Verordnung
über militärische und andere
Informationssysteme im VBS
(MIV)¹

(Art. 186 Abs. 1 Bst. a und e MIG)

Die für den Da­ten­schutz je­weils ver­ant­wort­li­che Ver­wal­tungs­ein­heit des Bun­des schliesst mit ei­ner Auf­trags­be­ar­bei­te­rin oder ei­nem Auf­trags­be­ar­bei­ter, die oder der kei­ne Ver­wal­tungs­ein­heit des Bun­des ist, vor der Über­tra­gung der Da­ten­be­ar­bei­tung ei­ne schrift­li­che Ver­ein­ba­rung ab, in der min­des­tens die zu über­tra­gen­den Da­ten­be­ar­bei­tungs­tä­tig­kei­ten be­stimmt wer­den und sich die Auf­trags­be­ar­bei­te­rin oder der Auf­trags­be­ar­bei­ter da­zu ver­pflich­tet:

a.

die Da­ten nur so zu be­ar­bei­ten, wie dies die auf­trag­ge­ben­de Ver­wal­tungs­ein­heit des Bun­des selbst tun dürf­te;

b.

die da­ten­schutz­recht­li­chen Vor­schrif­ten ins­be­son­de­re des MIG und die­ser Ver­ord­nung ein­zu­hal­ten;

c.

die Da­ten aus­sch­liess­lich in der Schweiz zu be­ar­bei­ten, falls die Vor­aus­set­zun­gen des schwei­ze­ri­schen Rechts für ei­ne Da­ten­be­kannt­ga­be ins Aus­land nicht er­füllt sind;

d.

die Da­ten nur dann an Drit­te, die nicht Mit­ar­bei­ten­de der Auf­trags­be­ar­bei­te­rin oder des Auf­trags­be­ar­bei­ters sind, be­kannt­zu­ge­ben, wenn die auf­trag­ge­ben­de Ver­wal­tungs­ein­heit des Bun­des:

1.

dem vor­gän­gig schrift­lich zu­ge­stimmt hat, und

2.

mit der oder dem Drit­ten eben­falls ei­ne schrift­li­che Ver­ein­ba­rung mit dem Min­des­tin­halt ge­mä­ss die­sem Ar­ti­kel ab­ge­schlos­sen hat;

e.

die Da­ten mit den ge­eig­ne­ten tech­ni­schen und or­ga­ni­sa­to­ri­schen Mass­nah­men vor dem Zu­griff durch Un­be­rech­tig­te und vor zweck­wid­ri­ger Be­ar­bei­tung zu schüt­zen und die auf­trag­ge­ben­de Ver­wal­tungs­ein­heit des Bun­des über die ge­trof­fe­nen Mass­nah­men zu ori­en­tie­ren;

f.

ei­ne Ver­let­zung der Da­ten­si­cher­heit der auf­trag­ge­ben­den Ver­wal­tungs­ein­heit des Bun­des so rasch als mög­lich mit­zu­tei­len;

g.

ei­ne Ver­let­zung ih­rer oder sei­ner Pflich­ten ge­mä­ss die­sem Ar­ti­kel der auf­trag­ge­ben­den Ver­wal­tungs­ein­heit des Bun­des so rasch als mög­lich mit­zu­tei­len;

h.

die zur Ge­währ­leis­tung der Da­ten- und In­for­ma­ti­ons­si­cher­heit, zur Ein­hal­tung der da­ten­schutz­recht­li­chen Vor­schrif­ten oder in Be­zug auf die Da­ten­be­ar­bei­tungs­tä­tig­keit ab­ge­ge­be­nen Wei­sun­gen der auf­trag­ge­ben­den Ver­wal­tungs­ein­heit des Bun­des un­ver­züg­lich um­zu­set­zen;

i.

der auf­trag­ge­ben­den Ver­wal­tungs­ein­heit des Bun­des je­der­zeit Ein­sicht in sämt­li­che im Auf­trag be­ar­bei­te­ten Da­ten zu ge­wäh­ren und ihr auf Ver­lan­gen die Da­ten in der ver­lang­ten Form zu über­mit­teln;

j.

ein Ver­zeich­nis der ei­ge­nen Be­ar­bei­tungs­tä­tig­kei­ten zu füh­ren und ein Be­ar­bei­tungs­re­gle­ment zu er­stel­len;

k.

die ei­ge­nen Da­ten­be­ar­bei­tun­gen ge­mä­ss Ar­ti­kel 2c zu pro­to­kol­lie­ren;

l.

sich und ih­re oder sei­ne da­ten­be­ar­bei­ten­den Mit­ar­bei­ten­den ei­ner Si­cher­heits­prü­fung bei den hier­für zu­stän­di­gen Bun­des­or­ga­nen zu un­ter­zie­hen, wenn die auf­trag­ge­ben­de Ver­wal­tungs­ein­heit des Bun­des dies ver­langt;

m.

ei­ne Da­ten­be­ar­bei­tung zu un­ter­las­sen, so­fern die auf­trag­ge­ben­de Ver­wal­tungs­ein­heit des Bun­des da­ge­gen Si­cher­heits­be­den­ken vor­bringt oder dies aus an­de­ren Grün­den ver­langt;

n.

ih­re oder sei­ne da­ten­be­ar­bei­ten­den Mit­ar­bei­ten­den der auf­trag­ge­ben­den Ver­wal­tungs­ein­heit des Bun­des auf Ver­lan­gen mit Na­men und Kon­takt­an­ga­ben mit­zu­tei­len;

o.

die Da­ten nach Be­en­di­gung des Auf­trags an die auf­trag­ge­ben­de Ver­wal­tungs­ein­heit des Bun­des her­aus­zu­ge­ben und an­sch­lies­send zu ver­nich­ten so­wie die er­folg­te Ver­nich­tung der auf­trag­ge­ben­den Ver­wal­tungs­ein­heit des Bun­des ge­gen­über schrift­lich zu be­stä­ti­gen;

p.

ei­ne von der auf­trag­ge­ben­den Ver­wal­tungs­ein­heit des Bun­des fest­zu­set­zen­de und in der Ver­ein­ba­rung be­trags­mäs­sig zu nen­nen­de Kon­ven­tio­nal­stra­fe zu be­zah­len, wenn die Auf­trags­be­ar­bei­te­rin oder der Auf­trags­be­ar­bei­ter die ver­trag­li­chen Ver­pflich­tun­gen oder da­ten­schutz­recht­li­chen Vor­schrif­ten nicht ein­hält.