Lexipedia

153.011.5

Randdatenverordnung

(RDV)

vom 20.11.2019 (Stand 01.01.2024)

Präambel

Der Regierungsrat des Kantons Bern,

gestützt auf Artikel 12e Absatz 1 des Personalgesetzes vom 16. September 2004 (PG)[1],

auf Antrag der Finanzdirektion,

beschliesst:

1 Abschnitt: Begriffe

Art. 1

In dieser Verordnung bedeuten:

  1. bewirtschaftete Daten: Personendaten, die bei der Nutzung der elektronischen Infrastruktur des Kantons aufgezeichnet und regelmässig genutzt, ausgewertet oder bewusst vernichtet werden;
  2. nichtbewirtschaftete Daten: Personendaten, die bei der Nutzung der elektronischen Infrastruktur des Kantons aufgezeichnet, aber nicht oder nicht regelmässig genutzt, ausgewertet oder bewusst vernichtet werden;
  3. Betreiberin: die mit dem technischen Betrieb der elektronischen Infrastruktur des Kantons beauftragte Stelle;
  4. verantwortliche Behörde: die für den Datenschutz verantwortliche Behörde.

2 Abschnitt: Zugriffsberechtigung, Aufbewahrung und Vernichtung

Art. 2 Zugriffsberechtigung

Auf bewirtschaftete Daten dürfen nur zugreifen

  1. die verantwortliche Behörde,
  2. die Betreiberin und die in einem ISDS-Konzept gemäss den Vorschriften über die Informationssicherheit und den Datenschutz (ISDS) vorgesehenen Stellen, sofern die verantwortliche Behörde einen Auftrag erteilt oder zustimmt.

Auf nichtbewirtschaftete Daten darf nur die Behörde zugreifen, welche die Geräte, auf denen diese Daten aufgezeichnet werden, selbst nutzt.

Art. 3 Sichere Aufbewahrung

Die Daten sind gemäss den Vorschriften über ISDS sicher aufzubewahren.

Art. 4 Aufbewahrungsdauer und Vernichtung bewirtschafteter Daten

Soweit der Auswertungszweck dies erfordert, können die bewirtschafteten Daten längstens wie folgt aufbewahrt werden:

  1. Daten über die Nutzung der elektronischen Infrastruktur nach Artikel 12c Absatz 1 Buchstabe a PG: 2 Jahre;
  2. Daten über die Arbeitszeiten des Personals nach Artikel 12c Absatz 1 Buchstabe b PG: 5 Jahre;
  3. Daten von Systemen zur Zutritts-, Raum- und Arealkontrolle von Gebäuden und Anlagen des Kantons und seiner Anstalten nach Artikel 12c Absatz 1 Buchstabe c PG: 3 Jahre.
  4. Sicherungskopien nach Artikel 12c Absatz 2 PG: bis zur Archivierung der zugrundeliegenden Informationen; falls diese nicht archivwürdig sind: 2 Jahre;

Sie sind spätestens drei Monate nach Abschluss der Auswertung oder nach Ablauf der Aufbewahrungsfristen nach Absatz 1 zu vernichten.

Der Regierungsrat kann im Einzelfall für bestimmte Kategorien von Daten über die Nutzung der elektronischen Infrastruktur (Abs. 1 Bst. b) aus Gründen der Informations- und Dienstleistungssicherheit längere Aufbewahrungsfristen beschliessen. Die Justizverwaltungsleitung kann dies für Daten beschliessen, die mit Fachapplikationen der Gerichtsbehörden und der Staatsanwaltschaft bearbeitet werden. *

Art. 5 Aufbewahrungsdauer und Vernichtung nichtbewirtschafteter Daten

Bei nichtbewirtschafteten Daten richtet sich die Aufbewahrungsdauer nach der Speicherkapazität des Geräts, auf dem die Daten aufgezeichnet werden, sofern deren rasche automatische Vernichtung nach der Benutzung nicht mit technischen Massnahmen sichergestellt werden kann.

Die nichtbewirtschafteten Daten müssen spätestens bei der Weitergabe oder Entsorgung des Geräts von der Behörde nach Artikel 2 Absatz 2 unwiederbringlich vernichtet werden.

Art. 6 Verantwortung für Aufbewahrung und Vernichtung

Verantwortlich für die sichere Aufbewahrung und die rechtzeitige Vernichtung der Daten sind

  1. für bewirtschaftete Daten: die verantwortliche Behörde und im Auftrag oder mit Zustimmung der verantwortlichen Behörde die Betreiberin und die in einem ISDS-Konzept vorgesehenen Stellen,
  2. für nichtbewirtschaftete Daten: die Behörde nach Artikel 2 Absatz 2.

Art. 7 Bearbeitung bei technischen Arbeiten

Die mit technischen Arbeiten wie Wartung oder Unterhalt der elektronischen Infrastruktur betrauten Personen dürfen die Daten nur bearbeiten, soweit dies zur Erfüllung dieser Aufgaben erforderlich ist.

Die Informationssicherheit muss gewährleistet bleiben.

3 Abschnitt: Auswertungsvoraussetzungen

Art. 8 Nicht personenbezogene Auswertungen (Art. 12d Abs. 1 PG)

Die verantwortliche Behörde und in ihrem Auftrag oder mit ihrer Zustimmung die Betreiberin und die in einem ISDS-Konzept vorgesehenen Stellen können zu den gesetzlich vorgesehenen Zwecken bewirtschaftete Daten von sich aus nicht personenbezogen auswerten.

Die Behörde nach Artikel 2 Absatz 2 kann nichtbewirtschaftete Daten zu den gesetzlich vorgesehenen Zwecken nicht personenbezogen auswerten oder auswerten lassen.

Sie können solche Auswertungen zeitlich und sachlich unbeschränkt vornehmen.

Art. 9 Personenbezogene, nicht namentliche Auswertungen (Art. 12d Abs. 2 PG)

Die verantwortliche Behörde und in ihrem Auftrag oder mit ihrer Zustimmung die Betreiberin und die in einem ISDS-Konzept vorgesehenen Stellen können zu den gesetzlich vorgesehenen Zwecken bewirtschaftete Daten von sich aus stichprobenartig personenbezogen, nicht namentlich auswerten.

Die Behörde nach Artikel 2 Absatz 2 kann nichtbewirtschaftete Daten zu den gesetzlich vorgesehenen Zwecken von sich aus stichprobenartig personenbezogen, nicht namentlich auswerten oder auswerten lassen.

Art. 10 Auftrag zu personenbezogenen, namentlichen Auswertungen wegen Verdachts auf Missbrauch oder Missbrauchs (Art. 12d Abs. 3 Bst. a PG)

Eine personenbezogene, namentliche Auswertung bewirtschafteter oder nichtbewirtschafteter Daten wegen Verdachts auf Missbrauch oder Missbrauchs muss von der Behörde, für welche die Nutzerin oder der Nutzer der elektronischen Infrastruktur arbeitet, selbst vorgenommen oder angeordnet werden.

Ein Missbrauch der elektronischen Infrastruktur liegt vor, wenn die Art oder das Ausmass der Nutzung die Vorgaben der Behörde oder Rechtsvorschriften verletzt.

Stimmt die betroffene Person einer solchen Auswertung nicht zu, so muss die Leitung der Behörde die Auswertung bewilligen.

Art. 11 Durchführung der personenbezogenen, namentlichen Auswertungen wegen Verdachts auf Missbrauch oder Missbrauchs (Art. 12d Abs. 3 Bst. a PG)

Die mit der personenbezogenen, namentlichen Auswertung beauftragte Behörde prüft vor der Auswertung, ob

  1. der konkrete Missbrauchsverdacht hinreichend schriftlich begründet oder der Missbrauch erwiesen ist und
  2. die betroffene Person über den konkreten Missbrauchsverdacht oder den erwiesenen Missbrauch schriftlich informiert worden ist.

Weigert sich die beauftragte Behörde, eine personenbezogene, namentliche Auswertung vorzunehmen, weil die Auswertungsvoraussetzungen nach Absatz 1 aus ihrer Sicht nicht erfüllt sind, so kann die auftragserteilende Behörde die kantonale Aufsichtsstelle für Datenschutz ersuchen, dazu Stellung zu nehmen.

Eine personenbezogene, namentliche Auswertung nichtbewirtschafteter Daten darf ohne Einverständnis der betroffenen Person nur innerhalb der Fristen nach Artikel 4 Absatz 1 erfolgen.

Art. 12 Personenbezogene, namentliche Auswertungen zur Analyse und Behebung von Störungen und zur Abwehr konkreter Bedrohungen (Art. 12d Abs. 3 Bst. b PG)

Die verantwortliche Behörde, die Betreiberin und die in einem ISDS-Konzept vorgesehenen Stellen können zur Analyse und Behebung einer Störung oder zur Abwehr einer konkreten Bedrohung bewirtschaftete Daten von sich aus personenbezogen, namentlich auswerten.

Solche Auswertungen sind nur zulässig, wenn sie für die Suche nach der Ursache oder die Behebung der Störung oder für die Abwehr der Bedrohung erforderlich sind, namentlich wenn:

  1. die Nutzung der elektronischen Infrastruktur wegen eines Defekts oder einer ausserordentlichen Beanspruchung durch Nutzerinnen und Nutzer verunmöglicht oder stark eingeschränkt ist; oder
  2. die unmittelbare Gefahr einer Schädigung der elektronischen Infrastruktur oder der Daten besteht (Verbreitung von Schadprogrammen).

Die Behörde nach Artikel 2 Absatz 2 kann unter den gleichen Voraussetzungen nichtbewirtschaftete Daten personenbezogen, namentlich auswerten oder auswerten lassen.

Art. 13 Personenbezogene, namentliche Auswertungen betreffend Dienstleistungen und individuelle Arbeitszeiten (Art. 12d Abs. 3 Bst. c bis e PG)

Die verantwortliche Behörde kann bewirtschaftete Daten personenbezogen, namentlich auswerten oder auswerten lassen

  1. zur Bereitstellung benötigter Dienstleistungen,
  2. zur Erfassung und Fakturierung erbrachter Leistungen der technischen Leistungserbringer oder
  3. zur Kontrolle der individuellen Arbeitszeiten der für die Anstellungsbehörde arbeitenden Nutzerinnen und Nutzer.

Art. 14 Kein Anspruch der Nutzerinnen und Nutzer auf Auswertung

Die Nutzerinnen und Nutzer der elektronischen Infrastruktur des Kantons haben keinen Anspruch auf Auswertung ihrer Personendaten gemäss dieser Verordnung.

4 Abschnitt: Auswertungsergebnis

Art. 15 Information über das Auswertungsergebnis

Die mit der Auswertung beauftragte Stelle übergibt das Auswertungsergebnis der auftragserteilenden Behörde.

Bei einer personenbezogenen, namentlichen Auswertung wegen Verdachts auf Missbrauch oder Missbrauchs informiert die auftragserteilende Behörde die betreffende Person über das Auswertungsergebnis.

Art. 16 Aufbewahrung und Vernichtung des Auswertungsergebnisses

Die mit der Auswertung beauftragte Stelle bewahrt das Auswertungsergebnis und die zum Zweck der Auswertung kopierten Daten gemäss den Vorschriften über ISDS sicher auf und vernichtet sie spätestens nach einem Jahr.

5 Abschnitt: Übergangs- und Schlussbestimmungen

Art. 17 Übergangsbestimmung

ICT-Systeme, welche die Umsetzung dieser Verordnung nicht erlauben, sind innert einer Frist von fünf Jahren seit Inkrafttreten dieser Verordnung anzupassen.  

Art. 18 Änderung von Erlassen

Folgende Erlasse werden geändert:

  1. Versuchsverordnung vom 21. November 2018 zum elektronischen Umzug (eUmzug VV)[2],
  2. Verordnung vom 24. Januar 2018 über die Informations- und Telekommunikationstechnik der Kantonsverwaltung (ICTV)[3],
  3. Verordnung vom 12. März 2008 über die Harmonisierung amtlicher Register (RegV)[4],
  4. Verordnung vom 18. Oktober 1995 über die Organisation und die Aufgaben der Finanzdirektion (Organisationsverordnung FIN; OrV FIN)[5],
  5. Personalverordnung vom 18. Mai 2005 (PV)[6].

Art. 19 Inkrafttreten

Diese Verordnung tritt am 1. Januar 2020 in Kraft.

Egress

Bern, 20. November 2019

Im Namen des Regierungsrates

Der Präsident: Ammann

Der Staatsschreiber: Auer 

 

19-080

Änderungstabelle - nach Beschluss

Beschluss Inkrafttreten Element Änderung BAG-Fundstelle
20.11.2019 01.01.2020 Erlass Erstfassung 19-080
25.10.2023 01.01.2024 Art. 4 Abs. 3 geändert 23-068

Änderungstabelle - nach Artikel

Element Beschluss Inkrafttreten Änderung BAG-Fundstelle
Erlass 20.11.2019 01.01.2020 Erstfassung 19-080
Art. 4 Abs. 3 25.10.2023 01.01.2024 geändert 23-068