Bundesgesetz über den Datenschutz
Entwurf
(DSG) Änderung vom
Die Bundesversammlung der Schweizerischen Eidgenossenschaft, nach Einsicht in die Botschaft des Bundesrates vom 19. Februar 20031, beschliesst: I Das Bundesgesetz vom 19. Juni 19922 über den Datenschutz wird wie folgt geändert: Ingress gestützt auf die Artikel 31bis Absatz 2, 64, 64bis und 85 Ziffer 1 der Bundesverfassung3, ...
Art. 2 Abs. 2 Bst. e 2
Es ist nicht anwendbar auf: e.
Personendaten, die durch internationale Organisationen bearbeitet werden, welche in der Schweiz ansässig sind und mit denen ein Sitzabkommen besteht.
Art. 3 Bst. i, j und k Die folgenden Ausdrücke bedeuten:
1 2 3
i.
Inhaber der Datensammlung: private Personen oder Bundesorgane, die über den Zweck und den Inhalt der Datensammlung entscheiden;
j.
Gesetz im formellen Sinn: 1. Bundesgesetze, 2. für die Schweiz verbindliche Beschlüsse internationaler Organisationen und von der Bundesversammlung genehmigte völkerrechtliche Verträge mit rechtsetzendem Inhalt.
k.
Aufgehoben
BBl 2003 2101 SR 235.1 Diesen Bestimmung entsprechen die Artikel 95, 122, 123 und 173 Absatz 2 der Bundesverfassung vom 18. April 1999 (SR 101).
2156
2002-2754
Bundesgesetz über den Datenschutz
Art. 4 Abs. 1, 4 (neu) und 5 (neu) 1
Personendaten dürfen nur rechtmässig bearbeitet werden.
4
Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein.
5 Ist für die Bearbeitung von Personendaten die Zustimmung der betroffenen Person erforderlich, so ist diese Zustimmung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Zustimmung ausdrücklich erfolgen.
Art. 6
Grenzüberschreitende Bekanntgabe
1
Personendaten dürfen nicht ins Ausland bekanntgegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet.
2 Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, können persönliche Daten ins Ausland nur bekanntgegeben werden, wenn:
a.
hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten;
b.
die betroffene Person im Einzelfall zugestimmt hat;
c.
die Bearbeitung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht und es sich um Personendaten des Vertragspartners handelt;
d.
die Bekanntgabe im Einzelfall entweder für die Wahrung eines überwiegenden öffentlichen Interesses oder für die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht unerlässlich ist;
e.
die Bekanntgabe im Einzelfall erforderlich ist, um das Leben oder die körperliche Integrität der betroffenen Person zu schützen;
f.
die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat;
g.
die Bekanntgabe zwischen juristischen Personen stattfindet, die einer einheitlichen Leitung sowie einheitlichen Datenschutzregeln unterstehen, welche einen angemessenen Schutz gewährleisten,
3
Der Eidgenössische Datenschutzbeauftragte muss über die Garantien nach Absatz 2 Buchstabe a und die einheitlichen Datenschutzregeln nach Absatz 2 Buchstabe g informiert werden. Der Bundesrat regelt die Einzelheiten dieser Informationspflicht.
2157
Bundesgesetz über den Datenschutz
Art. 7a (neu)
Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen
1
Werden besonders schützenswerte Personendaten und Persönlichkeitsprofile beschafft, muss der Inhaber der Datensammlung die betroffene Person darüber informieren, sofern sie nicht bereits informiert wurde.
2
Der betroffenen Person sind mindestens mitzuteilen: a.
der Inhaber der Datensammlung;
b.
der Zweck des Bearbeitens;
c.
die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorgesehen ist.
3 Werden die Daten nicht bei der betroffenen Person beschafft, hat deren Information spätestens bei Beginn der Speicherung der Daten oder mit der ersten Bekanntgabe an Dritte zu erfolgen, ausser wenn die Information der betroffenen Person nicht oder nur mit unverhältnismässigem Aufwand möglich oder die Speicherung oder die Bekanntgabe der Daten ausdrücklich durch das Gesetz vorgesehen ist.
Art. 7b (neu)
Informationspflicht betreffend automatisierte Einzelentscheide
Die betroffene Person muss ausdrücklich darüber informiert werden, wenn ein Entscheid, der für sie rechtliche Folgen hat oder sie sonst wesentlich betrifft, ausschliesslich auf einer automatisierten Datenbearbeitung beruht, welche die Bewertung einzelner Aspekte ihrer Persönlichkeit bezweckt.
Art. 8 Abs. 2, Einleitungssatz und Bst. a 2
Der Inhaber der Datensammlung muss der betroffenen Person mitteilen: a.
alle über sie in der Datensammlung vorhandenen Daten einschliesslich der verfügbaren Angaben über die Herkunft der Daten;
Art. 9 Sachüberschrift, Abs. 13 und 5 Einschränkung der Informationspflicht und des Auskunftsrecht 1
Der Inhaber der Datensammlung kann die Information nach Artikel 7a oder die Auskunft nach Artikel 8 verweigern, einschränken oder aufschieben, soweit: a.
ein formelles Gesetz dies vorsieht;
b.
es wegen überwiegender Interessen Dritter erforderlich ist.
2 Ein Bundesorgan kann zudem die Information oder die Auskunft verweigern, einschränken oder aufschieben, soweit:
a.
es wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft, erforderlich ist;
b.
die Information oder die Auskunft den Zweck einer Strafuntersuchung oder eines andern Untersuchungsverfahrens in Frage stellt.
2158
Bundesgesetz über den Datenschutz
3
Der private Inhaber einer Datensammlung kann zudem die Information oder die Auskunft verweigern, einschränken oder aufschieben, soweit eigene überwiegende Interessen es erfordern und er die Personendaten nicht Dritten bekannt gibt.
5
Wurde die Information oder die Auskunft verweigert, eingeschränkt oder aufgeschoben, so ist sie bei Wegfall des entsprechenden Grundes unverzüglich nachzuholen, ausser wenn dies nicht oder nur mit unverhältnismässigen Aufwand möglich ist.
Art. 10a (neu)
Datenbearbeitung durch Dritte
1
Das Bearbeiten von Personendaten kann durch Vereinbarung oder Gesetz Dritten übertragen werden, wenn: a.
die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte; und
b.
keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet.
2
Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet.
3 Dritte können dieselben Rechtfertigungsgründe geltend machen wie der Auftraggeber.
Art. 11 (neu)
Zertifizierungsverfahren
1
Um den Datenschutz und die Datensicherheit zu verbessern, können die Hersteller von Datenbearbeitungssystemen oder -programmen sowie private Personen oder Bundesbehörden, die Personendaten bearbeiten, ihre Systeme, Verfahren und ihre Organisation einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen.
2
Der Bundesrat erlässt Vorschriften über die Anerkennung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens. Er berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen.
Art. 11a (neu)
Register der Datensammlungen
1
Der Eidgenössische Datenschutzbeauftragte führt ein Register der Datensammlungen, das über Internet zugänglich ist. Jede Person kann das Register einsehen.
2
Bundesorgane müssen sämtliche Datensammlungen beim Datenschutzbeauftragten zur Registrierung anmelden.
3
4
Private Personen müssen Datensammlungen anmelden, wenn: a.
regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden; oder
b.
regelmässig Personendaten an Dritte bekanntgegeben werden.
Die Datensammlungen müssen angemeldet werden, bevor sie eröffnet werden.
2159
Bundesgesetz über den Datenschutz
5 Entgegen den Bestimmungen von Absatz 2 und 3 muss der Inhaber von Datensammlungen seine Sammlungen nicht anmelden, wenn:
a.
private Personen Daten aufgrund einer gesetzlichen Verpflichtung bearbeiten;
b.
der Bundesrat eine Bearbeitung von der Anmeldepflicht ausgenommen hat, weil sie die Rechte der betroffenen Personen nicht gefährdet;
c.
er die Daten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums verwendet und keine Daten an Dritte weitergibt, ohne dass die betroffenen Personen davon Kenntnis haben;
d.
die Daten durch einen Journalisten oder eine Journalistin bearbeitet werden, dem oder der die Datensammlung ausschliesslich als persönliches Arbeitsinstrument dient;
e.
er einen Datenschutzverantwortlichen bezeichnet hat, der unabhängig die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht und Verzeichnisse der Datensammlungen führt;
f.
er aufgrund eines Zertifizierungsverfahrens nach Artikel 11 ein DatenschutzQualitätszeichen erworben hat und das Ergebnis der Bewertung dem Datenschutzbeauftragten mitgeteilt wurde.
6
Der Bundesrat regelt die Modalitäten der Anmeldung der Datensammlungen, der Führung und der Veröffentlichung des Registers sowie die Stellung und die Aufgaben der Datenschutzverantwortlichen nach Absatz 5 Buchstabe e und die Veröffentlichung eines Verzeichnisses der Inhaber der Datensammlungen, welche nach Absatz 5 Buchstabe f der Meldepflicht enthoben sind.
Art. 12 Abs. 2 Bst. a 2
Er darf insbesondere nicht ohne Rechtfertigungsgrund: a.
Personendaten entgegen den Grundsätzen von Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten;
Art. 14 Aufgehoben Art. 15 Abs. 1 und 3 1
Für Klagen und vorsorgliche Massnahmen zum Schutz der Persönlichkeit gelten die Artikel 28 bis 28l des Zivilgesetzbuches4. Der Kläger kann insbesondere verlangen, dass die Datenbearbeitung, namentlich die Bekanntgabe an Dritte, gesperrt wird oder die Personendaten berichtigt oder vernichtet werden.
3 Der Kläger kann verlangen, dass die Berichtigung, die Vernichtung, die Sperre, namentlich die Sperre der Bekanntgabe an Dritte, der Vermerk über die Bestreitung oder das Urteil Dritten mitgeteilt oder veröffentlicht wird.
4
SR 210
2160
Bundesgesetz über den Datenschutz
Art. 15a (neu)
Widerspruch gegen die Datenbearbeitung
1
Wenn die betroffene Person Widerspruch gegen die Datenbearbeitung erhebt, hat der Inhaber der Datensammlung diese unverzüglich einzustellen, ausser wenn für die Bearbeitung eine gesetzliche Pflicht besteht.
2
Wenn der Inhaber der Datensammlung den Widerspruch annimmt, beendet er sofort jede Bearbeitung der betroffenen Daten.
3
Widersetzt sich der Inhaber der Datensammlung dem Widerspruch, muss er innert zehn Tagen einen Rechtfertigungsgrund nach Artikel 13 geltend machen. Kann er die Bearbeitung nicht einstellen, weil dafür eine gesetzliche Pflicht besteht, so informiert er die betroffene Person sofort.
4
Das Aufbewahren, Archivieren oder Speichern der Daten ist bis zur Klärung der Rechtslage in jedem Fall zulässig.
5
Verlangt die betroffene Person nicht innert zehn Tagen seit Kenntnis des Rechtfertigungsgrundes vom Richter die Sperre der Datenbearbeitung, die Berichtigung der Daten oder deren Vernichtung (Art. 15), gilt die Untersagung als zurückgezogen.
6
Dieser Artikel ist nicht anwendbar auf Daten, die im redaktionellen Teil eines periodisch erscheinenden Mediums veröffentlicht werden.
Art. 16 Abs. 3 und 4 (neu) 3
Wer zusammen mit einem Bundesorgan Personendaten bearbeitet, muss diesem erlauben, Kontrollen durchzuführen oder durchführen zu lassen. Wird die Datenbearbeitung Dritten übertragen, kann das Bundesorgan bei ihnen ebenfalls Kontrollen durchführen oder durchführen lassen.
4
Das zuständige Bundesorgan kann die Ausübung der Kontrolle mittels Vereinbarung regeln. Es ist dazu verpflichtet, wenn die Datenbearbeitung durch private Personen oder im Ausland erfolgt.
Art. 17 Abs. 2 Bst. b und c 2
Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen sie nur bearbeiten, wenn ein formelles Gesetz es ausdrücklich vorsieht oder wenn ausnahmsweise: b.
der Bundesrat es im Einzelfall bewilligt, weil die Rechte der betroffenen Person nicht gefährdet sind; oder
c.
die betroffene Person im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.
Art. 17a (neu)
Automatisierte Datenbearbeitung im Rahmen von Pilotversuchen
1
Der Bundesrat kann, nachdem er die Stellungnahme des Datenschutzbeauftragten eingeholt hat, vor Inkrafttreten eines formellen Gesetzes die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen bewilligen, wenn: 2161
Bundesgesetz über den Datenschutz
a.
die Aufgaben, die diese Bearbeitung erforderlich machen, in einem formellen Gesetz geregelt sind;
b.
ausreichende Massnahmen zur Verhinderung von Persönlichkeitsverletzungen getroffen werden; und
c.
die praktische Umsetzung einer Datenbearbeitung eine Testphase vor dem Inkrafttreten des formellen Gesetzes zwingend erfordert.
2 Die praktische Umsetzung einer Datenbearbeitung kann eine Testphase dann zwingend erfordern, wenn:
a.
die Erfüllung einer Aufgabe technische Neuerungen erfordert, deren Auswirkungen zunächst evaluiert werden müssen;
b.
die Erfüllung einer Aufgabe bedeutende organisatorische oder technische Massnahmen erfordert, deren Wirksamkeit zunächst geprüft werden muss, insbesondere bei der Zusammenarbeit zwischen Organen des Bundes und der Kantone; oder wenn
c.
sie die Übermittlung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen an kantonale Behörden mittels eines Abrufverfahrens erfordert.
3 Der Bundesrat regelt die Modalitäten der automatisierten Datenbearbeitung in einer Verordnung.
4
Das zuständige Bundesorgan legt dem Bundesrat spätestens innert zwei Jahren nach Inbetriebnahme des Pilotsystems einen Evaluationsbericht vor. Es schlägt darin die Fortführung oder die Einstellung der Bearbeitung vor.
5 Die automatisierte Datenbearbeitung muss in jedem Fall abgebrochen werden, wenn innert fünf Jahren nach der Inbetriebnahme des Pilotsystems kein formelles Gesetz in Kraft getreten ist, welches die erforderlichen Rechtsgrundlage umfasst.
Art. 18 Abs. 2 Aufgehoben Art. 19 Abs. 1 Bst. b und c 1
Bundesorgane dürfen Personendaten nur bekanntgeben, wenn dafür eine Rechtsgrundlage im Sinne von Artikel 17 besteht oder wenn: b.
die betroffene Person im Einzelfall eingewilligt hat;
c.
die betroffene Person ihre Daten allgemein zugänglich gemacht und eine Bekanntgabe nicht ausdrücklich untersagt hat; oder
2162
Bundesgesetz über den Datenschutz
Art. 21
Angebot von Unterlagen an das Bundesarchiv
1
In Übereinstimmung mit dem Bundesgesetz vom 26. Juni 19985 über die Archivierung bieten die Bundesorgane dem Bundesarchiv alle Personendaten an, die sie nicht mehr ständig benötigen.
2
Die Bundesorgane vernichten die vom Bundesarchiv als nicht archivwürdig bezeichneten Personendaten, ausser wenn diese: a.
anonymisiert sind;
b.
zu Beweis- oder Sicherheitszwecken aufbewahrt werden müssen.
Art. 26 Abs. 2 und 3 2
Er erfüllt seine Aufgaben unabhängig und ist der Bundeskanzlei administrativ zugeordnet.
3
Er verfügt über ein ständiges Sekretariat und ein eigenes Budget.
Art. 27 Abs. 6 (neu) 6
Der Datenschutzbeauftragte kann einen nach Absatz 5 ergangenen Entscheid anfechten.
Art. 29 Abs. 1 Bst. b, c und d (neu) 1 Der Datenschutzbeauftragte klärt von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn:
b.
besonders schützenswerte Persondendaten oder Persönlichkeitsprofile bearbeitet werden;
c.
Daten regelmässig an Dritte bekanntgegeben werden;
d.
wenn eine Informationspflicht nach Artikel 6 Absatz 3 besteht.
Art. 31 Abs. 1 Bst. d, e und f (neu) 1
5
Der Datenschutzbeauftragte hat insbesondere folgende weiteren Aufgaben: d.
Er begutachtet, inwieweit die Datenschutzgesetzgebung im Ausland einen angemessenen Schutz gewährleistet.
e.
Er prüft die ihm nach Artikel 6 Absatz 3 gemeldeten Garantien und Datenschutzregeln.
f.
Er prüft die Zertifizierungsverfahren nach Artikel 11 und kann dazu Erklärungen nach Artikel 27 Absatz 4 oder 29 Absatz 3 abgeben.
SR 152.1
2163
Bundesgesetz über den Datenschutz
Art. 34 Abs. 1 sowie Abs. 2 Bst. a 1
2
Mit Haft oder Busse werden private Personen auf Antrag bestraft: a.
die ihre Pflichten nach den Artikeln 7a und 810 verletzen, indem sie vorsätzlich eine falsche oder eine unvollständige Auskunft erteilen;
b.
die es vorsätzlich unterlassen: 1. die betroffene Person nach Artikel 7a Absatz 1 oder 7b zu informieren; oder 2. ihr die Angaben nach Artikel 7a Absatz 2 Buchstaben ac zu liefern;
Mit Haft oder Busse werden private Personen bestraft, die vorsätzlich a.
die Information nach Artikel 6 Absatz 3 oder die Meldung nach Artikel 11a unterlassen oder dabei vorsätzlich falsche Angaben machen.
Art. 37 Abs. 1 1
Soweit keine kantonalen Datenschutzvorschriften bestehen, die einen angemessenen Schutz gewährleisten, gelten für das Bearbeiten von Personendaten durch kantonale Organe beim Vollzug von Bundesrecht die Artikel 111a, 16, 17, 1822 und 25 Absätze 13 dieses Gesetzes.
II Änderung bisherigen Rechts Das Postgesetz vom 30. April 19976 wird wie folgt geändert: Art. 13 Abs. 1 1
Für das Bearbeiten von Personendaten durch die Post gelten die Artikel 1215a des Bundesgesetzes vom 19. Juni 19927 über den Datenschutz (DSG). Die Aufsicht richtet sich nach den Bestimmungen für Bundesorgane (Art. 23 Abs. 2 DSG).
III Übergangsbestimmung Innert einem Jahr nach Inkrafttreten dieses Gesetzes haben die Inhaber der Datensammlungen die notwendigen Massnahmen zur Information der betroffenen Personen nach Artikel 4 Absatz 4, 7a und 7b zu ergreifen.
6 7
SR 783.0 SR 235.1; AS ... (BBl 2003 2156)
2164
Bundesgesetz über den Datenschutz
IV 1
Dieses Gesetz untersteht dem fakultativen Referendum.
2
Der Bundesrat bestimmt das Inkrafttreten.
2165