Bundesgesetz
über den Datenschutz im Rahmen der Anwendung
des Schengen-Besitzstands in Strafsachen
(Schengen-Datenschutzgesetz, SDSG)

¹ Die­ses Ge­setz re­gelt die Be­ar­bei­tung von Per­so­nen­da­ten durch Bun­des­or­ga­ne zum Zweck der Ver­hü­tung, Auf­klä­rung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­stre­ckung, ein­sch­liess­lich des Schut­zes vor und der Ab­wehr von Ge­fah­ren für die öf­fent­li­che Si­cher­heit:

a.

im Rah­men der An­wen­dung des Schen­gen-Be­sitz­stands;

b.

im Rah­men der An­wen­dung in­ter­na­tio­na­ler Ver­trä­ge, die mit der Eu­ro­päi­schen Uni­on oder mit Staa­ten, die mit der Schweiz über ei­nes der Schen­gen- As­so­zi­ie­rungs­ab­kom­men ver­bun­den sind (Schen­gen-Staa­ten), ab­ge­schlos­sen wor­den sind und die be­züg­lich des Da­ten­schut­zes auf die Richt­li­nie (EU) 2016/680 ver­wei­sen.

² Die Schen­gen-As­so­zi­ie­rungs­ab­kom­men sind im An­hang auf­ge­führt.

¹ Die­ses Ge­setz gilt nicht für die Rech­te der be­trof­fe­nen Per­so­nen in hän­gi­gen Ver­fah­ren vor den eid­ge­nös­si­schen Ge­rich­ten und in hän­gi­gen Ver­fah­ren nach der Straf­pro­zess­ord­nung⁴ oder nach dem Rechts­hil­fe­ge­setz vom 20. März 1981⁵; die­se wer­den durch das an­wend­ba­re Ver­fah­rens­recht ge­re­gelt.

² So­weit in die­sem Ge­setz kei­ne be­son­de­ren Vor­schrif­ten be­ste­hen, ist das Bun­des­ge­setz vom 19. Ju­ni 1992⁶ über den Da­ten­schutz (DSG) an­wend­bar; die An­wend­bar­keit an­de­rer Bun­des­ge­set­ze bleibt vor­be­hal­ten.

¹ In die­sem Ge­setz be­deu­ten:

a.

be­son­ders schüt­zens­wer­te Per­so­nen­da­ten:

1.

Da­ten über die re­li­gi­ösen, welt­an­schau­li­chen und po­li­ti­schen An­sich­ten oder Tä­tig­kei­ten,

2.

Da­ten über die Ge­sund­heit, die In­tim­sphä­re oder die Zu­ge­hö­rig­keit zu ei­ner Ras­se oder Eth­nie,

3.

ge­ne­ti­sche Da­ten,

4.

bio­me­tri­sche Da­ten, die ei­ne na­tür­li­che Per­son ein­deu­tig iden­ti­fi­zie­ren,

5.

Da­ten über Mass­nah­men der so­zia­len Hil­fe,

6.

Da­ten über ad­mi­nis­tra­ti­ve oder straf­recht­li­che Ver­fol­gun­gen und Sank­tio­nen;

b.

Pro­fi­ling: je­de Art der au­to­ma­ti­sier­ten Be­ar­bei­tung von Per­so­nen­da­ten, die dar­in be­steht, dass die­se Da­ten ver­wen­det wer­den, um be­stimm­te per­sön­li­che Aspek­te, die sich auf ei­ne na­tür­li­che Per­son be­zie­hen, zu be­wer­ten, ins­be­son­de­re um Aspek­te be­züg­lich Ar­beits­leis­tung, wirt­schaft­li­cher La­ge, Ge­sund­heit, per­sön­li­cher Vor­lie­ben, In­ter­es­sen, Zu­ver­läs­sig­keit, Ver­hal­ten, Auf­ent­halts­ort oder Orts­wech­sel die­ser na­tür­li­chen Per­son zu ana­ly­sie­ren oder vor­her­zu­sa­gen;

c.

Ver­let­zung der Da­ten­si­cher­heit: je­de Ver­let­zung der Si­cher­heit, die un­ge­ach­tet der Ab­sicht oder der Wi­der­recht­lich­keit da­zu führt, dass Per­so­nen­da­ten ver­lo­ren ge­hen, ge­löscht, ver­nich­tet oder ver­än­dert wer­den oder Un­be­fug­ten of­fen­ge­legt oder zu­gäng­lich ge­macht wer­den;

d.

au­to­ma­ti­sier­te Ein­zel­ent­schei­dung: je­de Ent­schei­dung, die aus­sch­liess­lich auf ei­ner au­to­ma­ti­sier­ten Be­ar­bei­tung, ein­sch­liess­lich Pro­fi­ling, be­ruht und die für die be­trof­fe­ne Per­son mit ei­ner Rechts­fol­ge ver­bun­den ist oder sie er­heb­lich be­ein­träch­tigt;

e.

Auf­trags­be­ar­bei­ter: pri­va­te Per­son oder Bun­des­or­gan, die oder das im Auf­trag des ver­ant­wort­li­chen Bun­des­or­gans Per­so­nen­da­ten be­ar­bei­tet.

² Im Üb­ri­gen fin­den die Be­grif­fe nach Ar­ti­kel 3 DSG⁷ An­wen­dung.

¹ Per­so­nen­da­ten müs­sen recht­mäs­sig be­ar­bei­tet wer­den.

² Die Be­ar­bei­tung muss nach Treu und Glau­ben er­fol­gen und ver­hält­nis­mäs­sig sein.

³ Per­so­nen­da­ten dür­fen nur zu ei­nem be­stimm­ten und für die be­trof­fe­ne Per­son er­kenn­ba­ren Zweck be­schafft wer­den; sie dür­fen nur so be­ar­bei­tet wer­den, dass es mit die­sem Zweck ver­ein­bar ist.

⁴ Sie wer­den ver­nich­tet oder an­ony­mi­siert, so­bald sie zum Zweck der Be­ar­bei­tung nicht mehr er­for­der­lich sind.

⁵ Wer Per­so­nen­da­ten be­ar­bei­tet, muss sich über de­ren Rich­tig­keit ver­ge­wis­sern. Sie oder er muss al­le an­ge­mes­se­nen Mass­nah­men tref­fen, da­mit die Da­ten be­rich­tigt, ge­löscht oder ver­nich­tet wer­den, die im Hin­blick auf den Zweck ih­rer Be­schaf­fung oder Be­ar­bei­tung un­rich­tig oder un­voll­stän­dig sind.

¹ Die Bun­des­or­ga­ne sind ver­pflich­tet, die Da­ten­be­ar­bei­tung ab der Pla­nung tech­nisch und or­ga­ni­sa­to­risch so aus­zu­ge­stal­ten, dass die Da­ten­schutz­vor­schrif­ten ein­ge­hal­ten wer­den, ins­be­son­de­re die Grund­sät­ze nach Ar­ti­kel 4.

² Die tech­ni­schen und or­ga­ni­sa­to­ri­schen Mass­nah­men müs­sen ins­be­son­de­re dem Stand der Tech­nik, der Art und dem Um­fang der Da­ten­be­ar­bei­tung so­wie den Ri­si­ken, wel­che die Be­ar­bei­tung für die Grund­rech­te der be­trof­fe­nen Per­so­nen mit sich bringt, an­ge­mes­sen sein.

³ Die Bun­des­or­ga­ne sind ver­pflich­tet, mit­tels ge­eig­ne­ter Vor­ein­stel­lun­gen si­cher­zu­stel­len, dass die Be­ar­bei­tung der Per­so­nen­da­ten auf das für den Ver­wen­dungs­zweck nö­ti­ge Min­dest­mass be­schränkt ist.

¹ Die Bun­des­or­ga­ne dür­fen Per­so­nen­da­ten nur be­ar­bei­ten, wenn da­für ei­ne ge­setz­li­che Grund­la­ge be­steht.

² Ei­ne Grund­la­ge in ei­nem Ge­setz im for­mel­len Sinn ist in fol­gen­den Fäl­len er­for­der­lich:

a.

Es han­delt sich um die Be­ar­bei­tung von be­son­ders schüt­zens­wer­ten Per­so­nen­da­ten.

b.

Es han­delt sich um die Be­ar­bei­tung von Per­sön­lich­keitspro­fi­len.

c.

Es han­delt sich um ein Pro­fi­ling.

d.

Die Art und Wei­se der Da­ten­be­ar­bei­tung kann zu ei­nem schwer­wie­gen­den Ein­griff in die Grund­rech­te der be­trof­fe­nen Per­son füh­ren.

³ In Ab­wei­chung von den Ab­sät­zen 1 und 2 kön­nen die Bun­des­or­ga­ne Per­so­nen­da­ten be­ar­bei­ten, wenn ei­ne der fol­gen­den Vor­aus­set­zun­gen er­füllt ist:

a.

Die Be­ar­bei­tung ist not­wen­dig, um das Le­ben oder die kör­per­li­che Un­ver-sehrt­heit der be­trof­fe­nen Per­son oder ei­nes Drit­ten zu schüt­zen.

b.

Die be­trof­fe­ne Per­son hat ih­re Per­so­nen­da­ten all­ge­mein zu­gäng­lich ge­macht und ei­ne Be­ar­bei­tung nicht aus­drück­lich un­ter­sagt.

¹ Die Bun­des­or­ga­ne dür­fen Per­so­nen­da­ten nur be­kannt­ge­ben, wenn da­für ei­ne ge­setz­li­che Grund­la­ge im Sin­ne von Ar­ti­kel 6 Ab­sät­ze 1 und 2 be­steht.

² Sie dür­fen Per­so­nen­da­ten in Ab­wei­chung von Ab­satz 1 im Ein­zel­fall be­kannt­ge­ben, wenn ei­ne der fol­gen­den Vor­aus­set­zun­gen er­füllt ist:

a.

Die Be­kannt­ga­be der Per­so­nen­da­ten ist für das ver­ant­wort­li­che Bun­des­or­gan oder für die Emp­fän­ge­rin oder den Emp­fän­ger zur Er­fül­lung ei­ner ge­setz­li­chen Auf­ga­be un­ent­behr­lich.

b.

Die Be­kannt­ga­be der Per­so­nen­da­ten ist not­wen­dig, um das Le­ben oder die kör­per­li­che Un­ver­sehrt­heit der be­trof­fe­nen Per­son oder ei­nes Drit­ten zu schüt­zen.

c.

Die be­trof­fe­ne Per­son hat ih­re Per­so­nen­da­ten all­ge­mein zu­gäng­lich ge­macht und ei­ne Be­kannt­ga­be nicht aus­drück­lich un­ter­sagt.

³ Im Üb­ri­gen ist Ar­ti­kel 19 Ab­sät­ze 1^bis–4 DSG⁸ an­wend­bar.

¹ Für die Be­kannt­ga­be von Per­so­nen­da­ten an die zu­stän­di­gen Be­hör­den von Schen­gen-Staa­ten dür­fen nicht stren­ge­re Da­ten­schutz­re­geln gel­ten als für die Be­kannt­ga­be von Per­so­nen­da­ten an schwei­ze­ri­sche Straf­be­hör­den.

² Die Be­kannt­ga­be von Per­so­nen­da­ten an einen Dritt­staat oder an ein in­ter­na­tio­na­les Or­gan wird durch die Spe­zi­al­be­stim­mun­gen des an­wend­ba­ren Bun­des­rechts ge­re­gelt.

¹ Für den Da­ten­schutz ist das Bun­des­or­gan ver­ant­wort­lich, das die Per­so­nen­da­ten in Er­fül­lung sei­ner Auf­ga­ben be­ar­bei­tet oder be­ar­bei­ten lässt.

² Be­ar­bei­tet das Bun­des­or­gan Per­so­nen­da­ten zu­sam­men mit an­de­ren Bun­des­or­ga­nen, mit kan­to­na­len Or­ga­nen oder mit Pri­va­ten, so re­gelt der Bun­des­rat das Kon­troll­ver­fah­ren und die Ver­ant­wor­tung für den Da­ten­schutz.

¹ Die Be­ar­bei­tung von Per­so­nen­da­ten kann ei­nem Auf­trags­be­ar­bei­ter über­tra­gen wer­den, wenn die Vor­aus­set­zun­gen nach Ar­ti­kel 10aDSG⁹ er­füllt sind.

² Der Auf­trags­be­ar­bei­ter darf die Be­ar­bei­tung nur mit vor­gän­gi­ger schrift­li­cher Ge­neh­mi­gung des Bun­des­or­gans ei­nem Drit­ten über­tra­gen.

¹ Das Bun­des­or­gan in­for­miert die be­trof­fe­ne Per­son über ei­ne ihr ge­gen­über er­gang­ene au­to­ma­ti­sier­te Ein­zel­ent­schei­dung (Art. 3 Abs. 1 Bst. d); es kenn­zeich­net die Ent­schei­dung ent­spre­chend.

² Es gibt der be­trof­fe­nen Per­son auf An­trag die Mög­lich­keit, ih­ren Stand­punkt dar­zu­le­gen. Die be­trof­fe­ne Per­son kann ver­lan­gen, dass ihr das an­ge­wand­te Ver­fah­ren mit­ge­teilt und die Ent­schei­dung von ei­ner na­tür­li­chen Per­son über­prüft wird.

³ Ab­satz 2 gilt nicht, wenn der be­trof­fe­nen Per­son ge­gen die Ent­schei­dung ein Rechts­mit­tel zur Ver­fü­gung steht.

¹ Die Bun­des­or­ga­ne und Auf­trags­be­ar­bei­ter füh­ren ein Ver­zeich­nis ih­rer Be­ar­bei­tungs­tä­tig­kei­ten.

² Die Ver­zeich­nis­se der Bun­des­or­ga­ne ent­hal­ten min­des­tens:

a.

den Na­men des Bun­des­or­gans;

b.

den Be­ar­bei­tungs­zweck;

c.

ei­ne Be­schrei­bung der Ka­te­go­ri­en be­trof­fe­ner Per­so­nen und der Ka­te­go­ri­en be­ar­bei­te­ter Per­so­nen­da­ten;

d.

die Ka­te­go­ri­en der Emp­fän­ge­rin­nen und Emp­fän­ger;

e.

die Auf­be­wah­rungs­dau­er der Per­so­nen­da­ten oder, wenn dies nicht mög­lich ist, die Kri­te­ri­en zur Fest­le­gung die­ser Dau­er;

f.

wenn mög­lich ei­ne all­ge­mei­ne Be­schrei­bung der Mass­nah­men zur Ge­währ­leis­tung der Da­ten­si­cher­heit nach Ar­ti­kel 7 DSG¹⁰;

g.

die An­ga­be des Dritt­staa­tes oder des in­ter­na­tio­na­len Or­gans, wel­chem Per­so­nen­da­ten be­kannt­ge­ge­ben wer­den, so­wie die vor­ge­se­he­nen Ga­ran­ti­en zum Schutz der Per­so­nen­da­ten.

³ Das Ver­zeich­nis des Auf­trags­be­ar­bei­ters ent­hält An­ga­ben zur Iden­ti­tät des Auf­trags­be­ar­bei­ters und des Bun­des­or­gans, zu den Ka­te­go­ri­en von Be­ar­bei­tun­gen, die im Auf­trag des Bun­des­or­gans durch­ge­führt wer­den, so­wie die An­ga­ben nach Ab­satz 2 Buch­sta­be f.

¹ Das Bun­des­or­gan er­stellt vor­gän­gig ei­ne Da­ten­schutz-Fol­gen­ab­schät­zung, wenn ei­ne Be­ar­bei­tung ein ho­hes Ri­si­ko für die Grund­rech­te der be­trof­fe­nen Per­son mit sich brin­gen kann. Sind meh­re­re ähn­li­che Be­ar­bei­tungs­vor­gän­ge ge­plant, so kann ei­ne ge­mein­sa­me Ab­schät­zung er­stellt wer­den.

² Das ho­he Ri­si­ko er­gibt sich, ins­be­son­de­re bei Ver­wen­dung neu­er Tech­no­lo­gi­en, aus der Art, dem Um­fang, den Um­stän­den und dem Zweck der Be­ar­bei­tung. Es liegt na­ment­lich vor:

a.

bei der um­fang­rei­chen Be­ar­bei­tung von be­son­ders schüt­zens­wer­ten Per­so­nen­da­ten oder von Per­sön­lich­keitspro­fi­len;

b.

bei ei­nem Pro­fi­ling.

³ Die Da­ten­schutz-Fol­gen­ab­schät­zung ent­hält ei­ne Be­schrei­bung der ge­plan­ten Be­ar­bei­tung, ei­ne Be­wer­tung der Ri­si­ken für die Grund­rech­te der be­trof­fe­nen Per­son so­wie die Mass­nah­men zum Schutz der Grund­rech­te.

¹ Er­gibt sich aus der Da­ten­schutz- Fol­gen­ab­schät­zung, dass die ge­plan­te Be­ar­bei­tung ein ho­hes Ri­si­ko für die Grund­rech­te der be­trof­fe­nen Per­son zur Fol­ge hät­te, wenn das Bun­des­or­gan kei­ne Mass­nah­men trä­fe, so holt es vor­gän­gig die Stel­lung­nah­me des Eid­ge­nös­si­schen Da­ten­schutz- und Öf­fent­lich­keits­be­auf­trag­ten (Be­auf­trag­ter) ein.

² Der Be­auf­trag­te teilt dem Bun­des­or­gan in­ner­halb von zwei Mo­na­ten sei­ne Ein­wän­de ge­gen die ge­plan­te Be­ar­bei­tung mit. Die­se Frist kann um einen Mo­nat ver­län­gert wer­den, wenn es sich um ei­ne kom­ple­xe Da­ten­be­ar­bei­tung han­delt.

³ Hat der Be­auf­trag­te Ein­wän­de ge­gen die ge­plan­te Be­ar­bei­tung, so schlägt er dem Bun­des­or­gan ge­eig­ne­te Mass­nah­men vor.

¹ Das Bun­des­or­gan mel­det dem Be­auf­trag­ten so rasch wie mög­lich ei­ne Ver­let­zung der Da­ten­si­cher­heit, die vor­aus­sicht­lich zu ei­nem ho­hen Ri­si­ko für die Grund­rech­te der be­trof­fe­nen Per­son führt.

² In der Mel­dung nennt es min­des­tens die Art der Ver­let­zung der Da­ten­si­cher­heit, de­ren Fol­gen und die er­grif­fe­nen oder vor­ge­se­he­nen Mass­nah­men, um die Ver­let­zung zu be­he­ben.

³ Der Auf­trags­be­ar­bei­ter mel­det dem Bun­des­or­gan so rasch wie mög­lich ei­ne Ver­let­zung der Da­ten­si­cher­heit.

⁴ Das Bun­des­or­gan in­for­miert die be­trof­fe­ne Per­son, wenn es zu ih­rem Schutz er­for­der­lich ist oder der Be­auf­trag­te es ver­langt.

⁵ Es kann die In­for­ma­ti­on an die be­trof­fe­ne Per­son ein­schrän­ken, auf­schie­ben oder dar­auf ver­zich­ten, wenn:

a.

dies auf­grund über­wie­gen­der In­ter­es­sen Drit­ter er­for­der­lich ist;

b.

dies auf­grund über­wie­gen­der öf­fent­li­cher In­ter­es­sen, ins­be­son­de­re zur Wah­rung der in­ne­ren oder äus­se­ren Si­cher­heit der Schweiz, er­for­der­lich ist;

c.

die Mit­tei­lung der In­for­ma­ti­on ei­ne Er­mitt­lung, ei­ne Un­ter­su­chung oder ein be­hörd­li­ches oder ge­richt­li­ches Ver­fah­ren ge­fähr­den kann;

d.

die In­for­ma­ti­on un­mög­lich ist oder einen un­ver­hält­nis­mäs­si­gen Auf­wand er­for­dert; oder

e.

die In­for­ma­ti­on der be­trof­fe­nen Per­son durch ei­ne öf­fent­li­che Be­kannt­ma­chung in ver­gleich­ba­rer Wei­se si­cher­ge­stellt ist.

¹ Die Bun­des­or­ga­ne er­nen­nen ei­ne Da­ten­schutz­ver­ant­wort­li­che oder ei­nen Da­ten­schutz­ver­ant­wort­li­chen. Sie kön­nen ei­ne ge­mein­sa­me Da­ten­schutz­ver­ant­wort­li­che oder einen ge­mein­sa­men Da­ten­schutz­ver­ant­wort­li­chen be­zeich­nen.

² Die oder der Da­ten­schutz­ver­ant­wort­li­che muss fol­gen­de Vor­aus­set­zun­gen er­fül­len:

a.

Sie oder er ver­fügt über die er­for­der­li­chen Fach­kennt­nis­se.

b.

Sie oder er übt kei­ne Tä­tig­kei­ten aus, die mit ih­ren oder sei­nen Auf­ga­ben als Da­ten­schutz­ver­ant­wort­li­che oder Da­ten­schutz­ver­ant­wort­li­cher un­ver­ein­bar sind.

³ Die oder der Da­ten­schutz­ver­ant­wort­li­che hat ins­be­son­de­re fol­gen­de Auf­ga­ben:

a.

Sie oder er un­ter­stützt die Bun­des­or­ga­ne.

b.

Sie oder er för­dert die In­for­ma­ti­on und die Aus­bil­dung der Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter.

c.

Sie oder er wirkt beim Voll­zug der Da­ten­schutz­vor­schrif­ten mit und emp­fiehlt Mass­nah­men, wenn sie oder er fest­stellt, dass Da­ten­schutz­vor­schrif­ten ver­letzt wur­den.

¹ Das Aus­kunfts­recht der be­trof­fe­nen Per­son rich­tet sich nach Ar­ti­kel 8 DSG¹¹. Dar­über hin­aus teilt das Bun­des­or­gan der be­trof­fe­nen Per­son mit:

a.

die­je­ni­gen In­for­ma­tio­nen, die für die be­trof­fe­ne Per­son er­for­der­lich sind, da­mit sie ih­re Rech­te nach dem vor­lie­gen­den Ge­setz gel­tend ma­chen kann;

b.

die Auf­be­wah­rungs­dau­er der Per­so­nen­da­ten oder, falls dies nicht mög­lich ist, die Kri­te­ri­en zur Fest­le­gung die­ser Dau­er.

² Die Spe­zi­al­be­stim­mun­gen in an­de­ren Bun­des­ge­set­zen blei­ben vor­be­hal­ten.

¹ Die Ein­schrän­kung des Aus­kunfts­rechts rich­tet sich nach Ar­ti­kel 9 Ab­sät­ze 1–3 und 5 DSG¹². Dar­über hin­aus kann das Bun­des­or­gan die Aus­kunft ver­wei­gern, ein­schrän­ken oder auf­schie­ben, wenn das Aus­kunfts­ge­such of­fen­sicht­lich un­be­grün­det oder que­ru­la­to­risch ist.

² Die Spe­zi­al­be­stim­mun­gen in an­de­ren Bun­des­ge­set­zen blei­ben vor­be­hal­ten.

¹ Wer ein schutz­wür­di­ges In­ter­es­se hat, kann vom ver­ant­wort­li­chen Bun­des­or­gan ver­lan­gen, dass es:

a.

die wi­der­recht­li­che Be­ar­bei­tung un­ter­lässt;

b.

die Fol­gen ei­ner wi­der­recht­li­chen Be­ar­bei­tung be­sei­tigt;

c.

die Wi­der­recht­lich­keit der Be­ar­bei­tung fest­stellt.

² Die Ge­such­stel­le­rin oder der Ge­such­stel­ler kann ins­be­son­de­re ver­lan­gen, dass das Bun­des­or­gan:

a.

die be­tref­fen­den Per­so­nen­da­ten be­rich­tigt, löscht oder ver­nich­tet;

b.

sei­nen Ent­scheid, na­ment­lich über die Be­rich­ti­gung, Lö­schung oder Ver-nich­tung, die Sper­rung der Be­kannt­ga­be nach Ar­ti­kel 20 DSG¹³ oder den Be­strei­tungs­ver­merk nach Ab­satz 4 ver­öf­fent­licht oder Drit­ten mit­teilt.

³ Statt die Per­so­nen­da­ten zu lö­schen oder zu ver­nich­ten, schränkt das Bun­des­or­gan die Be­ar­bei­tung ein, wenn:

a.

die be­trof­fe­ne Per­son die Rich­tig­keit der Per­so­nen­da­ten be­strei­tet und we­der die Rich­tig­keit noch die Un­rich­tig­keit fest­ge­stellt wer­den kann;

b.

über­wie­gen­de In­ter­es­sen Drit­ter dies er­for­dern;

c.

ein über­wie­gen­des öf­fent­li­ches In­ter­es­se, na­ment­lich die in­ne­re oder die äus­se­re Si­cher­heit der Schweiz, dies er­for­dert;

d.

die Lö­schung oder Ver­nich­tung der Per­so­nen­da­ten ei­ne Er­mitt­lung, ei­ne Un­ter­su­chung oder ein be­hörd­li­ches oder ge­richt­li­ches Ver­fah­ren ge­fähr­den kann.

⁴ Kann we­der die Rich­tig­keit noch die Un­rich­tig­keit der Per­so­nen­da­ten fest­ge­stellt wer­den, so bringt das Bun­des­or­gan bei den Da­ten einen Be­strei­tungs­ver­merk an.

⁵ Das Ver­fah­ren rich­tet sich nach dem Ver­wal­tungs­ver­fah­rens­ge­setz vom 20. De­zem­ber 1968¹⁴ (VwVG). Die Aus­nah­men nach den Ar­ti­keln 2 und 3 VwVG gel­ten nicht.

⁶ Die Spe­zi­al­be­stim­mun­gen in an­de­ren Bun­des­ge­set­zen blei­ben vor­be­hal­ten.

So­lan­ge ein Ver­fah­ren be­tref­fend den Zu­gang zu amt­li­chen Do­ku­men­ten im Sin­ne des Öf­fent­lich­keits­ge­set­zes vom 17. De­zem­ber 2004¹⁵, wel­che Per­so­nen­da­ten ent­hal­ten, im Gan­ge ist, kann die be­trof­fe­ne Per­son im Rah­men die­ses Ver­fah­rens die Rech­te gel­tend ma­chen, die ihr auf­grund von Ar­ti­kel 19 des vor­lie­gen­den Ge­set­zes be­zo­gen auf die­je­ni­gen Do­ku­men­te zu­ste­hen, die Ge­gen­stand des Zu­gangs­ver­fah­rens sind.

¹ Der Be­auf­trag­te be­auf­sich­tigt die An­wen­dung der bun­des­recht­li­chen Da­ten­schutz­vor­schrif­ten.

² Von der Auf­sicht durch den Be­auf­trag­ten sind aus­ge­nom­men:

a.

die eid­ge­nös­si­schen Ge­rich­te;

b.

die Bun­des­an­walt­schaft, be­tref­fend die Be­ar­bei­tung von Per­so­nen­da­ten im Rah­men von Straf­ver­fah­ren;

c.

Bun­des­be­hör­den, be­tref­fend die Be­ar­bei­tung von Per­so­nen­da­ten im Rah­men von Ver­fah­ren der in­ter­na­tio­na­len Rechts­hil­fe in Strafsa­chen.

¹ Der Be­auf­trag­te er­öff­net von Am­tes we­gen oder auf An­zei­ge hin ei­ne Un­ter­su­chung ge­gen das Bun­des­or­gan oder den Auf­trags­be­ar­bei­ter, wenn An­zei­chen be­ste­hen, dass ei­ne Da­ten­be­ar­bei­tung ge­gen die Da­ten­schutz­vor­schrif­ten ver­stos­sen könn­te.

² Er kann von der Er­öff­nung ei­ner Un­ter­su­chung ab­se­hen, wenn die Ver­let­zung der Da­ten­schutz­vor­schrif­ten von ge­ring­fü­gi­ger Be­deu­tung ist.

³ Das Bun­des­or­gan oder der Auf­trags­be­ar­bei­ter er­teilt dem Be­auf­trag­ten al­le Aus­künf­te und stellt ihm al­le Un­ter­la­gen zur Ver­fü­gung, die für die Un­ter­su­chung not­wen­dig sind. Das Aus­kunfts­ver­wei­ge­rungs­recht rich­tet sich nach den Ar­ti­keln 16 und 17 VwVG¹⁶.

⁴ Hat die be­trof­fe­ne Per­son An­zei­ge er­stat­tet, so in­for­miert der Be­auf­trag­te sie über die ge­stützt dar­auf un­ter­nom­me­nen Schrit­te und das Er­geb­nis ei­ner all­fäl­li­gen Un­ter­su­chung.

¹ Kommt das Bun­des­or­gan oder der Auf­trags­be­ar­bei­ter den Mit­wir­kungs­pflich­ten nicht nach, so kann der Be­auf­trag­te im Rah­men der Un­ter­su­chung ins­be­son­de­re Fol­gen­des an­ord­nen:

a.

Zu­gang zu al­len Aus­künf­ten, Un­ter­la­gen, Ver­zeich­nis­sen der Be­ar­bei­tungs­tä­tig­kei­ten und Per­so­nen­da­ten, die für die Un­ter­su­chung er­for­der­lich sind;

b.

Zu­gang zu Räum­lich­kei­ten und An­la­gen;

c.

Zeu­gen­ein­ver­nah­men;

d.

Be­gut­ach­tun­gen durch Sach­ver­stän­di­ge.

² Er kann für die Dau­er der Un­ter­su­chung zu­dem vor­sorg­li­che Mass­nah­men an­ord­nen.

¹ Liegt ei­ne Ver­let­zung von Da­ten­schutz­vor­schrif­ten vor, so kann der Be­auf­trag­te ver­fü­gen, dass die Be­ar­bei­tung ganz oder teil­wei­se an­ge­passt, un­ter­bro­chen oder ab­ge­bro­chen wird und die Per­so­nen­da­ten ganz oder teil­wei­se ge­löscht oder ver­nich­tet wer­den.

² Er kann die Be­kannt­ga­be ins Aus­land auf­schie­ben oder un­ter­sa­gen, wenn sie ge­gen die an­wend­ba­ren ge­setz­li­chen Be­stim­mun­gen be­tref­fend die Be­kannt­ga­be von Per­so­nen­da­ten an ei­nen Dritt­staat oder an ein in­ter­na­tio­na­les Or­gan ver­stösst.

³ Hat das Bun­des­or­gan oder der Auf­trags­be­ar­bei­ter wäh­rend der Un­ter­su­chung die er­for­der­li­chen Mass­nah­men ge­trof­fen, um die Ein­hal­tung der Da­ten­schutz­vor­schrif­ten wie­der­her­zu­stel­len, so kann der Be­auf­trag­te sich dar­auf be­schrän­ken, ei­ne Ver­war­nung aus­zu­spre­chen.

¹ Das Un­ter­su­chungs­ver­fah­ren so­wie Ver­fü­gun­gen nach den Ar­ti­keln 23 und 24 rich­ten sich nach dem VwVG¹⁷.

² Un­ter Vor­be­halt von Ar­ti­kel 349hdes Straf­ge­setz­bu­ches¹⁸ ist nur das Bun­des­or­gan oder der Auf­trags­be­ar­bei­ter, ge­gen das oder den ei­ne Un­ter­su­chung er­öff­net wur­de, Par­tei.

³ Der Be­auf­trag­te kann Be­schwer­de­ent­schei­de des Bun­des­ver­wal­tungs­ge­richts an­fech­ten.

¹ Der Be­auf­trag­te kann mit der Be­hör­de ei­nes Schen­gen-Staa­tes, die für den Da­ten­schutz zu­stän­dig ist, für die Er­fül­lung ih­rer je­wei­li­gen ge­setz­lich vor­ge­se­he­nen Auf­ga­ben im Be­reich des Da­ten­schut­zes In­for­ma­tio­nen oder Per­so­nen­da­ten aus­tau­schen, wenn fol­gen­de Vor­aus­set­zun­gen er­füllt sind:

a.

Die Ge­gen­sei­tig­keit der Amts­hil­fe ist si­cher­ge­stellt.

b.

Die In­for­ma­tio­nen und Per­so­nen­da­ten wer­den nur für das den Da­ten­schutz be­tref­fen­de Ver­fah­ren ver­wen­det, das dem Amts­hil­feer­su­chen zu­grun­de liegt.

c.

Die emp­fan­gen­de Be­hör­de ver­pflich­tet sich, die Be­rufs- so­wie Ge­schäfts- und Fa­bri­ka­ti­ons­ge­heim­nis­se zu wah­ren.

d.

Die In­for­ma­tio­nen und Per­so­nen­da­ten wer­den Drit­ten nur be­kannt­ge­ge­ben, wenn die Be­hör­de, die sie über­mit­telt hat, dies vor­gän­gig ge­neh­migt.

e.

Die emp­fan­gen­de Be­hör­de ver­pflich­tet sich, die Auf­la­gen und Ein­schrän­kun­gen der Be­hör­de ein­zu­hal­ten, die ihr die In­for­ma­tio­nen und Per­so­nen­da­ten über­mit­telt hat.

² Um sein Amts­hil­fe­ge­such zu be­grün­den oder um dem Er­su­chen ei­ner Be­hör­de Fol­ge zu leis­ten, kann der Be­auf­trag­te ins­be­son­de­re fol­gen­de An­ga­ben ma­chen:

a.

den Na­men des ver­ant­wort­li­chen Bun­des­or­gans, des Auf­trags­be­ar­bei­ters oder an­de­rer be­tei­lig­ter Drit­ter;

b.

die Ka­te­go­ri­en der be­trof­fe­nen Per­so­nen;

c.

die Iden­ti­tät der be­trof­fe­nen Per­so­nen, falls de­ren Mit­tei­lung un­ent­behr­lich ist, da­mit der Be­auf­trag­te oder die für den Da­ten­schutz zu­stän­di­ge Be­hör­de ei­nes Schen­gen-Staa­tes ih­re ge­setz­li­chen Auf­ga­ben er­fül­len kön­nen;

d.

be­ar­bei­te­te Per­so­nen­da­ten oder Ka­te­go­ri­en be­ar­bei­te­ter Per­so­nen­da­ten;

e.

den Be­ar­bei­tungs­zweck;

f.

die Emp­fän­ge­rin­nen und Emp­fän­ger oder die Ka­te­go­ri­en der Emp­fän­ge­rin­nen und Emp­fän­ger;

g.

die tech­ni­schen und or­ga­ni­sa­to­ri­schen Mass­nah­men.

³ Be­vor der Be­auf­trag­te der Be­hör­de ei­nes Schen­gen-Staa­tes, die für den Da­ten­schutz zu­stän­dig ist, In­for­ma­tio­nen be­kannt­gibt, die Be­rufs-, Ge­schäfts- oder Fa­bri­ka­ti­ons­ge­heim­nis­se ent­hal­ten kön­nen, in­for­miert er die be­trof­fe­nen Per­so­nen, die Trä­ge­rin­nen die­ser Ge­heim­nis­se sind, und lädt sie zur Stel­lung­nah­me ein, es sei denn, dies ist nicht mög­lich oder er­for­dert einen un­ver­hält­nis­mäs­si­gen Auf­wand.

Die­ses Ge­setz gilt nicht für Un­ter­su­chun­gen des Be­auf­trag­ten, die im Zeit­punkt des In­kraft­tre­tens hän­gig sind; es ist eben­falls nicht an­wend­bar auf hän­gi­ge Be­schwer­den ge­gen ers­tin­stanz­li­che Ent­schei­de, die vor dem In­kraft­tre­ten er­gan­gen sind. Die­se Fäl­le un­ter­ste­hen dem bis­he­ri­gen Recht.

Da­tum des In­kraft­tre­tens: 1. März 2019¹⁹