Allgemeine Bestimmungen (1 - 10)
Pflichten der Bundesorgane und der Auftragsbearbeiter (11 - 16)
Rechte der betroffenen Personen (17 - 20)
Aufsicht (21 - 25)
Amtshilfe zwischen dem Beauftragten und ausländischen Behörden (26 - 26)
Die Bundesversammlung der Schweizerischen Eidgenossenschaft, gestützt auf die Artikel 54 Absatz 1, 123 und 173 Absatz 2 der Bundesverfassung1, beschliesst: 1 SR 101 2 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, Fassung gemäss ABl. L 119 vom 4.5.2016, S. 89. |
1. Abschnitt: Allgemeine Bestimmungen |
Art. 1 Gegenstand
1 Dieses Gesetz regelt die Bearbeitung von Personendaten durch Bundesorgane zum Zweck der Verhütung, Aufklärung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschliesslich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit:
2 Die Schengen-Assoziierungsabkommen sind im Anhang aufgeführt. |
Art. 2 Verhältnis zu anderen Erlassen
1 Dieses Gesetz gilt nicht für die Rechte der betroffenen Personen in hängigen Verfahren vor den eidgenössischen Gerichten und in hängigen Verfahren nach der Strafprozessordnung4 oder nach dem Rechtshilfegesetz vom 20. März 19815; diese werden durch das anwendbare Verfahrensrecht geregelt. 2 Soweit in diesem Gesetz keine besonderen Vorschriften bestehen, ist das Bundesgesetz vom 19. Juni 19926 über den Datenschutz (DSG) anwendbar; die Anwendbarkeit anderer Bundesgesetze bleibt vorbehalten. |
Art. 3 Begriffe
1 In diesem Gesetz bedeuten:
2 Im Übrigen finden die Begriffe nach Artikel 3 DSG7 Anwendung. 7 SR 235.1 |
Art. 4 Grundsätze
1 Personendaten müssen rechtmässig bearbeitet werden. 2 Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein. 3 Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist. 4 Sie werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind. 5 Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. |
Art. 5 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
1 Die Bundesorgane sind verpflichtet, die Datenbearbeitung ab der Planung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 4. 2 Die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie den Risiken, welche die Bearbeitung für die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein. 3 Die Bundesorgane sind verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist. |
Art. 6 Rechtsgrundlagen betreffend die Bearbeitung von Personendaten
1 Die Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht. 2 Eine Grundlage in einem Gesetz im formellen Sinn ist in folgenden Fällen erforderlich:
3 In Abweichung von den Absätzen 1 und 2 können die Bundesorgane Personendaten bearbeiten, wenn eine der folgenden Voraussetzungen erfüllt ist:
|
Art. 7 Rechtsgrundlagen betreffend die Bekanntgabe von Personendaten
1 Die Bundesorgane dürfen Personendaten nur bekanntgeben, wenn dafür eine gesetzliche Grundlage im Sinne von Artikel 6 Absätze 1 und 2 besteht. 2 Sie dürfen Personendaten in Abweichung von Absatz 1 im Einzelfall bekanntgeben, wenn eine der folgenden Voraussetzungen erfüllt ist:
3 Im Übrigen ist Artikel 19 Absätze 1bis–4 DSG8 anwendbar. 8 SR 235.1 |
Art. 8 Bekanntgabe von Personendaten ins Ausland
1 Für die Bekanntgabe von Personendaten an die zuständigen Behörden von Schengen-Staaten dürfen nicht strengere Datenschutzregeln gelten als für die Bekanntgabe von Personendaten an schweizerische Strafbehörden. 2 Die Bekanntgabe von Personendaten an einen Drittstaat oder an ein internationales Organ wird durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. |
Art. 9 Verantwortliches Bundesorgan und Kontrolle
1 Für den Datenschutz ist das Bundesorgan verantwortlich, das die Personendaten in Erfüllung seiner Aufgaben bearbeitet oder bearbeiten lässt. 2 Bearbeitet das Bundesorgan Personendaten zusammen mit anderen Bundesorganen, mit kantonalen Organen oder mit Privaten, so regelt der Bundesrat das Kontrollverfahren und die Verantwortung für den Datenschutz. |
Art. 10 Bearbeitung durch Auftragsbearbeiter
1 Die Bearbeitung von Personendaten kann einem Auftragsbearbeiter übertragen werden, wenn die Voraussetzungen nach Artikel 10aDSG9 erfüllt sind. 2 Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger schriftlicher Genehmigung des Bundesorgans einem Dritten übertragen. 9 SR 235.1 |
2. Abschnitt: Pflichten der Bundesorgane und der Auftragsbearbeiter |
Art. 11 Automatisierte Einzelentscheidung
1 Das Bundesorgan informiert die betroffene Person über eine ihr gegenüber ergangene automatisierte Einzelentscheidung (Art. 3 Abs. 1 Bst. d); es kennzeichnet die Entscheidung entsprechend. 2 Es gibt der betroffenen Person auf Antrag die Möglichkeit, ihren Standpunkt darzulegen. Die betroffene Person kann verlangen, dass ihr das angewandte Verfahren mitgeteilt und die Entscheidung von einer natürlichen Person überprüft wird. 3 Absatz 2 gilt nicht, wenn der betroffenen Person gegen die Entscheidung ein Rechtsmittel zur Verfügung steht. |
Art. 12 Verzeichnis der Bearbeitungstätigkeiten
1 Die Bundesorgane und Auftragsbearbeiter führen ein Verzeichnis ihrer Bearbeitungstätigkeiten. 2 Die Verzeichnisse der Bundesorgane enthalten mindestens:
3 Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Bundesorgans, zu den Kategorien von Bearbeitungen, die im Auftrag des Bundesorgans durchgeführt werden, sowie die Angaben nach Absatz 2 Buchstabe f. 10 SR 235.1 |
Art. 13 Datenschutz-Folgenabschätzung
1 Das Bundesorgan erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden. 2 Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:
3 Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Grundrechte. |
Art. 14 Konsultation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten
1 Ergibt sich aus der Datenschutz- Folgenabschätzung, dass die geplante Bearbeitung ein hohes Risiko für die Grundrechte der betroffenen Person zur Folge hätte, wenn das Bundesorgan keine Massnahmen träfe, so holt es vorgängig die Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Beauftragter) ein. 2 Der Beauftragte teilt dem Bundesorgan innerhalb von zwei Monaten seine Einwände gegen die geplante Bearbeitung mit. Diese Frist kann um einen Monat verlängert werden, wenn es sich um eine komplexe Datenbearbeitung handelt. 3 Hat der Beauftragte Einwände gegen die geplante Bearbeitung, so schlägt er dem Bundesorgan geeignete Massnahmen vor. |
Art. 15 Meldung von Verletzungen der Datensicherheit
1 Das Bundesorgan meldet dem Beauftragten so rasch wie möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Grundrechte der betroffenen Person führt. 2 In der Meldung nennt es mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen, um die Verletzung zu beheben. 3 Der Auftragsbearbeiter meldet dem Bundesorgan so rasch wie möglich eine Verletzung der Datensicherheit. 4 Das Bundesorgan informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der Beauftragte es verlangt. 5 Es kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn:
|
Art. 16 Datenschutzverantwortliche oder -verantwortlicher
1 Die Bundesorgane ernennen eine Datenschutzverantwortliche oder einen Datenschutzverantwortlichen. Sie können eine gemeinsame Datenschutzverantwortliche oder einen gemeinsamen Datenschutzverantwortlichen bezeichnen. 2 Die oder der Datenschutzverantwortliche muss folgende Voraussetzungen erfüllen:
3 Die oder der Datenschutzverantwortliche hat insbesondere folgende Aufgaben:
|
3. Abschnitt: Rechte der betroffenen Personen |
Art. 17 Auskunftsrecht
1 Das Auskunftsrecht der betroffenen Person richtet sich nach Artikel 8 DSG11. Darüber hinaus teilt das Bundesorgan der betroffenen Person mit:
2 Die Spezialbestimmungen in anderen Bundesgesetzen bleiben vorbehalten. 11 SR 235.1 |
Art. 18 Einschränkung des Auskunftsrechts
1 Die Einschränkung des Auskunftsrechts richtet sich nach Artikel 9 Absätze 1–3 und 5 DSG12. Darüber hinaus kann das Bundesorgan die Auskunft verweigern, einschränken oder aufschieben, wenn das Auskunftsgesuch offensichtlich unbegründet oder querulatorisch ist. 2 Die Spezialbestimmungen in anderen Bundesgesetzen bleiben vorbehalten. 12 SR 235.1 |
Art. 19 Weitere Ansprüche und Verfahren
1 Wer ein schutzwürdiges Interesse hat, kann vom verantwortlichen Bundesorgan verlangen, dass es:
2 Die Gesuchstellerin oder der Gesuchsteller kann insbesondere verlangen, dass das Bundesorgan:
3 Statt die Personendaten zu löschen oder zu vernichten, schränkt das Bundesorgan die Bearbeitung ein, wenn:
4 Kann weder die Richtigkeit noch die Unrichtigkeit der Personendaten festgestellt werden, so bringt das Bundesorgan bei den Daten einen Bestreitungsvermerk an. 5 Das Verfahren richtet sich nach dem Verwaltungsverfahrensgesetz vom 20. Dezember 196814 (VwVG). Die Ausnahmen nach den Artikeln 2 und 3 VwVG gelten nicht. 6 Die Spezialbestimmungen in anderen Bundesgesetzen bleiben vorbehalten. 13 SR 235.1 14 SR 172.021 |
Art. 20 Verfahren im Falle der Bekanntgabe von amtlichen Dokumenten, die Personendaten enthalten
Solange ein Verfahren betreffend den Zugang zu amtlichen Dokumenten im Sinne des Öffentlichkeitsgesetzes vom 17. Dezember 200415, welche Personendaten enthalten, im Gange ist, kann die betroffene Person im Rahmen dieses Verfahrens die Rechte geltend machen, die ihr aufgrund von Artikel 19 des vorliegenden Gesetzes bezogen auf diejenigen Dokumente zustehen, die Gegenstand des Zugangsverfahrens sind. 15 SR 152.3 |
4. Abschnitt: Aufsicht |
Art. 21 Beauftragter
1 Der Beauftragte beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften. 2 Von der Aufsicht durch den Beauftragten sind ausgenommen:
|
Art. 22 Untersuchung
1 Der Beauftragte eröffnet von Amtes wegen oder auf Anzeige hin eine Untersuchung gegen das Bundesorgan oder den Auftragsbearbeiter, wenn Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte. 2 Er kann von der Eröffnung einer Untersuchung absehen, wenn die Verletzung der Datenschutzvorschriften von geringfügiger Bedeutung ist. 3 Das Bundesorgan oder der Auftragsbearbeiter erteilt dem Beauftragten alle Auskünfte und stellt ihm alle Unterlagen zur Verfügung, die für die Untersuchung notwendig sind. Das Auskunftsverweigerungsrecht richtet sich nach den Artikeln 16 und 17 VwVG16. 4 Hat die betroffene Person Anzeige erstattet, so informiert der Beauftragte sie über die gestützt darauf unternommenen Schritte und das Ergebnis einer allfälligen Untersuchung. 16 SR 172.021 |
Art. 23 Befugnisse
1 Kommt das Bundesorgan oder der Auftragsbearbeiter den Mitwirkungspflichten nicht nach, so kann der Beauftragte im Rahmen der Untersuchung insbesondere Folgendes anordnen:
2 Er kann für die Dauer der Untersuchung zudem vorsorgliche Massnahmen anordnen. |
Art. 24 Verwaltungsmassnahmen
1 Liegt eine Verletzung von Datenschutzvorschriften vor, so kann der Beauftragte verfügen, dass die Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden. 2 Er kann die Bekanntgabe ins Ausland aufschieben oder untersagen, wenn sie gegen die anwendbaren gesetzlichen Bestimmungen betreffend die Bekanntgabe von Personendaten an einen Drittstaat oder an ein internationales Organ verstösst. 3 Hat das Bundesorgan oder der Auftragsbearbeiter während der Untersuchung die erforderlichen Massnahmen getroffen, um die Einhaltung der Datenschutzvorschriften wiederherzustellen, so kann der Beauftragte sich darauf beschränken, eine Verwarnung auszusprechen. |
Art. 25 Verfahren
1 Das Untersuchungsverfahren sowie Verfügungen nach den Artikeln 23 und 24 richten sich nach dem VwVG17. 2 Unter Vorbehalt von Artikel 349hdes Strafgesetzbuches18 ist nur das Bundesorgan oder der Auftragsbearbeiter, gegen das oder den eine Untersuchung eröffnet wurde, Partei. 3 Der Beauftragte kann Beschwerdeentscheide des Bundesverwaltungsgerichts anfechten. 17 SR 172.021 18 SR 311.0 |
6. Abschnitt: Übergangbestimmung betreffend laufende Verfahren |
Art. 27
Dieses Gesetz gilt nicht für Untersuchungen des Beauftragten, die im Zeitpunkt des Inkrafttretens hängig sind; es ist ebenfalls nicht anwendbar auf hängige Beschwerden gegen erstinstanzliche Entscheide, die vor dem Inkrafttreten ergangen sind. Diese Fälle unterstehen dem bisherigen Recht. Datum des Inkrafttretens: 1. März 201919 19 BRB vom 30. Januar 2019 (AS 2019 625, hier 638) |
Anhang |
(Art. 1 Abs. 2) |
Schengen-Assoziierungsabkommen |
Die Schengen-Assoziierungsabkommen umfassen:
|