1
Verordnung
zum Bundesgesetz über den Datenschutz (VDSG) vom 14. Juni 1993 (Stand am 5. Dezember 2006) Der Schweizerische Bundesrat, gestützt auf die Artikel 6, 7, 8, 11, 16, 24 und 36 des Bundesgesetzes
vom 19. Juni 19921 über den Datenschutz (DSG), verordnet: 1. Kapitel: Bearbeiten von Personendaten durch private Personen 1. Abschnitt: Auskunftsrecht
Art. 1
Modalitäten 1 Jede Person, die vom Inhaber einer Datensammlung Auskunft darüber verlangt, ob Daten über sie bearbeitet werden (Art. 8 DSG), muss dies in der Regel in schriftlicher Form beantragen und sich über ihre Identität ausweisen.
2
Der Inhaber der Datensammlung erteilt die Auskunft in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie.
3
Im Einvernehmen mit dem Inhaber der Datensammlung oder auf dessen Vorschlag hin kann die betroffene Person ihre Daten auch an Ort und Stelle einsehen. Die Auskunft kann auch mündlich erteilt werden, wenn die betroffene Person eingewilligt hat und vom Inhaber identifiziert worden ist.
4
Die Auskunft oder der begründete Entscheid über die Beschränkung des Auskunftsrechts (Art. 9 und 10 DSG) wird innert 30 Tagen seit dem Eingang des Auskunftsbegehrens erteilt. Kann die Auskunft nicht innert 30 Tagen erteilt werden, so muss der Inhaber der Datensammlung den Gesuchsteller hierüber benachrichtigen und ihm die Frist mitteilen, in der die Auskunft erfolgen wird.
5
Werden eine oder mehrere Datensammlungen von mehreren Inhabern gemeinsam geführt, kann das Auskunftsrecht bei jedem Inhaber geltend gemacht werden, sofern nicht einer von ihnen für die Behandlung aller Auskunftsbegehren verantwortlich ist.
Wenn der Inhaber der Datensammlung zur Auskunftserteilung nicht ermächtigt ist, leitet er das Begehren an den Zuständigen weiter.
6
Werden die verlangten Angaben von einem Dritten im Auftrag einer privaten Person bearbeitet, so leitet diese das Auskunftsbegehren an den Dritten zur Erledigung weiter, sofern sie nicht selber in der Lage ist, Auskunft zu erteilen.
AS 1993 1962 1
SR 235.1
235.11
Datenschutz
2
235.11
7
Wird Auskunft über Daten von verstorbenen Personen verlangt, so ist sie zu erteilen, wenn der Gesuchsteller ein Interesse an der Auskunft nachweist und keine überwiegenden Interessen von Angehörigen der verstorbenen Person oder von Dritten entgegenstehen. Nahe Verwandtschaft sowie Ehe mit der verstorbenen Person begründen ein Interesse.
Art. 2
Ausnahmen von der Kostenlosigkeit 1
Eine angemessene Beteiligung an den Kosten kann ausnahmsweise verlangt werden, wenn:
a. der antragstellenden Person in den zwölf Monaten vor dem Gesuch die gewünschten Auskünfte bereits mitgeteilt wurden und kein schutzwürdiges Interesse an einer neuen Auskunftserteilung nachgewiesen werden kann. Ein schutzwürdiges Interesse ist insbesondere gegeben, wenn die Personendaten ohne Mitteilung an die betroffene Person verändert wurden;
b. die Auskunftserteilung mit einem besonders grossen Arbeitsaufwand verbunden ist.
2
Die Beteiligung beträgt maximal 300 Franken. Der Gesuchsteller ist über die Höhe der Beteiligung vor der Auskunftserteilung in Kenntnis zu setzen und kann sein Gesuch innert zehn Tagen zurückziehen.
2. Abschnitt: Anmeldung der Datensammlungen
Art. 3
Anmeldung
1
Datensammlungen (Art. 11 Abs. 3 DSG) sind beim eidgenössischen Datenschutzund Öffentlichkeitsbeauftragten (Beauftragter)2 anzumelden, bevor die Datensammlung eröffnet wird. Die Anmeldung enthält folgende Angaben:
a. Name und Adresse des Inhabers der Datensammlung; b. Name und vollständige Bezeichnung der Datensammlung; c. Person, bei welcher das Auskunftsrecht geltend gemacht werden kann; d. Zweck der Datensammlung; e. Kategorien der bearbeiteten Personendaten; f. Kategorien der
Datenempfänger;
g. Kategorien der an der Datensammlung Beteiligten, das heisst Dritte, die in die Datensammlung Daten eingeben und Änderungen an den Daten vornehmen dürfen.
2
Jeder Inhaber einer Datensammlung aktualisiert diese Angaben laufend. Der Beauftragte erfasst periodisch die erfolgten Änderungen.
2
Ausdruck gemäss Anhang 2 Ziff. 3 der Öffentlichkeitsverordnung vom 24. Mai 2006, in Kraft seit 1. Juli 2006 (SR 152.31). Diese Änd. ist im ganzen Erlass berücksichtigt.
Verordnung
3
235.11
Art. 4
Datensammlungen der Medien Datensammlungen sind nicht anzumelden, wenn: a. sie vom Inhaber ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums verwendet werden und wenn ihre Daten Dritten nicht bekannt gegeben werden, ohne dass die betroffenen Personen davon Kenntnis haben; b. sie ausschliesslich als persönliches Arbeitsinstrument des Journalisten verwendet werden.
3. Abschnitt: Bekanntgabe ins Ausland
Art. 5
Meldepflichtige Datensammlungen Als meldepflichtige Übermittlung von Datensammlungen ins Ausland (Art. 6 Abs. 2 DSG) gelten namentlich: a. das Zugänglichmachen von Personendaten durch Abrufverfahren; b. die Übermittlung einer Datensammlung an einen Dritten, der die Personendaten im Auftrag des Übermittlers bearbeitet.
Art. 6
Anmeldeverfahren
1
Der Inhaber der Datensammlung meldet die Datensammlung vor der Übermittlung schriftlich an. Die Anmeldung enthält folgende Angaben: a. Name und Adresse der Person, welche die Personendaten bekannt gibt; b. Name und Adresse des Datenempfängers; c. Name und vollständige Bezeichnung der Datensammlung; d. Kategorien der bekannt gegebenen Personendaten; e. Kreis und ungefähre Anzahl der betroffenen Personen; f.
Zweck der Datenbearbeitung durch den Empfänger; g. Art und Häufigkeit der Bekanntgabe; h. Datum der ersten Bekanntgabe.
2
Erfolgt die Bekanntgabe der Daten regelmässig, muss die Anmeldung vor der ersten Bekanntgabe erfolgen. Nachträgliche Änderungen, insbesondere des Datenempfängers, der Kategorien der übermittelten Personendaten oder des Zwecks der Bekanntgabe, müssen ebenfalls angemeldet werden.
3
Die Bekanntgabe derselben Datenkategorien für den gleichen Bearbeitungszweck im Rahmen einer Gruppe von Unternehmen oder an verschiedene Empfänger kann Gegenstand einer globalen Anmeldung bilden.
Datenschutz
4
235.11
Art. 7
Ausnahme von der Meldepflicht 1
Die Übermittlung von Datensammlungen für nicht personenbezogene Zwecke, insbesondere in der Forschung, Planung und Statistik, ist nicht meldepflichtig, sofern die Form der Veröffentlichung der Resultate eine Identifizierung der betroffenen Personen nicht zulässt.
2
Die Übermittlung von Datensammlungen in Staaten, die über eine gleichwertige Datenschutzgesetzgebung verfügen, ist nicht meldepflichtig, es sei denn, die Datensammlungen enthalten besonders schützenswerte Personendaten oder Persönlichkeitsprofile, oder eine Weiterleitung in ein Drittland ohne gleichwertige Gesetzgebung sei vorgesehen.
3
Der Beauftragte erstellt eine Liste der Staaten, die über eine gleichwertige Datenschutzgesetzgebung verfügen, und stellt sie denjenigen zur Verfügung, die Personendaten ins Ausland übermitteln.
4. Abschnitt: Technische und organisatorische Massnahmen
Art. 8
Allgemeine Massnahmen 1
Wer als Privatperson Personendaten bearbeitet oder ein Datenkommunikationsnetz zur Verfügung stellt, sorgt für die Vertraulichkeit, die Verfügbarkeit und die Richtigkeit der Daten, um einen angemessenen Datenschutz zu gewährleisten. Insbesondere schützt er die Systeme gegen folgende Risiken: a. unbefugte oder zufällige Vernichtung; b. zufälligen Verlust;
c. technische
Fehler;
d. Fälschung, Diebstahl oder widerrechtliche Verwendung; e. unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.
2
Die technischen und organisatorischen Massnahmen müssen angemessen sein. Insbesondere tragen sie folgenden Kriterien Rechnung:
a. Zweck der Datenbearbeitung; b. Art und Umfang der Datenbearbeitung; c. Einschätzung der möglichen Risiken für die betroffenen Personen; d. gegenwärtiger Stand der Technik.
3
Diese Massnahmen sind periodisch zu überprüfen.
4
Der Beauftragte kann in diesem Bereich Empfehlungen in Form von Handbüchern erlassen.
Verordnung
5
235.11
Art. 9
Besondere Massnahmen
1
Der Inhaber der Datensammlung trifft insbesondere bei der automatisierten Bearbeitung von Personendaten die technischen und organisatorischen Massnahmen, die geeignet sind, namentlich folgenden Zielen gerecht zu werden:
a. Zugangskontrolle: unbefugten Personen ist der Zugang zu den Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren;
b. Personendatenträgerkontrolle: unbefugten Personen ist das Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verunmöglichen; c. Transportkontrolle: bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern ist zu verhindern, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können; d. Bekanntgabekontrolle: Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden, müssen identifiziert werden können;
e. Speicherkontrolle: unbefugte Eingabe in den Speicher sowie unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten sind zu verhindern;
f. Benutzerkontrolle: die Benutzung von automatisierten Datenverarbeitungssystemen mittels Einrichtungen zur Datenübertragung durch unbefugte Personen ist zu verhindern;
g. Zugriffskontrolle: der Zugriff der berechtigten Personen ist auf diejenigen Personendaten zu beschränken, die sie für die Erfüllung ihrer Aufgabe benötigen; h. Eingabekontrolle: in automatisierten Systemen muss nachträglich überprüft werden können, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden.
2
Die Datensammlungen sind so zu gestalten, dass die betroffenen Personen ihr Auskunftsrecht und ihr Recht auf Berichtigung wahrnehmen können.
Art. 10
Protokollierung 1 Der Inhaber der Datensammlung protokolliert die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen, wenn die präventiven Massnahmen den Datenschutz nicht gewährleisten können. Eine Protokollierung hat insbesondere dann zu erfolgen, wenn sonst nicht nachträglich festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie erhoben oder bekannt gegeben wurden. Der Beauftragte kann die Protokollierung auch für andere Bearbeitungen empfehlen.
2
Die Protokolle sind während eines Jahres revisionsgerecht festzuhalten. Sie sind ausschliesslich den Organen oder privaten Personen zugänglich, denen die Überwachung der Datenschutzvorschriften obliegt, und dürfen nur für diesen Zweck verwendet werden.
Datenschutz
6
235.11
Art. 11
Bearbeitungsreglement Der Inhaber einer meldepflichtigen automatisierten Datensammlung (Art. 11 Abs. 3 DSG) erstellt ein Bearbeitungsreglement, das insbesondere die interne Organisation sowie das Datenbearbeitungs- und Kontrollverfahren umschreibt und die Unterlagen über die Planung, die Realisierung und den Betrieb der Datensammlung und der Informatikmittel enthält.
Art. 12
Bekanntgabe der Daten Der Inhaber der Datensammlung meldet dem Datenempfänger die Aktualität und die Zuverlässigkeit der von ihm bekannt gegebenen Personendaten, soweit diese Informationen nicht aus den Daten selbst oder aus den Umständen ersichtlich sind.
2. Kapitel: Bearbeiten von Personendaten durch Bundesorgane 1. Abschnitt: Auskunftsrecht
Art. 13
Modalitäten
Artikel 1 und 2 sind auf die an Bundesorgane gerichteten Auskunftsbegehren sinngemäss anwendbar.
Art. 14
Auskunftsbegehren an die diplomatischen Vertretungen der Schweiz im Ausland 1
Die Vertretungen der Schweiz im Ausland sowie die Missionen bei den Europäischen Gemeinschaften und bei internationalen Organisationen übermitteln Auskunftsgesuche, die bei ihnen gestellt werden, der zuständigen Stelle im eidgenössischen Departement für auswärtige Angelegenheiten. Das Departement regelt die Zuständigkeiten.3 2
Im Übrigen gelten für die Auskunftsbegehren über die Militärkontrolle im Ausland die Bestimmungen der Verordnung vom 29. Oktober 19864 über das militärische Kontrollwesen.
Art. 15
5
Fassung gemäss Anhang 2 Ziff. 3 der Öffentlichkeitsverordnung vom 24. Mai 2006, in Kraft seit 1. Juli 2006 (SR 152.31).
4
[AS 1986 2353, 1991 112,1992 2394 Ziff. II 2489, 1997 2779]. Siehe heute die V vom 10. Dez. 2004 über das militärische Kontrollwesen (SR 511.22).
5
Aufgehoben gemäss Art. 26 Abs. 2 der Archivierungsverordnung vom 8. Sept. 1999 (SR 152.11).
Verordnung
7
235.11
2. Abschnitt: Anmeldung der Datensammlungen
Art. 16
Ordentliche Anmeldung 1
Die verantwortlichen Bundesorgane (Art. 16 DSG) melden alle von ihnen geführten Datensammlungen vor deren Eröffnung beim Beauftragten an. Die Anmeldung enthält folgende Angaben:
a. Name und Adresse des verantwortlichen Bundesorgans; b. Name und vollständige Bezeichnung der Datensammlung; c. das Organ, bei dem das Auskunftsrecht geltend gemacht werden kann; d. Rechtsgrundlage und Zweck der Datensammlung; e. Kategorien der bearbeiteten Personendaten; f.
Kategorien der Empfänger der Daten; g. Kategorien der an der Datensammlung Beteiligten, das heisst Dritte, die Daten in eine Datensammlung eingeben und verändern dürfen;
h. Kreis und ungefähre Anzahl der betroffenen Personen.
2
Das verantwortliche Bundesorgan aktualisiert diese Angaben laufend und meldet jährlich die eingetretenen Änderungen an.
Art. 17
Vereinfachte Anmeldung und Veröffentlichung 1
Folgende Datensammlungen bilden Gegenstand einer vereinfachten Anmeldung und Veröffentlichung, sofern die Bundesorgane sie ausschliesslich für verwaltungsinterne Zwecke verwenden: a. Manuelle
Korrespondenzregistraturen; b. Datensammlungen von Lieferanten oder Kunden, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten; c. Adressensammlungen, die einzig der Adressierung dienen, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten; d. Listen für Entschädigungszahlungen; e. Buchhaltungsunterlagen; f. Hilfsdatensammlungen für die Personalverwaltung des Bundes, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten; g. Bibliothekdatensammlungen (Autorenkataloge, Ausleiher- und Benutzerverzeichnisse);
h. Datensammlungen die beim Bundesarchiv hinterlegt sind.
Datenschutz
8
235.11
2
Die vereinfachte Anmeldung enthält folgende Angaben: a. Name und Adresse des verantwortlichen Bundesorgans; b. Name und vollständige Bezeichnung der Datensammlung; c. das Organ, bei dem das Auskunftsrecht geltend gemacht werden kann.
3
Wenn ein Bundesorgan mehrere Datensammlungen verwaltet, die einer der in Absatz 1 erwähnten Kategorien angehören, bilden diese Datensammlungen Gegenstand einer globalen Anmeldung.
4
Der Beauftragte kann auf Ersuchen für andere Datensammlungen die vereinfachte Anmeldung zulassen, wenn diese die Persönlichkeit der betroffenen Personen nicht gefährden.
Art. 18
Ausnahmen von der Veröffentlichung 1
Datensammlungen werden im Register nicht veröffentlicht, wenn sie: a. für höchstens zwei Jahre verwendet werden; b. im Bundesarchiv aufbewahrt werden; c. Hilfsdatensammlungen für die Personalverwaltung sind, soweit die verantwortlichen Bundesorgane die interne Veröffentlichung dieser Datensammlungen gewährleisten;
d. in Form von Jahrbüchern der Öffentlichkeit zugänglich sind.
2
Artikel 7 Absätze 3 und 4 der Verordnung vom 14. Juni 19936 über die Bearbeitung von Personendaten im präventiven Staatsschutz sind auf die Datensammlungen für die militärische Sicherheit sinngemäss anwendbar.
3. Abschnitt: Bekanntgabe ins Ausland
Art. 19
1 Bundesorgane melden dem Beauftragten die Übermittlung von Datensammlungen und die regelmässige Bekanntgabe von Personendaten ins Ausland, wenn sie nicht ausdrücklich in einer gesetzlichen Bestimmung vorgesehen sind und die betroffenen Personen davon keine Kenntnis haben.
2
Die schriftliche Anmeldung erfolgt vor der Bekanntgabe. Sie enthält folgende Angaben:
a. Name und Adresse des Organs, das die Personendaten bekannt gibt; b. Name und Adresse des Datenempfängers; c. Name und vollständige Bezeichnung der Datensammlung; d. Kategorien der bekannt gegebenen Personendaten; 6
[AS 1993 1979]
Verordnung
9
235.11
e. Kreis und ungefähre Anzahl der betroffenen Personen; f.
Rechtsgrundlage und Zweck der Bearbeitung durch den Empfänger; g. Art und Häufigkeit der Bekanntgabe; h. Datum der ersten Bekanntgabe.
3
Die Bekanntgabe von Daten der gleichen Kategorien an verschiedene Empfänger für den nämlichen Bearbeitungszweck kann Gegenstand einer globalen Anmeldung bilden.
4. Abschnitt: Technische und organisatorische Massnahmen
Art. 20
7
1
Die verantwortlichen Bundesorgane treffen die nach den Artikeln 8-10 erforderlichen technischen und organisatorischen Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der Personen, über die Daten bearbeitet werden. Bei der automatisierten Datenbearbeitung arbeiten die Bundesorgane mit dem Informatikstrategieorgan Bund (ISB) zusammen.
2
Die verantwortlichen Bundesorgane melden dem Beauftragten unverzüglich alle Projekte zur automatisierten Bearbeitung von Personendaten, damit die Erfordernisse des Datenschutzes sogleich berücksichtigt werden. Die Meldung an den Datenschutzbeauftragten erfolgt über das ISB, wenn das Projekt auch bei diesem angemeldet werden muss.
3
Der Beauftragte und das ISB arbeiten im Rahmen ihrer Aktivitäten betreffend die technischen Massnahmen zusammen. Der Datenschutzbeauftragte holt die Stellungnahme des ISB ein, bevor er solche Massnahmen empfiehlt.
4
Im Übrigen ist die Bundesinformatikverordnung vom 23. Februar 20008 anwendbar.
Art. 21
Bearbeitungsreglement 1
Die verantwortlichen Bundesorgane erstellen ein Bearbeitungsreglement für automatisierte Datensammlungen, die:
a. besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten; b. durch mehrere Bundesorgane benutzt werden; c. Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen zugänglich gemacht werden; oder
d. mit anderen Datensammlungen verknüpft sind.
7
Fassung gemäss Anhang Ziff. II 7 der Bundesinformatikverordnung vom 23. Febr. 2000 [AS 2000 1227].
8 [AS
2000 1227. AS 2003 3687 Anhang Ziff I 1]. Siehe heute die V vom 26. Sept. 2003 (SR 172.010.58).
Datenschutz
10
235.11
2
Das verantwortliche Bundesorgan legt seine interne Organisation in dem Bearbeitungsreglement fest. Dieses umschreibt insbesondere die Datenbearbeitungs- und Kontrollverfahren und enthält alle Unterlagen über die Planung, Realisierung und den Betrieb der Datensammlung. Das Reglement enthält die für die Meldepflicht erforderlichen Angaben (Art. 16) sowie Angaben über:
a. das für den Datenschutz und die Datensicherheit der Daten verantwortliche Organ;
b. die Herkunft der Daten; c. die Zwecke, für welche die Daten regelmässig bekannt gegeben werden; d. die Kontrollverfahren und insbesondere die technischen und organisatorischen Massnahmen nach Artikel 20;
e. die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben;
f.
Art und Umfang des Zugriffs der Benutzer der Datensammlung; g. die Datenbearbeitungsverfahren, insbesondere die Verfahren bei der Berichtigung, Sperrung, Anonymisierung, Speicherung, Aufbewahrung, Archivierung oder Vernichtung der Daten;
h. die Konfiguration der Informatikmittel; i.
das Verfahren zur Ausübung des Auskunftsrechts.
3
Das Reglement wird regelmässig aktualisiert. Es wird den zuständigen Kontrollorganen in einer für diese verständlichen Form zur Verfügung gestellt.
Art. 22
Datenbearbeitung im Auftrag 1
Ein Bundesorgan kann Personendaten durch einen Dritten bearbeiten lassen, wenn der Datenschutz gewährleistet ist.
2
Das Bundesorgan, das Personendaten durch Dritte bearbeiten lässt, bleibt für den Datenschutz verantwortlich. Es sorgt dafür, dass die Daten auftragsgemäss bearbeitet werden, insbesondere was deren Verwendung und Bekanntgabe betrifft.
3
Untersteht der Dritte dem DSG nicht, vergewissert sich das verantwortliche Organ, dass andere gesetzliche Bestimmungen einen gleichwertigen Datenschutz gewährleisten, andernfalls stellt es diesen auf vertraglichem Wege sicher.
Art. 23
Berater für den Datenschutz Die Bundeskanzlei und die Departemente bezeichnen jeweils mindestens einen Berater für den Datenschutz. Dieser Berater hat folgende Aufgaben: a. Unterstützung der verantwortlichen Organe und Benützer; b. Förderung der Information und der Ausbildung der Mitarbeiter; c. Mitwirkung beim Vollzug der Datenschutzvorschriften.
Verordnung
11
235.11
5. Abschnitt: Besondere Bestimmungen
Art. 24
Beschaffung von Personendaten 1
Ist die befragte Person gesetzlich zur Erteilung einer Auskunft verpflichtet, muss sie von dem Bundesorgan, das die Personendaten erhebt, auf die Folgen der Auskunftsverweigerung oder einer falschen Antwort hingewiesen werden.
2
Ist die befragte Person nicht zur Auskunftserteilung verpflichtet, muss sie vom Bundesorgan, das die Personendaten systematisch mittels Fragebogen erhebt, auf die Freiwilligkeit der Auskunftserteilung hingewiesen werden.
Art. 25
Persönliche Identifikationsnummer 1
Das Bundesorgan, welches für die Verwaltung seiner Datensammlung eine persönliche Identifikationsnummer einführt, schafft eine nichtsprechende Nummer, die im eigenen Aufgabenbereich verwendet wird. Eine nichtsprechende Nummer ist jede eindeutige oder umkehrbar eindeutige Summe von Zeichen, die jeder Person, die in einer Datensammlung registriert ist, zugeteilt wird, und aus der keine Rückschlüsse auf die Person gezogen werden können.
2
Die Verwendung der persönlichen Identifikationsnummer durch andere Organe des Bundes oder der Kantone sowie durch private Personen muss vom betroffenen Bundesorgan genehmigt werden.
3
Die Genehmigung kann erteilt werden, wenn ein enger Zusammenhang zwischen der vorgesehenen und derjenigen Datenbearbeitung besteht, für welche die persönliche Identifikationsnummer geschaffen wurde.
4
Im Übrigen wird die Verwendung der AHV-Nummer von der AHV-Gesetzgebung geregelt.
Art. 26
Bekanntgabe der Daten Das verantwortliche Bundesorgan meldet dem Datenempfänger die Aktualität und die Zuverlässigkeit der von ihm bekannt gegebenen Personendaten, soweit diese Informationen nicht aus den Daten selbst oder aus den Umständen ersichtlich sind.
Art. 27
9
Die Bundesorgane bieten nach dem Bundesgesetz vom 26. Juni 199810 über die Archivierung alle Personendaten, die sie nicht mehr ständig benötigen, dem Schweizerischen Bundesarchiv zur Übernahme an, soweit sie nicht selbst für deren Archivierung zuständig sind.
9
Fassung gemäss Art. 27 Ziff. 2 der Archivierungsverordnung vom 8. Sept. 1999 (SR 152.11).
10 SR
152.1
Datenschutz
12
235.11
2
Die Bundesorgane vernichten die Personendaten, die vom Schweizerischen Bundesarchiv als nicht archivwürdig bezeichnet wurden, ausser wenn sie:
a. anonymisiert
sind;
b. zu Beweis- oder Sicherungszwecken erhalten bleiben müssen.
3. Kapitel:
Register der Datensammlungen, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter und Verfahren vor dem Bundesverwaltungsgericht11 1. Abschnitt: Register und Registrierung von Datensammlungen
Art. 28
Register der Datensammlungen 1
Das vom Beauftragten geführte Register enthält die Informationen nach den Artikeln 3, 16 und 17.
2
Das Register ist öffentlich und kann beim Beauftragten kostenlos eingesehen werden.
3
Eine Liste der registrierten Datensammlungen wird periodisch im Bundesblatt veröffentlicht.
Art. 29
Registrierung von Datensammlungen 1
Liegt eine vollständige und formgerechte Anmeldung vor, registriert der Datenschutzbeauftragte die Datensammlung. Bevor die Datensammlung registriert wird, prüft der Beauftragte summarisch die Rechtmässigkeit der Datenbearbeitung.
2
Wenn die zu registrierende Datensammlung die Vorschriften des Datenschutzes verletzt, empfiehlt der Beauftragte, die vorgesehene Datenbearbeitung zu ändern, einzustellen oder zu unterlassen. Er schiebt die Registrierung auf, bis die Rechtslage geklärt ist.
3
Wenn der Inhaber seine Datensammlung nicht oder nur unvollständig anmeldet, setzt ihm der Beauftragte eine Frist, um seinen Verpflichtungen nachzukommen.
Nach Ablauf der Frist kann er gestützt auf die Angaben, die ihm zur Verfügung stehen, von Amtes wegen die Datensammlung registrieren oder die Einstellung der Bearbeitung empfehlen.
11 Ausdruck gemäss Ziff. II 24 der V vom 8. Nov. 2006 über die Anpassung von Bundesratsverordnungen an die Totalrevision der Bundesrechtspflege, in Kraft seit 1. Jan. 2007
(AS 2006 4705). Diese Änd. ist im ganzen Erlass berücksichtigt.
Verordnung
13
235.11
2. Abschnitt: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Art. 30
Sitz und Rechtsstellung 1
Sitz und Sekretariat des Beauftragten befinden sich in Bern.
2
Das Dienstverhältnis des Sekretariats des Beauftragten bestimmt sich nach dem Beamtengesetz12 sowie nach dessen Vollzugsbestimmungen.
Art. 31
Beziehungen zu anderen Behörden und privaten Personen 1
Der Beauftragte verkehrt mit dem Bundesrat über den Vorsteher des Eidgenössischen Justiz- und Polizeidepartements. Dieser übermittelt dem Bundesrat alle Empfehlungen und Berichte des Datenschutzbeauftragten, selbst wenn er diesen nicht zustimmen kann.
2
Der Beauftragte verkehrt direkt mit den anderen Verwaltungseinheiten, den eidgenössischen Gerichten, den ausländischen Datenschutzbehörden und mit allen anderen Behörden und privaten Personen, die der Datenschutzgesetzgebung des Bundes oder der Gesetzgebung über das Öffentlichkeitsprinzip der Verwaltung unterstehen.13
Art. 32
Dokumentation
1
Die Bundesämter legen dem Beauftragten alle Rechtssetzungsentwürfe vor, welche die Bearbeitung von Personendaten, den Datenschutz sowie den Zugang zu amtlichen Dokumenten betreffen. Im Bereich des Datenschutzes teilen ihm die Departemente und die Bundeskanzlei ihre Entscheide in anonymisierter Form sowie ihre Richtlinien mit.14 2 Der Beauftragte muss über eine für seine Tätigkeit ausreichende Dokumentation verfügen. Er betreibt ein unabhängiges Informationssystem für die Dokumentation, die Aktenregistratur und das Register der Datensammlungen.
3
Das Bundesverwaltungsgericht hat Zugriff auf die wissenschaftliche Dokumentation des Beauftragten.15
12
SR 172.221.10. Siehe heute das Bundespersonalgesetz vom 24. März 2000 (SR 172.220.1).
13 Fassung gemäss Ziff. II 24 der V vom 8. Nov. 2006 über die Anpassung von Bundesratsverordnungen an die Totalrevision der Bundesrechtspflege, in Kraft seit 1. Jan. 2007
(AS 2006 4705).
14 Fassung gemäss Anhang 2 Ziff. 3 der Öffentlichkeitsverordnung vom 24. Mai 2006, in Kraft seit 1. Juli 2006 (SR 152.31).
15 Fassung gemäss Ziff. II 24 der V vom 8. Nov. 2006 über die Anpassung von Bundesratsverordnungen an die Totalrevision der Bundesrechtspflege, in Kraft seit 1. Jan. 2007
(AS 2006 4705).
Datenschutz
14
235.11
Art. 33
Gebühren
1
Für die Gutachten (Art. 28 DSG) des Beauftragten wird eine Gebühr erhoben. Die Bestimmungen der Verordnung vom 30. Oktober 198516 über Gebühren für Dienstleistungen des Bundesamtes für Justiz sind anwendbar.
2
Gegenüber Verwaltungseinheiten des Bundes, Behörden und der Kantone wird keine Gebühr erhoben.
Art. 34
Prüfung der Datenbearbeitung von Personendaten 1
Für die Abklärung des Sachverhalts nach den Artikeln 27 und 29 DSG, insbesondere bei der Prüfung der Rechtmässigkeit der Datenbearbeitung, kann der Beauftragte vom Inhaber der Datensammlung insbesondere folgende Auskünfte verlangen:
a. technische und organisatorische Massnahmen (Art. 8-10, 20), die getroffen wurden oder geplant sind; b. die Regelungen betreffend Berichtigung, Sperrung, Anonymisierung, Speicherung, Aufbewahrung und Vernichtung von Personendaten;
c. die Konfiguration der Informatikmittel; d. die Verknüpfungen mit anderen Datensammlungen; e. die Art der Bekanntgabe der Daten; f.
die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben; g. Art und Umfang des Zugriffs der Benutzer auf die Daten der Datensammlung.
2
Bei Bekanntgaben ins Ausland kann der Beauftragte zusätzliche Angaben verlangen, insbesondere über die Bearbeitungsmöglichkeiten des Datenempfängers oder über die zum Datenschutz getroffenen Massnahmen.
3. Abschnitt: Verfahren vor dem Bundesverwaltungsgericht
Art. 35
17 1 Das Bundesverwaltungsgericht kann verlangen, dass ihm Datenbearbeitungen vorgelegt werden.
2
Es gibt dem Beauftragten seine Entscheide bekannt.
16
[AS 1985 1699, 1993 1260, 1999 3480 Art. 17 Ziff. 1. AS 2006 3371 Art. 5]. Siehe heute die V vom 5. Juli 2006 (SR 172.041.14).
17 Fassung gemäss Ziff. II 24 der V vom 8. Nov. 2006 über die Anpassung von Bundesratsverordnungen an die Totalrevision der Bundesrechtspflege, in Kraft seit 1. Jan. 2007
(AS 2006 4705).
Verordnung
15
235.11
4. Kapitel: Schlussbestimmungen
Art. 36
Änderung des bisherigen Rechts 1.-2. ...18
3. Die Verordnung vom 11. Dezember 198919 über die Dienststelle für Verwaltungskontrolle wird wie folgt geändert: Art. 6 Abs. 2 erster Satz ...
4. Die Verordnung vom 31. August 199220 über das provisorische Staatsschutz-Informations-System wird wie folgt geändert: Ingress ...
Art. 18
Aufgehoben Art. 20 Abs. 1 ...
Art. 22
Aufgehoben 5. Die Verordnung vom 26. Oktober 198821 über die Eidgenössische Volkszählung 1990 wird wie folgt geändert: Art. 28 Abs. 2 erster Satz und Abs. 4 2 Erster Satz aufgehoben ...
18 Aufgehoben durch Anhang Ziff. II 7 der Bundesinformatikverordnung vom 23. Febr. 2000 [AS 2000 1227].
19
[AS 1995 363] 20
[AS 1992 1659, 1996 3101, 1999 704 Ziff. II 7. AS 1999 3461 Art. 24] 21
[AS 1988 1915. AS 1999 921 Art. 41]
Datenschutz
16
235.11
6. Die Verordnung vom 27. Juni 199022 über das automatisierte Fahndungssystem wird wie folgt geändert: Ingress ...
7. Die Verordnung vom 1. Dezember 198623 über das Nationale Zentralbüro INTERPOL Schweiz wird wie folgt geändert: Ingress ...
Art. 14
Abs. 1 ...
Art. 16
Abs. 1 ...
Art. 17
Abs. 2 zweiter Satzteil ...
8. Die Verordnung vom 1. Dezember 198624 über den Erkennungsdienst der Bundesanwaltschaft wird wie folgt geändert: Ingress ...
Art. 20
Abs. 2 ...
Art. 23
Abs. 2 zweiter Satzteil ...
Art. 37
Übergangsbestimmungen 1
Die Datensammlungen, die bei Inkrafttreten des Datenschutzgesetzes und dieser Verordnung in Bearbeitung stehen, sind beim Beauftragten bis zum 30. Juni 1994 anzumelden.
2
Die technischen und organisatorischen Massnahmen (Artikel 8-11, 20 und 21) sind innerhalb von fünf Jahren nach Inkrafttreten der vorliegenden Verordnung für sämtliche automatisierten Bearbeitungen und Datensammlungen zu verwirklichen.
22
[AS 1990 1070 1591 Ziff. I 4, 1993 3293. AS 1995 3641 Art. 23 Abs. 1] 23
SR 351.21. Die hiernach aufgeführten Änd. sind eingefügt in der genannten V.
24
[AS 1986 2346, 1990 1591 Ziff. I 5 1879, 1992 1618 Anhang Ziff. 6, 1996 3099, 1998 1562 2337 Anhang 3 Ziff. 3, 2000 1369 Art. 30 Ziff. 1 2949]
Datenschutz
18
235.11