Ablauf der Referendumsfrist: 13. Juli 2006

Bundesgesetz über den Datenschutz (DSG) Änderung vom 24. März 2006 Die Bundesversammlung der Schweizerischen Eidgenossenschaft, nach Einsicht in die Botschaft des Bundesrates vom 19. Februar 20031, beschliesst: I Das Bundesgesetz vom 19. Juni 19922 über den Datenschutz wird wie folgt geändert: Art. 3 Bst. i, j und k Die folgenden Ausdrücke bedeuten: i.

Inhaber der Datensammlung: private Personen oder Bundesorgane, die über den Zweck und den Inhalt der Datensammlung entscheiden;

j.

Gesetz im formellen Sinn: 1. Bundesgesetze, 2. für die Schweiz verbindliche Beschlüsse internationaler Organisationen und von der Bundesversammlung genehmigte völkerrechtliche Verträge mit rechtsetzendem Inhalt.

k.

Aufgehoben

Art. 4 Abs. 1, 4 und 5 1

Personendaten dürfen nur rechtmässig bearbeitet werden.

Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein.

4

Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen.

5

1 2

BBl 2003 2101 SR 235.1

2002-2754

3547

Bundesgesetz über den Datenschutz

Art. 5 Abs. 1 1

Erster Satz betrifft nur den französischen Text

... Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind.

Art. 6

Grenzüberschreitende Bekanntgabe

Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet.

1

Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, so können Personendaten ins Ausland nur bekannt gegeben werden, wenn:

2

a.

hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten;

b.

die betroffene Person im Einzelfall eingewilligt hat;

c.

die Bearbeitung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht und es sich um Personendaten des Vertragspartners handelt;

d.

die Bekanntgabe im Einzelfall entweder für die Wahrung eines überwiegenden öffentlichen Interesses oder für die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht unerlässlich ist;

e.

die Bekanntgabe im Einzelfall erforderlich ist, um das Leben oder die körperliche Integrität der betroffenen Person zu schützen;

f.

die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat;

g.

die Bekanntgabe innerhalb derselben juristischen Person oder Gesellschaft oder zwischen juristischen Personen oder Gesellschaften, die einer einheitlichen Leitung unterstehen, stattfindet, sofern die Beteiligten Datenschutzregeln unterstehen, welche einen angemessenen Schutz gewährleisten.

3 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte3 (Beauftragte, Art. 26) muss über die Garantien nach Absatz 2 Buchstabe a und die Datenschutzregeln nach Absatz 2 Buchstabe g informiert werden. Der Bundesrat regelt die Einzelheiten dieser Informationspflicht.

3

Bis zum Inkrafttreten des Öffentlichkeitsgesetzes vom 17. Dez. 2004 (SR 152.3; BBl 2004 7269): «Eidgenössische Datenschutzbeauftragte».

3548

Bundesgesetz über den Datenschutz

Art. 7a

Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen

Der Inhaber der Datensammlung ist verpflichtet, die betroffene Person über die Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen zu informieren; diese Informationspflicht gilt auch dann, wenn die Daten bei Dritten beschafft werden.

1

2

Der betroffenen Person sind mindestens mitzuteilen: a.

der Inhaber der Datensammlung;

b.

der Zweck des Bearbeitens;

c.

die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorgesehen ist.

Wenn Daten nicht bei der betroffenen Person beschafft werden, hat deren Information spätestens bei Beginn der Speicherung der Daten oder, wenn auf die Speicherung verzichtet wird, mit der ersten Bekanntgabe an Dritte zu erfolgen.

3

Die Informationspflicht des Inhabers der Datensammlung entfällt, wenn die betroffene Person bereits informiert wurde oder, in Fällen nach Absatz 3, wenn:

4

a.

die Speicherung oder die Bekanntgabe der Daten ausdrücklich durch das Gesetz vorgesehen ist; oder

b.

die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist.

Art. 8 Abs. 2, Einleitungssatz und Bst. a 2

Der Inhaber der Datensammlung muss der betroffenen Person mitteilen: a.

alle über sie in der Datensammlung vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten;

Art. 9 Sachüberschrift und Abs. 1­3 Einschränkung der Informationspflicht und des Auskunftsrechts Der Inhaber der Datensammlung kann die Information nach Artikel 7a oder die Auskunft nach Artikel 8 verweigern, einschränken oder aufschieben, soweit:

1

a.

ein Gesetz im formellen Sinn dies vorsieht;

b.

es wegen überwiegender Interessen Dritter erforderlich ist.

Ein Bundesorgan kann zudem die Information oder die Auskunft verweigern, einschränken oder aufschieben, soweit:

2

a.

es wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft, erforderlich ist;

b.

die Information oder die Auskunft den Zweck einer Strafuntersuchung oder eines andern Untersuchungsverfahrens in Frage stellt.

3549

Bundesgesetz über den Datenschutz

Der private Inhaber einer Datensammlung kann zudem die Information oder die Auskunft verweigern, einschränken oder aufschieben, soweit eigene überwiegende Interessen es erfordern und er die Personendaten nicht Dritten bekannt gibt.

3

Art. 10a

Datenbearbeitung durch Dritte

Das Bearbeiten von Personendaten kann durch Vereinbarung oder Gesetz Dritten übertragen werden, wenn:

1

a.

die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte; und

b.

keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet.

Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet.

2

Dritte können dieselben Rechtfertigungsgründe geltend machen wie der Auftraggeber.

3

Art. 11

Zertifizierungsverfahren

Um den Datenschutz und die Datensicherheit zu verbessern, können die Hersteller von Datenbearbeitungssystemen oder -programmen sowie private Personen oder Bundesorgane, die Personendaten bearbeiten, ihre Systeme, Verfahren und ihre Organisation einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen.

1

Der Bundesrat erlässt Vorschriften über die Anerkennung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens. Er berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen.

2

Art. 11a

Register der Datensammlungen

Der Beauftragte führt ein Register der Datensammlungen, das über Internet zugänglich ist. Jede Person kann das Register einsehen.

1

Bundesorgane müssen sämtliche Datensammlungen beim Beauftragten zur Registrierung anmelden.

2

3

4

Private Personen müssen Datensammlungen anmelden, wenn: a.

regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden; oder

b.

regelmässig Personendaten an Dritte bekannt gegeben werden.

Die Datensammlungen müssen angemeldet werden, bevor sie eröffnet werden.

Entgegen den Bestimmungen der Absätze 2 und 3 muss der Inhaber von Datensammlungen seine Sammlungen nicht anmelden, wenn:

5

a.

3550

private Personen Daten aufgrund einer gesetzlichen Verpflichtung bearbeiten;

Bundesgesetz über den Datenschutz

b.

der Bundesrat eine Bearbeitung von der Anmeldepflicht ausgenommen hat, weil sie die Rechte der betroffenen Personen nicht gefährdet;

c.

er die Daten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums verwendet und keine Daten an Dritte weitergibt, ohne dass die betroffenen Personen davon Kenntnis haben;

d.

die Daten durch Journalisten bearbeitet werden, denen die Datensammlung ausschliesslich als persönliches Arbeitsinstrument dient;

e.

er einen Datenschutzverantwortlichen bezeichnet hat, der unabhängig die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht und ein Verzeichnis der Datensammlungen führt;

f.

er aufgrund eines Zertifizierungsverfahrens nach Artikel 11 ein DatenschutzQualitätszeichen erworben hat und das Ergebnis der Bewertung dem Beauftragten mitgeteilt wurde.

Der Bundesrat regelt die Modalitäten der Anmeldung der Datensammlungen, der Führung und der Veröffentlichung des Registers sowie die Stellung und die Aufgaben der Datenschutzverantwortlichen nach Absatz 5 Buchstabe e und die Veröffentlichung eines Verzeichnisses der Inhaber der Datensammlungen, welche nach Absatz 5 Buchstaben e und f der Meldepflicht enthoben sind.

6

Art. 12 Abs. 2 2

Er darf insbesondere nicht: a.

Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten;

b.

ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten,

c.

ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekanntgeben.

Art. 14 Aufgehoben Art. 15 Abs. 1 und 3 Für Klagen und vorsorgliche Massnahmen zum Schutz der Persönlichkeit gelten die Artikel 28 bis 28l des Zivilgesetzbuches4. Der Kläger kann insbesondere verlangen, dass die Datenbearbeitung, namentlich die Bekanntgabe an Dritte, gesperrt wird oder die Personendaten berichtigt oder vernichtet werden.

1

Der Kläger kann verlangen, dass die Berichtigung, die Vernichtung, die Sperre, namentlich die Sperre der Bekanntgabe an Dritte, der Vermerk über die Bestreitung oder das Urteil Dritten mitgeteilt oder veröffentlicht wird.

3

4

SR 210

3551

Bundesgesetz über den Datenschutz

Art. 16

Verantwortliches Organ und Kontrolle

Abs. 1 Betrifft nur den italienischen Text Bearbeiten Bundesorgane Personendaten zusammen mit anderen Bundesorganen, mit kantonalen Organen oder mit Privaten, so kann der Bundesrat die Kontrolle und Verantwortung für den Datenschutz besonders regeln.

2

Art. 17 Abs. 2 Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen sie nur bearbeiten, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht oder wenn ausnahmsweise:

2

a.

es für eine in einem Gesetz im formellen Sinn klar umschriebene Aufgabe unentbehrlich ist;

b.

der Bundesrat es im Einzelfall bewilligt, weil die Rechte der betroffenen Person nicht gefährdet sind; oder

c.

die betroffene Person im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.

Art. 17a

Automatisierte Datenbearbeitung im Rahmen von Pilotversuchen

Der Bundesrat kann, nachdem er die Stellungnahme des Beauftragten eingeholt hat, vor Inkrafttreten eines Gesetzes im formellen Sinn die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen bewilligen, wenn:

1

a.

die Aufgaben, die diese Bearbeitung erforderlich machen, in einem Gesetz im formellen Sinn geregelt sind;

b.

ausreichende Massnahmen zur Verhinderung von Persönlichkeitsverletzungen getroffen werden;

c.

die praktische Umsetzung einer Datenbearbeitung eine Testphase vor dem Inkrafttreten des Gesetzes im formellen Sinn zwingend erfordert.

Die praktische Umsetzung einer Datenbearbeitung kann eine Testphase dann zwingend erfordern, wenn:

2

a.

die Erfüllung einer Aufgabe technische Neuerungen erfordert, deren Auswirkungen zunächst evaluiert werden müssen;

b.

die Erfüllung einer Aufgabe bedeutende organisatorische oder technische Massnahmen erfordert, deren Wirksamkeit zunächst geprüft werden muss, insbesondere bei der Zusammenarbeit zwischen Organen des Bundes und der Kantone; oder

c.

sie die Übermittlung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen an kantonale Behörden mittels eines Abrufverfahrens erfordert.

Der Bundesrat regelt die Modalitäten der automatisierten Datenbearbeitung in einer Verordnung.

3

3552

Bundesgesetz über den Datenschutz

Das zuständige Bundesorgan legt dem Bundesrat spätestens innert zwei Jahren nach Inbetriebnahme des Pilotsystems einen Evaluationsbericht vor. Es schlägt darin die Fortführung oder die Einstellung der Bearbeitung vor.

4

Die automatisierte Datenbearbeitung muss in jedem Fall abgebrochen werden, wenn innert fünf Jahren nach der Inbetriebnahme des Pilotsystems kein Gesetz im formellen Sinn in Kraft getreten ist, welches die erforderlichen Rechtsgrundlage umfasst.

5

Art. 18 Abs. 2 Aufgehoben Art. 19 Abs. 1 Bst. b und c sowie Abs. 3 zweiter Satz Bundesorgane dürfen Personendaten nur bekannt geben, wenn dafür eine Rechtsgrundlage im Sinne von Artikel 17 besteht oder wenn:

1

b.

die betroffene Person im Einzelfall eingewilligt hat;

c.

die betroffene Person ihre Daten allgemein zugänglich gemacht und eine Bekanntgabe nicht ausdrücklich untersagt hat; oder

... Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen nur durch ein Abrufverfahren zugänglich gemacht werden, wenn ein Gesetz im formellen Sinn es ausdrücklich vorsieht.

3

Art. 21

Angebot von Unterlagen an das Bundesarchiv

In Übereinstimmung mit dem Archivierungsgesetz vom 26. Juni 19985 bieten die Bundesorgane dem Bundesarchiv alle Personendaten an, die sie nicht mehr ständig benötigen.

1

Die Bundesorgane vernichten die vom Bundesarchiv als nicht archivwürdig bezeichneten Personendaten, ausser wenn diese:

2

a.

anonymisiert sind;

b.

zu Beweis- oder Sicherheitszwecken aufbewahrt werden müssen.

Art. 26 Abs. 2 und 3 Er erfüllt seine Aufgaben unabhängig und ist der Bundeskanzlei administrativ zugeordnet.

2

3

5

Er verfügt über ein ständiges Sekretariat und ein eigenes Budget.

SR 152.1

3553

Bundesgesetz über den Datenschutz

Art. 27 Abs. 5 zweiter Satz und 6 ... Der Entscheid wird den betroffenen Personen in Form einer Verfügung mitgeteilt.

5

Der Beauftragte ist berechtigt, gegen die Verfügung nach Absatz 5 und gegen den Entscheid der Beschwerdebehörde Beschwerde zu führen.

6

Art. 29 Abs. 1 Bst. b und c sowie Abs. 4 Der Beauftragte klärt von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn:

1

b.

Datensammlungen registriert werden müssen (Art. 11a);

c.

eine Informationspflicht nach Artikel 6 Absatz 3 besteht.

Wird eine solche Empfehlung des Beauftragten nicht befolgt oder abgelehnt, so kann er die Angelegenheit der Eidgenössischen Datenschutzkommission6 zum Entscheid vorlegen. Er ist berechtigt, gegen diesen Entscheid Beschwerde zu führen.

4

Art. 31 Abs. 1 Bst. d­g 1

Der Beauftragte hat insbesondere folgende weiteren Aufgaben: d.

Er begutachtet, inwieweit die Datenschutzgesetzgebung im Ausland einen angemessenen Schutz gewährleistet.

e.

Er prüft die ihm nach Artikel 6 Absatz 3 gemeldeten Garantien und Datenschutzregeln.

f.

Er prüft die Zertifizierungsverfahren nach Artikel 11 und kann dazu Empfehlungen nach Artikel 27 Absatz 4 oder 29 Absatz 3 abgeben.

g.

Er nimmt die ihm durch das Öffentlichkeitsgesetz vom 17. Dezember 20047 übertragenen Aufgaben wahr.

Art. 34 Abs. 1 sowie Abs. 2 Bst. a 1

2

Mit Haft oder Busse werden private Personen auf Antrag bestraft: a.

die ihre Pflichten nach den Artikeln 7a und 8­10 verletzen, indem sie vorsätzlich eine falsche oder eine unvollständige Auskunft erteilen;

b.

die es vorsätzlich unterlassen: 1. die betroffene Person nach Artikel 7a Absatz 1 zu informieren, oder 2. ihr die Angaben nach Artikel 7a Absatz 2 Buchstaben a­c zu liefern.

Mit Haft oder Busse werden private Personen bestraft, die vorsätzlich: a.

6 7

die Information nach Artikel 6 Absatz 3 oder die Meldung nach Artikel 11a unterlassen oder dabei vorsätzlich falsche Angaben machen; Mit Inkrafttreten des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 (AS ..., BBl 2005 4093): «dem Bundesverwaltungsgericht».

SR ..., AS ... (BBl 2004 7269)

3554

Bundesgesetz über den Datenschutz

Art. 37 Abs. 1 Soweit keine kantonalen Datenschutzvorschriften bestehen, die einen angemessenen Schutz gewährleisten, gelten für das Bearbeiten von Personendaten durch kantonale Organe beim Vollzug von Bundesrecht die Artikel 1­11a, 16, 17, 18­22 und 25 Absätze 1­3 dieses Gesetzes.

1

II Übergangsbestimmung Innert einem Jahr nach Inkrafttreten dieses Gesetzes haben die Inhaber der Datensammlungen die notwendigen Massnahmen zur Information der betroffenen Personen nach Artikel 4 Absatz 4 und Artikel 7a zu ergreifen.

III 1

Dieses Gesetz untersteht dem fakultativen Referendum.

2

Der Bundesrat bestimmt das Inkrafttreten.

Nationalrat, 24. März 2006

Ständerat, 24. März 2006

Der Präsident: Claude Janiak Der Protokollführer: Ueli Anliker

Der Präsident: Rolf Büttiker Der Sekretär: Christoph Lanz

Datum der Veröffentlichung: 4. April 20068 Ablauf der Referendumsfrist: 13. Juli 2006

8

BBl 2006 3547

3555

Bundesgesetz über den Datenschutz

3556