Änderung der Datenschutzverordnung (VDSG, SR 235.11); Verordnung über die Datenschutzzertifizierungen
Eidgenössisches Justiz- und Polizeidepartement EJPD Bundesamt für Justiz BJ Hauptabteilung Staats- und Verwaltungsrecht Abteilung Rechtsetzungsprojekte und -methodik
Revision der Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993: Erläuterungen zum Entwurf vom 18. Januar
1. Einführung
In der Schlussabstimmung vom 24. März 2006 verabschiedeten die Eidgenössischen Räte die Revision des Bundesgesetzes über den Datenschutz (DSG) sowie den Bundesbeschluss betreffend den Beitritt der Schweiz zum Zusatzprotokoll vom 8. November 2001 zum Übereinkommen zum Schutz des Menschen bei der automa- tischen Verarbeitung personenbezogener Daten bezüglich Aufsichtsbehörden und grenzüberschreitender Datenübermittlung (Zusatzprotokoll).
Um das DSG mit den Anforderungen des Zusatzprotokolls in Einklang zu bringen, ändert die Revision Art. 6 DSG betreffend die Bekanntgabe von Daten ins Ausland. Die Revision betrifft ausserdem Art. 11a DSG betreffend das Register der Daten- sammlungen: Vorgesehen wird eine Meldepflicht, die mit bestimmten Ausnahmen einhergeht, besonders wenn der Inhaber von Datensammlungen einen unabhängi- gen Datenschutzverantwortlichen bezeichnet hat (Art. 11a Abs. 5 Buchst e DSG). Diese Änderungen erfordern eine Anpassung der Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 (VDSG). Der Verordnungsentwurf umfasst zudem eine Ausführungsbestimmung zu Artikel 17a DSG betreffend die automatisier- te Datenbearbeitung im Rahmen von Pilotversuchen. Mit dem Entwurf werden schliesslich weitere Bestimmungen der geltenden Verordnung, die aus unterschied- lichen Gründen angeglichen werden müssen, abgeändert.
2. Bearbeiten von Personendaten durch private Personen (Kapitel 1)
2.1 Auskunftsrecht
Der bisherige Wortlaut von Absatz 2 der vorliegenden Bestimmung wiederholt ledig- lich Artikel 8 Absatz 5, 1. Satz, DSG und hat keine eigenständige Tragweite. Er wird daher nicht beibehalten, was nicht zuletzt im Einklang mit den gegenwärtig laufenden Bestrebungen zur formellen Überprüfung des Bundesrechts im Einklang steht.
Neu wird vorgesehen, dass die Auskunft auch auf elektronischem Weg erfolgen kann, wenn bestimmte Anforderungen erfüllt sind. So müssen die angemessenen Massnahmen getroffen werden, um die Identifizierung der betroffenen Person, die ihr Auskunftsrecht geltend macht, im elektronischen Verkehr sicherzustellen (Abs. 2 Bst. a). Der Inhaber der Datensammlung muss überprüfen, dass es sich bei der Person, die das Auskunftsgesuch stellt, um diejenige handelt, deren Daten bearbeitet wer- den. In der Terminologie der Informatiksicherheit handelt es sich somit nicht eigent- lich um eine Identifizierung, sondern eine Authentifizierung. Um die Einheitlichkeit der
Terminologie innerhalb der vorliegenden Bestimmung zu gewährleisten und nicht einen zusätzlichen – und zudem nicht allgemein verständlichen – Begriff einführen zu müssen, wird indessen auch hier von „identifizieren“, und nicht von „authentifizieren“ gesprochen.
Nach Artikel 1 Absatz 2 Buchstabe b müssen die persönlichen Daten der betroffenen Person bei der Auskunfterteilung zudem angemessen vor einem Zugriff bzw. einer Einsichtnahme durch Dritte geschützt werden. Dies ist beispielsweise möglich durch Verschlüsselung von E-Mails oder durch Einrichtung einer entsprechend gesicherten Internetverbindung, falls die Daten durch die Betroffenen abgerufen werden können. Diese Anpassungen sind gegenwärtig primär für den privaten Sektor von Bedeutung. Es kann aber nicht ausgeschlossen werden, dass sie künftig auch für die Bundesor- gane Bedeutung erlangen werden.
Die Angemessenheit der geforderten Massnahmen richtet sich nach den Umständen im konkreten Fall. Geht es um besonders schützenswerte Personendaten oder Per- sönlichkeitsprofile, sind die Anforderungen höher, als wenn es um einfache Perso- nendaten geht.
2.2 Anmeldung der Datensammlungen (2. Abschnitt)
2.2.1 Anmeldung (Art. 3)
Der systematische Verweis auf Art. 3 Abs. 1 E-VDSG wird geändert, nachdem Art.
11 Abs. 3 DSG durch Art. 11a Abs. 3 des revidierten DSG ersetzt wurde.
Abs. 2, 2. Satz, wird gestrichen, weil die periodische Erfassung der erfolgten Ände- rungen nicht mehr der Realität entspricht.
2.2.2 Ausnahmen von der Meldepflicht (Art. 4)
Der geltende Artikel 4 VDSG betreffend die Datensammlungen der Medien wird ge- strichen, weil die darin vorgesehenen Ausnahmen in Art. 11a Abs. 5 Bst. c und d des revidierten DSG übernommen wurden. An die Stelle dieses Artikels tritt eine Bestim- mung, welche die laut Art. 11a des revidierten DSG zulässigen Ausnahmen von der Meldepflicht regelt. Gemäss Art. 11a Abs. 5 Bst. b muss der Inhaber von Daten- sammlungen seine Sammlung nicht anmelden, wenn der Bundesrat eine Bearbei- tung von der Anmeldepflicht ausgenommen hat, weil sie die Rechte der betroffenen Personen nicht gefährdet. Die von dieser Vorschrift erfassten Fälle sind demnach in der Verordnung zu regeln.
Art. 4 E-VDSG hält zuerst fest, dass die in Art. 11a Abs. 5 Bst. a, c bis f des revidier- ten DSG erwähnten Datensammlungen von der Pflicht zur Anmeldung ausgenom- men sind, und führt anschliessend die folgenden Ausnahmen auf:
- Bst. a: Der Inhaber der Datensammlung ist von der Meldepflicht entbunden, wenn es sich um eine Adressdatei handelt, die z.B. im Rahmen der Vertrags- erfüllung für die Geschäftskorrespondenz verwendet wird. Dagegen muss der Inhaber eine Adressdatei anmelden, die für die Kundenakquisition verwendet wird.
- Bst. b: Diese Ausnahme rechtfertigt sich, weil solche Datenbearbeitungen aufgrund ihrer Zwecksetzung grundsätzlich keinen starken Eingriff in die Per- sönlichkeit der betroffenen Personen darstellen. Eine ähnliche Ausnahme ist bereits im geltenden Recht bezüglich der Meldepflicht bei Datenbekanntgaben ins Ausland vorgesehen (Art. 7 Abs. 1 VDSG).
- Bst. c: Diese Ausnahme orientiert sich an Art. 18 Abs. 1 Bst. b VDSG, wonach die Bundesorgane Datensammlungen, die im Bundesarchiv aufbewahrt wer- den, nicht anmelden müssen.
- Bst. d: Datensammlungen, die ausschliesslich Daten enthalten, die veröffent- licht wurden oder welche die betroffene Person selbst allgemein zugänglich gemacht und deren Bearbeitung sie nicht ausdrücklich untersagt hat, müssen dem Beauftragten nicht gemeldet werden.
- Bst. e: Nach Artikel 10 DSG muss der Inhaber der Datensammlung die auto- matisierte Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen protokollieren, wenn präventive Massnahmen den Da- tenschutz nicht gewährleisten können. Ziel ist es insbesondere, die nachträgli- che Überprüfung der Identität von Personen, die Daten in ein System einge- ben, zu ermöglichen. Zu diesem Zweck erstellte Datensammlungen müssen dem Beauftragten nicht gemeldet werden. Das Festhalten der Protokolldaten dient in erster Linie dem Schutz der Personen, deren Daten im betreffenden System bearbeitet werden; das Missbrauchsrisiko zulasten derjenigen Perso- nen, die mit dem System arbeiten und deren Zugriffsdaten festgehalten wer- den, ist vergleichsweise gering.
Zwecks Gewährleistung der Transparenz führt der Inhaber eine Liste der Daten- sammlungen, die nicht der Anmeldepflicht unterliegen, und teilt Informationen über diese Datensammlungen auf Gesuch hin jeder Person mit (Art. 4 Abs. 2 E-VDSG). Diese Bestimmung stützt sich auf die Delegationsnorm von Artikel 11a Absatz 6 der Revision, die vorsieht, dass der Bundesrat die Modalitäten der Führung und Veröf- fentlichung des Registers regelt.
2.3 Bekanntgabe ins Ausland (3. Abschnitt)
2.3.1 Informationspflicht (Art. 5)
Der bisherige Wortlaut von Artikel 5 wird nicht beibehalten. Da sich der geänderte Artikel 6 DSG nicht mehr nur auf die Bekanntgabe ins Ausland von ganzen Daten- sammlungen – sondern allgemein von Personendaten –bezieht, sind die bisher hier figurierenden Definitionen (und insbesondere Bst. b) nicht mehr sinnvoll. Materiell ergibt sich keine Änderung; das Zugänglichmachen von Personendaten durch Abruf- verfahren gilt als grenzüberschreitende Bekanntgabe, ebenso die Bekanntgabe an einen Dritten zwecks Bearbeitung im Auftragsverhältnis.
Art. 6 Abs. 3 des revidierten DSG sieht vor, dass der Eidgenössische Datenschutz- beauftragte über die Garantien und die Datenschutzregeln nach Art. 6 Abs. 2 Bst. a und g informiert werden muss und dass der Bundesrat die Einzelheiten dieser Infor- mationspflicht regelt. Gemäss der Botschaft (BBl 2003 S. 2130) soll die Verordnung des Bundesrates präzisieren, wann und wie die Information erfolgen muss.
Art. 5 Abs. 1 E-VDSG verlangt, dass der Inhaber der Datensammlung den Beauftrag- ten soweit möglich vor der Bekanntgabe der Daten informiert. Der Artikel setzt keine genaue Frist, sondern räumt dem Inhaber der Datensammlung eine gewisse Flexibili- tät ein. Falls er nicht in der Lage ist, den Beauftragten vor der Bekanntgabe der Da- ten zu informieren, holt er dies möglichst bald nach. Die Information besteht darin, dass dem Beauftragten ein Exemplar oder eine Kopie der mit dem Empfänger ver- einbarten Garantien oder der in der betroffenen Gesellschaft (bzw. in den betroffenen Gesellschaften) geltenden Datenschutzregeln übermittelt wird. Aus der Botschaft (BBl 2003 2130) geht hervor, dass das Verfahren der Information möglichst einfach ausgestaltet werden soll; zu denken ist insbesondere an eine Information des Daten- schutzbeauftragten über Internet. Der Datenschutzbeauftragte prüft, ob die angege- benen Garantien oder Schutzregeln ein angemessenes Schutzniveau entsprechend den Anforderungen des Übereinkommens STE 108 gewährleisten. Trifft dies nicht zu, so wendet er sich innerhalb einer angemessenen Frist an den Inhaber der Da- tensammlung und erlässt gegebenenfalls eine Empfehlung gemäss Art. 29 DSG. Falls der Datenschutzbeauftragte nicht reagiert, geht der Inhaber von Datensamm- lungen davon aus, dass die Garantien und Datenschutzregeln den Anforderungen gemäss Art. 6 des revidierten DSG genügen.
Wie aus der Botschaft hervorgeht (BBl 2003 2130), bedeutet die in Art. 6 Abs. 3 des revidierten DSG verankerte Informationspflicht keineswegs, dass der Inhaber der Datensammlung den Datenschutzbeauftragten über jede Einzelübermittlung infor- mieren muss. Art. 5 Abs. 2 Bst. a E-VDSG präzisiert zu diesem Punkt ausdrücklich, dass die Informationspflicht für alle Bekanntgaben gilt, die unter denselben Garantien erfolgen, soweit die Kategorien der Empfänger, der Zweck der Bearbeitung und die Datenkategorien unverändert bleiben. Die Datenschutzregeln innerhalb derselben juristischen Person oder Gesellschaft oder zwischen juristischen Personen oder Ge- sellschaften, die einer einheitlichen Leitung unterstehen, gelten für alle Bekanntga- ben unter diesen, unabhängig von der Kategorie und vom Zweck der übermittelten Daten. Die Informationspflicht gilt demnach global für alle diese Bekanntgaben, so- fern die Datenschutzregeln unverändert bleiben (Art. 5 Abs. 2 Bst. b E-VDSG).
Abs. 3 dieses Artikels sieht eine erleichterte Informationspflicht vor, wenn der Inhaber von Datensammlungen Modellverträge verwendet, die vom Beauftragten erstellt oder anerkannt wurden, wie beispielsweise die Modellklauseln des Standardvertrags des Europarates. Der Inhaber der Datensammlung muss den Beauftragten lediglich in allgemeiner Art und Weise darüber informieren, dass er für Datenbekanntgaben in ausländische Staaten, die nicht über eine Gesetzgebung verfügen, die einen ange- messenen Schutz bietet, generell die vom Beauftragten anerkannten Modellverträge verwendet (oder gegebenenfalls, dass er mit bestimmten Ausnahmen diese Modell- verträge verwendet). Hernach ist eine besondere Meldung einzelner Bekanntgaben bzw. Kategorien von Bekanntgaben (vgl. Abs. 2 der vorliegenden Bestimmung) nicht mehr erforderlich. Sollte der Inhaber der Datensammlung in der Folge in einzelnen Fällen indessen dennoch andere Garantien anwenden, so muss er den Beauftragten darüber ordentlich informieren.
Der zweite Satz von Abs. 3 schreibt dem Beauftragten vor, eine Liste der von ihm erstellten und anerkannten Modellverträge zu veröffentlichen.
Gemäss der Botschaft (BBl 2003 2129) haftet der Inhaber von Datensammlungen, der Personendaten ins Ausland übermittelt, für Nachteile, die sich aus einer Verlet- zung seiner Sorgfaltspflicht ergeben könnten. Er hat insbesondere nachzuweisen, dass er alle erforderlichen Massnahmen getroffen hat, um ein angemessenes
Schutzniveau zu gewährleisten. Die Verordnung konkretisiert diese Sorgfaltspflicht, indem sie vom Inhaber der Datensammlung verlangt, angemessene Massnahmen zu treffen, um sicherzustellen, dass der Empfänger die Datenschutzgarantien oder – regeln beachtet. Ob die Massnahmen angemessen sind, hängt von den Umständen im konkreten Einzelfall ab. Handelt es sich um besonders schützenswerte Personen- daten oder Persönlichkeitsprofile, sind sie höher als für die übrigen Personendaten. Falls der Empfänger die Garantien oder Schutzmassnahmen nicht beachtet, fordert der Inhaber der Datensammlung ihn auf, Abhilfe zu schaffen.
2.3.2 Aufhebung des geltenden Art. 6 VDSG
Mit dem revidierten Artikel 6 DSB wird die Pflicht, dem Beauftragten jegliche Be- kanntgabe von Daten ins Ausland zu melden, durch eine Informationspflicht ersetzt. Die Fälle, in denen private Personen verpflichtet sind, ihre Datensammlungen beim Datenschutzbeauftragten anzumelden, sind künftig im neuen Art. 11a Abs. 3 DSG geregelt. Der geltende Art. 6 VDSG wird demzufolge aufgehoben.
2.3.3 Liste der Staaten, die über eine angemessene Datenschutzgesetzgebung ver-
fügen (Art. 7)
Art. 7 E-VDSG entspricht im Wesentlichen Art. 7 Abs. 3 des geltenden Rechts. Bei der Erstellung dieser Liste berücksichtigt der Beauftragte die Beschlüsse der Europä- ischen Kommission in Anwendung von Art. 25 Abs. 6 der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personen- bezogener Daten und zum freien Datenverkehr betreffend die Angemessenheit des Schutzniveaus in Drittländern.
Wenn der Inhaber von Datensammlungen Daten in einen Staat übermittelt, der auf der Liste des Beauftragten aufgeführt wird, gilt er als gutgläubig gemäss Art. 3 Abs. 1 ZGB. Allerdings handelt es sich um eine widerlegbare Vermutung. Der Inhaber der Datensammlung kann sich dann nicht auf seinen guten Glauben berufen, wenn er z.B. aufgrund seiner Erfahrung weiss, dass die Datenschutzvorschriften in einem be- stimmten Land nicht beachtet werden (Art. 3 Abs. 2 ZGB).
2.4 Technische und organisatorische Massnahmen (4. Abschnitt)
2.4.1 Allgemeine Massnahmen (Art. 8)
Abs. 1 bildet Gegenstand einer redaktionellen Änderung: Der Begriff «Richtigkeit der Daten» wird durch «Integrität der Daten» ersetzt.
Abs. 4 wird gestrichen: Es ist nicht notwendig, in einer Gesetzesgrundlage ausdrück- lich zu verankern, dass der Beauftragte Empfehlungen oder Modelle zu technischen oder organisatorischen Massnahmen erlassen kann.
2.4.2 Protokollierung (Art. 10 Abs. 1)
Nur die französische und italienische Fassung werden geändert und an die deutsche Fassung angepasst. Die Änderung ist redaktioneller Natur.
2.4.3 Bearbeitungsreglement (Art. 11)
Der Verweis auf Art. 11 Abs. 1 E-VDSG wird geändert, nachdem Art. 11 Abs. 3 DSG durch Art. 11a Abs. 3 des revidierten DSG ersetzt wurde.
Gemäss Abs. 2 wird das Bearbeitungsreglement regelmässig aktualisiert und kann vom Beauftragten oder vom Datenschutzverantwortlichen eingesehen werden. Diese Änderung entspricht Art. 21 Abs. 3 VDSG, welcher eine analoge Bestimmung für die Bundesorgane vorsieht.
2.5 Datenschutzberater (5. Abschnitt)
2.5.1 Bezeichnung und Mitteilung an den Beauftragten (Art. 12a)
Laut Art. 11a Abs. 5 Bst. e des revidierten DSG muss der Inhaber von Datensamm- lungen seine Sammlung nicht anmelden, wenn er einen Datenschutzverantwortlichen bezeichnet hat, der unabhängig die betriebsinterne Einhaltung der Datenschutzvor- schriften überwacht und Verzeichnisse der Datensammlungen führt. Gemäss der Botschaft (BBl 2003 2138) kann der Bundesrat vorsehen, dass die Befreiung von der Meldepflicht nur erfolgt, wenn die Einsetzung des Datenschutzverantwortlichen dem eidgenössischen Datenschutzbeauftragten mitgeteilt wird.
Die Bezeichnung „Datenschutzverantwortlicher“ in der deutschen – sowie „responsa- bile della protezione dei dati“ in der italienischen – Fassung von Art. 11a Abs. 5 Bst. e revDSG bedeutet nicht, dass diese Person die Alleinverantwortung für die Einhal- tung des Datenschutzes trägt. Wie nachstehend noch detaillierter dargelegt wird, hat sie lediglich eine beratende – und kontrollierende – Funktion. Die Verantwortung liegt vielmehr in erster Linie bei den Stellen, die als Inhaber einer Datensammlung – und damit als Verantwortliche für die mit den betreffenden Personendaten vorgenomme- nen Bearbeitungen – gelten müssen. Richtiger ist denn auch die französische Be- zeichnung in der erwähnten Bestimmung: „Conseiller à la protection des données“. Daher wird in Abs. 1 (wie auch im Abschnittstitel) die Funktionsbezeichnung „betrieb- licher Datenschutzberater“ (italienisch „consulente per la protezione dei dati“) einge- führt.
Zur Umsetzung dieser Bestimmung sieht Art. 12a Abs. 1 E-VDSG vor, dass der In- haber der Datensammlung, der von seiner Pflicht zur Anmeldung der Datensamm- lungen befreit werden will, einen Datenschutzberater bestimmt, der die Anforderun- gen erfüllt, die in den vorliegenden Art. 12a bis c aufgestellt werden. Der Eidg. Da- tenschutz- und Öffentlichkeitsbeauftragte ist sodann darüber zu informieren.
Der Inhaber der Datensammlungen kann nach Abs. 2 einen Mitarbeiter mit der Funk- tion des betrieblichen Datenschutzberaters betrauen. Die Angliederung der Funktion innerhalb der Hierarchie eines Unternehmens ist nicht entscheidend. Zur Gewährleis- tung der Unabhängigkeit sollte die mit der Funktion betraute Person allerdings direkt der Geschäftsleitung des Inhabers der Datensammlungen unterstellt sein. Daten- schutzberater kann auch ein Dritter sein. Mit dieser Lösung wird der im DSG gefor- derte Grundsatz der Unabhängigkeit besser gewährleistet.
Der Grundsatz der Unabhängigkeit des Datenschutzberaters wird in Art. 12a, Abs. 2,
1. Satz, konkretisitert. Der Inhaber der Datensammlung muss nach dieser Bestim-
mung eine Person bezeichnen, die keine anderen Tätigkeiten ausübt, die mit den Aufgaben, die er für den Inhaber der Datensammlung leistet, in Konflikt geraten könnten. Dies könnte etwa dann der Fall sein, wenn der Datenschutzberater Direkti- onsmitglied ist, wenn er Funktionen in Bereichen wie Personalführung, Informations- systemverwaltung oder Informationstechnologien ausübt oder wenn er zu einer Dienststelle gehört, die Bearbeitungen von besonders schützenswerten Daten durch- führt. Dagegen ist die Kumulierung des Amtes als Datenschutzberater mit dem Amt als Informatiksicherheitsbeauftragter oder als Leiter der Rechtsabteilung grundsätz- lich durchaus vereinbar.
Der Grundsatz der Unabhängigkeit muss nicht nur vom Inhaber der Datensammlung, sondern auch vom Datenschutzberater selbst befolgt werden. Er wird duch die vor- liegende Bestimmung dazu verpflichtet, auf jede Tätigkeit zu verzichten, die mit den Aufgaben, die er für den Inhaber der Datensammlung erfüllt, in einen Konflikt geraten könnte.
Der Datenschutzberater muss weiter über die erforderliche Fachkenntnis verfügen, um seine Aufgaben effizient zu erfüllen (Abs. 2, 2. Satz). Seine Kentnisse müssen die Datenschutzgesetzgebung, technische Standards, die Organisation des Inhabers der Datensammlung sowie die Einzelheiten der durch diesen veranlassten Bearbei- tungen von Personendaten umfassen.
Beim betrieblichen Datenschutzbeauftragten handelt es sich primär um eine Funkti- on. Somit ist – namentlich im Hinblick auf die Erfüllung der Anforderungen hinsicht- lich der Fachkenntnisse – auch denkbar, dass faktisch nicht eine Einzelperson, son- dern ein Team diese Funktion ausfüllt, z.B. eine Datenschutzfachperson gemeinsam mit einem Spezialisten oder einer Spezialistin für Informatiksicherheit. Die Gesamt- verantwortung für die Aufgabenerfüllung muss indessen klar zugeordnet sein.
Art. 12a überlässt es dem Inhaber von Datensammlungen, sich auf die in Art. 11a Abs. 5 Bst. e DSG vorgesehene Ausnahme zu berufen. Falls er dies tut, muss er den Beauftragten darüber informieren, dass er einen Datenschutzberater eingesetzt hat. Die Verordnung sieht keine Verpflichtung vor, dem Beauftragten die Identität der Person mitzuteilen, die mit der fraglichen Funktion betraut wurde. Es wäre indessen wünschenswert, wenn er auch diesbezüglich informiert würde. Das Verfahren zur Information des Beauftragten soll so einfach wie möglich ausgestaltet werden; zu denken ist insbesondere an eine Information über Internet. Ist diese Information er- folgt, so ist in der Folge der Inhaber der Datensammlungen von der Anmeldepflicht befreit.
Falls dagegen der eingesetzte Datenschutzberater das Unabhängigkeitserfordernis gemäss DSG nicht erfüllt oder falls der Inhaber der Datensammlung darauf verzich- tet, die in Art. 11a Abs. 5 Buchst e DSG verankerte Ausnahme geltend zu machen, bleibt er der Anmeldepflicht unterstellt.
2.5.2 Aufgaben und Stellung des Datenschutzberaters (Art. 12b)
Gemäss Art. 11a Abs. 6, 2. Satz, präzisiert der Bundesrat die Stellung und die Auf- gaben der Datenschutzverantwortlichen. Zur Konkretisierung dieser Bestimmung re- gelt Art. 12b Abs. 1 E-VDSG dessen wichtigste Aufgaben.
Nach Bst. a muss der Datenschutzberater die Bearbeitung von Personendaten prü- fen und dem Inhaber der Datensammlung Korrekturmassnahmen empfehlen, wenn
er feststellt, dass Vorschriften über den Datenschutz verletzt wurden. Der Inhaber der Datensammlung darf gegen den Datenschutzberater keinesfalls Massnahmen mit Sanktionscharakter ergreifen, wenn dieser seine Aufgabe erfüllt.
Die Aufgabe nach Bst. a zieht keine Haftung des Datenschutzberaters nach sich, wenn der Inhaber der Datensammlung die Datenschutzgesetzgebung verletzt. Der Inhaber der Datensammlung ist insbesondere gegenüber der betroffenen Person allein verantwortlich.
Nach Bst. b ist der Datenschutzberater damit beauftragt, eine Liste der Datensamm- lungen des Inhabers der Datensammlungen zu führen, die vom Beauftragten oder anderen Personen, die ein entsprechendes Gesuch stellen, eingesehen werden kann. Diese Liste gewährleistet die Transparenz der nicht mehr meldepflichtigen Da- tensammlungen gegenüber den betroffenen Personen und gegenüber dem Beauf- tragten. Nur die Datensammlungen nach Art. 11a Abs. 3 DSG müssen auf dieser Liste figurieren. Sie kann vom Beauftragten oder jeder Person, die ein diesbezügli- ches Gesuch stellt, eingesehen werden.
Der Datenschutzberater muss die zur Erfüllung seiner Aufgaben notwendigen Mass- nahmen ergreifen. Die Verordnung erwähnt diese nicht ausdrücklich. Er muss na- mentlich das Personal des Inhabers der Datensammlung beraten und ausbilden, in- dem er z.B. Richtlinien oder Weisungen erlässt. Er begutachtet alle Projekte und Massnahmen, welche den Datenschutz betreffen; daraus folgt, dass der Inhaber der Datensammlung ihn jeweils konsultieren muss, bevor eine neue Datenbearbeitung begonnen wird. Er berichtet dem Inhaber der Datensammlung regelmässig über sei- ne Aktivitäten.
Art. 12b Abs. 2 des Entwurfs verankert der Grundsatz der Unabhängigkeit des Da- tenschutzberaters (Art. 11a Abs. 5 Bst. e revDSG). Laut der Botschaft (BBl 2003 2138) darf er gegenüber denjenigen Stellen oder Organisationseinheiten, die selbst unmittelbar für die Bearbeitung von Personendaten verantwortlich sind, nicht wei- sungsgebunden oder hierarchisch untergeordnet sein.
Gemäss Bst. a unterliegt der Datenschutzberater bezüglich der fachlichen Ausübung seiner Funktion keinen Weisungen. Gemäss dieser Bestimmung soll der Inhaber der Datensammlung nicht in die Erfüllung der Aufgaben, die dem Datenschutzberater übertragen sind, eingreifen. Die Garantie der Unabhängigkeit spielt eine wesentliche Rolle: Es ist nicht auszuschliessen, dass der Datenschutzberater in Interessenkon- flikte gerät, besonders wenn er z.B. die Rechtmässigkeit der Bearbeitungen von Da- ten über die Mitarbeiter des Inhabers der Datensammlungen zu beurteilen hat und organisatorische oder technische Lösungen empfehlen muss, welche bei der Direkti- on bzw. den betroffenen Dienststellen nicht unbedingt auf Zustimmung stossen.
Der Datenschutzberater ist ausserdem mit den erforderlichen Ressourcen auszustat- ten, damit er seine Aufgaben unabhängig erfüllen kann. Dazu gehören insbesondere Personal, Infrastruktur und weitere unverzichtbare Ausstattungen (Bst. c).
Der Datenschutzberater hat im Übrigen Zugang zu allen Datensammlungen und Da- tenbearbeitungen sowie zu allen Informationen, die er zur Erfüllung seiner Aufgabe benötigt (Bst. c). Ausserdem muss er den Inhaber der Datensammlung und seine Mitarbeiter befragen können.
Es ist schliesslich darauf hinzuweisen, dass weder das Gesetz noch die Verordnung dem Datenschutzberater das Recht übertragen, den Beauftragten mit der Angele- genheit zu befassen, wenn seine Empfehlungen nicht befolgt wurden.
3. Bearbeiten von Personendaten durch Bundesorgane (2. Kapitel)
3.1 Auskunftsrecht (1. Abschnitt)
3.1.1 Auskunftsbegehren an die diplomatischen Vertretungen der Schweiz im Aus-
land (Art. 14 Abs. 2)
Die Verordnung, auf welche Art. 14 Abs. 2 Bezug nimmt, wurde aufgehoben und durch die Verordnung vom 10. Dezember 2004 über das militärische Kontrollwesen ersetzt.
3.2 Anmeldung der Datensammlungen (2. Abschnitt)
3.2.1 Ordentliche Anmeldung (Art. 16)
Die Bundesorgane haben bei der Anmeldung der von ihnen geführten Datensamm- lungen die gleichen Informationen zu liefern wie im geltenden System, mit Ausnahme von Abs. h, der aufgehoben wird. Die betreffende Information ist lediglich von gerin- gem Wert.
Art. 16 Abs. 2, zweiter Satz, kann ebenfalls gestrichen werden. Künftig werden die Bundesorgane ihre Datensammlungen elektronisch anmelden und können somit je- derzeit Aktualisierungen vornehmen.
3.2.2 Aufhebung des geltenden Art. 17 VDSG
Das geltende Recht sieht nicht nur eine ordentliche Anmeldung der Datensammlun- gen der Bundesorgane vor, sondern auch eine vereinfachte Anmeldung und Veröf- fentlichung (Art. 17 VDSG) sowie Ausnahmen von der Veröffentlichung (Art. 18 VDSG) vor. Die Revision ändert dieses System. Art. 17 betreffend die vereinfachte Anmeldung und Veröffentlichung wird aufgehoben. Es wird vorgesehen, dass die Datensammlungen, für die heute dieses vereinfachte Verfahren zur Anwendung kommt, künftig nicht mehr der Meldepflicht unterliegen (Art. 18 E-VDSG).
3.2.3 Ausnahmen von der Pflicht zur Anmeldung der Datensammlungen (Art. 18)
Die in Art. 18 Abs. 1 Bst. a bis g E-VDSG vorgesehenen Ausnahmen entsprechen den in Art. 17 Abs. 1 Bst. a bis g aufgeführten Fällen des geltenden Rechts. Abs. 2 des Revisionsentwurfs entspricht den in Art. 18 Abs. 1 Bst. b und c des geltenden Rechts vorgesehenen Ausnahmen.
Um die Transparenz der dem Beauftragten nicht gemeldeten Datensammlungen zu gewährleisten, werden die Bundesorgane gemäss Abs. 3 verpflichtet, eine entspre- chende Liste zu führen und jeder Person zugänglich zu machen, die ein entspre- chendes Gesuch stellt. Gemäss Art. 16 Abs. 1 VDSG teilen sie ausserdem jeder inte- ressierten Person die Informationen über diese Datensammlungen mit.
3.3 Bekanntgabe ins Ausland (3. Abschnitt)
3.3.1 Bekanntgabe ins Ausland (Art. 19)
Art. 5 bis 7 E-VDSG gelten für Datenbekanntgaben ins Ausland durch Bundesorga- ne, wenn diese sich auf Art. 6 Abs. 2 Bst. g stützen.
3.4 Technische und organisatorische Massnahmen (4. Abschnitt)
3.4.1 Grundsätze (Art. 20)
Die Möglichkeit, einen Datenschutzverantwortlichen zu bezeichnen (gemäss Art. 11a des revidierten DSG), steht nicht nur den Privaten, sondern auch den Bundesorga- nen offen. Deshalb muss in Art. 20 Abs. 2 E-VDSG präzisiert werden, dass die Bun- desorgane alle Projekte zur automatisierten Bearbeitung von Personendaten nicht nur dem Beauftragten, sondern auch dem Datenschutzberater melden. Dieser wird wie der Beauftragte in der Lage sein, zu überprüfen, ob die Bearbeitungsprojekte die Datenschutzauflagen erfüllen.
Die in Abs. 4 zitierte Bundesinformatikverordnung vom 26. September 2003 regelt nur die Aufgaben und Zuständigkeiten bei der Planung und dem Einsatz der Informa- tions- und Kommunikationstechnik in der Bundesverwaltung. Deshalb ist im Übrigen auf die Weisungen zu verweisen, die von den zuständigen Organen kraft der er- wähnten Verordnung erlassen wurden.
3.4.2 Datenbearbeitung im Auftrag (Art. 22)
In Anbetracht des neuen Art. 10a des revidierten DSG, der auf den privaten wie den öffentlichen Sektor anwendbar ist, erübrigt sich Art. 22 Abs. 1 VDSG.
3.4.3 Berater für den Datenschutz (Art. 23)
Wie unter Ziff. 3.4.1 dargestellt, können auch Bundesorgane gemäss Art. 11a des revidierten DSG einen Datenschutzberater bezeichnen. Dieser Punkt muss deshalb in Art. 23 Abs. 2 E-VDSG wie folgt präzisiert werden: Wollen Departemente oder die Bundeskanzlei von ihrer Pflicht zur Anmeldung befreit werden, so sind Art. 12a und 12b E-VDSG anwendbar.
Abs. 3 hält fest, dass die Behörden in der Regel über ihren Datenschutzberater mit dem Beauftragten verkehren.
3.5 Besondere Bestimmungen (5. Abschnitt)
3.5.1 Verfahren bei der Bewilligung von Pilotversuchen (Art. 26a)
Art. 17a der Revision DSG überträgt dem Bundesrat die Befugnis, vor dem Inkrafttre- ten einer formellgesetzlichen Grundlage die automatisierte Bearbeitung von beson- ders schützenswerten Personendaten und Persönlichkeitsprofilen im Rahmen von Pilotversuchen zu bewilligen, wenn bestimmte Voraussetzungen erfüllt sind. Die ers- te Bedingung ist in Art. 17a Abs. 1 DSG verankert, der vorsieht, dass der Beauftragte
konsultiert werden muss. Um diese Bestimmung in der Praxis umzusetzen, wird in der Verordnung das Verfahren näher umschrieben.
Wenn ein Bundesorgan beabsichtigt, einen Pilotversuch durchzuführen, muss es nach Art. 26a dem Beauftragten mitteilen, mit welchen Massnahmen die Einhaltung der sich aus Art. 17a DSG ergebenden Anforderungen sichergestellt werden soll. Der Beauftragte ist zu konsultieren, bevor die Ämterkonsultation bei den übrigen interes- sierten Bundesstellen durchgeführt wird.
Um dem Beauftragten die Stellungnahme zu ermöglichen muss die zuständige Be- hörde ihm eine Dokumentation im Umfang der Umschreibung in Abs. 2 vorlegen. Sie kann somit nicht bloss in allgemeiner Art und Weise festhalten, dass für eine be- stimmte Bearbeitung Art. 17a anwendbar ist, sondern muss konkret und umfassend darlegen, wie die einzelnen Bedingungen und Voraussetzungen nach Art. 17a DSG eingehalten werden. Die Informationen des zuständigen Bundesorgans müssen es dem Beauftragten ermöglichen, in Kenntnis aller Einzelheiten Stellung zu nehmen.
Nach Abs. 3 kann der Beauftragte auch weitere Dokumente anfordern und zusätzli- che Abklärungen treffen.
Im Rahmen seiner Stellungnahme untersucht der Beauftragte, ob die Voraussetzun- gen nach Art. 17a eingehalten werden (Abs. 2). Eine bloss summarische Stellung- nahme erfüllt die Anforderungen indessen nicht. Er muss ausdrücklich zu jeder in Art. 17a verankerten Voraussetzung Stellung nehmen und auf die Darlegungen der zu- ständigen Bundesbehörde Bezug nehmen. Seine Stellungnahme muss es der zu- ständigen Behörde ermöglichen, falls nötig das Projekt anzupassen, bevor sie es in der Ämterkonsultation den übrigen interessierten Bundesstellen vorlegt.
Wenn das zuständige Bundesorgan – insbesondere im Anschluss an die Ämterkon- sultation – an der Konzeption des Pilotversuchs wesentliche Änderungen vornimmt, welche die Einhaltung der Voraussetzungen nach Art. 17a betreffen, so informiert es den Beauftragten darüber. Dieser nimmt, falls erforderlich, erneut Stellung (Abs. 4). Diese Regelung ist erforderlich, weil die Stellungnahme des Beauftragten dem An- trag an den Bundesrat beigefügt wird. Sie muss sich daher auch auf das dem Bun- desrat vorgelegte Projekt beziehen und nicht auf eine Fassung, die zwischenzeitlich geändert wurde.
Die zuständige Bundesstelle übermittelt den finalisierten Entwurf mit dem entspre- chenden Antrag an den Bundesrat dem jeweiligen Departement, einschliesslich der Stellungnahme des Beauftragten (Abs. 5). Es genügt also nicht, lediglich im Antrag auszuführen, der Beauftragte sei mit dem Projekt einverstanden.
Abs. 6 trifft eine Verfahrensregelung zu Art. 17a Abs. 4 DSG, der verlangt, dass das zuständige Bundesorgan dem Bundesrat spätestens innert zwei Jahren nach Inbe- triebnahme des Pilotsystems einen Evaluationsbericht vorlegt und darin namentlich die Fortführung oder die Einstellung der Bearbeitung vorschlägt. Nachdem bei der Bewilligung des Pilotversuchs durch den Bundesrat die Stellungnahme des Beauf- tragten zwingend vorliegen muss, ist seine Beurteilung dem Bundesrat konsequen- terweise auch bei dieser Etappe des Verfahrens zur Kenntnis zu bringen.
Schliesslich ist darauf hinzuweisen, dass der Bundesrat die Regelung der Modalitä- ten der automatisierten Bearbeitung in einer Verordnung (Art. 17a Abs. 3 revDSG) entweder gleichzeitig mit der Bewilligung des entsprechenden Pilotversuchs oder
auch erst in einem zweiten Schritt vornehmen kann. Im Übrigen ist in der Verordnung ausdrücklich die Beschränkung der Geltungsdauer auf 5 Jahre (Art. 17a Abs. 5 DSG) vorzusehen.
3.5.2 Aufhebung von Art. 27 VDSG
In Anbetracht des neuen Art. 21 DSG kann Art. 27 VDSG aufgehoben werden.
4. Register der Datensammlungen, Eidgenössischer Datenschutz- und Öf-
fentlichkeitsbeauftragter und Verfahren vor dem Bundesverwaltungsge- richt (3. Kapitel)
4.1.1 Register der Datensammlungen (Art. 28)
Laut Art. 11a Abs. 1 des revidierten DSG führt der eidgenössische Datenschutzbe- auftragte ein Register der Datensammlungen, das über Internet zugänglich ist. Ge- mäss Abs. 6 regelt der Bundesrat die Führung und die Veröffentlichung des Regis- ters sowie die Veröffentlichung eines Verzeichnisses der Inhaber der Datensamm- lungen, welche nach Art. 11a Abs. 5 Buchstabe e und f des revidierten DSG der Meldepflicht enthoben sind.
Art. 28 Abs. 2 E-VDSG sieht entsprechend vor, dass das Register online zugänglich ist und dass der Beauftragte auf Gesuch hin kostenlos Auszüge erstellt. Die Führung der erwähnten Liste ist in Abs. 3 vorgesehen.
Nachdem der Inhaber der Datensammlungen dem Beauftragten die in Art. 3 und 16 E-VDSG aufgeführten Informationen geliefert hat, überprüft der Beauftragte, ob die Meldung vollständig und vorschriftsmässig erfolgt ist. Falls ja, registriert er die Daten- sammlung und macht die Informationen zugänglich. Falls nein, setzt er dem Inhaber der Datensammlung eine Frist, um seinen Verpflichtungen nachzukommen. Nach Ablauf der Frist kann der Beauftragte gestützt auf die Angaben, die ihm zur Verfü- gung stehen, die Datensammlung von Amtes wegen registrieren oder die Einstel- lung der Bearbeitung empfehlen (Abs. 3). Diese Bestimmung entspricht im Wesentli- chen Art. 29 Abs. 3 VDSG.
4.1.2 Aufhebung von Art. 29 VDSG
Art. 29 der geltenden Verordnung kann in Anbetracht des neuen Wortlauts von Art.
28 E-VDSG gestrichen werden.
4.2 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
(2. Abschnitt)
4.2.1 Sitz, Rechtsstellung und Budget (Art. 30)
Die Stellung des Bundespersonals wird durch das Bundespersonalgesetz vom 24. März 2000 geregelt. Abs. 2 ist entsprechend anzupassen.
Abs. 3 konkretisiert die in Art. 26 Abs. 3 DSG festgehaltene Bestimmung, dass der Beauftragte über ein eigenes Budget verfügt. Die vorliegende Bestimmung macht deutlich, dass das Budget des EDÖB im Rahmen des Budgets der Bundeskanzlei
separat aufzuführen ist. Dies dient der Transparenz bezüglich der ihm zur Verfügung stehenden Ressourcen im Budgetierungsprozess.
4.2.2 Beziehungen zu anderen Behörden (Art. 31)
Die vorliegende Bestimmung wird an die geänderte organisatorische Zuordnung des Beauftragten angepasst.
4.2.3 Dokumentation (Art. 32)
Aus terminologischen Gründen wird der Begriff «Bundesämter» in Abs. 1 durch «Bundesorgane» ersetzt.
Das aktuelle Informationssystem des Beauftragten ermöglicht nicht nur die Verwal- tung der Dokumentation, die Registrierung der Dossiers und des Registers der Da- tensammlungen, sondern auch die Indexierung und Kontrolle der Korrespondenz und der Dossiers sowie die Publikation von Informationen von allgemeinem Interesse. Abs. 2 muss deshalb entsprechend angepasst werden.
4.2.4 Gebühren (Art. 33)
In Abs. 1 wird auf die Allgemeine Gebührenverordnung vom 8.9.04 verwiesen (SR 172.041.1). Diese Verordnung regelt die Gebühren, die der Beauftragte für seine Gutachtertätigkeit erhebt, vorbehältlich der Sonderbestimmung gemäss Abs. 2.