Ablauf der Referendumsfrist: 17. Januar 2019
Bundesgesetz über die Umsetzung der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung (Weiterentwicklung des Schengen-Besitzstands) vom 28. September 2018
Die Bundesversammlung der Schweizerischen Eidgenossenschaft, nach Einsicht in die Botschaft des Bundesrates vom 15. September 20171, beschliesst:
I Das Schengen-Datenschutzgesetz wird in der Fassung gemäss Anhang angenommen.
II Die nachstehenden Erlasse werden wie folgt geändert:
1. Bundesgesetz vom 19. Juni 19922 über den Datenschutz Art. 26 Abs. 3 erster Satz Der Beauftragte übt seine Funktion unabhängig aus, ohne Weisungen einer Behörde oder eines Dritten einzuholen oder entgegenzunehmen. ...
3
1 2
BBl 2017 6941 SR 235.1
2017-1085
6003
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
Art. 26a Abs. 1 und 1bis 1
Die Amtsdauer des Beauftragten kann zwei Mal verlängert werden.
Verfügt der Bundesrat nicht spätestens sechs Monate vor Ablauf der Amtsdauer aus sachlich hinreichenden Gründen die Nichtverlängerung, so verlängert sich die Amtsdauer stillschweigend.
1bis
Art. 26b 1
Nebenbeschäftigung
Der Beauftragte darf keine Nebenbeschäftigung ausüben.
Der Bundesrat kann dem Beauftragten gestatten, eine Nebenbeschäftigung auszuüben, wenn dadurch die Ausübung der Funktion sowie die Unabhängigkeit und das Ansehen nicht beeinträchtigt werden. Der Entscheid wird veröffentlicht.
2
Art. 31 Abs. 1 Bst. h 1
Der Beauftragte hat insbesondere folgende weiteren Aufgaben: h.
Er sensibilisiert die Bevölkerung in Bezug auf den Datenschutz.
2. Strafgesetzbuch3 Art. 349a 1. Schutz von Personendaten a. Rechtsgrundlagen
Die zuständigen Bundesbehörden dürfen Personendaten nur bekannt geben, wenn dafür eine Rechtsgrundlage im Sinne von Artikel 7 des Schengen-Datenschutzgesetzes vom 28. September 20184 (SDSG) besteht oder wenn: a.
die Bekanntgabe von Personendaten notwendig ist, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen;
b.
die betroffene Person ihre Personendaten allgemein zugänglich gemacht und die Bekanntgabe nicht ausdrücklich untersagt hat.
Art. 349b b. Gleichbehandlung
3 4
Für die Bekanntgabe von Personendaten an die zuständigen Behörden von Staaten, die mit der Schweiz über eines der SchengenAssoziierungsabkommen verbunden sind (Schengen-Staaten), dürfen nicht strengere Datenschutzregeln gelten als für die Bekanntgabe von Personendaten an schweizerische Strafbehörden.
1
SR 311.0 SR ...; BBl 2018 6017
6004
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
Spezialgesetze, die strengere Datenschutzregeln für die Bekanntgabe von Personendaten an die zuständigen ausländischen Behörden vorsehen, finden auf die Bekanntgabe an die zuständigen Behörden der Schengen-Staaten keine Anwendung.
2
Art. 349c c. Bekanntgabe von Personendaten an einen Drittstaat oder an ein internationales Organ
Personendaten dürfen der zuständigen Behörde eines Staates, der nicht über eines der Schengen-Assoziierungsabkommen mit der Schweiz verbunden ist (Drittstaat), oder einem internationalen Organ nicht bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Person schwerwiegend gefährdet würde, namentlich weil ein angemessener Schutz fehlt.
1
2
Ein angemessener Schutz wird gewährleistet durch: a.
die Gesetzgebung des Drittstaates, sofern die Europäische Union dies in einem Beschluss festgehalten hat;
b.
einen völkerrechtlichen Vertrag;
c.
spezifische Garantien.
Handelt es sich bei der bekanntgebenden Behörde um eine Bundesbehörde, so informiert sie den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Beauftragter) über die Kategorien von Bekanntgaben von Personendaten, die auf der Grundlage spezifischer Garantien nach Absatz 2 Buchstabe c erfolgen. Jede Bekanntgabe wird dokumentiert.
3
In Abweichung von Absatz 1 können Personendaten der zuständigen Behörde eines Drittstaates oder einem internationalen Organ bekannt gegeben werden, wenn die Bekanntgabe im Einzelfall notwendig ist: 4
a.
zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten;
b.
zur Abwehr einer unmittelbar drohenden ernsthaften Gefahr für die öffentliche Sicherheit eines Schengen-Staates oder eines Drittstaates;
c.
zur Verhütung, Feststellung oder Verfolgung einer Straftat, sofern der Bekanntgabe keine überwiegenden schutzwürdigen Interessen der betroffenen Person entgegenstehen;
d.
zur Ausübung oder Durchsetzung von Rechtsansprüchen gegenüber einer für die Verhütung, Feststellung oder Verfolgung einer Straftat zuständigen Behörde, sofern der Bekanntgabe keine überwiegenden schutzwürdigen Interessen der betroffenen Person entgegenstehen.
6005
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
Handelt es sich bei der bekanntgebenden Behörde um eine Bundesbehörde, so informiert sie den Beauftragten über die Bekanntgabe nach Absatz 4.
5
Art. 349d d. Bekanntgabe von Personendaten aus einem Schengen-Staat an einen Drittstaat oder an ein internationales Organ
Personendaten, die von einem Schengen-Staat übermittelt oder zur Verfügung gestellt wurden, können der zuständigen Behörde eines Drittstaates oder einem internationalen Organ nur bekannt gegeben werden, wenn: 1
a.
die Bekanntgabe zur Verhütung, Feststellung oder Verfolgung einer Straftat erforderlich ist;
b.
der Schengen-Staat, der die Personendaten übermittelt oder zur Verfügung gestellt hat, der Bekanntgabe vorgängig zugestimmt hat; und
c.
die Voraussetzungen nach Artikel 349c erfüllt sind.
Abweichend von Absatz 1 Buchstabe b dürfen Personendaten im Einzelfall bekannt gegeben werden, wenn: 2
a.
die vorgängige Zustimmung des Schengen-Staates nicht rechtzeitig eingeholt werden kann; und
b.
die Bekanntgabe zur Abwehr einer unmittelbar drohenden ernsthaften Gefahr für die öffentliche Sicherheit eines Schengen-Staates oder eines Drittstaates oder zur Wahrung der wesentlichen Interessen eines Schengen-Staates unerlässlich ist.
Der Schengen-Staat wird unverzüglich über die Bekanntgabe nach Absatz 2 informiert.
3
Art. 349e e. Bekanntgabe von Personendaten an einen in einem Drittstaat niedergelassenen Empfänger
Ist es, namentlich in Notfällen, nicht möglich, der zuständigen Behörde eines Drittstaates Personendaten auf dem üblichen Weg der polizeilichen Zusammenarbeit bekannt zu geben, so kann die zuständige Behörde sie ausnahmsweise einem in diesem Staat niedergelassenen Empfänger bekannt geben, sofern die folgenden Voraussetzungen erfüllt sind: 1
a.
Die Bekanntgabe ist unentbehrlich zur Erfüllung einer gesetzlichen Aufgabe der Behörde, welche die Daten bekannt gibt.
b.
Der Bekanntgabe stehen keine überwiegenden schutzwürdigen Interessen der betroffenen Person entgegen.
Die zuständige Behörde weist den Empfänger der Personendaten bei der Bekanntgabe darauf hin, dass er die Daten nur für die von der Behörde festgelegten Zwecke verwenden darf.
2
6006
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
Sie benachrichtigt die zuständige Behörde des Drittstaates unverzüglich über jede Bekanntgabe von Personendaten, sofern sie dies als zweckmässig erachtet.
3
Handelt es sich bei der zuständigen Behörde um eine Bundesbehörde, so informiert sie den Beauftragten unverzüglich über jede Bekanntgabe nach Absatz 1.
4
Sie dokumentiert jede Bekanntgabe von Personendaten. Der Bundesrat regelt die Einzelheiten.
5
Art. 349f f. Richtigkeit der Personendaten
Die zuständige Behörde berichtigt unrichtige Personendaten unverzüglich.
1
Sie benachrichtigt die Behörde, die ihr diese Daten übermittelt oder zur Verfügung gestellt hat oder der sie diese bekannt gegeben hat, unverzüglich über die Berichtigung.
2
Sie informiert den Empfänger über die Aktualität und die Zuverlässigkeit der von ihr bekannt gegebenen Personendaten.
3
Sie gibt dem Empfänger ausserdem alle weiteren Informationen bekannt, anhand deren so weit wie möglich unterschieden werden kann: 4
a.
zwischen den verschiedenen Kategorien betroffener Personen;
b.
zwischen auf Tatsachen und auf persönlichen Einschätzungen beruhenden Personendaten.
Die Pflicht zur Information des Empfängers entfällt, wenn die Informationen nach den Absätzen 3 und 4 aus den Personendaten selbst oder aus den Umständen ersichtlich sind.
5
Art. 349g g. Prüfung der Rechtmässigkeit der Datenbearbeitung
5 6
Die betroffene Person kann vom Beauftragten verlangen, dass er prüft, ob allfällige Daten über sie rechtmässig bearbeitet werden, wenn: 1
a.
ihr Recht auf Information über den Austausch von Daten über sie eingeschränkt oder aufgeschoben wird (Art. 18a und 18b des Bundesgesetzes vom 19. Juni 19925 über den Datenschutz);
b.
ihr Auskunftsrecht verweigert, eingeschränkt oder aufgeschoben wird (Art. 17 und 18 SDSG6); oder
SR 235.1 SR ...
6007
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
c.
BBl 2018
ihr Recht, die Berichtigung, die Vernichtung oder die Löschung von Daten über sie zu verlangen, teilweise oder ganz verweigert wird (Art. 19 Abs. 2 Bst. a SDSG).
Der Prüfung unterzogen werden kann ausschliesslich eine Bundesbehörde, die der Aufsicht des Beauftragten untersteht.
2
Der Beauftragte führt die Prüfung durch; er teilt der betroffenen Person mit, dass entweder keine Daten über sie unrechtmässig bearbeitet werden oder dass er im Falle von Fehlern bei der Bearbeitung der Personendaten eine Untersuchung nach Artikel 22 SDSG eröffnet hat.
3
Stellt der Beauftragte Fehler bei der Datenbearbeitung fest, so ordnet er an, dass die zuständige Bundesbehörde diese behebt.
4
Die Mitteilung nach Absatz 3 lautet stets gleich und wird nicht begründet. Sie kann nicht angefochten werden.
5
Art. 349h h. Untersuchung
Macht die betroffene Person glaubhaft, dass ein Austausch von Personendaten über sie gegen die Vorschriften zum Schutz von Personendaten verstossen könnte, kann sie vom Beauftragten die Eröffnung einer Untersuchung nach Artikel 22 SDSG7 verlangen.
1
Eine Untersuchung kann ausschliesslich gegen eine Bundesbehörde eröffnet werden, die der Aufsicht des Beauftragten untersteht.
2
Partei sind die betroffene Person und die Bundesbehörde, gegen die eine Untersuchung eröffnet wurde.
3
4
Ferner gelten die Artikel 23 und 24 SDSG.
Art. 355a Abs. 4 Der Austausch von Personendaten mit Europol wird dem Austausch mit einer zuständigen Behörde eines Schengen-Staates gleichgesetzt (Art. 349b).
4
Art. 355f und 355g Aufgehoben
7
SR ...
6008
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
3. Strafprozessordnung8 Art. 95a
Bearbeitung von Personendaten
Bei der Bearbeitung von Personendaten sorgen die zuständigen Strafbehörden dafür, dass sie so weit wie möglich unterscheiden: a.
zwischen den verschiedenen Kategorien betroffener Personen;
b.
zwischen auf Tatsachen und auf persönlichen Einschätzungen beruhenden Personendaten.
Art. 98 Abs. 2 Sie benachrichtigen die Behörde, die ihnen diese Daten übermittelt oder zur Verfügung gestellt hat oder der sie diese bekannt gegeben haben, unverzüglich über die Berichtigung.
2
4. Rechtshilfegesetz vom 20. März 19819 Gliederungstitel vor Art. 11b
1b. Kapitel: Schutz von Personendaten Art. 11b
Auskunftsrecht bei hängigen Verfahren
Solange ein Rechtshilfeverfahren hängig ist, kann die Person, gegen die sich ein Ersuchen um zwischenstaatliche Zusammenarbeit in Strafsachen richtet, die sie betreffenden Personendaten sowie die folgenden Informationen einsehen: 1
a.
den Zweck und die Rechtsgrundlage der Bearbeitung;
b.
die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
c.
die Empfänger oder die Kategorien von Empfängern;
d.
die verfügbaren Angaben über die Herkunft der Personendaten;
e.
die Informationen, die erforderlich sind, damit sie ihre Rechte geltend machen kann.
Die zuständige Behörde kann die Auskunft verweigern, einschränken oder aufschieben, wenn Gründe nach Artikel 80b Absatz 2 vorliegen oder wenn: 2
8 9
a.
es aufgrund überwiegender Interessen Dritter erforderlich ist;
b.
es aufgrund überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit der Schweiz, erforderlich ist; oder
SR 312.0 SR 351.1
6009
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
c.
BBl 2018
durch die Information der betroffenen Person eine Ermittlung, ein Untersuchungs- oder ein Gerichtsverfahren oder ein Verfahren der zwischenstaatlichen Zusammenarbeit in Strafsachen gefährdet werden kann.
Art. 11c
Einschränkung des Auskunftsrechts bei Ersuchen um Festnahme zum Zweck der Auslieferung
Jede Person kann Auskunft darüber verlangen, ob die Schweiz von einem ausländischen Staat ein Ersuchen um Festnahme zum Zweck der Auslieferung erhalten hat.
Dieses Recht wird beim Bundesamt geltend gemacht. Wird das Gesuch an eine andere Behörde gerichtet, so leitet diese es unverzüglich an das Bundesamt weiter.
1
Verlangt eine Person Auskunft darüber, ob das Bundesamt ein Ersuchen um Festnahme zum Zweck der Auslieferung erhalten hat, so teilt dieses ihr mit, dass keine Daten über sie unrechtmässig bearbeitet werden und dass sie vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Beauftragter) verlangen kann, zu prüfen, ob allfällige Daten über sie rechtmässig bearbeitet werden.
2
Der Beauftragte führt die Prüfung durch; er teilt der betroffenen Person mit, dass entweder keine Daten über sie unrechtmässig bearbeitet werden oder dass er im Falle von Fehlern bei der Bearbeitung der Personendaten eine Untersuchung nach Artikel 22 des Schengen-Datenschutzgesetzes vom 28. September 201810 eröffnet hat.
3
Stellt der Beauftragte Fehler bei der Datenbearbeitung fest, so ordnet er an, dass das Bundesamt diese behebt.
4
Die Mitteilungen nach den Absätzen 2 und 3 lauten stets gleich und werden nicht begründet.
5
6
Die Mitteilung nach Absatz 3 kann nicht angefochten werden.
Das Bundesamt ist in Abweichung von Absatz 2 ermächtigt, der betroffenen Person die verlangten Auskünfte zu erteilen, wenn der ersuchende Staat vorgängig zustimmt.
7
Art. 11d
Anspruch auf Berichtigung und Löschung von Personendaten
Die Person, gegen die sich ein Ersuchen um zwischenstaatliche Zusammenarbeit in Strafsachen richtet, kann von der zuständigen Behörde verlangen, dass die sie betreffenden Personendaten, die unter Verstoss gegen dieses Gesetz bearbeitet werden, berichtigt oder gelöscht werden.
1
Statt die Personendaten zu löschen, schränkt die zuständige Behörde die Bearbeitung ein, wenn: 2
a.
10
die betroffene Person die Richtigkeit der Personendaten bestreitet und weder deren Richtigkeit noch deren Unrichtigkeit festgestellt werden kann;
SR ...
6010
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
b.
überwiegende Interessen, insbesondere solche nach Artikel 80b Absatz 2, es erfordern; oder
c.
die Löschung ein Verfahren der zwischenstaatlichen Zusammenarbeit in Strafsachen oder das Verfahren im Ausland, auf das sich das Ersuchen um Zusammenarbeit in Strafsachen stützt, gefährden kann.
Die zuständige Behörde benachrichtigt die Behörde, die ihr die Personendaten übermittelt oder zur Verfügung gestellt hat oder der sie diese bekannt gegeben hat, unverzüglich über die nach Absatz 1 oder 2 getroffenen Massnahmen.
3
Für die Prüfung der Richtigkeit von Personendaten, die zu Beweiszwecken beschafft worden sind, oder von Personendaten betreffend Straftaten, die dem Ersuchen um zwischenstaatliche Zusammenarbeit in Strafsachen zugrunde liegen, ist die entsprechende ausländische Behörde zuständig.
4
Art. 11e
Gleichbehandlung
Für die Bekanntgabe von Personendaten an die zuständigen Behörden von Staaten, die mit der Schweiz über eines der Schengen-Assoziierungsabkommen verbunden sind (Schengen-Staaten), dürfen nicht strengere Datenschutzregeln gelten als für die Bekanntgabe von Personendaten an schweizerische Strafbehörden.
1
Spezialgesetze, die strengere Datenschutzregeln für die Bekanntgabe von Personendaten an die zuständigen ausländischen Behörden vorsehen, finden auf die Bekanntgabe an die zuständigen Behörden der Schengen-Staaten keine Anwendung.
2
Art. 11f
Bekanntgabe von Personendaten an einen Drittstaat oder an ein internationales Organ
Personendaten dürfen der zuständigen Behörde eines Staates, der nicht über eines der Schengen-Assoziierungsabkommen mit der Schweiz verbunden ist (Drittstaat), oder einem internationalen Organ nicht bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Person schwerwiegend gefährdet würde, namentlich weil ein angemessener Schutz fehlt.
1
2
Ein angemessener Schutz wird gewährleistet durch: a.
die Gesetzgebung des Drittstaates, sofern die Europäische Union dies in einem Beschluss festgehalten hat;
b.
einen völkerrechtlichen Vertrag;
c.
spezifische Garantien.
In Abweichung von Absatz 1 können Personendaten der zuständigen Behörde eines Drittstaates oder einem internationalen Organ bekannt gegeben werden, wenn die Bekanntgabe im Einzelfall notwendig ist: 3
a.
zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten;
b.
zur Abwehr einer unmittelbar drohenden ernsthaften Gefahr für die öffentliche Sicherheit eines Schengen-Staates oder eines Drittstaates; 6011
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
c.
zur Verhütung, Feststellung oder Verfolgung einer Straftat oder zur Vollstreckung eines Strafentscheids, sofern der Bekanntgabe keine überwiegenden schutzwürdigen Interessen der betroffenen Person entgegenstehen;
d.
zur Ausübung oder Durchsetzung von Rechtsansprüchen gegenüber einer für die Verhütung, Feststellung oder Verfolgung einer Straftat oder die Vollstreckung eines Strafentscheids zuständigen Behörde, sofern der Bekanntgabe keine überwiegenden schutzwürdigen Interessen der betroffenen Person entgegenstehen.
Art. 11g
Bekanntgabe von Personendaten aus einem Schengen-Staat an einen Drittstaat oder ein internationales Organ
Personendaten, die von einem Schengen-Staat übermittelt oder zur Verfügung gestellt wurden, können der zuständigen Behörde eines Drittstaates oder einem internationalen Organ bekannt gegeben werden, wenn: 1
a.
die Bekanntgabe zur Verhütung, Feststellung oder Verfolgung einer Straftat oder zur Vollstreckung eines Strafentscheids erforderlich ist;
b.
der Schengen-Staat, der die Personendaten übermittelt oder zur Verfügung gestellt hat, der Bekanntgabe vorgängig zugestimmt hat; und
c.
die Voraussetzungen nach Artikel 11f erfüllt sind.
Abweichend von Absatz 1 Buchstabe b dürfen Personendaten im Einzelfall bekannt gegeben werden, wenn: 2
a.
die vorgängige Zustimmung des Schengen-Staates nicht rechtzeitig eingeholt werden kann; und
b.
die Bekanntgabe zur Abwehr einer unmittelbar drohenden ernsthaften Gefahr für die öffentliche Sicherheit eines Schengen-Staates oder eines Drittstaates oder zur Wahrung der wesentlichen Interessen eines SchengenStaates unerlässlich ist.
Der Schengen-Staat wird unverzüglich über die Bekanntgabe nach Absatz 2 informiert.
3
Art. 11h
Vorgehen bei der Bekanntgabe von Personendaten
Die zuständige Behörde informiert den Empfänger über die Aktualität und die Zuverlässigkeit der von ihr bekannt gegebenen Personendaten.
1
Sie gibt dem Empfänger ausserdem alle weiteren Informationen bekannt, anhand deren so weit wie möglich unterschieden werden kann: 2
a.
zwischen den verschiedenen Kategorien betroffener Personen;
b.
zwischen auf Tatsachen und auf persönlichen Einschätzungen beruhenden Personendaten.
6012
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
Die Pflicht zur Information des Empfängers entfällt, wenn die Informationen nach den Absätzen 1 und 2 aus den Personendaten selbst oder aus den Umständen ersichtlich sind.
3
5. Bundesgesetz vom 22. Juni 200111 über die Zusammenarbeit mit dem Internationalen Strafgerichtshof Einfügen vor dem Gliederungstitel des 2. Kapitels Art. 2a
Schutz von Personendaten
Soweit dieses Gesetz nichts anderes bestimmt, richtet sich die Bearbeitung von Personendaten nach den Artikeln 11b11d und 11f11h des Rechtshilfegesetzes vom 20. März 198112.
6. Bundesgesetz vom 3. Oktober 197513 zum Staatsvertrag mit den Vereinigten Staaten von Amerika über gegenseitige Rechtshilfe in Strafsachen Einfügen vor dem Gliederungstitel II Art. 9a
Schutz von Personendaten
Soweit der Vertrag nichts anderes bestimmt, richtet sich die Bearbeitung von Personendaten nach den Artikeln 11b, 11d und 11f11h des Rechtshilfegesetzes vom 20. März 198114.
7. Bundesgesetz vom 7. Oktober 199415 über die kriminalpolizeilichen Zentralstellen des Bundes und gemeinsame Zentren für Polizei- und Zollzusammenarbeit mit anderen Staaten Art. 13 Abs. 2 Die Bekanntgabe von Personendaten im Rahmen der Polizeizusammenarbeit mit ausländischen Strafverfolgungsbehörden richtet sich nach den Artikeln 349a349h des Strafgesetzbuchs16.
2
11 12 13 14 15 16
SR 351.6 SR 351.1 SR 351.93 SR 351.1 SR 360 SR 311.0
6013
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
8. Bundesgesetz vom 13. Juni 200817 über die polizeilichen Informationssysteme des Bundes Art. 7 Abs. 2 Fedpol erteilt die Auskünfte nach Rücksprache mit der Behörde, welche die Daten eingetragen hat oder hat eintragen lassen; die Artikel 8 und 8a bleiben vorbehalten.
2
Art. 8
Einschränkung des Auskunftsrechts beim System Bundesdelikte
Verlangt eine Person Auskunft darüber, ob die Bundeskriminalpolizei (BKP) Daten über sie im System Bundesdelikte nach Artikel 11 bearbeitet, so schiebt fedpol diese Auskunft auf: 1
a.
wenn und soweit betreffend der über sie bearbeiteten Daten überwiegende, in den Akten zu begründende Interessen der Strafverfolgung an einer Geheimhaltung bestehen; oder
b.
wenn über die gesuchstellende Person keine Daten bearbeitet werden.
Fedpol teilt der gesuchstellenden Person den Aufschub der Auskunft mit und weist sie darauf hin, dass sie das Recht hat, vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Beauftragter) zu verlangen, dass er prüfe, ob allfällige Daten über sie rechtmässig bearbeitet werden und ob überwiegende Geheimhaltungsinteressen den Aufschub rechtfertigen.
2
Der Beauftragte führt die Prüfung durch; er teilt der betroffenen Person mit, dass entweder keine Daten über sie unrechtmässig bearbeitet werden oder dass er im Falle von Fehlern bei der Bearbeitung der Personendaten oder betreffend den Aufschub der Auskunft eine Untersuchung nach Artikel 22 des Schengen-Datenschutzgesetzes vom 28. September 201818 (SDSG) eröffnet hat.
3
Stellt der Beauftragte Fehler bei der Datenbearbeitung oder betreffend den Aufschub der Auskunft fest, so ordnet er an, dass fedpol diese behebt.
4
Die Mitteilungen nach den Absätzen 2 und 3 lauten stets gleich und werden nicht begründet. Die Mitteilung nach Absatz 3 kann nicht angefochten werden.
5
Sobald das Geheimhaltungsinteresse dahingefallen ist, spätestens aber nach Ablauf der Aufbewahrungsdauer, erteilt fedpol der gesuchstellenden Person Auskunft, sofern dies nicht mit übermässigem Aufwand verbunden ist. Personen, über die keine Daten bearbeitet wurden, informiert fedpol drei Jahre nach Eingang ihres Gesuchs über diese Tatsache.
6
Legt eine Person glaubhaft dar, dass ihr bei einem Aufschub der Auskunft ein erheblicher, nicht wieder gut zu machender Schaden erwächst, so kann der Beauftragte anordnen, dass fedpol ausnahmsweise sofort Auskunft erteilt, wenn und 7
17 18
SR 361 SR ...
6014
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
soweit damit keine Gefährdung der inneren oder der äusseren Sicherheit verbunden ist.
Einfügen vor dem Gliederungstitel des 2. Abschnitts Art. 8a
Einschränkung des Auskunftsrechts bei Ausschreibungen zur Festnahme zum Zweck der Auslieferung
Verlangt eine Person bei fedpol Auskunft darüber, ob sie in einem polizeilichen Informationssystem zur Festnahme zum Zweck der Auslieferung ausgeschrieben ist, so teilt fedpol der betroffenen Person mit, dass keine Daten über sie unrechtmässig bearbeitet werden und dass sie vom Beauftragten verlangen kann, zu prüfen, ob allfällige Daten über sie rechtmässig bearbeitet werden.
1
Der Beauftragte führt die Prüfung durch; er teilt der betroffenen Person mit, dass entweder keine Daten über sie unrechtmässig bearbeitet werden oder dass er im Falle von Fehlern bei der Bearbeitung der Personendaten eine Untersuchung nach Artikel 22 SDSG19 eröffnet hat.
2
Stellt der Beauftragte Fehler bei der Datenbearbeitung fest, so ordnet er an, dass fedpol diese behebt.
3
Die Mitteilungen nach den Absätzen 1 und 2 lauten stets gleich und werden nicht begründet.
4
5
Die Mitteilung nach Absatz 2 kann nicht angefochten werden.
9. Schengen-Informationsaustausch-Gesetz vom 12. Juni 200920 Art. 2 Abs. 3 Die Bearbeitung von Informationen richtet sich nach den Artikeln 349a349h des Strafgesetzbuchs21.
3
Art. 6a6c Aufgehoben
19 20 21
SR ...
SR 362.2 SR 311.0
6015
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
III 1
Dieses Gesetz untersteht dem fakultativen Referendum.
2
Der Bundesrat bestimmt das Inkrafttreten.
Nationalrat, 28. September 2018
Ständerat, 28. September 2018
Der Präsident: Dominique de Buman Der Sekretär: Pierre-Hervé Freléchoz
Die Präsidentin: Karin Keller-Sutter Die Sekretärin: Martina Buol
Datum der Veröffentlichung: 9. Oktober 201822 Ablauf der Referendumsfrist: 17. Januar 2019
22
BBl 2018 6003
6016
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
Anhang (Ziff. I)
Bundesgesetz über den Datenschutz im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen (Schengen-Datenschutzgesetz, SDSG) vom 28. September 2018
Die Bundesversammlung der Schweizerischen Eidgenossenschaft, gestützt auf die Artikel 54 Absatz 1, 123 und 173 Absatz 2 der Bundesverfassung 23, in Ausführung der Richtlinie (EU) 2016/68024, nach Einsicht in die Botschaft des Bundesrates vom 15. September 201725, beschliesst:
1. Abschnitt: Allgemeine Bestimmungen Art. 1
Gegenstand
Dieses Gesetz regelt die Bearbeitung von Personendaten durch Bundesorgane zum Zweck der Verhütung, Aufklärung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschliesslich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit: 1
2
a.
im Rahmen der Anwendung des Schengen-Besitzstands;
b.
im Rahmen der Anwendung internationaler Verträge, die mit der Europäischen Union oder mit Staaten, die mit der Schweiz über eines der SchengenAssoziierungsabkommen verbunden sind (Schengen-Staaten), abgeschlossen worden sind und die bezüglich des Datenschutzes auf die Richtlinie (EU) 2016/680 verweisen.
Die Schengen-Assoziierungsabkommen sind im Anhang aufgeführt.
23 24
25
SR 101 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, Fassung gemäss ABl.
L 119 vom 4.5.2016, S. 89.
BBl 2017 6941
6017
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
Art. 2
BBl 2018
Verhältnis zu anderen Erlassen
Dieses Gesetz gilt nicht für die Rechte der betroffenen Personen in hängigen Verfahren vor den eidgenössischen Gerichten und in hängigen Verfahren nach der Strafprozessordnung26 oder nach dem Rechtshilfegesetz vom 20. März 198127; diese werden durch das anwendbare Verfahrensrecht geregelt.
1
Soweit in diesem Gesetz keine besonderen Vorschriften bestehen, ist das Bundesgesetz vom 19. Juni 199228 über den Datenschutz (DSG) anwendbar; die Anwendbarkeit anderer Bundesgesetze bleibt vorbehalten.
2
Art. 3 1
Begriffe
In diesem Gesetz bedeuten:
26 27 28
a.
besonders schützenswerte Personendaten: 1. Daten über die religiösen, weltanschaulichen und politischen Ansichten oder Tätigkeiten, 2. Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, 3. genetische Daten, 4. biometrische Daten, die eine natürliche Person eindeutig identifizieren, 5. Daten über Massnahmen der sozialen Hilfe, 6. Daten über administrative oder strafrechtliche Verfolgungen und Sanktionen;
b.
Profiling: jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
c.
Verletzung der Datensicherheit: jede Verletzung der Sicherheit, die ungeachtet der Absicht oder der Widerrechtlichkeit dazu führt, dass Personendaten verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden;
d.
automatisierte Einzelentscheidung: jede Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung, einschliesslich Profiling, beruht und die für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt;
SR 312.0 SR 351.1 SR 235.1
6018
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
e.
2
BBl 2018
Auftragsbearbeiter: private Person oder Bundesorgan, die oder das im Auftrag des verantwortlichen Bundesorgans Personendaten bearbeitet.
Im Übrigen finden die Begriffe nach Artikel 3 DSG29 Anwendung.
Art. 4
Grundsätze
1
Personendaten müssen rechtmässig bearbeitet werden.
2
Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.
Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.
3
Sie werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
4
Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind.
5
Art. 5
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Die Bundesorgane sind verpflichtet, die Datenbearbeitung ab der Planung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 4.
1
Die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie den Risiken, welche die Bearbeitung für die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.
2
Die Bundesorgane sind verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
3
Art. 6
Rechtsgrundlagen betreffend die Bearbeitung von Personendaten
Die Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.
1
Eine Grundlage in einem Gesetz im formellen Sinn ist in folgenden Fällen erforderlich: 2
29
a.
Es handelt sich um die Bearbeitung von besonders schützenswerten Personendaten.
b.
Es handelt sich um die Bearbeitung von Persönlichkeitsprofilen.
SR 235.1
6019
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
c.
Es handelt sich um ein Profiling.
d.
Die Art und Weise der Datenbearbeitung kann zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person führen.
In Abweichung von den Absätzen 1 und 2 können die Bundesorgane Personendaten bearbeiten, wenn eine der folgenden Voraussetzungen erfüllt ist: 3
a.
Die Bearbeitung ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen.
b.
Die betroffene Person hat ihre Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
Art. 7
Rechtsgrundlagen betreffend die Bekanntgabe von Personendaten
Die Bundesorgane dürfen Personendaten nur bekanntgeben, wenn dafür eine gesetzliche Grundlage im Sinne von Artikel 6 Absätze 1 und 2 besteht.
1
Sie dürfen Personendaten in Abweichung von Absatz 1 im Einzelfall bekanntgeben, wenn eine der folgenden Voraussetzungen erfüllt ist: 2
3
a.
Die Bekanntgabe der Personendaten ist für das verantwortliche Bundesorgan oder für die Empfängerin oder den Empfänger zur Erfüllung einer gesetzlichen Aufgabe unentbehrlich.
b.
Die Bekanntgabe der Personendaten ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen.
c.
Die betroffene Person hat ihre Personendaten allgemein zugänglich gemacht und eine Bekanntgabe nicht ausdrücklich untersagt.
Im Übrigen ist Artikel 19 Absätze 1bis4 DSG30 anwendbar.
Art. 8
Bekanntgabe von Personendaten ins Ausland
Für die Bekanntgabe von Personendaten an die zuständigen Behörden von Schengen-Staaten dürfen nicht strengere Datenschutzregeln gelten als für die Bekanntgabe von Personendaten an schweizerische Strafbehörden.
1
Die Bekanntgabe von Personendaten an einen Drittstaat oder an ein internationales Organ wird durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt.
2
Art. 9
Verantwortliches Bundesorgan und Kontrolle
Für den Datenschutz ist das Bundesorgan verantwortlich, das die Personendaten in Erfüllung seiner Aufgaben bearbeitet oder bearbeiten lässt.
1
30
SR 235.1
6020
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
Bearbeitet das Bundesorgan Personendaten zusammen mit anderen Bundesorganen, mit kantonalen Organen oder mit Privaten, so regelt der Bundesrat das Kontrollverfahren und die Verantwortung für den Datenschutz.
2
Art. 10
Bearbeitung durch Auftragsbearbeiter
Die Bearbeitung von Personendaten kann einem Auftragsbearbeiter übertragen werden, wenn die Voraussetzungen nach Artikel 10a DSG31 erfüllt sind.
1
Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger schriftlicher Genehmigung des Bundesorgans einem Dritten übertragen.
2
2. Abschnitt: Pflichten der Bundesorgane und der Auftragsbearbeiter Art. 11
Automatisierte Einzelentscheidung
Das Bundesorgan informiert die betroffene Person über eine ihr gegenüber ergangene automatisierte Einzelentscheidung (Art. 3 Abs. 1 Bst. d); es kennzeichnet die Entscheidung entsprechend.
1
Es gibt der betroffenen Person auf Antrag die Möglichkeit, ihren Standpunkt darzulegen. Die betroffene Person kann verlangen, dass ihr das angewandte Verfahren mitgeteilt und die Entscheidung von einer natürlichen Person überprüft wird.
2
Absatz 2 gilt nicht, wenn der betroffenen Person gegen die Entscheidung ein Rechtsmittel zur Verfügung steht.
3
Art. 12
Verzeichnis der Bearbeitungstätigkeiten
Die Bundesorgane und Auftragsbearbeiter führen ein Verzeichnis ihrer Bearbeitungstätigkeiten.
1
2
Die Verzeichnisse der Bundesorgane enthalten mindestens:
31 32
a.
den Namen des Bundesorgans;
b.
den Bearbeitungszweck;
c.
eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
d.
die Kategorien der Empfängerinnen und Empfänger;
e.
die Aufbewahrungsdauer der Personendaten oder, wenn dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
f.
wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 7 DSG32;
SR 235.1 SR 235.1
6021
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
g.
BBl 2018
die Angabe des Drittstaates oder des internationalen Organs, welchem Personendaten bekanntgegeben werden, sowie die vorgesehenen Garantien zum Schutz der Personendaten.
Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Bundesorgans, zu den Kategorien von Bearbeitungen, die im Auftrag des Bundesorgans durchgeführt werden, sowie die Angaben nach Absatz 2 Buchstabe f.
3
Art. 13
Datenschutz-Folgenabschätzung
Das Bundesorgan erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.
1
Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor: 2
a.
bei der umfangreichen Bearbeitung von besonders schützenswerten Personendaten oder von Persönlichkeitsprofilen;
b.
bei einem Profiling.
Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Grundrechte.
3
Art. 14
Konsultation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten
Ergibt sich aus der Datenschutz- Folgenabschätzung, dass die geplante Bearbeitung ein hohes Risiko für die Grundrechte der betroffenen Person zur Folge hätte, wenn das Bundesorgan keine Massnahmen träfe, so holt es vorgängig die Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Beauftragter) ein.
1
Der Beauftragte teilt dem Bundesorgan innerhalb von zwei Monaten seine Einwände gegen die geplante Bearbeitung mit. Diese Frist kann um einen Monat verlängert werden, wenn es sich um eine komplexe Datenbearbeitung handelt.
2
Hat der Beauftragte Einwände gegen die geplante Bearbeitung, so schlägt er dem Bundesorgan geeignete Massnahmen vor.
3
Art. 15
Meldung von Verletzungen der Datensicherheit
Das Bundesorgan meldet dem Beauftragten so rasch wie möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Grundrechte der betroffenen Person führt.
1
6022
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
In der Meldung nennt es mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen, um die Verletzung zu beheben.
2
Der Auftragsbearbeiter meldet dem Bundesorgan so rasch wie möglich eine Verletzung der Datensicherheit.
3
Das Bundesorgan informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der Beauftragte es verlangt.
4
Es kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn: 5
a.
dies aufgrund überwiegender Interessen Dritter erforderlich ist;
b.
dies aufgrund überwiegender öffentlicher Interessen, insbesondere zur Wahrung der inneren oder äusseren Sicherheit der Schweiz, erforderlich ist;
c.
die Mitteilung der Information eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden kann;
d.
die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert; oder
e.
die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist.
Art. 16
Datenschutzverantwortliche oder -verantwortlicher
Die Bundesorgane ernennen eine Datenschutzverantwortliche oder einen Datenschutzverantwortlichen. Sie können eine gemeinsame Datenschutzverantwortliche oder einen gemeinsamen Datenschutzverantwortlichen bezeichnen.
1
2
3
Die oder der Datenschutzverantwortliche muss folgende Voraussetzungen erfüllen: a.
Sie oder er verfügt über die erforderlichen Fachkenntnisse.
b.
Sie oder er übt keine Tätigkeiten aus, die mit ihren oder seinen Aufgaben als Datenschutzverantwortliche oder Datenschutzverantwortlicher unvereinbar sind.
Die oder der Datenschutzverantwortliche hat insbesondere folgende Aufgaben: a.
Sie oder er unterstützt die Bundesorgane.
b.
Sie oder er fördert die Information und die Ausbildung der Mitarbeiterinnen und Mitarbeiter.
c.
Sie oder er wirkt beim Vollzug der Datenschutzvorschriften mit und empfiehlt Massnahmen, wenn sie oder er feststellt, dass Datenschutzvorschriften verletzt wurden.
6023
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
3. Abschnitt: Rechte der betroffenen Personen Art. 17
Auskunftsrecht
Das Auskunftsrecht der betroffenen Person richtet sich nach Artikel 8 DSG33.
Darüber hinaus teilt das Bundesorgan der betroffenen Person mit: 1
2
a.
diejenigen Informationen, die für die betroffene Person erforderlich sind, damit sie ihre Rechte nach dem vorliegenden Gesetz geltend machen kann;
b.
die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer.
Die Spezialbestimmungen in anderen Bundesgesetzen bleiben vorbehalten.
Art. 18
Einschränkung des Auskunftsrechts
Die Einschränkung des Auskunftsrechts richtet sich nach Artikel 9 Absätze 13 und 5 DSG34. Darüber hinaus kann das Bundesorgan die Auskunft verweigern, einschränken oder aufschieben, wenn das Auskunftsgesuch offensichtlich unbegründet oder querulatorisch ist.
1
2
Die Spezialbestimmungen in anderen Bundesgesetzen bleiben vorbehalten.
Art. 19
Weitere Ansprüche und Verfahren
Wer ein schutzwürdiges Interesse hat, kann vom verantwortlichen Bundesorgan verlangen, dass es: 1
a.
die widerrechtliche Bearbeitung unterlässt;
b.
die Folgen einer widerrechtlichen Bearbeitung beseitigt;
c.
die Widerrechtlichkeit der Bearbeitung feststellt.
Die Gesuchstellerin oder der Gesuchsteller kann insbesondere verlangen, dass das Bundesorgan: 2
a.
die betreffenden Personendaten berichtigt, löscht oder vernichtet;
b.
seinen Entscheid, namentlich über die Berichtigung, Löschung oder Vernichtung, die Sperrung der Bekanntgabe nach Artikel 20 DSG35 oder den Bestreitungsvermerk nach Absatz 4 veröffentlicht oder Dritten mitteilt.
Statt die Personendaten zu löschen oder zu vernichten, schränkt das Bundesorgan die Bearbeitung ein, wenn: 3
33 34 35
a.
die betroffene Person die Richtigkeit der Personendaten bestreitet und weder die Richtigkeit noch die Unrichtigkeit festgestellt werden kann;
b.
überwiegende Interessen Dritter dies erfordern;
SR 235.1 SR 235.1 SR 235.1
6024
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
c.
ein überwiegendes öffentliches Interesse, namentlich die innere oder die äussere Sicherheit der Schweiz, dies erfordert;
d.
die Löschung oder Vernichtung der Personendaten eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden kann.
Kann weder die Richtigkeit noch die Unrichtigkeit der Personendaten festgestellt werden, so bringt das Bundesorgan bei den Daten einen Bestreitungsvermerk an.
4
Das Verfahren richtet sich nach dem Verwaltungsverfahrensgesetz vom 20. Dezember 196836 (VwVG). Die Ausnahmen nach den Artikeln 2 und 3 VwVG gelten nicht.
5
6
Die Spezialbestimmungen in anderen Bundesgesetzen bleiben vorbehalten.
Art. 20
Verfahren im Falle der Bekanntgabe von amtlichen Dokumenten, die Personendaten enthalten
Solange ein Verfahren betreffend den Zugang zu amtlichen Dokumenten im Sinne des Öffentlichkeitsgesetzes vom 17. Dezember 200437, welche Personendaten enthalten, im Gange ist, kann die betroffene Person im Rahmen dieses Verfahrens die Rechte geltend machen, die ihr aufgrund von Artikel 19 des vorliegenden Gesetzes bezogen auf diejenigen Dokumente zustehen, die Gegenstand des Zugangsverfahrens sind.
4. Abschnitt: Aufsicht Art. 21
Beauftragter
Der Beauftragte beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
1
2
Von der Aufsicht durch den Beauftragten sind ausgenommen: a.
die eidgenössischen Gerichte;
b.
die Bundesanwaltschaft, betreffend die Bearbeitung von Personendaten im Rahmen von Strafverfahren;
c.
Bundesbehörden, betreffend die Bearbeitung von Personendaten im Rahmen von Verfahren der internationalen Rechtshilfe in Strafsachen.
Art. 22
Untersuchung
Der Beauftragte eröffnet von Amtes wegen oder auf Anzeige hin eine Untersuchung gegen das Bundesorgan oder den Auftragsbearbeiter, wenn Anzeichen beste1
36 37
SR 172.021 SR 152.3
6025
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
hen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.
Er kann von der Eröffnung einer Untersuchung absehen, wenn die Verletzung der Datenschutzvorschriften von geringfügiger Bedeutung ist.
2
Das Bundesorgan oder der Auftragsbearbeiter erteilt dem Beauftragten alle Auskünfte und stellt ihm alle Unterlagen zur Verfügung, die für die Untersuchung notwendig sind. Das Auskunftsverweigerungsrecht richtet sich nach den Artikeln 16 und 17 VwVG38.
3
Hat die betroffene Person Anzeige erstattet, so informiert der Beauftragte sie über die gestützt darauf unternommenen Schritte und das Ergebnis einer allfälligen Untersuchung.
4
Art. 23
Befugnisse
Kommt das Bundesorgan oder der Auftragsbearbeiter den Mitwirkungspflichten nicht nach, so kann der Beauftragte im Rahmen der Untersuchung insbesondere Folgendes anordnen: 1
a.
Zugang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten, die für die Untersuchung erforderlich sind;
b.
Zugang zu Räumlichkeiten und Anlagen;
c.
Zeugeneinvernahmen;
d.
Begutachtungen durch Sachverständige.
Er kann für die Dauer der Untersuchung zudem vorsorgliche Massnahmen anordnen.
2
Art. 24
Verwaltungsmassnahmen
Liegt eine Verletzung von Datenschutzvorschriften vor, so kann der Beauftragte verfügen, dass die Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden.
1
Er kann die Bekanntgabe ins Ausland aufschieben oder untersagen, wenn sie gegen die anwendbaren gesetzlichen Bestimmungen betreffend die Bekanntgabe von Personendaten an einen Drittstaat oder an ein internationales Organ verstösst.
2
Hat das Bundesorgan oder der Auftragsbearbeiter während der Untersuchung die erforderlichen Massnahmen getroffen, um die Einhaltung der Datenschutzvorschriften wiederherzustellen, so kann der Beauftragte sich darauf beschränken, eine Verwarnung auszusprechen.
3
38
SR 172.021
6026
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
Art. 25
BBl 2018
Verfahren
Das Untersuchungsverfahren sowie Verfügungen nach den Artikeln 23 und 24 richten sich nach dem VwVG39.
1
Unter Vorbehalt von Artikel 349h des Strafgesetzbuches40 ist nur das Bundesorgan oder der Auftragsbearbeiter, gegen das oder den eine Untersuchung eröffnet wurde, Partei.
2
Der Beauftragte kann Beschwerdeentscheide des Bundesverwaltungsgerichts anfechten.
3
5. Abschnitt: Amtshilfe zwischen dem Beauftragten und ausländischen Behörden Art. 26 Der Beauftragte kann mit der Behörde eines Schengen-Staates, die für den Datenschutz zuständig ist, für die Erfüllung ihrer jeweiligen gesetzlich vorgesehenen Aufgaben im Bereich des Datenschutzes Informationen oder Personendaten austauschen, wenn folgende Voraussetzungen erfüllt sind: 1
a.
Die Gegenseitigkeit der Amtshilfe ist sichergestellt.
b.
Die Informationen und Personendaten werden nur für das den Datenschutz betreffende Verfahren verwendet, das dem Amtshilfeersuchen zugrunde liegt.
c.
Die empfangende Behörde verpflichtet sich, die Berufs- sowie Geschäftsund Fabrikationsgeheimnisse zu wahren.
d.
Die Informationen und Personendaten werden Dritten nur bekanntgegeben, wenn die Behörde, die sie übermittelt hat, dies vorgängig genehmigt.
e.
Die empfangende Behörde verpflichtet sich, die Auflagen und Einschränkungen der Behörde einzuhalten, die ihr die Informationen und Personendaten übermittelt hat.
Um sein Amtshilfegesuch zu begründen oder um dem Ersuchen einer Behörde Folge zu leisten, kann der Beauftragte insbesondere folgende Angaben machen: 2
39 40
a.
den Namen des verantwortlichen Bundesorgans, des Auftragsbearbeiters oder anderer beteiligter Dritter;
b.
die Kategorien der betroffenen Personen;
c.
die Identität der betroffenen Personen, falls deren Mitteilung unentbehrlich ist, damit der Beauftragte oder die für den Datenschutz zuständige Behörde eines Schengen-Staates ihre gesetzlichen Aufgaben erfüllen können;
SR 172.021 SR 311.0
6027
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
d.
bearbeitete Personendaten oder Kategorien bearbeiteter Personendaten;
e.
den Bearbeitungszweck;
f.
die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
g.
die technischen und organisatorischen Massnahmen.
Bevor der Beauftragte der Behörde eines Schengen-Staates, die für den Datenschutz zuständig ist, Informationen bekanntgibt, die Berufs-, Geschäfts- oder Fabrikationsgeheimnisse enthalten können, informiert er die betroffenen Personen, die Trägerinnen dieser Geheimnisse sind, und lädt sie zur Stellungnahme ein, es sei denn, dies ist nicht möglich oder erfordert einen unverhältnismässigen Aufwand.
3
6. Abschnitt: Übergangbestimmung betreffend laufende Verfahren Art. 27 Dieses Gesetz gilt nicht für Untersuchungen des Beauftragten, die im Zeitpunkt des Inkrafttretens hängig sind; es ist ebenfalls nicht anwendbar auf hängige Beschwerden gegen erstinstanzliche Entscheide, die vor dem Inkrafttreten ergangen sind.
Diese Fälle unterstehen dem bisherigen Recht.
6028
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
Anhang (Art. 1 Abs. 2)
Schengen-Assoziierungsabkommen Die Schengen-Assoziierungsabkommen umfassen:
41 42 43 44 45 46
a.
Abkommen vom 26. Oktober 200441 zwischen der Schweizerischen Eidgenossenschaft, der Europäischen Union und der Europäischen Gemeinschaft über die Assoziierung dieses Staates bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands;
b.
Abkommen vom 26. Oktober 200442 in Form eines Briefwechsels zwischen dem Rat der Europäischen Union und der Schweizerischen Eidgenossenschaft über die Ausschüsse, die die Europäische Kommission bei der Ausübung ihrer Durchführungsbefugnisse unterstützen;
c.
Vereinbarung vom 22. September 201143 zwischen der Europäischen Union sowie der Republik Island, dem Fürstentum Liechtenstein, dem Königreich Norwegen und der Schweizerischen Eidgenossenschaft über die Beteiligung dieser Staaten an der Arbeit der Ausschüsse, die die Europäische Kommission bei der Ausübung ihrer Durchführungsbefugnisse in Bezug auf die Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands unterstützen;
d.
Übereinkommen vom 17. Dezember 200444 zwischen der Schweizerischen Eidgenossenschaft, der Republik Island und dem Königreich Norwegen über die Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands und über die Kriterien und Verfahren zur Bestimmung des zuständigen Staates für die Prüfung eines in der Schweiz, in Island oder in Norwegen gestellten Asylantrags;
e.
Abkommen vom 28. April 200545 zwischen der Schweizerischen Eidgenossenschaft und dem Königreich Dänemark über die Umsetzung, Anwendung und Entwicklung derjenigen Teile des Schengen-Besitzstands, die auf Bestimmungen des Titels IV des Vertrags zur Gründung der Europäischen Gemeinschaft basieren;
f.
Protokoll vom 28. Februar 200846 zwischen der Schweizerischen Eidgenossenschaft, der Europäischen Union, der Europäischen Gemeinschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zum Abkommen zwischen der Schweizerischen Eidgenossenschaft, der Europäischen Union und der Europäischen Gemeinschaft über die AssoziieSR 0.362.31 SR 0.362.1 SR 0.362.11 SR 0.362.32 SR 0.362.33 SR 0.362.311
6029
Weiterentwicklung des Schengen-Besitzstands.
Umsetzung der Richtlinie (EU) 2016/680. BG
BBl 2018
rung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands.
6030