Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG)

gestützt auf die Artikel 6 Absatz 3, 7 Absatz 2, 8, 11 a Absatz 6, 16 Absatz 2, 17 a

¹ und 36 Absätze 1, 4 und 6 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG) und auf Artikel 46 a des Regierungsund Verwaltungsorganisationsgesetzes

^{2 3} vom 21. März 1997 , verordnet:

1. Kapitel: Bearbeiten von Personendaten durch private Personen

1. Abschnitt: Auskunftsrecht

Art. 1 Modalitäten

¹ Jede Person, die vom Inhaber einer Datensammlung Auskunft darüber verlangt, ob Daten über sie bearbeitet werden (Art. 8 DSG), muss dies in der Regel in schriftlicher Form beantragen und sich über ihre Identität ausweisen.

² Das Auskunftsbegehren sowie die Auskunftserteilung können auf elektronischem Weg erfolgen, wenn der Inhaber der Datensammlung dies ausdrücklich vorsieht und angemessene Massnahmen trifft, um:

• a. die Identifizierung der betroffenen Person sicherzustellen; und

• b. die persönlichen Daten der betroffenen Person bei der Auskunftserteilung

⁴ vor dem Zugriff unberechtigter Dritter zu schützen.

³ Im Einvernehmen mit dem Inhaber der Datensammlung oder auf dessen Vorschlag hin kann die betroffene Person ihre Daten auch an Ort und Stelle einsehen. Die Auskunft kann auch mündlich erteilt werden, wenn die betroffene Person eingewilligt hat und vom Inhaber identifiziert worden ist.

⁴ Die Auskunft oder der begründete Entscheid über die Beschränkung des Auskunftsrechts (Art. 9 und 10 DSG) wird innert 30 Tagen seit dem Eingang des Auskunftsbegehrens erteilt. Kann die Auskunft nicht innert 30 Tagen erteilt werden, so muss der Inhaber der Datensammlung den Gesuchsteller hierüber benachrichtigen und ihm die Frist mitteilen, in der die Auskunft erfolgen wird.

⁵ Werden eine oder mehrere Datensammlungen von mehreren Inhabern gemeinsam geführt, kann das Auskunftsrecht bei jedem Inhaber geltend gemacht werden, sofern nicht einer von ihnen für die Behandlung aller Auskunftsbegehren verantwortlich ist. Wenn der Inhaber der Datensammlung zur Auskunftserteilung nicht ermächtigt ist, leitet er das Begehren an den Zuständigen weiter.

⁶ Betrifft das Auskunftsbegehren Daten, die im Auftrag des Inhabers der Datensammlung von einem Dritten bearbeitet werden, so leitet der Auftraggeber das Begehren an den Dritten zur Erledigung weiter, sofern er nicht selbst in der Lage ist,

⁵ Auskunft zu erteilen.

⁷ Wird Auskunft über Daten von verstorbenen Personen verlangt, so ist sie zu erteilen, wenn der Gesuchsteller ein Interesse an der Auskunft nachweist und keine überwiegenden Interessen von Angehörigen der verstorbenen Person oder von Dritten entgegenstehen. Nahe Verwandtschaft sowie Ehe mit der verstorbenen Person begründen ein Interesse.

Art. 2 Ausnahmen von der Kostenlosigkeit

¹ Eine angemessene Beteiligung an den Kosten kann ausnahmsweise verlangt werden, wenn:

• a. der antragstellenden Person in den zwölf Monaten vor dem Gesuch die gewünschten Auskünfte bereits mitgeteilt wurden und kein schutzwürdiges Interesse an einer neuen Auskunftserteilung nachgewiesen werden kann. Ein schutzwürdiges Interesse ist insbesondere gegeben, wenn die Personendaten ohne Mitteilung an die betroffene Person verändert wurden;

• b. die Auskunftserteilung mit einem besonders grossen Arbeitsaufwand verbunden ist.

² Die Beteiligung beträgt maximal 300 Franken. Der Gesuchsteller ist über die Höhe der Beteiligung vor der Auskunftserteilung in Kenntnis zu setzen und kann sein Gesuch innert zehn Tagen zurückziehen.

2. Abschnitt: Anmeldung der Datensammlungen

Art. 3 Anmeldung

¹ Datensammlungen (Art. 11 a Abs. 3 DSG) sind beim Eidgenössischen Datenschutzund Öffentlichkeitsbeauftragten (Beauftragter) anzumelden, bevor die Datensamm-

⁶ lung eröffnet wird. Die Anmeldung enthält folgende Angaben:

• a. Name und Adresse des Inhabers der Datensammlung;

• b. Name und vollständige Bezeichnung der Datensammlung;

• c. Person, bei welcher das Auskunftsrecht geltend gemacht werden kann;

• d. Zweck der Datensammlung;

• e. Kategorien der bearbeiteten Personendaten;

• f. Kategorien der Datenempfänger;

• g. Kategorien der an der Datensammlung Beteiligten, das heisst Dritte, die in die Datensammlung Daten eingeben und Änderungen an den Daten vornehmen dürfen.

^{2 7} Jeder Inhaber einer Datensammlung aktualisiert diese Angaben laufend. …

⁸ Art. 4 Ausnahmen von der Anmeldepflicht

¹ Ausgenommen von der Pflicht zur Anmeldung der Datensammlungen sind die Datensammlungen nach Artikel 11 a Absatz 5 Buchstaben a und c–f DSG sowie die folgenden Datensammlungen (Art. 11 Abs. 5 Bst. b DSG): a

• a. Datensammlungen von Lieferanten oder Kunden, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;

• b. Datensammlungen, deren Daten ausschliesslich zu nicht personenbezogenen Zwecken verwendet werden, namentlich in der Forschung, der Planung und der Statistik;

• c. archivierte Datensammlungen, die nur zu historischen oder wissenschaftlichen Zwecken aufbewahrt werden;

• d. Datensammlungen, die ausschliesslich Daten enthalten, die veröffentlicht wurden oder welche die betroffene Person selbst allgemein zugänglich gemacht und deren Bearbeitung sie nicht ausdrücklich untersagt hat;

• e. Daten, die ausschliesslich der Erfüllung der Anforderungen nach Artikel 10 dienen;

• f. Buchhaltungsunterlagen;

• g. Hilfsdatensammlungen für die Personalverwaltung des Inhabers der Datensammlung, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten.

² Der Inhaber der Datensammlungen trifft die erforderlichen Massnahmen, um die Angaben (Art. 3 Abs. 1) zu den nicht der Anmeldepflicht unterliegenden Datensammlungen auf Gesuch hin dem Beauftragten oder den betroffenen Personen mitteilen zu können.

3. Abschnitt: Bekanntgabe ins Ausland

⁹ Art. 5 Veröffentlichung in elektronischer Form Werden Personendaten mittels automatisierter Informationsund Kommunikationsdienste zwecks Information der Öffentlichkeit allgemein zugänglich gemacht, so gilt dies nicht als Übermittlung ins Ausland.

¹⁰ Art. 6 Informationspflicht

¹ Der Inhaber der Datensammlung informiert den Beauftragten vor der Bekanntgabe ins Ausland über die Garantien und Datenschutzregeln nach Artikel 6 Absatz 2 Buchstaben a und g DSG. Ist die vorgängige Information nicht möglich, so hat sie unmittelbar nach der Bekanntgabe zu erfolgen.

² Wurde der Beauftragte über die Garantien und die Datenschutzregeln informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:

• a. unter denselben Garantien erfolgen, soweit die Kategorien der Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder

• b. innerhalb derselben juristischen Person oder Gesellschaft oder zwischen juristischen Personen oder Gesellschaften, die einer einheitlichen Leitung unterstehen, stattfinden, soweit die Datenschutzregeln weiterhin einen angemessenen Schutz gewährleisten.

³ Die Informationspflicht gilt ebenfalls als erfüllt, wenn Daten gestützt auf Musterverträge oder Standardvertragsklauseln übermittelt werden, die vom Beauftragten erstellt oder anerkannt wurden, und der Beauftragte vom Inhaber der Datensammlung in allgemeiner Form über die Verwendung dieser Musterverträge oder Standardvertragsklauseln informiert wurde. Der Beauftragte veröffentlicht eine Liste der von ihm erstellten oder anerkannten Musterverträge und Standardvertragsklauseln.

⁴ Der Inhaber der Datensammlung trifft angemessene Massnahmen um sicherzustellen, dass der Empfänger die Garantien und die Datenschutzregeln beachtet.

⁵ Der Beauftragte prüft die Garantien und die Datenschutzregeln, die ihm mitgeteilt werden (Art. 31 Abs. 1 Bst. e DSG) und teilt dem Inhaber der Datensammlung das Ergebnis seiner Prüfung innert 30 Tagen ab dem Empfang der Information mit.

¹¹ Art. 7 Liste der Staaten mit angemessener Datenschutzgesetzgebung Der Beauftragte veröffentlicht eine Liste der Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet.

4. Abschnitt: Technische und organisatorische Massnahmen

Art. 8 Allgemeine Massnahmen

¹ Wer als Privatperson Personendaten bearbeitet oder ein Datenkommunikationsnetz zur Verfügung stellt, sorgt für die Vertraulichkeit, die Verfügbarkeit und die Integri-

¹² tät der Daten, um einen angemessenen Datenschutz zu gewährleisten. Insbesondere schützt er die Systeme gegen folgende Risiken:

• a. unbefugte oder zufällige Vernichtung;

• b. zufälligen Verlust;

• c. technische Fehler;

• d. Fälschung, Diebstahl oder widerrechtliche Verwendung;

• e. unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.

² Die technischen und organisatorischen Massnahmen müssen angemessen sein. Insbesondere tragen sie folgenden Kriterien Rechnung:

• a. Zweck der Datenbearbeitung;

• b. Art und Umfang der Datenbearbeitung;

• c. Einschätzung der möglichen Risiken für die betroffenen Personen;

• d. gegenwärtiger Stand der Technik.

³ Diese Massnahmen sind periodisch zu überprüfen.

^{4 13} …

Art. 9 Besondere Massnahmen

¹ Der Inhaber der Datensammlung trifft insbesondere bei der automatisierten Bearbeitung von Personendaten die technischen und organisatorischen Massnahmen, die geeignet sind, namentlich folgenden Zielen gerecht zu werden:

• a. Zugangskontrolle: unbefugten Personen ist der Zugang zu den Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren;

• b. Personendatenträgerkontrolle: unbefugten Personen ist das Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verunmöglichen;

• c. Transportkontrolle: bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern ist zu verhindern, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können;

• d. Bekanntgabekontrolle: Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden, müssen identifiziert werden können;

• e. Speicherkontrolle: unbefugte Eingabe in den Speicher sowie unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten sind zu verhindern;

• f. Benutzerkontrolle: die Benutzung von automatisierten Datenverarbeitungssystemen mittels Einrichtungen zur Datenübertragung durch unbefugte Personen ist zu verhindern;

• g. Zugriffskontrolle: der Zugriff der berechtigten Personen ist auf diejenigen Personendaten zu beschränken, die sie für die Erfüllung ihrer Aufgabe benötigen;

• h. Eingabekontrolle: in automatisierten Systemen muss nachträglich überprüft werden können, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden.

² Die Datensammlungen sind so zu gestalten, dass die betroffenen Personen ihr Auskunftsrecht und ihr Recht auf Berichtigung wahrnehmen können.

Art. 10 Protokollierung

¹ Der Inhaber der Datensammlung protokolliert die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen, wenn die präventiven Massnahmen den Datenschutz nicht gewährleisten können. Eine Protokollierung hat insbesondere dann zu erfolgen, wenn sonst nicht nachträglich festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die

¹⁴ sie erhoben oder bekannt gegeben wurden. Der Beauftragte kann die Protokollierung auch für andere Bearbeitungen empfehlen.

² Die Protokolle sind während eines Jahres revisionsgerecht festzuhalten. Sie sind ausschliesslich den Organen oder privaten Personen zugänglich, denen die Überwachung der Datenschutzvorschriften obliegt, und dürfen nur für diesen Zweck verwendet werden.

¹⁵ Art. 11 Bearbeitungsreglement

¹ Der Inhaber einer meldepflichtigen automatisierten Datensammlung (Art. 11 a Abs. 3 DSG), die nicht aufgrund von Artikel 11 a Absatz 5 Buchstaben b–d DSG von der Meldepflicht ausgenommen ist, erstellt ein Bearbeitungsreglement, das insbesondere die interne Organisation sowie das Datenbearbeitungsund Kontrollverfahren umschreibt und die Unterlagen über die Planung, die Realisierung und den Betrieb der Datensammlung und der Informatikmittel enthält.

² Der Inhaber der Datensammlung aktualisiert das Reglement regelmässig. Er stellt es dem Beauftragten oder dem Datenschutzverantwortlichen nach Artikel 11 a Absatz 5 Buchstabe e DSG auf Anfrage in einer für sie verständlichen Form zur Verfügung.

Art. 12 Bekanntgabe der Daten

Der Inhaber der Datensammlung meldet dem Datenempfänger die Aktualität und die Zuverlässigkeit der von ihm bekannt gegebenen Personendaten, soweit diese Informationen nicht aus den Daten selbst oder aus den Umständen ersichtlich sind.

5. Abschnitt: Datenschutzverantwortlicher ¹⁶

Art. 12 a Bezeichnung des Datenschutzverantwortlichen und Mitteilung

an den Beauftragten

¹ Will der Inhaber der Datensammlung nach Artikel 11 a Absatz 5 Buchstabe e DSG von der Pflicht zur Anmeldung der Datensammlung befreit werden, so muss er:

• a. einen betrieblichen Datenschutzverantwortlichen bezeichnen, der die Anforderungen von Absatz 2 und von Artikel 12 b erfüllt; und

• b. den Beauftragten über die Bezeichnung des Datenschutzverantwortlichen informieren.

² Der Inhaber der Datensammlung kann einen Mitarbeiter oder einen Dritten als Datenschutzverantwortlichen bezeichnen. Dieser darf keine anderen Tätigkeiten ausüben, die mit seinen Aufgaben als Datenschutzverantwortlicher unvereinbar sind, und muss über die erforderliche Fachkenntnis verfügen.

Art. 12 b Aufgaben und Stellung des Datenschutzverantwortlichen

¹ Der Datenschutzverantwortliche hat namentlich folgende Aufgaben:

• a. Er prüft die Bearbeitung von Personendaten und empfiehlt Korrekturmassnahmen, wenn er feststellt, dass Datenschutzvorschriften verletzt wurden.

• b. Er führt eine Liste der Datensammlungen nach Artikel 11 a Absatz 3 DSG, die vom Inhaber der Datensammlungen geführt werden; diese Liste ist dem Beauftragten oder betroffenen Personen, die ein entsprechendes Gesuch stellen, zur Verfügung zu stellen.

² Der Datenschutzverantwortliche:

• a. übt seine Funktion fachlich unabhängig aus, ohne diesbezüglich Weisungen des Inhabers der Datensammlung zu unterliegen;

• b. verfügt über die zur Erfüllung seiner Aufgaben erforderlichen Ressourcen;

• c. hat Zugang zu allen Datensammlungen und Datenbearbeitungen sowie zu allen Informationen, die er zur Erfüllung seiner Aufgabe benötigt.

2. Kapitel: Bearbeiten von Personendaten durch Bundesorgane

1. Abschnitt: Auskunftsrecht

Art. 13 Modalitäten

Artikel 1 und 2 sind auf die an Bundesorgane gerichteten Auskunftsbegehren sinngemäss anwendbar.

Art. 14 Auskunftsbegehren an die diplomatischen Vertretungen der Schweiz

im Ausland

¹ Die Vertretungen der Schweiz im Ausland sowie die Missionen bei den Europäischen Gemeinschaften und bei internationalen Organisationen übermitteln Auskunftsgesuche, die bei ihnen gestellt werden, der zuständigen Stelle im eidgenössischen Departement für auswärtige Angelegenheiten. Das Departement regelt die

¹⁷ Zuständigkeiten.

² Im Übrigen gelten für die Auskunftsbegehren über die Militärkontrolle im Ausland

¹⁸ die Bestimmungen der Verordnung vom 10. Dezember 2004 über das militärische

¹⁹ Kontrollwesen.

²⁰ Art. 15

2. Abschnitt: Anmeldung der Datensammlungen

²¹ Art. 16 Anmeldung

¹ Die verantwortlichen Bundesorgane (Art. 16 DSG) melden alle von ihnen geführten Datensammlungen vor deren Eröffnung beim Beauftragten an. Die Anmeldung enthält folgende Angaben:

• a. Name und Adresse des verantwortlichen Bundesorgans;

• b. Name und vollständige Bezeichnung der Datensammlung;

• c. das Organ, bei dem das Auskunftsrecht geltend gemacht werden kann;

• d. Rechtsgrundlage und Zweck der Datensammlung;

• e. Kategorien der bearbeiteten Personendaten;

• f. Kategorien der Empfänger der Daten;

• g. Kategorien der an der Datensammlung Beteiligten, das heisst Dritte, die Daten in eine Datensammlung eingeben und verändern dürfen.

²² h. …

^{2 23} Das verantwortliche Bundesorgan aktualisiert diese Angaben laufend.

²⁴ Art. 17

²⁵ Ausnahmen von der Anmeldepflicht Art. 18

¹ Folgende Datensammlungen unterliegen nicht der Anmeldepflicht, sofern die Bundesorgane sie ausschliesslich für verwaltungsinterne Zwecke verwenden:

• a. Korrespondenzregistraturen;

• b. Datensammlungen von Lieferanten oder Kunden, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;

• c. Adressensammlungen, die einzig der Adressierung dienen, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;

• d. Listen für Entschädigungszahlungen;

• e. Buchhaltungsunterlagen;

• f. Hilfsdatensammlungen für die Personalverwaltung des Bundes, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;

• g. Bibliothekdatensammlungen (Autorenkataloge, Ausleiherund Benutzerverzeichnisse).

² Ebenfalls nicht der Anmeldepflicht unterliegen:

• a. Datensammlungen, die beim Bundesarchiv archiviert sind;

• b. Datensammlungen, die der Öffentlichkeit in Form von Verzeichnissen zugänglich gemacht werden;

• c. Datensammlungen, deren Daten ausschliesslich zu nicht personenbezogenen Zwecken verwendet werden, namentlich in der Forschung, der Planung und der Statistik.

³ Das verantwortliche Bundesorgan trifft die erforderlichen Massnahmen, um die Angaben (Art. 16 Abs. 1) zu den nicht der Anmeldepflicht unterliegenden Datensammlungen auf Gesuch hin dem Beauftragten oder den betroffenen Personen mitteilen zu können.

3. Abschnitt: Bekanntgabe ins Ausland

²⁶ Art. 19 Gibt ein Bundesorgan gestützt auf Artikel 6 Absatz 2 Buchstabe a DSG Personendaten ins Ausland bekannt, so gilt Artikel 6.