Lexipedia

AS 2007 4983

Bundesgesetz über den Datenschutz

Bundesgesetz über den Datenschutz (DSG)

Änderung vom 24. März 2006

Die Bundesversammlung der Schweizerischen Eidgenossenschaft, nach Einsicht in die Botschaft des Bundesrates vom 19. Februar 20031, beschliesst:

I Das Bundesgesetz vom 19. Juni 19922 über den Datenschutz wird wie folgt geän- dert:

Art. 3 Bst. i, j und k Die folgenden Ausdrücke bedeuten: i. Inhaber der Datensammlung: private Personen oder Bundesorgane, die über den Zweck und den Inhalt der Datensammlung entscheiden; j. Gesetz im formellen Sinn:

1. Bundesgesetze,

2. für die Schweiz verbindliche Beschlüsse internationaler Organisationen

und von der Bundesversammlung genehmigte völkerrechtliche Verträge mit rechtsetzendem Inhalt. k. Aufgehoben

Art. 4 Abs. 1, 4 und 5

1 Personendaten dürfen nur rechtmässig bearbeitet werden.

4 Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbei-

tung müssen für die betroffene Person erkennbar sein. 5 Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrück- lich erfolgen.

2002-2754 4983

Datenschutz. BG AS 2007

Art. 5 Abs. 1

1 Erster Satz betrifft nur den französischen Text

… Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbei- tung unrichtig oder unvollständig sind.

Art. 6 Grenzüberschreitende Bekanntgabe

1 Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch

die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewähr- leistet. 2 Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, so können Personendaten ins Ausland nur bekannt gegeben werden, wenn: a. hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten; b. die betroffene Person im Einzelfall eingewilligt hat; c. die Bearbeitung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht und es sich um Personendaten des Ver- tragspartners handelt; d. die Bekanntgabe im Einzelfall entweder für die Wahrung eines überwiegen- den öffentlichen Interesses oder für die Feststellung, Ausübung oder Durch- setzung von Rechtsansprüchen vor Gericht unerlässlich ist; e. die Bekanntgabe im Einzelfall erforderlich ist, um das Leben oder die kör- perliche Integrität der betroffenen Person zu schützen; f. die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat; g. die Bekanntgabe innerhalb derselben juristischen Person oder Gesellschaft oder zwischen juristischen Personen oder Gesellschaften, die einer einheit- lichen Leitung unterstehen, stattfindet, sofern die Beteiligten Datenschutz- regeln unterstehen, welche einen angemessenen Schutz gewährleisten.

3 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Beauftragte,

Art. 26) muss über die Garantien nach Absatz 2 Buchstabe a und die Datenschutzre- geln nach Absatz 2 Buchstabe g informiert werden. Der Bundesrat regelt die Einzel- heiten dieser Informationspflicht.

4984

Datenschutz. BG AS 2007

Art. 7a Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen

1 Der Inhaber der Datensammlung ist verpflichtet, die betroffene Person über die

Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeits- profilen zu informieren; diese Informationspflicht gilt auch dann, wenn die Daten bei Dritten beschafft werden.

2 Der betroffenen Person sind mindestens mitzuteilen:

a. der Inhaber der Datensammlung; b. der Zweck des Bearbeitens; c. die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorgese- hen ist. 3 Wenn Daten nicht bei der betroffenen Person beschafft werden, hat deren Informa- tion spätestens bei Beginn der Speicherung der Daten oder, wenn auf die Speiche- rung verzichtet wird, mit der ersten Bekanntgabe an Dritte zu erfolgen. 4 Die Informationspflicht des Inhabers der Datensammlung entfällt, wenn die betrof- fene Person bereits informiert wurde oder, in Fällen nach Absatz 3, wenn: a. die Speicherung oder die Bekanntgabe der Daten ausdrücklich durch das Gesetz vorgesehen ist; oder b. die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist.

Art. 8 Abs. 2, Einleitungssatz und Bst. a

2 Der Inhaber der Datensammlung muss der betroffenen Person mitteilen:

a. alle über sie in der Datensammlung vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten;

Art. 9 Sachüberschrift und Abs. 1–3 Einschränkung der Informationspflicht und des Auskunftsrechts

1 Der Inhaber der Datensammlung kann die Information nach Artikel 7a oder die

Auskunft nach Artikel 8 verweigern, einschränken oder aufschieben, soweit: a. ein Gesetz im formellen Sinn dies vorsieht; b. es wegen überwiegender Interessen Dritter erforderlich ist.

2 Ein Bundesorgan kann zudem die Information oder die Auskunft verweigern,

einschränken oder aufschieben, soweit: a. es wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft, erforderlich ist; b. die Information oder die Auskunft den Zweck einer Strafuntersuchung oder eines andern Untersuchungsverfahrens in Frage stellt.

4985

Datenschutz. BG AS 2007

3 Der private Inhaber einer Datensammlung kann zudem die Information oder die

Auskunft verweigern, einschränken oder aufschieben, soweit eigene überwiegende Interessen es erfordern und er die Personendaten nicht Dritten bekannt gibt.

Art. 10a Datenbearbeitung durch Dritte

1 Das Bearbeiten von Personendaten kann durch Vereinbarung oder Gesetz Dritten

übertragen werden, wenn: a. die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte; und b. keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. 2 Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Daten- sicherheit gewährleistet.

3 Dritte können dieselben Rechtfertigungsgründe geltend machen wie der Auftrag-

geber.

Art. 11 Zertifizierungsverfahren 1 Um den Datenschutz und die Datensicherheit zu verbessern, können die Hersteller von Datenbearbeitungssystemen oder -programmen sowie private Personen oder Bundesorgane, die Personendaten bearbeiten, ihre Systeme, Verfahren und ihre Organisation einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen. 2 Der Bundesrat erlässt Vorschriften über die Anerkennung von Zertifizierungsver- fahren und die Einführung eines Datenschutz-Qualitätszeichens. Er berücksichtigt dabei das internationale Recht und die international anerkannten technischen Nor- men.

Art. 11a Register der Datensammlungen

1 Der Beauftragte führt ein Register der Datensammlungen, das über Internet

zugänglich ist. Jede Person kann das Register einsehen.

2 Bundesorgane müssen sämtliche Datensammlungen beim Beauftragten zur Regis-

trierung anmelden.

3 Private Personen müssen Datensammlungen anmelden, wenn:

a. regelmässig besonders schützenswerte Personendaten oder Persönlichkeits- profile bearbeitet werden; oder b. regelmässig Personendaten an Dritte bekannt gegeben werden.

4 Die Datensammlungen müssen angemeldet werden, bevor sie eröffnet werden.

5 Entgegen den Bestimmungen der Absätze 2 und 3 muss der Inhaber von Daten-

sammlungen seine Sammlungen nicht anmelden, wenn: a. private Personen Daten aufgrund einer gesetzlichen Verpflichtung bearbei- ten;

4986

Datenschutz. BG AS 2007

b. der Bundesrat eine Bearbeitung von der Anmeldepflicht ausgenommen hat, weil sie die Rechte der betroffenen Personen nicht gefährdet; c. er die Daten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums verwendet und keine Daten an Dritte weitergibt, ohne dass die betroffenen Personen davon Kenntnis haben; d. die Daten durch Journalisten bearbeitet werden, denen die Datensammlung ausschliesslich als persönliches Arbeitsinstrument dient; e. er einen Datenschutzverantwortlichen bezeichnet hat, der unabhängig die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht und ein Verzeichnis der Datensammlungen führt; f. er aufgrund eines Zertifizierungsverfahrens nach Artikel 11 ein Datenschutz- Qualitätszeichen erworben hat und das Ergebnis der Bewertung dem Beauf- tragten mitgeteilt wurde.

6 Der Bundesrat regelt die Modalitäten der Anmeldung der Datensammlungen, der

Führung und der Veröffentlichung des Registers sowie die Stellung und die Auf- gaben der Datenschutzverantwortlichen nach Absatz 5 Buchstabe e und die Ver- öffentlichung eines Verzeichnisses der Inhaber der Datensammlungen, welche nach Absatz 5 Buchstaben e und f der Meldepflicht enthoben sind.

Art. 12 Abs. 2

2 Er darf insbesondere nicht:

a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten; b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten; c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekanntgeben.

Art. 14 Aufgehoben

Art. 15 Abs. 1 und 3

1 Für Klagen und vorsorgliche Massnahmen zum Schutz der Persönlichkeit gelten

die Artikel 28 bis 28l des Zivilgesetzbuches3. Der Kläger kann insbesondere verlan- gen, dass die Datenbearbeitung, namentlich die Bekanntgabe an Dritte, gesperrt wird oder die Personendaten berichtigt oder vernichtet werden.

3 Der Kläger kann verlangen, dass die Berichtigung, die Vernichtung, die Sperre,

namentlich die Sperre der Bekanntgabe an Dritte, der Vermerk über die Bestreitung oder das Urteil Dritten mitgeteilt oder veröffentlicht wird.

3 SR 210

4987

Datenschutz. BG AS 2007

Art. 16 Verantwortliches Organ und Kontrolle Abs. 1 Betrifft nur den italienischen Text

2 Bearbeiten Bundesorgane Personendaten zusammen mit anderen Bundesorganen,

mit kantonalen Organen oder mit Privaten, so kann der Bundesrat die Kontrolle und Verantwortung für den Datenschutz besonders regeln.

Art. 17 Abs. 2

2 Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen sie

nur bearbeiten, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht oder wenn ausnahmsweise: a. es für eine in einem Gesetz im formellen Sinn klar umschriebene Aufgabe unentbehrlich ist; b. der Bundesrat es im Einzelfall bewilligt, weil die Rechte der betroffenen Person nicht gefährdet sind; oder c. die betroffene Person im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.

Art. 17a Automatisierte Datenbearbeitung im Rahmen von Pilotversuchen

1 Der Bundesrat kann, nachdem er die Stellungnahme des Beauftragten eingeholt

hat, vor Inkrafttreten eines Gesetzes im formellen Sinn die automatisierte Bearbei- tung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen bewilligen, wenn: a. die Aufgaben, die diese Bearbeitung erforderlich machen, in einem Gesetz im formellen Sinn geregelt sind; b. ausreichende Massnahmen zur Verhinderung von Persönlichkeitsverletzun- gen getroffen werden; c. die praktische Umsetzung einer Datenbearbeitung eine Testphase vor dem Inkrafttreten des Gesetzes im formellen Sinn zwingend erfordert.

2 Diepraktische Umsetzung einer Datenbearbeitung kann eine Testphase dann

zwingend erfordern, wenn: a. die Erfüllung einer Aufgabe technische Neuerungen erfordert, deren Aus- wirkungen zunächst evaluiert werden müssen; b. die Erfüllung einer Aufgabe bedeutende organisatorische oder technische Massnahmen erfordert, deren Wirksamkeit zunächst geprüft werden muss, insbesondere bei der Zusammenarbeit zwischen Organen des Bundes und der Kantone; oder c. sie die Übermittlung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen an kantonale Behörden mittels eines Abrufverfah- rens erfordert.

3 Der Bundesrat regelt die Modalitäten der automatisierten Datenbearbeitung in

einer Verordnung.

4988

Datenschutz. BG AS 2007

4 Das zuständige Bundesorgan legt dem Bundesrat spätestens innert zwei Jahren

nach Inbetriebnahme des Pilotsystems einen Evaluationsbericht vor. Es schlägt darin die Fortführung oder die Einstellung der Bearbeitung vor.

5 Die automatisierte Datenbearbeitung muss in jedem Fall abgebrochen werden,

wenn innert fünf Jahren nach der Inbetriebnahme des Pilotsystems kein Gesetz im formellen Sinn in Kraft getreten ist, welches die erforderlichen Rechtsgrundlage umfasst.

Art. 18 Abs. 2 Aufgehoben

Art. 19 Abs. 1 Bst. b und c sowie Abs. 3 zweiter Satz

1 Bundesorgane dürfen Personendaten nur bekannt geben, wenn dafür eine Rechts-

grundlage im Sinne von Artikel 17 besteht oder wenn: b. die betroffene Person im Einzelfall eingewilligt hat; c. die betroffene Person ihre Daten allgemein zugänglich gemacht und eine Bekanntgabe nicht ausdrücklich untersagt hat; oder

3 … Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen

nur durch ein Abrufverfahren zugänglich gemacht werden, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht.

Art. 21 Angebot von Unterlagen an das Bundesarchiv

1 In Übereinstimmung mit dem Archivierungsgesetz vom 26. Juni 19984 bieten die

Bundesorgane dem Bundesarchiv alle Personendaten an, die sie nicht mehr ständig benötigen.

2 Die Bundesorgane vernichten die vom Bundesarchiv als nicht archivwürdig

bezeichneten Personendaten, ausser wenn diese: a. anonymisiert sind; b. zu Beweis- oder Sicherheitszwecken aufbewahrt werden müssen.

Art. 26 Abs. 2 und 3

2 Er erfüllt seine Aufgaben unabhängig und ist der Bundeskanzlei administrativ

zugeordnet.

3 Er verfügt über ein ständiges Sekretariat und ein eigenes Budget.

4 SR 152.1

4989

Datenschutz. BG AS 2007

Art. 27 Abs. 5 zweiter Satz und 6

5 … Der Entscheid wird den betroffenen Personen in Form einer Verfügung mitge-

teilt. 6 Der Beauftragte ist berechtigt, gegen die Verfügung nach Absatz 5 und gegen den Entscheid der Beschwerdebehörde Beschwerde zu führen.

Art. 29 Abs. 1 Bst. b und c sowie Abs. 4 1 Der Beauftragte klärt von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn: b. Datensammlungen registriert werden müssen (Art. 11a); c. eine Informationspflicht nach Artikel 6 Absatz 3 besteht.

4 Wird eine solche Empfehlung des Beauftragten nicht befolgt oder abgelehnt, so

kann er die Angelegenheit der Eidgenössischen Datenschutzkommission5 zum Entscheid vorlegen. Er ist berechtigt, gegen diesen Entscheid Beschwerde zu führen.

Art. 31 Abs. 1 Bst. d–g

1 Der Beauftragte hat insbesondere folgende weiteren Aufgaben:

d. Er begutachtet, inwieweit die Datenschutzgesetzgebung im Ausland einen angemessenen Schutz gewährleistet. e. Er prüft die ihm nach Artikel 6 Absatz 3 gemeldeten Garantien und Daten- schutzregeln. f. Er prüft die Zertifizierungsverfahren nach Artikel 11 und kann dazu Emp- fehlungen nach Artikel 27 Absatz 4 oder 29 Absatz 3 abgeben. g. Er nimmt die ihm durch das Öffentlichkeitsgesetz vom 17. Dezember 20046 übertragenen Aufgaben wahr.

Art. 34 Abs. 1 sowie Abs. 2 Bst. a

1 Mit Haft oder Busse werden private Personen auf Antrag bestraft:

a. die ihre Pflichten nach den Artikeln 7a und 8–10 verletzen, indem sie vor- sätzlich eine falsche oder eine unvollständige Auskunft erteilen; b. die es vorsätzlich unterlassen:

1. die betroffene Person nach Artikel 7a Absatz 1 zu informieren, oder

2. ihr die Angaben nach Artikel 7a Absatz 2 Buchstaben a–c zu liefern.

2 Mit Haft oder Busse werden private Personen bestraft, die vorsätzlich:

a. die Information nach Artikel 6 Absatz 3 oder die Meldung nach Artikel 11a unterlassen oder dabei vorsätzlich falsche Angaben machen;

5 Mit Inkrafttreten des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 (SR 173.32; BBl 2005 4093): «dem Bundesverwaltungsgericht». 6 SR 152.3

4990

Datenschutz. BG AS 2007

Art. 37 Abs. 1

1 Soweit keine kantonalen Datenschutzvorschriften bestehen, die einen angemesse-

nen Schutz gewährleisten, gelten für das Bearbeiten von Personendaten durch kan- tonale Organe beim Vollzug von Bundesrecht die Artikel 1–11a, 16, 17, 18–22 und

25 Absätze 1–3 dieses Gesetzes.

II

Übergangsbestimmung Innert einem Jahr nach Inkrafttreten dieses Gesetzes haben die Inhaber der Daten- sammlungen die notwendigen Massnahmen zur Information der betroffenen Perso- nen nach Artikel 4 Absatz 4 und Artikel 7a zu ergreifen.

III

1 Dieses Gesetz untersteht dem fakultativen Referendum.

2 Der Bundesrat bestimmt das Inkrafttreten.

Nationalrat, 24. März 2006 Ständerat, 24. März 2006 Der Präsident: Claude Janiak Der Präsident: Rolf Büttiker Der Protokollführer: Ueli Anliker Der Sekretär: Christoph Lanz

Ablauf der Referendumsfrist und Inkraftsetzung 1 Die Referendumsfrist für dieses Gesetz ist am 13. Juli 2006 unbenützt abgelaufen.7

2 Es wird, mit Ausnahme von Artikel 17a, auf den 1. Januar 2008 in Kraft gesetzt.

3 Artikel 17a ist am 15. Dezember 2006 in Kraft getreten.

28. September 2007 Im Namen des Schweizerischen Bundesrates Die Bundespräsidentin: Micheline Calmy-Rey Die Bundeskanzlerin: Annemarie Huber-Hotz

7 BBl 2006 3547

4991

Datenschutz. BG AS 2007

4992