Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG)

^{1 2} gestützt auf die Artikel 95, 122 und 173 Absatz ² der Bundesverfassung ,

³ nach Einsicht in die Botschaft des Bundesrates vom 23. März 1988 , beschliesst:

1. Abschnitt: Zweck, Geltungsbereich und Begriffe

Art. 1 Zweck

Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden.

Art. 2 Geltungsbereich

¹ Dieses Gesetz gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch:

• a. private Personen;

• b. Bundesorgane.

² Es ist nicht anwendbar auf:

• a. Personendaten, die eine natürliche Person ausschliesslich zum persönlichen Gebrauch bearbeitet und nicht an Aussenstehende bekannt gibt;

• b. Beratungen in den Eidgenössischen Räten und in den parlamentarischen Kommissionen;

• c. hängige Zivilprozesse, Strafverfahren, Verfahren der internationalen Rechtshilfe sowie staatsund verwaltungsrechtliche Verfahren mit Ausnahme erstinstanzlicher Verwaltungsverfahren;

• d. öffentliche Register des Privatrechtsverkehrs;

• e. Personendaten, die das Internationale Komitee vom Roten Kreuz bearbeitet.

Art. 3 Begriffe

Die folgenden Ausdrücke bedeuten:

• a. Personendaten (Daten): alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen;

• b. betroffene Personen: natürliche oder juristische Personen, über die Daten bearbeitet werden;

• c. besonders schützenswerte Personendaten: Daten über: 1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, 2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, 3. Massnahmen der sozialen Hilfe, 4. administrative oder strafrechtliche Verfolgungen und Sanktionen;

• d. Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt;

• e. Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten;

• f. Bekanntgeben: das Zugänglichmachen von Personendaten wie das Einsichtgewähren, Weitergeben oder Veröffentlichen;

• g. Datensammlung: jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind;

• h. Bundesorgane: Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind;

⁴ i. Inhaber der Datensammlung: private Personen oder Bundesorgane, die über den Zweck und den Inhalt der Datensammlung entscheiden;

⁵ j. Gesetz im formellen Sinn: 1. Bundesgesetze, 2. für die Schweiz verbindliche Beschlüsse internationaler Organisationen und von der Bundesversammlung genehmigte völkerrechtliche Verträge mit rechtsetzendem Inhalt;

⁶ … k.

2. Abschnitt: Allgemeine Datenschutzbestimmungen

Art. 4 Grundsätze

^{1 7} Personendaten dürfen nur rechtmässig bearbeitet werden.

² Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein.

³ Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.

⁴ Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung

⁸ müssen für die betroffene Person erkennbar sein.

⁵ Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrück-

⁹ lich erfolgen.

Art. 5 Richtigkeit der Daten

¹ Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern. Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbei-

¹⁰ tung unrichtig oder unvollständig sind.

² Jede betroffene Person kann verlangen, dass unrichtige Daten berichtigt werden.

¹¹ Art. 6 Grenzüberschreitende Bekanntgabe

¹ Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet.

² Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, so können Personendaten ins Ausland nur bekannt gegeben werden, wenn:

• a. hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten;

• b. die betroffene Person im Einzelfall eingewilligt hat;

• c. die Bearbeitung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht und es sich um Personendaten des Vertragspartners handelt;

• d. die Bekanntgabe im Einzelfall entweder für die Wahrung eines überwiegenden öffentlichen Interesses oder für die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht unerlässlich ist;

• e. die Bekanntgabe im Einzelfall erforderlich ist, um das Leben oder die körperliche Integrität der betroffenen Person zu schützen;

• f. die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat;

• g. die Bekanntgabe innerhalb derselben juristischen Person oder Gesellschaft oder zwischen juristischen Personen oder Gesellschaften, die einer einheitlichen Leitung unterstehen, stattfindet, sofern die Beteiligten Datenschutzregeln unterstehen, welche einen angemessenen Schutz gewährleisten.

³ Der Eidgenössische Datenschutzund Öffentlichkeitsbeauftragte (Beauftragte, Art. 26) muss über die Garantien nach Absatz 2 Buchstabe a und die Datenschutzregeln nach Absatz 2 Buchstabe g informiert werden. Der Bundesrat regelt die Einzelheiten dieser Informationspflicht.

Art. 7 Datensicherheit

¹ Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.

² Der Bundesrat erlässt nähere Bestimmungen über die Mindestanforderungen an die Datensicherheit.

¹² Art. 7 a

Art. 8 Auskunftsrecht

¹ Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden.

^{2 13} Der Inhaber der Datensammlung muss der betroffenen Person mitteilen:

¹⁴ alle über sie in der Datensammlung vorhandenen Daten einschliesslich der a. verfügbaren Angaben über die Herkunft der Daten;

• b. den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger.

³ Daten über die Gesundheit kann der Inhaber der Datensammlung der betroffenen Person durch einen von ihr bezeichneten Arzt mitteilen lassen.

⁴ Lässt der Inhaber der Datensammlung Personendaten durch einen Dritten bearbeiten, so bleibt er auskunftspflichtig. Der Dritte ist auskunftspflichtig, wenn er den Inhaber nicht bekannt gibt oder dieser keinen Wohnsitz in der Schweiz hat.

⁵ Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen. Der Bundesrat regelt die Ausnahmen.

⁶ Niemand kann im Voraus auf das Auskunftsrecht verzichten.

¹⁵ Einschränkung des Auskunftsrechts Art. 9

¹ Der Inhaber der Datensammlung kann die Auskunft verweigern, einschränken oder aufschieben, soweit:

• a. ein Gesetz im formellen Sinn dies vorsieht;

• b. es wegen überwiegender Interessen Dritter erforderlich ist.

² Ein Bundesorgan kann zudem die Auskunft verweigern, einschränken oder aufschieben, soweit:

• a. es wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft, erforderlich ist;

• b. die Auskunft den Zweck einer Strafuntersuchung oder eines andern Untersuchungsverfahrens in Frage stellt.

³ Sobald der Grund für die Verweigerung, Einschränkung oder Aufschiebung einer Auskunft wegfällt, muss das Bundesorgan die Auskunft erteilen, ausser dies ist unmöglich oder nur mit einem unverhältnismässigen Aufwand möglich.

⁴ Der private Inhaber einer Datensammlung kann zudem die Auskunft verweigern, einschränken oder aufschieben, soweit eigene überwiegende Interessen es erfordern und er die Personendaten nicht Dritten bekannt gibt.

⁵ Der Inhaber der Datensammlung muss angeben, aus welchem Grund er die Auskunft verweigert, einschränkt oder aufschiebt.

Art. 10 Einschränkungen des Auskunftsrechts für Medienschaffende

¹ Der Inhaber einer Datensammlung, die ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums verwendet wird, kann die Auskunft verweigern, einschränken oder aufschieben, soweit:

• a. die Personendaten Aufschluss über die Informationsquellen geben;

• b. Einblick in Entwürfe für Publikationen gegeben werden müsste;

• c. die freie Meinungsbildung des Publikums gefährdet würde.

² Medienschaffende können die Auskunft zudem verweigern, einschränken oder aufschieben, wenn ihnen eine Datensammlung ausschliesslich als persönliches Arbeitsinstrument dient.

¹⁶ Art. 10 a Datenbearbeitung durch Dritte

¹ Das Bearbeiten von Personendaten kann durch Vereinbarung oder Gesetz Dritten übertragen werden, wenn:

• a. die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte; und

• b. keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet.

² Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet.

³ Dritte können dieselben Rechtfertigungsgründe geltend machen wie der Auftraggeber.

¹⁷ Art. 11 Zertifizierungsverfahren

¹ Um den Datenschutz und die Datensicherheit zu verbessern, können die Hersteller von Datenbearbeitungssystemen oder -programmen sowie private Personen oder Bundesorgane, die Personendaten bearbeiten, ihre Systeme, Verfahren und ihre Organisation einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen.

² Der Bundesrat erlässt Vorschriften über die Anerkennung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens. Er berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen.

¹⁸ Art. 11 a Register der Datensammlungen

¹ Der Beauftragte führt ein Register der Datensammlungen, das über Internet zugänglich ist. Jede Person kann das Register einsehen.

² Bundesorgane müssen sämtliche Datensammlungen beim Beauftragten zur Registrierung anmelden.

³ Private Personen müssen Datensammlungen anmelden, wenn:

• a. regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden; oder

• b. regelmässig Personendaten an Dritte bekannt gegeben werden.

⁴ Die Datensammlungen müssen angemeldet werden, bevor sie eröffnet werden.

⁵ Entgegen den Bestimmungen der Absätze 2 und 3 muss der Inhaber von Datensammlungen seine Sammlungen nicht anmelden, wenn:

• a. private Personen Daten aufgrund einer gesetzlichen Verpflichtung bearbeiten;

• b. der Bundesrat eine Bearbeitung von der Anmeldepflicht ausgenommen hat, weil sie die Rechte der betroffenen Personen nicht gefährdet;

• c. er die Daten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums verwendet und keine Daten an Dritte weitergibt, ohne dass die betroffenen Personen davon Kenntnis haben;

• d. die Daten durch Journalisten bearbeitet werden, denen die Datensammlung ausschliesslich als persönliches Arbeitsinstrument dient;

• e. er einen Datenschutzverantwortlichen bezeichnet hat, der unabhängig die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht und ein Verzeichnis der Datensammlungen führt;

• f. er aufgrund eines Zertifizierungsverfahrens nach Artikel 11 ein Datenschutz- Qualitätszeichen erworben hat und das Ergebnis der Bewertung dem Beauftragten mitgeteilt wurde.

⁶ Der Bundesrat regelt die Modalitäten der Anmeldung der Datensammlungen, der Führung und der Veröffentlichung des Registers sowie die Stellung und die Aufgaben der Datenschutzverantwortlichen nach Absatz 5 Buchstabe e und die Veröffentlichung eines Verzeichnisses der Inhaber der Datensammlungen, welche nach Absatz 5 Buchstaben e und f der Meldepflicht enthoben sind.

3. Abschnitt: Bearbeiten von Personendaten durch private Personen

Art. 12 Persönlichkeitsverletzungen

¹ Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen.

² Er darf insbesondere nicht:

• a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten;

• b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten;

• c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder

¹⁹ Persönlichkeitsprofile Dritten bekanntgeben.

³ In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.

Art. 13 Rechtfertigungsgründe

¹ Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist.

² Ein überwiegendes Interesse der bearbeitenden Person fällt insbesondere in Betracht, wenn diese:

• a. in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags Personendaten über ihren Vertragspartner bearbeitet;

• b. mit einer anderen Person in wirtschaftlichem Wettbewerb steht oder treten will und zu diesem Zweck Personendaten bearbeitet, ohne diese Dritten bekannt zu geben;

• c. zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen;

• d. beruflich Personendaten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet;

• e. Personendaten zu nicht personenbezogenen Zwecken insbesondere in der Forschung, Planung und Statistik bearbeitet und die Ergebnisse so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind;

• f. Daten über eine Person des öffentlichen Lebens sammelt, sofern sich die Daten auf das Wirken dieser Person in der Öffentlichkeit beziehen.

²⁰ Art. 14 Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen

¹ Der Inhaber der Datensammlung ist verpflichtet, die betroffene Person über die Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen zu informieren; diese Informationspflicht gilt auch dann, wenn die Daten bei Dritten beschafft werden.

² Der betroffenen Person sind mindestens mitzuteilen:

• a. der Inhaber der Datensammlung;

• b. der Zweck des Bearbeitens;

• c. die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorgesehen ist.

³ Werden die Daten nicht bei der betroffenen Person beschafft, so hat deren Information spätestens bei der Speicherung der Daten oder, wenn die Daten nicht gespeichert werden, mit ihrer ersten Bekanntgabe an Dritte zu erfolgen.

⁴ Die Informationspflicht des Inhabers der Datensammlung entfällt, wenn die betroffene Person bereits informiert wurde oder, in Fällen nach Absatz 3, wenn:

• a. die Speicherung oder die Bekanntgabe der Daten ausdrücklich im Gesetz vorgesehen ist; oder

• b. die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist.

⁵ Der Inhaber der Datensammlung kann die Information unter den in Artikel 9 Absätze 1 und 4 genannten Voraussetzungen verweigern, einschränken oder aufschieben.

²¹ Art. 15 Rechtsansprüche

¹ Klagen zum Schutz der Persönlichkeit richten sich nach den Artikeln 28, 28 a sowie

²² 28 l des Zivilgesetzbuchs . Die klagende Partei kann insbesondere verlangen, dass die Datenbearbeitung gesperrt wird, keine Daten an Dritte bekannt gegeben oder die Personendaten berichtigt oder vernichtet werden.

² Kann weder die Richtigkeit noch die Unrichtigkeit von Personendaten dargetan werden, so kann die klagende Partei verlangen, dass bei den Daten ein entsprechender Vermerk angebracht wird.

³ Die klagende Partei kann zudem verlangen, dass die Berichtigung, die Vernichtung, die Sperre, namentlich die Sperre der Bekanntgabe an Dritte, der Vermerk über die Bestreitung oder das Urteil Dritten mitgeteilt oder veröffentlicht wird.

⁴ Über Klagen zur Durchsetzung des Auskunftsrechts entscheidet das Gericht im

²³ vereinfachten Verfahren nach der Zivilprozessordnung vom 19. Dezember 2008 .

4. Abschnitt: Bearbeiten von Personendaten durch Bundesorgane

²⁴ Art. 16 Verantwortliches Organ und Kontrolle

¹ Für den Datenschutz ist das Bundesorgan verantwortlich, das die Personendaten in Erfüllung seiner Aufgaben bearbeitet oder bearbeiten lässt.

² Bearbeiten Bundesorgane Personendaten zusammen mit anderen Bundesorganen, mit kantonalen Organen oder mit Privaten, so kann der Bundesrat die Kontrolle und

²⁵ Verantwortung für den Datenschutz besonders regeln.

Art. 17 Rechtsgrundlagen

¹ Organe des Bundes dürfen Personendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.

² Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen sie nur bearbeiten, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht oder wenn ausnahmsweise: