Lexipedia

AS 2022 568

Verordnung über den Datenschutz (DSV)

Präambel

Der Schweizerische Bundesrat,

gestützt auf die Artikel 8 Absatz 3, 10 Absatz 4, 12 Absatz 5, 16 Absatz 3,
25 Absatz 6, 28 Absatz 3, 33, 59 Absätze 2 und 3 des Datenschutzgesetzes vom 25. September 20201 (DSG),

verordnet:

1. Kapitel: Allgemeine Bestimmungen

1. Abschnitt: Datensicherheit

Art. 1 Grundsätze

Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.

Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt:

  • a. Art der bearbeiteten Daten;

  • b. Zweck, Art, Umfang und Umstände der Bearbeitung.

Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt:

  • a. Ursachen des Risikos;

  • b. hauptsächliche Gefahren;

  • c. ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;

  • d. Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.

Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berücksichtigt:

  • a. Stand der Technik;

  • b. Implementierungskosten.

Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.

Art. 2 Ziele

Der Verantwortliche und der Auftragsbearbeiter müssen technische und organisatorische Massnahmen treffen, damit die bearbeiteten Daten ihrem Schutzbedarf entsprechend:

  • a. nur Berechtigten zugänglich sind (Vertraulichkeit);

  • b. verfügbar sind, wenn sie benötigt werden (Verfügbarkeit);

  • c. nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität);

  • d. nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).

Art. 3 Technische und organisatorische Massnahmen

Um die Vertraulichkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:

  • a. berechtigte Personen nur auf diejenigen Personendaten Zugriff haben, die sie zur Erfüllung ihrer Aufgaben benötigen (Zugriffskontrolle);

  • b. nur berechtigte Personen Zugang zu den Räumlichkeiten und Anlagen haben, in denen Personendaten bearbeitet werden (Zugangskontrolle);

  • c. unbefugte Personen automatisierte Datenbearbeitungssysteme nicht mittels Einrichtungen zur Datenübertragung benutzen können (Benutzerkontrolle).

Um die Verfügbarkeit und Integrität zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:

  • a. unbefugte Personen Datenträger nicht lesen, kopieren, verändern, verschieben, löschen oder vernichten können (Datenträgerkontrolle);

  • b. unbefugte Personen Personendaten im Speicher nicht speichern, lesen, ändern, löschen oder vernichten können (Speicherkontrolle);

  • c. unbefugte Personen bei der Bekanntgabe von Personendaten oder beim Transport von Datenträgern Personendaten nicht lesen, kopieren, verändern, löschen oder vernichten können (Transportkontrolle);

  • d. die Verfügbarkeit der Personendaten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können (Wiederherstellung);

  • e. alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität);

  • f. Betriebssysteme und Anwendungssoftware stets auf dem neusten Sicherheitsstand gehalten und bekannte kritische Lücken geschlossen werden (Systemsicherheit).

Um die Nachvollziehbarkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:

  • a. überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person im automatisierten Datenbearbeitungssystem eingegeben oder verändert werden (Eingabekontrolle);

  • b. überprüft werden kann, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben werden (Bekanntgabekontrolle);

  • c. Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden können (Beseitigung).

Art. 4 Protokollierung

Werden besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet oder wird ein Profiling mit hohem Risiko durchgeführt und können die präventiven Massnahmen den Datenschutz nicht gewährleisten, so müssen der private Verantwortliche und sein privater Auftragsbearbeiter zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten protokollieren. Eine Protokollierung muss insbesondere dann erfolgen, wenn sonst nachträglich nicht festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft oder bekanntgegeben wurden.

Das verantwortliche Bundesorgan und sein Auftragsbearbeiter protokollieren bei der automatisierten Bearbeitung von Personendaten zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten.

Bei Personendaten, welche allgemein öffentlich zugänglich sind, sind zumindest das Speichern, Verändern, Löschen und Vernichten der Daten zu protokollieren.

Die Protokollierung muss Aufschluss geben über die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität der Empfängerin oder des Empfängers der Daten.

Die Protokolle müssen während mindestens einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt werden. Sie dürfen ausschliesslich den Organen und Personen zugänglich sein, denen die Überprüfung der Anwendung der Datenschutzvorschriften oder die Wahrung oder Wiederherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten obliegt, und dürfen nur für diesen Zweck verwendet werden.

Art. 5 Bearbeitungsreglement von privaten Personen

Der private Verantwortliche und sein privater Auftragsbearbeiter müssen ein Reglement für automatisierte Bearbeitungen erstellen, wenn sie:

  • a. besonders schützenswerte Personendaten in grossem Umfang bearbeiten; oder

  • b. ein Profiling mit hohem Risiko durchführen.

Das Reglement muss insbesondere Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten.

Der private Verantwortliche und sein privater Auftragsbearbeiter müssen das Reglement regelmässig aktualisieren. Wurde eine Datenschutzberaterin oder ein Datenschutzberater ernannt, so muss dieser oder diesem das Reglement zur Verfügung gestellt werden.

Art. 6 Bearbeitungsreglement von Bundesorganen

Das verantwortliche Bundesorgan und sein Auftragsbearbeiter erstellen ein Bearbeitungsreglement für automatisierte Bearbeitungen, wenn sie:

  • a. besonders schützenswerte Personendaten bearbeiten;

  • b. ein Profiling durchführen;

  • c. nach Artikel 34 Absatz 2 Buchstabe c DSG Personendaten bearbeiten;

  • d. Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen Personendaten zugänglich machen;

  • e. Datenbestände miteinander verknüpfen; oder

  • f. mit anderen Bundesorganen zusammen ein Informationssystem betreiben oder Datenbestände bewirtschaften.

Das Reglement muss insbesondere Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten.

Das verantwortliche Bundesorgan und sein Auftragsbearbeiter müssen das Reglement regelmässig aktualisieren und der Datenschutzberaterin oder dem Datenschutzberater zur Verfügung stellen.

2. Abschnitt: Bearbeitung durch Auftragsbearbeiter

Art. 7

Die vorgängige Genehmigung des Verantwortlichen, die dem Auftragsbearbeiter erlaubt, die Datenbearbeitung einem Dritten zu übertragen, kann spezifischer oder allgemeiner Art sein.

Bei einer allgemeinen Genehmigung informiert der Auftragsbearbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Dritter. Der Verantwortliche kann Widerspruch gegen diese Änderung erheben.

3. Abschnitt: Bekanntgabe von Personendaten ins Ausland

Art. 8 Beurteilung der Angemessenheit des Datenschutzes eines Staates, eines Gebiets, eines spezifischen Sektors in einem Staat oder eines internationalen Organs

Die Staaten, Gebiete, spezifischen Sektoren in einem Staat und internationalen Organe mit einem angemessenen Datenschutz werden in Anhang 1 aufgeführt.

Bei der Beurteilung, ob ein Staat, ein Gebiet, ein spezifischer Sektor in einem Staat oder ein internationales Organ einen angemessenen Datenschutz gewährleistet, werden insbesondere die folgenden Kriterien berücksichtigt:

  • a. die internationalen Verpflichtungen des Staates oder internationalen Organs, insbesondere im Bereich des Datenschutzes;

  • b. die Rechtsstaatlichkeit und die Achtung der Menschenrechte;

  • c. die geltende Gesetzgebung insbesondere zum Datenschutz sowie deren Umsetzung und die einschlägige Rechtsprechung;

  • d. die wirksame Gewährleistung der Rechte der betroffenen Personen und des Rechtsschutzes;

  • e. das wirksame Funktionieren einer oder mehrerer unabhängiger Behörden, die im betreffenden Staat für den Datenschutz zuständig sind oder denen ein internationales Organ untersteht und die über ausreichende Befugnisse und Kompetenzen verfügen.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wird bei jeder Beurteilung konsultiert. Die Einschätzungen von internationalen Organen oder ausländischen Behörden, die für den Datenschutz zuständig sind, können berücksichtigt werden.

Die Angemessenheit des Datenschutzes wird periodisch neu beurteilt.

Die Beurteilungen werden veröffentlicht.

Wenn die Beurteilung nach Absatz 4 oder andere Informationen zeigen, dass kein angemessener Datenschutz mehr gewährleistet ist, wird Anhang 1 geändert; dies hat keine Auswirkungen auf die bereits erfolgten Datenbekanntgaben.

Art. 9 Datenschutzklauseln und spezifische Garantien

Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:

  • a. die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit;

  • b. die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;

  • c. die Art und den Zweck der Bekanntgabe von Personendaten;

  • d. gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe;

  • e. die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;

  • f. die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;

  • g. die Massnahmen zur Gewährleistung der Datensicherheit;

  • h. die Pflicht, Verletzungen der Datensicherheit zu melden;

  • i. falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren;

  • j. die Rechte der betroffenen Person, insbesondere:

    1. das Auskunftsrecht und das Recht auf Datenherausgabe oder -übertragung,

    2. das Recht, der Datenbekanntgabe zu widersprechen,

    3. das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,

    4. das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen.

Der Verantwortliche und im Fall von Datenschutzklauseln in einem Vertrag der Auftragsbearbeiter müssen angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese Klauseln oder die spezifischen Garantien einhält.

Wurde der EDÖB über die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:

  • a. unter denselben Datenschutzklauseln oder Garantien erfolgen, sofern die Kategorien der Empfängerinnen und Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder

  • b. innerhalb derselben juristischen Person oder Gesellschaft oder zwischen Unternehmen, die zum selben Konzern gehören, stattfinden.

Art. 10 Standarddatenschutzklauseln

Gibt der Verantwortliche oder der Auftragsbearbeiter Personendaten mittels Standarddatenschutzklauseln nach Artikel 16 Absatz 2 Buchstabe d DSG ins Ausland bekannt, so trifft er angemessene Massnahmen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese beachtet.

Der EDÖB veröffentlicht eine Liste von Standarddatenschutzklauseln, die er genehmigt, ausgestellt oder anerkannt hat. Er teilt das Ergebnis der Prüfung der Standarddatenschutzklauseln, die ihm unterbreitet werden, innerhalb von 90 Tagen mit.

Art. 11 Verbindliche unternehmensinterne Datenschutzvorschriften

Verbindliche unternehmensinterne Datenschutzvorschriften nach Artikel 16 Absatz 2 Buchstabe e DSG gelten für alle Unternehmen, die zum selben Konzern gehören.

Sie umfassen mindestens die in Artikel 9 Absatz 1 genannten Punkte sowie die folgenden Angaben:

  • a. die Organisation und die Kontaktdaten des Konzerns und seiner Unternehmen;

  • b. die innerhalb des Konzerns getroffenen Massnahmen zur Einhaltung der verbindlichen unternehmensinternen Datenschutzvorschriften.

Der EDÖB teilt das Ergebnis der Prüfung der verbindlichen unternehmensinternen Datenschutzvorschriften, die ihm unterbreitet werden, innerhalb von 90 Tagen mit.

Art. 12 Verhaltenskodizes und Zertifizierungen

Personendaten dürfen ins Ausland bekanntgegeben werden, wenn ein Verhaltenskodex oder eine Zertifizierung einen geeigneten Datenschutz gewährleistet.

Der Verhaltenskodex muss vorgängig dem EDÖB zur Genehmigung unterbreitet werden.

Der Verhaltenskodex oder die Zertifizierung muss mit einer verbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen oder des Auftragsbearbeiters im Drittstaat verbunden werden, die darin enthaltenen Massnahmen anzuwenden.

2. Kapitel: Pflichten des Verantwortlichen

Art. 13 Modalitäten der Informationspflicht

Der Verantwortliche muss der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen.

Art. 14 Aufbewahrung der Datenschutz-Folgenabschätzung

Der Verantwortliche muss die Datenschutz-Folgenabschätzung nach Beendigung der Datenbearbeitung mindestens zwei Jahren aufbewahren.

Art. 15 Meldung von Verletzungen der Datensicherheit

Die Meldung einer Verletzung der Datensicherheit an den EDÖB muss folgende Angaben enthalten:

  • a. die Art der Verletzung;

  • b. soweit möglich den Zeitpunkt und die Dauer;

  • c. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personendaten;

  • d. soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personen;

  • e. die Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;

  • f. welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben und die Folgen, einschliesslich der allfälligen Risiken, zu mindern;

  • g. den Namen und die Kontaktdaten einer Ansprechperson.

Ist es dem Verantwortlichen nicht möglich, alle Angaben gleichzeitig zu melden, so liefert er die fehlenden Angaben so rasch als möglich nach.

Ist der Verantwortliche verpflichtet, die betroffene Person zu informieren, so teilt er ihr in einfacher und verständlicher Sprache mindestens die Angaben nach Absatz 1 Buchstaben a und e–g mit.

Der Verantwortliche muss die Verletzungen dokumentieren. Die Dokumentation muss die mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen enthalten. Sie ist ab dem Zeitpunkt der Meldung nach Absatz 1 mindestens zwei Jahre aufzubewahren.

3. Kapitel: Rechte der betroffenen Person

1. Abschnitt: Auskunftsrecht

Art. 16 Modalitäten

Wer vom Verantwortlichen Auskunft darüber verlangt, ob Personendaten über sie oder ihn bearbeitet werden, muss dies schriftlich tun. Ist der Verantwortliche einverstanden, so kann das Begehren auch mündlich mitgeteilt werden.

Die Auskunftserteilung erfolgt schriftlich oder in der Form, in der die Daten vorliegen. Im Einvernehmen mit dem Verantwortlichen kann die betroffene Person ihre Daten an Ort und Stelle einsehen. Die Auskunft kann mündlich erteilt werden, wenn die betroffene Person einverstanden ist.

Das Auskunftsbegehren und die Auskunftserteilung können auf elektronischem Weg erfolgen.

Die Auskunft muss der betroffenen Person in einer verständlichen Form erteilt werden.

Der Verantwortliche muss angemessene Massnahmen treffen, um die betroffene Person zu identifizieren. Diese ist zur Mitwirkung verpflichtet.

Art. 17 Zuständigkeit

Bearbeiten mehrere Verantwortliche Personendaten gemeinsam, so kann die betroffene Person ihr Auskunftsrecht bei jedem Verantwortlichen geltend machen.

Betrifft das Begehren Daten, die von einem Auftragsbearbeiter bearbeitet werden, so unterstützt der Auftragsbearbeiter den Verantwortlichen bei der Erteilung der Auskunft, sofern er das Begehren nicht im Auftrag des Verantwortlichen beantwortet.

Art. 18 Frist

Die Auskunft muss innerhalb von 30 Tagen seit dem Eingang des Begehrens erteilt werden.

Kann die Auskunft nicht innerhalb von 30 Tagen erteilt werden, so muss der Verantwortliche die betroffene Person darüber informieren und ihr mitteilen, innerhalb welcher Frist die Auskunft erfolgt.

Verweigert der Verantwortliche die Auskunft, schränkt er sie ein oder schiebt er sie auf, so muss er dies innerhalb derselben Frist mitteilen.

Art. 19 Ausnahme von der Kostenlosigkeit

Ist die Erteilung der Auskunft mit einem unverhältnismässigen Aufwand verbunden, so kann der Verantwortliche von der betroffenen Person verlangen, dass sie sich an den Kosten angemessen beteiligt.

Die Beteiligung beträgt maximal 300 Franken.

Der Verantwortliche muss der betroffenen Person die Höhe der Beteiligung vor der Auskunftserteilung mitteilen. Bestätigt die betroffene Person das Gesuch nicht innerhalb von zehn Tagen, so gilt es als ohne Kostenfolge zurückgezogen. Die Frist nach Artikel 18 Absatz 1 beginnt nach Ablauf der zehntägigen Bedenkzeit zu laufen.

2. Abschnitt: Recht auf Datenherausgabe oder -übertragung

Art. 20 Umfang des Anspruchs

Als Personendaten, die die betroffene Person dem Verantwortlichen bekanntgegeben hat, gelten:

  • a. Daten, die sie diesem wissentlich und willentlich zur Verfügung stellt;

  • b. Daten, die der Verantwortliche über die betroffene Person und ihr Verhalten im Rahmen der Nutzung eines Diensts oder Geräts erhoben hat.

Personendaten, die vom Verantwortlichen durch eigene Auswertung der bereitgestellten oder beobachteten Personendaten erzeugt werden, gelten nicht als Personendaten, die die betroffene Person dem Verantwortlichen bekannt gegeben hat.

Art. 21 Technische Anforderungen an die Umsetzung

Als gängiges elektronisches Format gelten Formate, die es ermöglichen, dass die Personendaten mit verhältnismässigem Aufwand übertragen und von der betroffenen Person oder einem anderen Verantwortlichen weiterverwendet werden.

Das Recht auf Datenherausgabe oder -übertragung begründet für den Verantwortlichen nicht die Pflicht, technisch kompatible Datenbearbeitungssysteme zu übernehmen oder beizubehalten.

Ein unverhältnismässiger Aufwand für die Übertragung von Personendaten auf einen anderen Verantwortlichen liegt vor, wenn die Übertragung technisch nicht möglich ist.

Art. 22 Frist, Modalitäten und Zuständigkeit

Die Artikel 16 Absätze 1 und 5 sowie 17–19 gelten sinngemäss für das Recht auf Datenherausgabe oder -übertragung.

4. Kapitel Besondere Bestimmungen zur Datenbearbeitung durch private Personen

Art. 23 Datenschutzberaterin oder Datenschutzberater

Der Verantwortliche muss der Datenschutzberaterin oder dem Datenschutzberater:

  • a. die notwendigen Ressourcen zur Verfügung stellen;

  • b. Zugang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten gewähren, die die Beraterin oder der Berater zur Erfüllung ihrer oder seiner Aufgaben benötigt;

  • c. das Recht einräumen, in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan zu informieren.

Art. 24 Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten

Unternehmen und andere privatrechtliche Organisationen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen sind von der Pflicht befreit, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, ausser eine der folgenden Voraussetzungen ist erfüllt:

  • a. Es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet.

  • b. Es wird ein Profiling mit hohem Risiko durchgeführt.

5. Kapitel Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane

1. Abschnitt: Datenschutzberaterin oder -berater

Art. 25 Ernennung

Jedes Bundesorgan ernennt eine Datenschutzberaterin oder einen Datenschutzberater. Mehrere Bundesorgane können gemeinsam eine Datenschutzberaterin oder einen Datenschutzberater ernennen.

Art. 26 Anforderungen und Aufgaben

Die Datenschutzberaterin oder der Datenschutzberater muss die folgenden Anforderungen erfüllen:

  • a. Sie oder er verfügt über die erforderlichen Fachkenntnisse.

  • b. Sie oder er übt ihre oder seine Funktion gegenüber dem Bundesorgan fachlich unabhängig und weisungsungebunden aus.

Sie oder er muss folgende Aufgaben wahrnehmen:

  • a. Sie oder er wirkt bei der Anwendung der Datenschutzvorschriften mit, indem sie oder er insbesondere:

    1. die Bearbeitung von Personendaten prüft und Korrekturmassnahmen empfiehlt, wenn eine Verletzung der Datenschutzvorschriften festgestellt wird,

    2. den Verantwortlichen bei der Erstellung der Datenschutz-Folgenabschätzung berät und deren Ausführung überprüft.

  • b. Sie oder er dient als Anlaufstelle für die betroffenen Personen.

  • c. Sie oder er schult und berät die Mitarbeitenden des Bundesorgans in Fragen des Datenschutzes.

Art. 27 Pflichten des Bundesorgans

Das Bundesorgan hat gegenüber der Datenschutzberaterin oder dem Datenschutzberater folgende Pflichten:

  • a. Es gewährt ihr oder ihm Zugang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten, die sie oder er zur Erfüllung ihrer oder seiner Aufgaben benötigt.

  • b. Es sorgt dafür, dass sie oder er über eine Verletzung der Datensicherheit informiert wird.

Es veröffentlicht die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters im Internet und teilt diese dem EDÖB mit.

Art. 28 Anlaufstelle des EDÖB

Die Datenschutzberaterin oder der Datenschutzberater dient dem EDÖB als Anlaufstelle für Fragen im Zusammenhang mit der Bearbeitung von Personendaten durch das betreffende Bundesorgan.

2. Abschnitt: Informationspflichten

Art. 29 Informationspflicht bei der Bekanntgabe von Personendaten

Das Bundesorgan informiert die Empfängerin oder den Empfänger über die Aktualität, Zuverlässigkeit und Vollständigkeit der von ihm bekanntgegebenen Personendaten, soweit sich diese Informationen nicht aus den Daten selbst oder aus den Umständen ergeben.

Art. 30 Informationspflicht bei der systematischen Beschaffung von Personendaten

Ist die betroffene Person nicht zur Auskunft verpflichtet, so weist das verantwortliche Bundesorgan sie bei einer systematischen Beschaffung von Personendaten darauf hin.

3. Abschnitt Meldung der Projekte zur automatisierten Bearbeitung von Personendaten an den EDÖB

Art. 31

Das verantwortliche Bundesorgan meldet dem EDÖB die geplanten automatisierten Bearbeitungstätigkeiten im Zeitpunkt des Entscheids zur Projektentwicklung oder der Projektfreigabe.

Die Meldung muss die Angaben nach Artikel 12 Absatz 2 Buchstaben a–d DSG sowie das voraussichtliche Datum des Beginns der Bearbeitungstätigkeiten enthalten.

Der EDÖB nimmt diese Meldung in das Register der Bearbeitungstätigkeiten auf.

Das verantwortliche Bundesorgan aktualisiert die Meldung beim Übergang in den produktiven Betrieb oder bei der Projekteinstellung.

4. Abschnitt: Pilotversuche

Art. 32 Unentbehrlichkeit des Pilotversuchs

Ein Pilotversuch ist unentbehrlich, wenn eine der folgenden Bedingungen erfüllt ist:

  • a. Die Erfüllung einer Aufgabe erfordert technische Neuerungen, deren Auswirkungen zunächst evaluiert werden müssen.

  • b. Die Erfüllung einer Aufgabe erfordert bedeutende organisatorische oder technische Massnahmen, deren Wirksamkeit zunächst geprüft werden muss, insbesondere bei der Zusammenarbeit zwischen Organen des Bundes und der Kantone.

  • c. Die Erfüllung einer Aufgabe erfordert, dass die Personendaten im Abrufverfahren zugänglich sind.

Art. 33 Verfahren bei der Bewilligung des Pilotversuchs

Vor der Konsultation der interessierten Verwaltungseinheiten legt das für den Pilotversuch zuständige Bundesorgan dar, wie die Einhaltung der Voraussetzungen nach Artikel 35 DSG erfüllt werden soll, und lädt den EDÖB zur Stellungnahme ein.

Der EDÖB nimmt zur Frage Stellung, ob die Bewilligungsvoraussetzungen nach Artikel 35 DSG erfüllt sind. Das Bundesorgan stellt ihm alle dazu notwendigen Unterlagen zur Verfügung, insbesondere:

  • a. eine allgemeine Beschreibung des Pilotversuchs;

  • b. einen Bericht, der nachweist, dass die Erfüllung der gesetzlich vorgesehenen Aufgaben eine Bearbeitung nach Artikel 34 Absatz 2 DSG erfordert und dass eine Testphase vor dem Inkrafttreten des Gesetzes im formellen Sinn unentbehrlich ist;

  • c. eine Beschreibung der internen Organisation sowie der Datenbearbeitungs- und Kontrollverfahren;

  • d. eine Beschreibung der Sicherheits- und Datenschutzmassnahmen;

  • e. den Entwurf einer Verordnung, welche die Einzelheiten der Bearbeitung regelt, oder das Konzept einer Verordnung;

  • f. die Planung der verschiedenen Phasen des Pilotversuchs.

Der EDÖB kann weitere Dokumente anfordern und zusätzliche Abklärungen vornehmen.

Das Bundesorgan informiert den EDÖB über jede wichtige Änderung, welche die Einhaltung der Voraussetzungen nach Artikel 35 DSG betrifft. Der EDÖB nimmt, falls erforderlich, erneut Stellung.

Die Stellungnahme des EDÖB ist dem Antrag an den Bundesrat beizufügen.

Die automatisierte Datenbearbeitung wird in einer Verordnung geregelt.

Art. 34 Evaluationsbericht

Das zuständige Bundesorgan unterbreitet dem EDÖB den Entwurf des Evaluationsberichts an den Bundesrat zur Stellungnahme.

Es unterbreitet dem Bundesrat den Evaluationsbericht mit der Stellungnahme des EDÖB.

5. Abschnitt: Datenbearbeitung für nicht personenbezogene Zwecke

Art. 35

Werden Personendaten zu nicht personenbezogenen Zwecken, insbesondere der Forschung, der Planung und der Statistik, und gleichzeitig zu einem anderen Zweck bearbeitet, so sind die Ausnahmen nach Artikel 39 Absatz 2 DSG nur für die Bearbeitung zu den nicht personenbezogenen Zwecken anwendbar.

6. Kapitel Eidgenössischer Datenschutz- und Öffentlichkeits­beauftragter

Art. 36 Sitz und ständiges Sekretariat

Der Sitz des EDÖB befindet sich in Bern.

Auf die Arbeitsverhältnisse der Angestellten des ständigen Sekretariats des EDÖB ist die Bundespersonalgesetzgebung anwendbar. Die Angestellten sind im Rahmen des Vorsorgewerks Bund bei der Pensionskasse des Bundes versichert.

Art. 37 Kommunikationsweg

Der EDÖB kommuniziert mit dem Bundesrat über die Bundeskanzlerin oder den Bundeskanzler. Diese oder dieser leitet die Vorschläge, Stellungnahmen und Berichte unverändert an den Bundesrat weiter.

Der EDÖB reicht Berichte zuhanden der Bundesversammlung über die Parlamentsdienste ein.

Art. 38 Mitteilung von Entscheiden, Richtlinien und Projekten

Die Departemente und die Bundeskanzlei teilen dem EDÖB im Bereich des Datenschutzes ihre Entscheide in anonymisierter Form sowie ihre Richtlinien mit.

Die Bundesorgane legen dem EDÖB alle Rechtsetzungsentwürfe vor, welche die Bearbeitung von Personendaten, den Datenschutz sowie den Zugang zu amtlichen Dokumenten betreffen.

Art. 39 Bearbeitung von Personendaten

Der EDÖB kann Personendaten, einschliesslich besonders schützenswerter Personendaten, insbesondere zu folgenden Zwecken bearbeiten:

  • a. zur Ausübung seiner Aufsichtstätigkeiten;

  • b. zur Ausübung seiner Beratungstätigkeiten;

  • c. zur Zusammenarbeit mit Bundesbehörden, kantonalen und ausländischen Behörden;

  • d. zur Aufgabenerfüllung im Rahmen der Strafbestimmungen nach dem DSG;

  • e. zur Durchführung von Schlichtungsverfahren und zum Erlass von Empfehlungen nach dem Öffentlichkeitsgesetz vom 17. Dezember 20042 (BGÖ);

  • f. zur Durchführung von Evaluationen nach dem BGÖ;

  • g. zur Durchführung von Verfahren für den Zugang zu amtlichen Dokumenten nach dem BGÖ;

  • h. zur Information der parlamentarischen Aufsicht;

  • i. zur Information der Öffentlichkeit;

  • j. zur Ausübung seiner Schulungstätigkeiten.

Art. 40 Selbstkontrolle

Der EDÖB erstellt ein Bearbeitungsreglement für sämtliche automatisierten Bearbeitungen; Artikel 6 Absatz 1 ist nicht anwendbar.

Art. 41 Zusammenarbeit mit dem NCSC

Der EDÖB kann die Meldung einer Verletzung der Datensicherheit mit dem Einverständnis des meldepflichtigen Verantwortlichen zur Analyse des Vorfalls an das Nationale Zentrum für Cybersicherheit (NCSC) weiterleiten. Die Mitteilung kann Personendaten enthalten.

Der EDÖB lädt das NCSC zur Stellungnahme ein, bevor er anordnet, dass das Bundesorgan die Vorkehren nach Artikel 8 DSG trifft.

Art. 42 Register der Bearbeitungstätigkeiten der Bundesorgane

Das Register der Bearbeitungstätigkeiten der Bundesorgane enthält die von den Bundesorganen gemachten Angaben nach Artikel 12 Absatz 2 DSG sowie nach Artikel 31 Absatz 2 dieser Verordnung.

Es ist im Internet zu veröffentlichen. Nicht veröffentlicht werden die Registereinträge über geplante automatisierte Bearbeitungstätigkeiten nach Artikel 31.

Art. 43 Verhaltenskodizes

Wird dem EDÖB ein Verhaltenskodex vorgelegt, so teilt dieser in seiner Stellungnahme mit, ob der Verhaltenskodex die Voraussetzungen nach Artikel 22 Absatz 5 Buchstaben a und b DSG erfüllt.

Art. 44 Gebühren

Die vom EDÖB in Rechnung gestellten Gebühren bemessen sich nach dem Zeitaufwand.

Es gilt ein Stundenansatz von 150 bis 250 Franken, je nach Funktion des ausführenden Personals.

Bei Dienstleistungen von aussergewöhnlichem Umfang, besonderer Schwierigkeit oder Dringlichkeit können Zuschläge bis zu 50 Prozent der Gebühr nach Absatz 2 erhoben werden.

Kann die Dienstleistung des EDÖB von der gebührenpflichtigen Person zu kommerziellen Zwecken weiterverwendet werden, so können Zuschläge bis zu 100 Prozent der Gebühr nach Absatz 2 erhoben werden.

Im Übrigen gilt die Allgemeine Gebührenverordnung vom 8. September 20043.

7. Kapitel: Schlussbestimmungen

Art. 45 Aufhebung und Änderung anderer Erlasse

Die Aufhebung und die Änderung anderer Erlasse werden in Anhang 2 geregelt.

Art. 46 Übergangsbestimmungen

Für Datenbearbeitungen, die nicht in den Anwendungsbereich der Richtlinie (EU) 2016/6804 fallen, gilt Artikel 4 Absatz 2 spätestens drei Jahre nach Inkrafttreten dieser Verordnung oder spätestens nach Ende des Lebenszyklus des Systems. In der Zwischenzeit unterliegen diese Bearbeitungen Artikel 4 Absatz 1.

Artikel 8 Absatz 5 gilt nicht für Beurteilungen, die vor dem Inkrafttreten dieser Verordnung durchgeführt wurden.

Artikel 31 gilt nicht für geplante automatisierte Bearbeitungstätigkeiten, bei welchen im Zeitpunkt des Inkrafttretens dieser Verordnung die Projektfreigabe oder der Entscheid zur Projektentwicklung bereits erfolgt ist.

Art. 47 Inkrafttreten

Diese Verordnung tritt am 1. September 2023 in Kraft.

31. August 2022

Im Namen des Schweizerischen Bundesrates

Der Bundespräsident: Ignazio Cassis
Der Bundeskanzler: Walter Thurnherr

(Art. 8 Abs. 1)

Staaten, Gebiete, spezifische Sektoren in einem Staat und internationale Organe mit einem angemessenen Datenschutz

1

Deutschland*

2

Andorra***

3

Argentinien***

4

Österreich*

5

Belgien*

6

Bulgarien***

7

Kanada***

Ein angemessener Datenschutz gilt als gewährleistet, wenn das kanadische Bundesgesetz «Loi sur la protection des renseignements personnels et les documents électroniques» vom 13. April 20005 im privaten Bereich oder das Gesetz einer kanadischen Provinz, das diesem Bundesgesetz weitgehend entspricht, zur Anwendung gelangt. Das Bundesgesetz gilt für Personendaten, die im Rahmen kommerzieller Tätigkeiten beschafft, bearbeitet oder bekanntgegeben werden, unabhängig davon, ob es sich um Organisationen wie Vereine, Personengesellschaften, Einzelpersonen oder Gewerkschaften oder bundesrechtlich geregelte Unternehmen wie Anlagen, Werke, Unternehmen oder Geschäftstätigkeiten, die in die Gesetzgebungskompetenz des kanadischen Parlaments fallen, handelt. Die Provinzen Québec, British Columbia und Alberta haben ein Gesetz erlassen, das dem Bundesgesetz weitgehend entspricht; die Provinzen Ontario, New Brunswick, Neufundland und Labrador und Neuschottland haben ein Gesetz erlassen, das im Bereich der Gesundheitsdaten diesem Gesetz weitgehend entspricht. In allen kanadischen Provinzen gilt das Bundesgesetz für alle Personendaten, die von bundesrechtlich geregelten Unternehmen beschafft, bearbeitet oder bekanntgegeben werden, einschliesslich der Daten über Angestellte dieser Unternehmen. Das Bundesgesetz gilt auch für Personendaten, die im Rahmen kommerzieller Tätigkeiten in eine andere Provinz oder in ein anderes Land übermittelt werden.

8

Zypern***

9

Kroatien***

10

Dänemark*

11

Spanien*

12

Estland*

13

Finnland*

14

Frankreich*

15

Gibraltar***

16

Griechenland*

17

Guernsey***

18

Ungarn*

19

Isle of Man***

20

Färöer***

21

Irland***

22

Island*

23

Israel***

24

Italien*

25

Jersey***

26

Lettland*

27

Liechtenstein*

28

Litauen*

29

Luxemburg*

30

Malta*

31

Monaco***

32

Norwegen*

33

Neuseeland***

34

Niederlande*

35

Polen*

36

Portugal*

37

Tschechien*

38

Rumänien***

39

Vereinigtes Königreich**

40

Slowakei*

41

Slowenien*

42

Schweden*

43

Uruguay***

  • * Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe vonPersonendaten nach der Richtlinie (EU) 2016/6806 mit ein.

  • ** Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe von Personendaten gemäss einem Durchführungsbeschluss der Europäischen Kommission, mit welchem die Angemessenheit des Datenschutzes nach der Richtlinie (EU) 2016/680 festgestellt wird, mit ein.

  • *** Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe von Personendaten im Rahmen der von der Richtlinie (EU) 2016/680 vorgesehenen Zusammenarbeit nicht mit ein.

(Art. 45)

Aufhebung und Änderung anderer Erlasse

I

Die Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 19937 wird aufgehoben.

II

Die nachstehenden Erlasse werden wie folgt geändert:

1. Verordnung vom 4. März 2011 über die Personensicherheitsprüfungen8

Art. 12 Abs. 1 Bst. e und Abs. 2 Bst. a Ziff. 2

1 Die erweiterte Personensicherheitsprüfung mit Befragung wird von der Fachstelle PSP VBS bei Personen durchgeführt, die:

  • e. Aufgehoben

2 Die erweiterte Personensicherheitsprüfung mit Befragung wird von der Fachstelle PSP BK bei Personen durchgeführt, die:

  • a. vom Bundesrat ernannt werden; ausgenommen sind:

    1. Aufgehoben

Art. 21 Abs. 2

2 Die betroffene Person kann die Prüfungsunterlagen jederzeit einsehen; vorbehalten bleiben Artikel 26 des Datenschutzgesetzeses vom 25. September 20209 sowie die Artikel 27 und 28 des Verwaltungsverfahrensgesetzes vom 20. Dezember 196810.

Anh. 1 Ziff. 2.1 zweite Zeile

Verwaltungseinheiten

Funktionen

...

Sämtliche Funktionen innerhalb des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, ausgenommen dessen Leiterin oder Leiter

...

2. Verordnung vom 4. Dezember 2009 über verwaltungspolizeiliche Massnahmen des Bundesamtes für Polizei und über das Informationssystem HOOGAN11

Art. 9 Abs. 1 Bst. a Ziff. 3 und Abs. 4 Bst. b

1 Auf HOOGAN haben die folgenden Behörden ausschliesslich zu den folgenden Zwecken Zugriff:

  • a. die folgenden Stellen innerhalb von fedpol:

    1. die Datenschutzberaterin oder der Datenschutzberater von fedpol: für die Bearbeitung der Auskunfts- und Löschgesuche für HOOGAN;

4 Über den Kurzzugriff verfügen:

  • b. die Datenschutzberaterin oder der Datenschutzberater von fedpol;

Art. 13 Abs. 1 Bst. a

1 Für die Gewährleistung der Datensicherheit gelten:

  • a. die Artikel 1–4 und 6 der Datenschutzverordnung vom 31. August 202212;

3. Verordnung vom 16. August 2017 über die Informations- und Speichersysteme des Nachrichtendienstes des Bundes13

Art. 13 Abs. 1 Bst. a

1 Für die Gewährleistung der Datensicherheit gelten:

  • a. die Artikel 1–4 und 6 der Datenschutzverordnung vom 31. August 202214;

Art. 17 Abs. 3

3 IASA NDB kann Personendaten, einschliesslich Personendaten, welche die Beurteilung des Gefährlichkeitsgrades einer Person erlauben, enthalten, unabhängig davon, ob es sich um besonders schützenswerte Personendaten handelt oder nicht.

Art. 23 Abs. 3

3 IASA-GEX NDB kann Personendaten, einschliesslich Personendaten, welche die Beurteilung des Gefährlichkeitsgrades einer Person erlauben, enthalten, unabhängig davon, ob es sich um besonders schützenswerte Personendaten handelt oder nicht.

Art. 30 Abs. 3

3 Der INDEX NDB kann Personendaten, einschliesslich Personendaten, welche die Beurteilung des Gefährlichkeitsgrades einer Person erlauben, enthalten, unabhängig davon, ob es sich um besonders schützenswerte Personendaten handelt oder nicht.

Art. 38 Abs. 1, 44 Abs. 1, 59 Abs. 1

Betrifft nur den französischen und den italienischen Text.

Art. 67 Abs. 2

2 Sie können Personendaten, einschliesslich Personendaten, welche die Beurteilung des Gefährlichkeitsgrades einer Person erlauben, enthalten, unabhängig davon, ob es sich um besonders schützenswerte Personendaten handelt oder nicht.

4. Verordnung vom 24. Oktober 2007 über Zulassung, Aufenthalt und Erwerbstätigkeit15

Art. 89a Bekanntgabe von Personendaten an einen Staat, der durch keines der Schengen-Assoziierungsabkommen gebunden ist

Ein geeigneter Datenschutz der betroffenen Person im Sinne von Artikel 111d Absatz 3 AIG liegt vor, wenn die geeigneten Garantien die Anforderungen der Artikel 9–12 der Datenschutzverordnung vom 31. August 202216 erfüllen.

5. Verordnung vom 10. November 2021 über das Einreise- und Ausreisesystem17

Art. 18 Abs. 1

1 Das Auskunftsrecht richtet sich nach dem Datenschutzgesetz vom 25. September 202018.

Art. 20 Abs. 2 Bst. a

2 Die Datensicherheit für die Bundesbehörden richtet sich zudem nach:

  • a. der Datenschutzverordnung vom 31. August 202219;

6. Asylverordnung 3 vom 11. August 199920

Art. 1b Abs. 2 erster Satz

2 Es werden keine besonders schützenswerten Personendaten gespeichert. ...

Art. 6a Bekanntgabe von Personendaten an einen Staat, der durch keines der Dublin-Assoziierungsabkommen gebunden ist

(Art. 102c Abs. 3 und 4 AsylG)

Ein geeigneter Datenschutz der betroffenen Person im Sinne von Artikel 102c Absatz 3 AsylG liegt vor, wenn die geeigneten Garantien die Anforderungen der Artikel 9–12 der Datenschutzverordnung vom 31. August 202221 (DSV) erfüllen.

Art. 12 Bst. a

Die Datensicherheit richtet sich nach:

  • a. der DSV22;

7. Visa-Informationssystem-Verordnung vom 18. Dezember 201323

Art. 31 Abs. 1

1 Macht eine Person ihr Recht auf Auskunft von Daten im ORBIS oder im C-VIS geltend, so muss sie in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 202224 (DSV) ein Gesuch beim SEM einreichen. Die Geltendmachung weiterer Ansprüche durch die betroffene Person richtet sich nach Artikel 41 des Datenschutzgesetzes vom 25. September 202025.

Art. 32 Abs. 1 Einleitungssatz, Bst. a und c

1 Bei der Beschaffung von Personendaten der gesuchstellenden Person, einschliesslich biometrischer Daten, wird diese schriftlich informiert:

  • a. über die Identität und die Kontaktdaten des Verantwortlichen;

  • c. über die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden;

Art. 34 Bst. a

Die Datensicherheit richtet sich nach:

  • a. der DSV26;

8. ZEMIS-Verordnung vom 12. April 200627

Art. 13 Abs. 1 Einleitungssatz und Abs. 4

Betrifft nur den französischen Text.

Art. 14 Abs. 2

Aufgehoben

Art. 17 Abs. 1 Bst. a

1 Die Datensicherheit richtet sich nach:

  • a. der Datenschutzverordnung vom 31. August 202228 (DSV);

Art. 19 Abs. 1 und 2

1 Die Rechte der Betroffenen, insbesondere das Auskunfts-, das Berichtigungs- und das Vernichtungsrecht sowie das Recht auf Information über die Beschaffung von Personendaten, richten sich nach den Bestimmungen des Datenschutzgesetzes vom 25. September 202029 (DSG) und des Verwaltungsverfahrensgesetzes vom 20. Dezember 196830 sowie nach den Artikeln 111e–111g AIG31.

2 Will eine betroffene Person Rechte geltend machen, so muss sie in der Form nach Artikel 16 DSV32 ein Gesuch beim SEM einreichen.

9. Ausweisverordnung vom 20. September 200233

Art. 40 Abs. 2

2 Die Protokolle sind während eines Jahres getrennt vom System, in welchem die Personendaten bearbeitet werden, aufzubewahren.

Art. 42 Abs. 1 und 3

1 Jede Person kann beim Bundesamt in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 202234 Auskunft verlangen, ob Daten über sie bearbeitet werden.

3 Für die Verweigerung, die Einschränkung oder das Aufschieben der Auskunft gilt Artikel 26 des Datenschutzgesetzes vom 25. September 202035 (DSG).

Art. 43 Weitere Ansprüche der Betroffenen

Weitere Ansprüche der Betroffenen richten sich nach Artikel 41 DSG.

10. Verordnung vom 14. November 2012 über die Ausstellung von Reisedokumenten für ausländische Personen36

Art. 30 Abs. 1, 3 und 5

1 Jede ausländische Person kann beim SEM in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 202237 Auskunft verlangen, ob Daten über sie im ISR bearbeitet werden.

3 Für die Verweigerung, die Einschränkung oder das Aufschieben der Auskunft gilt Artikel 26 des Datenschutzgesetzes vom 25. September 202038 (DSG).

5 Weitere Ansprüche der Betroffenen richten sich nach Artikel 41 DSG.

11. Verordnung vom 2. November 2016 zum Bundesgesetz zum Internationalen Übereinkommen zum Schutz aller Personen vor dem Verschwindenlassen39

Art. 10 Abs. 2

2 Die Archivierung der Daten richtet sich nach Artikel 38 des Datenschutzgesetzes vom 25. September 202040 und nach den Vorschriften des Archivierungsgesetzes vom 26. Juni 199841.

12. Archivierungsverordnung vom 8. September 199942

Art. 12 Abs. 3 erster Satz

3 Findmittel, die als solche besonders schützenswerte Personendaten enthalten, dürfen erst nach Ablauf der Schutzfrist publiziert werden. ...

Art. 14 Abs. 1

1 Für nach Personennamen erschlossenes Archivgut, das besonders schützenswerte Personendaten enthält, gilt die 50-jährige verlängerte Schutzfrist nach Artikel 11 des Gesetzes, die im Einzelfall nach den Artikeln 11 und 13 des Gesetzes verkürzt oder nach Artikel 12 Absatz 2 des Gesetzes verlängert werden kann.

Art. 26 Abs. 2

Aufgehoben

13. Öffentlichkeitsverordnung vom 24. Mai 200643

Art. 12 Abs. 1, 2 erster und zweiter Satz und 3

1 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) klärt ab, ob die Behörde das Zugangsgesuch rechtmässig und angemessen bearbeitet hat.

2 Er hört die am Schlichtungsverfahren Beteiligten an und strebt zwischen ihnen eine Einigung an. Falls notwendig unterbreitet er Vorschläge. ...

3 Der EDÖB stellt das Ergebnis des Schlichtungsverfahrens fest und teilt es den Beteiligten schriftlich mit.

Art. 12a Abs. 1 Einleitungssatz und 2

1 Ein Schlichtungsantrag erfordert namentlich eine besonders aufwändige Bearbeitung durch den EDÖB, wenn er:

2 Erfordert ein Schlichtungsantrag eine besonders aufwändige Bearbeitung durch den EDÖB, so kann dieser die Frist für das Schlichtungsverfahren oder den Erlass einer Empfehlung angemessen verlängern.

Art. 12b Abs. 1 Einleitungssatz, Bst. b und c sowie 4

1 Sobald ein Schlichtungsantrag eingereicht ist, informiert der EDÖB die Behörde und räumt ihr eine Frist ein, um:

  • b. ihm die erforderlichen Dokumente zuzustellen;

  • c. ihm die Person zu nennen, die sie im Schlichtungsverfahren vertritt.

4 Weigern sich die Parteien, an der Suche nach einer Schlichtung mitzuwirken oder verzögern sie das Schlichtungsverfahren missbräuchlich, so kann der EDÖB feststellen, dass die Schlichtung nicht zustande gekommen ist.

Art. 13 Abs. 1, 3 und 4

1 In der Empfehlung weist der EDÖB insbesondere darauf hin, dass die am Schlichtungsverfahren Beteiligten von der zuständigen Behörde eine Verfügung nach Artikel 15 BGÖ verlangen können, und teilt ihnen mit, welche Frist sie dafür einhalten müssen.

3 Der EDÖB veröffentlicht die Empfehlungen und trifft dabei geeignete Massnahmen, um den Schutz der Daten der am Schlichtungsverfahren beteiligten natürlichen und juristischen Personen sicherzustellen.

4 Ist der Schutz der Daten nach Absatz 3 nicht möglich, so verzichtet der EDÖB auf die Veröffentlichung der Empfehlung.

Art. 13a Information des EDÖB durch die Behörde

(Art. 15 und 16 BGÖ)

Die Verwaltungseinheiten der zentralen Bundesverwaltung stellen dem EDÖB eine Kopie ihrer Verfügung und allfällige Entscheide der Beschwerdeinstanzen zu.

Art. 21 Einleitungssatz

Jede Behörde teilt dem EDÖB jährlich mit:

14. Regierungs- und Verwaltungsorganisationsverordnung vom 25. November 199844

Art. 27i Schutz von Personendaten

Jede Dienststelle, die vom Untersuchungsorgan zur Bekanntgabe von Personendaten aufgefordert wird, hat in eigener Kompetenz sicherzustellen, dass dabei die Bestimmungen des Datenschutzgesetzes vom 25. September 2020 eingehalten werden.

15. GEVER-Verordnung vom 3. April 201945

Ingress

gestützt auf Artikel 57hter des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 199746 (RVOG),

Art. 2 Abs. 3

3 Als Geschäftsverwaltungssystem gilt ein Informatiksystem, das im Sinne von Artikel 57h RVOG der Abwicklung von Geschäftsprozessen sowie der Verwaltung von Dokumenten, einschliesslich der Korrespondenz, dient.

16. Verordnung vom 22. Februar 2012 über die Bearbeitung von Personendaten, die bei der Nutzung der elektronischen Infrastruktur des Bundes anfallen47

Titel

Verordnung
über die Bearbeitung von Personendaten und Daten
juristischer Personen bei der Nutzung der elektronischen
Infrastruktur des Bundes

(VBNIB)

Art. 1 Bst. a und b

In dieser Verordnung bedeuten:

  • a. bewirtschaftete Daten: Personendaten und Daten juristischer Personen, die bei der Nutzung der elektronischen Infrastruktur des Bundes aufgezeichnet und regelmässig genutzt, ausgewertet oder bewusst gelöscht werden;

  • b. nicht bewirtschaftete Daten: Personendaten und Daten juristischer Personen, die bei der Nutzung der elektronischen Infrastruktur des Bundes aufgezeichnet, aber nicht oder nicht regelmässig genutzt, ausgewertet oder bewusst gelöscht werden;

Art. 10 Abs. 3

3 Dem Datenschutzberater oder der Datenschutzberaterin des auftraggebenden Bundesorgans ist eine Kopie des Auftrags zuzustellen.

Art. 14 Kein Anspruch der Nutzerinnen und Nutzer auf Auswertung

Die Nutzerinnen und Nutzer der elektronischen Infrastruktur des Bundes haben keinen Anspruch auf Auswertung ihrer Daten gemäss dieser Verordnung.

17. Verordnung vom 25. November 2020 über die digitale Transformation und die Informatik48

Art. 26 Abs. 2

2 Im MDG dürfen keine besonders schützenswerten Personendaten geführt werden.

18. Verordnung vom 19. Oktober 2016 über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes49

Art. 11 Abs. 2

Aufgehoben

Art. 13 Abs. 4

4 Die Daten können weiteren bundesinternen Informationssystemen automatisch zur Übernahme und zum Abgleich bereitgestellt werden, sofern das jeweilige System:

  • a. über eine Rechtsgrundlage und ein Bearbeitungsreglement nach Artikel 6 der Datenschutzverordnung vom 31. August 202250 (DSV) verfügt; und

  • b. beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten nach Artikel 12 Absatz 4 des Datenschutzgesetzes vom 25. September 202051 angemeldet wurde.

Art. 17 Abs. 2

2 Dazu erstellt die Stelle, die für das extern betriebene Informationssystem zuständig ist oder den Zugang auf das fremde Informationssystem benötigt, einen schriftlichen Antrag, der den betroffenen Personenkreis nennt, und stellt diesen via die zuständige Datenschutzberaterin oder den zuständigen Datenschutzberater dem für das liefernde Informationssystem zuständigen Bundesorgan zu.

Art. 18 Abs. 1 zweiter Satz

1 ... Insbesondere erlässt jedes verantwortliche Organ eines Systems nach dieser Verordnung ein Bearbeitungsreglement nach Artikel 6 DSV52.

Art. 25 Abs. 2

2 Protokolldaten werden getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt und spätestens nach zwei Jahren vernichtet. Es werden keine Protokolldaten archiviert.

Art. 26 Abs. 2

2 Dazu ist ein schriftlicher Antrag mit Angabe des Zwecks und der rechtlichen Grundlage via die zuständige Datenschutzberaterin oder den zuständigen Datenschutzberater an das für das IAM-System verantwortliche Organ zu richten. Die Lieferung kann mit den gleichen Angaben auch in der Betriebsvereinbarung zwischen dem verantwortlichen Organ und dem Betreiber des IAM-Systems vereinbart werden.

19. Verordnung vom 20. Juni 2018 über das Datenbearbeitungssystem des Sprachdienstes EDA53

Ingress

gestützt auf Artikel 57hter des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 199754 (RVOG),

Art. 13 Abs. 2

2 Die Protokolle werden längstens ein Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

20. Gebührenverordnung fedpol vom 4. Mai 201655

Art. 1 Abs. 1 Bst. d

1 Das Bundesamt für Polizei (fedpol) erhebt Gebühren für folgende Verfügungen und Dienstleistungen:

  • d. Verfügungen und Dienstleistungen gestützt auf Artikel 19 Absatz 1 der Datenschutzverordnung vom 31. August 202256;

21. Verordnung vom 12. Februar 2020 über das öffentliche Beschaffungswesen57

Art. 24 Abs. 2 zweiter Satz

2 ... Bei einer ausländischen Anbieterin oder ausländischen Subunternehmerinnen kann die zuständige interne Revision oder die EFK die zuständige ausländische Stelle um die Durchführung der Überprüfung ersuchen, wenn ein angemessener Schutz im Sinne des Datenschutzgesetzes vom 25. September 202058 gewährleistet ist.

22. Organisationsverordnung für die Bundeskanzlei vom 29. Oktober 200859

Art. 5a Abs. 3 Bst. c

3 Die Generalsekretärenkonferenz entscheidet auf Antrag der Bundeskanzlei darüber, wie viele Personen über ein Abrufverfahren Zugriff auf EXE-BRC haben:

  • c. beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB);

Art. 10 Abs. 1

1 Der EDÖB ist der Bundeskanzlei administrativ zugeordnet.

23. IVIPS-Verordnung vom 18. November 201560

Art. 11 Abs. 1 Bst. a

1 Die Daten- und die Informatiksicherheit richten sich nach:

  • a. der Datenschutzverordnung vom 31. August 202261;

24. Verordnung vom 25. November 1998 über den Sonderstab Geiselnahme und Erpressung62

Art. 14 Sachüberschrift, Abs. 1 und 2 erster Satz

Datenbank

1 Für die Kontaktaufnahme im Zusammenhang mit Einsätzen des SOGE und die Entschädigungszahlungen werden von den Angehörigen des SOGE sowie von beizuziehenden Personen Name, Vorname, Adresse, Telefonnummer, Beruf, Spezialkenntnisse und Funktion im SOGE in einer Datenbank aufgenommen.

2 Das EJPD ist für die Datenbank verantwortlich. ...

25. Verordnung vom 22. November 2017 über den Schutz von Personendaten des Bundespersonals63

Art. 2 Information der Angestellten

Vor der Einführung oder Änderung eines Informationssystems oder einer Datenbank werden die Angestellten informiert.

Art. 9 Abs. 1

Das Bewerbungsdossier kann besonders schützenswerte Personendaten enthalten, insbesondere im Lebenslauf.

Art. 16 Abs. 2

Die Protokolle werden vom EPA während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 28 Abs. 2

Die Protokolle werden vom EPA während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 34 Abs. 1 Bst. b

Daten, einschliesslich besonders schützenswerter Personendaten, aus dem IPDM können anderen Informationssystemen bekanntgegeben werden, sofern:

  • b. das Informationssystem dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten nach Artikel 12 Absatz 4 des Datenschutzgesetzes vom 25. September 202064 gemeldet wurde;

Art. 37 Abs. 2

Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, vom EPA aufbewahrt.

Art. 44 Abs. 2

Die Protokolle werden vom EPA während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 51 Abs. 2

Die Protokolle werden vom EPA während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 57 Abs. 2

Die Protokolle werden vom EPA während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 65 Abs. 2

Die Protokolle werden vom EPA während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

26. Web-EDA-Verordnung vom 5. November 201465

Ingress

gestützt auf Artikel 57hter des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 199766 (RVOG)
und auf Artikel 27 Absatz 2 Buchstabe c des Bundespersonalgesetzes vom 24. März 200067 (BPG),

Art. 12 Abs. 1 Bst. a

1 Die Daten- und die Informatiksicherheit richten sich nach:

  • a. der Datenschutzverordnung vom 31. August 202268;

Art. 13 Abs. 2

2 Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

27. Zivilstandsverordnung vom 28. April 200469

Art. 83 Abs. 2–4

2 Das EAZW lädt den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zur Stellungnahme ein, bevor es eine Massnahme trifft, die Fragen des Datenschutzes und der Datensicherheit betrifft.

3 Es zieht das Nationale Zentrum für Cybersicherheit bei.

4 Der EDÖB koordiniert sich im Rahmen seiner Aufsicht mit dem EAZW und bei Bedarf mit den kantonalen Datenschutzbehörden.

28. Verordnung vom 18. November 1992 über die amtliche Vermessung70

Art. 40 Abs. 5

5 In Zusammenarbeit mit den kantonalen Vermessungsaufsichten ist sie im Rahmen ihrer Aufgabe berechtigt, Daten über die einzelnen Vermessungsarbeiten und die dafür verantwortlichen Unternehmer und Unternehmerinnen zu bearbeiten.

29. Handelsregisterverordnung vom 17. Oktober 200771

Art. 12c Abs. 2

Betrifft nur den französischen und den italienischen Text.

30. Ordipro-Verordnung vom 22. März 201972

Art. 15 Abs. 2

2 Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

31. Verordnung E-VERA vom 17. August 201673

Art. 9 Sachüberschrift und Abs. 1 Einleitungssatz

Vernichtung von Daten

1 Fünf Jahre nach der Erfassung einer der folgenden Angaben, spätestens aber nach Vollendung des 115. Altersjahrs, werden die Daten der betreffenden Person vernichtet:

Art. 14 Abs. 1 Bst. a

1 Die Informatiksicherheit richtet sich nach:

  • a. der Datenschutzverordnung vom 31. August 202274;

Art. 15 Abs. 2

2 Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

32. Verordnung EDA-CV vom 26. April 201775

Art. 6 Sachüberschrift

Vernichtung von Daten

Art. 11 Abs. 2

2 Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

33. Verordnung «e-vent» vom 17. Oktober 201876

Ingress

gestützt auf Artikel 57hter des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 199777 (RVOG),

Art. 13 Abs. 2

2 Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

34. Plato-Verordnung vom 25. September 202078

Ingress

gestützt auf Artikel 29 des Bundesgesetzes vom 18. Dezember 202079 über die Bearbeitung von Personendaten durch das Eidgenössischen Departement für auswärtige Angelegenheiten
und auf Artikel 57hter des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 199780 (RVOG),

Art. 14 Abs. 2

2 Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

35. Verordnung vom 26. Juni 2013 über die Eidgenössische Fachkommission zur Beurteilung der Behandelbarkeit lebenslänglich verwahrter Straftäter81

Art. 13 Abs. 1

1 Die Fachkommission darf Personendaten einschliesslich besonders schützenswerter Personendaten nach dem Datenschutzgesetz vom 25. September 202082 bearbeiten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.

36. Verordnung vom 7. November 2012 über den ausserprozessualen Zeugenschutz83

Art. 13 Abs. 2

2 Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 15 Abs. 1 Bst. a

1 Für die Gewährleistung der Datensicherheit gelten:

  • a. die Datenschutzverordnung vom 31. August 202284;

37. Verordnung vom 20. September 2013 über das Informationssystem für Strafsachen des Bundesamts für Zoll und Grenzsicherheit85

Art. 3 Bearbeitungsreglement

Das BAZG erstellt ein Bearbeitungsreglement nach Artikel 6 der Datenschutzverordnung vom 31. August 2022 (DSV).

Art. 14 Abs. 1 und 2

Die Rechte der betroffenen Personen, insbesondere das Recht auf Auskunft, auf Berichtigung und auf Vernichtung der Daten, richten sich bei nicht hängigen Strafverfahren nach dem Datenschutzgesetz vom 25. September 202086 und nach dem VStrR.

Bei hängigen Strafverfahren richten sich diese Rechte nach den Artikeln 18d und 36 VStrR.

Art. 18 Abs. 1

Für die Gewährleistung der Datensicherheit gelten die Artikel 1–4 und 6 DSV87 und die Bestimmungen der Cyberrisikenverordnung vom 27. Mai 202088.

38. VOSTRA-Verordnung vom 29. September 200689

Art. 18 Abs. 5

5 Die Strafregisterdaten nach Artikel 366 Absätze 2–4 StGB dürfen nicht isoliert in einer neuen Datenbank gespeichert oder aufbewahrt werden, es sei denn, dies sei zur Begründung eines getroffenen Entscheides, einer erlassenen Verfügung oder eines eingeleiteten Verfahrensschritts notwendig.

Art. 26 Abs. 1 zweiter Satz, 2 und 4

1 ... Gegebenenfalls kann sie den vollständigen sie betreffenden Eintrag einsehen; vorbehalten bleiben die Einschränkungen des Auskunftsrechts nach Artikel 26 des Datenschutzgesetzes vom 25. September 202090 (DSG).

2 Wer sein Auskunftsrecht geltend machen will, muss in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 202291 (DSV) ein Gesuch einreichen.

4 Stellt die betroffene Person fest, dass der Vollauszug unrichtige Daten enthält, so kann sie ihre Ansprüche nach Artikel 41 DSG geltend machen.

Art. 27 Abs. 1 Bst. b

1 Für die Gewährleistung der Datensicherheit gelten namentlich:

  • b. die DSV92.

Art. 32 Anwendbares Recht

Die Bearbeitung von Personendaten aus VOSTRA für nicht personenbezogene Zwecke, insbesondere für die Forschung, die Planung oder die Statistik, richtet sich nach Artikel 39 DSG.

39. ELPAG-Verordnung vom 23. September 201693

Ingress

gestützt auf Artikel 57hter des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 199794 (RVOG)
und auf Artikel 11a Absatz 4 des Rechtshilfegesetzes vom 20. März 198195 (IRSG),

Art. 14 Abs. 1 Einleitungssatz und Bst. a

1 Die Datensicherheit richtet sich nach:

  • a. der Datenschutzverordnung vom 31. August 202296;

Art. 15 Abs. 2

2 Die Protokolle werden während zwei Jahren getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 17 Abs. 1

1 Die Verwendung von im System erfassten Personendaten für statistische Zwecke richtet sich nach Artikel 39 des Datenschutzgesetzes vom 25. September 202097.

40. Verordnung vom 30. November 2001 über die Wahrnehmung kriminalpolizeilicher Aufgaben im Bundesamt für Polizei98

Art. 6 Abs. 1 Bst. c und d, Abs. 2 Bst. b und c

1 Die Bundeskriminalpolizei kann, soweit dies zur Erlangung der von ihr benötigten Auskünfte und zur Begründung ihrer Amtshilfeersuchen nötig ist, Personendaten folgenden weiteren Empfängern weitergeben:

  • c. den Behörden anderer Länder, welche Strafverfolgungs- und Polizeifunktionen wahrnehmen: nach Massgabe von Artikel 13 Absatz 2 ZentG;

  • d. den Internationalen Organisationen, welche Strafverfolgungs- und Polizeiaufgaben wahrnehmen (namentlich EUROPOL und INTERPOL): nach Massgabe von Artikel 13 Absatz 2 ZentG;

2 Darüber hinaus kann die Bundeskriminalpolizei Personendaten folgenden Behörden unaufgefordert weitergeben, damit diese ihre gesetzlichen Aufgaben wahrnehmen können:

  • b. den Behörden anderer Länder, welche Strafverfolgungsfunktionen wahrnehmen, für deren gerichtspolizeilichen Ermittlungen: nach Massgabe von Artikel 13 Absatz 2 ZentG;

  • c. den internationalen Organisationen, welche Strafverfolgungs- und Polizeiaufgaben wahrnehmen, namentlich EUROPOL und INTERPOL, für die Bearbeitung konkreter Fälle: nach Massgabe von Artikel 13 Absatz 2 ZentG;

41. JANUS-Verordnung vom 15. Oktober 200899

Art. 19 Abs. 1 Bst. a und b, Abs. 2 Bst. a und b

1 Die Bundeskriminalpolizei kann, soweit dies zur Erlangung der von ihr benötigten Auskünfte und zur Begründung ihrer Amtshilfeersuchen nötig ist, im JANUS gespeicherte Personendaten folgenden weiteren Empfängern bekannt geben:

  • a. den Behörden anderer Länder, welche Strafverfolgungs- und Polizeifunktionen wahrnehmen: nach Massgabe von Artikel 13 Absatz 2 ZentG;

  • b. den internationalen Gerichten sowie den internationalen Organisationen, welche Strafverfolgungs- und Polizeiaufgaben wahrnehmen (namentlich EUROPOL und INTERPOL): nach Massgabe von Artikel 13 Absatz 2 ZentG;

2 Darüber hinaus kann die Bundeskriminalpolizei im JANUS gespeicherte Personendaten folgenden Behörden auf Anfrage bekannt geben, soweit die Daten zur Erfüllung der gesetzlichen Aufgabe der anfragenden Behörde erforderlich sind:

  • a. den Behörden anderer Länder, welche Strafverfolgungsfunktionen wahrnehmen, für deren gerichtspolizeiliche Ermittlungen: nach Massgabe von Artikel 13 Absatz 2 ZentG;

  • b. den internationalen Gerichten sowie den internationalen Organisationen, welche Strafverfolgungs- und Polizeiaufgaben wahrnehmen (namentlich EUROPOL und INTERPOL), für die Bearbeitung konkreter Fälle: nach Massgabe von Artikel 13 Absatz 2 ZentG;

Art. 24 Abs. 1

1 Die Ablieferung von Daten aus dem Informationssystem an das Bundesarchiv richtet sich nach Artikel 38 des Datenschutzgesetzes vom 25. September 2020100 (DSG) und nach dem Archivierungsgesetz vom 26. Juni 1998101.

Art. 26 Bst. a

Für die Gewährleistung der Datensicherheit gelten:

  • a. die Datenschutzverordnung vom 31. August 2022102 (DSV);

Art. 27 Abs. 1 zweiter Satz

1 ... Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 29i Abs. 2

2 Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 29l Abs. 1 zweiter Satz

1 ... Die Einschränkungen richten sich nach Artikel 26 DSG103.

Art. 29n Abs. 1 Bst. a

1 Für die Gewährleistung der Datensicherheit gelten:

  • a. die DSV104;

Art. 29t Abs. 2

2 Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 29v Abs. 1 zweiter Satz

1 ... Die Einschränkungen richten sich nach Artikel 26 DSG105.

Art. 29w Abs. 1 Bst. a

1 Für die Gewährleistung der Datensicherheit gelten:

  • a. die DSV106;

Anh. 2 Ziff. 4.1 erste Zeile zweite Spalte (Überschrift)

Datenbank Terrorismus

42. RIPOL-Verordnung vom 26. Oktober 2016107

Art. 2 Abs. 1 Einleitungssatz und Bst. f

1 Das Bundesamt für Polizei (fedpol) ist das für RIPOL verantwortliche Bundesorgan. Es übernimmt dabei folgende Aufgaben:

  • f. Es erlässt ein Bearbeitungsreglement nach Artikel 6 der Datenschutzverordnung vom 31. August 2022108 (DSV).

Art. 13 Abs. 1, 1bis und 2 erster Satz

1 Die Rechte der Betroffenen, insbesondere das Auskunfts-, Berichtigungs- und Vernichtungsrecht, richten sich nach den Bestimmungen des Datenschutzgesetzes vom 25. September 2020109.

1bis Gesuche um Auskunft darüber, ob eine betroffene Person zur Festnahme zum Zweck der Auslieferung ausgeschrieben ist, richten sich nach Artikel 8a BPI110.

2 Will eine betroffene Person Rechte geltend machen, so muss sie in der Form nach Artikel 16 DSV111 ein Gesuch bei fedpol oder einer Polizeibehörde des Kantons einreichen. ...

Art. 14 Abs. 2 Bst. a

2 Die Datensicherheit richtet sich nach:

  • a. der DSV112;

Art. 15 Abs. 1 zweiter Satz und 2

1 ... Das Protokoll ist während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufzubewahren.

2 Die Abfragen betreffend Personen und Geschädigte werden laufend protokolliert. Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

43. IPAS-Verordnung vom 15. Oktober 2008113

Art. 9a Protokollierung der Löschmutationen

Die Löschmutationen werden ab dem Zeitpunkt der Löschung der Daten während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt. Sie sind ausschliesslich der Datenschutzberaterin oder dem Datenschutzberater des Amtes zugänglich und dürfen nur zur Überwachung der Datenschutzvorschriften verwendet werden.

Art. 10 Archivierung

Die Ablieferung von Daten aus dem Informationssystem an das Bundesarchiv richtet sich nach Artikel 38 des Datenschutzgesetzes vom 25. September 2020 (DSG) und nach dem Archivierungsgesetz vom 26. Juni 1998114.

Art. 12 Bst. a

Für die Gewährleistung der Datensicherheit gelten:

  • a. die Datenschutzverordnung vom 31. August 2022115;

Art. 13 zweiter Satz

... Die Protokollierungen werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

44. Verordnung vom 6. Dezember 2013 über die Bearbeitung biometrischer erkennungsdienstlicher Daten116

Art. 3 Abs. 1 Bst. b und d

Betrifft nur den französischen und den italienischen Text.

Art. 3a zweiter Satz

... Die betreffende Person wird über die Verwendung dieser Daten informiert in Einklang mit den Artikeln 19 und 20 des Datenschutzgesetzes vom 25. September 2020117 (DSG).

Art. 5 Abs. 2

2 Macht eine betroffene Person ihr Recht geltend, so muss sie in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 2022118 (DSV) ein Gesuch bei fedpol einreichen.

Art. 6 Archivierung der Daten

Die Ablieferung von Daten aus dem Informationssystem an das Bundesarchiv richtet sich nach Artikel 38 DSG und nach dem Archivierungsgesetz vom 26. Juni 1998119.

Art. 14 Bst. a

Die Datensicherheit richtet sich nach:

  • a. der DSV120;

45. Polizeiindex-Verordnung vom 15. Oktober 2008121

Art. 7 Abs. 1

1 Die Ablieferung von Daten aus den Informationssystemen nach Artikel 2 Absatz 2 Buchstabe a–c an das Bundesarchiv richtet sich nach Artikel 38 des Datenschutzgesetzes vom 25. September 2020122 und nach dem Archivierungsgesetz vom 26. Juni 1998123.

Art. 8 Abs. 1 Einleitungssatz sowie Bst. c und d

1 Das Recht der im Index aufgeführten Personen auf Auskunft, Berichtigung oder Vernichtung von Daten richtet sich:

  • c. bei Einträgen aus dem Quellsystem RIPOL nach Artikel 13 der RIPOL-Verordnung vom 26. Oktober 2016124;

  • d. bei Einträgen aus dem Quellsystem N-SIS nach Artikel 50 der N‑SIS Verordnung vom 8. März 2013125;

Art. 11 Abs. 1, 2 Einleitungssatz und 3

1 Jeder Zugriff auf den Index wird in einem Protokoll festgehalten. Das Protokoll ist ausschliesslich der Datenschutzberaterin oder dem Datenschutzberater fedpol zugänglich.

2 Die Datenschutzberaterin oder der Datenschutzberater kann die Protokollierung zu folgenden Zwecken auswerten:

3 Die Protokollierungen werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 12 Abs. 1 Bst. a

1 Für die Gewährleistung der Datensicherheit gelten:

  • a. die Datenschutzverordnung vom 31. August 2022126;

46. N-SIS-Verordnung vom 8. März 2013127

Art. 50 Sachüberschrift (betrifft nur den französischen Text), Abs. 1 und 6

1 Will eine Person ihr Auskunftsrecht geltend machen, so muss sie in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 2022128 (DSV) ein Gesuch bei fedpol einreichen. Die Geltendmachung weiterer Ansprüche durch die betroffene Person richtet sich nach Artikel 41 des Datenschutzgesetzes vom 25. September 2020129 (DSG).

6 Artikel 8a BPI bleibt vorbehalten für die Einschränkung des Auskunftsrechts betreffend die Ausschreibung zur Festnahme zum Zweck der Auslieferung.

Art. 51 Abs. 1 und 2 Bst. c

1 Drittstaatsangehörige, die Gegenstand einer Ausschreibung zur Einreise- und Aufenthaltsverweigerung sind, erhalten von Amtes wegen die in Artikel 25 DSG130 genannten Informationen.

2 Die Auskunftserteilung nach Absatz 1 kann unterbleiben, wenn:

  • c. eine Einschränkung des Rechts auf Information nach Artikel 26 DSG vorgesehen ist.

Art. 53 Abs. 1 Bst. a

1 Die Datensicherheit richtet sich nach:

  • a. der DSV131;

47. DNA-Profil-Verordnung vom 3. Dezember 2004132

Art. 8 Abs. 1

1 Fedpol ist das für das Informationssystem verantwortliche Bundesorgan.

Art. 17 Abs. 1 und 3 erster Satz

1 Die Datenbearbeitung im Rahmen dieser Verordnung richtet sich nach dem Datenschutzgesetz vom 25. September 2020133 (DSG).

3 Bei einer Verletzung der beruflichen Schweigepflicht der Mitarbeiterinnen und Mitarbeiter der Labors findet Artikel 62 DSG Anwendung. ...

Art. 19 Abs. 1 Bst. a

1 Die Datensicherheit richtet sich nach:

  • a. den Artikeln 1–4 und 6 der Datenschutzverordnung vom 31. August 2022134;

48. Interpol-Verordnung vom 21. Juni 2013135

Art. 4 Abs. 1 Bst. f

1 Folgende Behörden können im Abrufverfahren auf die Daten im polizeilichen Informationssystem von Interpol zugreifen:

  • f. der Datenschutzberater oder die Datenschutzberaterin von fedpol zur Erfüllung der Kontrollaufgaben;

Art. 11 Abs. 4 dritter Satz

4 ... Der Datenschutzberater oder die Datenschutzberaterin von fedpol ist vorgängig anzuhören.

Art. 12 Abs. 2 zweiter Satz

2 ... Der Datenschutzberater oder die Datenschutzberaterin von fedpol ist vorgängig anzuhören.

Art. 16 Abs. 1 und 7

1 Will eine Person Auskunft über die sie betreffenden Informationen, so muss sie in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 2022136 ein Gesuch beim Datenschutzberater oder bei der Datenschutzberaterin von fedpol einreichen.

7 Die Geltendmachung weiterer Ansprüche durch die betroffene Person richtet sich nach Artikel 41 des Datenschutzgesetzes vom 25. September 2020137.

Art. 17 Abs. 1

1 Der Datenschutzberater oder die Datenschutzberaterin von fedpol beaufsichtigt die Bearbeitung von Personendaten im NZB.

49. Verordnung vom 15. September 2017 über die Informationssysteme im Berufsbildungs- und im Hochschulbereich138

Art. 20 Rechte der betroffenen Personen

Die Rechte der betroffenen Personen, insbesondere das Auskunftsrecht und das Recht auf Berichtigung oder Vernichtung von Daten, richten sich nach dem Datenschutzgesetz vom 25. September 2020 und seinen Ausführungsbestimmungen.

Art. 21 Abs. 1 Bst. a

Die Daten- und die Informatiksicherheit richten sich nach:

  • a. dem Datenschutzgesetz vom 25. September 2020139 und seinen Ausführungsbestimmungen;

50. Forschungs- und Innovationsförderungsverordnung vom 29. November 2013140

Art. 41a Abs. 3

3 Über das Abrufverfahren sind keine besonders schützenswerten Personendaten im Sinne von Artikel 5 Buchstabe c des Datenschutzgesetzes vom 25. September 2020141 zugänglich.

51. Verordnung von 30. Juni 1993 über die Organisation der Bundesstatistik142

Art. 9 Abs. 1 zweiter Satz und 4

1 ... Das Bundesamt muss ebenfalls vor der Schaffung, vor grundlegenden Änderungen und vor der Aufhebung von Beständen von administrativen Daten und Registern des Bundes, welche für die Zwecke der Bundesstatistik geeignet sind, konsultiert werden.

4 Das Bundesamt erstellt ein Inventar der statistischen Arbeiten nach Artikel 3 Absatz 2 Buchstaben a–c, der Bestände von administrativen Daten und der Register des Bundes, welche für die Zwecke der Bundesstatistik geeignet sind, sowie der Beobachtungs- und Messnetze. Das Inventar wird jährlich nachgeführt.

Art. 10 Datenschutz und Datensicherheit

Für die Gewährleistung des Datenschutzes von Personendaten gelten neben den Bestimmungen des Gesetzes und der Verordnung vom 30. Juni 1993143 über die Durchführung von statistischen Erhebungen des Bundes auch die Bestimmungen des Datenschutzgesetzes vom 25. September 2020144 und der Datenschutzverordnung vom 31. August 2022145 (DSV).

Für die Gewährleistung der Datensicherheit von Personendaten sowie von Daten juristischer Personen gelten neben den Bestimmungen des Gesetzes auch diejenigen der Cyberrisikenverordnung vom 27. Mai 2020146 und der DSV. Für Daten juristischer Personen gilt die DSV sinngemäss.

52. Statistikerhebungsverordnung vom 30. Juni 1993147

Art. 5 Abs. 2 Einleitungssatz und 3

2 Rechte und Pflichten dieser Institute und Organisationen werden in besonderen Verträgen geregelt. Bezüglich der Verwendung von Personendaten sowie von Daten juristischer Personen verpflichten die Erhebungsorgane die Institute und Organisationen insbesondere:

3 Die Erhebungsorgane vergewissern sich, dass die privaten Befragungsinstitute und Organisationen die erforderlichen technischen und organisatorischen Massnahmen zur Bearbeitung dieser Daten gemäss der Datenschutzverordnung vom 31. August 2022148 (DSV) getroffen haben. Für Daten juristischer Personen gelten die Bestimmungen der DSV sinngemäss.

Art. 13m Abs. 1

1 Verknüpfte Daten sind nach Abschluss der statistischen Auswertungsarbeiten zu vernichten, wenn sie besonders schützenswerte Daten enthalten oder wenn sich aus der Verknüpfung die wesentlichen Merkmale einer natürlichen oder juristischen Person ergeben.

Der Anhang wird gemäss Beilage geändert.

53. Verordnung vom 26. Januar 2011 über die Unternehmens-Identifikationsnummer149

Art. 3 Abs. 1 Bst. b und d

1 Für die Meldung von UID-Einheiten und deren UID-Daten an das BFS sind die Register der UID-Stellen nach den Artikeln 5 Absatz 1 und 9 Absatz 1 UIDG in folgender Reihenfolge massgebend:

  • b. Branchenregister: kantonale Landwirtschaftsregister, Datenbanken von kantonalen Veterinärämtern, Datenbanken von Kantonschemikern oder kantonalen Labors, Register des Bundesamtes für Landwirtschaft, Medizinalberuferegister (MedReg), Gesundheitsberuferegister (GesReg), Nationales Register der Gesundheitsberufe (NAREG), kantonale Anwaltsregister, kantonale Notariatsregister;

  • d. übrige Register: Betriebs- und Unternehmensregister des BFS, Datenbanken des Bundesamts für Zoll- und Grenzsicherheit über im Import und Export registrierte Unternehmen, Zentrales Migrationsinformationssystem (ZEMIS), Register der Schweizerischen Unfallversicherungsanstalt (Suva) und der Versicherer nach Artikel 68 des Bundesgesetzes vom 20. März 1981150 über die Unfallversicherung, Unternehmensregister des Fürstentums Liechtenstein.

Art. 8 Abs. 4

4 Die Führung der UID-Ergänzung in den Datenbanken der UID-Stellen ist freiwillig.

Art. 20 Abs. 3

3 Sammelabfragen von UID durch Private sind nur möglich, wenn diese die UID-Einheiten bereits in ihren Datenbanken führen.

54. Verordnung vom 25. Juni 2003 über die Gebühren und Entschädigungen für statistische Dienstleistungen von Verwaltungseinheiten des Bundes151

Art. 1 Bst. d

Diese Verordnung regelt die Gebühren und Entschädigungen des Bundesamtes für Statistik und der übrigen Verwaltungseinheiten des Bundes nach Artikel 2 Absatz 1 BStatG (Verwaltungseinheiten) für die folgenden Dienstleistungen im Bereich der Statistik und der Administration:

  • d. Bekanntgabe von anonymisierten Personendaten und Daten juristischer Personen sowie von anonymisierten Daten aus dem Betriebs- und Unternehmensregister und dem eidgenössischen Gebäude- und Wohnungsregister des Bundesamtes für Statistik (Art. 19 Abs. 2 BStatG);

55. Verordnung vom 9. Juni 2017 über das eidgenössische Gebäude- und Wohnungsregister152

Art. 9 Abs. 2 Bst. f

2 Für die Nachführung der im GWR geführten Informationen können insbesondere folgende Datenquellen verwendet werden:

  • f. Datenbanken der Post, der Fernmeldedienste, der Elektrizitäts- und Gasversorger und der Betreiber von Wärmeverbünden;

Art. 18 Abs. 1 Bst. a und 2

1 Für die Datensicherheit gelten:

  • a. die Datenschutzverordnung vom 31. August 2022153 (DSV);

2 Für die Sicherheit von Daten juristischer Personen gilt die DSV sinngemäss.

56. Verordnung vom 30. Juni 1993 über das Betriebs- und Unternehmensregister154

Art. 9a Abs. 2

2 Für das Bearbeiten der Daten gelten die Bestimmungen des Datenschutzgesetzes vom 25. September 2020155 (DSG).

Art. 10 Abs. 3

3 Für das Bearbeiten der Daten gelten die Bestimmungen des DSG156.

Art. 14 Abs. 1

1 Die Rechte der Betroffenen, insbesondere das Auskunfts-, Berichtigungs- und Vernichtungsrecht, richten sich nach den Bestimmungen des DSG157.

Art. 15 Abs. 1 Bst. a und 2

1 Für die Datensicherheit gelten:

  • a. die Datenschutzverordnung vom 31. August 2022158 (DSV);

2 Für die Sicherheit von Daten juristischer Personen gilt die DSV sinngemäss.

57. Verordnung vom 4. September 2013 über den Verkehr mit Tieren und Pflanzen geschützter Arten159

Art. 54 Rechte der betroffenen Personen

Die Rechte der Personen, über die im Informationssystem Daten bearbeitet werden, insbesondere das Auskunfts-, das Berichtigungs- und das Vernichtungsrecht, richten sich nach dem Datenschutzgesetz vom 25. September 2020160.

Will eine betroffene Person Rechte geltend machen, so muss sie in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 2022161 ein Gesuch beim BLV einreichen.

58. Animex-ch-Verordnung vom 1. September 2010162

Art. 18 Abs. 1 und 2

1 Die Rechte der Personen, über die im Animex-ch Daten bearbeitet werden, insbesondere das Auskunfts-, das Berichtigungs- und das Vernichtungsrecht, richten sich nach dem Datenschutzgesetz vom 25. September 2020163.

2 Will eine betroffene Person Rechte geltend machen, so muss sie in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 2022164 ein Gesuch bei der Vollzugsbehörde des Kantons, in dem sie ihren Wohnsitz hat, oder beim BLV einreichen.

59. Verordnung vom 4. Dezember 2009 über den Nachrichtendienst der Armee165

Art. 8 Sachüberschrift und Einleitungssatz

Bearbeitung von Personendaten

Der NDA kann die für einen Armeeeinsatz notwendigen Personendaten bearbeiten, einschliesslich Personendaten, welche die Beurteilung des Gefährlichkeitsgrades einer Person erlauben, unabhängig davon, ob es sich um besonders schützenswerte Personendaten handelt oder nicht:

Art. 9 Ausnahme von der Pflicht zur Meldung der Bearbeitungstätigkeiten an den EDÖB

Datenbearbeitungstätigkeiten, die im Rahmen der Informationsbeschaffung nach Artikel 99 Absatz 2 MG durchgeführt werden, müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nicht gemeldet werden, wenn dies die Informationsbeschaffung gefährden würde.

Der NDA informiert den EDÖB in einer allgemeinen Form über diese Datenbearbeitungstätigkeiten.

Art. 10 Abs. 2

Mit den Personendaten dürfen keine selbstständigen Datenbanken erstellt werden.

60. Verordnung vom 17. Oktober 2012 über die elektronische Kriegführung und die Funkaufklärung166

Art. 4 Abs. 5

5 Die Meldung der Verzeichnisse der Bearbeitungstätigkeiten, das Auskunfts- und Einsichtsrecht sowie die Archivierung richten sich nach den für den jeweiligen Auftraggeber geltenden rechtlichen Bestimmungen.

61. Informationsschutzverordnung vom 4. Juli 2007167

Art. 3 Bst. h

In dieser Verordnung bedeuten:

  • h. Informatik- und Telekommunikationssysteme: Systeme und die auf ihnen vorhandenen Anwendungen und Datenbestände;

62. Geoinformationsverordnung vom 21. Mai 2008168

Im ganzen Erlass wird «Datensammlung» durch «Daten» ersetzt.

Einfügen vor dem Gliederungstitel des 2. Abschnitts

Art. 3a Verzeichnis der Bearbeitungstätigkeiten

Soweit Geobasisdatensätze nach Anhang 1 Personendaten im Sinne der Datenschutzgesetzgebung darstellen, entfällt für die Bearbeitung dieser Daten die Pflicht, ein Verzeichnis der Bearbeitungstätigkeiten zu führen.

63. Verordnung vom 16. Dezember 2009 über die militärischen Informationssysteme169

Art. 2a Verantwortliche Organe bei den Informationssystemen der Gruppe Verteidigung

(Art. 186 Abs. 1 Bst. a MIG)

Bei den Informationssystemen, die gemäss den Bestimmungen des MIG oder dieser Verordnung von der Gruppe Verteidigung betrieben werden, ist die in Anhang 1 jeweils aufgeführte Verwaltungseinheit das für den Datenschutz verantwortliche Bundesorgan.

Art. 2b Bst. b

Mehrere Informationssysteme können technisch zusammengeführt und über dieselbe technische Plattform, Infrastruktur, Applikation oder Datenbank betrieben werden, sofern:

  • b für alle betreffenden Informationssysteme dieselbe Verwaltungseinheit das für den Datenschutz verantwortliche Bundesorgan ist;

Gliederungstitel vor Art. 72h

5. Abschnitt: Hilfsdatenbanken

Art. 72h Zweck und verantwortliches Organ

Die Verwaltungseinheiten der Gruppe Verteidigung und die militärischen Kommandos dürfen zur Bewirtschaftung von Adressen, Lehrgängen und Ressourcen in dafür notwendigen Hilfsdatenbanken nicht besonders schützenswerte Personendaten bearbeiten, sofern die Bearbeitung internen Zwecken dient. Diese Hilfsdatenbanken dienen der Organisation der Arbeitsabläufe sowie der Planung und Führung von Schulen, Kursen und Anlässen und bedürfen keiner eigenständigen Grundlage.

Art. 72hbis Daten

In den Hilfsdatenbanken dürfen ausschliesslich die für die jeweilige Aufgabenerfüllung notwendigen Daten nach Anhang 35d bearbeitet werden.

Art. 72hquater Datenbekanntgabe

Die Daten von Hilfsdatenbanken können den zuständigen Personen der Gruppe Verteidigung und den berechtigten militärischen Kommandos durch Abrufverfahren zugänglich gemacht werden.

Art. 72hquinquies Datenaufbewahrung

Die Daten in Hilfsdatenbanken dürfen nach Abschluss der Schule, des Kurses oder des Anlasses und nach Auflösung des Lieferanten- und Arbeitsverhältnisses längstens während zwei Jahren aufbewahrt werden.

Anhang 1 Titel

Für den Datenschutz verantwortliche Organe
bei den Informationssystemen der Gruppe Verteidigung

Anhang 1 erste Zeile vierte Spalte (Überschrift)

Für den Datenschutz verantwortliches Organ

Anhang 35d Titel

Daten der Hilfsdatenbanken

64. Verordnung vom 21. November 2018 über die Militärische Sicherheit170

Art. 4 Abs. 3

3 Im Übrigen sind die Bestimmungen des Bundesgesetzes vom 21. März 1997171 über Massnahmen zur Wahrung der inneren Sicherheit, des Militärstrafprozesses vom 23. März 1979172 und des Datenschutzgesetzes vom 25. September 2020173 anwendbar.

Art. 5 Ausnahme von der Pflicht zur Meldung der Bearbeitungstätigkeiten an den EDÖB

Datenbearbeitungstätigkeiten, die im Rahmen eines Assistenz- oder eines Aktivdienstes durchgeführt werden, müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nicht gemeldet werden, wenn dies die Informationsbeschaffung und die Erfüllung der Aufgaben nach dieser Verordnung gefährden würde.

Die Organe der Militärischen Sicherheit informieren den EDÖB in einer allgemeinen Form über diese Datenbearbeitungstätigkeiten.

65. Waffenverordnung vom 2. Juli 2008174

Art. 58 Abs. 1 Bst. h, 59 Abs. 1 Einleitungssatz, 59a Abs. 1 Einleitungssatz und 60 Sachüberschrift

Betrifft nur den französischen Text.

Art. 65 Rechte der Betroffenen

Die Rechte der Betroffenen richten sich nach dem Datenschutzgesetz vom 25. September 2020 (DSG).

Art. 66a

Die Bearbeitung von Daten in den Datenbanken nach Artikel 32a Absatz 1 WG und nach Artikel 59a dieser Verordnung wird protokolliert. Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 66b Archivierung

Das Anbieten von Personendaten aus der Datenbank nach Artikel 59a an das Bundesarchiv richtet sich nach Artikel 38 des DSG176 und nach Artikel 6 des Archivierungsgesetzes vom 26. Juni 1998177.

Art. 66c Abs. 1 Bst. a

Die Gewährleistung der Datensicherheit richtet sich nach:

  • a. der DSV178;

Art. 66d, 68 Abs. 2 Bst. c, 69 Bst. c sowie 70 Abs. 1 Bst. c und Abs. 2 Bst. c

Betrifft nur den französischen Text.

66. Zivilschutzverordnung vom 11. November 2020179

Art. 37 Abs. 3

3 Das Kommando Ausbildung ist für die im PISA enthaltenen Daten verantwortlich (Art. 2a und Anhang 1 MIV). Für den Bereich Zivilschutz ist das BABS für die im PISA enthaltenen Daten verantwortlich.

67. Verordnung vom 12. August 2015 über die Meldestelle für lebenswichtige Humanarzneimittel180

Art. 8 Abs. 2 Bst. a

2 Im Übrigen gelten:

  • a. die Datenschutzverordnung vom 31. August 2022181;

68. Finanzhaushaltverordnung vom 5. April 2006182

Art. 1 Abs. 1 Bst. g und Abs. 2

1 Soweit Gesetz und Verordnung nichts anderes bestimmen, sind die Bestimmungen dieser Verordnung, welche die Verwaltungseinheiten betreffen, sinngemäss anwendbar auf:

  • g. den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

2 Die Sonderstellung der Bundesversammlung, der eidgenössischen Gerichte, der Eidgenössischen Finanzkontrolle (Finanzkontrolle), der Bundesanwaltschaft, der Aufsichtsbehörde über die Bundesanwaltschaft und des EDÖB nach Artikel 142 Absätze 2 und 3 des Parlamentsgesetzes vom 13. Dezember 2002183 (ParlG) bleibt vorbehalten.

Art. 26 Abs. 2

2 Der Bundesrat übernimmt Anträge der Bundesversammlung, der eidgenössischen Gerichte, der Finanzkontrolle, der Bundesanwaltschaft, der Aufsichtsbehörde über die Bundesanwaltschaft und des EDÖB auf Übertragung der mit ihren Voranschlägen bewilligen Kredite unverändert.

69. Zollverordnung vom 1. November 2006184

Art. 226 Abs. 3 Bst. b

3 Es kann die Daten über die Identität einer Person durch Abnahme biometrischer Daten festhalten oder ergänzen:

  • b. in den Fällen von Artikel 103 Absatz 1 Buchstabe a ZG durch Gesichtsbilder; die Bearbeitung der Daten richtet sich nach der Datenbearbeitungsverordnung für das BAZG vom 23. August 2017185.

70. Verordnung vom 4. April 2007 über den Einsatz von Bildaufnahme-, Bildaufzeichnungs- und anderen Überwachungsgeräten durch das Bundesamt für Zoll und Grenzsicherheit186

Art. 10 Abs. 1

1 Die Rechte der von Aufzeichnungen betroffenen Personen, insbesondere das Auskunfts- und Vernichtungsrecht, richten sich nach dem Datenschutzgesetz vom 25. September 2020187 und seinen Ausführungsbestimmungen.

71. Datenbearbeitungsverordnung für das BAZG vom 23. August 2017188

Ingress

gestützt auf die Artikel 2 Absatz 2, 110 Absatz 3 und 112 Absatz 5 des Zollgesetzes vom 18. März 2005189 (ZG),
Artikel 57hter des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997190 (RVOG),
Artikel 27 Absatz 2 des Bundespersonalgesetzes vom 24. März 2000191 und auf Artikel 19 des Edelmetallkontrollgesetzes vom 20. Juni 1933192, in Ausführung des Übereinkommens vom 20. Mai 1987193 über ein gemeinsames Versandverfahren,

Art. 8 Rechte der betroffenen Personen

Die Rechte der betroffenen Personen, insbesondere das Auskunfts-, Berichtigungs- und Vernichtungsrecht, richten sich nach dem Datenschutzgesetz vom 25. September 2020 und seinen Ausführungsbestimmungen.

Art. 12 Abs. 1

Für die Gewährleistung der Datensicherheit gelten die Artikel 1–4 und 6 der Datenschutzverordnung vom 31. August 2022194 sowie die Cyberrisikenverordnung vom 27. Mai 2020195.

Im ganzen Anhang 73 wird «Hilfsdatensammlung» ersetzt durch «Hilfsdatenbank».

72. Verordnung vom 12. Oktober 2011 über die Statistik des Aussenhandels196

Art. 13 Kontrolle

Die OZD kann von der anmeldepflichtigen Person alle für die Nachprüfung der gemachten Angaben erforderlichen Dokumente verlangen und bei Bedarf Einblick in die Bücher, die Geschäftspapiere und in sonstige Urkunden sowie in Datenbanken nehmen.

73. Mehrwertsteuerverordnung vom 27. November 2009197

Art. 135 Abs. 2

2 Sie kann den Behörden des Bundes und der Kantone sowie weiteren interessierten Personen Daten zu statistischen Zwecken bekanntgeben, sofern diese anonymisiert sind und keine Rückschlüsse auf die betroffenen Personen erlauben. Artikel 10 Absätze 4 und 5 des Bundesstatistikgesetzes vom 9. Oktober 1992198 sowie Artikel 14 Absatz 3 des Nationalbankgesetzes vom 3. Oktober 2003199 bleiben vorbehalten.

74. Energieverordnung vom 1. November 2017200

Art. 70 Bearbeitung von Personendaten sowie Daten juristischer Personen

Personendaten sowie Daten juristischer Personen, einschliesslich besonders schützenswerter Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen, dürfen während höchstens zehn Jahren aufbewahrt werden.

75. Verordnung vom 9. Juni 2006 über die Anforderungen an das Personal von Kernanlagen201

Art. 39 Abs. 1 Einleitungssatz

1 Das ENSI kann Personendaten von Personal, das für die nukleare Sicherheit von Bedeutung ist, insbesondere auch besonders schützenswerte Daten nach Artikel 5 Buchstabe c des Datenschutzgesetzes vom 25. September 2020202 bearbeiten, soweit es diese zur Erfüllung seiner Aufgaben nach dieser Verordnung benötigt, um zu prüfen, ob:

76. Verordnung vom 9. Juni 2006 über die Betriebswachen von Kernanlagen203

Art. 18 Abs. 1

1 Das ENSI kann Personendaten, insbesondere auch besonders schützenswerte Daten nach Artikel 5 Buchstaben c des Datenschutzgesetzes vom 25. September 2020204, von Angehörigen der Betriebswachen bearbeiten, soweit es diese zur Erfüllung seiner Aufgaben nach dieser Verordnung benötigt, um zu prüfen, ob die Anforderungen an die Angehörigen der Betriebswachen erfüllt sind.

77. Stromversorgungsverordnung vom 14. März 2008205

Art. 8d Abs. 1, 2 Bst. a, 3 und 5 zweiter und dritter Satz

1 Netzbetreiber dürfen die Daten aus dem Einsatz von Mess-, Steuer- und Regelsystemen ohne Einwilligung der betroffenen Person zu folgenden Zwecken bearbeiten:

  • a. Personendaten sowie Daten juristischer Personen in pseudonymisierter Form, einschliesslich Lastgangwerten von fünfzehn Minuten und mehr: für die Messung, Steuerung und Regelung, für den Einsatz von Tarifsystemen sowie für den sicheren, leistungsfähigen und effizienten Netzbetrieb, die Netzbilanzierung und die Netzplanung;

  • b. Personendaten sowie Daten juristischer Personen in nicht pseudonymisierter Form, einschliesslich Lastgangwerten von fünfzehn Minuten und mehr: für die Abrechnung der Energielieferung, des Netznutzungsentgelts und der Vergütung für den Einsatz von Steuer- und Regelsystemen.

2 Sie dürfen die Daten aus dem Einsatz von Messsystemen ohne Einwilligung der betroffenen Person folgenden Personen weitergeben:

  • a. Personendaten sowie Daten juristischer Personen in pseudonymisierter oder geeignet aggregierter Form: den Beteiligten nach Artikel 8 Absatz 3;

3 Die Personendaten sowie Daten juristischer Personen werden nach zwölf Monaten vernichtet, sofern sie nicht abrechnungsrelevant oder anonymisiert sind.

5 ... Er beachtet dabei insbesondere die Artikel 1–5 der Datenschutzverordnung vom 31. August 2022206 (DSV) sowie allfällige internationale Normen und Empfehlungen anerkannter Fachorganisationen. Bei der Bearbeitung von Daten juristischer Personen kommen die Artikel 1–5 DSV sinngemäss zur Anwendung.

78. Verordnung vom 30. November 2018 über das Informationssystem Strassenverkehrsunfälle207

Ingress

gestützt auf die Artikel 89i Absatz 4, 89l Absatz 3 und 89n des Strassenverkehrsgesetzes vom 19. Dezember 1958208 (SVG),
die Artikel 5 Absatz 1 und 7 Absatz 1 des Bundesstatistikgesetzes vom 9. Oktober 1992209 (BstatG)
sowie die Artikel 8 Absatz 3 und 33 des Datenschutzgesetzes vom 25. September 2020210 (DSG),

Art. 17 Abs. 4

4 Die Bekanntgabe von Daten zu Statistik- oder Forschungszwecken richtet sich nach dem DSG und der Datenschutzverordnung vom 31. August 2022211 sowie nach dem BStatG und der Statistikerhebungsverordnung vom 30. Juni 1993212.

79. Verordnung vom 30. November 2018 über das Informationssystem Verkehrszulassung213

Ingress

gestützt auf die Artikel 89g Absatz 2, 89h und 106 Absatz 1 des Strassenverkehrsgesetzes vom 19. Dezember 1958214 (SVG)
sowie die Artikel 8 Absatz 3 und 33 des Datenschutzgesetzes vom 25. September 2020215 (DSG),

Art. 18 Abs. 5

5 Die Bekanntgabe von Daten zu Statistik- oder Forschungszwecken richtet sich nach dem DSG und der Datenschutzverordnung vom 31. August 2022216 sowie nach dem BStatG und der Statistikerhebungsverordnung vom 30. Juni 1993217.

80. Videoüberwachungsverordnung ÖV vom 4. November 2009218

Art. 6 Abs. 2

2 Im Übrigen gelten die Bestimmungen des Datenschutzgesetzes vom 25. September 2020219, insbesondere die Artikel 33–42.

81. Verordnung vom 17. Dezember 2014 über die Sicherheitsuntersuchung von Zwischenfällen im Verkehrswesen220

Art. 19 Meldung an ausländische Behörden

Die SUST meldet Zwischenfälle auf schweizerischem Hoheitsgebiet, an denen ausländische Unternehmen beteiligt sind, den zuständigen Behörden in den Sitz­staaten dieser Unternehmen.

Die Meldung darf keine besonders schützenswerten Personendaten nach Artikel 5 Buchstabe c des Datenschutzgesetzes vom 25. September 2020221 enthalten.

82. Verordnung vom 2. September 2015 über die Zulassung als Strassentransportunternehmen im Personen- und Güterverkehr222

Art. 14 Auskunfts- und Berichtigungsrecht

Verlangt eine Person Auskunft über ihre Daten, so muss sie in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 2022 ein Gesuch beim BAV einreichen. Die Geltendmachung des Berichtigungsrechts durch die betroffene Person richtet sich nach Artikel 41 des Datenschutzgesetzes vom 25. September 2020223.

83. Verordnung vom 4. November 2009 über die Personenbeförderung224

Art. 58b Abs. 1

1 Verlangt eine Person Auskunft über ihre Daten in einem Informationssystem über Reisende ohne gültigen Fahrausweis, so muss sie in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 2022225 ein Gesuch beim Betreiber des Informationssystems einreichen. Die Geltendmachung des Berichtigungsrechts durch die betroffene Person richtet sich nach Artikel 41 des Datenschutzgesetzes vom 25. September 2020226.

84. Verordnung vom 18. Dezember 1995 über den Flugsicherungsdienst227

Art. 40a Abs. 1 und 2

1 Der Erbringer der Flugverkehrskontrolldienste für den zivilen Verkehr zeichnet für die Zwecke der Untersuchung von Flugunfällen und schweren Vorfällen nach den Artikeln 3 und 4 der Verordnung vom 17. Dezember 2014228 über die Sicherheitsuntersuchung von Zwischenfällen im Verkehrswesen mit einem dafür geeigneten System (Ambient Voice Recording Equipment; AVRE) bei den Flugverkehrskontrollstellen Hintergrundgespräche und ‑geräusche auf.

2 Er führt die mit dem AVRE erstellte Datenbank und ist das für den Datenschutz verantwortliche Organ.

85. Verordnung vom 15. November 2017 über die Überwachung des Post- und Fernmeldeverkehrs229

Art. 8 Abs. 2

2 Allfällige Auswertungen der Aufzeichnungen werden durch die Datenschutzberaterin oder den Datenschutzberater des Dienstes ÜPF vorgenommen.

86. Verordnung vom 15. November 2017 über das Verarbeitungssystem für die Überwachung des Post- und Fernmeldeverkehrs230

Art. 7 Abs. 4

4 Die Zugriffsberechtigungen auf das Verarbeitungssystem sind im Anhang geregelt. Der Dienst ÜPF präzisiert sie im Bearbeitungsreglement (Art. 6 der Datenschutzverordnung vom 31. August 2022231).

Art. 8 Abs. 2 erster Satz

2 Ein Gesuch auf Zugriff auf die Überwachungsdaten können die nach Artikel 279 der Strafprozessordnung232 beziehungsweise nach Artikel 70j des Militärstrafprozesses vom 23. März 1979233, nach Artikel 33 des Nachrichtendienstgesetzes vom 25. September 2015234 , nach den Artikeln 35 und 36 BÜPF und nach dem Datenschutzgesetz vom 25. September 2020235 betroffenen Personen sowie ihre Rechtsbeistände bei der nach Artikel 10 Absätze 1–3 BÜPF zuständigen Behörde einreichen. ...

87. Verordnung vom 9. März 2007 über Fernmeldedienste236

Art. 48 Abs. 3 zweiter Satz

3 ... Insbesondere kann sie es um Informationen über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen gegen eine Anbieterin von Fernmelde- oder Mehrwertdiensten ersuchen.

Art. 89 Datenschutzgesetzgebung

Soweit diese Verordnung keine besondere Regelung enthält, gilt das Datenschutzgesetz vom 25. September 2020.

88. Verordnung vom 6. Oktober 1997 über die Adressierungselemente im Fernmeldebereich237

Art. 13l Abs. 2

2 Im Übrigen richten sich die Informationsbearbeitung durch die Beauftragten und ihre Beaufsichtigung nach den für die Bundesorgane geltenden Bestimmungen des Datenschutzgesetzes vom 25. September 2020238.

89. Verordnung vom 5. November 2014 über Internet-Domains239

Art. 17 Abs. 2 Bst. f

2 Die Registerbetreiberin muss einen Registrarvertrag abschliessen, wenn die Gesuchstellerin oder der Gesuchsteller die folgenden Bedingungen erfüllt:

  • f. Sie oder er verfügt im Bereich Informatik über die notwendige Hard- und Software zur Gewährleistung der Sicherheit der Personendaten, die von Personen eingereicht werden, die einen Domain-Namen beantragen, und bewahrt diese Daten unter Einhaltung der Bestimmungen des Datenschutzgesetzes vom 25. September 2020240 auf.

90. Fortpflanzungsmedizinverordnung vom 4. Dezember 2000241

Art. 19a Abs. 2 zweiter Satz

2 ... Artikel 9 des Datenschutzgesetzes vom 25. September 2020242 ist sinngemäss anwendbar.

91. Verordnung vom 14. Februar 2007 über genetische Untersuchungen beim Menschen243

Art. 21 Abs. 3

3 Für die Weiterleitung von Patientendaten an ein ausländisches Laboratorium gelten die Anforderungen nach den Artikeln 16 und 17 des Datenschutzgesetzes vom 25. September 2020244.

92. Transplantationsverordnung vom 16. März 2007245

Art. 48 Abs. 3

3 Alle Datenbearbeitungen sowie die Rechte der Personen, deren Daten bearbeitet werden, richten sich nach dem Datenschutzgesetz vom 25. September 2020246.

Art. 49 zweiter Satz

... Sie erstellen namentlich die nach der Datenschutzverordnung vom 31. August 2022247 notwendigen Bearbeitungsreglemente.

Art. 49c Abs. 1 erster Satz

1 Die Lebendspende-Nachsorgestelle trägt die Verantwortung für das Register. ...

93. Überkreuz-Lebendspende-Verordnung vom 18. Oktober 2017248

Art. 21 Abs. 1 erster Satz

1 Das BAG trägt die Verantwortung für das SwissKiPaDoS. ...

94. Organzuteilungsverordnung vom 16. März 2007249

Art. 34c Abs. 1 erster Satz

1 Das BAG trägt die Verantwortung für das SOAS. ...

Art. 34i Abs. 1 Bst. a

1 Für die Gewährleistung der Datensicherheit gelten:

  • a. die Artikel 1–4 und 6 der Datenschutzverordnung vom 31. August 2022250;

95. Humanforschungsverordnung vom 20. September 2013251

Art. 26 Abs. 2

2 Der Schlüssel muss von einer im Gesuch zu bezeichnenden Person, die nicht am Forschungsprojekt beteiligt ist, getrennt vom biologischen Material beziehungsweise den Personendaten und gemäss den Grundsätzen nach Artikel 5 Absatz 1 aufbewahrt werden.

96. Organisationsverordnung HFG vom 20. September 2013252

Art. 11 Abs. 2 Bst. a und b

2 Die Pflichten gemäss Absatz 1 entfallen, wenn:

  • a. die betroffene Person bereits über die entsprechenden Informationen verfügt;

  • b. Aufgehoben

Art. 12 Austausch von Daten mit ausländischen Behörden und Institutionen

Zum Austausch vertraulicher Daten mit ausländischen Behörden und Institutionen sowie internationalen Organen sind befugt:

  • a. die zuständige Ethikkommission;

  • b. die kantonale Aufsichtsbehörde;

  • c. das Schweizerische Heilmittelinstitut; und

  • d. das BAG.

Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz nach Artikel 16 Absatz 1 des Datenschutzgesetzes vom 25. September 2020253 (DSG) gewährleistet. Liegt keine Beurteilung des Bundesrates vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn hinreichende Garantien, insbesondere durch Vertrag, einen geeigneten Schutz im Ausland gewährleisten.

Abweichend von Artikel 16 Absätze 1 und 2 DSG dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:

  • a. Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.

  • b. Die Bekanntgabe ist zur Abwendung einer unmittelbar drohenden Gefahr für die öffentliche Gesundheit unerlässlich.

  • c. Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.

Werden die Personendaten ins Ausland bekanntgegeben, so teilt die Vollzugsbehörde der betroffenen Person den Staat oder das internationale Organ und gegebenenfalls die Garantien nach Artikel 16 Absatz 2 DSG oder die Anwendung einer Ausnahme nach Artikel 17 DSG mit.

97. Prüfungsverordnung MedBG vom 26. November 2008254

Art. 26 Abs. 2

2 Dazu müssen sie ihr Begehren schriftlich bei der MEBEKO, Ressort Ausbildung, einreichen. Das Begehren kann auf elektronischem Weg eingereicht werden.

98. Arzneimittel-Bewilligungsverordnung vom 14. November 2018255

Art. 66 Bst. b

Die für den Vollzug zuständigen Organe sind befugt, die Personendaten zu bearbeiten, die sie benötigen, um alle ihnen nach dieser Verordnung übertragenen Aufgaben zu erfüllen. Dazu gehören auch:

  • b. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen, die für die Beurteilung von Bewilligungsgesuchen, namentlich für die Beurteilung, ob eine fachtechnisch verantwortliche Person für diese Aufgabe geeignet ist, wesentlich sind.

Art. 68 Abs. 2

2 Die Zugriffe auf die Informationssysteme werden protokolliert. Die Protokolldaten werden längstens zwei Jahre getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

99. Arzneimittelverordnung vom 21. September 2018256

Art. 76 Abs. 2 zweiter Satz

2 ... Die Protokolldaten werden während zwei Jahren getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

100. Tierarzneimittelverordnung vom 18. August 2004257

Art. 36 Sachüberschrift und Abs. 5

Datenbearbeitung

5 Sämtliche Bearbeitungen unterstehen dem Datenschutzgesetz vom 25. September 2020258.

101. Medizinprodukteverordnung vom 1. Juli 2020259

Art. 84 Abs. 1 und 2

1 Die Swissmedic erstellt ein Bearbeitungsreglement nach Artikel 6 der Datenschutzverordnung vom 31. August 2022260 (DSV).

2 Für die Gewährleistung der Datensicherheit gelten die Artikel 1–4 und 6 DSV.

Art. 92 Anwendbarkeit des Datenschutzgesetzes

Alle im Informationssystem Medizinprodukte vorgenommenen Datenbearbeitungen müssen dem Datenschutzgesetz vom 25. September 2020 entsprechen.

Anh. 3 Ziff. 2 (Schweizerisches Recht) Ziff. 13 zweite Spalte

Datenschutzgesetz vom 25. September 2020

102. Verordnung vom 31. Oktober 2018 über das Informationssystem Antibiotika in der Veterinärmedizin261

Art. 13 Rechte der betroffenen Personen

Die Rechte der Personen, über die im IS ABV Daten bearbeitet werden, insbesondere das Auskunfts-, das Berichtigungs- und das Vernichtungsrecht, richten sich nach dem Datenschutzgesetz vom 25. September 2020262.

Will eine Person Rechte geltend machen, so muss sie in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 2022263 ein Gesuch beim BLV einreichen.

103. Verordnung vom 4. Mai 2022 über In-vitro-Diagnostika264

Anh. 2 Ziff. 2 (Schweizerisches Recht) Ziff. 7 zweite Spalte

Datenschutzgesetz vom 25. September 2020265

104. Störfallverordnung vom 27. Februar 1991266

Art. 17 Sachüberschrift

Datenerhebung des BAFU

105. Verordnung vom 20. Oktober 2021 über die Rückgabe, die Rücknahme und die Entsorgung elektrischer und elektronischer Geräte267

Art. 8 Datenschutz

Die Rücknahmepflichtigen, die Betreiber von öffentlichen Sammelstellen sowie die Entsorgungsunternehmen müssen bei Datenträgern, die ihnen übergeben wurden und auf denen Personendaten gespeichert sind, die Vorgaben des Datenschutzgesetzes vom 25. September 2020 oder die entsprechenden kantonalen Vorschriften einhalten.

106. Verordnung vom 22. März 2017 über das elektronische Patientendossier268

Art. 12 Abs. 1 Bst. b

1 Gemeinschaften müssen ein risikogerechtes Datenschutz- und Datensicherheitsmanagementsystem betreiben. Dieses muss insbesondere folgende Elemente umfassen:

  • b. ein Inventar der Informatikmittel und ein Verzeichnis der Bearbeitungstätigkeiten;

107. Verordnung vom 27. Mai 2020 über den Vollzug der Lebensmittelgesetzgebung269

Art. 97 Abs. 1–3

1 und 2 Aufgehoben

3 Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen werden vertraulich behandelt; vorbehalten sind Fälle, in denen eine gesetzliche Grundlage ihre Bekanntgabe fordert.

Art. 98 Abs. 4

4 Die Behörden und Dritten tauschen nur diejenigen Personendaten aus, die für die Empfängerin oder den Empfänger erforderlich sind. Enthält ein Dokument mehrere Personendaten, so werden diejenigen Daten, die für die Empfängerin oder den Empfänger nicht erforderlich sind, gelöscht oder unlesbar gemacht.

108. Epidemienverordnung vom 29. April 2015270

Art. 90 Sachüberschrift

Struktur und Inhalt des Informationssystems

Art. 96 Datensicherheit

Für die Gewährleistung der Datensicherheit gelten die Artikel 1–4 und 6 der Datenschutzverordnung vom 31. August 2022.

Art. 97 zweiter Satz

... Die Protokollierungen werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

109. Verordnung vom 29. April 2015 über mikrobiologische Laboratorien271

Art. 23 Abs. 1 zweiter Satz

Betrifft nur den französischen Text

110. Verordnung 1 vom 10. Mai 2000 zum Arbeitsgesetz272

Ingress

gestützt auf Artikel 40 des Arbeitsgesetzes vom 13. März 1964 (Gesetz, ArG)273,
Artikel 83 Absatz 2 des Bundesgesetzes vom 20. März 1981274 über die Unfallversicherung (UVG)
und Artikel 33 des Datenschutzgesetzes vom 25. September 2020275 (DSG),

Art. 89 Datenschutz

(Art. 33 DSG, Art. 44–46 ArG)

Die Rechte der Betroffenen, insbesondere das Auskunfts-, Berichtigungs- und Vernichtungsrecht, richten sich nach den Bestimmungen des DSG, soweit das Gesetz (ArG) keine abweichenden Bestimmungen kennt.

Art. 90 Strafbestimmung

Die Strafverfolgung für Verletzungen des Datenschutzes und der Auskunftspflicht richtet sich nach dem DSG.

111. Chauffeurverordnung vom 19. Juni 1995276

Art. 18 Abs. 6

6 Auskünfte zu Statistik- oder Forschungszwecken richten sich nach den Bestimmungen des Datenschutzgesetzes vom 25. September 2020277 und der Datenschutzverordnung vom 31. August 2022278 sowie nach dem Bundesstatistikgesetz vom 9. Oktober 1992279.

112. Verordnung vom 6. September 2006 gegen die Schwarzarbeit280

Art. 9 Sachüberschrift und Abs. 1

Schutz von Personendaten

1 Das kantonale Kontrollorgan nach Artikel 17 Absatz 1 BGSA und die kantonalen Behörden nach Artikel 17 Absatz 2 BGSA sind befugt, die dort aufgeführten Personendaten einzusehen und einzugeben, zu verändern oder zu vernichten.

Art. 9a Schutz von Daten juristischer Personen

(Art. 17a BGSA)

Das kantonale Kontrollorgan und die kantonalen Behörden sind befugt, die in Artikel 17a Absätze 1 und 2 BGSA aufgeführten Daten juristischer Personen einzusehen und einzugeben, zu verändern oder zu vernichten.

Artikel 9 Absätze 2–4 gilt sinngemäss für die Daten juristischer Personen.

113. Arbeitsvermittlungsverordnung vom 16. Januar 1991281

Art. 58 Sachüberschrift und Abs. 1

Rechte der betroffenen Personen

(Art. 34a, 34b und 35 AVG)

1 Stellensuchende und Arbeitgeber, die sich bei der Arbeitsmarktbehörde melden, werden orientiert über:

  • a. die Identität und die Kontaktdaten des Verantwortlichen;

  • b. den Zweck des Informationssystems;

  • c. die bearbeiteten Daten;

  • d. gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen die Personendaten bekanntgegeben werden;

  • e. ihre Rechte.

Art. 59a

Betrifft nur den französischen Text.

114. Zivildienstverordnung vom 11. September 1996282

Art. 110 Sachüberschrift, Abs. 1 und 2 Einleitungssatz

Datenbank des ZIVI zur Evaluation von Einführungstagen, Ausbildungskursen und Einsätzen

(Art. 32, 36 Abs. 3 und 45 Bst. c ZDG)

1 Das ZIVI führt eine Datenbank zur Evaluation von Einführungstagen, Ausbildungskursen und Einsätzen.

2 Die Datenbank enthält die Daten, die mit Fragebogen anlässlich dieser Tage, Kurse oder Einsätze erhoben werden von:

115. Verordnung vom 20. August 2014 über das Informationssystem des Zivildienstes283

Art. 11 Abs. 1 Bst. a und 4

1 Die Datensicherheit richtet sich nach:

  • a. den Artikeln 1–6 der Datenschutzverordnung vom 31. August 2022284;

4 Jede Bearbeitung von Daten im E-ZIVI wird protokolliert. Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

Art. 13 Abs. 1

1 Nach Ablauf der Aufbewahrungsdauer werden nach Artikel 38 des Datenschutzgesetzes vom 25. September 2020285 alle Daten vom ZIVI dem Bundesarchiv abgeliefert, anonymisiert oder vernichtet.

116. Verordnung vom 11. September 2002 über den Allgemeinen Teil des Sozialversicherungsrechts286

Art. 8b Abs. 2 dritter Satz

2 ... Vorbehalten bleiben Artikel 47 Absatz 2 ATSG und Artikel 16 Absatz 2 der Datenschutzverordnung vom 31. August 2022287 (DSV).

Art. 9 Abs. 2 zweiter Satz

2 ... Vorbehalten bleibt Artikel 19 DSV288.

117. Verordnung vom 31. Oktober 1947 über die Alters- und Hinterlassenenversicherung289

Art. 144 zweiter Satz

Betrifft nur den französischen Text.

118. Verordnung vom 17. Januar 1961 über die Invalidenversicherung290

Art. 79quater Abs. 1 und 3

Betrifft nur den französischen Text.

119. Verordnung vom 27. Juni 1995 über die Krankenversicherung291

Art. 30c erster Satz

Das BFS erstellt in Zusammenarbeit mit dem BAG für die Erhebung, Bearbeitung und Weitergabe von Daten nach Artikel 59a KVG ein Bearbeitungsreglement im Sinne von Artikel 6 der Datenschutzverordnung vom 31. August 2022292 (DSV). ...

Art. 59a Abs. 1 und 3, 6 zweiter Satz und 7

1 und 3 Betrifft nur den französischen Text.

6 ... Diese muss nach Artikel 13 des Datenschutzgesetzes vom 25. September 2020293 (DSG) zertifiziert sein.

7 Der Versicherer informiert den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nach Artikel 43 DSG unaufgefordert über die Zertifizierung oder Rezertifizierung seiner Datenannahmestelle. Der EDÖB kann von der Datenannahmestelle oder von der Zertifizierungsstelle jederzeit die für die Zertifizierung oder Rezertifizierung relevanten Dokumente einfordern. Er veröffentlicht eine Liste der zertifizierten Datenannahmestellen.

Art. 59ater Abs. 1

1 Für die Bearbeitung der medizinischen Angaben nach Artikel 59 Absatz 1 treffen die Versicherer die erforderlichen technischen und organisatorischen datensichernden Massnahmen, insbesondere diejenigen nach den Artikeln 1–4 und 6 DSV294.

120. Verordnung vom 20. Dezember 1982 über die Unfallversicherung295

Art. 72a Abs. 2 zweiter Satz

2 ... Vorbehalten bleibt Artikel 19 der Datenschutzverordnung vom 31. August 2022296.

121. Familienzulagenverordnung vom 31. Oktober 2007297

Art. 18h Abs. 1 Bst. a

1 Der Datenschutz und die Informatiksicherheit richten sich nach:

  • a. der Datenschutzverordnung vom 31. August 2022298;

122. Arbeitslosenversicherungsverordnung vom 31. August 1983299

Art. 126 Abs. 1

1 Bei der Anmeldung und der Geltendmachung von Ansprüchen werden die betroffenen Personen orientiert über:

  • a. die Identität und die Kontaktdaten des Verantwortlichen;

  • b. den Zweck der Informationssysteme;

  • c. die bearbeiteten Daten;

  • d. gegebenenfalls die Empfänger oder die Kategorien von Empfängern, denen die Personendaten bekanntgegeben werden;

  • e. ihre Rechte.

123. ALV-Informationssystemeverordnung vom 26. Mai 2021300

Art. 2 Abs. 2

2 Sie überwacht die Einhaltung der Vorgaben nach dem Datenschutzgesetz vom 25. September 2020301 und kann dazu regelmässige Kontrollen durchführen oder durchführen lassen.

124. Verordnung vom 18. Juni 2021 über die konsularischen Informationssysteme des Eidgenössischen Departements für auswärtige Angelegenheiten302

Ingress

gestützt auf Artikel 6 des Bundesgesetzes vom 24. März 2000303 über die Bearbeitung von Personendaten im Eidgenössischen Departement für auswärtige Angelegenheiten
und auf Artikel 57hter des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997304,

Art. 25 Abs. 2

2 Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt.

125. GUB/GGA-Verordnung vom 28. Mai 1997305

Art. 19 Abs. 2 Bst. d Ziff. 4

2 Das BLW erteilt die Zulassung auf Gesuch hin, wenn die Zertifizierungsstelle:

  • d. für die folgenden Aufgaben über schriftliche Verfahren und Vorlagen verfügt und diese anwendet:

    1. Einhaltung der Vorschriften des Datenschutzgesetzes vom 25. September 2020306.

Art. 21b Abs. 2 Bst. d

2 Dabei überprüft das BLW insbesondere, ob die Zertifizierungsstelle über schriftliche Verfahren und Vorlagen für folgende Aufgaben verfügt und diese anwendet:

  • d. Einhaltung der Vorschriften des Datenschutzgesetzes vom 25. September 2020307.

126. Bio-Verordnung vom 22. September 1997308

Art. 33 Bst. c Ziff. 6

Das BLW führt jährlich eine Inspektion der nach den Artikeln 28 und 29 in der Schweiz zugelassenen Zertifizierungsstellen durch, soweit dies nicht im Rahmen der Akkreditierung gewährleistet ist. Dabei überprüft das BLW insbesondere:

  • c. ob die Zertifizierungsstelle über schriftliche Verfahren und Vorlagen für folgende Aufgaben verfügt und diese anwendet:

    1. Einhaltung der Vorschriften des Datenschutzgesetzes vom 25. September 2020309.

127. Berg- und Alp-Verordnung vom 25. Mai 2011310

Art. 11 Abs. 1 Bst. d Ziff. 4

1 Die Zertifizierungsstellen müssen für ihre Tätigkeit gemäss dieser Verordnung auf Gesuch hin vom Bundesamt für Landwirtschaft (BLW) zugelassen sein. Für die Zulassung müssen die Zertifizierungsstellen:

  • d. über schriftliche Verfahren und Vorlagen für folgende Aufgaben verfügen und diese anwenden:

    1. Einhaltung der Vorschriften des Datenschutzgesetzes vom 25. September 2020311.

128. Verordnung vom 3. November 2021 über die Identitas AG und die Tierverkehrsdatenbank312

Art. 4 Sachüberschrift und Abs. 4

Hardware, Software, Datenbestände

4 Der Bund ist Verantwortlicher der Datenbestände, die durch die Ausübung der Aufgaben nach Artikel 3 entstehen.

129. Verordnung vom 27. April 2022 über Informationssysteme des BLV für die Lebensmittelkette313

Art. 25 Bst. a

Die Rechte der Personen, über die im ASAN, im ARES oder im Fleko Daten bearbeitet werden, insbesondere das Recht auf Auskunft über ihre Daten oder auf Berichtigung oder Vernichtung von Daten sowie über die Beschaffung von Daten, richten sich nach:

  • a. dem Datenschutzgesetz vom 25. September 2020314, wenn sie ihre Rechte gegenüber dem BLV geltend machen;

130. Verordnung vom 18. November 2015 über die Ein-, Durch- und Ausfuhr von Tieren und Tierprodukten im Verkehr mit Drittstaaten315

Art. 102d zweiter Satz

... Für die dafür notwendigen organisatorischen und technischen Massnahmen erlässt es ein Bearbeitungsreglement.

Art. 102e Rechte der betroffenen Personen

Die Rechte der Personen, über die im Informationssystem EDAV Daten bearbeitet werden, insbesondere das Auskunfts-, das Berichtigungs- und das Vernichtungsrecht, richten sich nach dem Datenschutzgesetz vom 25. September 2020316.

Will eine betroffene Person Rechte geltend machen, so muss sie in der Form nach Artikel 16 der Datenschutzverordnung vom 31. August 2022317 ein Gesuch beim BLV einreichen.

131. Verordnung vom 26. Juni 2013 über die Meldepflicht und die Nachprüfung der Berufsqualifikationen von Dienstleistungserbringerinnen und -erbringern in reglementierten Berufen318

Gliederungstitel vor Art. 9