revDSG (revi­dier­te Fas­sung ohne Bot­schaft)

Stand am 30.09.20.

  • Text des revDSG gemäss Schluss­ab­stim­mung; ein­zel­ne Her­vor­he­bun­gen hin­zu­ge­fügt
  • Tex­te auto­ma­ti­siert kon­ver­tiert – wir dan­ken für Hin­wei­se auf Feh­ler
  • Eine Fas­sung mit Aus­zü­gen der Bot­schaft fin­det sich hier.

aus­klap­pen | ein­klap­pen

1. Kapi­tel: Zweck und Gel­tungs­be­reich sowie Auf­sichts­be­hör­de des Bun­des

Art. 1 Zweck

Die­ses Gesetz bezweckt den Schutz der Per­sön­lich­keit und der Grund­rech­te von natür­li­chen Per­so­nen, über die Per­so­nen­da­ten bear­bei­tet wer­den.

Art. 2 Per­sön­li­cher und sach­li­cher Gel­tungs­be­reich

1 Die­ses Gesetz gilt für die Bear­bei­tung von Per­so­nen­da­ten natür­li­cher Per­so­nen durch:

a. pri­va­te Per­so­nen;
b. Bun­des­or­ga­ne.

2 Es ist nicht anwend­bar auf:

a. Per­so­nen­da­ten, die von einer natür­li­chen Per­son aus­schliess­lich zum per­sön­li­chen Gebrauch bear­bei­tet wer­den;
b. Per­so­nen­da­ten, die von den eid­ge­nös­si­schen Räten und den par­la­men­ta­ri­schen Kom­mis­sio­nen im Rah­men ihrer Bera­tun­gen bear­bei­tet wer­den;
c. Per­so­nen­da­ten, die bear­bei­tet wer­den durch insti­tu­tio­nel­le Begün­stig­te nach Arti­kel 2 Absatz 1 des Gast­staat­ge­set­zes vom 22. Juni 2007, die in der Schweiz Immu­ni­tät von der Gerichts­bar­keit genie­ssen.

3 Das anwend­ba­re Ver­fah­rens­recht regelt die Bear­bei­tung von Per­so­nen­da­ten und die Rech­te der betrof­fe­nen Per­so­nen in Gerichts­ver­fah­ren und in Ver­fah­ren nach bun­des­recht­li­chen Ver­fah­rens­ord­nun­gen. Auf erst­in­stanz­li­che Ver­wal­tungs­ver­fah­ren sind die Bestim­mun­gen die­ses Geset­zes anwend­bar.

4 Die öffent­li­chen Regi­ster des Pri­vat­rechts­ver­kehrs, ins­be­son­de­re der Zugang zu die­sen Regi­stern und die Rech­te der betrof­fe­nen Per­so­nen, wer­den durch die Spe­zi­al­be­stim­mun­gen des anwend­ba­ren Bun­des­rechts gere­gelt. Ent­hal­ten die Spe­zi­al­be­stim­mun­gen kei­ne Rege­lung, so ist die­ses Gesetz anwend­bar.

Art. 3 Räum­li­cher Gel­tungs­be­reich

1 Die­ses Gesetz gilt für Sach­ver­hal­te, die sich in der Schweiz aus­wir­ken, auch wenn sie im Aus­land ver­an­lasst wer­den.

2 Für pri­vat­recht­li­che Ansprü­che gilt das Bun­des­ge­setz vom 18. Dezem­ber 1987 über das Inter­na­tio­na­le Pri­vat­recht. Vor­be­hal­ten blei­ben zudem die Bestim­mun­gen zum räum­li­chen Gel­tungs­be­reich des Straf­ge­setz­buchs.

Art. 4 Eid­ge­nös­si­scher Daten­schutz- und Öffent­lich­keits­be­auf­trag­ter

1 Der Eid­ge­nös­si­sche Daten­schutz- und Öffent­lich­keits­be­auf­trag­te (EDÖB) beauf­sich­tigt die Anwen­dung der bun­des­recht­li­chen Daten­schutz­vor­schrif­ten.

2 Von der Auf­sicht durch den EDÖB sind aus­ge­nom­men:

a. die Bun­des­ver­samm­lung;
b. der Bun­des­rat;
c. die eid­ge­nös­si­schen Gerich­te;
d. die Bun­des­an­walt­schaft: betref­fend die Bear­bei­tung von Per­so­nen­da­ten im Rah­men von Straf­ver­fah­ren;
e. Bun­des­be­hör­den: betref­fend die Bear­bei­tung von Per­so­nen­da­ten im Rah­men einer recht­spre­chen­den Tätig­keit oder von Ver­fah­ren der inter­na­tio­na­len Rechts­hil­fe in Straf­sa­chen.

2. Kapi­tel: All­ge­mei­ne Bestim­mun­gen

1. Abschnitt: Begrif­fe und Grund­sät­ze

Art. 5 Begrif­fe

In die­sem Gesetz bedeu­ten:

a. Per­so­nen­da­ten: alle Anga­ben, die sich auf eine bestimm­te oder bestimm­ba­re natür­li­che Per­son bezie­hen;
b. betrof­fe­ne Per­son: natür­li­che Per­son, über die Per­so­nen­da­ten bear­bei­tet wer­den;
c. beson­ders schüt­zens­wer­te Per­so­nen­da­ten:
1. Daten über reli­giö­se, welt­an­schau­li­che, poli­ti­sche oder gewerk­schaft­li­che Ansich­ten oder Tätig­kei­ten,
2. Daten über die Gesund­heit, die Intim­sphä­re oder die Zuge­hö­rig­keit zu einer Ras­se oder Eth­nie,
3. gene­ti­sche Daten,
4. bio­me­tri­sche Daten, die eine natür­li­che Per­son ein­deu­tig iden­ti­fi­zie­ren,
5. Daten über ver­wal­tungs- und straf­recht­li­che Ver­fol­gun­gen oder Sank­tio­nen,
6. Daten über Mass­nah­men der sozia­len Hil­fe.
d. Bear­bei­ten: jeder Umgang mit Per­so­nen­da­ten, unab­hän­gig von den ange­wand­ten Mit­teln und Ver­fah­ren, ins­be­son­de­re das Beschaf­fen, Spei­chern, Auf­be­wah­ren, Ver­wen­den, Ver­än­dern, Bekannt­ge­ben, Archi­vie­ren, Löschen oder Ver­nich­ten von Daten;
e. Bekannt­ge­ben: das Über­mit­teln oder Zugäng­lich­ma­chen von Per­so­nen­da­ten;
f. Pro­filing: jede Art der auto­ma­ti­sier­ten Bear­bei­tung von Per­so­nen­da­ten, die dar­in besteht, dass die­se Daten ver­wen­det wer­den, um bestimm­te per­sön­li­che Aspek­te, die sich auf eine natür­li­che Per­son bezie­hen, zu bewer­ten, ins­be­son­de­re um Aspek­te bezüg­lich Arbeits­lei­stung, wirt­schaft­li­cher Lage, Gesund­heit, per­sön­li­cher Vor­lie­ben, Inter­es­sen, Zuver­läs­sig­keit, Ver­hal­ten, Auf­ent­halts­ort oder Orts­wech­sel die­ser natür­li­chen Per­son zu ana­ly­sie­ren oder vor­her­zu­sa­gen;
g. Pro­filing mit hohem Risi­ko: Pro­filing, das ein hohes Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son mit sich bringt, indem es zu einer Ver­knüp­fung von Daten führt, die eine Beur­tei­lung wesent­li­cher Aspek­te der Per­sön­lich­keit einer natür­li­chen Per­son erlaubt;
h. Ver­let­zung der Daten­si­cher­heit: eine Ver­let­zung der Sicher­heit, die dazu führt, dass Per­so­nen­da­ten unbe­ab­sich­tigt oder wider­recht­lich ver­lo­ren­ge­hen, gelöscht, ver­nich­tet oder ver­än­dert wer­den oder Unbe­fug­ten offen­ge­legt oder zugäng­lich gemacht wer­den;
i. Bun­des­or­gan: Behör­de oder Dienst­stel­le des Bun­des oder Per­son, die mit öffent­li­chen Auf­ga­ben des Bun­des betraut ist;
j. Ver­ant­wort­li­cher: pri­va­te Per­son oder Bun­des­or­gan, die oder das allein oder zusam­men mit ande­ren über den Zweck und die Mit­tel der Bear­bei­tung ent­schei­det;
k. Auf­trags­be­ar­bei­ter: pri­va­te Per­son oder Bun­des­or­gan, die oder das im Auf­trag des Ver­ant­wort­li­chen Per­so­nen­da­ten bear­bei­tet.

Art. 6 Grund­sät­ze

1 Per­so­nen­da­ten müs­sen recht­mä­ssig bear­bei­tet wer­den.

2 Die Bear­bei­tung muss nach Treu und Glau­ben erfol­gen und ver­hält­nis­mä­ssig sein.

3 Per­so­nen­da­ten dür­fen nur zu einem bestimm­ten und für die betrof­fe­ne Per­son erkenn­ba­ren Zweck beschafft wer­den; sie dür­fen nur so bear­bei­tet wer­den, dass es mit die­sem Zweck ver­ein­bar ist.

4 Sie wer­den ver­nich­tet oder anony­mi­siert, sobald sie zum Zweck der Bear­bei­tung nicht mehr erfor­der­lich sind.

5 Wer Per­so­nen­da­ten bear­bei­tet, muss sich über deren Rich­tig­keit ver­ge­wis­sern. Sie oder er muss alle ange­mes­se­nen Mass­nah­men tref­fen, damit die Daten berich­tigt, gelöscht oder ver­nich­tet wer­den, die im Hin­blick auf den Zweck ihrer Beschaf­fung oder Bear­bei­tung unrich­tig oder unvoll­stän­dig sind. Die Ange­mes­sen­heit der Mass­nah­men hängt nament­lich ab von der Art und dem Umfang der Bear­bei­tung sowie vom Risi­ko, das die Bear­bei­tung für die Per­sön­lich­keit und Grund­rech­te der betrof­fe­nen Per­so­nen mit sich bringt.

6 Ist die Ein­wil­li­gung der betrof­fe­nen Per­son erfor­der­lich, so ist die­se Ein­wil­li­gung nur gül­tig, wenn sie für eine oder meh­re­re bestimm­te Bear­bei­tun­gen nach ange­mes­se­ner Infor­ma­ti­on frei­wil­lig erteilt wird.

7 Die Ein­wil­li­gung muss aus­drück­lich erfol­gen für:

a. die Bear­bei­tung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten;
b. ein Pro­filing mit hohem Risi­ko durch eine pri­va­te Per­son; oder
c. ein Pro­filing durch ein Bun­des­or­gan.

Art. 7 Daten­schutz durch Tech­nik und daten­schutz­freund­li­che Vor­ein­stel­lun­gen

1 Der Ver­ant­wort­li­che ist ver­pflich­tet, die Daten­be­ar­bei­tung tech­nisch und orga­ni­sa­to­risch so aus­zu­ge­stal­ten, dass die Daten­schutz­vor­schrif­ten ein­ge­hal­ten wer­den, ins­be­son­de­re die Grund­sät­ze nach Arti­kel 6. Er berück­sich­tigt dies ab der Pla­nung.

2 Die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men müs­sen ins­be­son­de­re dem Stand der Tech­nik, der Art und dem Umfang der Daten­be­ar­bei­tung sowie dem Risi­ko, das die Bear­bei­tung für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­so­nen mit sich bringt, ange­mes­sen sein.

3 Der Ver­ant­wort­li­che ist ver­pflich­tet, mit­tels geeig­ne­ter Vor­ein­stel­lun­gen sicher­zu­stel­len, dass die Bear­bei­tung der Per­so­nen­da­ten auf das für den Ver­wen­dungs­zweck nöti­ge Min­dest­mass beschränkt ist, soweit die betrof­fe­ne Per­son nicht etwas ande­res bestimmt.

Art. 8 Daten­si­cher­heit

1 Der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter gewähr­lei­sten durch geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men eine dem Risi­ko ange­mes­se­ne Daten­si­cher­heit.

2 Die Mass­nah­men müs­sen es ermög­li­chen, Ver­let­zun­gen der Daten­si­cher­heit zu ver­mei­den.

3 Der Bun­des­rat erlässt Bestim­mun­gen über die Min­dest­an­for­de­run­gen an die Daten­si­cher­heit.

Art. 9 Bear­bei­tung durch Auf­trags­be­ar­bei­ter

1 Die Bear­bei­tung von Per­so­nen­da­ten kann ver­trag­lich oder durch die Gesetz­ge­bung einem Auf­trags­be­ar­bei­ter über­tra­gen wer­den, wenn:

a. die Daten so bear­bei­tet wer­den, wie der Ver­ant­wort­li­che selbst es tun dürf­te; und
b. kei­ne gesetz­li­che oder ver­trag­li­che Geheim­hal­tungs­pflicht die Über­tra­gung ver­bie­tet.

2 Der Ver­ant­wort­li­che muss sich ins­be­son­de­re ver­ge­wis­sern, dass der Auf­trags­be­ar­bei­ter in der Lage ist, die Daten­si­cher­heit zu gewähr­lei­sten.

3 Der Auf­trags­be­ar­bei­ter darf die Bear­bei­tung nur mit vor­gän­gi­ger Geneh­mi­gung des Ver­ant­wort­li­chen einem Drit­ten über­tra­gen.

4 Er kann die­sel­ben Recht­fer­ti­gungs­grün­de gel­tend machen wie der Ver­ant­wort­li­che.

Art. 10 Daten­schutz­be­ra­te­rin oder ‑bera­ter

1 Pri­va­te Ver­ant­wort­li­che kön­nen eine Daten­schutz­be­ra­te­rin oder einen Daten­schutz­be­ra­ter ernen­nen.

2 Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter ist Anlauf­stel­le für die betrof­fe­nen Per­so­nen und für die Behör­den, die in der Schweiz für den Daten­schutz zustän­dig sind. Sie oder er hat nament­lich fol­gen­de Auf­ga­ben:

a. Schu­lung und Bera­tung des pri­va­ten Ver­ant­wort­li­chen in Fra­gen des Daten­schut­zes;
b. Mit­wir­kung bei der Anwen­dung der Daten­schutz­vor­schrif­ten.

3 Pri­va­te Ver­ant­wort­li­che kön­nen von der Aus­nah­me nach Arti­kel 23 Absatz 4 Gebrauch machen, wenn die fol­gen­den Vor­aus­set­zun­gen erfüllt sind:

a. Die Daten­schutz­be­ra­te­rin oder der Daten­schutz­be­ra­ter übt ihre oder sei­ne Funk­ti­on gegen­über dem Ver­ant­wort­li­chen fach­lich unab­hän­gig und wei­sungs­un­ge­bun­den aus.
b. Sie oder er übt kei­ne Tätig­kei­ten aus, die mit ihren oder sei­nen Auf­ga­ben als Daten­schutz­be­ra­te­rin oder ‑bera­ter unver­ein­bar sind.
c. Sie oder er ver­fügt über die erfor­der­li­chen Fach­kennt­nis­se.
d. Der Ver­ant­wort­li­che ver­öf­fent­licht die Kon­takt­da­ten der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters und teilt die­se dem EDÖB mit.

4 Der Bun­des­rat regelt die Ernen­nung von Daten­schutz­be­ra­te­rin­nen und Daten­schutz­be­ra­tern durch die Bun­des­or­ga­ne.

Art. 11 Ver­hal­tens­ko­di­zes

1 Berufs‑, Bran­chen- und Wirt­schafts­ver­bän­de, die nach ihren Sta­tu­ten zur Wah­rung der wirt­schaft­li­chen Inter­es­sen ihrer Mit­glie­der befugt sind, sowie Bun­des­or­ga­ne kön­nen dem EDÖB Ver­hal­tens­ko­di­zes vor­le­gen.

2 Die­ser nimmt zu den Ver­hal­tens­ko­di­zes Stel­lung und ver­öf­fent­licht sei­ne Stel­lung­nah­men.

Art. 12 Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten

1 Die Ver­ant­wort­li­chen und Auf­trags­be­ar­bei­ter füh­ren je ein Ver­zeich­nis ihrer Bear­bei­tungs­tä­tig­kei­ten.

2 Das Ver­zeich­nis des Ver­ant­wort­li­chen ent­hält min­de­stens:

a. die Iden­ti­tät des Ver­ant­wort­li­chen;
b. den Bear­bei­tungs­zweck;
c. eine Beschrei­bung der Kate­go­rien betrof­fe­ner Per­so­nen und der Kate­go­rien bear­bei­te­ter Per­so­nen­da­ten;
d. die Kate­go­rien der Emp­fän­ge­rin­nen und Emp­fän­ger;
e. wenn mög­lich die Auf­be­wah­rungs­dau­er der Per­so­nen­da­ten oder die Kri­te­ri­en zur Fest­le­gung die­ser Dau­er;
f. wenn mög­lich eine all­ge­mei­ne Beschrei­bung der Mass­nah­men zur Gewähr­lei­stung der Daten­si­cher­heit nach Arti­kel 8;
g. falls die Daten ins Aus­land bekannt­ge­ge­ben wer­den, die Anga­be des Staa­tes sowie die Garan­tien nach Arti­kel 16 Absatz 2.

3 Das Ver­zeich­nis des Auf­trags­be­ar­bei­ters ent­hält Anga­ben zur Iden­ti­tät des Auf­trags­be­ar­bei­ters und des Ver­ant­wort­li­chen, zu den Kate­go­rien von Bear­bei­tun­gen, die im Auf­trag des Ver­ant­wort­li­chen durch­ge­führt wer­den, sowie die Anga­ben nach Absatz 2 Buch­sta­ben f und g.

4 Die Bun­des­or­ga­ne mel­den ihre Ver­zeich­nis­se dem EDÖB.

5 Der Bun­des­rat sieht Aus­nah­men für Unter­neh­men vor, die weni­ger als 250 Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter beschäf­ti­gen und deren Daten­be­ar­bei­tung ein gerin­ges Risi­ko von Ver­let­zun­gen der Per­sön­lich­keit der betrof­fe­nen Per­so­nen mit sich bringt.

Art. 13 Zer­ti­fi­zie­rung

1 Die Her­stel­ler von Daten­be­ar­bei­tungs­sy­ste­men oder pro­gram­men sowie die Ver­ant­wort­li­chen und Auf­trags­be­ar­bei­ter kön­nen ihre Syste­me, Pro­duk­te und Dienst­lei­stun­gen einer Bewer­tung durch aner­kann­te unab­hän­gi­ge Zer­ti­fi­zie­rungs­stel­len unter­zie­hen.
2 Der Bun­des­rat erlässt Vor­schrif­ten über die Aner­ken­nung von Zer­ti­fi­zie­rungs­ver­fah­ren und die Ein­füh­rung eines Daten­schutz-Qua­li­täts­zei­chens. Er berück­sich­tigt dabei das inter­na­tio­na­le Recht und die inter­na­tio­nal aner­kann­ten tech­ni­schen Nor­men.

2. Abschnitt: Daten­be­ar­bei­tung durch pri­va­te Ver­ant­wort­li­che mit Sitz oder Wohn­sitz im Aus­land

Art. 14 Ver­tre­tung

1 Pri­va­te Ver­ant­wort­li­che mit Sitz oder Wohn­sitz im Aus­land bezeich­nen eine Ver­tre­tung in der Schweiz, wenn sie Per­so­nen­da­ten von Per­so­nen in der Schweiz bear­bei­ten und die Daten­be­ar­bei­tung die fol­gen­den Vor­aus­set­zun­gen erfüllt:

a. Die Bear­bei­tung steht im Zusam­men­hang mit dem Ange­bot von Waren und Dienst­lei­stun­gen oder der Beob­ach­tung des Ver­hal­tens von Per­so­nen in der Schweiz.
b. Es han­delt sich um eine umfang­rei­che Bear­bei­tung.
c. Es han­delt sich um eine regel­mä­ssi­ge Bear­bei­tung.
d. Die Bear­bei­tung bringt ein hohes Risi­ko für die Per­sön­lich­keit der betrof­fe­nen Per­so­nen mit sich.

2 Die Ver­tre­tung dient als Anlauf­stel­le für die betrof­fe­nen Per­so­nen und den EDÖB.

3 Der Ver­ant­wort­li­che ver­öf­fent­licht den Namen und die Adres­se der Ver­tre­tung.

Art. 15 Pflich­ten der Ver­tre­tung

1 Die Ver­tre­tung führt ein Ver­zeich­nis der Bear­bei­tungs­tä­tig­kei­ten des Ver­ant­wort­li­chen, das die Anga­ben nach Arti­kel 12 Absatz 2 ent­hält.

2 Auf Anfra­ge teilt sie dem EDÖB die im Ver­zeich­nis ent­hal­te­nen Anga­ben mit.

3 Auf Anfra­ge erteilt sie der betrof­fe­nen Per­son Aus­künf­te dar­über, wie sie ihre Rech­te aus­üben kann.

3. Abschnitt: Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land

Art. 16 Grund­sät­ze

1 Per­so­nen­da­ten dür­fen ins Aus­land bekannt­ge­ge­ben wer­den, wenn der Bun­des­rat fest­ge­stellt hat, dass die Gesetz­ge­bung des betref­fen­den Staa­tes oder das inter­na­tio­na­le Organ einen ange­mes­se­nen Schutz gewähr­lei­stet.

2 Liegt kein Ent­scheid des Bun­des­ra­tes nach Absatz 1 vor, so dür­fen Per­so­nen­da­ten ins Aus­land bekannt­ge­ge­ben wer­den, wenn ein geeig­ne­ter Daten­schutz gewähr­lei­stet wird durch:

a. einen völ­ker­recht­li­chen Ver­trag;
b. Daten­schutz­klau­seln in einem Ver­trag zwi­schen dem Ver­ant­wort­li­chen oder dem Auf­trags­be­ar­bei­ter und sei­ner Ver­trags­part­ne­rin oder sei­nem Ver­trags­part­ner, die dem EDÖB vor­gän­gig mit­ge­teilt wur­den;
c. spe­zi­fi­sche Garan­tien, die das zustän­di­ge Bun­des­or­gan erar­bei­tet und dem EDÖB vor­gän­gig mit­ge­teilt hat;
d. Stan­dard­da­ten­schutz­klau­seln, die der EDÖB vor­gän­gig geneh­migt, aus­ge­stellt oder aner­kannt hat; oder
e. ver­bind­li­che unter­neh­mens­in­ter­ne Daten­schutz­vor­schrif­ten, die vor­gän­gig vom EDÖB oder von einer für den Daten­schutz zustän­di­gen Behör­de eines Staa­tes, der einen ange­mes­se­nen Schutz gewähr­lei­stet, geneh­migt wur­den.

3 Der Bun­des­rat kann ande­re geeig­ne­te Garan­tien im Sin­ne von Absatz 2 vor­se­hen

Art. 17 Aus­nah­men

1 Abwei­chend von Arti­kel 16 Absät­ze 1 und 2 dür­fen in den fol­gen­den Fäl­len Per­so­nen­da­ten ins Aus­land bekannt­ge­ge­ben wer­den:

a. Die betrof­fe­ne Per­son hat aus­drück­lich in die Bekannt­ga­be ein­ge­wil­ligt;
b. Die Bekannt­ga­be steht in unmit­tel­ba­rem Zusam­men­hang mit dem Abschluss oder der Abwick­lung eines Ver­trags:
1. zwi­schen dem Ver­ant­wort­li­chen und der betrof­fe­nen Per­son, oder
2. zwi­schen dem Ver­ant­wort­li­chen und sei­ner Ver­trags­part­ne­rin oder sei­nem Ver­trags­part­ner im Inter­es­se der betrof­fe­nen Per­son.
c. Die Bekannt­ga­be ist not­wen­dig für:
1. die Wah­rung eines über­wie­gen­den öffent­li­chen Inter­es­ses, oder
2. die Fest­stel­lung, Aus­übung oder Durch­set­zung von Rechts­an­sprü­chen vor einem Gericht oder einer ande­ren zustän­di­gen aus­län­di­schen Behör­de.
d. Die Bekannt­ga­be ist not­wen­dig, um das Leben oder die kör­per­li­che Unver­sehrt­heit der betrof­fe­nen Per­son oder eines Drit­ten zu schüt­zen, und es ist nicht mög­lich, inner­halb einer ange­mes­se­nen Frist die Ein­wil­li­gung der betrof­fe­nen Per­son ein­zu­ho­len.
e. Die betrof­fe­ne Per­son hat die Daten all­ge­mein zugäng­lich gemacht und eine Bear­bei­tung nicht aus­drück­lich unter­sagt.
f. Die Daten stam­men aus einem gesetz­lich vor­ge­se­he­nen Regi­ster, das öffent­lich oder Per­so­nen mit einem schutz­wür­di­gen Inter­es­se zugäng­lich ist, soweit im Ein­zel­fall die gesetz­li­chen Vor­aus­set­zun­gen der Ein­sicht­nah­me erfüllt sind.

2 Der Ver­ant­wort­li­che oder der Auf­trags­be­ar­bei­ter infor­miert den EDÖB auf Anfra­ge über die Bekannt­ga­be von Per­so­nen­da­ten nach Absatz 1 Buch­sta­ben b Zif­fer 2, c und d.

Art. 18 Ver­öf­fent­li­chung von Per­so­nen­da­ten in elek­tro­ni­scher Form

Wer­den Per­so­nen­da­ten zur Infor­ma­ti­on der Öffent­lich­keit mit­tels auto­ma­ti­sier­ter Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­dien­ste all­ge­mein zugäng­lich gemacht, so gilt dies nicht als Bekannt­ga­be ins Aus­land, auch wenn die Daten vom Aus­land aus zugäng­lich sind.

3. Kapi­tel: Pflich­ten des Ver­ant­wort­li­chen und des Auf­trags­be­ar­bei­ters

Art. 19 Infor­ma­ti­ons­pflicht bei der Beschaf­fung von Per­so­nen­da­ten

1 Der Ver­ant­wort­li­che infor­miert die betrof­fe­ne Per­son ange­mes­sen über die Beschaf­fung von Per­so­nen­da­ten; die­se Infor­ma­ti­ons­pflicht gilt auch, wenn die Daten nicht bei der betrof­fe­nen Per­son beschafft wer­den.

2 Er teilt der betrof­fe­nen Per­son bei der Beschaf­fung die­je­ni­gen Infor­ma­tio­nen mit, die erfor­der­lich sind, damit sie ihre Rech­te nach die­sem Gesetz gel­tend machen kann und eine trans­pa­ren­te Daten­be­ar­bei­tung gewähr­lei­stet ist; er teilt ihr min­de­stens mit:

a. die Iden­ti­tät und die Kon­takt­da­ten des Ver­ant­wort­li­chen;
b. den Bear­bei­tungs­zweck;
c. gege­be­nen­falls die Emp­fän­ge­rin­nen und Emp­fän­ger oder die Kate­go­rien von Emp­fän­ge­rin­nen und Emp­fän­gern, denen Per­so­nen­da­ten bekannt­ge­ge­ben wer­den.

3 Wer­den die Daten nicht bei der betrof­fe­nen Per­son beschafft, so teilt er ihr zudem die Kate­go­rien der bear­bei­te­ten Per­so­nen­da­ten mit.

4 Wer­den die Per­so­nen­da­ten ins Aus­land bekannt­ge­ge­ben, so teilt er der betrof­fe­nen Per­son auch den Staat oder das inter­na­tio­na­le Organ und gege­be­nen­falls die Garan­tien nach Arti­kel 16 Absatz 2 oder die Anwen­dung einer Aus­nah­me nach Arti­kel 17 mit.

5 Wer­den die Daten nicht bei der betrof­fe­nen Per­son beschafft, so teilt er ihr die Infor­ma­tio­nen nach den Absät­zen 2 – 4 spä­te­stens einen Monat, nach­dem er die Daten erhal­ten hat, mit. Gibt der Ver­ant­wort­li­che die Per­so­nen­da­ten vor Ablauf die­ser Frist bekannt, so infor­miert er die betrof­fe­ne Per­son spä­te­stens im Zeit­punkt der Bekannt­ga­be.

Art. 20 Aus­nah­men von der Infor­ma­ti­ons­pflicht und Ein­schrän­kun­gen

1 Die Infor­ma­ti­ons­pflicht nach Arti­kel 19 ent­fällt, wenn eine der fol­gen­den Vor­aus­set­zun­gen erfüllt ist:

a. Die betrof­fe­ne Per­son ver­fügt bereits über die ent­spre­chen­den Infor­ma­tio­nen.
b. Die Bear­bei­tung ist gesetz­lich vor­ge­se­hen.
c. Es han­delt sich beim Ver­ant­wort­li­chen um eine pri­va­te Per­son, die gesetz­lich zur Geheim­hal­tung ver­pflich­tet ist.
d. Die Vor­aus­set­zun­gen nach Arti­kel 27 sind erfüllt.

2 Wer­den die Per­so­nen­da­ten nicht bei der betrof­fe­nen Per­son beschafft, so ent­fällt die Infor­ma­ti­ons­pflicht zudem, wenn eine der fol­gen­den Vor­aus­set­zun­gen erfüllt ist:

a. Die Infor­ma­ti­on ist nicht mög­lich.
b. Die Infor­ma­ti­on erfor­dert einen unver­hält­nis­mä­ssi­gen Auf­wand.

3 Der Ver­ant­wort­li­che kann die Mit­tei­lung der Infor­ma­tio­nen in den fol­gen­den Fäl­len ein­schrän­ken, auf­schie­ben oder dar­auf ver­zich­ten:

a. Über­wie­gen­de Inter­es­sen Drit­ter erfor­dern die Mass­nah­me.
b. Die Infor­ma­ti­on ver­ei­telt den Zweck der Bear­bei­tung.
c. Der Ver­ant­wort­li­che ist eine pri­va­te Per­son und die fol­gen­den Vor­aus­set­zun­gen sind erfüllt:
1. Über­wie­gen­de Inter­es­sen des Ver­ant­wort­li­chen erfor­dern die Mass­nah­me,
2. Der Ver­ant­wort­li­che gibt die Per­so­nen­da­ten nicht Drit­ten bekannt
d. Der Ver­ant­wort­li­che ist ein Bun­des­or­gan und eine der fol­gen­den Vor­aus­set­zun­gen ist erfüllt:
1. Die Mass­nah­me ist wegen über­wie­gen­der öffent­li­cher Inter­es­sen, ins­be­son­de­re der inne­ren oder der äusse­ren Sicher­heit der Schweiz, erfor­der­lich.
2. Die Mit­tei­lung der Infor­ma­ti­on kann eine Ermitt­lung, eine Unter­su­chung oder ein behörd­li­ches oder gericht­li­ches Ver­fah­ren gefähr­den.

4 Unter­neh­men, die zum sel­ben Kon­zern gehö­ren, gel­ten nicht als Drit­te im Sin­ne von Absatz 3 Buch­sta­be c Zif­fer 2.

Art. 21 Infor­ma­ti­ons­pflicht bei einer auto­ma­ti­sier­ten Ein­zel­ent­schei­dung

1 Der Ver­ant­wort­li­che infor­miert die betrof­fe­ne Per­son über eine Ent­schei­dung, die aus­schliess­lich auf einer auto­ma­ti­sier­ten Bear­bei­tung beruht und die für sie mit einer Rechts­fol­ge ver­bun­den ist oder sie erheb­lich beein­träch­tigt (auto­ma­ti­sier­te Ein­zel­ent­schei­dung).

2 Er gibt der betrof­fe­nen Per­son auf Antrag die Mög­lich­keit, ihren Stand­punkt dar­zu­le­gen. Die betrof­fe­ne Per­son kann ver­lan­gen, dass die auto­ma­ti­sier­te Ein­zel­ent­schei­dung von einer natür­li­chen Per­son über­prüft wird.

3 Die Absät­ze 1 und 2 gel­ten nicht, wenn:

a. die auto­ma­ti­sier­te Ein­zel­ent­schei­dung in unmit­tel­ba­rem Zusam­men­hang mit dem Abschluss oder der Abwick­lung eines Ver­trags zwi­schen dem Ver­ant­wort­li­chen und der betrof­fe­nen Per­son steht und ihrem Begeh­ren statt­ge­ge­ben wird; oder
b. die betrof­fe­ne Per­son aus­drück­lich ein­ge­wil­ligt hat, dass die Ent­schei­dung auto­ma­ti­siert erfolgt.

4 Ergeht die auto­ma­ti­sier­te Ein­zel­ent­schei­dung durch ein Bun­des­or­gan, so muss es die Ent­schei­dung ent­spre­chend kenn­zeich­nen. Absatz 2 ist nicht anwend­bar, wenn die betrof­fe­ne Per­son nach Arti­kel 30 Absatz 2 des Ver­wal­tungs­ver­fah­rens­ge­set­zes vom 20. Dezem­ber 1968 (VwVG) oder nach einem ande­ren Bun­des­ge­setz vor dem Ent­scheid nicht ange­hört wer­den muss.

Art. 22 Daten­schutz-Fol­gen­ab­schät­zung

1 Der Ver­ant­wort­li­che erstellt vor­gän­gig eine Daten­schutz-Fol­gen­ab­schät­zung, wenn eine Bear­bei­tung ein hohes Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son mit sich brin­gen kann. Sind meh­re­re ähn­li­che Bear­bei­tungs­vor­gän­ge geplant, so kann eine gemein­sa­me Abschät­zung erstellt wer­den.

2 Das hohe Risi­ko ergibt sich, ins­be­son­de­re bei Ver­wen­dung neu­er Tech­no­lo­gien, aus der Art, dem Umfang, den Umstän­den und dem Zweck der Bear­bei­tung. Es liegt nament­lich vor:

a. bei der umfang­rei­chen Bear­bei­tung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten;
b. wenn syste­ma­tisch umfang­rei­che öffent­li­che Berei­che über­wacht wer­den.

3 Die Daten­schutz-Fol­gen­ab­schät­zung ent­hält eine Beschrei­bung der geplan­ten Bear­bei­tung, eine Bewer­tung der Risi­ken für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son sowie die Mass­nah­men zum Schutz der Per­sön­lich­keit und der Grund­rech­te.

4 Von der Erstel­lung einer Daten­schutz-Fol­gen­ab­schät­zung aus­ge­nom­men sind pri­va­te Ver­ant­wort­li­che, wenn sie gesetz­lich zur Bear­bei­tung der Daten ver­pflich­tet sind.

5 Der pri­va­te Ver­ant­wort­li­che kann von der Erstel­lung einer Daten­schutz-Fol­gen­ab­schät­zung abse­hen, wenn er ein System, Pro­dukt oder eine Dienst­lei­stung ein­setzt, das oder die für die vor­ge­se­he­ne Ver­wen­dung nach Arti­kel 13 zer­ti­fi­ziert ist oder wenn er einen Ver­hal­tens­ko­dex nach Arti­kel 11 ein­hält, der die fol­gen­den Vor­aus­set­zun­gen erfüllt:

a. Der Ver­hal­tens­ko­dex beruht auf einer Daten­schutz-Fol­gen­ab­schät­zung.
b. Er sieht Mass­nah­men zum Schutz der Per­sön­lich­keit und der Grund­rech­te der betrof­fe­nen Per­son vor.
c. Er wur­de dem EDÖB vor­ge­legt.

Art. 23 Kon­sul­ta­ti­on des EDÖB

1 Ergibt sich aus der Daten­schutz-Fol­gen­ab­schät­zung, dass die geplan­te Bear­bei­tung trotz der vom Ver­ant­wort­li­chen vor­ge­se­he­nen Mass­nah­men noch ein hohes Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son zur Fol­ge hat, so holt er vor­gän­gig die Stel­lung­nah­me des EDÖB ein.

2 Der EDÖB teilt dem Ver­ant­wort­li­chen inner­halb von zwei Mona­ten sei­ne Ein­wän­de gegen die geplan­te Bear­bei­tung mit. Die­se Frist kann um einen Monat ver­län­gert wer­den, wenn es sich um eine kom­ple­xe Daten­be­ar­bei­tung han­delt.

3 Hat der EDÖB Ein­wän­de gegen die geplan­te Bear­bei­tung, so schlägt er dem Ver­ant­wort­li­chen geeig­ne­te Mass­nah­men vor.

4 Der pri­va­te Ver­ant­wort­li­che kann von der Kon­sul­ta­ti­on des EDÖB abse­hen, wenn er die Daten­schutz­be­ra­te­rin oder den Daten­schutz­be­ra­ter nach Arti­kel 10 kon­sul­tiert hat.

Art. 24 Mel­dung von Ver­let­zun­gen der Daten­si­cher­heit

1 Der Ver­ant­wort­li­che mel­det dem EDÖB so rasch als mög­lich eine Ver­let­zung der Daten­si­cher­heit, die vor­aus­sicht­lich zu einem hohen Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son führt.

2 In der Mel­dung nennt er min­de­stens die Art der Ver­let­zung der Daten­si­cher­heit, deren Fol­gen und die ergrif­fe­nen oder vor­ge­se­he­nen Mass­nah­men.

3 Der Auf­trags­be­ar­bei­ter mel­det dem Ver­ant­wort­li­chen so rasch als mög­lich eine Ver­let­zung der Daten­si­cher­heit.

4 Der Ver­ant­wort­li­che infor­miert die betrof­fe­ne Per­son, wenn es zu ihrem Schutz erfor­der­lich ist oder der EDÖB es ver­langt.

5 Er kann die Infor­ma­ti­on an die betrof­fe­ne Per­son ein­schrän­ken, auf­schie­ben oder dar­auf ver­zich­ten, wenn:

a. ein Grund nach Arti­kel 26 Absatz 1 Buch­sta­be b oder Absatz 2 Buch­sta­be b vor­liegt oder eine gesetz­li­che Geheim­hal­tungs­pflicht dies ver­bie­tet;
b. die Infor­ma­ti­on unmög­lich ist oder einen unver­hält­nis­mä­ssi­gen Auf­wand erfor­dert; oder
c. die Infor­ma­ti­on der betrof­fe­nen Per­son durch eine öffent­li­che Bekannt­ma­chung in ver­gleich­ba­rer Wei­se sicher­ge­stellt ist.

6 Eine Mel­dung, die auf­grund die­ses Arti­kels erfolgt, darf in einem Straf­ver­fah­ren gegen die mel­de­pflich­ti­ge Per­son nur mit deren Ein­ver­ständ­nis ver­wen­det wer­den.

4. Kapi­tel: Rech­te der betrof­fe­nen Per­son

Art. 25 Aus­kunfts­recht

1 Jede Per­son kann vom Ver­ant­wort­li­chen Aus­kunft dar­über ver­lan­gen, ob Per­so­nen­da­ten über sie bear­bei­tet wer­den.

2 Die betrof­fe­ne Per­son erhält die­je­ni­gen Infor­ma­tio­nen, die erfor­der­lich sind, damit sie ihre Rech­te nach die­sem Gesetz gel­tend machen kann und eine trans­pa­ren­te Daten­be­ar­bei­tung gewähr­lei­stet ist. In jedem Fall wer­den ihr fol­gen­de Infor­ma­tio­nen mit­ge­teilt:

a. die Iden­ti­tät und die Kon­takt­da­ten des Ver­ant­wort­li­chen;
b. die bear­bei­te­ten Per­so­nen­da­ten als sol­che;
c. der Bear­bei­tungs­zweck;
d. die Auf­be­wah­rungs­dau­er der Per­so­nen­da­ten oder, falls dies nicht mög­lich ist, die Kri­te­ri­en zur Fest­le­gung die­ser Dau­er;
e. die ver­füg­ba­ren Anga­ben über die Her­kunft der Per­so­nen­da­ten, soweit sie nicht bei der betrof­fe­nen Per­son beschafft wur­den;
f. gege­be­nen­falls das Vor­lie­gen einer auto­ma­ti­sier­ten Ein­zel­ent­schei­dung sowie die Logik, auf der die Ent­schei­dung beruht.
g. gege­be­nen­falls die Emp­fän­ge­rin­nen und Emp­fän­ger oder die Kate­go­rien von Emp­fän­ge­rin­nen und Emp­fän­gern, denen Per­so­nen­da­ten bekannt­ge­ge­ben wer­den, sowie die Infor­ma­tio­nen nach Absatz 4.

3 Per­so­nen­da­ten über die Gesund­heit kön­nen der betrof­fe­nen Per­son mit ihrer Ein­wil­li­gung durch eine von ihr bezeich­ne­te Gesund­heits­fach­per­son mit­ge­teilt wer­den.

4 Lässt der Ver­ant­wort­li­che Per­so­nen­da­ten von einem Auf­trags­be­ar­bei­ter bear­bei­ten, so bleibt er aus­kunfts­pflich­tig.

5 Nie­mand kann im Vor­aus auf das Aus­kunfts­recht ver­zich­ten.

6 Der Ver­ant­wort­li­che muss kosten­los Aus­kunft ertei­len. Der Bun­des­rat kann Aus­nah­men vor­se­hen, nament­lich wenn der Auf­wand unver­hält­nis­mä­ssig ist.

7 Die Aus­kunft wird in der Regel inner­halb von 30 Tagen erteilt.

Art. 26 Ein­schrän­kun­gen des Aus­kunfts­rechts

1 Der Ver­ant­wort­li­che kann die Aus­kunft ver­wei­gern, ein­schrän­ken oder auf­schie­ben, wenn:

a. ein Gesetz im for­mel­len Sinn dies vor­sieht, nament­lich um ein Berufs­ge­heim­nis zu schüt­zen;
b. dies auf­grund über­wie­gen­der Inter­es­sen Drit­ter erfor­der­lich ist; oder
c. das Aus­kunfts­ge­such offen­sicht­lich unbe­grün­det ist, nament­lich wenn es einen daten­schutz­wid­ri­gen Zweck ver­folgt, oder offen­sicht­lich que­ru­la­to­risch ist.

2 Dar­über hin­aus ist es in den fol­gen­den Fäl­len mög­lich, die Aus­kunft zu ver­wei­gern, ein­zu­schrän­ken oder auf­zu­schie­ben:

a. Der Ver­ant­wort­li­che ist eine pri­va­te Per­son und die fol­gen­den Vor­aus­set­zun­gen sind erfüllt:
1. Über­wie­gen­de Inter­es­sen des Ver­ant­wort­li­chen erfor­dern die Mass­nah­me.
2. Der Ver­ant­wort­li­che gibt die Per­so­nen­da­ten nicht Drit­ten bekannt

b. Der Ver­ant­wort­li­che ist ein Bun­des­or­gan, und eine der fol­gen­den Vor­aus­set­zun­gen ist erfüllt:
1. Die Mass­nah­me ist wegen über­wie­gen­der öffent­li­cher Inter­es­sen, ins­be­son­de­re der inne­ren oder der äusse­ren Sicher­heit der Schweiz, erfor­der­lich.
2. Die Mit­tei­lung der Infor­ma­ti­on kann eine Ermitt­lung, eine Unter­su­chung oder ein behörd­li­ches oder gericht­li­ches Ver­fah­ren gefähr­den.

3 Unter­neh­men, die zum sel­ben Kon­zern gehö­ren, gel­ten nicht als Drit­te im Sin­ne von Absatz 2 Buch­sta­be a Zif­fer 2.

4 Der Ver­ant­wort­li­che muss ange­ben, wes­halb er die Aus­kunft ver­wei­gert, ein­schränkt oder auf­schiebt.

Art. 27 Ein­schrän­kun­gen des Aus­kunfts­rechts für Medi­en

1 Wer­den Per­so­nen­da­ten aus­schliess­lich zur Ver­öf­fent­li­chung im redak­tio­nel­len Teil eines peri­odisch erschei­nen­den Medi­ums bear­bei­tet, so kann der Ver­ant­wort­li­che aus einem der fol­gen­den Grün­de die Aus­kunft ver­wei­gern, ein­schrän­ken oder auf­schie­ben:

a. Die Daten geben Auf­schluss über die Infor­ma­ti­ons­quel­len.
b. Durch die Aus­kunft wür­de Ein­sicht in Ent­wür­fe für Publi­ka­tio­nen gewährt.
c. Die Ver­öf­fent­li­chung wür­de die freie Mei­nungs­bil­dung des Publi­kums gefähr­den.

2 Medi­en­schaf­fen­de kön­nen die Aus­kunft zudem ver­wei­gern, ein­schrän­ken oder auf­schie­ben, wenn ihnen die Per­so­nen­da­ten aus­schliess­lich als per­sön­li­ches Arbeits­in­stru­ment die­nen.

Art. 28 Recht auf Daten­her­aus­ga­be und ‑über­tra­gung

1 Jede Per­son kann vom Ver­ant­wort­li­chen die Her­aus­ga­be ihrer Per­so­nen­da­ten, die sie ihm bekannt­ge­ge­ben hat, in einem gän­gi­gen elek­tro­ni­schen For­mat ver­lan­gen, wenn:

a. der Ver­ant­wort­li­che die Daten auto­ma­ti­siert bear­bei­tet; und
b. die Daten mit der Ein­wil­li­gung der betrof­fe­nen Per­son oder in unmit­tel­ba­rem Zusam­men­hang mit dem Abschluss oder der Abwick­lung eines Ver­tra­ges zwi­schen dem Ver­ant­wort­li­chen und der betrof­fe­nen Per­son bear­bei­tet wer­den.

2 Die betrof­fe­ne Per­son kann zudem vom Ver­ant­wort­li­chen ver­lan­gen, dass er ihre Per­so­nen­da­ten einem ande­ren Ver­ant­wort­li­chen über­trägt, wenn die Vor­aus­set­zun­gen nach Absatz 1 erfüllt sind und dies kei­nen unver­hält­nis­mä­ssi­gen Auf­wand erfor­dert.

3 Der Ver­ant­wort­li­che muss die Per­so­nen­da­ten kosten­los her-aus­ge­ben oder über­tra­gen. Der Bun­des­rat kann Aus­nah­men vor­se­hen, nament­lich wenn der Auf­wand unver­hält­nis­mä­ssig ist.

Art. 29 Ein­schrän­kun­gen des Rechts auf Daten­her­aus­ga­be und ‑über­tra­gung

1 Der Ver­ant­wort­li­che kann die Her­aus­ga­be oder Über­tra­gung der Per­so­nen­da­ten aus den in Arti­kel 26 Absät­ze 1 und 2 auf­ge­führ­ten Grün­den ver­wei­gern, ein­schrän­ken oder auf­schie­ben.

2 Der Ver­ant­wort­li­che muss ange­ben, wes­halb er die Her­aus­ga­be oder Über­tra­gung ver­wei­gert, ein­schränkt oder auf­schiebt.

5. Kapi­tel: Beson­de­re Bestim­mun­gen zur Daten­be­ar­bei­tung durch pri­va­te Per­so­nen

Art. 30 Per­sön­lich­keits­ver­let­zun­gen

1 Wer Per­so­nen­da­ten bear­bei­tet, darf die Per­sön­lich­keit der betrof­fe­nen Per­so­nen nicht wider­recht­lich ver­let­zen.

2 Eine Per­sön­lich­keits­ver­let­zung liegt ins­be­son­de­re vor, wenn:

a. Per­so­nen­da­ten ent­ge­gen den Grund­sät­zen nach den Arti­keln 6 und 8 bear­bei­tet wer­den;
b. Per­so­nen­da­ten ent­ge­gen der aus­drück­li­chen Wil­lens­er­klä­rung der betrof­fe­nen Per­son bear­bei­tet wer­den;
c. Drit­ten beson­ders schüt­zens­wer­te Per­so­nen­da­ten bekannt­ge­ge­ben wer­den.

3 In der Regel liegt kei­ne Per­sön­lich­keits­ver­let­zung vor, wenn die betrof­fe­ne Per­son die Per­so­nen­da­ten all­ge­mein zugäng­lich gemacht und eine Bear­bei­tung nicht aus­drück­lich unter­sagt hat.

Art. 31 Recht­fer­ti­gungs­grün­de

1 Eine Per­sön­lich­keits­ver­let­zung ist wider­recht­lich, wenn sie nicht durch Ein­wil­li­gung der betrof­fe­nen Per­son, durch ein über­wie­gen­des pri­va­tes oder öffent­li­ches Inter­es­se oder durch Gesetz gerecht­fer­tigt ist.

2 Ein über­wie­gen­des Inter­es­se des Ver­ant­wort­li­chen fällt ins­be­son­de­re in fol­gen­den Fäl­len in Betracht:

a. Der Ver­ant­wort­li­che bear­bei­tet die Per­so­nen­da­ten über die Ver­trags­part­ne­rin oder den Ver­trags­part­ner in unmit­tel­ba­rem Zusam­men­hang mit dem Abschluss oder der Abwick­lung eines Ver­trags.
b. Der Ver­ant­wort­li­che steht mit einer ande­ren Per­son in wirt­schaft­li­chem Wett­be­werb oder wird in wirt­schaft­li­chen Wett­be­werb tre­ten und bear­bei­tet zu die­sem Zweck Per­so­nen­da­ten, die Drit­ten nicht bekannt­ge­ge­ben wer­den; nicht als Drit­te im Rah­men die­ser Bestim­mung gel­ten Unter­neh­men, die zum sel­ben Kon­zern gehö­ren wie der Ver­ant­wort­li­che.
c. Der Ver­ant­wort­li­che bear­bei­tet Per­so­nen­da­ten zur Prü­fung der Kre­dit­wür­dig­keit der betrof­fe­nen Per­son, wobei die fol­gen­den Vor­aus­set­zun­gen erfüllt sind:
1. Es han­delt sich weder um beson­ders schüt­zens­wer­te Per­so­nen­da­ten noch um ein Pro­filing mit hohem Risi­ko.
2. Die Daten wer­den Drit­ten nur bekannt­ge­ge­ben, wenn die­se die Daten für den Abschluss oder die Abwick­lung eines Ver­trags mit der betrof­fe­nen Per­son benö­ti­gen.
3. Die Daten sind nicht älter als zehn Jah­re.
4. Die betrof­fe­ne Per­son ist voll­jäh­rig.
d. Der Ver­ant­wort­li­che bear­bei­tet die Per­so­nen­da­ten beruf­lich und aus­schliess­lich zur Ver­öf­fent­li­chung im redak­tio­nel­len Teil eines peri­odisch erschei­nen­den Medi­ums oder die Daten die­nen ihm, falls kei­ne Ver­öf­fent­li­chung erfolgt, aus­schliess­lich als per­sön­li­ches Arbeits­in­stru­ment.
e. Der Ver­ant­wort­li­che bear­bei­tet die Per­so­nen­da­ten für nicht per­so­nen­be­zo­ge­ne Zwecke, ins­be­son­de­re für For­schung, Pla­nung oder Sta­ti­stik, wobei die fol­gen­den Vor­aus­set­zun­gen erfüllt sind:
1. Er anony­mi­siert die Daten, sobald der Bear­bei­tungs­zweck dies erlaubt; ist eine Anony­mi­sie­rung unmög­lich oder erfor­dert sie einen unver­hält­nis­mä­ssi­gen Auf­wand, so trifft er ange­mes­se­ne Mass­nah­men, um die Bestimm­bar­keit der betrof­fe­nen Per­so­nen zu ver­hin­dern.
2. Han­delt es sich um beson­ders schüt­zens­wer­te Per­so­nen­da­ten so gibt er die­se Drit­ten so bekannt, dass die betrof­fe­ne Per­son nicht bestimm­bar ist; ist dies nicht mög­lich, so muss gewähr­lei­stet sein, dass die Drit­ten die Daten nur zu nicht per­so­nen­be­zo­ge­nen Zwecken bear­bei­ten.
3. Die Ergeb­nis­se wer­den so ver­öf­fent­licht, dass die betrof­fe­nen Per­so­nen nicht bestimm­bar sind.
f. Der Ver­ant­wort­li­che sam­melt Per­so­nen­da­ten über eine Per­son des öffent­li­chen Lebens, die sich auf das Wir­ken die­ser Per­son in der Öffent­lich­keit bezie­hen.

Art. 32 Rechts­an­sprü­che

1 Die betrof­fe­ne Per­son kann ver­lan­gen, dass unrich­ti­ge Per­so­nen­da­ten berich­tigt wer­den, es sei denn:

a. eine gesetz­li­che Vor­schrift ver­bie­tet die Ände­rung;
b. die Per­so­nen­da­ten wer­den zu Archiv­zwecken im öffent­li­chen Inter­es­se bear­bei­tet.

2 Kla­gen zum Schutz der Per­sön­lich­keit rich­ten sich nach den Arti­keln 28, 28 a sowie 28g – 28l des Zivil­ge­setz­buchs. Die kla­gen­de Par­tei kann ins­be­son­de­re ver­lan­gen, dass:

a. eine bestimm­te Daten­be­ar­bei­tung ver­bo­ten wird;
b. eine bestimm­te Bekannt­ga­be von Per­so­nen­da­ten an Drit­te unter­sagt wird;
c. Per­so­nen­da­ten gelöscht oder ver­nich­tet wer­den.

3 Kann weder die Rich­tig­keit noch die Unrich­tig­keit der betref­fen­den Per­so­nen­da­ten fest­ge­stellt wer­den, so kann die kla­gen­de Par­tei ver­lan­gen, dass ein Bestrei­tungs­ver­merk ange­bracht wird.

4 Die kla­gen­de Par­tei kann zudem ver­lan­gen, dass die Berich­ti­gung, die Löschung oder die Ver­nich­tung, das Ver­bot der Bear­bei­tung oder der Bekannt­ga­be an Drit­te, der Bestrei­tungs­ver­merk oder das Urteil Drit­ten mit­ge­teilt oder ver­öf­fent­licht wird.

6. Kapi­tel: Beson­de­re Bestim­mun­gen zur Daten­be­ar­bei­tung durch Bun­des­or­ga­ne

Art. 33 Kon­trol­le und Ver­ant­wor­tung bei gemein­sa­mer Bear­bei­tung von Per­so­nen­da­ten

Der Bun­des­rat regelt die Kon­troll­ver­fah­ren und die Ver­ant­wor­tung für den Daten­schutz, wenn ein Bun­des­or­gan Per­so­nen­da­ten zusam­men mit ande­ren Bun­des­or­ga­nen, mit kan­to­na­len Orga­nen oder mit pri­va­ten Per­so­nen bear­bei­tet.

Art. 34 Rechts­grund­la­gen

1 Bun­des­or­ga­ne dür­fen Per­so­nen­da­ten nur bear­bei­ten, wenn dafür eine gesetz­li­che Grund­la­ge besteht.

2 Eine Grund­la­ge in einem Gesetz im for­mel­len Sinn ist in fol­gen­den Fäl­len erfor­der­lich:

a. Es han­delt sich um die Bear­bei­tung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten.
b. Es han­delt sich um ein Pro­filing.
c. Der Bear­bei­tungs­zweck oder die Art und Wei­se der Daten­be­ar­bei­tung kön­nen zu einem schwer­wie­gen­den Ein­griff in die Grund­rech­te der betrof­fe­nen Per­son füh­ren.

3 Für die Bear­bei­tung von Per­so­nen­da­ten nach Absatz 2 Buch­sta­ben a und b ist eine Grund­la­ge in einem Gesetz im mate­ri­el­len Sinn aus­rei­chend, wenn die fol­gen­den Vor­aus­set­zun­gen erfüllt sind:

a. Die Bear­bei­tung ist für eine in einem Gesetz im for­mel­len Sinn fest­ge­leg­te Auf­ga­be unent­behr­lich.
b. Der Bear­bei­tungs­zweck birgt für die Grund­rech­te der betrof­fe­nen Per­son kei­ne beson­de­ren Risi­ken.

4 In Abwei­chung von den Absät­zen 1 – 3 dür­fen Bun­des­or­ga­ne Per­so­nen­da­ten bear­bei­ten, wenn eine der fol­gen­den Vor­aus­set­zun­gen erfüllt ist:

a. Der Bun­des­rat hat die Bear­bei­tung bewil­ligt, weil er die Rech­te der betrof­fe­nen Per­son für nicht gefähr­det hält.
b. Die betrof­fe­ne Per­son hat im Ein­zel­fall in die Bear­bei­tung ein­ge­wil­ligt oder hat ihre Per­so­nen­da­ten all­ge­mein zugäng­lich gemacht und eine Bear­bei­tung nicht aus­drück­lich unter­sagt.
c. Die Bear­bei­tung ist not­wen­dig, um das Leben oder die kör­per­li­che Unver­sehrt­heit der betrof­fe­nen Per­son oder eines Drit­ten zu schüt­zen, und es ist nicht mög­lich, inner­halb einer ange­mes­se­nen Frist die Ein­wil­li­gung der betrof­fe­nen Per­son ein­zu­ho­len.

Art. 35 Auto­ma­ti­sier­te Daten­be­ar­bei­tung im Rah­men von Pilot­ver­su­chen

1 Der Bun­des­rat kann vor Inkraft­tre­ten eines Geset­zes im for­mel­len Sinn die auto­ma­ti­sier­te Bear­bei­tung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten oder ande­re Daten­be­ar­bei­tun­gen nach Arti­kel 34 Absatz 2 Buch­sta­ben b und c bewil­li­gen, wenn:

a. die Auf­ga­ben, auf­grund deren die Bear­bei­tung erfor­der­lich ist, in einem bereits in Kraft ste­hen­den Gesetz im for­mel­len Sinn gere­gelt sind;
b. aus­rei­chen­de Mass­nah­men getrof­fen wer­den, um einen Ein­griff in die Grund­rech­te der betrof­fe­nen Per­so­nen auf das Min­dest­mass zu begren­zen; und
c. für die prak­ti­sche Umset­zung der Daten­be­ar­bei­tung eine Test­pha­se vor dem Inkraft­tre­ten, ins­be­son­de­re aus tech­ni­schen Grün­den, unent­behr­lich ist.

2 Er holt vor­gän­gig die Stel­lung­nah­me des EDÖB ein.

3 Das zustän­di­ge Bun­des­or­gan legt dem Bun­des­rat spä­te­stens zwei Jah­re nach der Auf­nah­me des Pilot­ver­suchs einen Eva­lua­ti­ons­be­richt vor. Es schlägt dar­in die Fort­füh­rung oder die Ein­stel­lung der Bear­bei­tung vor.

4 Die auto­ma­ti­sier­te Daten­be­ar­bei­tung muss in jedem Fall abge­bro­chen wer­den, wenn inner­halb von fünf Jah­ren nach Auf­nah­me des Pilot­ver­suchs kein Gesetz im for­mel­len Sinn in Kraft getre­ten ist, das die erfor­der­li­che Rechts­grund­la­ge ent­hält.

Art. 36 Bekannt­ga­be von Per­so­nen­da­ten

1 Bun­des­or­ga­ne dür­fen Per­so­nen­da­ten nur bekannt­ge­ben, wenn dafür eine gesetz­li­che Grund­la­ge nach Arti­kel 34 Absät­ze 1 – 3 besteht.

2 Sie dür­fen Per­so­nen­da­ten in Abwei­chung von Absatz 1 im Ein­zel­fall bekannt­ge­ben, wenn eine der fol­gen­den Vor­aus­set­zun­gen erfüllt ist:

a. Die Bekannt­ga­be der Daten ist für den Ver­ant­wort­li­chen oder für die Emp­fän­ge­rin oder den Emp­fän­ger zur Erfül­lung einer gesetz­li­chen Auf­ga­be unent­behr­lich.
b. Die betrof­fe­ne Per­son hat in die Bekannt­ga­be ein­ge­wil­ligt.
c. Die Bekannt­ga­be der Daten ist not­wen­dig, um das Leben oder die kör­per­li­che Unver­sehrt­heit der betrof­fe­nen Per­son oder eines Drit­ten zu schüt­zen, und es ist nicht mög­lich, inner­halb einer ange­mes­se­nen Frist die Ein­wil­li­gung der betrof­fe­nen Per­son ein­zu­ho­len.
d. Die betrof­fe­ne Per­son hat ihre Daten all­ge­mein zugäng­lich gemacht und eine Bekannt­ga­be nicht aus­drück­lich unter­sagt.
e. Die Emp­fän­ge­rin oder der Emp­fän­ger macht glaub­haft, dass die betrof­fe­ne Per­son die Ein­wil­li­gung ver­wei­gert oder Wider­spruch gegen die Bekannt­ga­be ein­legt, um ihr oder ihm die Durch­set­zung von Rechts­an­sprü­chen oder die Wahr­neh­mung ande­rer schutz­wür­di­ger Inter­es­sen zu ver­weh­ren; der betrof­fe­nen Per­son ist vor­gän­gig Gele­gen­heit zur Stel­lung­nah­me zu geben, es sei denn, dies ist unmög­lich oder mit unver­hält­nis­mä­ssi­gem Auf­wand ver­bun­den.

3 Die Bun­des­or­ga­ne dür­fen Per­so­nen­da­ten dar­über hin­aus im Rah­men der behörd­li­chen Infor­ma­ti­on der Öffent­lich­keit von Amtes wegen oder gestützt auf das Öffent­lich­keits­ge­setz vom 17. Dezem­ber 2004 bekannt­ge­ben, wenn:

a. die Daten im Zusam­men­hang mit der Erfül­lung öffent­li­cher Auf­ga­ben ste­hen; und
b. an der Bekannt­ga­be ein über­wie­gen­des öffent­li­ches Inter­es­se besteht.

4 Sie dür­fen Name, Vor­na­me, Adres­se und Geburts­da­tum einer Per­son auf Anfra­ge auch bekannt­ge­ben, wenn die Vor­aus­set­zun­gen nach Absatz 1 oder 2 nicht erfüllt sind.

5 Sie dür­fen Per­so­nen­da­ten mit­tels auto­ma­ti­sier­ter Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­dien­ste all­ge­mein zugäng­lich machen, wenn eine Rechts­grund­la­ge die Ver­öf­fent­li­chung die­ser Daten vor­sieht oder wenn sie Daten gestützt auf Absatz 3 bekannt­ge­ben. Besteht kein öffent­li­ches Inter­es­se mehr dar­an, die Daten all­ge­mein zugäng­lich zu machen, so wer­den die betref­fen­den Daten aus dem auto­ma­ti­sier­ten Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­dienst gelöscht.

6 Die Bun­des­or­ga­ne leh­nen die Bekannt­ga­be ab, schrän­ken sie ein oder ver­bin­den sie mit Auf­la­gen, wenn:

a. wesent­li­che öffent­li­che Inter­es­sen oder offen­sicht­lich schutz­wür­di­ge Inter­es­sen der betrof­fe­nen Per­son es ver­lan­gen; oder
b. gesetz­li­che Geheim­hal­tungs­pflich­ten oder beson­de­re Daten­schutz­vor­schrif­ten es ver­lan­gen.

Art. 37 Wider­spruch gegen die Bekannt­ga­be von Per­so­nen­da­ten

1 Die betrof­fe­ne Per­son, die ein schutz­wür­di­ges Inter­es­se glaub­haft macht, kann gegen die Bekannt­ga­be bestimm­ter Per­so­nen­da­ten durch das ver­ant­wort­li­che Bun­des­or­gan Wider­spruch ein­le­gen.
2 Das Bun­des­or­gan weist das Begeh­ren ab, wenn eine der fol­gen­den Vor­aus­set­zun­gen erfüllt ist:
a. Es besteht eine Rechts­pflicht zur Bekannt­ga­be; oder
b. b. Die Erfül­lung sei­ner Auf­ga­ben wäre sonst gefähr­det.

3 Arti­kel 36 Absatz 3 bleibt vor­be­hal­ten.

Art. 38 Ange­bot von Unter­la­gen an das Bun­des­ar­chiv

1 In Über­ein­stim­mung mit dem Archi­vie­rungs­ge­setz vom 26. Juni 1998 bie­ten die Bun­des­or­ga­ne dem Bun­des­ar­chiv alle Per­so­nen­da­ten an, die sie nicht mehr stän­dig benö­ti­gen.

2 Sie ver­nich­ten die vom Bun­des­ar­chiv als nicht archiv­wür­dig bezeich­ne­ten Per­so­nen­da­ten, es sei denn:

a. die­se wer­den anony­mi­siert;
b. die­se müs­sen zu Beweis- oder Sicher­heits­zwecken oder zur Wah­rung der schutz­wür­di­gen Inter­es­sen der betrof­fe­nen Per­son auf­be­wahrt wer­den.

Art. 39 Daten­be­ar­bei­tun­gen für nicht per­so­nen­be­zo­ge­ne Zwecke

1 Bun­des­or­ga­ne dür­fen Per­so­nen­da­ten für nicht per­so­nen­be­zo­ge­ne Zwecke, ins­be­son­de­re für For­schung, Pla­nung oder Sta­ti­stik, bear­bei­ten, wenn:

a. die Daten anony­mi­siert wer­den, sobald der Bear­bei­tungs­zweck dies erlaubt;
b. das Bun­des­or­gan pri­va­ten Per­so­nen beson­ders schüt­zens­wer­te Per­so­nen­da­ten nur so bekannt­gibt, dass die betrof­fe­nen Per­so­nen nicht bestimm­bar sind;
c. die Emp­fän­ge­rin oder der Emp­fän­ger Drit­ten die Daten nur mit der Zustim­mung des Bun­des­or­gans wei­ter­gibt, das die Daten bekannt­ge­ge­ben hat; und
d. die Ergeb­nis­se nur so ver­öf­fent­licht wer­den, dass die betrof­fe­nen Per­so­nen nicht bestimm­bar sind.

2 Die Arti­kel 6 Absatz 3, 34 Absatz 2 sowie Absatz 1 sind nicht anwend­bar.

Art. 40 Pri­vat­recht­li­che Tätig­keit von Bun­des­or­ga­nen

Han­delt ein Bun­des­or­gan pri­vat­recht­lich, so gel­ten die Bestim­mun­gen für die Daten­be­ar­bei­tung durch pri­va­te Per­so­nen.

Art. 41 Ansprü­che und Ver­fah­ren

1 Wer ein schutz­wür­di­ges Inter­es­se hat, kann vom ver­ant­wort­li­chen Bun­des­or­gan ver­lan­gen, dass es:

a. die wider­recht­li­che Bear­bei­tung der betref­fen­den Per­so­nen­da­ten unter­lässt;
b. die Fol­gen einer wider­recht­li­chen Bear­bei­tung besei­tigt;
c. die Wider­recht­lich­keit der Bear­bei­tung fest­stellt.

2 Die Gesuch­stel­le­rin oder der Gesuch­stel­ler kann ins­be­son­de­re ver­lan­gen, dass das Bun­des­or­gan:

a. die betref­fen­den Per­so­nen­da­ten berich­tigt, löscht oder ver­nich­tet;
b. sei­nen Ent­scheid, nament­lich über die Berich­ti­gung, Löschung oder Ver­nich­tung, den Wider­spruch gegen die Bekannt­ga­be nach Arti­kel 37 oder den Bestrei­tungs­ver­merk nach Absatz 4 Drit­ten mit­teilt oder ver­öf­fent­licht.

3 Statt die Per­so­nen­da­ten zu löschen oder zu ver­nich­ten, schränkt das Bun­des­or­gan die Bear­bei­tung ein, wenn:

a. die betrof­fe­ne Per­son die Rich­tig­keit der Per­so­nen­da­ten bestreit et und weder die Rich­tig­keit noch die Unrich­tig­keit fest­ge­stellt wer­den kann;
b. über­wie­gen­de Inter­es­sen Drit­ter dies erfor­dern;
c. ein über­wie­gen­des öffent­li­ches Inter­es­se, nament­lich die inne­re oder die äusse­re Sicher­heit der Schweiz, dies erfor­dert;
d. die Löschung oder Ver­nich­tung der Daten eine Ermitt­lung, eine Unter­su­chung oder ein behörd­li­ches oder gericht­li­ches Ver­fah­ren gefähr­den kann.

4 Kann weder die Rich­tig­keit noch die Unrich­tig­keit der betref­fen­den Per­so­nen­da­ten fest­ge­stellt wer­den, so bringt das Bun­des­or­gan bei den Daten einen Bestrei­tungs­ver­merk an.

5 Die Berich­ti­gung, Löschung oder Ver­nich­tung von Per­so­nen­da­ten kann nicht ver­langt wer­den in Bezug auf die Bestän­de öffent­lich zugäng­li­cher Biblio­the­ken, Bil­dungs­ein­rich­tun­gen, Muse­en, Archi­ve oder ande­rer öffent­li­cher Gedächt­nis­in­sti­tu­tio­nen. Macht die Gesuch­stel­le­rin oder der Gesuch­stel­ler ein über­wie­gen­des Inter­es­se glaub­haft, so kann sie oder er ver­lan­gen, dass die Insti­tu­ti­on den Zugang zu den umstrit­te­nen Daten beschränkt. Die Absät­ze 3 und 4 sind nicht anwend­bar.

6 Das Ver­fah­ren rich­tet sich nach dem VwVG. Die Aus­nah­men nach den Arti­keln 2 und 3 VwVG sind nicht anwend­bar.

Art. 42 Ver­fah­ren im Fal­le der Bekannt­ga­be von amt­li­chen Doku­men­ten, die Per­so­nen­da­ten ent­hal­ten

Ist ein Ver­fah­ren betref­fend den Zugang zu amt­li­chen Doku­men­ten, die Per­so­nen­da­ten ent­hal­ten, im Sin­ne des Öffent­lich­keits­ge­set­zes vom 17. Dezem­ber 2004 hän­gig, so kann die betrof­fe­ne Per­son in die­sem Ver­fah­ren die­je­ni­gen Rech­te gel­tend machen, die ihr nach Arti­kel 41 des vor­lie­gen­den Geset­zes bezo­gen auf die­je­ni­gen Doku­men­te zuste­hen, die Gegen­stand des Zugangs­ver­fah­rens sind.

7. Kapi­tel: Eid­ge­nös­si­scher Daten­schutz- und Öffent­lich­keits­be­auf­trag­ter

1. Abschnitt: Orga­ni­sa­ti­on

Art. 43 Wahl und Stel­lung

1 Die Ver­ei­nig­te Bun­des­ver­samm­lung wählt die Lei­te­rin oder den Lei­ter des EDÖB (die oder der Beauf­trag­te).

2 Wähl­bar ist, wer in eid­ge­nös­si­schen Ange­le­gen­hei­ten stimm­be­rech­tigt ist.

3 Das Arbeits­ver­hält­nis der oder des Beauf­trag­ten rich­tet sich, soweit die­ses Gesetz nichts ande­res vor­sieht, nach dem Bun­des­per­so­nal­ge­setz vom 24. März 2000 (BPG).

4 Die oder der Beauf­trag­te übt ihre oder sei­ne Funk­ti­on unab­hän­gig aus, ohne Wei­sun­gen einer Behör­de oder eines Drit­ten ein­zu­ho­len oder ent­ge­gen­zu­neh­men. Sie oder er ist admi­ni­stra­tiv der Bun­des­kanz­lei zuge­ord­net.

5 Sie oder er ver­fügt über ein stän­di­ges Sekre­ta­ri­at und ein eige­nes Bud­get. Sie oder er stellt sein Per­so­nal an.

6 Sie oder er unter­steht nicht dem Beur­tei­lungs­sy­stem nach Arti­kel 4 Absatz 3 BPG.

Art. 44 Amts­dau­er, Wie­der­wahl und Been­di­gung der Amts­dau­er

1 Die Amts­dau­er der oder des Beauf­trag­ten beträgt vier Jah­re und kann zwei Mal erneu­ert wer­den. Sie beginnt am 1. Janu­ar nach Beginn der Legis­la­tur­pe­ri­ode des Natio­nal­ra­tes.

2 Die oder der Beauf­trag­te kann die Bun­des­ver­samm­lung unter Ein­hal­tung einer Frist von sechs Mona­ten um Ent­las­sung auf ein Monats­en­de ersu­chen.

3 Die Ver­ei­nig­te Bun­des­ver­samm­lung kann die Beauf­trag­te oder den Beauf­trag­ten vor Ablauf der Amts­dau­er des Amtes ent­he­ben, wenn die­se oder die­ser:

a. vor­sätz­lich oder grob­fahr­läs­sig Amts­pflich­ten schwer ver­letzt hat; oder
b. die Fähig­keit, das Amt aus­zu­üben, auf Dau­er ver­lo­ren hat.

Art. 45 Bud­get

Der EDÖB reicht den Ent­wurf sei­nes Bud­gets jähr­lich über die Bun­des­kanz­lei dem Bun­des­rat ein. Die­ser lei­tet ihn unver­än­dert an die Bun­des­ver­samm­lung wei­ter.

Art. 46 Unver­ein­bar­keit

Die oder der Beauf­trag­te darf weder der Bun­des­ver­samm­lung noch dem Bun­des­rat ange­hö­ren und in kei­nem Arbeits­ver­hält­nis mit dem Bund ste­hen.

Art. 47 Neben­be­schäf­ti­gung

1 Die oder der Beauf­trag­te darf kei­ne Neben­be­schäf­ti­gung aus­üben.

2 Die Ver­ei­nig­te Bun­des­ver­samm­lung kann der oder dem Beauf­trag­ten gestat­ten, eine Neben­be­schäf­ti­gung aus­zu­üben, wenn dadurch die Aus­übung der Funk­ti­on sowie die Unab­hän­gig­keit und das Anse­hen des EDÖB nicht beein­träch­tigt wer­den. Der Ent­scheid wird ver­öf­fent­licht.

Art. 48 Selbst­kon­trol­le des EDÖB

Der EDÖB stellt durch geeig­ne­te Kon­troll­mass­nah­men, ins­be­son­de­re in Bezug auf die Daten­si­cher­heit, sicher, dass der rechts­kon­for­me Voll­zug der bun­des­recht­li­chen Daten­schutz­vor­schrif­ten inner­halb sei­ner Behör­de gewähr­lei­stet ist.

2. Abschnitt: Unter­su­chung von Ver­stö­ssen gegen Daten­schutz­vor­schrif­ten

Art. 49 Unter­su­chung

1 Der EDÖB eröff­net von Amtes wegen oder auf Anzei­ge hin eine Unter­su­chung gegen ein Bun­des­or­gan oder eine pri­va­te Per­son, wenn genü­gend Anzei­chen bestehen, dass eine Daten­be­ar­bei­tung gegen die Daten­schutz­vor­schrif­ten ver­sto­ssen könn­te.

2 Er kann von der Eröff­nung einer Unter­su­chung abse­hen, wenn die Ver­let­zung der Daten­schutz­vor­schrif­ten von gering­fü­gi­ger Bedeu­tung ist.

3 Das Bun­des­or­gan oder die pri­va­te Per­son erteilt dem EDÖB alle Aus­künf­te und stellt ihm alle Unter­la­gen zur Ver­fü­gung, die für die Unter­su­chung not­wen­dig sind. Das Aus­kunfts­ver­wei­ge­rungs­recht rich­tet sich nach den Arti­keln 16 und 17 des VwVG, sofern Arti­kel 50 Absatz 2 des vor­lie­gen­den Geset­zes nichts ande­res bestimmt.

4 Hat die betrof­fe­ne Per­son Anzei­ge erstat­tet, so infor­miert der EDÖB sie über die gestützt dar­auf unter­nom­me­nen Schrit­te und das Ergeb­nis einer all­fäl­li­gen Unter­su­chung.

Art. 50 Befug­nis­se

1 Kommt das Bun­des­or­gan oder die pri­va­te Per­son den Mit­wir­kungs­pflich­ten nicht nach, so kann der EDÖB im Rah­men der Unter­su­chung ins­be­son­de­re Fol­gen­des anord­nen:

a. Zugang zu allen Aus­künf­ten, Unter­la­gen, Ver­zeich­nis­sen der Bear­bei­tungs­tä­tig­kei­ten und Per­so­nen­da­ten, die für die Unter­su­chung erfor­der­lich sind;
b. Zugang zu Räum­lich­kei­ten und Anla­gen;
c. Zeu­gen­ein­ver­nah­men;
d. Begut­ach­tun­gen durch Sach­ver­stän­di­ge.

2 Das Berufs­ge­heim­nis bleibt vor­be­hal­ten.

3 Zum Voll­zug der Mass­nah­men nach Absatz 1 kann der EDÖB ande­re Bun­des­be­hör­den sowie die kan­to­na­len oder kom­mu­na­len Poli­zei­or­ga­ne bei­zie­hen.

Art. 51 Ver­wal­tungs­mass­nah­men

1 Liegt eine Ver­let­zung von Daten­schutz­vor­schrif­ten vor, so kann der EDÖB ver­fü­gen, dass die Bear­bei­tung ganz oder teil­wei­se ange­passt, unter­bro­chen oder abge­bro­chen wird und die Per­so­nen­da­ten ganz oder teil­wei­se gelöscht oder ver­nich­tet wer­den.

2 Er kann die Bekannt­ga­be ins Aus­land auf­schie­ben oder unter­sa­gen, wenn sie gegen die Vor­aus­set­zun­gen nach Arti­kel 16 oder 17 oder gegen Bestim­mun­gen betref­fend die Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land in ande­ren Bun­des­ge­set­zen ver­stösst.

3 Er kann nament­lich anord­nen, dass das Bun­des­or­gan oder die pri­va­te Per­son:

a. ihn nach den Arti­keln 16 Absatz 2 Buch­sta­ben b und c sowie 17 Absatz 2 infor­miert;
b. die Vor­keh­ren nach den Arti­keln 7 und 8 trifft;
c. nach den Arti­keln 19 und 21 die betrof­fe­nen Per­so­nen infor­miert;
d. eine Daten­schutz-Fol­gen­ab­schät­zung nach Arti­kel 22 vor­nimmt;
e. ihn nach Arti­kel 23 kon­sul­tiert;
f. ihn oder gege­be­nen­falls die betrof­fe­nen Per­so­nen nach Arti­kel 24 infor­miert;
g. der betrof­fe­nen Per­son die Aus­künf­te nach Arti­kel 25 erteilt.

4 Er kann auch anord­nen, dass der pri­va­te Ver­ant­wort­li­che mit Sitz oder Wohn­sitz im Aus­land eine Ver­tre­tung nach Arti­kel 14 bezeich­net.

5 Hat das Bun­des­or­gan oder die pri­va­te Per­son wäh­rend der Unter­su­chung die erfor­der­li­chen Mass­nah­men getrof­fen, um die Ein­hal­tung der Daten­schutz­vor­schrif­ten wie­der­her­zu­stel­len, so kann der EDÖB sich dar­auf beschrän­ken, eine Ver­war­nung aus­zu­spre­chen.

Art. 52 Ver­fah­ren

1 Das Unter­su­chungs­ver­fah­ren sowie Ver­fü­gun­gen nach den Arti­keln 50 und 51 rich­ten sich nach dem VwVG.

2 Par­tei ist nur das Bun­des­or­gan oder die pri­va­te Per­son, gegen das oder die eine Unter­su­chung eröff­net wur­de.

3 Der EDÖB kann Beschwer­de­ent­schei­de des Bun­des­ver­wal­tungs­ge­richts anfech­ten.

Art. 53 Koor­di­na­ti­on

1 Bun­des­ver­wal­tungs­be­hör­den, die nach einem ande­ren Bun­des­ge­setz pri­va­te Per­so­nen oder Orga­ni­sa­tio­nen ausser­halb der Bun­des­ver­wal­tung beauf­sich­ti­gen, laden den EDÖB zur Stel­lung­nah­me ein, bevor sie eine Ver­fü­gung erlas­sen, die Fra­gen des Daten­schut­zes betrifft.

2 Führt der EDÖB gegen die glei­che Par­tei eine eige­ne Unter­su­chung durch, so koor­di­nie­ren die bei­den Behör­den ihre Ver­fah­ren.

3. Abschnitt: Amts­hil­fe

Art. 54 Amts­hil­fe zwi­schen schwei­ze­ri­schen Behör­den

1 Bun­des­be­hör­den und kan­to­na­le Behör­den geben dem EDÖB die Infor­ma­tio­nen und Per­so­nen­da­ten bekannt, die für die Erfül­lung sei­ner gesetz­li­chen Auf­ga­ben erfor­der­lich sind.

2 Der EDÖB gibt den fol­gen­den Behör­den die Infor­ma­tio­nen und Per­so­nen­da­ten bekannt, die für die Erfül­lung ihrer gesetz­li­chen Auf­ga­ben erfor­der­lich sind:

a. den Behör­den, die in der Schweiz für den Daten­schutz zustän­dig sind;
b. den zustän­di­gen Straf­ver­fol­gungs­be­hör­den, falls es um die Anzei­ge einer Straf­tat nach Arti­kel 65 Absatz 2 geht;
c. den Bun­des­be­hör­den sowie den kan­to­na­len und kom­mu­na­len Poli­zei­or­ga­nen für den Voll­zug der Mass­nah­men nach den Arti­keln 50 Absatz 4 und 51.

Art. 55 Amts­hil­fe gegen­über aus­län­di­schen Behör­den

1 Der EDÖB kann mit aus­län­di­schen Behör­den, die für den Daten­schutz zustän­dig sind, für die Erfül­lung ihrer jewei­li­gen gesetz­lich vor­ge­se­he­nen Auf­ga­ben im Bereich des Daten­schut­zes Infor­ma­tio­nen oder Per­so­nen­da­ten aus­tau­schen, wenn fol­gen­de Vor­aus­set­zun­gen erfüllt sind:

a. Die Gegen­sei­tig­keit der Amts­hil­fe ist sicher­ge­stellt.
b. Die Infor­ma­tio­nen und Per­so­nen­da­ten wer­den nur für das den Daten­schutz betref­fen­de Ver­fah­ren ver­wen­det, das dem Amts­hil­fe­er­su­chen zugrun­de liegt.
c. Die emp­fan­gen­de Behör­de ver­pflich­tet sich, das Berufs­ge­heim­nis sowie Geschäfts- und Fabri­ka­ti­ons­ge­heim­nis­se zu wah­ren.
d. Die Infor­ma­tio­nen und Per­so­nen­da­ten wer­den nur bekannt­ge­ge­ben, wenn die Behör­de, die sie über­mit­telt hat, dies vor­gän­gig geneh­migt.
e. Die emp­fan­gen­de Behör­de ver­pflich­tet sich, die Auf­la­gen und Ein­schrän­kun­gen der Behör­de ein­zu­hal­ten, die ihr die Infor­ma­tio­nen und Per­so­nen­da­ten über­mit­telt hat.

2 Um sein Amts­hil­fe­ge­such zu begrün­den oder um dem Ersu­chen einer Behör­de Fol­ge zu lei­sten, kann der EDÖB ins­be­son­de­re fol­gen­de Anga­ben machen:

a. Iden­ti­tät des Ver­ant­wort­li­chen, des Auf­trags­be­ar­bei­ters oder ande­rer betei­lig­ter Drit­ter;
b. Kate­go­rien der betrof­fe­nen Per­so­nen;
c. Iden­ti­tät der betrof­fe­nen Per­so­nen, falls:
1. die betrof­fe­nen Per­so­nen ein­ge­wil­ligt haben, oder
2. die Mit­tei­lung der Iden­ti­tät der betrof­fe­nen Per­so­nen unent­behr­lich ist zur Erfül­lung der gesetz­li­chen Auf­ga­ben durch den EDÖB oder die aus­län­di­sche Behör­de;
d. bear­bei­te­te Per­so­nen­da­ten oder Kate­go­rien bear­bei­te­ter Per­so­nen­da­ten;
e. Bear­bei­tungs­zweck;
f. Emp­fän­ge­rin­nen und Emp­fän­ger oder die Kate­go­rien der Emp­fän­ge­rin­nen und Emp­fän­ger;
g. tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men.

3 Bevor der EDÖB einer aus­län­di­schen Behör­de Infor­ma­tio­nen bekannt­gibt, die ein Berufs­ge­heim­nis, Geschäfts- oder Fabri­ka­ti­ons­ge­heim­nis­se ent­hal­ten kön­nen, infor­miert er die betrof­fe­nen natür­li­chen oder juri­sti­schen Per­so­nen, die Trä­ge­rin­nen die­ser Geheim­nis­se sind, und lädt sie zur Stel­lung­nah­me ein, es sei denn, dies ist nicht mög­lich oder erfor­dert einen unver­hält­nis­mä­ssi­gen Auf­wand.

4. Abschnitt: Ande­re Auf­ga­ben des EDÖB

Art. 56 Regi­ster

Der EDÖB führt ein Regi­ster der Bear­bei­tungs­tä­tig­kei­ten der Bun­des­or­ga­ne. Das Regi­ster wird ver­öf­fent­licht.

Art. 57 Infor­ma­ti­on

1 Der EDÖB erstat­tet der Bun­des­ver­samm­lung jähr­lich Bericht über sei­ne Tätig­keit. Er über­mit­telt ihn gleich­zei­tig dem Bun­des­rat. Der Bericht wird ver­öf­fent­licht.

2 In Fäl­len von all­ge­mei­nem Inter­es­se infor­miert der EDÖB die Öffent­lich­keit über sei­ne Fest­stel­lun­gen und Ver­fü­gun­gen.

Art. 58 Wei­te­re Auf­ga­ben

1 Der EDÖB nimmt dar­über hin­aus ins­be­son­de­re fol­gen­de Auf­ga­ben wahr:

a. Er infor­miert, schult und berät die Bun­des­or­ga­ne sowie pri­va­te Per­so­nen in Fra­gen des Daten­schut­zes.
b. Er unter­stützt die kan­to­na­len Orga­ne und arbei­tet mit schwei­ze­ri­schen und aus­län­di­schen Behör­den, die für den Daten­schutz zustän­dig sind, zusam­men.
c. Er sen­si­bi­li­siert die Bevöl­ke­rung, ins­be­son­de­re schutz­be­dürf­ti­ge Per­so­nen, in Bezug auf den Daten­schutz.
d. Er erteilt betrof­fe­nen Per­so­nen auf Anfra­ge Aus­kunft dar­über, wie sie ihre Rech­te aus­üben kön­nen.
e. Er nimmt Stel­lung zu Erlass­ent­wür­fen und Mass­nah­men des Bun­des, die eine Daten­be­ar­bei­tung zur Fol­ge haben.
f. Er nimmt die ihm durch das Öffent­lich­keits­ge­setz vom 17.

Dezem­ber 2004 oder ande­re Bun­des­ge­set­ze über­tra­ge­nen Auf­ga­ben wahr.

g. Er erar­bei­tet Arbeits­in­stru­men­te als Emp­feh­lun­gen der guten Pra­xis zuhan­den von Ver­ant­wort­li­chen, Auf­trags­be­ar­bei­tern und betrof­fe­nen Per­so­nen; hier­für berück­sich­tigt er die Beson­der­hei­ten des jewei­li­gen Bereichs sowie den Schutz von schutz­be­dürf­ti­gen Per­so­nen.

2 Er kann auch Bun­des­or­ga­ne bera­ten, die gemäss den Arti­keln 2 und 4 nicht sei­ner Auf­sicht unter­ste­hen. Die Bun­des­or­ga­ne kön­nen ihm Akten­ein­sicht gewäh­ren.

3 Der EDÖB ist befugt, gegen­über den aus­län­di­schen Behör­den, die für den Daten­schutz zustän­dig sind, zu erklä­ren, dass im Bereich des Daten­schut­zes in der Schweiz die direk­te Zustel­lung zuläs­sig ist, sofern der Schweiz Gegen­recht gewährt wird.

5. Abschnitt: Gebüh­ren

Art. 59

1 Der EDÖB erhebt von pri­va­ten Per­so­nen Gebüh­ren für:

a. die Stel­lung­nah­me zu einem Ver­hal­tens­ko­dex nach Arti­kel 11 Absatz 2;
b. die Geneh­mi­gung von Stan­dard­da­ten­schutz­klau­seln und ver­bind­li­chen unter­neh­mens­in­ter­nen Daten­schutz­vor­schrif­ten nach Arti­kel 16 Absatz 2 Buch­sta­ben d und e;
c. die Kon­sul­ta­ti­on auf­grund einer Daten­schutz-Fol­gen­ab­schät­zung nach Arti­kel 23 Absatz 2;
d. vor­sorg­li­che Mass­nah­men und Mass­nah­men nach Arti­kel 51;
e. Bera­tun­gen in Fra­gen des Daten­schut­zes nach Arti­kel 58 Absatz 1 Buch­sta­be a.

2 Der Bun­des­rat legt die Höhe der Gebüh­ren fest.

3 Er kann fest­le­gen, in wel­chen Fäl­len es mög­lich ist, auf die Erhe­bung einer Gebühr zu ver­zich­ten oder sie zu redu­zie­ren.

8. Kapi­tel: Straf­be­stim­mun­gen

Art. 60 Ver­let­zung von Informations‑, Aus­kunfts- und Mit­wir­kungs­pflich­ten

1 Mit Bus­se bis zu 250 000 Fran­ken wer­den pri­va­te Per­so­nen auf Antrag bestraft:

a. die ihre Pflich­ten nach den Arti­keln 19, 21 und 25 – 27 ver­let­zen, indem sie vor­sätz­lich eine fal­sche oder unvoll­stän­di­ge Aus­kunft ertei­len;
b. die es vor­sätz­lich unter­las­sen:
1. die betrof­fe­ne Per­son nach den Arti­keln 19 Absatz 1 und 21 Absatz 1 zu infor­mie­ren, oder
2. ihr die Anga­ben nach Arti­kel 19 Absatz 2 zu lie­fern.

2 Mit Bus­se bis zu 250 000 Fran­ken wer­den pri­va­te Per­so­nen bestraft, die unter Ver­stoss gegen Arti­kel 49 Absatz 3 dem EDÖB im Rah­men einer Unter­su­chung vor­sätz­lich fal­sche Aus­künf­te ertei­len oder vor­sätz­lich die Mit­wir­kung ver­wei­gern.

Art. 61 Ver­let­zung von Sorg­falts­pflich­ten

Mit Bus­se bis zu 250 000 Fran­ken wer­den pri­va­te Per­so­nen auf Antrag bestraft, die vor­sätz­lich:

a. unter Ver­stoss gegen Arti­kel 16 Absät­ze 1 und 2 und ohne dass die Vor­aus­set­zun­gen nach Arti­kel 17 erfüllt sind, Per­so­nen­da­ten ins Aus­land bekannt­ge­ben;
b. die Daten­be­ar­bei­tung einem Auf­trags­be­ar­bei­ter über­ge­ben, ohne dass die Vor­aus­set­zun­gen nach Arti­kel 9 Absät­ze 1 und 2 erfüllt sind;
c. die Min­dest­an­for­de­run­gen an die Daten­si­cher­heit, die der Bun­des­rat nach Arti­kel 8 Absatz 3 erlas­sen hat, nicht ein­hal­ten.

Art. 62 Ver­let­zung der beruf­li­chen Schwei­ge­pflicht

1 Wer gehei­me Per­so­nen­da­ten vor­sätz­lich offen­bart, von denen sie oder er bei der Aus­übung ihres oder sei­nes Beru­fes, der die Kennt­nis sol­cher Daten erfor­dert, Kennt­nis erlangt hat, wird auf Antrag mit Bus­se bis zu 250 000 Fran­ken bestraft.

2 Gleich wird bestraft, wer vor­sätz­lich gehei­me Per­so­nen­da­ten offen­bart, von denen sie oder er bei der Tätig­keit für eine geheim­hal­tungs­pflich­ti­ge Per­son oder wäh­rend der Aus­bil­dung bei die­ser Kennt­nis erlangt hat.

3 Das Offen­ba­ren gehei­mer Per­so­nen­da­ten ist auch nach Been­di­gung der Berufs­aus­übung oder der Aus­bil­dung straf­bar.

Art. 63 Miss­ach­ten von Ver­fü­gun­gen

Mit Bus­se bis zu 250 000 Fran­ken wer­den pri­va­te Per­so­nen bestraft, die einer Ver­fü­gung des EDÖB oder einem Ent­scheid der Rechts­mit­tel­in­stan­zen, die oder der unter Hin­weis auf die Straf­dro­hung die­ses Arti­kels ergan­gen ist, vor­sätz­lich nicht Fol­ge lei­sten.

Art. 64 Wider­hand­lun­gen in Geschäfts­be­trie­ben

1 Für Wider­hand­lun­gen in Geschäfts­be­trie­ben sind die Arti­kel 6 und 7 des Bun­des­ge­set­zes vom 22. März 1974 über das Ver­wal­tungs­straf­recht (VStrR) anwend­bar.

2 Fällt eine Bus­se von höch­stens 50 000 Fran­ken in Betracht und wür­de die Ermitt­lung der nach Arti­kel 6 VStrR straf­ba­ren Per­so­nen Unter­su­chungs­mass­nah­men bedin­gen, die im Hin­blick auf die ver­wirk­te Stra­fe unver­hält­nis­mä­ssig wären, so kann die Behör­de von einer Ver­fol­gung die­ser Per­so­nen abse­hen und an ihrer Stel­le den Geschäfts­be­trieb (Art. 7 VStrR) zur Bezah­lung der Bus­se ver­ur­tei­len.

Art. 65 Zustän­dig­keit

1 Die Ver­fol­gung und die Beur­tei­lung straf­ba­rer Hand­lun­gen oblie­gen den Kan­to­nen.

2 Der EDÖB kann bei der zustän­di­gen Straf­ver­fol­gungs­be­hör­de Anzei­ge erstat­ten und im Ver­fah­ren die Rech­te einer Pri­vat­klä­ger­schaft wahr­neh­men.

Art. 66 Ver­fol­gungs­ver­jäh­rung

Die Straf­ver­fol­gung ver­jährt nach fünf Jah­ren.

9. Kapi­tel: Abschluss von Staats­ver­trä­gen

Art. 67

Der Bun­des­rat kann Staats­ver­trä­ge abschlie­ssen betref­fend:

a. die inter­na­tio­na­le Zusam­men­ar­beit zwi­schen Daten­schutz­be­hör­den;
b. die gegen­sei­ti­ge Aner­ken­nung eines ange­mes­se­nen Schut­zes für die Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land.

10. Kapi­tel: Schluss­be­stim­mun­gen

Art. 68 Auf­he­bung und Ände­rung ande­rer Erlas­se

Die Auf­he­bung und die Ände­rung ande­rer Erlas­se wer­den im Anhang 1 gere­gelt.

Art. 69 Über­gangs­be­stim­mun­gen betref­fend lau­fen­de Bear­bei­tun­gen

Die Arti­kel 7, 22 und 23 sind nicht anwend­bar auf Daten­be­ar­bei­tun­gen, die vor Inkraft­tre­ten die­ses Geset­zes begon­nen wur­den, wenn der Bear­bei­tungs­zweck unver­än­dert bleibt und kei­ne neu­en Daten beschafft wer­den.

Art. 70 Über­gangs­be­stim­mung betref­fend lau­fen­de Ver­fah­ren

Die­ses Gesetz gilt nicht für Unter­su­chun­gen des EDÖB, die im Zeit­punkt des Inkraft­tre­tens hän­gig sind; es ist eben­falls nicht anwend­bar auf hän­gi­ge Beschwer­den gegen erst­in­stanz­li­che Ent­schei­de, die vor sei­nem Inkraft­tre­ten ergan­gen sind. Die­se Fäl­le unter­ste­hen dem bis­he­ri­gen Recht.

Art. 71 Über­gangs­be­stim­mung betref­fend Daten juri­sti­scher Per­so­nen

Für Bun­des­or­ga­ne fin­den Vor­schrif­ten in ande­ren Bun­des­er­las­sen, die sich auf Per­so­nen­da­ten bezie­hen, wäh­rend fünf Jah­ren nach Inkraft­tre­ten die­ses Geset­zes wei­ter Anwen­dung auf Daten juri­sti­scher Per­so­nen. Ins­be­son­de­re kön­nen Bun­des­or­ga­ne wäh­rend fünf Jah­ren nach Inkraft­tre­ten die­ses Geset­zes Daten juri­sti­scher Per­so­nen nach Arti­kel 57s Absät­ze 1 und 2 des Regie­rungs- und Ver­wal­tungs­or­ga­ni­sa­ti­ons­ge­set­zes vom 21. März 1997 wei­ter­hin bekannt­ge­ben, wenn sie gestützt auf eine Rechts­grund­la­ge zur Bekannt­ga­be von Per­so­nen­da­ten ermäch­tigt sind.

Art. 72 Über­gangs­be­stim­mung betref­fend die Wahl und die Been­di­gung der Amts­dau­er der oder des Beauf­trag­ten

Die Wahl der oder des Beauf­trag­ten sowie die Been­di­gung ihrer oder sei­ner Amts­dau­er unter­ste­hen bis zum Ende der Legis­la­tur­pe­ri­ode, in der die­ses Gesetz in Kraft tritt, dem bis­he­ri­gen Recht.

Art. 73 Koor­di­na­ti­on

Die Koor­di­na­ti­on mit ande­ren Erlas­sen wird im Anhang 2 gere­gelt.

Art. 74 Refe­ren­dum und Inkraft­tre­ten

1 Die­ses Gesetz unter­steht dem fakul­ta­ti­ven Refe­ren­dum.

2 Der Bun­des­rat bestimmt das Inkraft­tre­ten.