ausklappen | einklappen
1. Kapitel: Allgemeine Bestimmungen
1. Abschnitt: Datensicherheit
Erläuternder Bericht
Die Leitplanken zur Gewährleistung der Datensicherheit werden bereits im Gesetz normiert. Gemäss Artikel 8 Absatz 1 nDSG sind der Verantwortliche und der Auftragsbearbeiter verpflichtet, durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten. Gemäss Absatz 2 müssen diese Massnahmen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden. In Absatz 3 wird der Bundesrat dazu beauftragt, die Mindestanforderungen an die Datensicherheit auf Verordnungsstufe zu präzisieren. Mit den Bestimmungen zur Datensicherheit erfüllt der Bundesrat den gesetzlichen Auftrag gemäss Artikel 8 Absatz 3 nDSG. An diese Mindestanforderungen knüpft zudem die Strafnorm in Artikel 61 Buchstabe c nDSG an. Der Grad an Sicherheit, der eingehalten werden muss, damit die Strafnorm nicht verletzt wird, bestimmt sich dabei nach den Grundsätzen und Kriterien des vorliegenden Abschnittes. Die Strafbarkeit besteht gemäss Artikel 61 Buchstabe c nDSG nur im Fall einer vorsätzlichen Begehung. Dies setzt voraus, dass der Verantwortliche die Mindestanforderungen an die Datensicherheit wissentlich und willentlich nicht einhält. So würde sich beispielsweise derjenige strafbar machen, der es unterlässt, eine Anti-Viren-Software zu installieren, obwohl er weiss (oder zumindest in Kauf nimmt), dass er damit ungenügende Massnahmen zur Einhaltung der Mindestanforderungen an die Datensicherheit trifft. Da bereits im Gesetz der Ansatz einer risikobasierten Datensicherheit verfolgt wird und sich keine allgemeingültigen Mindestanforderungen für jegliche Branchen festlegen lassen, wurde in der Art. auf ein starres Regime von Mindestanforderungen verzichtet. Der Ansatz der Art. beruht vielmehr darauf, dass es in erster Linie in der Verantwortung des Verantwortlichen liegt, die im Einzelfall notwendigen Massnahmen zu bestimmen und zu ergreifen. Diese sind stark einzelfallbezogen und abhängig vom jeweiligen Risiko zu bestimmen. So stellen sich etwa in einem Spital, wo regelmässig besonders schützenswerte Personendaten bearbeitet werden, in aller Regel erhöhte Anforderungen im Vergleich zur Bearbeitung von Kunden- oder Lieferantendaten in einer Bäckerei oder Metzgerei. Die Art. beinhaltet daher insbesondere die Leitlinien für die Bestimmung der zu ergreifenden Massnahmen (Art. 1, 2 und 3 Art.). Dadurch kann die angesichts der Vielfalt möglicher Fallkonstellationen notwendige Flexibilität gewährleistet werden und eine Überregulierung, insbesondere für Betriebe mit geringfügiger und wenig risikoreicher Datenbearbeitung, verhindert werden. Anders als die DSGVO kennt das Schweizer Recht keine allgemeine Rechenschaftspflicht („accountability“). Allerdings enthält das Schweizer Recht bereits im geltenden Recht Massnahmen, mit denen die Rechenschaftspflicht oder Pflicht zur „accountability“ erfüllt werden kann: die Protokollierung (Art. 4) und das Bearbeitungsreglement (Art. 5, 6). Beide Massnahmen werden in der Art. übernommen. Sie sind ausschlaggebend dafür, dass das Schweizer Recht ein im Vergleich zum EU-Recht angemessenes Schutzniveau gewährleisten kann. Darüber hinaus verlangt die Richtlinie (EU) 2016/680 die Protokollierung. Beide Massnahmen stellen Mindestanforderungen an die Datensicherheit im Sinne von Artikel 8 Absatz 3 nDSG dar. Der Bundesrat verfolgt auch hier einen risikobasierten Ansatz: Je höher die Gefährdung für die Persönlichkeitsrechte und die Grundrechte des Einzelnen, desto höher die Anforderungen. Die Mindestanforderungen der Datensicherheit sind gemäss geltendem Recht in Artikel 8 – 12 und Artikel 20 – 21 VDSG geregelt. Der Bundesrat hat entschieden, am geltenden Standard der Datensicherheit anzuknüpfen. Die materiellrechtlichen Vorgaben werden daher im Grundsatz so übernommen. Anpassungen werden nur vorgenommen, wo dies aufgrund der Digitalisierung bzw. des technischen Fortschritts, der Vorgaben im revidierten Gesetz oder der für die Schweiz massgeblichen Richtlinie (EU) 2016/680, namentlich deren Artikel 25 und 29, angezeigt scheint. Zudem hat sich der Bundesrat auch an der Verordnung (EU) 2016/679 orientiert, damit Schweizer Unternehmen, die in der EU tätig sind und eine gemäss der DSGVO konforme Datensicherheit gewährleisten, auch in der Schweiz davon ausgehen können, dass sie die Mindestanforderungen erfüllen. In systematischer Hinsicht wird die Datensicherheit neu in einem eigens dafür vorgesehenen Abschnitt normiert. In der aktuellen VDSG wird die Datensicherheit für Private und Bundesorgane getrennt geregelt, aus Gründen der Übersichtlichkeit und der besseren Lesbarkeit werden die Bestimmungen neu zusammengeführt. Wo unterschiedliche Vorgaben für Private und Bundesorgane gelten, werden diese in getrennten Artikeln oder Absätzen geregelt.
Art. 1 Grundsätze
1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen
2 Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:
a. Art der bearbeiteten Daten;
b. Zweck, Art, Umfang und Umstände der Bearbeitung.
3 Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:
a. Ursachen des Risikos;
b. hauptsächliche Gefahren;
c. ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
d. Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.
4 Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:
a. Stand der Technik;
b. Implementierungskosten.
5 Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.
Erläuternder Bericht
Artikel 1 Art. regelt die Grundsätze, die bei der Bestimmung der Massnahmen zu beachten sind. Er übernimmt im Wesentlichen das Regelungskonzept von Artikel 8 Absätze 2 und 3 VDSG, wobei bestimmte Aspekte präziser geregelt werden. Artikel 8 Absatz 1 VDSG wurde hingegen gestrichen, da die Ziele zur Gewährleistung der Datensicherheit neu auf Gesetzesebene angesiedelt sind. Artikel 8 Absatz 2 nDSG legt namentlich fest, dass die Massnahmen der Datensicherheit es ermöglichen müssen, Verletzungen der Datensicherheit zu vermeiden. Eine Verletzung der Datensicherheit liegt gemäss Artikel 5 Buchstabe h nDSG vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Daraus lassen sich die herkömmlichen IT-Schutzziele der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit ableiten. Gemäss Artikel 8 Absatz 1 nDSG müssen der Verantwortliche und der Auftragsbearbeiter eine dem Risiko angemessene Datensicherheit gewährleisten. In Artikel 1 Art. wird dieses Schutzziel in einem neuen Absatz 1 aufgenommen. Ausserdem werden verschiedene Kriterien zur Beurteilung des Schutzbedarfs (Abs. 2) sowie zur Beurteilung des Risikos für die Persönlichkeit oder die Grundrechte der betroffenen Person (Abs. 3) festgelegt. In Absatz 4 wird präzisiert, dass bei der Festlegung der technischen und organisatorischen Massnahmen, die zur Gewährleistung einer angemessenen Datensicherheit erforderlich sind, weitere Kriterien berücksichtigt werden können (Abs. 4). Die Liste der Kriterien lehnt sich an das geltende Recht an. Artikel 1 Absatz 2 Art. übernimmt Artikel 8 Absatz 2 Buchstaben a und b VDSG in inhaltlicher Hinsicht und ergänzt diesen, um die Schutzbedarfsanalyse zu regeln. Der Schutzbedarf wird auf der Grundlage der Art der bearbeiteten Daten sowie des Zwecks, der Art, des Umfangs und der Umstände der Datenbearbeitung beurteilt. Dabei geht es insbesondere um das Schutzniveau, das angesichts des Risikos für die Persönlichkeits- und Grundrechte der betroffenen Personen gewährleistet werden muss. Je höher der Schutzbedarf, desto strenger sind die Anforderungen an die Massnahmen. Bei der Beurteilung des Schutzbedarfs sollten die folgenden Kriterien berücksichtigt werden: Die Art der bearbeiteten Daten (Bst. a): Es ist beispielsweise entscheidend, ob besonders schützenswerte Personendaten (Art. 5 Bst. c nDSG) bearbeitet werden. Zweck, Art, Umfang und Umstände der Datenbearbeitung (Bst. b): Der Zweck bezieht sich auf den Zweck der Bearbeitung und insbesondere auf die Prüfung, ob der Bearbeitungszweck ein erhöhtes Risiko für die Persönlichkeitsrechte und die Grundrechte mit sich bringt; bei der Art der Bearbeitung ist von Interesse, wie die Daten bearbeitet werden. Der Schutzbedarf kann beispielsweise bei einer vollständig automatisierten Entscheidung (Einsatz künstlicher Intelligenz) höher sein; der Umfang der Bearbeitung steht insbesondere im Zusammenhang mit der Anzahl der von der Bearbeitung betroffenen Personen (z. B. wenn umfangreich Daten bearbeitet werden oder systematisch umfangreiche öffentliche Bereiche überwacht werden). Bei der Nutzung einer Cloud kann der Schutzbedarf höher sein als wenn Daten auf einem internen Server ohne externe Zugriffsmöglichkeit gespeichert sind. Buchstabe b wurde entsprechend Artikel 22 Absatz 2 nDSG mit dem Ausdruck der „Umstände“ der Datenbearbeitung ergänzt. Dabei handelt es sich um Aspekte, die im Einzelfall von besonderer Bedeutung sein können, weil sie Auswirkungen auf die anderen Kriterien haben. So können Kriterien einbezogen werden, die nicht in die Definition der bereits erwähnten Kriterien passen würden. In Artikel 1 Absatz 3 Art. wird Artikel 8 Absatz 2 Buchstabe c VDSG aufgenommen und präzisiert. Mit der Bestimmung wird die Beurteilung des Risikos einer Verletzung der Persönlichkeit oder der Grundrechte der betroffenen Person eingeführt. Wie im vorherigen Absatz wird eine Reihe von Kriterien festgelegt. Der Absatz wird umformuliert, damit deutlich wird, dass die Ursachen des Risikos (Bst. a), die hauptsächlichen Gefahren (Bst. b), die zur Verringerung des Risikos ergriffenen oder vorgesehenen Massnahmen (Bst. c) sowie die Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit (Bst. d) entscheidend sind. Dabei handelt es sich um eine Beurteilung gemäss einem Kaskadensystem: Das Ergebnis der Beurteilung nach einem Kriterium ist massgebend für die weitere Risikobeurteilung. Zu den einzelnen Punkten finden sich hier nähere Ausführungen: Die Ursachen des Risikos (Bst. a): Es muss festgestellt werden können, welche Personen (z. B. eine IT-Verantwortliche, ein Nutzer, eine Konkurrentin) oder Ereignisse (z. B. Feuer, Computervirus) dem Risiko zugrunde liegen könnten. Die hauptsächlichen Gefahren (Bst. b): Anhand dieses Kriteriums können Bedrohungen eruiert werden, die zu Verletzungen der Datensicherheit führen könnten (verlorene, beschädigte, veränderte, unsachgemäss oder betrügerisch verwendete Daten usw.). Die getroffenen oder ergriffenen Massnahmen, um das Risiko zu verringern (Bst. c): Die verschiedenen technischen und organisatorischen Massnahmen, die zur Verringerung des Risikos vorgesehen oder ergriffen werden können, werden in Artikel 3 Art. präzisiert. Die Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen (Bst. d): Die potenziellen Auswirkungen auf die betroffenen Personen müssen ermittelt werden, wenn beispielsweise Personen unrechtmässig auf Daten zugreifen (und sie weitergeben), sie ändern (was zu falschen Informationen über die betroffene Person führt) oder löschen (wodurch sie Gefahr laufen, notwendige Daten zu verlieren; hier ist z. B. an ein Patientendossier zu denken, in dem einige Daten vernichtet wurden, wodurch eine angemessene medizinische Behandlung verhindert wird). Dabei gilt: Je wahrscheinlicher der Eintritt einer Verletzung der Datensicherheit und je grösser die Auswirkungen für die betroffenen Personen, desto höher die Anforderungen an die Massnahmen. An dieser Stelle sei darauf hingewiesen, dass nicht jede Verletzung der Datensicherheit im Sinne von Artikel 5 Buchstabe h nDSG auch eine Verletzung der Mindestanforderungen im Sinne von Artikel 8 Absatz 3 nDSG und somit eine Verletzung der Sorgfaltspflichten gemäss Artikel 61 Buchstabe c nDSG darstellt. Eine absolute Sicherheit kann und soll nicht verlangt werden. So ist insbesondere vorstellbar, dass der Verantwortliche alle angemessenen Massnahmen getroffen hat, eine Verletzung der Datensicherheit aber dennoch eintritt, namentlich, weil sich das Restrisiko realisiert hat. Dieses kann dem Verantwortlichen nicht angelastet werden. Es ist im Rahmen der Mindestanforderungen vielmehr zu prüfen, ob der Verantwortliche und der Auftragsbearbeiter angesichts der konkreten Sachlage die angemessenen Massnahmen zur Gewährleitung der Datensicherheit getroffen haben, und zwar unabhängig davon, ob eine Verletzung der Datensicherheit eintritt. In Anlehnung an Artikel 8 Absatz 2 Buchstabe d VDSG werden in Artikel 1 Absatz 4 Art. noch weitere Kriterien eingeführt, die bei der Festlegung der technischen und organisatorischen Massnahmen zur Gewährleistung der angemessenen Datensicherheit berücksichtigt werden können. Der Ausdruck „Festlegung“ umfasst die „Beurteilung“ und den „Entscheids“ (in der französischen Fassung wird der Begriff „détermination“ verwendet). Die Kriterien lauten wie folgt: der Stand der Technik (Bst. a) und die Implementierungskosten (Bst. b). Diese Kriterien geben nur indirekt Aufschluss darüber, ob Massnahmen ergriffen werden müssen und ob die zu ergreifenden Massnahmen angemessen sind. Stand der Technik (Bst. a): Die Massnahmen sind unter Berücksichtigung des Stands der Technik (technischer und wissenschaftlicher Kenntnisstand) zu bestimmen und ggf. anzupassen. Der Stand der Technik meint die Berücksichtigung des gegenwärtigen Standes. Es ist also ausreichend, Massnahmen zu treffen, die bereits zur Verfügung stehen und sich entsprechend bewährt haben. Hingegen kann nicht verlangt werden, dass brandneue unerforschte Techniken oder solche die sich noch im Entwicklungsprozess befinden, eingesetzt werden. Implementierungskosten (Bst. b): Der Begriff „Kosten“ ist im weiten Sinn zu verstehen. Er ist nicht auf die finanziellen Kosten beschränkt, sondern umfasst auch die erforderlichen personellen und zeitlichen Ressourcen. Diese Terminologie entspricht der des europäischen Rechts (Richtlinie [EU] 2016/680 und DSGVO). Die Implementierungskosten sind – wie aus dem „Kommentar des Bundesamts für Justiz zur Vollzugsverordnung vom 14. Juni 1993 (Stand am 1. Januar 2008) zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11)“ (Ziff. 6.1.1) hervorgeht – auch gemäss geltendem Recht ein Kriterium bei Beurteilung der Angemessenheit der Massnahmen. In erster Linie ist allerdings darauf abzustellen, welche technischen und organisatorischen Massnahmen angesichts der Kriterien in Buchstaben a – c erforderlich sind. Verantwortliche und Auftragsbearbeiter können sich insbesondere nicht mit der Begründung von der Pflicht einer angemessenen Datensicherheit befreien, dass damit übermässige Kosten verbunden sind; vielmehr müssen sie jedenfalls in der Lage sein, eine angemessene Datensicherheit zu gewährleisten. Es kann auch nicht argumentiert werden, dass sich bei fehlendem Konzept bei der Entwicklung die Implementierungskosten zur Umsetzung der Datensicherheit nach Inbetriebnahme als zu hoch erweisen. Bei Legacy Applikationen (Altanwendungen) muss vielmehr die geplante Zeit bis hin zur Ablösung einbezogen werden (Lifecycle). Das Kriterium der Kosten kann jedoch bedeuten, dass bei mehreren zur Verfügung stehenden Massnahmen zur Gewährleistung eines stets angemessenen Datenschutzniveaus die kostengünstigere Variante bevorzugt werden darf. Zur Gewährleistung der Datensicherheit kommen unterschiedliche Massnahmen in Betracht. Vorliegend seien beispielshaft drei Massnahmen erwähnt: die Anonymisierung, Pseudonymisierung und Verschlüsselung von Personendaten: Die Anonymisierung trägt insbesondere dazu bei, dass allfällig negative Auswirkungen für die betroffenen Personen reduziert werden, die sich beispielsweise durch eine unbefugte Offenlegung von Personendaten ergeben können. Liegt eine Anonymisierung vor, so kommt das DSG gemäss dessen Anwendungsbereich gar nicht zur Anwendung. Verfahren zur Identifikation, Bewertung und Evaluierung der Risiken und Überprüfung der Angemessenheit der getroffenen Massnahmen: Ab einem gewissen Risiko wird es in vielen Fällen sinnvoll beziehungsweise sogar notwendig sein, dass standardisierte Verfahren und Prozesse implementiert werden, welche die Risiken und die Angemessenheit der getroffenen Massnahmen nicht nur regelmässig überprüfen, sondern auch bewerten und evaluieren. Solche Massnahmen sind insbesondere bei automatisierten Systemen bedeutsam. Sie tragen dazu bei, dass die Datensicherheit dauerhaft gewährleistet wird und auch ihr Nachweis einfacher erbracht werden kann. die Schulung und Beratung der mit der Umsetzung betrauten Personen: Diese Massnahme ist aus Sicht des Bundesrats bedeutsam, da die Umsetzung und Wirksamkeit der Datensicherheit auch insbesondere davon abhängt, ob die involvierten Personen die festgelegten Massnahmen anwenden. So kann eine fehlende Schulung und Beratung zu einer Datensicherheitsverletzung führen. Beispielsweise sollten die Mitarbeiter und Mitarbeiterinnen über das Risiko, Malware zu öffnen, aufgeklärt werden. Letztlich bleiben bei der Bestimmung der Massnahmen selbstredend die Umstände des Einzelfalls massgeblich. Die Massnahmen sind gemäss Artikel 1 Absatz 5 wie gemäss geltendem Recht laufend zu überprüfen und ggf. anzupassen. Insbesondere ist zu überprüfen, ob die Massnahmen noch immer dem Risiko angemessen und wirksam sind. Statt „periodisch“ muss die Überprüfung neu „über die gesamte Bearbeitungsdauer hinweg“ erfolgen. Der Überprüfungsbedarf hängt insbesondere von der Gefährdungslage für die Persönlichkeitsrechte und Grundrechte Betroffener ab: Je höher er ist, desto häufiger müssen die Massnahmen regelmässig überprüft werden. Die neue Formulierung geht in Richtung einer ständigen Überprüfung. Sie lässt dem Verantwortlichen und dem Auftragsbearbeiter jedoch einen grossen Ermessensspielraum. Eine Überprüfung kann sich zusätzlich aufdrängen, wenn eine Verletzung der Datensicherheit erfolgt oder die Bearbeitung von Personendaten angepasst worden ist. Artikel 1 Absatz 5 stellt darüber hinaus klar, dass nicht nur die technischen und organisatorischen Massnahmen während der gesamten Dauer der Bearbeitung, also während des gesamten „Lifecycles“ der Personendaten, überprüft werden müssen, sondern auch der Schutzbedarf und die Risiken. Durch die Überprüfung des Schutzbedarfs und der Risiken wird (indirekt) auch überprüft, ob die technischen und organisatorischen Massnahmen geeignet sind.
Art. 2 Ziele
Der Verantwortliche und der Auftragsbearbeiter müssen technische und organisatorische Massnahmen treffen, damit die bearbeiteten Daten ihrem Schutzbedarf entsprechend:
a. nur Berechtigten zugänglich sind (Vertraulichkeit);
b. verfügbar sind, wenn sie benötigt werden (Verfügbarkeit);
c. nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität);
d. nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).
Erläuternder Bericht
Artikel 2 Art. ergänzt Artikel 1 nDSG in Bezug auf den Zweck des Gesetzes und konkretisiert die Ziele zur Gewährleistung der angemessenen Datensicherheit, die nunmehr in Artikel 8 Absatz 2 nDSG festgelegt sind. Nach dieser Bestimmung müssen es die Massnahmen ermöglichen, eine Verletzung der Datensicherheit zu vermeiden. Absolute Sicherheit ist ein unerreichbares Ideal. Mit dem risikobasierten Ansatz sollen die Risiken identifiziert werden (Art. 1 Art.), damit die Massnahmen auf die Ziele abgestimmt und entsprechend ausgewählt werden. Der Verantwortliche und der Auftragsbearbeiter müssen die Ziele und den Umfang des Schutzes bestimmen. In der Lehre und Praxis werden in der Regel vier Schutzziele festgehalten, die im Französischen unter dem Akronym (C.A.I.D.) bekannt sind: die Vertraulichkeit (confidentialité), die Authentizität (authentification), die Integrität (intégrité) und die Verfügbarkeit (disponibilité) der Daten. In Anlehnung an Artikel 32 DSGVO und mit Blick auf eine Harmonisierung mit dem Bundesgesetz über die Informationssicherheit beim Bund , das demnächst in Kraft treten soll, soll Artikel 2 die Vertraulichkeit (Bst. a), die Verfügbarkeit (Bst. b), die Integrität (Bst. c) und die Nachvollziehbarkeit (Bst. d) regeln. Die Vertraulichkeit (Bst. a): Die Personendaten dürfen nur Berechtigten zugänglich sein. Der Kreis der berechtigten Personen wird durch den Kontext des Aufgabenbereichs sowie den Inhalt und die Wichtigkeit der Daten bestimmt. Er kann sehr weit oder äusserst eng sein. Unter Vertraulichkeit sind auch die Authentifizierung, die damit verbundenen Methoden sowie die Systeme zur Verwaltung und Einschränkung des Zugriffs zur Gewährleistung der Datensicherheit zu verstehen. Schliesslich sollte die Vertraulichkeit des Systems und der Daten gewährleistet sein. Die Verfügbarkeit (Bst. b): Gemäss diesem Zweck sorgt der Verantwortliche dafür, dass die Daten jederzeit eingesehen werden können. Diese Anforderung ist umso höher, wenn die Informationen für die Erfüllung wesentlicher oder sogar gesetzlicher Aufgaben ständig verfügbar sein müssen. Die Integrität (Bst. c): Dieses Ziel gewährleistet die Richtigkeit der Daten. Es ist insbesondere dann von Bedeutung, wenn die Daten für die Öffentlichkeit bestimmt sind oder weiterverwendet werden sollen. Unter Integrität sind die Authentizität, die Zurechenbarkeit und die Nichtabstreitbarkeit der Daten zu verstehen. Diese Begriffe werden in der Praxis oder in der Lehre auch anstelle von Integrität verwendet. Die Nachvollziehbarkeit (Bst. d): Auf Grundlage dieses Ziels können unbefugte Zugriffe oder sogar Missbräuche identifiziert werden. Darüber hinaus kann die Ursache eines Vorfalls ermittelt werden. Der Verantwortliche sorgt für die Aufzeichnung der Ereignisse und der Datenspuren und stellt sicher, dass diese nicht verändert werden können. Die Nachvollziehbarkeit der Bearbeitung kann für das Verfahren (Beweismittel) von Bedeutung sein und erleichtert die Kontrollen und Überwachung. Von Zurechenbarkeit und Nichtabstreitbarkeit von Daten ist in der Praxis auch im Zusammenhang mit Mechanismen der Nachvollziehbarkeit die Rede. Gestützt auf diese Ziele sollen Verfahren entwickelt werden, um die Wirksamkeit der ergriffenen Massnahmen regelmässig zu kontrollieren, zu analysieren und zu beurteilen (Art. 1 Abs. 5 und Art. 3 Art.).
Art. 3 Technische und organisatorische Massnahmen
1 Um die Vertraulichkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a. berechtigte Personen nur auf diejenigen Personendaten Zugriff haben, die sie zur Erfüllung ihrer Aufgaben benötigen (Zugriffskontrolle);
b. nur berechtigte Personen Zugang zu den Räumlichkeiten und Anlagen haben, in denen Personendaten bearbeitet werden (Zugangskontrolle);
c. unbefugte Personen automatisierte Datenbearbeitungssysteme nicht mittels Einrichtungen zur Datenübertragung benutzen können (Benutzerkontrolle).
2 Um die Verfügbarkeit und Integrität zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a. unbefugte Personen Datenträger nicht lesen, kopieren, verändern, verschieben, löschen oder vernichten können (Datenträgerkontrolle);
b. unbefugte Personen Personendaten im Speicher nicht speichern, lesen, ändern, löschen oder vernichten können (Speicherkontrolle);
c. unbefugte Personen bei der Bekanntgabe von Personendaten oder beim Transport von Datenträgern Personendaten nicht lesen, kopieren, verändern, löschen oder vernichten können (Transportkontrolle);
d. die Verfügbarkeit der Personendaten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können (Wiederherstellung);
e. alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität);
f. Betriebssysteme und Anwendungssoftware stets auf dem neusten Sicherheitsstand gehalten und bekannte kritische Lücken geschlossen werden (Systemsicherheit).
3 Um die Nachvollziehbarkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:
a. überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person im automatisierten Datenbearbeitungssystem eingegeben oder verändert werden (Eingabekontrolle);
b. überprüft werden kann, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben werden (Bekanntgabekontrolle);
c. Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden können (Beseitigung).
Erläuternder Bericht
Artikel 8 Absatz 1 nDSG verlangt, dass eine angemessene Sicherheit der Personendaten gewährleistet wird. Unter Berücksichtigung der Vernehmlassungsergebnisse sieht Artikel 3 vor, dass organisatorische und technische Massnahmen ergriffen werden müssen, um die Ziele von Artikel 2 zu erreichen. In Anwendung der Verhältnismässigkeit sind ausgehend davon die organisatorischen und technischen Massnahmen des Einzelfalls zu bestimmen. Die Verantwortlichen und Auftragsbearbeiter haben deshalb zu prüfen, mit welchen geeigneten Massnahmen sie die Schutzziele erreichen. Es ist durchaus vorstellbar, dass nicht jedes Schutzziel in jedem Fall von Relevanz ist. Ist ein Schutzziel in einem Fall nicht von Relevanz, so müssen der Verantwortliche und Auftragsbearbeiter aber in der Lage sein, zu begründen, weshalb dies der Fall ist. Die „Eignung“ der Massnahmen hängt von den Umständen ab. Der Artikel zeigt dem Verantwortlichen und dem Auftragsbearbeiter in didaktischer Weise eine Reihe von Massnahmen auf, mit denen er die Ziele nach Artikel 2 erreichen kann. Eine Massnahme kann im Übrigen zur Erreichung verschiedener Ziele beitragen. Der Artikel stellt grösstenteils eine Übernahme des Artikels 9 VDSG dar: Die Regelung steht neu unter dem Titel „Technische und organisatorische Massnahmen“. Mit Artikel 3 Art. setzt die Schweiz auch die Anforderungen von Artikel 29 der Richtlinie (EU) 2016/680 um. Nach Artikel 1 Absatz 3 Buchstabe c Art. ist der Verantwortliche verpflichtet, technische und organisatorische Massnahmen ergreifen, um das Risiko zu verringern. Im Verordnungstext wird bei mehreren technischen und organisatorischen Massnahmen auf „berechtigte“ Personen Bezug genommen. Dies setzt nicht zwingend ein direktes Tätigwerden einer Person voraus. Denn darunter können auch Fälle subsumiert werden, bei denen Personendaten in Applikationen oder in einem automatisierten Informationssystem bearbeitet werden. Artikel 3 Absatz 1 Art. konkretisiert Artikel 2 Absatz 1 Buchstabe a Art. und nennt Massnahmen für die Vertraulichkeit; d. h. Massnahmen, die Zugriffskontrolle (Bst. a), die Zugangskontrolle (Bst. b) sowie die Benutzerkontrolle (Bst. c) gewährleisten sollen. An erster Stelle normiert Buchstabe a neu die Zugriffskontrolle. Das Schutzziel wurde aus Artikel 9 Absatz 1 Buchstabe g VDSG übernommen. Es geht hauptsächlich darum, die Zugriffsberechtigungen zu bestimmen, die die Art und den Umfang des Zugriffs regeln. Dabei ist darauf zu achten, dass die berechtigten Personen nur Zugang zu den Personendaten haben, für die sie berechtigt sind. Die zu ergreifenden Massnahmen sind organisatorischer und technischer Art. Buchstabe b normiert die in Artikel 9 Absatz 1 Buchstabe a VDSG verankerte Zugangskontrolle. Demnach muss unbefugten Personen der Zugang zu den Räumlichkeiten und Anlagen, in denen Personendaten bearbeitet werden, verwehrt werden. Neu enthält das Schutzziel auch den Begriff „Anlagen“. Dadurch soll insbesondere zum Ausdruck kommen, dass auch der Zugang zu mobilen Bearbeitungsanlagen zu unterbinden ist. Der Begriff ist sehr weit gefasst und umfasst von fest angelegten Serveranlagen über Computer bis hin zu Mobiltelefonen oder Tablets jegliche Geräte zur Bearbeitung von Personendaten. Aufgrund des technischen Fortschritts kann sich „Anlage“ sowohl auf Anlagen physischer als auch auf virtueller Natur beziehen. Mögliche Massnahmen sind beispielsweise Alarmanlagen und abschliessbare Serverschränke. Buchstabe c enthält die in Artikel 9 Absatz 1 Buchstabe f VDSG geregelte Benutzerkontrolle. Diese ist darauf ausgerichtet, dass die Benutzung von automatisierten Datenbearbeitungssystemen mittels Einrichtungen zur Datenübertragung durch unbefugte Personen verhindert wird. Die Massnahmen sorgen dafür, dass die Daten nicht unbefugt benutzt oder weitergegeben werden können. Mögliche Massnahmen sind beispielsweise die regelmässige Kontrolle von Berechtigungen (z. B. Sperrung von Berechtigungen aufgrund von Personalwechsel oder neuen Aufgabenzuteilungen) und der Einsatz von Software gegen Viren oder Spyware oder auch die Sensibilisierung des Personals für Phishing-Methoden. In Bezug auf Verfügbarkeit und Integrität übernimmt die Artikel 3 Absatz 2 Art. die Ziele von Artikel 2 Absatz 1 Buchstaben b und c Art.. Die diesbezüglichen Massnahmen sollen die Kontrolle der Datenträger (Bst. a), des Speichers (Bst. b), des Transports (Bst. c) sowie der Wiederherstellung (Bst. d) gewährleisten. Die Massnahmen müssen geeignet sein, die Verfügbarkeit, die Zuverlässigkeit und die Integrität zu gewährleisten (Bst. e). Schliesslich muss die Sicherheit des Systems auf dem neuesten Stand gehalten werden (Bst. f). Buchstabe a regelt die Datenträgerkontrolle, die derzeit in Artikel 9 Absatz 1 Buchstabe b VDSG normiert ist. Diese beinhaltet, dass unbefugten Personen das Lesen, Kopieren, Verändern, Verschieben, Löschen oder Vernichten von Datenträgern verunmöglicht wird. Es ist insbesondere zu verhindern, dass Personendaten unkontrolliert auf Datenträger (z. B. Festplatten, USB-Sticks) übertragen werden können. Unter Datenträger sind dabei nicht nur physische Träger zu verstehen, sondern auch beispielsweise Cloud-Dienste. Mögliche Massnahmen sind beispielsweise die Verschlüsselung und das ordnungsgemässe Vernichten von Datenträgern. Der Buchstabe entspricht der Vorgabe von Artikel 29 Absatz 2 Buchstabe b der Richtlinie (EU) 2016/680. Buchstabe b entspricht Artikel 9 Absatz 1 Buchstabe e VDSG und normiert die Speicherkontrolle. Gemäss der Massnahme dürfen unbefugte Personen Personendaten im Speicher nicht speichern, einsehen, ändern, löschen oder vernichten. Es ist zu verunmöglichen, dass unbefugte Personen auf den Inhalt des Datenspeichers Zugriff haben, diesen einsehen, verändern oder löschen können. Mögliche Massnahmen sind beispielsweise die Festlegung von differenzierten Zugriffsberechtigungen für Daten, Anwendungen und Betriebssysteme und die Protokollierung von Zugriffen auf Anwendungen. Der Buchstabe entspricht der Vorgabe von Artikel 29 Absatz 2 Buchstabe c der Richtlinie (EU) 2016/680. Buchstabe c normiert die Transportkontrolle, die derzeit in Artikel 9 Absatz 1 Buchstabe c VDSG geregelt ist. Demnach muss bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern verhindert werden, dass die Daten unbefugt gelesen, kopiert, verändert, gelöscht oder vernichtet werden können. Der Verantwortliche und der Auftragsbearbeiter müssen dafür sorgen, dass der designierte Empfänger bzw. die designierte Empfängerin die Daten in ihrer ursprünglichen Form erhalten und keine Dritte die Daten unbefugt abfangen können. Insbesondere bei besonders schützenswerten Personendaten stellen sich erhöhte Anforderungen an die Massnahmen. In Betracht kommt etwa die Verschlüsselung von Daten bzw. von Datenträgern. Bei Buchstabe d geht es um die Möglichkeit der Wiederherstellung der Verfügbarkeit der Personendaten und des Zugangs zu ihnen nach einem physischen oder technischen Zwischenfall. Er wurde in Anlehnung an Artikel 32 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 neu in den Katalog aufgenommen und entspricht der Vorgabe in Artikel 29 Absatz 2 Buchstabe i der Richtlinie (EU) 2016/680. Eine mögliche Massnahme ist das Ausarbeiten und Anwenden eines Backup-Konzepts. Buchstabe e bestimmt, dass alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität). Er wurde in Anlehnung an Artikel 32 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679 neu in den Katalog aufgenommen und entspricht der Vorgabe in Artikel 29 Absatz 2 Buchstabe j der Richtlinie (EU) 2016/680. Hier geht es insbesondere darum, dass die Stabilität bzw. die Belastbarkeit der eingesetzten Systeme dauerhaft gewährleistet wird. Die Meldung der Fehlfunktionen soll vom System selbst getätigt werden, sodass der Verantwortliche oder der Auftragsbearbeiter automatisch darauf aufmerksam gemacht wird, dass eine Fehlfunktion vorliegt. Wenn eine Fehlfunktion gemeldet wird, bedeutet das nicht automatisch, dass die Funktionen zuverlässig sind; vielmehr muss die Fehlfunktion dafür auch korrigiert werden. Bei Buchstabe f geht es um die Gewährleistung der Sicherheit von Betriebssystemen und Anwendungssoftware, die bei der Bearbeitung von Personendaten zur Anwendung gelangen. Da die Bearbeitung von Personendaten auf Systemen und diversen darauf laufenden Anwendungen basiert, ist es notwendig, dass diese auf dem aktuellsten Sicherheitsstand gehalten und kritische Lücken zeitnah geschlossen werden. Buchstabe f ergänzt damit die Vorgaben in Buchstabe d und e, mit dem Ziel, eine ganzheitliche Sicherheit zu gewährleisten. Es wird nicht verlangt, dass jedes System- und Anwendungsupdate sofort installiert wird, sondern dass ein Prozess für die Aktualisierung vorhanden ist (sog. Vulnerability- und Patchmanagement). Die entsprechende Sicherheitsaktualisierung kann zeitlich abgestuft, unter Berücksichtigung der Kritikalitätsstufen (hoch, mittel, tief), umgesetzt werden. Bis zur Behebung von Schwachstellen müssen aber Massnahmen getroffen werden, damit die Datensicherheit dennoch gewährleistet bleibt. Im Unterschied zu Artikel 3 Absatz 3 Buchstabe c geht es bei Buchstabe f nicht um reaktive Massnahmen, sondern die proaktive Behebung von Schwachstellen, für die im System bislang keine Verletzung der Datensicherheit festgestellt wurde. Absatz 3 nennt die Massnahmen zur Nachvollziehbarkeit (Art. 2 Abs. 1 Bst. d Art.), d. h. Massnahmen, die die Kontrolle der Eingabe (Bst. a) und der Bekanntgabe (Bst. b) gewährleisten sollen, sowie Massnahmen zur Erkennung und Beseitigung (Bst. c). In Buchstabe a ist neu die Eingabekontrolle geregelt. Diese verlangt – entsprechend Artikel 9 Absatz 2 Buchstabe h VDSG –, dass nachträglich überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person im automatisierten Datenbearbeitungssystem eingegeben oder verändert wurden. Das Schutzziel wurde so angepasst, dass neu explizit zum Ausdruck kommt, dass auch die Veränderung von Personendaten nachträglich überprüfbar sein muss. Als mögliche Massnahme kommt insbesondere die Protokollierung in Betracht. Buchstabe b betrifft die Bekanntgabekontrolle. Sie wurde von Artikel 9 Absatz 1 Buchstabe d VDSG übernommen und in der Formulierung leicht angepasst. Gemäss dem neuen Buchstaben b kann überprüft werden, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben wurden. Die Massnahmen sollen es insbesondere ermöglichen, die Datenempfängerinnen und Datenempfänger zu identifizieren. Dabei kann es u. U. ausreichend sein, dass das Organ als solches bekannt ist, ohne dass die natürliche Person in jedem Fall identifizierbar sein muss. Bei Bedarf muss z. B. anhand von Protokollen feststellbar sein, mit welchen Mitteln welche Personendaten an wen bekanntgegeben wurden. Buchstabe c verlangt, dass der Verantwortliche und der Auftragsbearbeiter Verletzungen der Datensicherheit im Sinne von Artikel 5 Buchstabe h nDSG rasch erkennen und Massnahmen zur Minderung oder Beseitigung deren Folgen einleiten können. Anders als bei Absatz 2 Buchstabe e geht es hier insbesondere um reaktive Massnahmen, die vom Verantwortlichen und vom Auftragsbearbeiter getroffen werden. Artikel 9 Absatz 2 VDSG wurde gestrichen, da er aus Sicht des Bundesrats nicht mehr notwendig ist. Die Gründe für die Verweigerung, Einschränkung oder Aufschiebung eines Auskunftsgesuches werden auf Gesetzesebene festgelegt (vgl. Art. 26 nDSG). So sind die Verantwortlichen und Auftragsbearbeiter bereits aufgrund des nDSG verpflichtet, dafür zu sorgen, dass die Betroffenen ihre Rechte wirksam wahrnehmen können, und dies unabhängig von den konkret angewendeten Technologien zur Bearbeitung der Personendaten.
Art. 4 Protokollierung
1 Werden besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet oder wird ein Profiling mit hohem Risiko durchgeführt und können die präventiven Massnahmen den Datenschutz nicht gewährleisten, so müssen der private Verantwortliche und sein privater Auftragsbearbeiter zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten protokollieren. Eine Protokollierung muss insbesondere dann erfolgen, wenn sonst nachträglich nicht festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft oder bekanntgegeben wurden.
2 Das verantwortliche Bundesorgan und sein Auftragsbearbeiter protokollieren bei der automatisierten Bearbeitung von Personendaten zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten.
3 Bei Personendaten, welche allgemein öffentlich zugänglich sind, sind zumindest das Speichern, Verändern, Löschen und Vernichten der Daten zu protokollieren.
4 Die Protokollierung muss Aufschluss geben über die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität der Empfängerin oder des Empfängers der Daten.
5 Die Protokolle müssen während mindestens einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt werden. Sie dürfen ausschliesslich den Organen und Personen zugänglich sein, denen die Überprüfung der Anwendung der Datenschutzvorschriften oder die Wahrung oder Wiederherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten obliegt, und dürfen nur für diesen Zweck verwendet werden.
Erläuternder Bericht
Die Protokollierung wird in Artikel 10 VDSG geregelt, der aufgrund des Verweises in Artikel 20 Absatz 1 erster Satz VDSG auch auf Bundesorgane Anwendung findet. Artikel 4 übernimmt diese Regelung in geänderter Form. Die Protokollierung stellt eine Massnahme im Sinne von Artikel 3 Art. dar. Dadurch wird dem Umstand Rechnung getragen, dass das Schweizer Recht im Unterschied zur DSGVO keine allgemeine „Rechenschaftspflicht“ vorsieht. Überdies wird die Protokollierung auch von gewissen europäischen Datenschutzbehörden empfohlen. Ausserdem handelt es sich bei der Protokollierung um ein klassisches, präventives Mittel zur Gewährleistung der Cybersicherheit. Der Zweck der Protokollierung besteht darin, dass Bearbeitungen von Personendaten nachträglich überprüfbar sind, so dass im Nachhinein festgestellt werden kann, ob Daten abhandengekommen sind oder gelöscht, vernichtet, verändert oder offengelegt wurden. Ausserdem geht es auch um die Gewährleistung der Zweckkonformität und einer angemessenen Datensicherheit. So können sich aus der Protokollierung auch Hinweise ergeben, ob Personendaten zweckkonform bearbeitet wurden. Weiter können die Protokollierungen auch dazu dienen, Verletzungen der Datensicherheit aufzudecken und aufzuklären. Die Protokollierung hat hingegen nicht zum Ziel, die Nutzerinnen und Nutzer, die Personendaten bearbeiten, zu überwachen. Bei der Protokollierung handelt es sich um einen automatisierten Prozess. Heutzutage gibt es kaum ein Informationssystem oder ein System zur automatisierten Datenbearbeitung, in dem die Datenbearbeitung nicht protokolliert wird. Artikel 4 Absatz 1 Art. verlangt die Protokollierung für den privaten Verantwortlichen und seinen privaten Auftragsbearbeiter bei der automatisierten Bearbeitung besonders schützenswerter Daten in grossem Umfang oder beim Profiling mit hohem Risiko, wenn die präventiven Massnahmen den Datenschutz nicht gewährleisten können und wenn ohne diese Massnahme nicht nachträglich festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft oder bekanntgegeben wurden. Protokolliert werden müssen zumindest die Vorgänge des Speicherns, Veränderns, Lesens, Bekanntgebens, Löschens und Vernichtens von Daten. Der Vorgang des „Lesens“ ist als Zugriff ohne „Verändern“ zu verstehen; es reicht demnach aus, wenn die Zugriffe auf Personendaten und das Verändern dieser Daten protokolliert werden. Der Protokollierung des „Lesens“ wird damit Genüge getan. Der Satzteil „können die präventiven Massnahmen den Datenschutz nicht gewährleisten“ wurde aus dem geltenden Recht übernommen. In der Praxis ist er von untergeordneter Bedeutung, da die präventiven Massnahmen den Datenschutz nur selten gewährleisten. Gemäss Absatz 2 protokollieren das verantwortliche Bundesorgan und sein Auftragsbearbeiter bei der automatisierten Bearbeitung von Personendaten zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten. Dies sind die gleichen Bearbeitungsvorgänge, die auch der private Verantwortlichen protokollieren muss, allerdings muss die Protokollierung bei Bundesorganen in einer grösseren Anzahl von Fällen (bei jeder automatisierten Bearbeitung) erfolgen. Damit wird den im Rahmen der Schengener Zusammenarbeit im Strafrechtsbereich geltenden Anforderungen von Artikel 25 der Richtlinie (EU) 2016/680 Rechnung getragen. Wie oben ausgeführt, ist es in Bezug auf das „Lesen“ ausreichend, wenn die Zugriffe auf Personendaten und das Verändern dieser Daten protokolliert werden. Für die Umsetzung der Protokollierungspflicht wird für Datenbearbeitungen, die nicht in den Anwendungsbereich der Richtlinie (EU) 2016/680 fallen, in Artikel 46 Absatz 1 eine Übergangsfrist von drei Jahren vorgesehen. In Absatz 3 wird neu festgehalten, dass bei Personendaten, welche allgemein öffentlich zugänglich sind, zumindest das Speichern, Verändern, Löschen und Vernichten der Daten protokolliert werden muss. Dies bedeutet z.B., dass die Konsultation des Staatskalenders, der allgemein öffentlich zugänglich ist, nicht zwingend protokolliert werden muss. Die Regelung wurde mit einem neuen Absatz 4 ergänzt, wo die Inhalte der Protokollierung konkretisiert werden. So muss die Protokollierung Aufschluss geben über die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität der Empfängerin oder des Empfängers der Daten. In Absatz 5 wird Artikel 10 Absatz 2 VDSG in leicht geänderter Form übernommen. Die Protokolle müssen während mindestens eines Jahres getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt werden. Dies bedeutet allerdings nicht, dass die Protokolle während einer unverhältnismässig langer Dauer aufbewahrt werden dürfen. Die Aufbewahrungsdauer muss im Vergleich zum Ziel einer angemessenen Datensicherheit in einem angemessenen Verhältnis stehen. Im Übrigen bleiben für Bundesorgane jedenfalls die spezialrechtlichen Vorschriften vorbehalten. So sieht insbesondere die Verordnung vom 22. Februar 2012 über die Bearbeitung von Personendaten, die bei der Nutzung der elektronischen Infrastruktur des Bundes anfallen, in Artikel 4 Absatz 1 Buchstabe b vor, dass Daten über die Nutzung der elektronischen Infrastruktur längstens zwei Jahre aufbewahrt werden dürfen. Die getrennte Aufbewahrung vom System ist notwendig, da ansonsten bei Cyberangriffen auch das Protokoll selber manipuliert oder verschlüsselt werden könnte. Die Protokolle sind ausschliesslich den Organen oder Personen zugänglich, denen die Überprüfung der Anwendung der Datenschutzvorschriften oder die Wahrung oder Wiederherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten obliegen, und dürfen nur für diesen Zweck verwendet werden. Mit letzterer Ergänzung kommt im Verordnungstext neu zum Ausdruck, dass die Protokolle auch Sicherheitsverantwortlichen zugänglich sein sollen, damit diese die Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten wiederherstellen können. Mit dem Ausdruck Wahrung soll überdies sichergestellt werden, dass auch Systemadministratoren Zugriff auf auf die im System generierten Protokolle haben, wenn sie den Verdacht haben, dass eine Sicherheitslücke besteht. Diese Daten dürfen folglich nicht zum Zweck der Überwachung der Nutzer und Nutzerinnen, insbesondere ihrer beruflichen Tätigkeit, verwendet werden. Vorbehalten bleibt natürlich die Verwendung für spezialgesetzlich vorgesehene Zwecke, wie etwa eine allfällige Verwendung in einem Strafverfahren. Artikel 10 Absatz 1 dritter Satz VDSG wurde gestrichen. Er wäre systemwidrig, wenn der EDÖB im Bereich der Datensicherheit, die gemäss Artikel 61 Buchstabe c der Strafbarkeit unterliegt, Empfehlungen aussprechen könnte. Zudem kann der EDÖB gemäss seiner allgemeinen Verfügungskompetenz im Rahmen einer Untersuchung nach Artikel 51 nDSG ohnehin eine Protokollierung anordnen.
Art. 5 Bearbeitungsreglement von privaten Personen
1 Der private Verantwortliche und sein privater Auftragsbearbeiter müssen ein Reglement für automatisierte Bearbeitungen erstellen, wenn sie:
a. besonders schützenswerte Personendaten in grossem Umfang bearbeiten; oder
b. ein Profiling mit hohem Risiko durchführen.
2 Das Reglement muss insbesondere Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten.
3 Der private Verantwortliche und sein privater Auftragsbearbeiter müssen das Reglement regelmässig aktualisieren. Wurde eine Datenschutzberaterin oder ein Datenschutzberater ernannt, so muss dieser oder diesem das Reglement zur Verfügung gestellt werden.
Erläuternder Bericht
Ein Bearbeitungsreglement erstellen musste der „Inhaber einer meldepflichtigen automatisierten Datensammlung“ nach Artikel 11a Absatz 3 DSG, der nicht aufgrund von Artikel 11a Absatz 5 Buchstaben b – d DSG von der Pflicht, seine Datensammlungen anzumelden, ausgenommen war (Art. 11 Abs. 1 VDSG). Da die Meldepflicht für private Verantwortliche (Art. 11a DSG) im nDSG nicht mehr besteht, kann Artikel 11 VDSG nicht unverändert übernommen werden. Gemäss dem in der DSGVO vorgesehenen Grundsatz der Rechenschaftspflicht oder „accountability“ muss der Verantwortliche die Einhaltung der Grundsätze der Datenbearbeitung nachweisen können (Art. 5 Abs. 2 DSGVO). Das Schweizer Recht kennt keine allgemeine Rechenschaftspflicht oder „accountability“, aber die Pflicht zur Erstellung eines Bearbeitungsreglements erfüllt denselben Zweck. Die Pflicht zur Erstellung eines Bearbeitungsreglements obliegt dem Verantwortlichen sowie dessen Auftragsbearbeiter. Private Auftragsbearbeiter, die im Auftrag von Bundesorganen handeln, fallen unter Artikel 6. Sollte ausnahmsweise einmal ein Bundesorgan als Auftragsbearbeiter eines privaten Verantwortlichen handeln, fällt es nicht unter Artikel 5, wo nur private Auftragsbearbeiter erfasst werden, sondern unter den strengeren Artikel 6. Das rechtfertigt sich durch die besondere Stellung und Verantwortung, die sich aus der Rechtsnatur des Bundesorgans ergibt. Die Bearbeitungsreglemente sind separat zu erstellen. Entsprechend dem risikobasierten Ansatz der Vorgabe der Datensicherheit soll ein Bearbeitungsreglement immer dann erstellt werden, wenn ein erhöhtes Risiko vorliegt. So müssen private Verantwortliche ein Bearbeitungsreglement für automatisierte Bearbeitungen erstellen, wenn sie besonders schützenswerte Personendaten in grossem Umfang bearbeiten (Bst. a) oder ein Profiling mit hohem Risiko durchführen (Bst. b). Buchstabe a entspricht der Vorgabe in Artikel 22 Absatz 2 Buchstabe a nDSG und bezieht sich auf die Bearbeitung von besonders schützenswerten Personendaten in grossem Umfang. Ausgeschlossen werden damit Fälle, in denen besonders schützenswerte Personen nur vereinzelt bearbeitet werden. Viele Unternehmen, insbesondere „traditionelle“ KMU, nehmen keine solche Bearbeitungen vor. Sie sind somit von dieser Bestimmung nicht betroffen. Absatz 2 enthält eine Auflistung der Inhalte, die im Bearbeitungsreglement mindestens angegeben werden müssen. Die Inhalte wurden von Artikel 11 Absatz 1 bzw. Artikel 21 Absatz 2 VDSG in leicht angepasster Form übernommen und ergänzt. Wie bis anhin ist das Bearbeitungsreglement als eine Dokumentation oder ein Handbuch auszugestalten und sollte dem Verantwortlichen auch dazu dienen. Wie bisher müssen der private Verantwortliche und Auftragsbearbeiter im Bearbeitungsreglement die interne Organisation beschreiben. Dazu gehört auch die Umschreibung der Architektur und der Funktionsweise der Systeme. Absatz 2 legt fest, dass die Datenbearbeitungsverfahren, d. h. insbesondere die Verfahren zum Speichern, Berichtigen, Bekanntgeben, Aufbewahren, Archivieren, Pseudonymisieren, Anonymisieren, Löschen oder Vernichten der Daten, im Bearbeitungsreglement enthalten sein müssen. Dazu gehören auch Massnahmen zur Datenminimierung. Der Grundsatz der Datenminimierung ist ein zentraler Grundsatz des Datenschutzes und geht, wie der Botschaft DSG vom 15. September 2017 zu entnehmen ist , implizit aus dem Grundsatz der Verhältnismässigkeit gemäss Artikel 6 Absatz 2 nDSG hervor. Es soll insbesondere festgehalten werden, welche Datenbearbeitungsverfahren vorgenommen werden und wie diese ablaufen. Das Reglement muss auch das Verfahren zur Ausübung des Auskunftsrechts und des Rechts auf Datenherausgabe oder ‑übertragung enthalten. Die Kontrollverfahren müssen es ermöglichen, die Zugriffsberechtigungen, die Art und den Umfang des Zugriffs festzustellen. Schliesslich ist es von entscheidender Bedeutung, dass das Bearbeitungsreglement auch die technischen und organisatorischen Massnahmen zur Gewährleistung der angemessenen Datensicherheit umfasst. So ist etwa anzugeben, mit welchen Massnahmen den Schutzzielen nach Artikel 2 Rechnung getragen wird. Die Angaben sollten auch Aufschluss über die Konfiguration der Informatikmittel geben, da es sich dabei um eine technische Massnahme handelt. Der bisherige Artikel 21 Absatz 2 Buchstabe h VDSG, der die Konfiguration der Informatikmittel noch ausdrücklich nennt, wurde deshalb nicht übernommen. Es ist dabei ausreichend, dass die wichtigsten Grundkonfigurationen der Informatikmittel im Bearbeitungsreglement erläutert werden. Sie müssen aber nicht bis in die technischen Details ausgeführt werden. Absatz 3 stellt eine Übernahme von Artikel 11 Absatz 2 VDSG dar. Im Vergleich zum geltenden Recht wurde auf die Ergänzung, dass das Bearbeitungsreglement der Beraterin oder dem Berater in einer für diese oder diesen verständlichen Form zur Verfügung zu stellen ist, verzichtet. Da die Beraterin oder der Berater selbst an der Erstellung des Reglements mitwirkt, ist dieses für sie oder ihn in aller Regel auch verständlich. Die Verpflichtung, dass das Bearbeitungsreglement auch dem Beauftragten auf Anfrage zur Verfügung zu stellen ist, wurde gestrichen. Analog zum Verzeichnis der Bearbeitungstätigkeiten kann der EDÖB dieses aber im Rahmen einer Untersuchung herausverlangen (Art. 50 Abs. 1 Bst. a nDSG).
Art. 6 Bearbeitungsreglement von Bundesorganen
1 Das verantwortliche Bundesorgan und sein Auftragsbearbeiter erstellen ein Bearbeitungsreglement für automatisierte Bearbeitungen, wenn sie:
a. besonders schützenswerte Personendaten bearbeiten;
b. ein Profiling durchführen;
c. nach Artikel 34 Absatz 2 Buchstabe c DSG Personendaten bearbeiten;
d. Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen Personendaten zugänglich machen;
e. Datenbestände miteinander verknüpfen; oder
f. mit anderen Bundesorganen zusammen ein Informationssystem betreiben oder Datenbestände bewirtschaften.
2 Das Reglement muss insbesondere Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten
3 Das verantwortliche Bundesorgan und sein Auftragsbearbeiter müssen das Reglement regelmässig aktualisieren und der Datenschutzberaterin oder dem Datenschutzberater zur Verfügung stellen
Erläuternder Bericht
Artikel 6 entspricht, mit einigen Änderungen, Artikel 21 VDSG. Die Pflicht zur Erstellung eines Bearbeitungsreglements obliegt dem verantwortlichen Bundesorgan sowie dessen Auftragsbearbeiter. Wie oben erwähnt, betrifft Artikel 6 sowohl private Auftragsbearbeiter als auch Bundesorgane, die ausnahmsweise als Auftragsbearbeiter fungieren. Die Bearbeitungsreglemente sind separat zu erstellen. Im Einleitungssatz von Absatz 1 wird der in Artikel 21 Absatz 1 Einleitungssatz VDSG vorkommende Begriff „Datensammlungen“ durch „Bearbeitungen“ ersetzt, weil er im nDSG nicht mehr verwendet wird. Diese Bestimmung sieht nun vor, dass die verantwortlichen Bundesorgane in den Fällen nach Absatz 1 Buchstaben a – f ein Bearbeitungsreglement erstellen. Mit dem nDSG wird der Begriff „Persönlichkeitsprofil“ aufgehoben und der Begriff „Profiling“ eingeführt. Dementsprechend ist Artikel 21 Absatz 1 Buchstabe a VDSG zu ändern und in Artikel 6 Absatz 1 Art. vorzusehen, dass das verantwortliche Bundesorgan und dessen Auftragsbearbeiter ein Bearbeitungsreglement erstellen muss, wenn es besonders schützenswerte Personendaten bearbeitet (Bst. a), ein Profiling nach Artikel 5 Buchstabe f nDSG durchführt (Bst. b) oder nach Artikel 34 Absatz 2 Buchstabe c nDSG Daten bearbeitet (Bst. c). Der Fall nach Buchstabe a entspricht dem bisherigen Recht nach dem DSG. Die Buchstaben b und c sind neu. Sie ersetzen Artikel 21 Absatz 1 Buchstabe a VDSG, der das verantwortliche Bundesorgan verpflichtet, für alle automatisierten Datensammlungen, die Persönlichkeitsprofile beinhalten, ein Bearbeitungsreglement zu erstellen. Artikel 6 Absatz 1 Buchstabe d Art. erfährt gegenüber Artikel 21 Absatz 1 Buchstabe c VDSG nur ein paar redaktionelle Änderungen. In Artikel 6 Absatz 1 Buchstabe e wird der im entsprechenden Artikel 21 Absatz 1 Buchstabe d VDSG verwendete Begriff „Datensammlungen“ durch „Datenbestände“ ersetzt. Aufgrund von Artikel 6 Absatz 1 Buchstabe f Art. ist ein Bearbeitungsreglement auch dann zu erstellen, wenn das verantwortliche Bundesorgan zusammen mit anderen Bundesorganen ein Informationssystem betreibt oder Datenbestände bewirtschaftet. Diese Bestimmung ersetzt Artikel 21 Absatz 1 Buchstabe b VDSG, wonach eine solche Pflicht besteht, wenn eine automatisierte Datensammlung von mehreren Bundesorganen benutzt wird. Absatz 2 entspricht dem Inhalt des Bearbeitungsreglements für Private nach Artikel 5 Absatz 2 Art.. Es ist an dieser Stelle deshalb auf die oben gemachten Ausführungen zu verweisen. Absatz 3 wurde in leicht angepasster Form von Artikel 21 Absatz 3 VDSG übernommen. Wie in Artikel 5 Absatz 3 Art. wurde auch an dieser Stelle die Bereitstellung in verständlicher Form gestrichen. Der Begriff „Kontrollorgane“ wird durch „Datenschutzberaterin oder Datenschutzberater“ ersetzt. Auf die Erwähnung des EDÖB wurde aus den oben im Zusammenhang mit Artikel 5 Absatz 3 Art. genannten Gründen verzichtet.
2. Abschnitt: Bearbeitung durch Auftragsbearbeiter
Art. 7
1 Die vorgängige Genehmigung des Verantwortlichen, die dem Auftragsbearbeiter erlaubt, die Datenbearbeitung einem Dritten zu übertragen, kann spezifischer oder allgemeiner Art sein
2 Bei einer allgemeinen Genehmigung informiert der Auftragsbearbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Dritter. Der Verantwortliche kann Widerspruch gegen diese Änderung erheben
Erläuternder Bericht
Artikel 7 Art. regelt die Art der vorgängigen Genehmigung, mit welcher ein Verantwortlicher einen Auftragsbearbeiter zur Übertragung der Datenbearbeitung auf einen Dritten ermächtigen kann, geregelt. Diese Bestimmung orientiert sich an Artikel 22 Absatz 2 der Richtlinie (EU) 2016/680 bzw. Artikel 28 Abs. 2 DSGVO. Sie hält aus Gründen der Rechtssicherheit ausdrücklich fest, was der Bundesrat bereits in der Botschaft zur Totalrevision des Datenschutzgesetzes zur Genehmigung der Subauftragsbearbeitung ausgeführt hat (vgl. BBl 2017 6941, 7032). Die vorgängige Genehmigung des Verantwortlichen kann spezifischer oder allgemeiner Art sein (Art. 7 Abs. 1 Art.). Bei einer allgemeinen Genehmigung muss der Auftragsbearbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines anderen Subauftragsbearbeiters informieren. Der Verantwortliche kann Widerspruch gegen diese Änderung erheben (Art. 7 Abs. 2 Art.).
3. Abschnitt: Bekanntgabe von Personendaten ins Ausland
Erläuternder Bericht
Entsprechend der Systematik des Gesetzes wurden die Bestimmungen zur Bekanntgabe von Personendaten ins Ausland bei den allgemeinen Bestimmungen im 1. Kapitel platziert. Mehrere Begriffe im Zusammenhang mit der Datenbekanntgabe ins Ausland sind zu präzisieren. In der Art. erfolgt dies in fünf verschiedenen Artikeln: In einem ersten Artikel werden die Kriterien konkretisiert, die der Bundesrat bei der Beurteilung berücksichtigen muss, ob ein Staat, ein Gebiet, ein spezifischer Sektor in einem Staat oder eine internationale Organisation einen angemessenen Datenschutz gewährleistet; ein zweiter Artikel legt dar, was die Datenschutzklauseln in einem Vertrag und die spezifischen Garantien zur Gewährleistung eines geeigneten Datenschutzes regeln müssen; in einem dritten Artikel geht es um die Standarddatenschutzklauseln; ein vierter Artikel konzentriert sich auf verbindliche unternehmensinterne Datenschutzvorschriften; aufgrund der in Artikel 16 Absatz 3 nDSG dem Bundesrat zugewiesenen Kompetenz werden in einer letzten Bestimmung weitere geeignete Garantien vorgesehen.
Art. 8 Beurteilung der Angemessenheit des Datenschutzes eines Staates, eines Gebiets, eines spezifischen Sektors in einem Staat oder eines internationalen Organs
1 Die Staaten, Gebiete, spezifischen Sektoren in einem Staat und internationalen Organe mit einem angemessenen Datenschutz werden in Anhang 1 aufgeführt.
2 Bei der Beurteilung, ob ein Staat, ein Gebiet, ein spezifischer Sektor in einem Staat oder ein internationales Organ einen angemessenen Datenschutz gewährleistet, werden insbesondere die folgenden Kriterien berücksichtigt:
a. die internationalen Verpflichtungen des Staates oder internationalen Organs, insbesondere im Bereich des Datenschutzes;
b. die Rechtsstaatlichkeit und die Achtung der Menschenrechte;
c. die geltende Gesetzgebung insbesondere zum Datenschutz sowie deren Umsetzung und die einschlägige Rechtsprechung;
d. die wirksame Gewährleistung der Rechte der betroffenen Personen und des Rechtsschutzes;
e. das wirksame Funktionieren einer oder mehrerer unabhängiger Behörden, die im betreffenden Staat für den Datenschutz zuständig sind oder denen ein internationales Organ untersteht und die über ausreichende Befugnisse und Kompetenzen verfügen.
3 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wird bei jeder Beurteilung konsultiert. Die Einschätzungen von internationalen Organen oder ausländischen Behörden, die für den Datenschutz zuständig sind, können berücksichtigt werden.
4 Die Angemessenheit des Datenschutzes wird periodisch neu beurteilt.
5 Die Beurteilungen werden veröffentlicht.
6 Wenn die Beurteilung nach Absatz 4 oder andere Informationen zeigen, dass kein angemessener Datenschutz mehr gewährleistet ist, wird Anhang 1 geändert; dies hat keine Auswirkungen auf die bereits erfolgten Datenbekanntgaben.
Erläuternder Bericht
Sind bestimmte Kriterien erfüllt, kann der Bundesrat beurteilen, dass ein Staat bzw. ein Gebiet, ein spezifischer Sektor in einem Staat oder ein internationales Organ einen angemessenen Schutz gewährleistet. Gemäss Artikel 7 Absatz 1 Buchstabe d der Organisationsverordnung vom 17. November 1999 für das Eidgenössische Justiz- und Polizeidepartement (OV-EJPD) fällt die Aufgabe, die Gewährleistung eines angemessenen Datenschutzes eines Staates, eines Gebietes, eines spezifischen Sektors in einem Staat oder eines internationalen Organs in die Zuständigkeit des Bundesamt für Justiz. Gemäss Artikel 8 Absatz 1 DSV werden die Staaten, Gebiete, spezifischen Sektoren in einem Staat und internationalen Organe, deren Datenschutz als angemessen eingestuft wurde, im Anhang der Verordnung aufgeführt. Wie in der Botschaft erläutert, handelt es sich dabei um eine „Positiv-Liste“. Wenn ein Staat nicht enthalten ist, bedeutet dies nicht zwangsläufig, dass er keine Datenschutzgesetzgebung hat, die ein angemessener Datenschutz gewährleistet; vielmehr ist es denkbar, dass der Staat vom Bundesrat (noch) nicht beurteilt wurde. Nur Staaten, die in der Liste im Anhang aufgeführt werden, können daher als Staaten angesehen werden, die einen angemessenen Datenschutz gewährleisten. Dieses Vorgehen unterscheidet sich etwas vom Vorgehen des EDÖB. Der EDÖB hat nämlich bisher zu jedem Staat angegeben, ob dieser einen angemessenen Schutz, einen unter bestimmten Voraussetzungen angemessenen Schutz oder einen ungenügenden Schutz gewährleistet. Es ist auch darauf hinzuweisen, dass die Liste des EDÖB nicht verbindlich ist und insbesondere die Gerichte im Streitfall nicht bindet. Bevor die Faktoren, die der Bundesrat bei der Beurteilung berücksichtigen muss, im Einzelnen erörtert werden, sollte zunächst geklärt werden, was unter einem „Gebiet“ oder einem „spezifischen Sektor in einem Staat“ zu verstehen ist. Der Begriff „Gebiet“ bezieht sich auf Fälle, in denen das Land nicht einer einzigen Gesetzgebung unterliegt. Dies betrifft namentlich der Fall von föderalen Staaten, nämlich wenn die Gesetzgebung des Zentralstaates nicht einen angemessenen Schutz gewährleistet, während ein Bundesstaat über eine angemessene Datenschutzgesetzgebung verfügt, das jedoch nur auf seinem eigenen Hoheitsgebiet gilt. Zum Begriff „spezifischer Sektor in einem Staat“ kann beispielsweise die Liste des EDÖB angeführt werden, in der unter Kanada berücksichtigt wird, dass auf Grundlage eines spezifischen Datenschutzgesetzes für den privaten Bereich nur für diesen Bereich ein angemessenes Schutzniveau anerkannt werden kann. Bis im Juli 2020 galt dies aufgrund des Privacy Shield CH – US, der die freie Datenübermittlung nur an Unternehmen erlaubte, die sich zur Einhaltung der verbindlichen Grundsätze des Privacy Shield verpflichtet hatten, auch für die USA. Zu nennen sind weitere spezifische Sektoren wie der Finanz- oder Versicherungssektor oder die Datenbearbeitung durch Auftragsbearbeiter. Der Begriff des internationalen Organs wurde in der Botschaft zum Datenschutzgesetz präzisiert. Er bezieht sich auf „alle internationalen Institutionen, seien dies Organisationen oder Gerichte“ (BBl 2017 6941, 7038) . Beim Entscheid, ob ein Staat, ein Gebiet, ein spezifischer Sektor in einem Staat oder ein internationales Organ einen angemessenen Datenschutz gewährleistet, müssen unter anderem die folgenden Kriterien berücksichtigt werden (Art. 8 Abs. 2 DSV): Die internationalen Verpflichtungen des betroffenen Staates oder des internationalen Organs, insbesondere im Bereich des Datenschutzes (Abs. 2 Bst. a): Angesprochen wird damit insbesondere das revidierte Übereinkommen SEV 108. Von Bedeutung sind aber nicht nur Abkommen im Bereich des Datenschutzes, weshalb der Ausdruck „insbesondere“ verwendet wird (siehe ebenfalls die Erläuterung zu Bst. c). So können beispielswiese auch Abkommen zur Regelung des Informationsaustauschs beispielsweise spielen auch eine Rolle. Die Rechtsstaatlichkeit und die Achtung der Menschenrechte (Abs. 2 Bst. b): In Buchstabe b wird der Begriff „Menschenrechte“ verwendet, um die gleiche Terminologie wie in der EMRK und im UNO-Pakt II zu verwenden. Der Bundesrat verfügt über den nötigen Ermessensspielraum, um festzustellen, ob ein Staat einen angemessenen Datenschutz gewährleistet, auch wenn er sich nicht vollumfassend an die international anerkannten Menschenrechte hält. Wichtig ist dabei, dass der Schutz vor unverhältnismässigen Eingriffen in das Privatleben gewährleistet wird, auch wenn der Staat beispielsweise nicht in allen Punkten die Anforderungen der EMRK erfüllt. Die geltende Gesetzgebung insbesondere zum Datenschutz sowie deren Umsetzung und die einschlägige Rechtsprechung (Abs. 2 Bst. c): Aufgrund des Ausdrucks „insbesondere“ ist auch die sektorielle Gesetzgebung mitgemeint. Diese enthalten oft (direkte und/oder indirekte) Regelungen zum Datenschutz. Das gilt z.B. für Staaten, die kein Rahmengesetz zum Datenschutz haben, sondern einzig ein Zivilgesetzbuch. In einigen Fällen haben diese Staaten sektorielle Gesetze, die Datenschutzbestimmungen enthalten. Wichtig ist, dass die anwendbaren Gesetze auch gelten. Daher wird der Fokus auf die einschlägige allgemeine und besondere Gesetzgebung des Staates gerichtet, einschliesslich derjenigen zur öffentlichen Sicherheit, zur Verteidigung, zur nationalen Sicherheit, zum Strafrecht und zum Zugang der Behörden zu Personendaten. Die wirksame Gewährleistung der Rechte der betroffenen Personen und des Rechtsschutzes (Abs. 2 Bst. d): Es geht nicht nur darum, zu überprüfen, ob die Rechte der betroffenen Personen in Rechtsgrundlagen enthalten sind, sondern auch darum, sicherzustellen, dass diese Rechte tatsächlich umgesetzt werden. Das wirksame Funktionieren einer oder mehrerer unabhängiger Behörden, die im betroffenen Staat mit dem Datenschutz beauftragt sind oder denen ein internationales Organ untersteht und die über ausreichende Befugnisse und Kompetenzen verfügen. In diesem Sinne müssen die Mindestanforderungen des revidierten Übereinkommens SEV 108 erfüllt sein (Abs. 2 Bst. e). Der dritte Absatz bestimmt, dass der EDÖB bei jeder Beurteilung der Angemessenheit konsultiert wird. Seine Stellungnahme ist für den Bundesrat nicht verbindlich, muss aber berücksichtigt werden, insbesondere im Rahmen der Ämterkonsultation. Der EDÖB kann seine Stellungnahme darüber hinaus veröffentlichen. Der Bundesrat kann auch eine Beurteilung des Schutzniveaus berücksichtigen, welche von einer ausländischen Behörde, die für den Datenschutz zuständig ist (und zu einem Staat mit einem angemessenen Schutzniveau gehört) oder von einem internationalen Organ vorgenommen wurde. Als internationales Organ im Sinne dieses Absatzes kann unter anderem der mit dem revidierten Übereinkommen SEV 108 eingesetzte Ausschuss der Vertragsparteien gelten. Auch Beurteilungen, welche die Europäische Kommission vorgenommen hat, können als Informationsquelle dienen. Der vierte Absatz sieht vor, dass das Schutzniveau im betreffenden Staat oder im betreffenden Organ periodisch neu beurteilt wird. Aufgrund der verschiedenen Stellungnahmen im Rahmen des Vernehmlassungsverfahrens sieht ein neuer Absatz 5 vor, dass die vom Bundesamt für Justiz durchgeführten Beurteilungen veröffentlicht werden. Der Begriff der Beurteilung umfasst sowohl die Beurteilung als auch die Neubeurteilung von Staaten, Gebieten, spezifischen Sektoren in einem Staat oder internationalen Organen, die bereits auf der Liste stehen und erneut beurteilt werden. In einer neuen Übergangsbestimmung (Art. 46 Abs. 2) wird klargestellt, dass die Beurteilungen, die vor dem Inkrafttreten der DSV durchgeführt wurden, nicht veröffentlicht werden. Die Verordnung führt neu die Vornahme einer Interessensabwägung ein, die es ermöglicht, in dringlichen Fällen zu handeln, wenn darauf geschlossen werden kann, dass die Angemessenheit nicht mehr gewährleistet ist. Nach Absatz 6 wird Anhang 1 geändert, wenn festgestellt wird, dass das der Datenschutz in einem Staat, einem Gebiet, einem spezifischen Sektor in einem Staat oder einem internationalen Organ nicht mehr gewährleistet werden kann. Im Fall der USA hat beispielsweise das Urteil „Schrems II“ des EuGH vom Juli 2020 den EDÖB dazu veranlasst, seine Einschätzung zu überdenken und seine Liste zu ändern. Wenn Informationen darauf schliessen lassen, dass ein betroffener Staat keinen angemessenen Datenschutz mehr gewährleistet (z. B. aufgrund einer Staatskrise), kann der Bundesrat die Liste dringlich ändern, ohne eine formelle und vollständige Prüfung durchgeführt zu haben. Denn nach Artikel 7 Absatz 3 PublG sind dringliche Veröffentlichungen möglich. Dies gilt allerdings nur bei einer Streichung aus der Liste. Bei einer Hinzufügung zur Liste muss dem Beurteilungsverfahren gefolgt werden (Abs. 1 und 2). Die Änderung hat keine Auswirkungen auf bereits erfolgte Datenbekanntgaben.
Art. 9 Datenschutzklauseln und spezifische Garantien
1 Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:
a. die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit;
b. die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;
c. die Art und den Zweck der Bekanntgabe von Personendaten;
d. gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe;
e. die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;
f. die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
g. die Massnahmen zur Gewährleistung der Datensicherheit;
h. die Pflicht, Verletzungen der Datensicherheit zu melden;
i. falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren;
j. die Rechte der betroffenen Person, insbesondere:
1. das Auskunftsrecht und das Recht auf Datenherausgabe oder ‑übertragung,
2. das Recht, der Datenbekanntgabe zu widersprechen,
3. das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,
4. das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen.
2 Der Verantwortliche und im Fall von Datenschutzklauseln in einem Vertrag der Auftragsbearbeiter müssen angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese Klauseln oder die spezifischen Garantien einhält
3 Wurde der EDÖB über die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:
a. unter denselben Datenschutzklauseln oder Garantien erfolgen, sofern die Kategorien der Empfängerinnen und Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder
b. innerhalb derselben juristischen Person oder Gesellschaft oder zwischen Unternehmen, die zum selben Konzern gehören, stattfinden.
Erläuternder Bericht
Nach Artikel 16 Absatz 2 nDSG dürfen Personendaten an einen Staat bekanntgegeben werden, der nicht in Anhang 1 der Verordnung aufgeführt ist – d. h. ohne dass der Bundesrat die Angemessenheit des Datenschutzes als angemessen anerkannt hat –, wenn ein geeigneter Datenschutz gewährleistet wird. Im privaten Sektor kann dieser durch eine Datenschutzklausel in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner gewährleistet sein (Art. 16 Abs. 2 Bst. b nDSG), im öffentlichen Sektor durch spezifische Garantien, die das zuständige Bundesorgan erarbeitet hat (Art. 16 Abs. 2 Bst. c nDSG). Anders als bei den übrigen in Absatz 2 von Artikel 16 nDSG genannten Instrumenten müssen die Verantwortlichen und die Auftragsbearbeiter diese Garantien nicht vom EDÖB genehmigen lassen, sondern ihm diese vor der Datenbekanntgabe ins Ausland nur mitteilen. Es besteht ein gewisses Risiko, dass die Verantwortlichen und die Auftragsbearbeiter das Schutzniveau, das mit diesen Garantien erreicht werden soll, unterschiedlich beurteilen, wobei dies für den privaten Sektor ebenso gilt wie für den öffentlichen Sektor. Der Bundesrat erachtet es deshalb als angezeigt, bestimmte Datenschutzstandards festzulegen, und präzisiert in Artikel 9 Absatz 1 Art., was diese Datenschutzklauseln oder spezifischen Garantien mindestens regeln müssen. Es handelt sich um folgende Punkte: Die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit (Bst. a). Die Kategorien der bekanntgegebenen Personendaten und der betroffenen Personen (Bst. b). Die Art und den Zweck der Bekanntgabe von Personendaten (Bst. c). Gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe (Bst. d): Der Ausdruck „gegebenenfalls“ bietet die Möglichkeit, sich an die Umstände eines Vertrags anzupassen. In bestimmten sehr eng gefassten Verträgen kommt dieser Buchstabe nicht in Betracht. Wenn z.B. im Rahmen des Vertrags keine Daten an ein internationales Organ bekanntgegeben werden, wäre ein solcher Hinweis natürlich überflüssig. Die Anforderungen an die Aufbewahrung, die Löschung und Vernichtung von Personendaten (Bst. e). Die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger (Bst. f): Die Kategorien von Empfängerinnen und Empfängern können nützlich sein, wenn auch in der Angabe einer generischen Form, soweit dies erforderlich ist (z. B.: Vertreter und Vertreterinnen, Auftragsbearbeiter, Mitverantwortliche, behandelnde Ärztinnen und Ärzte, Gemeinden, externe Partnerorganisationen usw.). Die Massnahmen zur Gewährleistung der Datensicherheit (Bst. g). Die Pflicht, Verletzungen der Datensicherheit zu melden (Bst. h). Falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren (Bst. i): Die Empfängerin oder der Empfänger als Auftragsbearbeiter kann nicht verantwortlich sein und dieser Pflicht nachkommen. Die Rechte der betroffenen Person (Bst. j), insbesondere: das Auskunftsrecht und das Recht auf Datenherausgabe oder ‑übertragung (Ziff. 1), das Recht, der Datenbekanntgabe zu widersprechen (Ziff. 2), das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten (Ziff. 3) und das Recht, eine unabhängige Behörde (Datenschutzbehörde oder Gericht) um Rechtsschutz zu ersuchen (Ziff. 4). Alle diese Punkte entsprechen den Grundlagen des nDSG. In Absatz 2 wird ferner klargestellt, dass der Verantwortliche bei einer Bekanntgabe der Personendaten ins Ausland angemessene Massnahmen treffen muss, um sicherzustellen, dass die Empfängerin oder der Empfänger die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien einhält; der Auftragsbearbeiter muss dies im Fall von Datenschutzklauseln in einem Vertrag ebenfalls sicherstellen (die Auftragsbearbeitung ist auf die spezifischen Garantien nicht anwendbar). So kann mit diesem Absatz (der im Wesentlichen Art. 6 Abs. 2 und 4 VDSG übernimmt) sichergestellt werden, dass die Empfängerin oder der Empfänger der bekanntgegebenen Daten den in der Schweiz geltenden Datenschutzrahmen einhält. Ein dritter Absatz übernimmt Artikel 6 Absatz 2 VDSG zur Informationspflicht des Verantwortlichen. Er wird nur redaktionell angepasst (z. B. wird in der französischen Version der Begriff „maître du fichier“ ersetzt), indem der zweite Teilsatz in Artikel 6 Absatz 2 Buchstabe b VDSG gelöscht wird. Eine Bekanntgabe ins Ausland ist ohnehin nur zulässig, wenn die Datenschutzklauseln oder Garantien einen geeigneten Schutz gewährleisten, indem sie namentlich den Anforderungen von Artikel 9 Absatz 1 Art. gerecht werden. Es ist deshalb nicht notwendig, dies in Artikel 9 Absatz 3 Buchstabe b Art. nochmals zu erwähnen.
Art. 10 Standarddatenschutzklauseln
1 Gibt der Verantwortliche oder der Auftragsbearbeiter Personendaten mittels Standarddatenschutzklauseln nach Artikel 16 Absatz 2 Buchstabe d DSG ins Ausland bekannt, so trifft er angemessene Massnahmen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese beachtet
2 Der EDÖB veröffentlicht eine Liste von Standarddatenschutzklauseln, die er genehmigt, ausgestellt oder anerkannt hat. Er teilt das Ergebnis der Prüfung der Standarddatenschutzklauseln, die ihm unterbreitet werden, innerhalb von 90 Tagen mit
Erläuternder Bericht
Wie bei der Datenbekanntgabe ins Ausland, die sich auf Datenschutzklauseln in einem Vertrag und auf spezifische Garantien stützt, sind auch bei der Datenbekanntgabe mittels Standarddatenschutzklauseln (Art. 16 Abs. 2 Bst. d nDSG) die schweizerischen Datenschutzvorschriften einzuhalten. So präzisiert Artikel 10 Absatz 1 Art., der Artikel 6 Absatz 4 VDSG grundsätzlich entspricht, dass der Verantwortliche oder der Auftragsbearbeiter angemessene Massnahmen treffen muss, um sicherzustellen, dass die Empfängerin oder der Empfänger die Standardklauseln tatsächlich beachtet. Im Kommentar des Bundesamtes für Justiz zur VDSG wird diese Sorgfaltspflicht wie folgt präzisiert: „Die Angemessenheit der geforderten Massnahmen richtet sich nach den Umständen im konkreten Fall und dem Stand der Technik. Geht es um besonders schützenswerte Personendaten oder Persönlichkeitsprofile, sind die Anforderungen höher, als wenn es um einfache Personendaten geht.“ Der Begriff „Persönlichkeitsprofile“ wird im nDSG zwar nicht mehr verwendet, die Erläuterung ist jedoch weiterhin relevant zum Verständnis, dass die Massnahmen den konkreten Umständen angepasst sein müssen. Dabei handelt es sich um eine Sorgfaltspflicht und der Verantwortliche bzw. der Auftragsbearbeiter muss dafür sorgen, dass die Massnahmen ergriffen werden, und ihre Umsetzung überwachen. Absatz 2 betrifft die Genehmigung der Standarddatenschutzklauseln durch den EDÖB, die von einer privaten Person oder einem Bundesorgan ausgearbeitet wurden. Der EDÖB gibt eine Stellungnahme ab und veröffentlicht auf seiner Website eine Liste von Standarddatenschutzklauseln, die er genehmigt, ausgestellt oder anerkannt hat. Die Standardklauseln müssen den schweizerischen Datenschutzanforderungen entsprechen und in Übereinstimmung mit dem schweizerischen Datenschutzrecht ausgelegt werden können. Der EDÖB „teilt das Ergebnis der Prüfung der Standarddatenschutzklauseln, die ihm unterbreitet werden, innerhalb von 90 Tagen mit“.
Art. 11 Verbindliche unternehmensinterne Datenschutzvorschriften
1 Verbindliche unternehmensinterne Datenschutzvorschriften nach Artikel 16 Absatz 2 Buchstabe e DSG gelten für alle Unternehmen, die zum selben Konzern gehören
2 Sie umfassen mindestens die in Artikel 9 Absatz 1 genannten Punkte sowie die folgenden Angaben:
a. die Organisation und die Kontaktdaten des Konzerns und seiner Unternehmen;
b. die innerhalb des Konzerns getroffenen Massnahmen zur Einhaltung der verbindlichen unternehmensinternen Datenschutzvorschriften.
3 Der EDÖB teilt das Ergebnis der Prüfung der verbindlichen unternehmensinternen Datenschutzvorschriften, die ihm unterbreitet werden, innerhalb von 90 Tagen mit
Erläuternder Bericht
Verbindliche unternehmensinterne Datenschutzvorschriften gelten für alle Unternehmen, die zum selben Konzern gehören, und müssen von diesen eingehalten werden. Diese Vorschriften müssen nicht nur die in Artikel 9 Absatz 1 Art. genannten Punkte umfassen, sondern auch Angaben zur Organisation und die Kontaktdaten des Konzerns und jeder seiner Einheiten (Abs. 2 Bst. a) sowie Angaben zu den Massnahmen, die innerhalb des Konzerns getroffen wurden, um die Einhaltung der unternehmensinternen Vorschriften zu gewährleisten (Abs. 2 Bst. b). Diese verbindlichen unternehmensinternen Vorschriften sind gemäss Artikel 16 Absatz 2 Buchstabe e nDSG überdies dem EDÖB vorzulegen. Artikel 11 Art. umfasst einen neuen Absatz 3, wonach der EDÖB „das Ergebnis der Prüfung der verbindlichen unternehmensinternen Datenschutzvorschriften, die ihm unterbreitet werden, innerhalb von 90 Tagen“ mitteilt.
Art. 12 Verhaltenskodizes und Zertifizierungen
1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn ein Verhaltenskodex oder eine Zertifizierung einen geeigneten Datenschutz gewährleistet
2 Der Verhaltenskodex muss vorgängig dem EDÖB zur Genehmigung unterbreitet werden
3 Der Verhaltenskodex oder die Zertifizierung muss mit einer verbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen oder des Auftragsbearbeiters im Drittstaat verbunden werden, die darin enthaltenen Massnahmen anzuwenden
Erläuternder Bericht
Gemäss Artikel 16 Absatz 3 nDSG kann der Bundesrat andere geeignete Garantien vorsehen, welche die Datenbekanntgabe ins Ausland ermöglichen. So lässt sich ein geeigneter Datenschutz auch durch einen Verhaltenskodex oder eine Zertifizierung gewährleisten (Abs. 1). Mit dieser neuen Massnahme erhalten Unternehmen einen Anreiz, einen solchen Kodex einzuführen oder ihre Systeme, Produkte oder Dienstleistungen zertifizieren zu lassen. Wie bei den Standarddatenschutzklauseln und den verbindlichen unternehmensinternen Vorschriften wird aus Gründen der Kohärenz auch bei den Verhaltenskodizes bestimmt, dass diese vom EDÖB genehmigt werden müssen (Abs. 2). Denn diese Instrumente sind auf ihre Tauglichkeit zu prüfen. Für seine Prüfung kann sich der EDÖB an die Kriterien von Artikel 9 Absatz 1 Art. orientieren. Die Genehmigung der Verhaltenskodizes durch den EDÖB steht nicht im Widerspruch zu Artikel 11 nDSG, der in allgemeiner Weise vorsieht, dass der EDÖB zu den ihm vorgelegten Verhaltenskodizes Stellung nimmt, aber diese nicht genehmigt. Im konkreten Fall, in dem ein Verantwortlicher sich bei der Datenbekanntgabe ins Ausland auf seinen Verhaltenskodex stützt, ist es wie bei den Standarddatenschutzklauseln und den verbindlichen unternehmensinternen Vorschriften angezeigt, dass der EDÖB dieses Instrument genehmigt. Gemäss der Verordnung vom 28. September 2007 über die Datenschutzzertifizierungen müssen ausschliesslich ausländische Zertifizierungen vom EDÖB anerkannt werden. Dies wird mit der totalrevidierten Verordnung so aufrechterhalten. Das bedeutet jedoch nicht, dass die Zertifizierung nicht den Anforderungen der Verordnung über die Datenschutzzertifizierungen entsprechen muss. Zudem muss der Verantwortliche oder der Auftragsbearbeiter, der sich in einem Drittland befindet, die verbindliche und durchsetzbare Verpflichtung eingehen, die im Verhaltenskodex oder in der Zertifizierung enthaltenen Massnahmen anzuwenden (Abs. 3). Aufhebung von Artikeln 5 und 7 VDSG Die Artikel 5 und 7 VDSG werden nicht übernommen. Erstere Bestimmung wurde in das nDSG (Art. 18) eingefügt. Die zweite, die dem EDÖB die Kompetenz zuwies, eine Liste der Staaten mit einem angemessenen Datenschutzniveau zu erstellen, ist überholt, weil neu der Bundesrat diese Kompetenz hat (Art. 16 Abs. 1 nDSG).
2. Kapitel: Pflichten des Verantwortlichen
Art. 13 Modalitäten der Informationspflicht
Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen.
Erläuternder Bericht
Die Informationspflicht des Verantwortlichen ist in Artikel 19 nDSG verankert. Ausnahmen und Einschränkungen sind in Artikel 20 nDSG festgelegt. Artikel 19 Absatz 1 nDSG sieht vor, dass die betroffene Person „angemessen“ informiert werden muss. Dies bedeutet, dass die Informationen soweit möglich in präziser, transparenter, verständlicher und leicht zugänglicher Form mitgeteilt werden. Mit anderen Worten muss der Verantwortliche bei der Wahl der Informationsform sicherstellen, dass die betroffene Person bei der Beschaffung ihrer Personendaten die wichtigsten Informationen stets auf der ersten Kommunikationsstufe erhält. Erfolgt die Kommunikation zum Beispiel über eine Internetseite, kann eine gute Praxis darin bestehen, dass alle wesentlichen Informationen auf einen Blick, z. B. in Form einer gegliederten Übersicht verfügbar sind. Um weitere Informationen zu erhalten, kann die betroffene Person danach auf diese zuerst angezeigten Informationen klicken, worauf sich ein Fenster mit detaillierteren Angaben öffnet. Es ist allerdings festzuhalten, dass die Kommunikation über eine Website nicht immer genügt: Die betroffene Person muss wissen, dass sie die Informationen auf einer bestimmten Website findet. Im Fall eines Telefongesprächs können die Informationen auch mündlich mitgeteilt und allenfalls durch einen Link zu einer Website ergänzt werden. Bei aufgezeichneten Informationen muss die betroffene Person die Möglichkeit haben, sich ausführlichere Informationen anzuhören. Für den Fall, dass die Person mit einem Videoüberwachungssystem oder einer Drohne gefilmt wird, muss sie beispielsweise durch ein Hinweisschild oder im Rahmen einer Informationskampagne darauf aufmerksam gemacht werden. Entsprechend Artikel 19 Absatz 1 nDSG richtet sich Artikel 13 Art. einzig an den Verantwortlichen und nicht an den Auftragsbearbeiter. Es sei jedoch an dieser Stelle darauf hingewiesen, dass die Information des Verantwortlichen gemäss Artikel 19 Absatz 2 Buchstabe c nDSG auch Angaben zu den Empfängerinnen und Empfänger bzw. den Kategorien von Empfängerinnen und Empfängern enthalten muss. Gemäss Ausführungen in der Botschaft zum Datenschutzgesetz gehört auch der Auftragsbearbeiter zu den Empfängerinnen oder Empfänger im Sinne von Artikel 19 Absatz 2 Buchstabe c nDSG (BBl 2017 6941, 7051). Der Verantwortliche muss daher die betroffene Person bei der Beschaffung von Personendaten auch darüber informieren, dass die Daten an einen Auftragsbearbeiter bekanntgegeben werden.
Art. 14 Aufbewahrung der Datenschutz-Folgenabschätzung
Der Verantwortliche muss die Datenschutz-Folgenabschätzung nach Beendigung der Datenbearbeitung mindestens zwei Jahren aufbewahren.
Erläuternder Bericht
Die Norm konkretisiert die Aufbewahrungsdauer der Datenschutz-Folgenabschätzung im Sinne von Artikel 22 nDSG. Diese ist während mindestens 2 Jahren aufzubewahren. Der Grund für die Aufbewahrung der Datenschutz-Folgenabschätzung über die Vornahme der Datenbearbeitung hinaus besteht darin, dass sie ein zentrales datenschutzrechtliches Instrument darstellt. Sie kann insbesondere bei der Abklärung von Verletzungen der Datensicherheit oder der Beurteilung der Strafbarkeit eines Verhaltens von Bedeutung sein. So gibt die Datenschutz-Folgenabschätzung darüber Auskunft, wie die Risiken für die Persönlichkeit oder die Grundrechte bewertet wurden und welche Massnahmen getroffen wurden. Bei Bundesorganen, die grundsätzlich nur gestützt auf Rechtsgrundlagen Daten bearbeiten können, kann es aufgrund der Beständigkeit gewisser Rechtsgrundlagen vorkommen, dass eine Datenschutz-Folgeabschätzung über einen sehr langen Zeitraum aufzubewahren ist.< Im Falle der Bundesorgane wird weiter zu regeln sein, wie die Datenschutz-Folgenabschätzung zeitlich mit dem Gesetzgebungsverfahren zur Schaffung der Rechtsgrundlagen für die Datenbearbeitung zu koordinieren ist. Es soll vorgesehen werden, dass die Bundesorgane die Datenschutz-Folgenabschätzung zusammen mit den Erlassentwürfen dem Antrag an den Bundesrat beifügen müssen und sie die Resultate der Datenschutz-Folgenabschätzung in der Botschaft des Bundesrats festhalten müssen. Da die Regelung aber nur Weisungscharakter innerhalb der Bundesverwaltung aufweist, ist sie nicht auf Verordnungsstufe zu regeln. Es ist geplant, die Regelung in den Richtlinien für Bundesratsgeschäfte („roter Ordner“) und im Botschaftsleitfaden umzusetzen. Für die Umsetzung der Datenschutz-Folgenabschätzung kann der EDÖB von seiner Kompetenz Gebrauch machen, Arbeitsinstrumente als Empfehlungen der guten Praxis zuhanden von Verantwortlichen im Sinne von Artikel 58 Absatz 1 Buchstabe g nDSG zu erarbeiten. Dabei hat er einen gewissen Ermessensspielraum.
Art. 15 Meldung von Verletzungen der Datensicherheit
1 Die Meldung einer Verletzung der Datensicherheit an den EDÖB muss folgende Angaben enthalten:
a. die Art der Verletzung;
b. soweit möglich den Zeitpunkt und die Dauer;
c. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personendaten;
d. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personen;
e. die Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;
f. welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben und die Folgen, einschliesslich der allfälligen Risiken, zu mindern;
g. den Namen und die Kontaktdaten einer Ansprechperson.
2 Ist es dem Verantwortlichen nicht möglich, alle Angaben gleichzeitig zu melden, so liefert er die fehlenden Angaben so rasch als möglich nach
3 Ist der Verantwortliche verpflichtet, die betroffene Person zu informieren, so teilt er ihr in einfacher und verständlicher Sprache mindestens die Angaben nach Absatz 1 Buchstaben a und e – g mit
4 Der Verantwortliche muss die Verletzungen dokumentieren. Die Dokumentation muss die mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen enthalten. Sie ist ab dem Zeitpunkt der Meldung nach Absatz 1 mindestens zwei Jahre aufzubewahren
Erläuternder Bericht
Artikel 24 Absatz 2 nDSG enthält die Mindestanforderungen an eine Meldung des Verantwortlichen von Verletzungen der Datensicherheit an den EDÖB: Dazu gehört die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen. Der Inhalt dieser Meldung an den EDÖB wird in Artikel 15 Absatz 1 Art. (ehem. Art. 19 Abs. 1 E‑VDSG) weiter präzisiert. Dabei ist zu beachten, dass die Meldung an den EDÖB gemäss Artikel 24 Absatz 1 nDSG auf Verletzungen der Datensicherheit beschränkt ist, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen. Es müssen nur meldepflichtige Verletzungen gemeldet werden. Absatz 1 enthält folgenden Katalog an Angaben: Nebst der bereits im Gesetz erwähnten Art der Datensicherheitsverletzung (Bst. a), ist weiter vorgesehen, dass, soweit möglich, auch der Zeitpunkt und die Dauer der Datensicherheitsverletzung mitgeteilt werden muss (Bst. b). Weiter müssen, soweit möglich, auch die Kategorien und die ungefähre Anzahl der Personendaten, die von der Verletzung der Datensicherheit betroffen sind (Bst. c), gemeldet werden, sowie die Kategorien und die ungefähre Anzahl der betroffenen Personen (Bst. d). Diese Informationen sind von grundsätzlicher Bedeutung, damit das Ausmass der Verletzung abgeschätzt werden kann. Dabei ist insbesondere erforderlich, dass bekannt ist, welche Kategorien von Personendaten von der Verletzung betroffen sind (z. B. Adressen, Kreditkartenformationen, Gesundheitsdaten), damit die Ausführungen zu den Folgen, Risiken und Massnahmen überhaupt nachvollziehbar sind. Im Zusammenhang mit der Meldung von Folgen und Risiken für die betroffenen Personen (Bst. e) und den vom Verantwortlichen getroffenen Massnahmen (Bst. f), muss der Verantwortliche bei der Information an die betroffene Person unter anderem auch Ausführungen dazu machen, welche Kategorien von Personendaten in ihrem Fall von der Verletzung betroffen sind. Dies erlaubt es der betroffenen Person konkrete Massnahmen selbst vorzunehmen (z. B. unverzügliche Passwortänderung, falls Anmeldedaten entwendet wurden oder Kreditkartensperre). Schliesslich muss der Verantwortliche den Namen und die Kontaktdaten einer Ansprechperson melden (Bst. g), welche als Anlaufstelle für die Kommunikation mit dem EDÖB als auch den betroffenen Personen fungiert. Absatz 2 ermöglicht es dem Verantwortlichen, dem EDÖB die Informationen schrittweise zur Verfügung zu stellen, falls es dem Verantwortlichen nicht möglich sein sollte bei Entdeckung der Verletzung der Datensicherheit bereits alle Informationen gemäss Absatz 1 gleichzeitig zu liefern. Da der Verantwortliche die Meldung gemäss Artikel 24 Absatz 1 nDSG „so rasch als möglich“ abzusetzen hat, wird in der Praxis insbesondere bei den Informationen nach Absatz 1 Buchstaben b – d regelmässig das Problem auftreten, dass diese unmittelbar nach Entdeckung der Verletzung der Datensicherheit häufig noch gar nicht vorliegen. Daher wird es dem Verantwortlichen ermöglicht, dass er in einem ersten Schritt bei der Entdeckung der Verletzung nur die ihm bekannten Grundangaben liefert. Für die Nachmeldung gilt – wie gemäss Artikel 24 Absatz 1 nDSG –, dass der Verantwortliche die restlichen Angaben „so rasch als möglich“ melden muss. Sobald die fehlenden Informationen vorliegen, muss der Verantwortliche diese dem EDÖB mit einer Nachmeldung zur Verfügung stellen. Müssen die Angaben erst noch beschafft werden, so hat er sich ohne Verzögerung darum zu kümmern. In Absatz 3 wird festgehalten, welche Angaben der betroffenen Person gemacht werden müssen, falls gemäss Artikel 24 Absatz 4 nDSG eine Information an diese zu erfolgen hat. Weiter muss diese Information – im Vergleich zur Meldung an den Beauftragten – in möglichst einfacher und verständlicher Sprache mitgeteilt werden, da nicht vorausgesetzt werden kann, dass einer durchschnittlichen betroffenen Person der Fachjargon dieser technisch geprägten Materie geläufig ist. Die Meldung an den EDÖB ist dabei inhaltlich etwas breiter gefasst als die Information der betroffenen Personen, da sich Ersterer ein Bild über das Ausmass einer Verletzung der Datensicherheit verschaffen können muss. Absatz 4 sieht vor, dass die mit der gemeldeten Verletzung der Datensicherheit zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen zu dokumentieren sind. Die Unterlagen sind dabei ab dem Zeitpunkt der Meldung der Verletzung der Datensicherheit für mindestens zwei Jahre aufzubewahren. Im Zusammenhang mit der praktischen Umsetzung der Meldepflicht nach Artikel 24 nDSG ist darauf hinzuweisen, dass aufgrund von Erfahrungen ausländischer Aufsichtsbehörden bei der Umsetzung der ähnlich ausgestalteten Meldepflicht in Artikel 33 der Verordnung (EU) 2016/679 eine grosse Anzahl jährlicher Meldungen zu erwarten ist. So hat der Austausch mit dem Bayerischen Landesamt für Datenschutzaufsicht, dessen Zahlen sich in etwa auf die Schweiz projizieren lassen, ergeben, dass um die 6000 Meldungen pro Jahr eingehen könnten. Damit den Verantwortlichen eine strukturierte Meldemöglichkeit angeboten und die Masse von Meldungen möglichst effizient abgearbeitet werden kann, arbeitet der EDÖB derzeit an der Entwicklung einer webbasierten Meldeoberfläche, voraussichtlich in Form eines interaktiven Formulars. Im Rahmen dieses Projektes prüft der EDÖB derzeit auch die Möglichkeit eines gemeinsamen Meldeportals zusammen mit anderen Bundesorganen, die ähnliche Meldepflichten oder ‑möglichkeiten im Bereich der Datensicherheit vorsehen (z. B. für die Meldung bei kritischen Infrastrukturen). Mit einem solchen Meldeportal würde sich der Aufwand für den Verantwortlichen reduzieren, falls dieser bei mehreren Bundesstellen Meldungen absetzen muss.
3. Kapitel: Rechte der betroffenen Person
Erläuternder Bericht
Das Kapitel zu den Rechten der betroffenen Person beinhaltete im E‑DSG nur das Auskunftsrecht und dessen Einschränkungen. Das Parlament hat ein Recht auf Datenherausgabe und übertragung hinzugefügt. Dementsprechend werden in der Verordnung diese beiden Arten von Rechten der betroffenen Person in getrennten Abschnitten präzisiert. Der 1. Abschnitt behandelt das Auskunftsrecht. Nach Absprache mit dem Eidgenössischen Departement für auswärtige Angelegenheiten und dem Eidgenössischen Departement für Verteidigung, Bevölkerungsschutz und Sport wurde der Inhalt von Artikel 14 VDSG nicht in die Art. übernommen, weil er nicht mehr aktuell ist. Deshalb wird nun das Auskunftsrecht für beide Sektoren, den privaten und den öffentlichen, im gleichen Kapitel geregelt. Dieses folgt der Systematik des nDSG und schliesst an die Bestimmungen zu den Pflichten des Verantwortlichen an. Die verschiedenen Aspekte des Auskunftsrechts verteilen sich neu auf mehrere Artikel. Ein erster Artikel konzentriert sich auf die Modalitäten des Auskunftsrechts, insbesondere die Form der Auskunftserteilung. Ein zweiter Artikel regelt das Auskunftsrecht, wenn mehrere Verantwortliche gemeinsam Personendaten bearbeiten oder wenn Daten von einem Auftragsbearbeiter bearbeitet werden. Ein dritter Artikel legt die Fristen fest, und ein vierter Artikel regelt die Ausnahmen von der Kostenlosigkeit des Auskunftsrechts. Der 2. Abschnitt behandelt das Recht auf Datenherausgabe oder ‑übertragung. Er umfasst folgende Artikel: Artikel 20 Art. behandelt den Umfang des Anspruchs, Artikel 21 Art. die technischen Anforderungen an die Umsetzung und Artikel 22 Art. (ehem. Art. 24 E‑VDSG) führt unter Frist, Modalitäten und Zuständigkeit aus, inwiefern die Bestimmungen zum Auskunftsrecht auf das Recht auf Datenherausgabe oder ‑übertragung anwendbar sind.
1. Abschnitt: Auskunftsrecht
Art. 16 Modalitäten
1 Wer vom Verantwortlichen Auskunft darüber verlangt, ob Personendaten über sie oder ihn bearbeitet werden, muss dies schriftlich tun. Ist der Verantwortliche einverstanden, so kann das Begehren auch mündlich mitgeteilt werden
2 Die Auskunftserteilung erfolgt schriftlich oder in der Form, in der die Daten vorliegen. Im Einvernehmen mit dem Verantwortlichen kann die betroffene Person ihre Daten an Ort und Stelle einsehen. Die Auskunft kann mündlich erteilt werden, wenn die betroffene Person einverstanden ist
3 Das Auskunftsbegehren und die Auskunftserteilung können auf elektronischem Weg erfolgen
4 Die Auskunft muss der betroffenen Person in einer verständlichen Form erteilt werden
5 Der Verantwortliche muss angemessene Massnahmen treffen, um die betroffene Person zu identifizieren. Diese ist zur Mitwirkung verpflichtet
Erläuternder Bericht
Diese Bestimmung konkretisiert die in Artikel 25 nDSG vorgesehenen Modalitäten des Auskunftsrechts. Sie übernimmt teilweise Artikel 8 Absatz 5 DSG sowie Artikel 1 Absätze 1 – 3 VDSG. Abs. 1 Artikel 16 Art. (ehem. Art. 20 E‑VDSG) konzentriert sich in Absatz 1 auf die Form des Auskunftsbegehrens. „Schriftlich“ im Sinne von Artikel 16 Absatz 1 Art. umfasst jegliche Formen, die den Nachweis durch Text ermöglichen. Nicht gemeint ist hingegen die sogenannte einfache Schriftlichkeit nach den Artikeln 13 – 15 des Obligationenrechts . Diese setzt eine Handunterschrift oder eine mit einem qualifizierten Zeitstempel verbundene qualifizierte elektronische Signatur gemäss Bundesgesetz vom 18. März 2016 über die elektronische Signatur voraus. Artikel 16 Absatz 1 Art. verlangt hingegen einzig das Vorliegen eines geschriebenen Textes. Art. 16 Abs. 1 Art. übernimmt im Wesentlichen den Inhalt von Artikel 1 Absatz 1 VDSG, gemäss dem die Person ihr Auskunftsrecht „in der Regel in schriftlicher Form beantragen“ muss. Im Kommentar zur VDSG des Bundesamtes für Justiz wird bereits präzisiert, dass in bestimmten Fällen und unter Vorbehalt des Einverständnisses des Inhabers der Datensammlung (neu des Verantwortlichen) die mündliche Form genügt. Der erhöhten Klarheit halber wurde Artikel 16 Art. entsprechend umformuliert. Ausserdem wurde Artikel 1 Absatz 1 VDSG in redaktioneller Hinsicht angepasst. Abs. 2 Im Vergleich zum geltenden Recht legt Artikel 16 Absatz 2 Art. (ehem. Art. 20 Abs. 2 E‑VDSG) neu explizit fest, dass die Auskunftserteilung nebst der Schriftform auch in der Form erfolgen kann, in der die Daten vorliegen. In der Regel handelt es sich um Personendaten in Schriftform. Liegen die Daten hingegen z. B. in Form von Bild- oder Tonaufnahmen vor, so erhält die betroffene Person die Daten in dieser Form. Wie oben ausgeführt, ist „schriftlich“ im vorliegenden Kontext so zu verstehen, dass das Vorliegen eines geschriebenen Textes verlangt wird. Wie in Artikel 1 Absatz 3 VDSG vorgesehen, können Personendaten auch an Ort und Stelle eingesehen werden, insbesondere, wenn sie auf verschiedene Dossiers verteilt oder besonders umfangreich sind oder wenn die verlangten Auskünfte der Erläuterung bedürfen. Im Unterschied zu Artikel 1 Absatz 3 VDSG wurde der Passus, wonach die Einsichtnahme vor Ort auf Vorschlag des Verantwortlichen erfolgt, gestrichen. Für die Einsichtnahme vor Ort ist stets erforderlich, dass der Verantwortliche und die betroffene Person einverstanden sind. Auf wessen Vorschlag hin die Einsichtnahme vor Ort erfolgt, ist hingegen nicht massgeblich. Bei der Einsichtnahme an Ort und Stelle muss die betroffene Person gleichwohl die Möglichkeit haben, eine Fotokopie bestimmter Akten in ihrem Dossier zu verlangen. Wie das Bundesgericht in BGE 119 III 141 festgestellt hat, kann die Aushändigung schriftlicher (inkl. elektronischer) Dokumente für die betroffene Person äusserst bedeutsam sein. Die mündliche Mitteilung von Informationen, zum Beispiel am Telefon, ist ebenfalls möglich, sofern die betroffene Person eingewilligt hat. Eine Auskunft in zusammengefasster („aggregierter“) Form ist nicht erlaubt. Abs. 3 Absatz 3 übernimmt Artikel 1 Absatz 2 VDSG in angepasster Form. Er regelt namentlich die Form der Übermittlung des Auskunftsbegehrens und der Auskunftserteilung. So können das Auskunftsbegehren und die Auskunftserteilung auch auf elektronischem Weg erfolgen. Die betroffene Person kann ihr Gesuch beispielsweise mittels E‑Mail oder über eine Online-Plattform eines Unternehmens (z. B. die verbreiteten Kundenkontos) einreichen. Die Absenderin oder der Absender trägt nach den allgemeinen Regeln die Beweislast dafür, dass ihre bzw. seine Botschaft die Empfängerin oder den Empfänger erreicht hat. Da die elektronische Übermittlung auch ohne gesetzliche Grundlage zulässig ist, handelt es sich bei Absatz 3 um eine deklaratorische Bestimmung. Abs. 4 Werden Personendaten in einer technischen Form, also beispielsweise in einem nicht üblichen Dateienformat, geliefert, die für die betroffene Person nicht lesbar und/oder nicht verständlich ist, muss der Verantwortliche imstande sein, ihr ergänzende Erläuterungen zu geben, beispielsweise mündlich. Abs. 5 Der Verantwortliche muss angemessene Massnahmen treffen, um die Identifizierung der betroffenen Person sicherzustellen. Diese muss deshalb bei ihrer Identifizierung mitwirken. Damit der Verantwortliche die Identifizierung der betroffenen Person sicherstellen kann, braucht er die nötigen Angaben von der betroffenen Person. Im Fall einer mündlichen Auskunft stellt der Verantwortliche vorfrageweise sicher (z. B. durch Angabe der AHV-Nr.), dass er die Auskunft der korrekten Person erteilt. Artikel 16 Absatz 5 Art. (ehem. Art. 20 Abs. 4 E‑VDSG) ersetzt die Anforderung gemäss Artikel 1 Absatz 1 VDSG, wonach die betroffene Person sich über ihre Identität ausweisen muss. Weitere Aspekte Absatz 4 von Artikel 1 VDSG, der die Frist für die Auskunftserteilung betrifft, wird in einen eigenständigen Artikel umgewandelt (siehe Art. 18 Art., ehem. Art. 22 E‑VDSG unten). Dasselbe gilt für Artikel 1 Absätze 5 und 6 VDSG (siehe Art. 17 Art., ehem. Art. 21 E‑VDSG unten).
Art. 17 Zuständigkeit
1 Bearbeiten mehrere Verantwortliche Personendaten gemeinsam, so kann die betroffene Person ihr Auskunftsrecht bei jedem Verantwortlichen geltend machen
2 Betrifft das Begehren Daten, die von einem Auftragsbearbeiter bearbeitet werden, so unterstützt der Auftragsbearbeiter den Verantwortlichen bei der Erteilung der Auskunft, sofern er das Begehren nicht im Auftrag des Verantwortlichen beantwortet
Erläuternder Bericht
Zur Präzisierung der Zuständigkeit in den Fällen, in denen mehreren Verantwortlichen gemeinsam Personendaten bearbeiten, wurde ein separater Artikel vorgesehen. Abs. 1 Absatz 1 übernimmt Absatz 5 von Artikel 1 VDSG in angepasster Form. In terminologischer Hinsicht wurde der Begriff „Inhaber der Datensammlung“ durch „Verantwortlicher“ ersetzt. Die Ausnahme von der Möglichkeit, bei jedem Verantwortlichen das Auskunftsrecht geltend zu machen, wurde aufgehoben. Somit kann die betroffene Person nun ihr Auskunftsrecht immer bei jedem Verantwortlichen geltend machen. Im Unterschied zu Artikel 1 Absatz 5 VDSG verpflichtet Artikel 17 Absatz 1 Art. die Verantwortlichen nicht mehr dazu, die Gesuche weiterzuleiten; vielmehr müssen sie in jedem Fall Auskunft erteilen. Der Absatz entspricht Artikel 21 Absatz 2 der Richtlinie (EU) 2016/680 sowie Artikel 26 Absatz 3 DSGVO. Abs. 2 Absatz 2 übernimmt Artikel 1 Absatz 6 VDSG in angepasster Form. Der im nDSG (Art. 5 Bst. k nDSG) eingeführte Begriff „Auftragsbearbeiter“ wird übernommen und der Begriff „Inhaber der Datensammlung“ durch „Verantwortlicher“ ersetzt. Gemäss Artikel 25 Absatz 4 nDSG bleibt der Verantwortliche auskunftspflichtig, auch wenn er die Personendaten von einem Auftragsbearbeiter bearbeiten lässt. Der Auftragsbearbeiter ist daher von Gesetzes wegen nicht verpflichtet, Auskunftsbegehren selbst zu beantworten. In Artikel 17 Absatz 2 Art. wird deshalb im Unterschied zur VDSG neu vorgesehen, dass der Auftragsbearbeiter den Verantwortlichen bei der Beantwortung unterstützt, sofern er das Begehren nicht im Auftrag des Verantwortlichen beantwortet. Dies heisst, dass der Auftragsbearbeiter dem Verantwortlichen die Daten liefern muss, wenn dieser nicht selbst darüber verfügt.
Art. 18 Frist
1 Die Auskunft muss innerhalb von 30 Tagen seit dem Eingang des Begehrens erteilt werden
2 Kann die Auskunft nicht innerhalb von 30 Tagen erteilt werden, so muss der Verantwortliche die betroffene Person darüber informieren und ihr mitteilen, innerhalb welcher Frist die Auskunft erfolgt
3 Verweigert der Verantwortliche die Auskunft, schränkt er sie ein oder schiebt er sie auf, so muss er dies innerhalb derselben Frist mitteilen
Erläuternder Bericht
Artikel 18 Art. (ehem. Art. 22 E‑VDSG) übernimmt ohne wesentliche Änderung den vierten Absatz von Artikel 1 VDSG. Er präzisiert den vom Parlament in Artikel 25 nDSG eingefügten Absatz 7, der die bis anhin in der Verordnung vorgesehene Frist von 30 Tagen auf Gesetzesstufe festlegt. Die Präzisierung, wonach der Entscheid über die Beschränkung des Auskunftsrechts begründet werden muss, wurde gestrichen, da diese Bestimmung bereits in Artikel 26 Absatz 4 nDSG aufgenommen wurde. Ferner wird der Begriff „Gesuchsteller“ durch „betroffene Person“ ersetzt, damit die Terminologie mit dem nDSG übereinstimmt. Im Wesentlichen bedeutet die Bestimmung, dass der Verantwortliche der betroffenen Person die verlangte Auskunft innerhalb von 30 Tagen erteilen oder ihr innert dieser Frist mitteilen muss, dass er die Auskunft verweigert, einschränkt oder aufschiebt. Im öffentlichen Bereich handelt es bei der Auskunftserteilung sowie der Verweigerung, Einschränkung oder Aufschiebung der Auskunft um eine Verfügung im Sinne von Artikel 5 VwVG . Absatz 2 ist nur anwendbar, wenn der Verantwortliche nicht in der Lage ist, die Auskunft innert 30 Tagen seit Eingang des Begehrens zu erteilen (und nicht im Fall, in dem er das Auskunftsrecht im Sinne von Art. 26 nDSG einschränkt): In dem Fall muss der Verantwortliche rechtzeitig, also ohne unangemessene Verzögerung die Frist mitteilen, in der die Auskunft erfolgen wird.
Art. 19 Ausnahme von der Kostenlosigkeit
1 Ist die Erteilung der Auskunft mit einem unverhältnismässigen Aufwand verbunden, so kann der Verantwortliche von der betroffenen Person verlangen, dass sie sich an den Kosten angemessen beteiligt
2 Die Beteiligung beträgt maximal 300 Franken
3 Der Verantwortliche muss der betroffenen Person die Höhe der Beteiligung vor der Auskunftserteilung mitteilen. Bestätigt die betroffene Person das Gesuch nicht innerhalb von zehn Tagen, so gilt es als ohne Kostenfolge zurückgezogen. Die Frist nach Artikel 18 Absatz 1 beginnt nach Ablauf der zehntägigen Bedenkzeit zu laufen
Erläuternder Bericht
Der Titel der Bestimmung wird im Vergleich zu Artikel 2 VDSG redaktionell geändert. Abs. 1 Artikel 2 Absatz 1 Buchstabe a VDSG, der querulatorische Auskunftsgesuche betrifft, wird aufgehoben. Solche Fälle werden neu im nDSG geregelt, das in Artikel 26 Absatz 1 Buchstabe c vorsieht, dass der Verantwortliche die Auskunft verweigern, einschränken oder aufschieben kann, wenn das Auskunftsgesuch offensichtlich querulatorisch ist. Artikel 2 Absatz 1 Buchstabe b sowie Absatz 2 VDSG werden in leicht angepasster Form übernommen. Der Ausdruck „ausnahmsweise“ wird gestrichen, da in der Sachüberschrift des Artikels bereits von „Ausnahme“ die Rede ist; der Begriff „Gesuchsteller“ (neuer Abs. 3) wird aus Gründen der terminologischen Übereinstimmung mit dem nDSG durch „betroffene Person“ ersetzt. Der Ausdruck „besonders grosser Arbeitsaufwand“ wird durch „unverhältnismässiger Aufwand“ ersetzt, damit die Formulierung mit den vom Nationalrat in Artikel 25 Absatz 6 nDSG vorgenommenen Änderungen übereinstimmt. Es stellt zum Beispiel keinen unverhältnismässigen Aufwand dar, wenn der Verantwortliche Zugang zu zahlreichen Personendaten gewähren muss, wenn sein Interesse gerade darin besteht, möglichst viele Daten zu sammeln. Dasselbe gilt, wenn der Arbeitsaufwand gross ist, weil der Verantwortliche nicht strukturiert genug organisiert ist (Missachtung des Grundsatzes „Privacy by Design“; denn gemäss diesem Grundsatz müssen die Verantwortlichen oder Auftragsbearbeiter über ein System verfügen, das einen einfachen Zugang zu den bearbeiteten Daten ermöglicht). Abs. 2 Der Betrag von 300 Franken bleibt unverändert. Gemäss dem Landesindex der Konsumentenpreise hat sich der Betrag seit seiner Einführung in der Verordnung nur geringfügig verändert. Zudem soll er auf die betroffene Person nicht abschreckend wirken. Abs. 3 Der Verantwortliche muss der betroffenen Person die Höhe der Beteiligung vor der Auskunftserteilung mitteilen. Bestätigt die Gesuchstellerin oder der Gesuchsteller das Gesuch nicht innerhalb von zehn Tagen, so gilt es als ohne Kostenfolge zurückgezogen. Die Frist nach Artikel 18 Absatz 1 Art. (ehem. Art. 22 Abs. 1 E‑VDSG) beginnt nach Ablauf der 10 Tage Bedenkzeit zu laufen.
2. Abschnitt: Recht auf Datenherausgabe oder ‑übertragung
Erläuternder Bericht
Diese Artikel präzisieren, welche verschiedenen Anforderungen für das Recht auf Datenherausgabe oder übertragung, wie es in Artikel 28 nDSG eingeführt wird, gelten. Vor dem Hintergrund, dass es das Ziel des Gesetzgebers war, eine ähnliche Regelung wie im europäischen Recht zu schaffen, werden dabei die in Artikel 20 DSGVO zum Recht auf Datenübertragbarkeit geltenden Regeln berücksichtigt. Mit dem Anspruch auf Datenherausgabe oder ‑übertragung erhalten die betroffenen Personen einerseits das Recht, unter bestimmten Voraussetzungen, ihre Personendaten, welche sie dem Verantwortlichen zur Verfügung gestellt haben, in weiterverwendbarer Form von diesem heraus zu verlangen. Die herausverlangten Personendaten können für verschiedene Zwecke verwendet werden: beispielsweise für den rein persönlichen Gebrauch (z. B. um die Daten auf einem persönlichen Speicherplatz zu speichern), um sie an einen anderen Onlinedienste-Anbieter weiterzuleiten oder um die Plattform zu wechseln. Mit dem Anspruch, die Übertragung ihrer Personendaten zu verlangen, erhalten die betroffenen Personen andererseits das Recht, den Verantwortlichen zu ersuchen, dass er diese Personendaten direkt einem anderen Verantwortlichen überträgt (z. B. damit ein neuer Onlinedienste-Anbieter diese Personendaten erweitern oder der betroffenen Person neue Dienste anbieten kann oder um bei einem Anbieterwechsel die eigene „Historie“ beizubehalten), sofern dies keinen unverhältnismässigen Aufwand erfordert. Das Recht auf Datenherausgabe oder ‑übertragung ist vom Auskunftsrecht nach Artikel 25 nDSG zu unterscheiden. Das Auskunftsrecht berechtigt die betroffene Person, vom Verantwortlichen darüber Auskunft zu verlangen, welche Personendaten dieser über sie bearbeitet. Dies ermöglicht es der betroffenen Person, im Falle einer widerrechtlichen Datenbearbeitung, die Berichtigung oder Löschung ihrer Personendaten zu verlangen. Dahingegen bezweckt der neue Anspruch auf Datenherausgabe oder ‑übertragung, die Kontrolle der betroffenen Personen über ihre Personendaten sowie über deren Weiterverwendung zu stärken. Er erlaubt ihr damit, selber über die herausgegebenen oder übertragenen Personendaten zu verfügen, diese weiterzuverwenden oder an andere Verantwortliche weiterzugeben. Daneben erleichtert es dieser neue Anspruch den betroffenen Personen auch, zwischen verschiedenen Angeboten zu wechseln, wodurch zudem Wettbewerb und Innovation gefördert werden. Für die Verantwortlichen begründet dieser neue Anspruch die Pflicht, die herausverlangten Personendaten binnen vernünftiger Zeit aggregiert zur Verfügung zu stellen und zu ermöglichen, dass sie ohne unverhältnismässigen Aufwand in ein neues System eingebettet werden können. Dafür ist notwendig, dass sie gängige Dateiformate verwenden und gängige, standardisierte Datenverwaltungssysteme implementieren, damit die Daten weiterverwendbar bleiben. Sowohl bei der Herausgabe der herausverlangten Personendaten sowie bei deren Übertragung haben die Verantwortlichen die datenschutzrechtlichen Grundsätze sowie ihre datenschutzrechtlichen Pflichten zu berücksichtigen.
Art. 20 Umfang des Anspruchs
1 Als Personendaten, die die betroffene Person dem Verantwortlichen bekanntgegeben hat, gelten:
a. Daten, die sie diesem wissentlich und willentlich zur Verfügung stellt;
b. Daten, die der Verantwortliche über die betroffene Person und ihr Verhalten im Rahmen der Nutzung eines Diensts oder Geräts erhoben hat.
2 Personendaten, die vom Verantwortlichen durch eigene Auswertung der bereitgestellten oder beobachteten Personendaten erzeugt werden, gelten nicht als Personendaten, die die betroffene Person dem Verantwortlichen bekannt gegeben hat
Erläuternder Bericht
Abs. 1 Diese Bestimmung präzisiert, welche Personendaten unter den Anspruch auf Datenherausgabe oder ‑übertragung fallen. Der Anspruch umfasst Personendaten, die die betroffene Person selbst betreffen sowie automatisiert und auf Grundlage einer Einwilligung oder im Zusammenhang mit einem Vertrag bearbeitet werden (Art. 28 Abs. 1 nDSG). In erster Linie sind vom Anspruch damit Personendaten ausgeschlossen, welche in Papierform aufbewahrt werden. Keine Anwendung findet der Anspruch sodann auf Verantwortliche, welche Personendaten in Erfüllung einer öffentlichen Aufgabe oder in einem öffentlichen Interesse bearbeiten. Dies entspricht der Regelung von Artikel 20 Absatz 3 DSGVO sowie dem primär wirtschaftlichen Zweck des Anspruchs auf Datenherausgabe oder ‑übertragung. Bundesorgane, welche im Rahmen ihrer gesetzlichen Aufgaben sowie gestützt auf eine gesetzliche Grundlage Personendaten bearbeiten, sind deshalb grundsätzlich nicht vom Anspruch auf Datenherausgabe oder ‑übertragung betroffen. Sofern Bundesorgane allerdings Personendaten beispielsweise im Wettbewerb mit Privaten bearbeiten, ist denkbar, dass diese Personendaten vom Anspruch umfasst werden. Auf jeden Fall ist es am Verantwortlichen zu prüfen, auf welche Personendaten, die dieser bearbeitet, der Anspruch Anwendung finden könnte und welche davon ausgenommen sind. Nicht vom Anspruch umfasst sind des Weiteren anonymisierte Personendaten oder solche, welche die betroffene Person nicht betreffen. Pseudonymisierte Personendaten, die eindeutig mit der betroffenen Person in Zusammenhang gebracht werden können, sind hingegen von Artikel 20 Absatz 1 Art. erfasst. In der Praxis dürften in vielen Fällen auch Informationen betroffen sein, welche die Personendaten von mehreren Personen umfassen, wie z. B. der Kontoverlauf einer Kundin oder eines Kunden oder Daten zu Telefongesprächen oder Nachrichten, welche Angaben über Dritte enthalten. Im Rahmen einer Anfrage um Herausgabe oder Übertragung von Personendaten sollten der Gesuchstellerin oder dem Gesuchsteller auch diese Aufzeichnungen bereitgestellt werden. Die Personendaten von Dritten dürfen jedoch nicht für Zwecke bearbeitet werden, welche deren Rechte und Freiheiten beeinträchtigen. Dies wäre der Fall, wenn der neue Verantwortliche die übermittelten Personendaten von Dritten für seine eigene Zwecke verwendet, beispielsweise, um diesen die eigenen Dienste anzubieten. Keine Beeinträchtigung würde hingegen vorliegen, wenn bei einer Übermittlung von Kontoinformationen auf ein neues Bankkonto auf Anlass des Kontoinhabers, die Kontaktadresse im Kontoverlauf seines Bankkontos, weiterhin für denselben Zweck, d.h. als Kontaktadresse und für seinen persönlichen Gebrauch verwendet wird. Weiter fallen unter Artikel 20 Absatz 1 Art. nur diejenigen Personendaten, welche die betroffene Person einem Verantwortlichen aktiv zur Verfügung stellt. Dies betrifft gemäss Buchstabe a zum einen Personendaten, welche sie dem Verantwortlichen direkt und bewusst angibt, wie z. B. ihre Kontaktdaten über ein Online-Formular oder durch die Tätigung von „Likes“. Gemäss Buchstabe b umfasst der Anspruch zum anderen auch Personendaten, welche die betroffene Person indirekt, das heisst durch ihre Aktivitäten bei der Nutzung eines Dienstes oder eines Gerätes (wissentlich oder unwissentlich) erzeugt und die vom Verantwortlichen beobachtet werden (sogenannte Nutzungsdaten oder „beobachtete“ Daten, wie z. B. Suchabfragen, Aktivitäten-Protokolle, Verlauf einer Website-Nutzung). Dass diese Personendaten vom Anspruch auf Herausgabe und Übertragung umfasst sind, entspricht der europäischen Regelung sowie dem Sinn und Zweck der Norm in Artikel 28 nDSG, wonach die betroffene Person die von ihr einem Verantwortlichen zur Verfügung gestellten Personendaten herausverlangen und weiterverwenden können soll. Abs. 2 Absatz 2 beschreibt, welche Personendaten nicht als von der betroffenen Person im Sinne von Artikel 28 Absatz 1 nDSG bekanntgegebene Personendaten anzusehen sind. Damit präzisiert diese Regelung den Geltungsbereich des Anspruchs auf Datenherausgabe oder ‑übertragung. Nicht vom Anspruch umfasst sind demnach Personendaten, welche ein Verantwortlicher aus Rückschlüssen aus den durch die betroffene Person im Sinne von Artikel 20 Absatz 1 Buchstaben a und b bereitgestellten oder beobachteten Personendaten selber ableitet oder durch eigene Analysen dieser Personendaten erzeugt. Zu denken ist beispielsweise an die Bewertung des Gesundheitszustands eines Nutzers, Nutzer- oder Risikoprofile, Kreditrisikoanalysen etc. Im Unterschied zu den bereitgestellten Personendaten beziehen sich hier die Leistungen und Investitionen des Verantwortlichen auf die Analyse und Auswertung der bereitgestellten Daten und nicht auf das Sammeln und Bearbeiten der Personendaten. Die Ausnahme dieser Personendaten vom Anspruch auf Datenherausgabe oder ‑übertragung entspricht der Regelung im europäischen Recht. Da es Ziel dieses Anspruchs ist, der betroffenen Person eine Weiterverwendung ihrer Personendaten zu ermöglichen, erscheint es gerechtfertigt, eine Ausnahme für solche Personendaten vorzusehen, welche ein Verantwortlicher durch Auswertung und Einsatz eigener Ressourcen (Eigenleistungen, Eigen-Investition, firmeninterne Algorithmen und Analyseverfahren) erzeugt. Im Unterschied zu den durch die betroffene Person „bereitgestellten Personendaten“ gemäss Absatz 1, ist bei diesen durch den Verantwortlichen erzeugten Personendaten, dessen Interesse am Schutz seiner Eigenleistung und eigenen Investition höher zu gewichten. Solche Personendaten fallen daher nicht in den Geltungsbereich des Anspruchs auf Datenherausgabe oder ‑übertragung. Im Rahmen des Auskunftsrechts nach Artikel 25 nDSG und der dazugehörigen Verordnungsbestimmungen (Art. 16 – 19 Art.) hat die betroffene Person jedoch die Möglichkeit, Auskunft vom Verantwortlichen über diese Personendaten, ihren Bearbeitungszweck, ihre Aufbewahrungsdauer sowie bei Vorliegen automatisierter Einzelentscheidungen, über die Logik, auf der diese Entscheidung beruht, zu erhalten. Wichtig festzuhalten ist, dass die Regelung in Artikel 20 Absatz 2 nicht als eine Einschränkung vom in Artikel 28 nDSG eingeführten Anspruch auf Datenherausgabe oder ‑übertragung zu verstehen ist, sondern der Auslegung der gesetzlichen Bestimmung dient, indem sie den Geltungsbereich des Anspruchs präzisiert. Vielmehr gelten aufgrund des Verweises in Artikel 29 Absatz 1 nDSG auf Artikel 26 Absatz 1 und 2 nDSG die für die Einschränkung des Auskunftsrechts vorgesehenen Gründe sinngemäss ebenso für die Verweigerung, Einschränkung oder den Aufschub einer Herausgabe oder Übertragung der Personendaten, beispielsweise zum Schutz überwiegender Interessen des Verantwortlichen (z. B. bei Geschäftsgeheimnissen oder geistigem Eigentum) oder zum Schutz von überwiegender Interessen Dritter. Dies sollte jedoch nicht dazu führen, dass der betroffenen Person jegliche Informationsweitergabe verweigert wird. Vielmehr muss im Rahmen einer Verhältnismässigkeitsprüfung und Interessenabwägung im Einzelfall bestimmt werden, ob und welche Personendaten an die betroffene Person herauszugeben oder auf einen anderen Verantwortlichen zu übertragen sind. Verweigert oder beschränkt der Verantwortliche die Herausgabe oder Übertragung von Personendaten oder schiebt diese auf, ist er gemäss Artikel 29 Absatz 2 nDSG der betroffenen Person gegenüber zur Begründung verpflichtet.
Art. 21 Technische Anforderungen an die Umsetzung
1 Als gängiges elektronisches Format gelten Formate, die es ermöglichen, dass die Personendaten mit verhältnismässigem Aufwand übertragen und von der betroffenen Person oder einem anderen Verantwortlichen weiterverwendet werden
2 Das Recht auf Datenherausgabe oder ‑übertragung begründet für den Verantwortlichen nicht die Pflicht, technisch kompatible Datenbearbeitungssysteme zu übernehmen oder beizubehalten
3 Ein unverhältnismässiger Aufwand für die Übertragung von Personendaten auf einen anderen Verantwortlichen liegt vor, wenn die Übertragung technisch nicht möglich ist
Erläuternder Bericht
Abs. 1 Diese Bestimmung präzisiert, was als gängiges elektronisches Format im Sinne von Artikel 28 Absatz 1 nDSG anzusehen ist. Dies sind namentlich solche Formate, die es ermöglichen, dass die Personendaten mit einem verhältnismässigen Aufwand übertragen und von der betroffenen Person oder einem anderen Verantwortlichen weiterverwendet werden können. Sofern Personendaten nicht in einem allgemein lesbaren Format vorliegen (insbesondere bei proprietären oder wenig gebräuchlichen Formaten), müssen sie vom Verantwortlichen in ein gängiges elektronisches Format überführt werden. Die Datenformate sollten es der betroffenen Person ermöglichen, ihre Daten in einem computerlesbaren Standardformat direkt von ihrem persönlichen Konto oder Bereich hochzuladen. Es sind daher Datenformate zu wählen, die für die Art der betreffenden Daten geeignet sind. Zu bevorzugen sind offene und interoperable Formate wie z. B. XML und JSON für umfangreichere Lösungen, sowie CSV, ODT, ODS usw., welche in vielen Fällen für die Datenherausgabe und ‑übertragung geeignet sind, da sie ohne nennenswerte Kompatibilitätsprobleme von anderen Verantwortlichen übernommen werden können. Daten, die in einem schwer zu verarbeitenden Format (z. B. ein Bild oder PDF) oder einem proprietären Format geliefert werden, dessen Nutzung den Erwerb einer Software oder einer kostenpflichtigen Lizenz voraussetzt, stellen a priori kein geeignetes Format dar. Des Weiteren sollte der Inhalt der übermittelten Informationen mit geeigneten und verständlichen Metadaten genau beschrieben werden, damit sie sinnvoll in ein neues System übernommen werden können. Die betroffenen Personen und die Verantwortlichen, welche die Daten im Rahmen einer Datenübertragung übernehmen, müssen verstehen, um welche Art von Daten es sich handelt. Diese Metadaten sollten umfangreich genug sein, um die Nutzung und Wiederverwendung der Daten zu ermöglichen, ohne Geschäftsgeheimnisse offenzulegen. Abs. 2 Entsprechend dem europäischen Recht präzisiert diese Bestimmung, dass das Recht der betroffenen Person, sie betreffende Personendaten vom Verantwortlichen heraus zu verlangen oder durch diesen an einen anderen Verantwortlichen übertragen zu lassen, für den Verantwortlichen nicht die Pflicht begründet, technisch kompatible Datenbearbeitungssysteme zu übernehmen oder beizubehalten. Obwohl die Einführung von Standards für Datenformate grundsätzlich möglich wäre, dürfte sich das jeweils am besten geeignete Format je nach Branche und Sektor unterscheiden. Daher erscheint ausreichend, die Verwendung gängiger Formate vorzusehen, ohne diese Formate näher oder gar abschliessend zu spezifizieren. Aus technischer Sicht ist erforderlich, dass die Verantwortlichen die Voraussetzungen schaffen, um Personendaten austauschen zu können. Zudem müssen die ausgetauschten Personendaten durch die betroffene Person oder den neuen Verantwortlichen genutzt werden können. Dazu haben die Verantwortlichen die Personendaten in interoperablen Formaten zur Verfügung zu stellen und diese mit geeigneten Metadaten für die betroffene Person und den neuen Verantwortlichen verständlich zu beschreiben, um ihre Weiterverwendung zu ermöglichen. Abs. 3 Absatz 3 präzisiert, wann im Sinne von Artikel 28 Absatz 3 nDSG eine Übertragung einen unverhältnismässigen Aufwand erfordert und der Verantwortliche nicht verpflichtet ist, Personendaten auf Verlangen der betroffenen Person an einen anderen Verantwortlichen zu übertragen. Wiederum im Einklang mit dem europäischen Recht ist von einem verhältnismässigen Aufwand für eine Übertragung auszugehen, wenn diese technisch möglich und machbar ist. Der Verantwortliche ist demnach verpflichtet, die Personendaten auf Verlangen der betroffenen Person direkt und in einem interoperablen Format an einen anderen Verantwortlichen zu übermitteln. Selbst wenn der andere Verantwortliche dieses Format nicht unterstützt, kann eine direkte Datenübertragung auch erfolgen, wenn die Kommunikation zwischen zwei Systemen auf gesicherte Weise möglich ist und das empfangende System technisch in der Lage ist, die eingehenden Daten zu empfangen. Ob eine Übertragung technisch machbar ist, ist von Fall zu Fall zu überprüfen. Denkbar wäre auch, dass der Verantwortliche eine sichere Anwendungsprogramm-Schnittstellen (API) zur Verfügung stellt, um dem anderen Verantwortlichen zu ermöglichen, die Personendaten automatisch abzurufen. Ist eine direkte Datenübertragung wegen technischer Hindernisse jedoch nicht möglich, muss der Verantwortliche die betroffene Person über diese Hindernisse informieren (Art. 29 Abs. 2 nDSG). Der Verantwortliche darf die Übermittlung der Personendaten jedoch nicht ungerechtfertigt behindern, indem er technische Hürden vorsieht, welche den Datenzugriff, die Datenübertragung oder die Datenwiederverwendung durch die betroffene Person oder einen anderen Verantwortlichen verlangsamt oder verhindert. Dies wäre beispielsweise der Fall, wenn keine Dateninteroperabilität geboten wird bzw. kein Zugriff auf ein Datenformat, keine Programmierschnittstelle oder nicht das bereitgestellte Format angeboten wird, wenn übermässige Verzögerungen auftreten oder die Abfrage des vollständigen Datensatzes zu kompliziert ist, wenn Daten absichtlich verschleiert werden, oder wenn spezifische oder nicht gerechtfertigte Sektorspezifische Normungs- oder Akkreditierungsanforderungen aufgestellt werden.
Art. 22 Frist, Modalitäten und Zuständigkeit
Die Artikel 16 Absätze 1 und 5 sowie 17 – 19 gelten sinngemäss für das Recht auf Datenherausgabe oder ‑übertragung.
Erläuternder Bericht
Was die Modalitäten des Rechts auf Datenherausgabe oder ‑übertragung betrifft, sind verschiedene Bestimmungen zum Auskunftsrecht sinngemäss anwendbar. Das betrifft die Form, in der die betroffene Person die Herausgabe oder Übertragung ihrer Personendaten verlangen kann (Art. 16 Abs. 1 Art., ehem. Art. 20 Abs. 1 E‑VDSG), sowie die angemessenen Massnahmen, die getroffen werden müssen, um die Identifizierung der betroffenen Person sicherzustellen (Art. 16 Abs. 5 Art., ehem. Art. 20 Abs. 4 E‑VDSG). Sinngemäss anwendbar sind auch die Bestimmungen zur Regelung der Zuständigkeiten bei Auskunftsgesuchen bei mehreren Verantwortlichen (Art. 17 Abs. 1 Art., ehem. Art. 21 Abs. 1 E‑VDSG), oder bei Datenbearbeitungen durch einen Auftragsbearbeiter (Art. 17 Abs. 2 Art., ehem. Art. 21 Abs. 2 E‑VDSG). Anzumerken ist, dass auch Personendaten, die durch Auftragsbearbeiter bearbeitet werden, dem Anspruch auf Datenherausgabe oder ‑übertragung unterliegen. In diesem Fall obliegt es dem Verantwortlichen, die technischen und organisatorischen Lösungen zu schaffen, mit denen dieses Recht durchgesetzt werden kann. Der Auftragsbearbeiter muss den Verantwortlichen bei der Erfüllung seiner Pflichten in Bezug auf das Recht auf Datenherausgabe oder ‑übertragung unterstützen (Art. 17 Abs. 2 Art., ehem. Art. 21 Abs. 2 E‑VDSG). Schliesslich sind auch die Bestimmungen zu den Fristen (Art. 18 Art., ehem. Art. 22 E‑VDSG) und den Ausnahmen von der Kostenlosigkeit (Art. 19 Art., ehem. Art. 23 E‑VDSG) bei Auskunftsgesuchen sinngemäss auf das Recht auf Datenherausgabe oder ‑übertragung anwendbar.
4. Kapitel: Besondere Bestimmungen zur Datenbearbeitung durch private Personen
Art. 23 Datenschutzberaterin oder Datenschutzberater
Der Verantwortliche muss der Datenschutzberaterin oder dem Datenschutzberater:
a. die notwendigen Ressourcen zur Verfügung stellen;
b. Zugang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten gewähren, die die Beraterin oder der Berater zur Erfüllung ihrer oder seiner Aufgaben benötigt;
c. das Recht einräumen, in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan zu informieren.
Erläuternder Bericht
In Artikel 10 Absatz 2 nDSG werden in nicht abschliessender Weise zwei Aufgabenbereiche der Datenschutzberaterin oder des Datenschutzberaters eines privaten Verantwortlichen geregelt: Sie oder er schult und berät den privaten Verantwortlichen in Fragen des Datenschutzes (Bst. a) und wirkt beim Vollzug der Datenschutzvorschriften mit (Bst. b). Da sich diese Aufgabenbereiche genügend konkret aus dem Gesetz ergeben, werden sie entgegen dem Vernehmlassungsentwurf zukünftig nicht nochmals in der Verordnung definiert. Bst. a und b Diese Bestimmungen entsprechen inhaltlich Artikel 12b Absatz 2 Buchstaben b und c VDSG. Die Aufzählung, zu welchen Dokumenten die Datenschutzberaterin oder der Datenschutzberater Zugang haben muss, wurde der Terminologie im nDSG angepasst. Der Zugang ist dabei nicht uneingeschränkt, sondern es ist nur Zugang zu denjenigen Unterlagen zu geben, welche die Datenschutzberaterin oder der Datenschutzberater auch tatsächlich zur Aufgabenerfüllung benötigt. So ist insbesondere der Zugang zu Personendaten nur dann zu gewähren, wenn diese zur Aufgabenerfüllung benötigt werden. Prüft die Datenschutzberaterin oder der Datenschutzberater beispielsweise in genereller Weise die internen Datenschutzvorschriften oder Prozesse zur Datenbearbeitung, wird sie oder er in der Regel keine Personendaten einsehen können müssen. Artikel 12b Absatz 2 Buchstabe a VDSG wird dagegen nicht übernommen, weil die darin genannte Anforderung neu im Gesetz vorgesehen ist (Art. 10 Abs. 3 Bst a nDSG). Bst. c Der Verantwortliche muss der Datenschutzberaterin oder dem Datenschutzberater das Recht einräumen, in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan zu informieren. Gemeint ist damit die oberste Leitung des privaten Verantwortlichen, also das Organ, welches auch die Verantwortung für die Einhaltung der Datenschutzvorschriften trägt. Die Bestimmung statuiert ein Eskalationsrecht der Datenschutzberaterin oder des Datenschutzberaters. Dies ist nötig, damit die Datenschutzberaterin oder der Datenschutzberater bei unternehmensinternen Prüfungen der Einhaltung datenschutzrechtlicher Regeln nicht nur die ihr oder ihm zur Verfügung stehenden Dokumenten vertrauen muss, sondern auch die Beschaffung zusätzlicher Informationen und Dokumente durchsetzen kann. Zudem wird damit gewährleistet, dass die Datenschutzberaterin oder der Datenschutzberater im Falle komplexer Verhältnisse und besonders schwerwiegender Verstösse den höchsten Organen des Verantwortlichen oder des Auftragsbearbeiters berichten und einen Entscheid bewirken kann. Aufhebung von Artikel 12a VDSG Diese Bestimmung wird aufgehoben, da ihr Inhalt neu ins Gesetz (Art. 10 Abs. 3 Bst. b und c nDSG) aufgenommen wurde.
Art. 24 Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten
Unternehmen und andere privatrechtliche Organisationen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen sind von der Pflicht befreit, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, ausser eine der folgenden Voraussetzungen ist erfüllt:
a. Es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet.
b. Es wird ein Profiling mit hohem Risiko durchgeführt.
Erläuternder Bericht
Aufgrund von Artikel 12 nDSG müssen die Verantwortlichen und die Auftragsbearbeiter je ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Dieses muss einige Mindestangaben enthalten. Für das Verzeichnis des Verantwortlichen sind dies: die Identität des Verantwortlichen, den Bearbeitungszweck, eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten, die Kategorien der Empfängerinnen und Empfänger, wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer sowie eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8 nDSG, und, falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2 nDSG (Art. 12 Abs. 2 nDSG). Für manche KMU kann das Führen eines solchen Verzeichnisses einen unverhältnismässigen Verwaltungsaufwand bedeuten, im Vergleich zu den möglichen Risiken, welche die Datenbearbeitung für die Persönlichkeit der betroffenen Personen mit sich bringt. Da der Bundesrat nach Artikel 12 Absatz 5 nDSG Ausnahmen für Unternehmen, einschliesslich Einzelunternehmen, vorzusehen hat, ist er dementsprechend auch befugt, diese Ausnahmen bei natürlichen Personen und anderen Rechtseinheiten wie Vereinen und Stiftungen anzuwenden. Dies erscheint angemessen, weil das Führen des Verzeichnisses für sie, ebenso wie für die KMU, einen unverhältnismässigen Aufwand bedeuten könnte. Artikel 24 Art. (ehem. Art. 26 E‑VDSG) konkretisiert somit Artikel 12 Absatz 5 nDSG, indem er bestimmt, für wen diese Ausnahmen gelten und in welchen Fällen die Risiken von Persönlichkeitsverletzungen im Sinne dieser Bestimmung gering sind (vgl. Botschaft, BBl 2017 7037). Er sieht vor, dass Unternehmen und andere privatrechtliche Organisationen mit weniger als 250 Mitarbeitenden am 1. Januar eines Jahres (unabhängig vom Beschäftigungsgrad) sowie natürliche Personen von der Pflicht befreit sind, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Allerdings gilt dies nur, wenn nicht in grossem Umfang besonders schützenswerte Personendaten bearbeitet werden (Bst. a) und wenn kein Profiling mit hohem Risiko durchgeführt wird (Bst. b). Die Anforderung von Artikel 24 Buchstabe a Art. entspricht dabei Artikel 22 Absatz 2 Buchstabe a nDSG. Mit anderen Worten sind nur KMU, die gewisse Datenbearbeitungen mit hohem Risiko durchführen, verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Die Aufzählung der Datenbearbeitungen mit hohem Risiko ist in dieser Bestimmung abschliessend. Für die Vorgabe in Buchstabe a sei auf die Ausführungen zur gleich ausgestalteten Vorgabe in Artikel 5 Absatz 1 Buchstabe a Art. (ehem. Art. 4 Abs. 1 Bst. a E‑VDSG) zur Pflicht von privaten Personen zur Erstellung eines Bearbeitungsreglements verwiesen. Als umfangreiche Bearbeitungen besonders schützenswerter Daten gelten insbesondere Datenbearbeitungen, die grosse Mengen von Daten oder eine grosse Zahl von Personen betreffen. KMU, welche Daten im Sinne von Artikel 24 Buchstabe a und b Art. bearbeiten, müssen nur für diese Datenbearbeitungen, nicht aber für andere Datenbearbeitungen ein Verzeichnis der Bearbeitungstätigkeiten führen. Natürlich bleibt es auch den KMU, die von der Pflicht ausgenommen sind, nicht verwehrt, freiwillig ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Gerade wenn ein Verantwortlicher regelmässig Personendaten bearbeitet, ist es ein nützliches und einfaches Instrument, um einen Überblick über die Bearbeitungstätigkeiten zu behalten, was dem Verantwortlichen auch die Einhaltung anderer Verpflichtungen, wie etwa der Informationsplicht, erleichtern kann.
5. Kapitel: Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane
1. Abschnitt: Datenschutzberaterin oder ‑berater
Erläuternder Bericht
Die Artikel 25 – 28 Art. (ehem. Art. 25 – 30 E‑VDSG) ersetzen Artikel 23 VDSG, der sich mit der Datenschutzberaterin oder dem Datenschutzberater von Bundesorganen befasst.
Art. 25 Ernennung
Jedes Bundesorgan ernennt eine Datenschutzberaterin oder einen Datenschutzberater. Mehrere Bundesorgane können gemeinsam eine Datenschutzberaterin oder einen Datenschutzberater ernennen.
Erläuternder Bericht
Artikel 25 Art. setzt Artikel 10 Absatz 4 nDSG und Artikel 32 der Richtlinie (EU) 2016/680 um. Die Regelung, wonach mehrere Bundesorgane gemeinsam eine Datenschutzberaterin oder einen Datenschutzberater bezeichnen können, soll es insbesondere kleineren Bundesorganen oder Departementen mit zentralisierter Organisationstruktur ermöglichen, sinnvolle und ressourceneinsparende Synergien zu nutzen. Hingegen kann beispielsweise von grösseren Bundesämtern erwartet werden, dass diese für sich alleine über eine Datenschutzberaterin oder einen Datenschutzberater verfügen. Natürlich steht es den Bundesorganen auch offen, mehrere Beraterinnen und Berater zu bezeichnen.
Art. 26 Anforderungen und Aufgaben
1 Die Datenschutzberaterin oder der Datenschutzberater muss die folgenden Anforderungen erfüllen:
a. Sie oder er verfügt über die erforderlichen Fachkenntnisse.
b. Sie oder er übt ihre oder seine Funktion gegenüber dem Bundesorgan fachlich unabhängig und weisungsungebunden aus.
2 Sie oder er muss folgende Aufgaben wahrnehmen:
a. Sie oder er wirkt bei der Anwendung der Datenschutzvorschriften mit, indem sie oder er insbesondere:
1. die Bearbeitung von Personendaten prüft und Korrekturmassnahmen empfiehlt, wenn eine Verletzung der Datenschutzvorschriften festgestellt wird,
2. den Verantwortlichen bei der Erstellung der Datenschutz-Folgenabschätzung berät und deren Ausführung überprüft.
b. Sie oder er dient als Anlaufstelle für die betroffenen Personen.
c. Sie oder er schult und berät die Mitarbeitenden des Bundesorgans in Fragen des Datenschutzes.
Erläuternder Bericht
Abs. 1 Artikel 26 Absatz 1 Art. übernimmt in Buchstabe a die Anforderung des Artikels 12a Absatz 2 letzter Teilsatz VDSG. In Buchstabe b wird – wie bisher in Artikel 12b Absatz 2 Buchstabe a VDSG geregelt und analog zur Regelung bei den privaten Verantwortlichen in Artikel 10 Absatz 3 Buchstabe a nDSG – neu für alle Bundesorgane verbindlich vorgesehen (bisher mussten nur diejenigen Bundesorgane die Anforderungen von Art. 12a und Art. 12b VDSG erfüllen, die sich von der Pflicht befreien wollten, ihre Datensammlungen anzumelden, s. Art. 23 Abs. 2 VDSG), dass die Datenschutzberaterin oder der Datenschutzberater ihre oder seine Funktion fachlich unabhängig und weisungsungebunden ausübt. Dadurch wird die Rolle der Datenschutzberaterin oder des Datenschutzberaters in den üblicherweise hierarchisch geprägten Bundesorganen gestärkt und institutionalisiert, damit sie oder er ihre oder seine Aufgaben wirksam erfüllen kann. Zwar ist die Rolle der Datenschutzberaterin oder des Datenschutzberaters lediglich beratend und unterstützend und somit das mögliche Konfliktpotenzial mit den verantwortlichen und vorgesetzten Stellen als herabgesetzt anzusehen. Dennoch muss gewährleistet sein, dass die Datenschutzberaterin oder der Datenschutzberater ihre Empfehlungen – mögen sie in der Natur der Sache liegend teilweise unliebsam sein – frei aussprechen können, ohne Nachteile befürchten zu müssen. Die Unabhängigkeit impliziert auch, dass sich die Datenschutzberaterin oder der Datenschutzberater in wichtigen Fällen – wie dies für Private in Artikel 23 Buchstabe c Art. explizit vorgesehen wird – an die oberste Leitung des Bundesorgans werden kann. Die Unabhängigkeit der Datenschutzberaterin oder des Datenschutzberaters ist vor allem durch organisatorische Massnahmen sicherzustellen: So ist insbesondere zu verhindern, dass sich die Tätigkeit als Datenschutzberaterin oder ‑berater negativ auf das Mitarbeitergespräch auswirken kann. Abs. 2 Die Aufgaben der Datenschutzberaterin oder des Datenschutzberaters des Bundesorganes in Absatz 2 wurden terminologisch mit der Bestimmung bei den privaten Verantwortlichen (Art. 10 Abs. 3 nDSG) abgestimmt. In Absatz 2 Buchstabe a wird festgehalten, dass die Datenschutzberaterin oder der Datenschutzberater, wie bereits in Artikel 10 Absatz 2 Buchstabe b nDSG festgehalten, bei der Anwendung der Datenschutzvorschriften mitwirkt. Dies beinhaltet insbesondere, dass sie oder er nach Ziffer 1. die Bearbeitung von Personendaten prüft und Korrekturmassnahmen empfiehlt, wenn eine Verletzung der Datenschutzvorschriften festgestellt wird; und nach Ziffer 2. den Verantwortlichen bei der Erstellung der Datenschutz-Folgenabschätzung berät und deren Ausführung überprüft. Die Mitwirkung der Datenschutzberaterin oder des Datenschutzberaters kann dazu beitragen, dass der EDÖB entlastet wird. Die Vorgabe in Ziffer 2. entspricht Artikel 7 Buchstabe c der Richtlinie (EU) 2016/680. Die Datenschutzberaterin oder der Datenschutzberater ist als beratende und unterstützende Stelle zu verstehen und nicht als Überwachungsorgan. In Bezug auf die Prüfung von Bearbeitungen und Empfehlung von Korrekturmassnahmen ist daher darauf hinzuweisen, dass es nicht etwa darum geht, eine aktive Prüfpflicht einzuführen beziehungsweise systematische Kontrollen aller Datenbearbeitungen vorzuschreiben. Vielmehr ist es ausreichend, wenn sie oder er aktiv wird, falls beispielsweise Anfragen der verantwortlichen Stellen zur Prüfung einer Datenbearbeitung vorliegen oder ihr oder ihm Hinweise zugetragen werden, dass Datenschutzvorschriften verletzt worden sind. Natürlich bleibt es aber auch unbenommen, dass die Datenschutzberaterin oder der Datenschutzberater proaktiv prüft. Weiter dient die Datenschutzberaterin oder der Datenschutzberater gemäss Absatz 2 Buchstabe b als Anlaufstelle für die betroffenen Personen, beispielsweise im Falle eines Auskunftsgesuches nach Artikel 25 nDSG.
Art. 27 Pflichten des Bundesorgans
1 Das Bundesorgan hat gegenüber der Datenschutzberaterin oder dem Datenschutzberater folgende Pflichten:
a. Es gewährt ihr oder ihm Zugang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten, die sie oder er zur Erfüllung ihrer oder seiner Aufgaben benötigt.
b. Es sorgt dafür, dass sie oder er über eine Verletzung der Datensicherheit informiert wird.
2 Es veröffentlicht die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters im Internet und teilt diese dem EDÖB mit
Erläuternder Bericht
Artikel 27 Absatz 1 Buchstabe a Art. (ehem. Art. 29 Abs. 1 E‑VDSG) ist identisch zur Regelung bei den privaten Verantwortlichen in Artikel 22 Buchstabe b Art. (ehem. Art. 25 Abs. 2 Bst. b E‑VDSG). Hier kann daher sinngemäss auf die dortigen Ausführungen verwiesen werden. Stehen spezialgesetzliche Grundlagen dem Zugang der Datenschutzberaterin oder des Datenschutzberaters zu gewissen Informationen, insbesondere Personendaten, entgegen, gehen diese gemäss dem allgemeinen Grundsatz der Lex specialis vor. Gegebenenfalls sind die Personendaten zu schwärzen, sofern die Datenschutzberaterin oder der Datenschutzberater für ihre oder seine Aufgabenerfüllung Zugang zu Informationen benötigt, die Personendaten beinhalten. Gemäss Artikel 27 Absatz 1 Buchstabe b Art. ist das Bundesorgan neu verpflichtet, dafür zu sorgen, dass die Beraterin oder der Berater über Verletzungen der Datensicherheit informiert wird. Diese Pflicht kann z. B. dadurch gewährleistet werden, dass das Bundesorgan, die Mitarbeitenden mittels Weisung dazu verpflichtet, im Fall einer Verletzung der Datensicherheit die Beraterin bzw. den Berater zu informieren. Die Pflicht betrifft nicht nur Verletzungen, die dem EDÖB gestützt auf Artikel 24 nDSG gemeldet werden müssen, sondern bezieht sich auf jegliche Verletzungen der Datensicherheit. Die Datenschutzberaterin oder der Datenschutzberater berät den Verantwortlichen bei der Frage, ob die Verletzung einer Meldepflicht im Sinne von Artikel 24 nDSG unterliegt. Die Meldung an sich liegt aber in der Verantwortung des Verantwortlichen: Er entscheidet darüber, ob und welche Verletzungen dem EDÖB gemeldet werden. Absatz 2 wurde neu eingefügt und sieht eine analoge Regelung wie in Artikel 10 Absatz 3 Buchstabe d nDSG bei den privaten Verantwortlichen vor. Dadurch soll den betroffenen Personen die Ausübung ihrer Rechte erleichtert werden, indem zumindest eine fachliche Ansprechperson unmittelbar ausfindig gemacht werden kann. Dabei ist es nicht erforderlich, den Namen der Datenschutzberaterin oder des Datenschutzberaters zu veröffentlichen. So genügt es, wenn etwa eine E‑Mail-Adresse der fachlich zuständigen Stelle angegeben wird. Weiter sind auch dem EDÖB die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters mitzuteilen.
Art. 28 Anlaufstelle des EDÖB
Die Datenschutzberaterin oder der Datenschutzberater dient dem EDÖB als Anlaufstelle für Fragen im Zusammenhang mit der Bearbeitung von Personendaten durch das betreffende Bundesorgan.
Erläuternder Bericht
Artikel 28 Art. (ehem. Art. 30 E‑VDSG) übernimmt in präzisierter Form den Sinngehalt von Artikel 23 Absatz 3 VDSG. Die Formulierung wurde aber angepasst, da sie als Kontaktbeschränkung missverstanden wurde. Den Bundesorganen soll es unbenommen bleiben, auch über andere Stellen mit dem EDÖB zu verkehren und nicht nur über die Datenschutzberaterin oder den Datenschutzberater. Es ist nicht die Meinung, dass sie oder er als Verbindungsperson für den EDÖB fungiert, sondern als Anlaufstelle, da sie oder er in Fragen im Zusammenhang mit der Bearbeitung von Personendaten durch das eigene Bundesorgan über die notwendigen Fachkenntnisse und das interne Wissen verfügt.
2. Abschnitt: Informationspflichten
Art. 29 Informationspflicht bei der Bekanntgabe von Personendaten
Das Bundesorgan informiert die Empfängerin oder den Empfänger über die Aktualität, Zuverlässigkeit und Vollständigkeit der von ihm bekanntgegebenen Personendaten, soweit sich diese Informationen nicht aus den Daten selbst oder aus den Umständen ergeben.
Erläuternder Bericht
Diese Bestimmung entspricht den Artikeln 12 und 26 VDSG und betrifft die Zuverlässigkeit der bekanntgegebenen Personendaten. Nebst der „Aktualität“ und der „Zuverlässigkeit“ der Personendaten wird in Artikel 29 Art. (ehem. Art. 15 E‑VDSG) neu die „Vollständigkeit“ erwähnt. Zur Sicherstellung der Datenqualität müssen die Daten aktuell, zuverlässig und vollständig (d. h. weder nur teilweise vorhanden noch lückenhaft) sein. Die Bestimmung wird so an Artikel 7 Absatz 2 der Richtlinie (EU) 2016/680 angepasst. Sie ergänzt Artikel 6 Absatz 5 nDSG.
Art. 30 Informationspflicht bei der systematischen Beschaffung von Personendaten
Ist die betroffene Person nicht zur Auskunft verpflichtet, so weist das verantwortliche Bundesorgan sie bei einer systematischen Beschaffung von Personendaten darauf hin.
Erläuternder Bericht
Die Regelung entspricht dem geltenden Artikel 24 VDSG: Ist die betroffene Person nicht zur Auskunft verpflichtet, so muss das verantwortliche Bundesorgan diese auf die Freiwilligkeit ihrer Auskunftserteilung hinweisen. Entsprechend der Regelung des Artikels 24 VDSG gilt diese Pflicht ebenfalls einzig für die systematische Beschaffung von Personendaten. Sie betrifft insbesondere den Bereich der Statistik und Forschung.
3. Abschnitt: Meldung der Projekte zur automatisierten Bearbeitung von Personendaten an den EDÖB
Art. 31
1 Das verantwortliche Bundesorgan meldet dem EDÖB die geplanten automatisierten Bearbeitungstätigkeiten im Zeitpunkt des Entscheids zur Projektentwicklung oder der Projektfreigabe
2 Die Meldung muss die Angaben nach Artikel 12 Absatz 2 Buchstaben a – d DSG sowie das voraussichtliche Datum des Beginns der Bearbeitungstätigkeiten enthalten
3 Der EDÖB nimmt diese Meldung in das Register der Bearbeitungstätigkeiten auf
4 Das verantwortliche Bundesorgan aktualisiert die Meldung beim Übergang in den produktiven Betrieb oder bei der Projekteinstellung
Erläuternder Bericht
In Artikel 31 Absatz 1 Art. wird geregelt, dass das verantwortliche Bundesorgan dem EDÖB die geplanten automatisierten Bearbeitungstätigkeiten zum Zeitpunkt der Projektfreigabe oder des Entscheids zur Entwicklung zu melden hat. Im Vergleich zur subsidiären Meldung an den EDÖB nach Artikel 20 Absatz 2 VDSG, die auf eine inhaltliche Prüfung der Projekte abzielt, dient die vorliegende Meldung dem EDÖB hingegen zur reinen Übersicht über geplante Projekte, in denen automatisiert Personendaten bearbeitet werden sollen. In erster Linie soll die Meldung es dem EDÖB ermöglichen, sich ein Gesamtbild über die geplanten Projekte verschaffen zu können und so auch seine Ressourcenplanung im Bereich der Beratungstätigkeiten und Begleitung von Gesetzgebungsprojekten optimieren zu können. In zweiter Linie dient diese Meldung natürlich auch dem Persönlichkeitsschutz. Da sich die Projekte im Zeitpunkt der Anmeldung noch in einem frühen Stadium befinden, beschränkt sich der Inhalt der Meldung gemäss Absatz 2 auf eine Teilmenge der Angaben, die in Artikel 12 Absatz 2 nDSG verlangt werden, nämlich auf die Buchstaben a – d. Wie die Meldung der Verzeichnisse der bereits bestehenden Bearbeitungstätigkeiten gemäss Artikel 12 nDSG, nimmt der EDÖB auch die Meldungen der geplanten Bearbeitungstätigkeiten im Register der Bearbeitungstätigkeiten gemäss Artikel 56 nDSG auf. Die Angaben zur Meldung der geplanten Bearbeitungstätigkeiten werden allerdings nicht veröffentlicht (siehe Art. 42 Abs. 2 Art.). Das verantwortliche Bundesorgan aktualisiert den Eintrag gemäss Absatz 4 beim erfolgreichen Abschluss des Projektes, also beim Übergang in den produktiven Betrieb (bzw. überführt den Eintrag in eine Meldung nach Art. 12 Abs. 4 nDSG), oder bei der Projekteinstellung (d. h. Löschung des Eintrags). Die Meldung ist für den EDÖB daher erst zum Zeitpunkt der Projektfreigabe oder des Entscheids zur Entwicklung des Projekts „sichtbar“.
4. Abschnitt: Pilotversuche
Art. 32 Unentbehrlichkeit des Pilotversuchs
Ein Pilotversuch ist unentbehrlich, wenn eine der folgenden Bedingungen erfüllt ist:
a. Die Erfüllung einer Aufgabe erfordert technische Neuerungen, deren Auswirkungen zunächst evaluiert werden müssen.
b. Die Erfüllung einer Aufgabe erfordert bedeutende organisatorische oder technische Massnahmen, deren Wirksamkeit zunächst geprüft werden muss, insbesondere bei der Zusammenarbeit zwischen Organen des Bundes und der Kantone.
c. Die Erfüllung einer Aufgabe erfordert, dass die Personendaten im Abrufverfahren zugänglich sind.
Erläuternder Bericht
Aufgrund von Artikel 35 Absatz 1 nDSG kann der Bundesrat vor Inkrafttreten eines Gesetzes im formellen Sinn die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder andere Datenbearbeitungen nach Artikel 34 Absatz 2 Buchstaben b und c nDSG bewilligen, wenn bestimmte Voraussetzungen kumulativ erfüllt sind. Eine dieser Voraussetzungen besteht darin, dass für die praktische Umsetzung der Datenbearbeitung eine Testphase vor dem Inkrafttreten, insbesondere aus technischen Gründen, unentbehrlich ist. Um die Regelungsdichte in Artikel 35 nDSG zu vermindern, hat der Bundesrat diese Präzisierungen von Artikel 17a Absatz 2 DSG in die Verordnung verschoben. Artikel 32 Art. bestimmt, in welchen Fällen eine Testphase als unentbehrlich anzusehen ist. Er übernimmt mit einigen redaktionellen Änderungen Artikel 17a Absatz 2 DSG. So ist etwa der Begriff der „technischen Neuerungen“ wie bis anhin zu verstehen: Davon umfasst wird einerseits der Einsatz neuer Technologien, aber auch der Einsatz von bereits bekannter Technologie in einer neuen Umgebung bzw. beim Umsetzen neuer Lösungen. Als Beispiel dafür kann die SwissCovid App herangezogen werden: Sie basiert zwar auf bereits bekannten Technologien wie Bluetooth, welche aber noch nie in einer vergleichbaren Lösung eingesetzt wurden. Einzig Buchstabe c wird angepasst: Neu werden vom Wortlaut alle Abrufverfahren erfasst und nicht mehr nur diejenigen, die einen Zugang für kantonale Behörden schaffen. Dieser einschränkende Wortlaut hatte entstehungsgeschichtliche Gründe, in der Sache kann aber nicht entscheidend sein, wer der Adressatenkreis des Abrufverfahrens ist, sondern der technische Aspekt steht für die Annahme der Unentbehrlichkeit im Vordergrund (vgl. Art. 35 Abs. 1 Bst. c nDSG). Mindestens eine Bedingung nach Buchstaben a – c muss erfüllt sein, was insbesondere bedeutet, dass ein Pilotversuch nicht nur aus reinen Zeitgründen eingesetzt werden darf.
Art. 33 Verfahren bei der Bewilligung des Pilotversuchs
1 Vor der Konsultation der interessierten Verwaltungseinheiten legt das für den Pilotversuch zuständige Bundesorgan dar, wie die Einhaltung der Voraussetzungen nach Artikel 35 DSG erfüllt werden soll, und lädt den EDÖB zur Stellungnahme ein
2 Der EDÖB nimmt zur Frage Stellung, ob die Bewilligungsvoraussetzungen nach Artikel 35 DSG erfüllt sind. Das Bundesorgan stellt ihm alle dazu notwendigen Unterlagen zur Verfügung, insbesondere:
a. eine allgemeine Beschreibung des Pilotversuchs;
b. einen Bericht, der nachweist, dass die Erfüllung der gesetzlich vorgesehenen Aufgaben eine Bearbeitung nach Artikel 34 Absatz 2 DSG erfordert und dass eine Testphase vor dem Inkrafttreten des Gesetzes im formellen Sinn unentbehrlich ist;
c. eine Beschreibung der internen Organisation sowie der Datenbearbeitungs- und Kontrollverfahren;
d. eine Beschreibung der Sicherheits- und Datenschutzmassnahmen;
e. den Entwurf einer Verordnung, welche die Einzelheiten der Bearbeitung regelt, oder das Konzept einer Verordnung;
f. die Planung der verschiedenen Phasen des Pilotversuchs.
3 Der EDÖB kann weitere Dokumente anfordern und zusätzliche Abklärungen vornehmen
4 Das Bundesorgan informiert den EDÖB über jede wichtige Änderung, welche die Einhaltung der Voraussetzungen nach Artikel 35 DSG betrifft. Der EDÖB nimmt, falls erforderlich, erneut Stellung
5 Die Stellungnahme des EDÖB ist dem Antrag an den Bundesrat beizufügen
6 Die automatisierte Datenbearbeitung wird in einer Verordnung geregelt
Erläuternder Bericht
Diese Bestimmung übernimmt mit einigen redaktionellen Anpassungen Artikel 27 VDSG. Die Verweise werden wo nötig auf das nDSG angepasst. Ein neuer Absatz 6 wurde hinzugefügt, in welchem ‒ ähnlich wie bisher in Artikel 17a Absatz 3 DSG ‒ festgehalten wird, dass die automatisierte Datenbearbeitung in einer Verordnung geregelt wird. Dadurch wird die Transparenz der Pilotversuche gewährleistet.
Art. 34 Evaluationsbericht
1 Das zuständige Bundesorgan unterbreitet dem EDÖB den Entwurf des Evaluationsberichts an den Bundesrat zur Stellungnahme
2 Es unterbreitet dem Bundesrat den Evaluationsbericht mit der Stellungnahme des EDÖB
Erläuternder Bericht
Diese Bestimmung übernimmt Artikel 27a VDSG. Nach Artikel 34 Art. unterbreitet das zuständige Bundesorgan dem EDÖB den Entwurf des Evaluationsberichts zur Stellungnahme. Wenn es dies für notwendig erachtet, passt das zuständige Bundesorgan den Evaluationsbericht an.
5. Abschnitt: Datenbearbeitung für nicht personenbezogene Zwecke
Art. 35
Werden Personendaten zu nicht personenbezogenen Zwecken, insbesondere der Forschung, der Planung und der Statistik, und gleichzeitig zu einem anderen Zweck bearbeitet, so sind die Ausnahmen nach Artikel 39 Absatz 2 DSG nur für die Bearbeitung zu den nicht personenbezogenen Zwecken anwendbar.
Erläuternder Bericht
Um sicherzustellen, dass die Anwendung der Ausnahmen nach Artikel 39 Absatz 2 nDSG nicht über den gesetzlichen Rahmen hinausgeht, wird in der Verordnung präzisiert, dass bei einer Datenbearbeitung für nicht personenbezogene Zwecke (z. B. für Forschung, Planung oder Statistik), die gleichzeitig einem anderen Zweck dient, diese Ausnahmen nur für die Bearbeitung zu den in Artikel 39 nDSG genannten Zwecken anwendbar sind.
6. Kapitel: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Art. 36 Sitz und ständiges Sekretariat
1 Der Sitz des EDÖB befindet sich in Bern
2 Auf die Arbeitsverhältnisse der Angestellten des ständigen Sekretariats des EDÖB ist die Bundespersonalgesetzgebung anwendbar. Die Angestellten sind im Rahmen des Vorsorgewerks Bund bei der Pensionskasse des Bundes versichert
Erläuternder Bericht
Diese Bestimmung entspricht grundsätzlich Artikel 30 VDSG. Artikel 36 Absatz 1 Art. (ehem. Art. 37 Abs. 1 E‑VDSG) bleibt materiell unverändert. Auf die bisherige Nennung des Sekretariats wird aber hier verzichtet, da sich durch die Änderung der Terminologie von „Beauftragten“ zu „EDÖB“ bereits ergibt, dass damit die Behörde als Ganzes gemeint ist und somit auch das Sekretariat umfasst wird. Artikel 36 Absatz 2 Art. (ehem. Art. 37 Abs. 1 E‑VDSG) regelt das Arbeitsverhältnis des ständigen Sekretariats des EDÖB. Inhaltlich entspricht die Bestimmung dem heutigen Artikel 30 Absatz 2 VDSG. Sie enthält im Vergleich zum geltenden Recht aber (terminologische) Anpassungen und eine Ergänzung. Die oder der Beauftragte und das ständige Sekretariat des EDÖB bilden auch nach der Totalrevision des DSG eine dezentralisierte Verwaltungseinheit ohne Rechtspersönlichkeit, die der Bundeskanzlei administrativ zugeordnet ist (Art. 43 Abs. 4 zweiter Satz nDSG, Art. 2 Abs. 1 Bst. e [BPG] , Art. 2 Abs. 3 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997 [RVOG] sowie Art. 8 Abs. 1 Bst. b i. V. m. Anhang 1 Bst. A Ziff. 2.1.1 der Regierungs- und Verwaltungsorganisationsverordnung vom 25. November 1998 [RVOV]). Wie bisher ist in Artikel 43 Absatz 5 zweiter Satz nDSG vorgesehen, dass die oder der Beauftragte ihr bzw. sein Personal selbst anstellt und in diesem Rahmen über gewisse Kompetenzen verfügt. So werden beispielsweise die Arbeitsverträge des Personals des EDÖB von der bzw. dem Beauftragten unterzeichnet. Die oder der Beauftragte gilt für das Sekretariat des EDÖB aber auch weiterhin nicht als personal- oder vorsorgerechtlicher Arbeitgeber im Sinne des BPG. Arbeitgeber ist gemäss Artikel 3 Absatz 1 Buchstabe a BPG der Bundesrat. Auf das Arbeitsverhältnis der Angestellten des ständigen Sekretariats des EDÖB ist deshalb gemäss Artikel 36 Absatz 2 erster Satz Art. weiterhin die Bundespersonalgesetzgebung anwendbar. Somit sind weiterhin die Bundespersonalverordnung vom 3. Juli 2001 (BPV), die Verordnung des EFD vom 6. Dezember 2001 zur Bundespersonalverordnung (VBPV) und die Verordnung vom 22. November 2017 über den Schutz von Personendaten des Bundespersonals (BPDV) anwendbar. Der bisherige Artikel 30 Absatz 2 VDSG erfährt diesbezüglich lediglich eine terminologische Anpassung („Angestellte des ständigen Sekretariats des EDÖB“ statt „Sekretariat des Beauftragten“ und „Bundespersonalgesetzgebung“ statt „Bundespersonalgesetz […] sowie […] dessen Vollzugsbestimmungen“). Zusätzlich wird in Artikel 36 Absatz 2 zweiter Satz Art. klargestellt, dass die Angestellten des ständigen Sekretariats des EDÖB im Rahmen des Vorsorgewerks Bund bei der Pensionskasse des Bundes versichert sind. Diese Ergänzung bringt keine materielle Änderung mit sich, sondern hält lediglich die auch schon bisher bestehende vorsorgerechtliche Regelung für das ständige Sekretariat des EDÖB ausdrücklich fest (vgl. Art. 32a Abs. 1 und Art. 32d Abs. 1 BPG). Das Personal bleibt demnach gemäss den Bestimmungen des Vorsorgereglements vom 15. Juni 2007 für die Angestellten und die Rentenbeziehenden des Vorsorgewerks Bund (VRAB) versichert. Betreffend das Arbeitsverhältnis des ständigen Sekretariats des EDÖB wird also vorläufig der Status quo beibehalten. Dies rechtfertigt sich insbesondere auch deshalb, weil die administrative Zuordnung zur Bundeskanzlei dem EDÖB erlaubt, seine Ressourcen auf den operativen Betrieb zu konzentrieren. Die Zusammenarbeit zwischen der Bundeskanzlei und dem EDÖB ist so ausgestaltet, dass die Unabhängigkeit des EDÖB gewährleistet bleibt. Gleichwohl stellt sich die Frage, ob der oder dem Beauftragten gegenüber den Angestellten des ständigen Sekretariats personal- und vorsorgerechtliche Arbeitgeberbefugnisse zukommen sollten. Diese Frage ist bei nächster Gelegenheit auf formellgesetzlicher Stufe zu klären. Die koordinierte Überprüfung und Anpassung der spezialgesetzlichen Rechtsgrundlagen für die Daten juristischer Personen, die in den fünf Jahren nach Inkrafttreten des nDSG erfolgen soll (vgl. Art. 71 nDSG), könnte dazu Gelegenheit bieten. Die Ausführungsbestimmungen zum Arbeitsverhältnis der oder des Beauftragten sind dagegen nicht durch den Bundesrat, sondern durch die Bundesversammlung zu erlassen. Denn das Arbeitsverhältnis der oder des Beauftragten wird neu mit der Wahl durch die Vereinigte Bundesversammlung begründet (Art. 43 Abs. 1 nDSG). Im Rahmen der parlamentarischen Initiative 21.443 hat die SPK‑N am 27. Januar 2022 einen Entwurf für eine Verordnung der Bundesversammlung verabschiedet, der die Ausführungsbestimmungen zum Arbeitsverhältnis der oder des Beauftragten enthält. Ausserdem sind in diesem Zusammenhang einzelne Änderungen des nDSG vorgesehen. Das Parlament hat die Vorlagen in der Schlussabstimmung vom 17. Juni 2022 angenommen. Artikel 30 Absatz 3 VDSG wurde nicht beibehalten, da der EDÖB neu ein eigenständiges Budget führt, welches in Artikel 45 nDSG sowie in Artikel 142 Absätze 2 und 3 des Parlamentsgesetzes vom 13. Dezember 2002 (nParlG) abschliessend geregelt wird.
Art. 37 Kommunikationsweg
1 Der EDÖB kommuniziert mit dem Bundesrat über die Bundeskanzlerin oder den Bundeskanzler. Diese oder dieser leitet die Vorschläge, Stellungnahmen und Berichte unverändert an den Bundesrat weiter
2 Der EDÖB reicht Berichte zuhanden der Bundesversammlung über die Parlamentsdienste ein
Erläuternder Bericht
Artikel 37 Art. stellt weitgehend eine Übernahme von Artikel 31 Absätze 1 und 1bis VDSG dar. Artikel 31 Absatz 2 wurde nicht in die Art. übernommen, da sich aus der Unabhängigkeit und der Weisungsungebundenheit des EDÖB ohnehin ergibt, dass der EDÖB mit anderen Verwaltungseinheiten direkt kommunizieren kann. Die Streichung führt daher zu keiner materiellrechtlichen Änderung. Im Vergleich zu Artikel 31 VDSG wurde der erste Absatz geändert. Mit der neuen Formulierung soll präzisiert werden, dass der EDÖB bei Fragen, die nicht auf der Traktandenliste einer Bundesratssitzung stehen, auch mit dem Bundesrat in Kontakt treten kann, indem er z. B. Stellungnahmen an diesen weiterleiten lässt. Abgesehen davon bleibt Absatz 1 inhaltlich unverändert, weil die Bundeskanzlerin oder der Bundeskanzler sämtliche Mitteilungen an den Bundesrat weiterleiten muss und hierbei keinen Handlungsspielraum hat. Dies gilt auch für das Mitberichtsverfahren. Bei Absatz 2 wurde einzig die Formulierung leicht angepasst; der materiellerechtliche Gehalt entspricht aber Artikel 31 Absatz 1bis VDSG.
Art. 38 Mitteilung von Entscheiden, Richtlinien und Projekten
1 Die Departemente und die Bundeskanzlei teilen dem EDÖB im Bereich des Datenschutzes ihre Entscheide in anonymisierter Form sowie ihre Richtlinien mit
2 Die Bundesorgane legen dem EDÖB alle Rechtsetzungsentwürfe vor, welche die Bearbeitung von Personendaten, den Datenschutz sowie den Zugang zu amtlichen Dokumenten betreffen
Erläuternder Bericht
Diese Bestimmung entspricht, abgesehen von terminologischen und systematischen Anpassungen, Artikel 32 Absatz 1 VDSG. Absatz 2: Der Einbezug des EDÖB sollte möglichst frühzeitig erfolgen. Er ist spätestens im Rahmen der Ämterkonsultation zu konsultieren.
Art. 39 Bearbeitung von Personendaten
Der EDÖB kann Personendaten, einschliesslich besonders schützenswerter Personendaten, insbesondere zu folgenden Zwecken bearbeiten:
a. zur Ausübung seiner Aufsichtstätigkeiten;
b. zur Ausübung seiner Beratungstätigkeiten;
c. zur Zusammenarbeit mit Bundesbehörden, kantonalen und ausländischen Behörden;
d. zur Aufgabenerfüllung im Rahmen der Strafbestimmungen nach dem DSG;
e. zur Durchführung von Schlichtungsverfahren und zum Erlass von Empfehlungen nach dem Öffentlichkeitsgesetz vom 17. Dezember 2004 (BGÖ);
f. zur Durchführung von Evaluationen nach dem BGÖ;
g. zur Durchführung von Verfahren für den Zugang zu amtlichen Dokumenten nach dem BGÖ;
h. zur Information der parlamentarischen Aufsicht;
i. zur Information der Öffentlichkeit;
j. zur Ausübung seiner Schulungstätigkeiten.
Erläuternder Bericht
Nach geltendem Recht wird in Artikel 32 Absatz 2 VDSG festgehalten, für welche Zwecke der EDÖB ein Informations- und Dokumentationssystem betreibt. Der im Rahmen der Totalrevision des DSG neu eingefügte Artikel 57h RVOG hält aber zukünftig in allgemeiner Weise fest, dass die Einheiten der Bundesverwaltung zur Verwaltung ihrer Dokumente elektronische Geschäftsverwaltungssysteme führen. Zukünftig ist es daher nicht notwendig auf die Verwendung des Geschäftsverwaltungssystems in der Art. hinzuweisen. Hingegen werden die Zwecke, zu denen der EDÖB Personendaten bearbeitet, neu ausführlicher geregelt (Abs. 1). Er kann Personendaten, einschliesslich besonders schützenswerter Personendaten, insbesondere zu folgenden Zwecken bearbeiten: zur Ausübung seiner Aufsichtstätigkeiten (Bst. a), zur Ausübung seiner Beratungstätigkeiten (Bst. b), zur Zusammenarbeit mit Bundesbehörden, kantonalen und ausländischen Behörden (Bst. c), zur Aufgabenerfüllung im Rahmen der Strafbestimmungen nach dem DSG (Bst. d), zur Durchführung von Schlichtungsverfahren und zum Erlass von Empfehlungen nach dem Bundesgesetz vom 17. Dezember 2004 über das Öffentlichkeitsprinzip der Verwaltung (BGÖ) (Bst. e), zur Durchführung von Evaluationen nach dem BGÖ (Bst. f), zur Durchführung von Verfahren für den Zugang zu amtlichen Dokumenten nach dem BGÖ (Bst. g), zur Information der parlamentarischen Aufsicht (Bst. h), zur Information der Öffentlichkeit (Bst. i) und zur Ausübung seiner Schulungstätigkeiten (Bst. j).
Art. 40 Selbstkontrolle
Der EDÖB erstellt ein Bearbeitungsreglement für sämtliche automatisierten Bearbeitungen; Artikel 6 Absatz 1 ist nicht anwendbar.
Erläuternder Bericht
Artikel 48 nDSG sieht vor, dass der EDÖB durch geeignete Massnahmen sicherstellen muss, dass die Datenschutzvorschriften innerhalb seiner Behörde rechtskonform vollzogen werden. In der Botschaft zum Datenschutzgesetz wird präzisiert, dass der Bundesrat die Aufgabe hat, die vom EDÖB zu ergreifenden Massnahmen in der Verordnung zu konkretisieren (BBl 2017 6941, 7089). Vom EDÖB wird gemäss Artikel 40 Art. erwartet, dass er für sämtliche von ihm durchgeführten automatisierten Bearbeitungen ein Bearbeitungsreglement erstellt, und nicht nur in den in Artikel 6 Absatz 1 Art. genannten Fällen, wie z. B. bei der Bearbeitung von besonders schützenswerten Personendaten oder bei einem Profiling. Auch wenn dies (anders als noch in Art. 41 Abs. 2 E‑VDSG) nicht ausdrücklich festgehalten wird, so muss der EDÖB ebenso wie andere Bundesorgane, welche zur Erstellung eines Bearbeitungsreglements verpflichtet sind (vgl. Art. 6 Art.), interne Prozesse vorsehen, die gewährleisten, dass seine Datenbearbeitungen entsprechend dem Bearbeitungsreglement durchgeführt werden, und die Einhaltung des Bearbeitungsreglements überprüfen.
Art. 41 Zusammenarbeit mit dem NCSC
1 Der EDÖB kann die Meldung einer Verletzung der Datensicherheit mit dem Einverständnis des meldepflichtigen Verantwortlichen zur Analyse des Vorfalls an das Nationale Zentrum für Cybersicherheit (NCSC) weiterleiten. Die Mitteilung kann Personendaten enthalten
2 Der EDÖB lädt das NCSC zur Stellungnahme ein, bevor er anordnet, dass das Bundesorgan die Vorkehren nach Artikel 8 DSG trifft
Erläuternder Bericht
Damit der EDÖB bei der Analyse einer eingetretenen Verletzung der Datensicherheit, die der Verantwortliche ihm gestützt auf Artikel 24 nDSG und Artikel 15 Art. (ehem. Art. 19 E‑VDSG) gemeldet hat, die technischen Fachspezialistinnen und Fachspezialisten des NCSC miteinbeziehen kann, wird in Artikel 41 Absatz 1 Art. (ehem. Art. 42 E‑VDSG) vorgesehen, dass der EDÖB die Angaben zur Meldung einer Verletzung der Datensicherheit dem an das NCSC weiterleiten kann. Die Weiterleitung kann jegliche Angaben gemäss Artikel 15 Absatz 1 Art. enthalten, muss sich aber gleichzeitig auf die für das NCSC für die Analyse des Vorfalls notwendigen Daten beschränken. Dabei kann die Mitteilung des EDÖB an das NCSC auch Personendaten enthalten. Vorausgesetzt ist, dass der Verantwortliche, der zur Meldung an den EDÖB verpflichtet ist, vorgängig sein Einverständnis zur Weiterleitung gegeben hat. Ausserdem darf die Weiterleitung nicht dazu führen, dass Artikel 24 Absatz 6 nDSG umgangen wird, wonach die Meldung nur mit Einverständnis der meldepflichtigen Person im Rahmen eines Strafverfahrens verwendet werden darf. Artikel 41 Absatz 1 Art. ermöglicht dem EDÖB keine systematische Weiterleitung von Meldungen an das NCSC. Vielmehr darf der EDÖB von dieser Möglichkeit nur in Einzelfällen, wo das technische Fachwissen des NCSC für die Abklärung eines Vorfalls erforderlich ist, Gebrauch machen. Die Bestimmung soll bei nächster Gelegenheit auf Gesetzesstufe überführt werden. Aus diesem Grund wird im Anhang des Vorentwurfs zur Änderung des Informationssicherheitsgesetzes vom 18. Dezember 2020 (ISG), welchen der Bundesrat am 12. Januar 2022 in die Vernehmlassung geschickt hat , ein neuer Artikel 24 Absatz 5bis nDSG vorgesehen. Darin soll auch die Bekanntgabe von besonders schützenswerten Personendaten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen des meldepflichtigen Verantwortlichen durch den EDÖB an das NCSC geregelt werden. Falls und sobald der neue Artikel 24 Absatz 5bis nDSG in Kraft tritt, kann Artikel 41 Absatz 1 Art. wieder aufgehoben werden. Artikel 41 Absatz 2 Art. hält fest, dass sich der EDÖB und der NCSC in überschneidenden Tätigkeitsbereichen koordinieren. Die Norm entspricht im Grundsatz Artikel 20 Absatz 3 zweiter Satz VDSG. Der EDÖB wird dazu verpflichtet, das NCSC zur Stellungnahme einzuladen, bevor er anordnet, dass das Bundesorgan die Vorkehren nach Artikel 8 nDSG trifft. Die rechtliche Grundlage für eine solche Anordnung ist 51 Absatz 3 Buchstabe b nDSG. Ziel ist es insbesondere, dass der EDÖB und das NCSC in demselben Bereich nicht unterschiedliche Vorgaben an die Bundesorgane stellen. Die Unabhängigkeit des EDÖB bleibt allerdings gewährleistet, da er einzig dazu verpflichtet wird, die Stellungnahme einzuholen, nicht aber auch diese zu berücksichtigen.
Art. 42 Register der Bearbeitungstätigkeiten der Bundesorgane
1 Das Register der Bearbeitungstätigkeiten der Bundesorgane enthält die von den Bundesorganen gemachten Angaben nach Artikel 12 Absatz 2 DSG sowie nach Artikel 31 Absatz 2 dieser Verordnung
2 Es ist im Internet zu veröffentlichen. Nicht veröffentlicht werden die Registereinträge über geplante automatisierte Bearbeitungstätigkeiten nach Artikel 31
Erläuternder Bericht
Aufgrund von Artikel 12 Absatz 4 nDSG müssen die Bundesorgane ihre Verzeichnisse der Bearbeitungstätigkeiten dem EDÖB melden. Von diesem wiederum wird in Artikel 56 nDSG verlangt, dass er ein Register der Bearbeitungstätigkeiten der Bundesorgane führt und dieses veröffentlicht. In Artikel 42 Absatz 1 Art. wird präzisiert, was das Register des EDÖB enthalten muss, nämlich die Angaben, die die Bundesorgane gemäss Artikel 12 Absatz 2 nDSG machen müssen. Zusätzlich enthält das Register auch die Angaben zu den geplanten automatisierten Bearbeitungstätigkeiten der Bundesorgane gemäss Artikel 31 Absatz 2 Art.. Der zweite Absatz präzisiert, dass das Register des EDÖB im Internet zu veröffentlichen ist. Nicht veröffentlicht werden dabei die Registereinträge über die geplanten automatisierten Bearbeitungstätigkeiten der Bundesorgane gemäss Artikel 31 Art., da diese im Zeitpunkt ihrer Anmeldung als noch nicht definitiv angesehen werden können beziehungsweise noch Änderungen unterliegen könnten.
Art. 43 Verhaltenskodizes
Wird dem EDÖB ein Verhaltenskodex vorgelegt, so teilt dieser in seiner Stellungnahme mit, ob der Verhaltenskodex die Voraussetzungen nach Artikel 22 Absatz 5 Buchstaben a und b DSG erfüllt.
Erläuternder Bericht
Aufgrund von Artikel 22 Absatz 5 nDSG kann der private Verantwortliche von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er nach Artikel 13 nDSG zertifiziert ist oder, wenn er einen Verhaltenskodex nach Artikel 11 nDSG einhält, der bestimmte Voraussetzungen erfüllt. Wird ein Verhaltenskodex dem EDÖB vorgelegt, gibt dieser in seiner Stellungnahme an, ob nach seiner Einschätzung die Voraussetzungen erfüllt sind, um von der Erstellung einer Datenschutz-Folgenabschätzung abzusehen. Mit dieser Bestimmung wird präzisiert, dass ein Verantwortlicher, der auf eine Datenschutz-Folgenabschätzung verzichten will, dem EDÖB seinen Verhaltenskodex vorlegen muss und dieser die Möglichkeit haben muss, den Kodex zu beurteilen. Es geht nicht um eine Genehmigung, aber wenn ein Verantwortlicher, entgegen der Stellungnahme des EDÖB, von der Ausnahme nach Artikel 22 Absatz 5 Buchstaben a – c Gebrauch machen will, kann der EDÖB aufgrund von Artikel 51 Absatz 3 Buchstabe d nDSG anordnen, dass der Verantwortliche eine Datenschutz-Folgenabschätzung vornimmt.
Art. 44 Gebühren
1 Die vom EDÖB in Rechnung gestellten Gebühren bemessen sich nach dem Zeitaufwand
2 Es gilt ein Stundenansatz von 150 bis 250 Franken, je nach Funktion des ausführenden Personals
3 Bei Dienstleistungen von aussergewöhnlichem Umfang, besonderer Schwierigkeit oder Dringlichkeit können Zuschläge bis zu 50 Prozent der Gebühr nach Absatz 2 erhoben werden
4 Kann die Dienstleistung des EDÖB von der gebührenpflichtigen Person zu kommerziellen Zwecken weiterverwendet werden, so können Zuschläge bis zu 100 Prozent der Gebühr nach Absatz 2 erhoben werden
5 Im Übrigen gilt die Allgemeine Gebührenverordnung vom 8. September 2004
Erläuternder Bericht
Aufgrund von Artikel 59 Absatz 1 nDSG muss der EDÖB für bestimmte Dienstleistungen, die er für private Personen erbringt, Gebühren erheben. Dazu gehören die Stellungnahme zu einem Verhaltenskodex (Bst. a), die Genehmigung von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften (Bst. b), die Prüfung der Datenschutz-Folgenabschätzung (Bst. c), vorsorgliche Massnahmen und Massnahmen nach Artikel 51 nDSG (Bst. d) sowie Beratungen in Fragen des Datenschutzes (Bst. e). Mit Artikel 59 Absatz 2 nDSG wird der Bundesrat beauftragt, die Höhe der Gebühren festzulegen. Artikel 44 Absatz 1 Art. (ehem. Art. 44 Abs. 1 E‑VDSG) hält den Grundsatz fest, dass die Gebühren sich nach dem Zeitaufwand bemessen. Gemäss Absatz 2 gilt ein Stundenansatz von 150 – 250 Franken je nach Funktion des ausführenden Personals. Der Betrag richtet sich nach dem Stundenansatz des Personals der erforderlichen Funktion, um die Dienstleistung erbringen zu können. Der EDÖB berechnet die Gebühren demnach ausgehend von den aufgewendeten Stunden des ausführenden Personals. Hierbei sind jegliche Personen miteinzubeziehen, die zur Erbringung der Dienstleistung einen Beitrag geleistet haben. Gemäss Absatz 3 hat der EDÖB die Möglichkeit bei einer Dienstleistung von aussergewöhnlichem Umfang, besonderer Schwierigkeit oder Dringlichkeit Zuschläge von bis zu 50 Prozent der Gebühr gemäss Absatz 2 zu erheben. Die Regelung präzisiert die allgemeine Vorgabe von Artikel 5 Absatz 3 der Allgemeinen Gebührenverordnung vom 8. September 2004 (AllgGebV). Im Fall, dass die Dienstleistung des EDÖB durch die gebührenpflichtige Person zu kommerziellen Zwecken weiterverwendet werden kann, kann der EDÖB gemäss Absatz 4 Zuschläge bis zu 100 Prozent der Gebühr nach Absatz 2 erheben. Wenn der EDÖB beispielsweise ein Tool beurteilt, dass von der gesuchstellenden Person als datenschutzkonforme Anwendung weiterverkauft werden kann, soll der EDÖB die Möglichkeit haben, die Gebühr zu erhöhen, so dass sie ungefähr dem Stundenlohn eines spezialisierten Anwalts entspricht. Massgeblich ist dabei, ob die Dienstleistung geeignet ist, zu kommerziellen Zwecken weiterverwendet zu werden, unabhängig davon, ob dies tatsächlich geschieht. Die Regelung gemäss Absatz 4 betrifft insbesondere den Fall der Beratung im Sinne von Artikel 59 Absatz 1 Buchstabe e nDSG. Gleichwohl ist auch denkbar, dass der EDÖB Standarddatenschutzklauseln oder Verhaltenskodizes beurteilt, die zu kommerziellen weiterverwendet werden können, z. B. weil sie als Prototyp für weitere Standarddatenschutzklauseln oder Verhaltenskodizes herangezogen werden können. In Absatz 5 wird im Übrigen die AllgGebV für anwendbar erklärt. Die AllgGebV ihrerseits regelt insbesondere die Grundsätze der Gebührenerhebung, die Ausnahmen von der Gebührenpflicht sowie das Inkassoverfahren.
7. Kapitel: Schlussbestimmungen
Art. 45 Aufhebung und Änderung anderer Erlasse
Die Aufhebung und die Änderung anderer Erlasse werden in Anhang 2 geregelt.
Erläuternder Bericht
Da die Bestimmungen zur Aufhebung und zur Änderung anderer Erlasse zusammen mehr als eine Druckseite umfassen, werden sie in einem Anhang aufgeführt. Die Aufhebung und Änderung anderer Erlasse wird unter Ziffer 7 kommentiert.
Art. 46 Übergangsbestimmungen
1 Für Datenbearbeitungen, die nicht in den Anwendungsbereich der Richtlinie (EU) 2016/680 fallen, gilt Artikel 4 Absatz 2 spätestens drei Jahre nach Inkrafttreten dieser Verordnung oder spätestens nach Ende des Lebenszyklus des Systems. In der Zwischenzeit unterliegen diese Bearbeitungen Artikel 4 Absatz 1
2 Artikel 8 Absatz 5 gilt nicht für Beurteilungen, die vor dem Inkrafttreten dieser Verordnung durchgeführt wurden
3 Artikel 31 gilt nicht für geplante automatisierte Bearbeitungstätigkeiten, bei welchen im Zeitpunkt des Inkrafttretens dieser Verordnung die Projektfreigabe oder der Entscheid zur Projektentwicklung bereits erfolgt ist
Erläuternder Bericht
Artikel 4 Absatz 2 verpflichtet die verantwortlichen Bundesorgane und ihre Auftragsbearbeiter dazu, die automatisierte Bearbeitung von Personendaten zu protokollieren. Für Datenbearbeitungen, die in den Anwendungsbereich der Richtlinie (EU) 2016/680 fallen, gilt die Pflicht zur Protokollierung aufgrund der Vorgabe von Artikel 25 der genannten Richtlinie seit dem Inkrafttreten des Schengen-Datenschutzgesetzes. Verschiedene Bundesorgane haben im Zusammenhang mit der Umsetzung von Artikel 4 Absatz 2 Art. auf einen Mehraufwand hingewiesen. Um diesem Mehraufwand Rechnung zu tragen, wird in Artikel 46 Absatz 1 für die restlichen Datenbearbeitungen eine Übergangsfrist von drei Jahren ab Inkrafttreten der Verordnung oder spätestens nach Ende des Lebenszyklus des Systems vorgesehen. In dieser Zeit gilt für diese Datenbearbeitungen Artikel 4 Absatz 1 der Verordnung. In Artikel 8 Absatz 5 Art. wird die Pflicht zur Veröffentlichung von Beurteilungen eingeführt. Artikel 46 Absatz 2 legt fest, dass die Beurteilungen, die vor dem Inkrafttreten der Verordnung durchgeführt wurden, nicht veröffentlicht werden. Gemäss Artikel 31 Art. müssen Bundesorgane dem EDÖB neu ihre geplanten automatisierten Bearbeitungstätigkeiten melden und zwar im Zeitpunkt der Projektfreigabe oder des Entscheids zur Projektentwicklung. In Absatz 3 wird daher übergangsrechtlich festgelegt, dass Artikel 31 Art. nicht anwendbar ist auf geplante automatisierte Bearbeitungstätigkeiten, bei denen im Zeitpunkt des Inkrafttretens der Verordnung die Projektfreigabe oder der Entscheid zur Projektentwicklung bereits erfolgt ist.
Art. 47 Inkrafttreten
Diese Verordnung tritt am 1. September 2023 in Kraft.
Anhänge
Anhang 1 (Art. 8 Abs. 1)
19.
1 Deutschland*
2 Andorra***
3 Argentinien***
4 Österreich*
5 Belgien*
6 Bulgarien***
7 Kanada*** Ein angemessener Datenschutz gilt als gewährleistet, wenn das kanadische Bundesgesetz „Loi sur la protection des renseignements personnels et les documents électroniques“ vom 13. April 2000 im privaten Bereich oder das Gesetz einer kanadischen Provinz, das diesem Bundesgesetz weitgehend entspricht, zur Anwendung gelangt. Das Bundesgesetz gilt für Personendaten, die im Rahmen kommerzieller Tätigkeiten beschafft, bearbeitet oder bekanntgegeben werden, unabhängig davon, ob es sich um Organisationen wie Vereine, Personengesellschaften, Einzelpersonen oder Gewerkschaften oder bundesrechtlich geregelte Unternehmen wie Anlagen, Werke, Unternehmen oder Geschäftstätigkeiten, die in die Gesetzgebungskompetenz des kanadischen Parlaments fallen, handelt. Die Provinzen Québec, British Columbia und Alberta haben ein Gesetz erlassen, das dem Bundesgesetz weitgehend entspricht; die Provinzen Ontario, New Brunswick, Neufundland und Labrador und Neuschottland haben ein Gesetz erlassen, das im Bereich der Gesundheitsdaten diesem Gesetz weitgehend entspricht. In allen kanadischen Provinzen gilt das Bundesgesetz für alle Personendaten, die von bundesrechtlich geregelten Unternehmen beschafft, bearbeitet oder bekanntgegeben werden, einschliesslich der Daten über Angestellte dieser Unternehmen. Das Bundesgesetz gilt auch für Personendaten, die im Rahmen kommerzieller Tätigkeiten in eine andere Provinz oder in ein anderes Land übermittelt werden
8 Zypern***
9 Kroatien***
10 Dänemark*
11 Spanien*
12 Estland*
13 Finnland*
14 Frankreich*
15 Gibraltar***
16 Griechenland*
17 Guernsey***
18 Ungarn*
19 Isle of Man***
20 Färöer***
21 Irland***
22 Island*
23 Israel***
24 Italien*
25 Jersey***
26 Lettland*
27 Liechtenstein*
28 Litauen*
29 Luxemburg*
30 Malta*
31 Monaco***
32 Norwegen*
33 Neuseeland***
34 Niederlande*
35 Polen*
36 Portugal*
37 Tschechien*
38 Rumänien***
39 Vereinigtes Königreich**
40 Slowakei*
41 Slowenien*
42 Schweden*
43 Uruguay***
Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe von Personendaten nach der Richtlinie (EU) 2016/680 mit ein. * Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe von Personendaten gemäss einem Durchführungsbeschluss der Europäischen Kommission, mit welchem die Angemessenheit des Datenschutzes nach der Richtlinie (EU) 2016/680 festgestellt wird, mit ein. ** Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe von Personendaten im Rahmen der von der Richtlinie (EU) 2016/680 vorgesehenen Zusammenarbeit nicht mit ein.
Erläuternder Bericht
Aufgrund von Artikel 16 Absatz 1 nDSG ist der Bundesrat dafür zuständig und hat die Aufgabe zu beurteilen, welcher Staat (oder welches Gebiet oder welcher spezifischer Sektor eines Staates) und welches internationales Organ ein angemessenes Schutzniveau für die Bekanntgabe von Personendaten ins Ausland gewährleistet. Eine Liste der Staaten wird im Anhang der Verordnung veröffentlicht. Ziel dieser Liste ist es, einen einheitlichen Raum in Sachen Datenschutz zu schaffen. Die Liste wird regelmässig überprüft werden, um einerseits die Praxis anderer Staaten und andererseits die Entwicklungen auf internationaler Ebene, insbesondere die Ratifizierungen des revidierten Übereinkommens SEV 108, zu berücksichtigen. Die Liste ist folglich nicht endgültig und könnte vor dem Inkrafttreten der Verordnung noch geändert werden. Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe von Daten zu Strafverfolgungszwecken nur dann ein, wenn dies im Anhang angegeben ist. So bedeutet die Angabe eines Sternchens , dass die Beurteilung der Angemessenheit des Datenschutzes die Bekanntgabe von Personendaten entsprechend der Richtlinie (EU) 2016/680 mit einschliesst, während zwei Sternchen bedeuten, dass die Bekanntgabe von Personendaten gemäss einem Durchführungsbeschluss der Europäischen Kommission, mit welchem die Angemessenheit des Datenschutzes entsprechend der Richtlinie (EU) 2016/680 festgestellt wird, mit eingeschlossen ist (das trifft zurzeit auf das Vereinigte Königreich zu). Drei Sternchen schliesslich bedeuten, dass die Beurteilung der Angemessenheit des Datenschutzes die Bekanntgabe von Personendaten im Rahmen der von der Richtlinie (EU) 2016/680 vorgesehenen Zusammenarbeit nicht miteinschliesst. 18. Staaten, Gebiete, spezifische Sektoren in einem Staat und internationale Organe mit einem angemessenen Datenschutz