­zes nach der Richt­li­nie (EU) 2016/680 fest­ge­stellt wird, mit ein. ** Die Beur­tei­lung der Ange­mes­sen­heit des Daten­schut­zes schliesst die Bekannt­ga­be von Per­so­nen­da­ten im Rah­men der von der Richt­li­nie (EU) 2016/680 vor­ge­se­he­nen Zusam­men­ar­beit nicht mit ein.
Erläu­tern­der Bericht
Auf­grund von Arti­kel 16 Absatz 1 nDSG ist der Bun­des­rat dafür zustän­dig und hat die Auf­ga­be zu beur­tei­len, wel­cher Staat (oder wel­ches Gebiet oder wel­cher spe­zi­fi­scher Sek­tor eines Staa­tes) und wel­ches inter­na­tio­na­les Organ ein ange­mes­se­nes Schutz­ni­veau für die Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land gewähr­lei­stet. Eine Liste der Staa­ten wird im Anhang der Ver­ord­nung ver­öf­fent­licht. Ziel die­ser Liste ist es, einen ein­heit­li­chen Raum in Sachen Daten­schutz zu schaf­fen. Die Liste wird regel­mä­ssig über­prüft wer­den, um einer­seits die Pra­xis ande­rer Staa­ten und ande­rer­seits die Ent­wick­lun­gen auf inter­na­tio­na­ler Ebe­ne, ins­be­son­de­re die Rati­fi­zie­run­gen des revi­dier­ten Über­ein­kom­mens SEV 108, zu berück­sich­ti­gen. Die Liste ist folg­lich nicht end­gül­tig und könn­te vor dem Inkraft­tre­ten der Ver­ord­nung noch geän­dert wer­den. Die Beur­tei­lung der Ange­mes­sen­heit des Daten­schut­zes schliesst die Bekannt­ga­be von Daten zu Straf­ver­fol­gungs­zwecken nur dann ein, wenn dies im Anhang ange­ge­ben ist. So bedeu­tet die Anga­be eines Stern­chens , dass die Beur­tei­lung der Ange­mes­sen­heit des Daten­schut­zes die Bekannt­ga­be von Per­so­nen­da­ten ent­spre­chend der Richt­li­nie (EU) 2016/680 mit ein­schliesst, wäh­rend zwei Stern­chen bedeu­ten, dass die Bekannt­ga­be von Per­so­nen­da­ten gemäss einem Durch­füh­rungs­be­schluss der Euro­päi­schen Kom­mis­si­on, mit wel­chem die Ange­mes­sen­heit des Daten­schut­zes ent­spre­chend der Richt­li­nie (EU) 2016/680 fest­ge­stellt wird, mit ein­ge­schlos­sen ist (das trifft zur­zeit auf das Ver­ei­nig­te König­reich zu). Drei Stern­chen schliess­lich bedeu­ten, dass die Beur­tei­lung der Ange­mes­sen­heit des Daten­schut­zes die Bekannt­ga­be von Per­so­nen­da­ten im Rah­men der von der Richt­li­nie (EU) 2016/680 vor­ge­se­he­nen Zusam­men­ar­beit nicht mit­ein­schliesst. 18. Staa­ten, Gebie­te, spe­zi­fi­sche Sek­to­ren in einem Staat und inter­na­tio­na­le Orga­ne mit einem ange­mes­se­nen Datenschutz 

Table of Contents