AS 2025 694
Verordnung über den Datenschutz (DSV)
Präambel
Der Schweizerische Bundesrat
verordnet:
I
Die Datenschutzverordnung vom 31. August 20221 wird wie folgt geändert:
Art. 4 Abs. 1, 2, 2bis und 31 Werden besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet oder wird ein Profiling mit hohem Risiko durchgeführt und können die präventiven Massnahmen den Datenschutz nicht gewährleisten, so müssen der private Verantwortliche und sein privater Auftragsbearbeiter zumindest das Speichern, Verändern, Bekanntgeben, Löschen und Vernichten der Daten sowie das Zugreifen auf die Daten protokollieren. Eine Protokollierung muss insbesondere dann erfolgen, wenn sonst nachträglich nicht festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie beschafft oder bekanntgegeben wurden.2 Das verantwortliche Bundesorgan und sein Auftragsbearbeiter protokollieren bei der automatisierten Bearbeitung von besonders schützenswerten Personendaten, bei der Durchführung von Profilings und bei automatisierten Datenbearbeitungen, die in den Anwendungsbereich der Richtlinie (EU) 2016/6802 fallen, zumindest das Speichern, Verändern, Bekanntgeben, Löschen und Vernichten der Daten sowie das Zugreifen auf die Daten. Bei den übrigen automatisierten Datenbearbeitungen beurteilen sie vorgängig das Risiko für die Grundrechte der betroffenen Personen. Sie legen gestützt darauf sowie unter Berücksichtigung des Stands der Technik und der Implementierungskosten fest, ob und in welchem Umfang sie die genannten Vorgänge protokollieren. Bei der Risikobeurteilung berücksichtigen sie insbesondere die Art der bearbeiteten Daten sowie den Zweck, die Art, den Umfang und die Umstände der Bearbeitung.2bis Die Prüfung der Protokollierung nach Absatz 2 erfolgt schriftlich. Resultat und Inhalt der Prüfung werden dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) auf Anfrage mitgeteilt.3 Bei Personendaten, die allgemein zugänglich sind, sind in den Fällen der Absätze 1 und 2 erster Satz zumindest das Speichern, Verändern, Löschen und Vernichten der Daten zu protokollieren.
Art. 8 Abs. 33 Der EDÖB wird bei jeder Beurteilung konsultiert. Die Einschätzungen von internationalen Organen oder ausländischen Behörden, die für den Datenschutz zuständig sind, können berücksichtigt werden.
Art. 37a Abschluss und Änderung von AbsichtserklärungenDer EDÖB erstattet dem Bundesrat jährlich Bericht über die von ihm abgeschlossenen und geänderten Absichtsabklärungen über seine Zusammenarbeit mit ausländischen Datenschutzbehörden.
Art. 46 Abs. 11 Bei automatisierten Bearbeitungen von Personendaten, die vor Inkrafttreten der Änderung vom 29. Oktober 2025 geplant oder begonnen wurden, muss die Prüfung der Protokollierung nach Artikel 4 Absatz 2 bis am 31. Dezember 2026 vorgenommen werden. Erweist sich eine Protokollierung als nötig, so muss diese bis am 31. Dezember 2029 implementiert werden. Ausgenommen sind die automatisierte Bearbeitung von besonders schützenswerten Personendaten, die Durchführung von Profilings und automatisierte Datenbearbeitungen, die in den Anwendungsbereich der Richtlinie (EU) 2016/6803 fallen.
II
Die Verordnung vom 16. Dezember 20094 über militärische und andere Informationssysteme im VBS wird wie folgt geändert:
Art. 2c Abs. 1 Bst. a Ziff. 3 und 41 Die für den Datenschutz verantwortliche Verwaltungseinheit des Bundes und die von ihr eingesetzten Auftragsbearbeiterinnen und Auftragsbearbeiter protokollieren bei der automatisierten Bearbeitung von Daten in einem Informationssystem nach dem MIG oder dieser Verordnung:a. die folgenden Arten der Bearbeitung:3. das Zugreifen, sofern die Daten nicht allgemein zugänglich sind,4. das Bekanntgeben, sofern die Daten nicht allgemein zugänglich sind,
III
Diese Verordnung tritt am 1. Dezember 2025 in Kraft.
29. Oktober 2025 | Im Namen des Schweizerischen Bundesrates Die Bundespräsidentin: Karin Keller-Sutter |