Ablauf der Referendumsfrist: 14. Januar 2021

Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) vom 25. September 2020

Die Bundesversammlung der Schweizerischen Eidgenossenschaft, gestützt auf die Artikel 95 Absatz 1, 97 Absatz 1, 122 Absatz 1 und 173 Absatz 2 der Bundesverfassung1, nach Einsicht in die Botschaft des Bundesrates vom 15. September 20172, beschliesst:

1. Kapitel: Zweck und Geltungsbereich sowie Aufsichtsbehörde des Bundes Art. 1

Zweck

Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden.

Art. 2

Persönlicher und sachlicher Geltungsbereich

Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch: 1

2

a.

private Personen;

b.

Bundesorgane.

Es ist nicht anwendbar auf: a.

Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;

b.

Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;

SR ...

1 SR 101 2 BBl 2017 6941 2020-2930

7639

Datenschutzgesetz

c.

BBl 2020

Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.

Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.

3

Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.

4

Art. 3

Räumlicher Geltungsbereich

Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.

1

Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 1987 4 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.

2

Art. 4

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.

1

2

3 4 5

Von der Aufsicht durch den EDÖB sind ausgenommen: a.

die Bundesversammlung;

b.

der Bundesrat;

c.

die eidgenössischen Gerichte;

d.

die Bundesanwaltschaft: betreffend die Bearbeitung von Personendaten im Rahmen von Strafverfahren;

e.

Bundesbehörden: betreffend die Bearbeitung von Personendaten im Rahmen einer rechtsprechenden Tätigkeit oder von Verfahren der internationalen Rechtshilfe in Strafsachen.

SR 192.12 SR 291 SR 311.0

7640

Datenschutzgesetz

BBl 2020

2. Kapitel: Allgemeine Bestimmungen 1. Abschnitt: Begriffe und Grundsätze Art. 5

Begriffe

In diesem Gesetz bedeuten: a.

Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;

b.

betroffene Person: natürliche Person, über die Personendaten bearbeitet werden;

c.

besonders schützenswerte Personendaten: 1. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, 2. Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, 3. genetische Daten, 4. biometrische Daten, die eine natürliche Person eindeutig identifizieren, 5. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen, 6. Daten über Massnahmen der sozialen Hilfe;

d.

Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten;

e.

Bekanntgeben: das Übermitteln oder Zugänglichmachen von Personendaten;

f.

Profiling: jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

g.

Profiling mit hohem Risiko: Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt;

h.

Verletzung der Datensicherheit: eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden;

i.

Bundesorgan: Behörde oder Dienststelle des Bundes oder Person, die mit öffentlichen Aufgaben des Bundes betraut ist; 7641

Datenschutzgesetz

BBl 2020

j.

Verantwortlicher: private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet;

k.

Auftragsbearbeiter: private Person oder Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet.

Art. 6

Grundsätze

1

Personendaten müssen rechtmässig bearbeitet werden.

2

Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.

Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.

3

Sie werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.

4

Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Die Angemessenheit der Massnahmen hängt namentlich ab von der Art und dem Umfang der Bearbeitung sowie vom Risiko, das die Bearbeitung für die Persönlichkeit oder Grundrechte der betroffenen Personen mit sich bringt.

5

Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird.

6

7

Die Einwilligung muss ausdrücklich erfolgen für: a.

die Bearbeitung von besonders schützenswerten Personendaten;

b.

ein Profiling mit hohem Risiko durch eine private Person; oder

c.

ein Profiling durch ein Bundesorgan.

Art. 7

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.

1

Die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.

2

Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck 3

7642

Datenschutzgesetz

BBl 2020

nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.

Art. 8

Datensicherheit

Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.

1

Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.

2

Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.

3

Art. 9

Bearbeitung durch Auftragsbearbeiter

Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn: 1

a.

die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und

b.

keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.

Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.

2

Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.

3

4

Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.

Art. 10

Datenschutzberaterin oder -berater

Private Verantwortliche können eine Datenschutzberaterin oder einen Datenschutzberater ernennen.

1

Die Datenschutzberaterin oder der Datenschutzberater ist Anlaufstelle für die betroffenen Personen und für die Behörden, die in der Schweiz für den Datenschutz zuständig sind. Sie oder er hat namentlich folgende Aufgaben: 2

a.

Schulung und Beratung des privaten Verantwortlichen in Fragen des Datenschutzes;

b.

Mitwirkung bei der Anwendung der Datenschutzvorschriften.

Private Verantwortliche können von der Ausnahme nach Artikel 23 Absatz 4 Gebrauch machen, wenn die folgenden Voraussetzungen erfüllt sind: 3

a.

Die Datenschutzberaterin oder der Datenschutzberater übt ihre oder seine Funktion gegenüber dem Verantwortlichen fachlich unabhängig und weisungsungebunden aus.

7643

Datenschutzgesetz

BBl 2020

b.

Sie oder er übt keine Tätigkeiten aus, die mit ihren oder seinen Aufgaben als Datenschutzberaterin oder -berater unvereinbar sind.

c.

Sie oder er verfügt über die erforderlichen Fachkenntnisse.

d.

Der Verantwortliche veröffentlicht die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters und teilt diese dem EDÖB mit.

Der Bundesrat regelt die Ernennung von Datenschutzberaterinnen und Datenschutzberatern durch die Bundesorgane.

4

Art. 11

Verhaltenskodizes

Berufs-, Branchen- und Wirtschaftsverbände, die nach ihren Statuten zur Wahrung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind, sowie Bundesorgane können dem EDÖB Verhaltenskodizes vorlegen.

1

Dieser nimmt zu den Verhaltenskodizes Stellung und veröffentlicht seine Stellungnahmen.

2

Art. 12

Verzeichnis der Bearbeitungstätigkeiten

Die Verantwortlichen und Auftragsbearbeiter führen je ein Verzeichnis ihrer Bearbeitungstätigkeiten.

1

2

Das Verzeichnis des Verantwortlichen enthält mindestens: a.

die Identität des Verantwortlichen;

b.

den Bearbeitungszweck;

c.

eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;

d.

die Kategorien der Empfängerinnen und Empfänger;

e.

wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;

f.

wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8;

g.

falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2.

Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die Angaben nach Absatz 2 Buchstaben f und g.

3

4

Die Bundesorgane melden ihre Verzeichnisse dem EDÖB.

Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.

5

7644

Datenschutzgesetz

Art. 13

BBl 2020

Zertifizierung

Die Hersteller von Datenbearbeitungssystemen oder -programmen sowie die Verantwortlichen und Auftragsbearbeiter können ihre Systeme, Produkte und Dienstleistungen einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen.

1

Der Bundesrat erlässt Vorschriften über die Anerkennung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens. Er berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen.

2

2. Abschnitt: Datenbearbeitung durch private Verantwortliche mit Sitz oder Wohnsitz im Ausland Art. 14

Vertretung

Private Verantwortliche mit Sitz oder Wohnsitz im Ausland bezeichnen eine Vertretung in der Schweiz, wenn sie Personendaten von Personen in der Schweiz bearbeiten und die Datenbearbeitung die folgenden Voraussetzungen erfüllt: 1

a.

Die Bearbeitung steht im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz.

b.

Es handelt sich um eine umfangreiche Bearbeitung.

c.

Es handelt sich um eine regelmässige Bearbeitung.

d.

Die Bearbeitung bringt ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich.

2

Die Vertretung dient als Anlaufstelle für die betroffenen Personen und den EDÖB.

3

Der Verantwortliche veröffentlicht den Namen und die Adresse der Vertretung.

Art. 15

Pflichten der Vertretung

Die Vertretung führt ein Verzeichnis der Bearbeitungstätigkeiten des Verantwortlichen, das die Angaben nach Artikel 12 Absatz 2 enthält.

1

2

Auf Anfrage teilt sie dem EDÖB die im Verzeichnis enthaltenen Angaben mit.

Auf Anfrage erteilt sie der betroffenen Person Auskünfte darüber, wie sie ihre Rechte ausüben kann.

3

7645

Datenschutzgesetz

BBl 2020

3. Abschnitt: Bekanntgabe von Personendaten ins Ausland Art. 16

Grundsätze

Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.

1

Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch: 2

3

a.

einen völkerrechtlichen Vertrag;

b.

Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden;

c.

spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat;

d.

Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; oder

e.

verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.

Der Bundesrat kann andere geeignete Garantien im Sinne von Absatz 2 vorsehen.

Art. 17

Ausnahmen

Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden: 1

a.

Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.

b.

Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags: 1. zwischen dem Verantwortlichen und der betroffenen Person; oder 2. zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.

c.

Die Bekanntgabe ist notwendig für: 1. die Wahrung eines überwiegenden öffentlichen Interesses; oder 2. die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.

d.

Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.

7646

Datenschutzgesetz

BBl 2020

e.

Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.

f.

Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.

Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.

2

Art. 18

Veröffentlichung von Personendaten in elektronischer Form

Werden Personendaten zur Information der Öffentlichkeit mittels automatisierter Informations- und Kommunikationsdienste allgemein zugänglich gemacht, so gilt dies nicht als Bekanntgabe ins Ausland, auch wenn die Daten vom Ausland aus zugänglich sind.

3. Kapitel: Pflichten des Verantwortlichen und des Auftragsbearbeiters Art. 19

Informationspflicht bei der Beschaffung von Personendaten

Der Verantwortliche informiert die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.

1

Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; er teilt ihr mindestens mit: 2

a.

die Identität und die Kontaktdaten des Verantwortlichen;

b.

den Bearbeitungszweck;

c.

gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden.

Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr zudem die Kategorien der bearbeiteten Personendaten mit.

3

Werden die Personendaten ins Ausland bekanntgegeben, so teilt er der betroffenen Person auch den Staat oder das internationale Organ und gegebenenfalls die Garantien nach Artikel 16 Absatz 2 oder die Anwendung einer Ausnahme nach Artikel 17 mit.

4

Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr die Informationen nach den Absätzen 2­4 spätestens einen Monat, nachdem er die Daten erhalten hat, mit. Gibt der Verantwortliche die Personendaten vor Ablauf dieser Frist bekannt, so informiert er die betroffene Person spätestens im Zeitpunkt der Bekanntgabe.

5

7647

Datenschutzgesetz

Art. 20

BBl 2020

Ausnahmen von der Informationspflicht und Einschränkungen

Die Informationspflicht nach Artikel 19 entfällt, wenn eine der folgenden Voraussetzungen erfüllt ist: 1

a.

Die betroffene Person verfügt bereits über die entsprechenden Informationen.

b.

Die Bearbeitung ist gesetzlich vorgesehen.

c.

Es handelt sich beim Verantwortlichen um eine private Person, die gesetzlich zur Geheimhaltung verpflichtet ist.

d.

Die Voraussetzungen nach Artikel 27 sind erfüllt.

Werden die Personendaten nicht bei der betroffenen Person beschafft, so entfällt die Informationspflicht zudem, wenn eine der folgenden Voraussetzungen erfüllt ist: 2

a.

Die Information ist nicht möglich.

b.

Die Information erfordert einen unverhältnismässigen Aufwand.

Der Verantwortliche kann die Mitteilung der Informationen in den folgenden Fällen einschränken, aufschieben oder darauf verzichten: 3

a.

Überwiegende Interessen Dritter erfordern die Massnahme.

b.

Die Information vereitelt den Zweck der Bearbeitung.

c.

Der Verantwortliche ist eine private Person und die folgenden Voraussetzungen sind erfüllt: 1. Überwiegende Interessen des Verantwortlichen erfordern die Massnahme.

2. Der Verantwortliche gibt die Personendaten nicht Dritten bekannt.

d.

Der Verantwortliche ist ein Bundesorgan und eine der folgenden Voraussetzungen ist erfüllt: 1. Die Massnahme ist wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder der äusseren Sicherheit der Schweiz, erforderlich.

2. Die Mitteilung der Information kann eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden.

Unternehmen, die zum selben Konzern gehören, gelten nicht als Dritte im Sinne von Absatz 3 Buchstabe c Ziffer 2.

4

Art. 21

Informationspflicht bei einer automatisierten Einzelentscheidung

Der Verantwortliche informiert die betroffene Person über eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt (automatisierte Einzelentscheidung).

1

Er gibt der betroffenen Person auf Antrag die Möglichkeit, ihren Standpunkt darzulegen. Die betroffene Person kann verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.

2

7648

Datenschutzgesetz

3

BBl 2020

Die Absätze 1 und 2 gelten nicht, wenn: a.

die automatisierte Einzelentscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person steht und ihrem Begehren stattgegeben wird; oder

b.

die betroffene Person ausdrücklich eingewilligt hat, dass die Entscheidung automatisiert erfolgt.

Ergeht die automatisierte Einzelentscheidung durch ein Bundesorgan, so muss es die Entscheidung entsprechend kennzeichnen. Absatz 2 ist nicht anwendbar, wenn die betroffene Person nach Artikel 30 Absatz 2 des Verwaltungsverfahrensgesetzes vom 20. Dezember 19686 (VwVG) oder nach einem anderen Bundesgesetz vor dem Entscheid nicht angehört werden muss.

4

Art. 22

Datenschutz-Folgenabschätzung

Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.

1

Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor: 2

a.

bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;

b.

wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.

3

Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.

4

Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er ein System, ein Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Artikel 13 zertifiziert ist, oder wenn er einen Verhaltenskodex nach Artikel 11 einhält, der die folgenden Voraussetzungen erfüllt: 5

6

a.

Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.

b.

Er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor.

c.

Er wurde dem EDÖB vorgelegt.

SR 172.021

7649

Datenschutzgesetz

Art. 23

BBl 2020

Konsultation des EDÖB

Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so holt er vorgängig die Stellungnahme des EDÖB ein.

1

Der EDÖB teilt dem Verantwortlichen innerhalb von zwei Monaten seine Einwände gegen die geplante Bearbeitung mit. Diese Frist kann um einen Monat verlängert werden, wenn es sich um eine komplexe Datenbearbeitung handelt.

2

Hat der EDÖB Einwände gegen die geplante Bearbeitung, so schlägt er dem Verantwortlichen geeignete Massnahmen vor.

3

Der private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater nach Artikel 10 konsultiert hat.

4

Art. 24

Meldung von Verletzungen der Datensicherheit

Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.

1

In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.

2

Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.

3

Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.

4

Er kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn: 5

a.

ein Grund nach Artikel 26 Absatz 1 Buchstabe b oder Absatz 2 Buchstabe b vorliegt oder eine gesetzliche Geheimhaltungspflicht dies verbietet;

b.

die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert; oder

c.

die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist.

Eine Meldung, die aufgrund dieses Artikels erfolgt, darf in einem Strafverfahren gegen die meldepflichtige Person nur mit deren Einverständnis verwendet werden.

6

4. Kapitel: Rechte der betroffenen Person Art. 25

Auskunftsrecht

Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.

1

7650

Datenschutzgesetz

BBl 2020

Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. In jedem Fall werden ihr folgende Informationen mitgeteilt: 2

a.

die Identität und die Kontaktdaten des Verantwortlichen;

b.

die bearbeiteten Personendaten als solche;

c.

der Bearbeitungszweck;

d.

die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;

e.

die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;

f.

gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;

g.

gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.

Personendaten über die Gesundheit können der betroffenen Person mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden.

3

Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig.

4

5

Niemand kann im Voraus auf das Auskunftsrecht verzichten.

Der Verantwortliche muss kostenlos Auskunft erteilen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.

6

7

Die Auskunft wird in der Regel innerhalb von 30 Tagen erteilt.

Art. 26

Einschränkungen des Auskunftsrechts

Der Verantwortliche kann die Auskunft verweigern, einschränken oder aufschieben, wenn: 1

a.

ein Gesetz im formellen Sinn dies vorsieht, namentlich um ein Berufsgeheimnis zu schützen;

b.

dies aufgrund überwiegender Interessen Dritter erforderlich ist; oder

c.

das Auskunftsgesuch offensichtlich unbegründet ist, namentlich wenn es einen datenschutzwidrigen Zweck verfolgt, oder offensichtlich querulatorisch ist.

Darüber hinaus ist es in den folgenden Fällen möglich, die Auskunft zu verweigern, einzuschränken oder aufzuschieben: 2

a.

Der Verantwortliche ist eine private Person und die folgenden Voraussetzungen sind erfüllt:

7651

Datenschutzgesetz

1.

2.

b.

BBl 2020

Überwiegende Interessen des Verantwortlichen erfordern die Massnahme.

Der Verantwortliche gibt die Personendaten nicht Dritten bekannt.

Der Verantwortliche ist ein Bundesorgan, und eine der folgenden Voraussetzungen ist erfüllt: 1. Die Massnahme ist wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder der äusseren Sicherheit der Schweiz, erforderlich.

2. Die Mitteilung der Information kann eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden.

Unternehmen, die zum selben Konzern gehören, gelten nicht als Dritte im Sinne von Absatz 2 Buchstabe a Ziffer 2.

3

Der Verantwortliche muss angeben, weshalb er die Auskunft verweigert, einschränkt oder aufschiebt.

4

Art. 27

Einschränkungen des Auskunftsrechts für Medien

Werden Personendaten ausschliesslich zur Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet, so kann der Verantwortliche aus einem der folgenden Gründe die Auskunft verweigern, einschränken oder aufschieben: 1

a.

Die Daten geben Aufschluss über die Informationsquellen.

b.

Durch die Auskunft würde Einsicht in Entwürfe für Publikationen gewährt.

c.

Die Veröffentlichung würde die freie Meinungsbildung des Publikums gefährden.

Medienschaffende können die Auskunft zudem verweigern, einschränken oder aufschieben, wenn ihnen die Personendaten ausschliesslich als persönliches Arbeitsinstrument dienen.

2

Art. 28

Recht auf Datenherausgabe oder -übertragung

Jede Person kann vom Verantwortlichen die Herausgabe ihrer Personendaten, die sie ihm bekanntgegeben hat, in einem gängigen elektronischen Format verlangen, wenn: 1

a.

der Verantwortliche die Daten automatisiert bearbeitet; und

b.

die Daten mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person bearbeitet werden.

Die betroffene Person kann zudem vom Verantwortlichen verlangen, dass er ihre Personendaten einem anderen Verantwortlichen überträgt, wenn die Voraussetzungen nach Absatz 1 erfüllt sind und dies keinen unverhältnismässigen Aufwand erfordert.

2

7652

Datenschutzgesetz

BBl 2020

Der Verantwortliche muss die Personendaten kostenlos herausgeben oder übertragen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.

3

Art. 29

Einschränkungen des Rechts auf Datenherausgabe oder -übertragung

Der Verantwortliche kann die Herausgabe oder Übertragung der Personendaten aus den in Artikel 26 Absätze 1 und 2 aufgeführten Gründen verweigern, einschränken oder aufschieben.

1

Der Verantwortliche muss angeben, weshalb er die Herausgabe oder Übertragung verweigert, einschränkt oder aufschiebt.

2

5. Kapitel: Besondere Bestimmungen zur Datenbearbeitung durch private Personen Art. 30

Persönlichkeitsverletzungen

Wer Personendaten bearbeitet, darf die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen.

1

2

Eine Persönlichkeitsverletzung liegt insbesondere vor, wenn: a.

Personendaten entgegen den Grundsätzen nach den Artikeln 6 und 8 bearbeitet werden;

b.

Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden;

c.

Dritten besonders schützenswerte Personendaten bekanntgegeben werden.

In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.

3

Art. 31

Rechtfertigungsgründe

Eine Persönlichkeitsverletzung ist widerrechtlich, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist.

1

Ein überwiegendes Interesse des Verantwortlichen fällt insbesondere in folgenden Fällen in Betracht: 2

a.

Der Verantwortliche bearbeitet die Personendaten über die Vertragspartnerin oder den Vertragspartner in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags.

b.

Der Verantwortliche steht mit einer anderen Person in wirtschaftlichem Wettbewerb oder wird in wirtschaftlichen Wettbewerb treten und bearbeitet zu diesem Zweck Personendaten, die Dritten nicht bekanntgegeben werden; 7653

Datenschutzgesetz

BBl 2020

nicht als Dritte im Rahmen dieser Bestimmung gelten Unternehmen, die zum selben Konzern gehören wie der Verantwortliche.

c.

Der Verantwortliche bearbeitet Personendaten zur Prüfung der Kreditwürdigkeit der betroffenen Person, wobei die folgenden Voraussetzungen erfüllt sind: 1. Es handelt sich weder um besonders schützenswerte Personendaten noch um ein Profiling mit hohem Risiko.

2. Die Daten werden Dritten nur bekanntgegeben, wenn diese die Daten für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen.

3. Die Daten sind nicht älter als zehn Jahre.

4. Die betroffene Person ist volljährig.

d.

Der Verantwortliche bearbeitet die Personendaten beruflich und ausschliesslich zur Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums oder die Daten dienen ihm, falls keine Veröffentlichung erfolgt, ausschliesslich als persönliches Arbeitsinstrument.

e.

Der Verantwortliche bearbeitet die Personendaten für nicht personenbezogene Zwecke, insbesondere für Forschung, Planung oder Statistik, wobei die folgenden Voraussetzungen erfüllt sind: 1. Er anonymisiert die Daten, sobald der Bearbeitungszweck dies erlaubt; ist eine Anonymisierung unmöglich oder erfordert sie einen unverhältnismässigen Aufwand, so trifft er angemessene Massnahmen, um die Bestimmbarkeit der betroffenen Person zu verhindern.

2. Handelt es sich um besonders schützenswerte Personendaten, so gibt er diese Dritten so bekannt, dass die betroffene Person nicht bestimmbar ist; ist dies nicht möglich, so muss gewährleistet sein, dass die Dritten die Daten nur zu nicht personenbezogenen Zwecken bearbeiten.

3. Die Ergebnisse werden so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind.

f.

Der Verantwortliche sammelt Personendaten über eine Person des öffentlichen Lebens, die sich auf das Wirken dieser Person in der Öffentlichkeit beziehen.

Art. 32

Rechtsansprüche

Die betroffene Person kann verlangen, dass unrichtige Personendaten berichtigt werden, es sei denn: 1

a.

eine gesetzliche Vorschrift verbietet die Änderung;

b.

die Personendaten werden zu Archivzwecken im öffentlichen Interesse bearbeitet.

7654

Datenschutzgesetz

BBl 2020

Klagen zum Schutz der Persönlichkeit richten sich nach den Artikeln 28, 28a sowie 28g­28l des Zivilgesetzbuchs7. Die klagende Partei kann insbesondere verlangen, dass: 2

a.

eine bestimmte Datenbearbeitung verboten wird;

b.

eine bestimmte Bekanntgabe von Personendaten an Dritte untersagt wird;

c.

Personendaten gelöscht oder vernichtet werden.

Kann weder die Richtigkeit noch die Unrichtigkeit der betreffenden Personendaten festgestellt werden, so kann die klagende Partei verlangen, dass ein Bestreitungsvermerk angebracht wird.

3

Die klagende Partei kann zudem verlangen, dass die Berichtigung, die Löschung oder die Vernichtung, das Verbot der Bearbeitung oder der Bekanntgabe an Dritte, der Bestreitungsvermerk oder das Urteil Dritten mitgeteilt oder veröffentlicht wird.

4

6. Kapitel: Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane Art. 33

Kontrolle und Verantwortung bei gemeinsamer Bearbeitung von Personendaten

Der Bundesrat regelt die Kontrollverfahren und die Verantwortung für den Datenschutz, wenn ein Bundesorgan Personendaten zusammen mit anderen Bundesorganen, mit kantonalen Organen oder mit privaten Personen bearbeitet.

Art. 34

Rechtsgrundlagen

Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.

1

Eine Grundlage in einem Gesetz im formellen Sinn ist in folgenden Fällen erforderlich: 2

a.

Es handelt sich um die Bearbeitung von besonders schützenswerten Personendaten.

b.

Es handelt sich um ein Profiling.

c.

Der Bearbeitungszweck oder die Art und Weise der Datenbearbeitung können zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person führen.

Für die Bearbeitung von Personendaten nach Absatz 2 Buchstaben a und b ist eine Grundlage in einem Gesetz im materiellen Sinn ausreichend, wenn die folgenden Voraussetzungen erfüllt sind: 3

a.

7

Die Bearbeitung ist für eine in einem Gesetz im formellen Sinn festgelegte Aufgabe unentbehrlich.

SR 210

7655

Datenschutzgesetz

b.

BBl 2020

Der Bearbeitungszweck birgt für die Grundrechte der betroffenen Person keine besonderen Risiken.

In Abweichung von den Absätzen 1­3 dürfen Bundesorgane Personendaten bearbeiten, wenn eine der folgenden Voraussetzungen erfüllt ist: 4

a.

Der Bundesrat hat die Bearbeitung bewilligt, weil er die Rechte der betroffenen Person für nicht gefährdet hält.

b.

Die betroffene Person hat im Einzelfall in die Bearbeitung eingewilligt oder hat ihre Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.

c.

Die Bearbeitung ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.

Art. 35

Automatisierte Datenbearbeitung im Rahmen von Pilotversuchen

Der Bundesrat kann vor Inkrafttreten eines Gesetzes im formellen Sinn die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder andere Datenbearbeitungen nach Artikel 34 Absatz 2 Buchstaben b und c bewilligen, wenn: 1

2

a.

die Aufgaben, aufgrund deren die Bearbeitung erforderlich ist, in einem bereits in Kraft stehenden Gesetz im formellen Sinn geregelt sind;

b.

ausreichende Massnahmen getroffen werden, um einen Eingriff in die Grundrechte der betroffenen Personen auf das Mindestmass zu begrenzen; und

c.

für die praktische Umsetzung der Datenbearbeitung eine Testphase vor dem Inkrafttreten, insbesondere aus technischen Gründen, unentbehrlich ist.

Er holt vorgängig die Stellungnahme des EDÖB ein.

Das zuständige Bundesorgan legt dem Bundesrat spätestens zwei Jahre nach der Aufnahme des Pilotversuchs einen Evaluationsbericht vor. Es schlägt darin die Fortführung oder die Einstellung der Bearbeitung vor.

3

Die automatisierte Datenbearbeitung muss in jedem Fall abgebrochen werden, wenn innerhalb von fünf Jahren nach Aufnahme des Pilotversuchs kein Gesetz im formellen Sinn in Kraft getreten ist, das die erforderliche Rechtsgrundlage enthält.

4

Art. 36

Bekanntgabe von Personendaten

Bundesorgane dürfen Personendaten nur bekanntgeben, wenn dafür eine gesetzliche Grundlage nach Artikel 34 Absätze 1­3 besteht.

1

Sie dürfen Personendaten in Abweichung von Absatz 1 im Einzelfall bekanntgeben, wenn eine der folgenden Voraussetzungen erfüllt ist: 2

a.

7656

Die Bekanntgabe der Daten ist für den Verantwortlichen oder für die Empfängerin oder den Empfänger zur Erfüllung einer gesetzlichen Aufgabe unentbehrlich.

Datenschutzgesetz

BBl 2020

b.

Die betroffene Person hat in die Bekanntgabe eingewilligt.

c.

Die Bekanntgabe der Daten ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.

d.

Die betroffene Person hat ihre Daten allgemein zugänglich gemacht und eine Bekanntgabe nicht ausdrücklich untersagt.

e.

Die Empfängerin oder der Empfänger macht glaubhaft, dass die betroffene Person die Einwilligung verweigert oder Widerspruch gegen die Bekanntgabe einlegt, um ihr oder ihm die Durchsetzung von Rechtsansprüchen oder die Wahrnehmung anderer schutzwürdiger Interessen zu verwehren; der betroffenen Person ist vorgängig Gelegenheit zur Stellungnahme zu geben, es sei denn, dies ist unmöglich oder mit unverhältnismässigem Aufwand verbunden.

Die Bundesorgane dürfen Personendaten darüber hinaus im Rahmen der behördlichen Information der Öffentlichkeit von Amtes wegen oder gestützt auf das Öffentlichkeitsgesetz vom 17. Dezember 20048 bekanntgeben, wenn: 3

a.

die Daten im Zusammenhang mit der Erfüllung öffentlicher Aufgaben stehen; und

b.

an der Bekanntgabe ein überwiegendes öffentliches Interesse besteht.

Sie dürfen Name, Vorname, Adresse und Geburtsdatum einer Person auf Anfrage auch bekanntgeben, wenn die Voraussetzungen nach Absatz 1 oder 2 nicht erfüllt sind.

4

Sie dürfen Personendaten mittels automatisierter Informations- und Kommunikationsdienste allgemein zugänglich machen, wenn eine Rechtsgrundlage die Veröffentlichung dieser Daten vorsieht oder wenn sie Daten gestützt auf Absatz 3 bekanntgeben. Besteht kein öffentliches Interesse mehr daran, die Daten allgemein zugänglich zu machen, so werden die betreffenden Daten aus dem automatisierten Informationsund Kommunikationsdienst gelöscht.

5

Die Bundesorgane lehnen die Bekanntgabe ab, schränken sie ein oder verbinden sie mit Auflagen, wenn: 6

a.

wesentliche öffentliche Interessen oder offensichtlich schutzwürdige Interessen der betroffenen Person es verlangen; oder

b.

gesetzliche Geheimhaltungspflichten oder besondere Datenschutzvorschriften es verlangen.

Art. 37

Widerspruch gegen die Bekanntgabe von Personendaten

Die betroffene Person, die ein schutzwürdiges Interesse glaubhaft macht, kann gegen die Bekanntgabe bestimmter Personendaten durch das verantwortliche Bundesorgan Widerspruch einlegen.

1

8

SR 152.3

7657

Datenschutzgesetz

BBl 2020

Das Bundesorgan weist das Begehren ab, wenn eine der folgenden Voraussetzungen erfüllt ist: 2

3

a.

Es besteht eine Rechtspflicht zur Bekanntgabe.

b.

Die Erfüllung seiner Aufgaben wäre sonst gefährdet.

Artikel 36 Absatz 3 bleibt vorbehalten.

Art. 38

Angebot von Unterlagen an das Bundesarchiv

In Übereinstimmung mit dem Archivierungsgesetz vom 26. Juni 19989 bieten die Bundesorgane dem Bundesarchiv alle Personendaten an, die sie nicht mehr ständig benötigen.

1

Sie vernichten die vom Bundesarchiv als nicht archivwürdig bezeichneten Personendaten, es sei denn: 2

a.

diese werden anonymisiert;

b.

diese müssen zu Beweis- oder Sicherheitszwecken oder zur Wahrung der schutzwürdigen Interessen der betroffenen Person aufbewahrt werden.

Art. 39

Datenbearbeitung für nicht personenbezogene Zwecke

Bundesorgane dürfen Personendaten für nicht personenbezogene Zwecke, insbesondere für Forschung, Planung oder Statistik, bearbeiten, wenn: 1

2

a.

die Daten anonymisiert werden, sobald der Bearbeitungszweck dies erlaubt;

b.

das Bundesorgan privaten Personen besonders schützenswerte Personendaten nur so bekanntgibt, dass die betroffenen Personen nicht bestimmbar sind;

c.

die Empfängerin oder der Empfänger Dritten die Daten nur mit der Zustimmung des Bundesorgans weitergibt, das die Daten bekanntgegeben hat; und

d.

die Ergebnisse nur so veröffentlicht werden, dass die betroffenen Personen nicht bestimmbar sind.

Die Artikel 6 Absatz 3, 34 Absatz 2 sowie 36 Absatz 1 sind nicht anwendbar.

Art. 40

Privatrechtliche Tätigkeit von Bundesorganen

Handelt ein Bundesorgan privatrechtlich, so gelten die Bestimmungen für die Datenbearbeitung durch private Personen.

Art. 41

Ansprüche und Verfahren

Wer ein schutzwürdiges Interesse hat, kann vom verantwortlichen Bundesorgan verlangen, dass es: 1

9

SR 152.1

7658

Datenschutzgesetz

BBl 2020

a.

die widerrechtliche Bearbeitung der betreffenden Personendaten unterlässt;

b.

die Folgen einer widerrechtlichen Bearbeitung beseitigt;

c.

die Widerrechtlichkeit der Bearbeitung feststellt.

Die Gesuchstellerin oder der Gesuchsteller kann insbesondere verlangen, dass das Bundesorgan: 2

a.

die betreffenden Personendaten berichtigt, löscht oder vernichtet;

b.

seinen Entscheid, namentlich über die Berichtigung, Löschung oder Vernichtung, den Widerspruch gegen die Bekanntgabe nach Artikel 37 oder den Bestreitungsvermerk nach Absatz 4 Dritten mitteilt oder veröffentlicht.

Statt die Personendaten zu löschen oder zu vernichten, schränkt das Bundesorgan die Bearbeitung ein, wenn: 3

a.

die betroffene Person die Richtigkeit der Personendaten bestreitet und weder die Richtigkeit noch die Unrichtigkeit festgestellt werden kann;

b.

überwiegende Interessen Dritter dies erfordern;

c.

ein überwiegendes öffentliches Interesse, namentlich die innere oder die äussere Sicherheit der Schweiz, dies erfordert;

d.

die Löschung oder Vernichtung der Daten eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden kann.

Kann weder die Richtigkeit noch die Unrichtigkeit der betreffenden Personendaten festgestellt werden, so bringt das Bundesorgan bei den Daten einen Bestreitungsvermerk an.

4

Die Berichtigung, Löschung oder Vernichtung von Personendaten kann nicht verlangt werden in Bezug auf die Bestände öffentlich zugänglicher Bibliotheken, Bildungseinrichtungen, Museen, Archive oder anderer öffentlicher Gedächtnisinstitutionen. Macht die Gesuchstellerin oder der Gesuchsteller ein überwiegendes Interesse glaubhaft, so kann sie oder er verlangen, dass die Institution den Zugang zu den umstrittenen Daten beschränkt. Die Absätze 3 und 4 sind nicht anwendbar.

5

Das Verfahren richtet sich nach dem VwVG10. Die Ausnahmen nach den Artikeln 2 und 3 VwVG sind nicht anwendbar.

6

Art. 42

Verfahren im Falle der Bekanntgabe von amtlichen Dokumenten, die Personendaten enthalten

Ist ein Verfahren betreffend den Zugang zu amtlichen Dokumenten, die Personendaten enthalten, im Sinne des Öffentlichkeitsgesetzes vom 17. Dezember 2004 11 hängig, so kann die betroffene Person in diesem Verfahren diejenigen Rechte geltend machen, die ihr nach Artikel 41 des vorliegenden Gesetzes bezogen auf diejenigen Dokumente zustehen, die Gegenstand des Zugangsverfahrens sind.

10 11

SR 172.021 SR 152.3

7659

Datenschutzgesetz

BBl 2020

7. Kapitel: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter 1. Abschnitt: Organisation Art. 43

Wahl und Stellung

Die Vereinigte Bundesversammlung wählt die Leiterin oder den Leiter des EDÖB (die oder der Beauftragte).

1

2

Wählbar ist, wer in eidgenössischen Angelegenheiten stimmberechtigt ist.

Das Arbeitsverhältnis der oder des Beauftragten richtet sich, soweit dieses Gesetz nichts anderes vorsieht, nach dem Bundespersonalgesetz vom 24. März 200012 (BPG).

3

Die oder der Beauftragte übt ihre oder seine Funktion unabhängig aus, ohne Weisungen einer Behörde oder eines Dritten einzuholen oder entgegenzunehmen. Sie oder er ist administrativ der Bundeskanzlei zugeordnet.

4

Sie oder er verfügt über ein ständiges Sekretariat und ein eigenes Budget. Sie oder er stellt sein Personal an.

5

6

Sie oder er untersteht nicht dem Beurteilungssystem nach Artikel 4 Absatz 3 BPG.

Art. 44

Amtsdauer, Wiederwahl und Beendigung der Amtsdauer

Die Amtsdauer der oder des Beauftragten beträgt vier Jahre und kann zwei Mal erneuert werden. Sie beginnt am 1. Januar nach Beginn der Legislaturperiode des Nationalrates.

1

Die oder der Beauftragte kann die Bundesversammlung unter Einhaltung einer Frist von sechs Monaten um Entlassung auf ein Monatsende ersuchen.

2

Die Vereinigte Bundesversammlung kann die Beauftragte oder den Beauftragten vor Ablauf der Amtsdauer des Amtes entheben, wenn diese oder dieser: 3

a.

vorsätzlich oder grobfahrlässig Amtspflichten schwer verletzt hat; oder

b.

die Fähigkeit, das Amt auszuüben, auf Dauer verloren hat.

Art. 45

Budget

Der EDÖB reicht den Entwurf seines Budgets jährlich über die Bundeskanzlei dem Bundesrat ein. Dieser leitet ihn unverändert an die Bundesversammlung weiter.

Art. 46

Unvereinbarkeit

Die oder der Beauftragte darf weder der Bundesversammlung noch dem Bundesrat angehören und in keinem anderen Arbeitsverhältnis mit dem Bund stehen.

12

SR 172.220.1

7660

Datenschutzgesetz

Art. 47 1

BBl 2020

Nebenbeschäftigung

Die oder der Beauftragte darf keine Nebenbeschäftigung ausüben.

Die Vereinigte Bundesversammlung kann der oder dem Beauftragten gestatten, eine Nebenbeschäftigung auszuüben, wenn dadurch die Ausübung der Funktion sowie die Unabhängigkeit und das Ansehen des EDÖB nicht beeinträchtigt werden.

Der Entscheid wird veröffentlicht.

2

Art. 48

Selbstkontrolle des EDÖB

Der EDÖB stellt durch geeignete Kontrollmassnahmen, insbesondere in Bezug auf die Datensicherheit, sicher, dass der rechtskonforme Vollzug der bundesrechtlichen Datenschutzvorschriften innerhalb seiner Behörde gewährleistet ist.

2. Abschnitt: Untersuchung von Verstössen gegen Datenschutzvorschriften Art. 49

Untersuchung

Der EDÖB eröffnet von Amtes wegen oder auf Anzeige hin eine Untersuchung gegen ein Bundesorgan oder eine private Person, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte.

1

Er kann von der Eröffnung einer Untersuchung absehen, wenn die Verletzung der Datenschutzvorschriften von geringfügiger Bedeutung ist.

2

Das Bundesorgan oder die private Person erteilt dem EDÖB alle Auskünfte und stellt ihm alle Unterlagen zur Verfügung, die für die Untersuchung notwendig sind.

Das Auskunftsverweigerungsrecht richtet sich nach den Artikeln 16 und 17 des VwVG13, sofern Artikel 50 Absatz 2 des vorliegenden Gesetzes nichts anderes bestimmt.

3

Hat die betroffene Person Anzeige erstattet, so informiert der EDÖB sie über die gestützt darauf unternommenen Schritte und das Ergebnis einer allfälligen Untersuchung.

4

Art. 50

Befugnisse

Kommt das Bundesorgan oder die private Person den Mitwirkungspflichten nicht nach, so kann der EDÖB im Rahmen der Untersuchung insbesondere Folgendes anordnen: 1

13

a.

Zugang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten, die für die Untersuchung erforderlich sind;

b.

Zugang zu Räumlichkeiten und Anlagen;

SR 172.021

7661

Datenschutzgesetz

2

c.

Zeugeneinvernahmen;

d.

Begutachtungen durch Sachverständige.

BBl 2020

Das Berufsgeheimnis bleibt vorbehalten.

Zum Vollzug der Massnahmen nach Absatz 1 kann der EDÖB andere Bundesbehörden sowie die kantonalen oder kommunalen Polizeiorgane beiziehen.

3

Art. 51

Verwaltungsmassnahmen

Liegt eine Verletzung von Datenschutzvorschriften vor, so kann der EDÖB verfügen, dass die Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden.

1

Er kann die Bekanntgabe ins Ausland aufschieben oder untersagen, wenn sie gegen die Voraussetzungen nach Artikel 16 oder 17 oder gegen Bestimmungen betreffend die Bekanntgabe von Personendaten ins Ausland in anderen Bundesgesetzen verstösst.

2

3

Er kann namentlich anordnen, dass das Bundesorgan oder die private Person: a.

ihn nach den Artikeln 16 Absatz 2 Buchstaben b und c sowie 17 Absatz 2 informiert;

b.

die Vorkehren nach den Artikeln 7 und 8 trifft;

c.

nach den Artikeln 19 und 21 die betroffenen Personen informiert;

d.

eine Datenschutz-Folgenabschätzung nach Artikel 22 vornimmt;

e.

ihn nach Artikel 23 konsultiert;

f.

ihn oder gegebenenfalls die betroffenen Personen nach Artikel 24 informiert;

g.

der betroffenen Person die Auskünfte nach Artikel 25 erteilt.

Er kann auch anordnen, dass der private Verantwortliche mit Sitz oder Wohnsitz im Ausland eine Vertretung nach Artikel 14 bezeichnet.

4

Hat das Bundesorgan oder die private Person während der Untersuchung die erforderlichen Massnahmen getroffen, um die Einhaltung der Datenschutzvorschriften wiederherzustellen, so kann der EDÖB sich darauf beschränken, eine Verwarnung auszusprechen.

5

Art. 52

Verfahren

Das Untersuchungsverfahren sowie Verfügungen nach den Artikeln 50 und 51 richten sich nach dem VwVG14.

1

Partei ist nur das Bundesorgan oder die private Person, gegen das oder die eine Untersuchung eröffnet wurde.

2

3

Der EDÖB kann Beschwerdeentscheide des Bundesverwaltungsgerichts anfechten.

14

SR 172.021

7662

Datenschutzgesetz

Art. 53

BBl 2020

Koordination

Bundesverwaltungsbehörden, die nach einem anderen Bundesgesetz private Personen oder Organisationen ausserhalb der Bundesverwaltung beaufsichtigen, laden den EDÖB zur Stellungnahme ein, bevor sie eine Verfügung erlassen, die Fragen des Datenschutzes betrifft.

1

Führt der EDÖB gegen die gleiche Partei eine eigene Untersuchung durch, so koordinieren die beiden Behörden ihre Verfahren.

2

3. Abschnitt: Amtshilfe Art. 54

Amtshilfe zwischen schweizerischen Behörden

Bundesbehörden und kantonale Behörden geben dem EDÖB die Informationen und Personendaten bekannt, die für die Erfüllung seiner gesetzlichen Aufgaben erforderlich sind.

1

Der EDÖB gibt den folgenden Behörden die Informationen und Personendaten bekannt, die für die Erfüllung ihrer gesetzlichen Aufgaben erforderlich sind: 2

a.

den Behörden, die in der Schweiz für den Datenschutz zuständig sind;

b.

den zuständigen Strafverfolgungsbehörden, falls es um die Anzeige einer Straftat nach Artikel 65 Absatz 2 geht;

c.

den Bundesbehörden sowie den kantonalen und kommunalen Polizeiorganen für den Vollzug der Massnahmen nach den Artikeln 50 Absatz 3 und 51.

Art. 55

Amtshilfe gegenüber ausländischen Behörden

Der EDÖB kann mit ausländischen Behörden, die für den Datenschutz zuständig sind, für die Erfüllung ihrer jeweiligen gesetzlich vorgesehenen Aufgaben im Bereich des Datenschutzes Informationen oder Personendaten austauschen, wenn folgende Voraussetzungen erfüllt sind: 1

a.

Die Gegenseitigkeit der Amtshilfe ist sichergestellt.

b.

Die Informationen und Personendaten werden nur für das den Datenschutz betreffende Verfahren verwendet, das dem Amtshilfeersuchen zugrunde liegt.

c.

Die empfangende Behörde verpflichtet sich, das Berufsgeheimnis sowie Geschäfts- und Fabrikationsgeheimnisse zu wahren.

d.

Die Informationen und Personendaten werden Dritten nur bekanntgegeben, wenn die Behörde, die sie übermittelt hat, dies vorgängig genehmigt.

e.

Die empfangende Behörde verpflichtet sich, die Auflagen und Einschränkungen der Behörde einzuhalten, die ihr die Informationen und Personendaten übermittelt hat.

Um sein Amtshilfegesuch zu begründen oder um dem Ersuchen einer Behörde Folge zu leisten, kann der EDÖB insbesondere folgende Angaben machen: 2

7663

Datenschutzgesetz

BBl 2020

a.

Identität des Verantwortlichen, des Auftragsbearbeiters oder anderer beteiligter Dritter;

b.

Kategorien der betroffenen Personen;

c.

Identität der betroffenen Personen, falls: 1. die betroffenen Personen eingewilligt haben, oder 2. die Mitteilung der Identität der betroffenen Personen unentbehrlich ist zur Erfüllung der gesetzlichen Aufgaben durch den EDÖB oder die ausländische Behörde;

d.

bearbeitete Personendaten oder Kategorien bearbeiteter Personendaten;

e.

Bearbeitungszweck;

f.

Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;

g.

technische und organisatorische Massnahmen.

Bevor der EDÖB einer ausländischen Behörde Informationen bekanntgibt, die ein Berufsgeheimnis, Geschäfts- oder Fabrikationsgeheimnisse enthalten können, informiert er die betroffenen natürlichen oder juristischen Personen, die Trägerinnen dieser Geheimnisse sind, und lädt sie zur Stellungnahme ein, es sei denn, dies ist nicht möglich oder erfordert einen unverhältnismässigen Aufwand.

3

4. Abschnitt: Andere Aufgaben des EDÖB Art. 56

Register

Der EDÖB führt ein Register der Bearbeitungstätigkeiten der Bundesorgane. Das Register wird veröffentlicht.

Art. 57

Information

Der EDÖB erstattet der Bundesversammlung jährlich Bericht über seine Tätigkeit.

Er übermittelt ihn gleichzeitig dem Bundesrat. Der Bericht wird veröffentlicht.

1

In Fällen von allgemeinem Interesse informiert der EDÖB die Öffentlichkeit über seine Feststellungen und Verfügungen.

2

Art. 58 1

Weitere Aufgaben

Der EDÖB nimmt darüber hinaus insbesondere folgende Aufgaben wahr: a.

Er informiert, schult und berät die Bundesorgane sowie private Personen in Fragen des Datenschutzes.

b.

Er unterstützt die kantonalen Organe und arbeitet mit schweizerischen und ausländischen Behörden, die für den Datenschutz zuständig sind, zusammen.

c.

Er sensibilisiert die Bevölkerung, insbesondere schutzbedürftige Personen, in Bezug auf den Datenschutz.

7664

Datenschutzgesetz

BBl 2020

d.

Er erteilt betroffenen Personen auf Anfrage Auskunft darüber, wie sie ihre Rechte ausüben können.

e.

Er nimmt Stellung zu Erlassentwürfen und Massnahmen des Bundes, die eine Datenbearbeitung zur Folge haben.

f.

Er nimmt die ihm durch das Öffentlichkeitsgesetz vom 17. Dezember 2004 15 oder andere Bundesgesetze übertragenen Aufgaben wahr.

g.

Er erarbeitet Arbeitsinstrumente als Empfehlungen der guten Praxis zuhanden von Verantwortlichen, Auftragsbearbeitern und betroffenen Personen; hierfür berücksichtigt er die Besonderheiten des jeweiligen Bereichs sowie den Schutz von schutzbedürftigen Personen.

Er kann auch Bundesorgane beraten, die gemäss den Artikeln 2 und 4 nicht seiner Aufsicht unterstehen. Die Bundesorgane können ihm Akteneinsicht gewähren.

2

Der EDÖB ist befugt, gegenüber den ausländischen Behörden, die für den Datenschutz zuständig sind, zu erklären, dass im Bereich des Datenschutzes in der Schweiz die direkte Zustellung zulässig ist, sofern der Schweiz Gegenrecht gewährt wird.

3

5. Abschnitt: Gebühren Art. 59 1

2

Der EDÖB erhebt von privaten Personen Gebühren für: a.

die Stellungnahme zu einem Verhaltenskodex nach Artikel 11 Absatz 2;

b.

die Genehmigung von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften nach Artikel 16 Absatz 2 Buchstaben d und e;

c.

die Konsultation aufgrund einer Datenschutz-Folgenabschätzung nach Artikel 23 Absatz 2;

d.

vorsorgliche Massnahmen und Massnahmen nach Artikel 51;

e.

Beratungen in Fragen des Datenschutzes nach Artikel 58 Absatz 1 Buchstabe a.

Der Bundesrat legt die Höhe der Gebühren fest.

Er kann festlegen, in welchen Fällen es möglich ist, auf die Erhebung einer Gebühr zu verzichten oder sie zu reduzieren.

3

15

SR 152.3

7665

Datenschutzgesetz

BBl 2020

8. Kapitel: Strafbestimmungen Art. 60 1

Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten

Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft: a.

die ihre Pflichten nach den Artikeln 19, 21 und 25­27 verletzen, indem sie vorsätzlich eine falsche oder unvollständige Auskunft erteilen;

b.

die es vorsätzlich unterlassen: 1. die betroffene Person nach den Artikeln 19 Absatz 1 und 21 Absatz 1 zu informieren, oder 2. ihr die Angaben nach Artikel 19 Absatz 2 zu liefern.

Mit Busse bis zu 250 000 Franken werden private Personen bestraft, die unter Verstoss gegen Artikel 49 Absatz 3 dem EDÖB im Rahmen einer Untersuchung vorsätzlich falsche Auskünfte erteilen oder vorsätzlich die Mitwirkung verweigern.

2

Art. 61

Verletzung von Sorgfaltspflichten

Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft, die vorsätzlich: a.

unter Verstoss gegen Artikel 16 Absätze 1 und 2 und ohne dass die Voraussetzungen nach Artikel 17 erfüllt sind, Personendaten ins Ausland bekanntgeben;

b.

die Datenbearbeitung einem Auftragsbearbeiter übergeben, ohne dass die Voraussetzungen nach Artikel 9 Absätze 1 und 2 erfüllt sind;

c.

die Mindestanforderungen an die Datensicherheit, die der Bundesrat nach Artikel 8 Absatz 3 erlassen hat, nicht einhalten.

Art. 62

Verletzung der beruflichen Schweigepflicht

Wer geheime Personendaten vorsätzlich offenbart, von denen sie oder er bei der Ausübung ihres oder seines Berufes, der die Kenntnis solcher Daten erfordert, Kenntnis erlangt hat, wird auf Antrag mit Busse bis zu 250 000 Franken bestraft.

1

Gleich wird bestraft, wer vorsätzlich geheime Personendaten offenbart, von denen sie oder er bei der Tätigkeit für eine geheimhaltungspflichtige Person oder während der Ausbildung bei dieser Kenntnis erlangt hat.

2

Das Offenbaren geheimer Personendaten ist auch nach Beendigung der Berufsausübung oder der Ausbildung strafbar.

3

Art. 63

Missachten von Verfügungen

Mit Busse bis zu 250 000 Franken werden private Personen bestraft, die einer Verfügung des EDÖB oder einem Entscheid der Rechtsmittelinstanzen, die oder der unter Hinweis auf die Strafdrohung dieses Artikels ergangen ist, vorsätzlich nicht Folge leisten.

7666

Datenschutzgesetz

Art. 64

BBl 2020

Widerhandlungen in Geschäftsbetrieben

Für Widerhandlungen in Geschäftsbetrieben sind die Artikel 6 und 7 des Bundesgesetzes vom 22. März 197416 über das Verwaltungsstrafrecht (VStrR) anwendbar.

1

Fällt eine Busse von höchstens 50 000 Franken in Betracht und würde die Ermittlung der nach Artikel 6 VStrR strafbaren Personen Untersuchungsmassnahmen bedingen, die im Hinblick auf die verwirkte Strafe unverhältnismässig wären, so kann die Behörde von einer Verfolgung dieser Personen absehen und an ihrer Stelle den Geschäftsbetrieb (Art. 7 VStrR) zur Bezahlung der Busse verurteilen.

2

Art. 65

Zuständigkeit

Die Verfolgung und die Beurteilung strafbarer Handlungen obliegen den Kantonen.

1

Der EDÖB kann bei der zuständigen Strafverfolgungsbehörde Anzeige erstatten und im Verfahren die Rechte einer Privatklägerschaft wahrnehmen.

2

Art. 66

Verfolgungsverjährung

Die Strafverfolgung verjährt nach fünf Jahren.

9. Kapitel: Abschluss von Staatsverträgen Art. 67 Der Bundesrat kann Staatsverträge abschliessen betreffend: a.

die internationale Zusammenarbeit zwischen Datenschutzbehörden;

b.

die gegenseitige Anerkennung eines angemessenen Schutzes für die Bekanntgabe von Personendaten ins Ausland.

10. Kapitel: Schlussbestimmungen Art. 68

Aufhebung und Änderung anderer Erlasse

Die Aufhebung und die Änderung anderer Erlasse werden im Anhang 1 geregelt.

Art. 69

Übergangsbestimmungen betreffend laufende Bearbeitungen

Die Artikel 7, 22 und 23 sind nicht anwendbar auf Datenbearbeitungen, die vor Inkrafttreten dieses Gesetzes begonnen wurden, wenn der Bearbeitungszweck unverändert bleibt und keine neuen Daten beschafft werden.

16

SR 313.0

7667

Datenschutzgesetz

Art. 70

BBl 2020

Übergangsbestimmung betreffend laufende Verfahren

Dieses Gesetz gilt nicht für Untersuchungen des EDÖB, die im Zeitpunkt seines Inkrafttretens hängig sind; es ist ebenfalls nicht anwendbar auf hängige Beschwerden gegen erstinstanzliche Entscheide, die vor seinem Inkrafttreten ergangen sind.

Diese Fälle unterstehen dem bisherigen Recht.

Art. 71

Übergangsbestimmung betreffend Daten juristischer Personen

Für Bundesorgane finden Vorschriften in anderen Bundeserlassen, die sich auf Personendaten beziehen, während fünf Jahren nach Inkrafttreten dieses Gesetzes weiter Anwendung auf Daten juristischer Personen. Insbesondere können Bundesorgane während fünf Jahren nach Inkrafttreten dieses Gesetzes Daten juristischer Personen nach Artikel 57s Absätze 1 und 2 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 199717 weiterhin bekanntgeben, wenn sie gestützt auf eine Rechtsgrundlage zur Bekanntgabe von Personendaten ermächtigt sind.

Art. 72

Übergangsbestimmung betreffend die Wahl und die Beendigung der Amtsdauer der oder des Beauftragten

Die Wahl der oder des Beauftragten sowie die Beendigung ihrer oder seiner Amtsdauer unterstehen bis zum Ende der Legislaturperiode, in der dieses Gesetz in Kraft tritt, dem bisherigen Recht.

Art. 73

Koordination

Die Koordination mit anderen Erlassen wird im Anhang 2 geregelt.

Art. 74

Referendum und Inkrafttreten

1

Dieses Gesetz untersteht dem fakultativen Referendum.

2

Der Bundesrat bestimmt das Inkrafttreten.

Nationalrat, 25. September 2020

Ständerat, 25. September 2020

Die Präsidentin: Isabelle Moret Der Sekretär: Pierre-Hervé Freléchoz

Der Präsident: Hans Stöckli Die Sekretärin: Martina Buol

Datum der Veröffentlichung: 6. Oktober 202018 Ablauf der Referendumsfrist: 14. Januar 2021

17 18

SR 172.010 BBl 2020 7639

7668

Datenschutzgesetz

BBl 2020

Anhang 1 (Art. 68)

Aufhebung und Änderung anderer Erlasse I Die folgenden Erlasse werden aufgehoben: 1.

Bundesgesetz vom 19. Juni 199219 über den Datenschutz;

2.

Schengen-Datenschutzgesetz vom 28. September 201820.

II Die nachstehenden Erlasse werden wie folgt geändert:

1. Bundesgesetz vom 21. März 199721 über Massnahmen zur Wahrung der inneren Sicherheit Art. 21 Abs. 2 Die Prüfbehörde teilt der geprüften Person das Ergebnis der Abklärungen und ihre Beurteilung des Sicherheitsrisikos mit. Die geprüfte Person kann innert zehn Tagen Einsicht in die Prüfungsunterlagen nehmen und die Berichtigung falscher Daten verlangen sowie bei Akten des Bundes die Entfernung überholter Daten verlangen oder einen Bestreitungsvermerk anbringen lassen. Für die Einschränkung der Auskunft gilt Artikel 26 des Datenschutzgesetzes vom 25. September 202022 (DSG).

2

Art. 23a Abs. 4 Das Auskunftsrecht und das Recht, Daten berichtigen zu lassen, richten sich nach den Artikeln 25 und 41 Absatz 2 Buchstabe a DSG23.

4

Art. 23b Abs. 2 Bst. c 2

Es dürfen ausschliesslich folgende Daten bearbeitet werden: c.

19 20 21 22 23

Personendaten, einschliesslich besonders schützenswerte Personendaten, soweit sie für die Beurteilung des Grades der Gefährlichkeit notwendig sind, AS 1993 1945, 1997 2372, 1998 1546 1586, 1999 2243, 2006 2197 2319, 2007 4983, 2010 1739 3387, 2013 3215, 2019 625 AS 2019 639 SR 120 SR 235.1 SR 235.1

7669

Datenschutzgesetz

BBl 2020

wie Informationen über den Gesundheitszustand, über Verurteilungen oder hängige Verfahren, über Mitgliedschaften in Parteien, Gesellschaften, Vereinen, Organisationen und Institutionen sowie Angaben über deren leitende Organe.

Art. 23c Abs. 2 Einleitungssatz Folgenden Stellen und Personen dürfen Daten, einschliesslich besonders schützenswerter Personendaten, bekannt gegeben werden: 2

Art. 24a Abs. 10 Das Recht, Auskünfte über die Daten im Informationssystem zu bekommen, und das Recht, die Daten berichtigen zu lassen, richten sich nach Artikel 25 und 41 Absatz 2 Buchstabe a des DSG24. Fedpol teilt der betroffenen Person die Erfassung und Löschung ihrer Daten im Informationssystem mit.

10

2. Nachrichtendienstgesetz vom 25. September 2015 25 Art. 13 Bst. c Öffentliche Informationsquellen sind namentlich: c.

von Privaten öffentlich zugänglich gemachte Personendaten;

Art. 44 Abs. 1 Der NDB und die kantonalen Vollzugsbehörden sind befugt, Personendaten, einschliesslich Personendaten, welche die Beurteilung des Gefährlichkeitsgrades einer Person erlauben, zu bearbeiten, unabhängig davon, ob es sich um besonders schützenswerte Personendaten handelt oder nicht.

1

Art. 46 Abs. 1 Die kantonalen Vollzugsbehörden führen keine eigenen Datenbanken in Anwendung dieses Gesetzes.

1

Art. 61 Abs. 2 Einleitungssatz Gewährleistet die Gesetzgebung des Empfängerstaates keinen angemessenen Datenschutz, so können Personendaten diesem Staat in Abweichung von Artikel 16 Absatz 1 des Datenschutzgesetzes vom 25. September 202026 (DSG) nur bekannt gegeben werden, wenn die Schweiz mit ihm diplomatische Beziehungen pflegt und eine der folgenden Voraussetzungen erfüllt ist: 2

24 25 26

SR 235.1 SR 121 SR 235.1

7670

Datenschutzgesetz

BBl 2020

Art. 64 Abs. 2­5 Er teilt ihr mit, dass entweder in Bezug auf sie keine Daten unrechtmässig bearbeitet werden oder dass er bei der Datenbearbeitung oder betreffend den Aufschub der Auskunft Fehler festgestellt und eine Untersuchung nach Artikel 49 DSG27 eröffnet hat.

2

3

Aufgehoben

Stellt er bei der Datenbearbeitung oder betreffend den Aufschub der Auskunft Fehler fest, so verfügt er, dass der NDB diese behebt.

4

Legt die gesuchstellende Person glaubhaft dar, dass ihr bei einem Aufschub der Auskunft ein erheblicher, nicht wiedergutzumachender Schaden erwächst, so kann der EDÖB verfügen, dass der NDB ausnahmsweise sofort Auskunft erteilt, sofern damit keine Gefährdung der inneren oder äusseren Sicherheit verbunden ist.

5

Art. 65 Aufgehoben Art. 66 Abs. 1 Die Mitteilungen nach den Artikeln 63 Absatz 3 und 64 Absatz 2 sind stets gleichlautend und werden nicht begründet.

1

Art. 78 Abs. 5 Zur Erfüllung ihrer Aufsichtstätigkeit kann sie auf sämtliche Informationssysteme und Datenbanken der beaufsichtigten Stellen zugreifen; sie kann auch auf besonders schützenswerte Personendaten zugreifen. Sie darf die dabei erhobenen Daten nur bis zum Abschluss der Überprüfung speichern. Die Zugriffe auf die verschiedenen Informationssysteme und Datenbanken müssen vom Verantwortlichen protokolliert werden.

5

3. Bürgerrechtsgesetz vom 20. Juni 201428 Art. 44

Datenbearbeitung

Das SEM kann zur Erfüllung seiner Aufgaben nach diesem Gesetz Personendaten bearbeiten, einschliesslich der Daten, welche die Beurteilung der Eignungsvoraussetzungen der Bewerberin oder des Bewerbers erlauben, und der besonders schützenswerten Daten über die religiösen Ansichten, die politischen Tätigkeiten, die Gesundheit, über Massnahmen der sozialen Hilfe und über verwaltungs- oder strafrechtliche Verfolgungen und Sanktionen. Dazu betreibt es ein elektronisches Infor-

27 28

SR 235.1 SR 141.0

7671

Datenschutzgesetz

BBl 2020

mationssystem gestützt auf das Bundesgesetz vom 20. Juni 200329 über das Informationssystem für den Ausländer- und den Asylbereich.

4. Ausländer- und Integrationsgesetz vom 16. Dezember 200530 Ersatz eines Ausdrucks In Artikel 111b Absatz 4 wird die Bezeichnung «Eidgenössischer Datenschutzbeauftragter» durch «Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter» ersetzt.

Art. 101

Bearbeitung von Personendaten

Das SEM, die zuständigen Ausländerbehörden der Kantone und, in seinem Zuständigkeitsbereich, das Bundesverwaltungsgericht können Personendaten, einschliesslich besonders schützenswerter Personendaten, von Ausländerinnen und Ausländern sowie von an Verfahren nach diesem Gesetz beteiligten Dritten bearbeiten oder bearbeiten lassen, soweit sie diese Daten zur Erfüllung ihrer gesetzlichen Aufgaben benötigen.

Art. 104 Abs. 4 Die Luftverkehrsunternehmen informieren die betroffenen Personen nach Artikel 19 des Datenschutzgesetzes vom 25. September 202031 (DSG).

4

Art. 105 Abs. 1 Das SEM und die zuständigen Behörden der Kantone können zur Erfüllung ihrer Aufgaben, insbesondere zur Bekämpfung strafbarer Handlungen nach diesem Gesetz, Personendaten von Ausländerinnen und Ausländern den mit entsprechenden Aufgaben betrauten ausländischen Behörden und internationalen Organisationen bekannt geben, sofern die Voraussetzungen nach Artikel 16 DSG32 erfüllt sind.

1

Art. 111d Abs. 1 und 2 An Drittstaaten dürfen Personendaten nur bekannt gegeben werden, wenn sie ein angemessenes Datenschutzniveau nach Artikel 16 Absatz 1 DSG33 gewährleisten.

1

Gewährleistet ein Drittstaat kein angemessenes Datenschutzniveau, so können ihm Personendaten in folgenden Fällen bekannt gegeben werden: 2

a.

29 30 31 32 33

Die betroffene Person hat nach Artikel 6 Absatz 6 und gegebenenfalls Absatz 7 DSG eingewilligt.

SR 142.51 SR 142.20 SR 235.1 SR 235.1 SR 235.1

7672

Datenschutzgesetz

BBl 2020

b.

Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist deren Einwilligung einzuholen.

c.

Die Bekanntgabe ist notwendig zur Wahrung überwiegender öffentlicher Interessen oder zur Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht oder einer anderen zuständigen ausländischen Behörde.

Art. 111f zweiter Satz Aufgehoben

5. Asylgesetz vom 26. Juni 199834 Art. 96 Abs. 1 Das SEM, die Beschwerdebehörden sowie die mit Aufgaben nach diesem Gesetz beauftragten privaten Organisationen können Personendaten von asylsuchenden oder schutzbedürftigen Personen und ihren Angehörigen, einschliesslich besonders schützenswerter Personendaten nach Artikel 5 Buchstabe c des Datenschutzgesetzes vom 25. September 202035 (DSG), bearbeiten oder bearbeiten lassen, soweit sie diese zur Erfüllung ihrer gesetzlichen Aufgaben benötigen.

1

Art. 98 Abs. 1 Das SEM und die Beschwerdebehörden dürfen zum Vollzug dieses Gesetzes den mit entsprechenden Aufgaben betrauten ausländischen Behörden und internationalen Organisationen Personendaten bekannt geben, sofern die Voraussetzungen nach Artikel 16 DSG36 erfüllt sind.

1

Art. 99 Abs. 6 Personendaten, die nach Absatz 4 bekannt gegeben wurden, dürfen nur mit der Zustimmung des für die Datenbearbeitung Verantwortlichen ins Ausland bekannt gegeben werden. Artikel 16 Absatz 1 DSG37 gilt sinngemäss.

6

Art. 99a Abs. 2 Bst. a 2

MIDES dient: a.

34 35 36 37

der Bearbeitung von Personendaten von Asylsuchenden und Schutzbedürftigen, einschliesslich besonders schützenswerter Personendaten nach Artikel 5 Buchstabe c DSG38; und SR 142.31 SR 235.1 SR 235.1 SR 235.1

7673

Datenschutzgesetz

BBl 2020

Art. 100 Abs. 2 Das Informationssystem kann besonders schützenswerte Personendaten enthalten, soweit dies zur Erfüllung der gesetzlichen Aufgabe notwendig ist.

2

Art. 102 Abs. 1 dritter Satz und 2 ... Sofern es erforderlich ist, können auch in den Texten enthaltene Personendaten, namentlich Personalien, sowie besonders schützenswerte Personendaten gespeichert werden.

1

Auf Datenbanken, die besonders schützenswerte Personendaten enthalten, haben nur Mitarbeiterinnen und Mitarbeiter des SEM und des Bundesverwaltungsgerichts Zugriff.

2

Art. 102c Abs. 1 und 2 An Drittstaaten dürfen Personendaten nur bekannt gegeben werden, wenn sie ein angemessenes Datenschutzniveau nach Artikel 16 Absatz 1 DSG39 gewährleisten.

1

Gewährleistet ein Drittstaat kein angemessenes Datenschutzniveau, so können ihm Personendaten in folgenden Fällen bekannt gegeben werden: 2

a.

Die betroffene Person hat nach Artikel 6 Absatz 6 und gegebenenfalls Absatz 7 DSG eingewilligt.

b.

Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist deren Einwilligung einzuholen.

c.

Die Bekanntgabe ist notwendig zur Wahrung überwiegender öffentlicher Interessen oder zur Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht oder einer anderen zuständigen ausländischen Behörde.

Art. 102e zweiter Satz Aufgehoben

6. Bundesgesetz vom 20. Juni 200340 über das Informationssystem für den Ausländer- und den Asylbereich Art. 4 Abs. 2 Im Informationssystem können besonders schützenswerte Personendaten nach Artikel 5 Buchstabe c des Datenschutzgesetzes vom 25. September 202041 (DSG) 2

38 39 40 41

SR 235.1 SR 235.1 SR 142.51 SR 235.1

7674

Datenschutzgesetz

BBl 2020

bearbeitet werden, sofern dies zur Erfüllung der Aufgaben nach Artikel 3 dieses Gesetzes unerlässlich ist.

Art. 6

Auskunfts- und Berichtigungsrecht

Begehren um Auskunft über Personendaten (Art. 25 DSG42) und um Berichtigung (Art. 41 Abs. 2 Bst. a DSG) sind an das SEM zu richten.

1

2

Beschwerden richten sich nach Artikel 41 DSG; sie sind beim SEM einzureichen.

Art. 7 Abs. 2 Es vergewissert sich, ob die von ihm bearbeiteten Personendaten richtig sind (Art. 6 Abs. 5 DSG43).

2

Art. 15

Bekanntgabe ins Ausland

Die Bekanntgabe von Personendaten ins Ausland richtet sich nach den Artikeln 16 und 17 DSG44, den Artikeln 105­107, 111a­111d und 111i AIG45 sowie den Artikeln 97, 98, 102abis, 102b und 102c AsylG46.

Art. 16

Aufsichtspflicht der kantonalen Datenschutzbehörden

Die kantonalen Datenschutzbehörden überwachen in ihrem Zuständigkeitsbereich die Einhaltung des Datenschutzes.

7. Ausweisgesetz vom 22. Juni 200147 Art. 10

Grundsatz

Die Datenbearbeitung im Rahmen dieses Gesetzes richtet sich nach dem Datenschutzgesetz vom 25. September 202048.

Art. 14

Verbot von Paralleldatenbanken

Das Führen von Paralleldatenbanken, ausser der befristeten Aufbewahrung der Antragsformulare bei der ausstellenden Behörde, ist untersagt.

42 43 44 45 46 47 48

SR 235.1 SR 235.1 SR 235.1 SR 142.20; siehe auch Art. 127 AIG SR 142.31 SR 143.1 SR 235.1

7675

Datenschutzgesetz

BBl 2020

8. Bundesgesetz vom 20. März 200949 über die Kommission zur Verhütung von Folter Art. 10 Abs. 1 Die Kommission darf besonders schützenswerte und andere Personendaten nach dem Datenschutzgesetz vom 25. September 202050 bearbeiten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist und diese Daten die Situation von Personen betreffen, denen die Freiheit entzogen ist.

1

9. Archivierungsgesetz vom 26. Juni 199851 Art. 11 Abs. 1 Archivgut, das nach Personennamen erschlossen ist und besonders schützenswerte Personendaten enthält, unterliegt einer Schutzfrist von 50 Jahren, es sei denn, die betroffene Person habe einer Einsichtnahme zugestimmt.

1

Art. 15 Sachüberschrift und Abs. 1 Auskunft und Bestreitungsvermerk Die Auskunfterteilung und Einsichtgewährung an die betroffenen Personen richten sich nach den Bestimmungen des Datenschutzgesetzes vom 25. September 202052.

Auskunfts- und Einsichtsverweigerungen werden durch die abliefernden Stellen verfügt.

1

10. Öffentlichkeitsgesetz vom 17. Dezember 2004 53 Ersatz von Ausdrücken Im ganzen Erlass werden «die oder der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte» und «die oder der Beauftragte» durch «EDÖB» ersetzt, mit den nötigen grammatikalischen Anpassungen.

Art. 3 Abs. 2 Der Zugang zu amtlichen Dokumenten, die Personendaten der Gesuchstellerin oder des Gesuchstellers enthalten, richtet sich nach dem Datenschutzgesetz vom 25. September 202054 (DSG).

2

49 50 51 52 53 54

SR 150.1 SR 235.1 SR 152.1 SR 235.1 SR 152.3 SR 235.1

7676

Datenschutzgesetz

Art. 9

BBl 2020

Schutz von Personendaten und von Daten juristischer Personen

Amtliche Dokumente, die Personendaten oder Daten juristischer Personen enthalten, sind nach Möglichkeit vor der Einsichtnahme zu anonymisieren.

1

Zugangsgesuche, die sich auf amtliche Dokumente beziehen, die nicht anonymisiert werden können, sind für Personendaten nach Artikel 36 DSG55 und für Daten juristischer Personen nach Artikel 57s des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 199756 zu beurteilen. Das Zugangsverfahren richtet sich nach dem vorliegenden Gesetz.

2

Art. 11

Anhörung

Zieht die Behörde in Erwägung, den Zugang zu amtlichen Dokumenten zu gewähren, durch deren Zugänglichmachung die Privatsphäre Dritter beeinträchtigt werden kann, so konsultiert sie den betroffenen Dritten und gibt ihm Gelegenheit zur Stellungnahme innert zehn Tagen.

1

2

Sie informiert die angehörte Person über ihre Stellungnahme zum Gesuch.

Art. 12 Abs. 2 zweiter Satz und 3 ... Sie wird um die erforderliche Dauer verlängert, wenn sich ein Gesuch auf amtliche Dokumente bezieht, durch deren Zugänglichmachung die Privatsphäre Dritter beeinträchtigt werden kann.

2

Betrifft das Gesuch amtliche Dokumente, durch deren Zugänglichmachung die Privatsphäre Dritter beeinträchtigt werden kann, so schiebt die Behörde den Zugang auf, bis die Rechtslage geklärt ist.

3

Art. 13 Abs. 2 Der Schlichtungsantrag ist dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innert 20 Tagen nach Empfang der Stellungnahme oder nach Ablauf der der Behörde für die Stellungnahme zur Verfügung stehenden Frist schriftlich zu stellen.

2

Art. 15 Abs. 2 Bst. b Im Übrigen erlässt die Behörde eine Verfügung, wenn sie in Abweichung von der Empfehlung: 2

b.

den Zugang zu einem amtlichen Dokument gewähren will, durch dessen Zugänglichmachung die Privatsphäre Dritter beeinträchtigt werden kann.

Art. 18 Einleitungssatz und Bst. ac Der EDÖB hat nach dem vorliegenden Gesetz insbesondere folgende Aufgaben und Kompetenzen: 55 56

SR 235.1 SR 172.010

7677

Datenschutzgesetz

BBl 2020

a.

Er leitet das Schlichtungsverfahren (Art. 13) und gibt, für den Fall, dass es zu keiner Schlichtung kommt, eine Empfehlung ab (Art. 14).

b.

Er informiert von Amtes wegen oder auf Anfrage Private und Behörden über die Modalitäten des Zugangs zu amtlichen Dokumenten.

c.

Er kann sich zu Erlassentwürfen und Massnahmen des Bundes, welche das Öffentlichkeitsprinzip wesentlich betreffen, äussern.

Art. 20 Abs. 2 Der EDÖB untersteht dem Amtsgeheimnis im gleichen Ausmass wie die Behörden, in deren amtliche Dokumente er Einsicht nimmt oder die ihm Auskunft erteilen.

2

11. Publikationsgesetz vom 18. Juni 200457 Art. 16b Abs. 1 Veröffentlichungen nach diesem Gesetz können Personendaten enthalten; insbesondere können sie auch besonders schützenswerte Personendaten nach Artikel 5 Buchstabe c des Datenschutzgesetzes vom 25. September 202058 enthalten, sofern dies für eine in einem Bundesgesetz vorgesehene Veröffentlichung notwendig ist.

1

12. Parlamentsgesetz vom 13. Dezember 200259 Art. 40a Abs. 1 Bst. d, 2 erster Satz und 6 Die Gerichtskommission ist zuständig für die Vorbereitung der Wahl und Amtsenthebung: 1

d.

der Leiterin oder des Leiters des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Beauftragte oder Beauftragter).

Sie schreibt offene Richterstellen, die Stellen der Bundesanwältin oder des Bundesanwalts, der Stellvertretenden Bundesanwältinnen und Bundesanwälte und der oder des Beauftragten öffentlich aus. ...

2

Die Geschäftsprüfungskommissionen und die Finanzdelegation bringen Feststellungen, welche die fachliche oder persönliche Eignung von Richterinnen und Richtern, der Bundesanwältin, des Bundesanwalts, der Stellvertretenden Bundesanwältinnen und Bundesanwälte oder der oder des Beauftragten ernsthaft in Frage stellen, der Gerichtskommission zur Kenntnis.

6

57 58 59

SR 170.512 SR 235.1 SR 171.10

7678

Datenschutzgesetz

BBl 2020

Art. 142 Abs. 2 und 3 dritter Satz Er nimmt die Entwürfe für den Voranschlag sowie die Rechnungen der Bundesversammlung, der eidgenössischen Gerichte, der Eidgenössischen Finanzkontrolle, der Bundesanwaltschaft, der Aufsichtsbehörde über die Bundesanwaltschaft und des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) unverändert in seinen Entwurf für den Voranschlag und in die Rechnung des Bundes auf.

2

... Der EDÖB vertritt den Entwurf für seinen Voranschlag und seine Rechnung vor der Bundesversammlung.

3

13. Regierungs- und Verwaltungsorganisationsgesetz vom 21. März 199760 Gliederungstitel vor Art. 57h

Viertes Kapitel: Bearbeitung von Personendaten und von Daten juristischer Personen 1. Abschnitt: Geschäftsverwaltungssysteme Art. 57h

Führen von Geschäftsverwaltungssystemen

Für ihre Geschäftsprozesse sowie zur Verwaltung von Dokumenten, einschliesslich der Korrespondenz, führen die Einheiten der Bundesverwaltung und die Parlamentsdienste elektronische Geschäftsverwaltungssysteme.

1

Soweit im Rahmen der Geschäftsprozesse erforderlich, können sie anderen Bundesbehörden sowie bundesexternen Stellen Zugriff auf ihre eigenen Geschäftsverwaltungssysteme gewähren.

2

Einfügen vor dem Gliederungstitel des 2. Abschnitts Art. 57hbis

Bearbeitung von Personendaten und von Daten juristischer Personen

Personendaten, einschliesslich besonders schützenswerter Personendaten im Sinne des Datenschutzgesetzes vom 25. September 202061 (DSG), sowie Daten juristischer Personen, einschliesslich besonders schützenswerter Daten im Sinne von Artikel 57r Absatz 2 des vorliegenden Gesetzes, dürfen in Geschäftsverwaltungssystemen bearbeitet werden, wenn sie dazu dienen: 1

60 61

a.

Geschäfte zu bearbeiten;

b.

Arbeitsabläufe zu organisieren;

c.

festzustellen, ob Daten über eine bestimmte Person bearbeitet werden;

d.

den Zugang zur Dokumentation zu erleichtern.

SR 172.010 SR 235.1

7679

Datenschutzgesetz

BBl 2020

Anderen Bundesbehörden und bundesexternen Stellen darf Zugriff auf Personendaten, einschliesslich besonders schützenswerter Personendaten im Sinne des DSG, sowie auf Daten juristischer Personen, einschliesslich besonders schützenswerter Daten juristischer Personen im Sinne von Artikel 57r Absatz 2 des vorliegenden Gesetzes, gewährt werden, wenn die für die Bekanntgabe erforderliche gesetzliche Grundlage vorhanden ist.

2

Geschäftsverwaltungssysteme können besonders schützenswerte Personendaten im Sinne des DSG sowie besonders schützenswerte Daten juristischer Personen im Sinne von Artikel 57r Absatz 2 des vorliegenden Gesetzes enthalten, soweit sich diese aus dem Schriftverkehr oder aus der Art eines Geschäftes oder Dokumentes ergeben.

3

Zugriff auf besonders schützenswerte Personendaten im Sinne des DSG sowie auf besonders schützenswerte Daten juristischer Personen im Sinne von Artikel 57r Absatz 2 des vorliegenden Gesetzes darf nur Personen gewährt werden, die diesen zur Erfüllung ihrer Aufgabe benötigen.

4

Art. 57hter

Ausführungsbestimmungen

Der Bundesrat erlässt die Ausführungsbestimmungen, insbesondere zur Organisation und zum Betrieb der Geschäftsverwaltungssysteme sowie zum Schutz der darin erfassten Personendaten und Daten juristischer Personen.

Gliederungstitel vor Art. 57i

2. Abschnitt: Bearbeitung von Personendaten und von Daten juristischer Personen bei der Nutzung der elektronischen Infrastruktur Art. 57i

Verhältnis zu anderem Bundesrecht

Die Vorschriften dieses Abschnitts gelten nicht, wenn ein anderes Bundesgesetz die Bearbeitung der bei der Nutzung der elektronischen Infrastruktur anfallenden Personendaten und Daten juristischer Personen regelt.

Art. 57j

Grundsätze

Bundesorgane nach dem DSG62 dürfen Personendaten und Daten juristischer Personen, die bei der Nutzung ihrer oder der in ihrem Auftrag betriebenen elektronischen Infrastruktur anfallen, nicht aufzeichnen und auswerten, ausser wenn dies zu den in den Artikeln 57l­57o des vorliegenden Gesetzes aufgeführten Zwecken nötig ist.

1

Die Datenbearbeitung nach diesem Abschnitt kann auch besonders schützenswerte Personendaten im Sinne des DSG sowie besonders schützenswerte Daten juristischer Personen im Sinne von Artikel 57r Absatz 2 des vorliegenden Gesetzes umfassen.

2

62

SR 235.1

7680

Datenschutzgesetz

BBl 2020

Art. 57k Einleitungssatz Die elektronische Infrastruktur umfasst sämtliche stationären oder mobilen Anlagen und Geräte, die Personendaten und Daten juristischer Personen aufzeichnen können; zu ihr gehören insbesondere: Art. 57l Sachüberschrift, Einleitungssatz und Bst. b Ziff. 4 Aufzeichnung von Personendaten und von Daten juristischer Personen Die Bundesorgane dürfen Personendaten und Daten juristischer Personen, die bei der Nutzung der elektronischen Infrastruktur anfallen, zu folgenden Zwecken aufzeichnen: b.

die Daten über die Nutzung der elektronischen Infrastruktur: 4. zum Nachvollzug des Zugriffs auf die elektronische Infrastruktur,

Gliederungstitel vor Art. 57r

3. Abschnitt: Bearbeitung von Daten juristischer Personen Art. 57r

Bearbeitung von Daten juristischer Personen

Bundesorgane dürfen Daten juristischer Personen, einschliesslich besonders schützenswerter Daten, bearbeiten, soweit die Erfüllung ihrer in einem Gesetz im formellen Sinn umschriebenen Aufgaben dies erfordert.

1

2

Besonders schützenswerte Daten juristischer Personen sind: a.

Daten über verwaltungs- und strafrechtliche Verfolgungen und Sanktionen;

b.

Daten über Berufs-, Geschäfts- und Fabrikationsgeheimnisse.

Art. 57s

Bekanntgabe von Daten juristischer Personen

Bundesorgane dürfen Daten juristischer Personen bekannt geben, wenn eine gesetzliche Grundlage dies vorsieht.

1

Sie dürfen besonders schützenswerte Daten juristischer Personen nur bekannt geben, wenn ein Gesetz im formellen Sinn dies vorsieht.

2

Sie dürfen Daten juristischer Personen in Abweichung von den Absätzen 1 und 2 im Einzelfall bekannt geben, wenn eine der folgenden Voraussetzungen erfüllt ist: 3

a.

Die Bekanntgabe der Daten ist für das Bundesorgan oder für die Empfängerin oder den Empfänger zur Erfüllung einer gesetzlichen Aufgabe unentbehrlich.

b.

Die betroffene juristische Person hat in die Bekanntgabe eingewilligt.

c.

Die Empfängerin oder der Empfänger macht glaubhaft, dass die betroffene juristische Person die Einwilligung verweigert oder Widerspruch gegen die Bekanntgabe einlegt, um ihr oder ihm die Durchsetzung von Rechtsansprüchen oder die Wahrnehmung anderer schutzwürdiger Interessen zu ver7681

Datenschutzgesetz

BBl 2020

wehren; der betroffenen juristischen Person ist vorgängig Gelegenheit zur Stellungnahme zu geben, es sei denn, dies ist unmöglich oder mit unverhältnismässigem Aufwand verbunden.

Sie dürfen Daten juristischer Personen darüber hinaus im Rahmen der behördlichen Information der Öffentlichkeit von Amtes wegen oder gestützt auf das Öffentlichkeitsgesetz vom 17. Dezember 200463 bekannt geben, wenn: 4

a.

die Daten im Zusammenhang mit der Erfüllung öffentlicher Aufgaben stehen; und

b.

an der Bekanntgabe ein überwiegendes öffentliches Interesse besteht.

Sie dürfen Daten juristischer Personen mittels automatisierter Informations- und Kommunikationsdienste allgemein zugänglich machen, wenn eine Rechtsgrundlage die Veröffentlichung dieser Daten vorsieht oder wenn sie Daten gestützt auf Absatz 4 bekannt geben. Besteht kein öffentliches Interesse mehr daran, die Daten allgemein zugänglich zu machen, so werden die betreffenden Daten aus dem automatisierten Informations- und Kommunikationsdienst gelöscht.

5

Die Bundesorgane lehnen die Bekanntgabe ab, schränken sie ein oder verbinden sie mit Auflagen, wenn: 6

a.

wesentliche öffentliche Interessen oder offensichtlich schutzwürdige Interessen der betroffenen juristischen Person es verlangen; oder

b.

gesetzliche Geheimhaltungspflichten oder besondere Vorschriften zum Schutz von Daten juristischer Personen es verlangen.

Art. 57t

Rechte der juristischen Personen

Das anwendbare Verfahrensrecht regelt die Rechte der betroffenen juristischen Personen.

14. Bundespersonalgesetz vom 24. März 200064 Art. 27 Abs. 2 Einleitungssatz Er kann folgende für die Erfüllung seiner Aufgaben nach Absatz 1 notwendigen Daten seines Personals, einschliesslich besonders schützenswerter Personendaten, bearbeiten: 2

Art. 27d Abs. 2 Einleitungssatz und 4 Einleitungssatz Die PSB kann die folgenden zur Erfüllung ihrer Aufgaben notwendigen Personendaten der Klientinnen und Klienten, einschliesslich besonders schützenswerter Personendaten, bearbeiten: 2

63 64

SR 152.3 SR 172.220.1

7682

Datenschutzgesetz

BBl 2020

Die PSB kann den folgenden Personen und Stellen die in Absatz 2 genannten Personendaten zugänglich machen, sofern sie diese zur Erfüllung ihrer Aufgaben benötigen: 4

15. Verwaltungsgerichtsgesetz vom 17. Juni 200565 Art. 35 Bst. b Aufgehoben

16. Zivilgesetzbuch66 Art. 45a Abs. 5 Ziff. 5 5

Der Bundesrat regelt unter Mitwirkung der Kantone: 5.

die zur Sicherstellung des Datenschutzes und der Datensicherheit erforderlichen organisatorischen und technischen Massnahmen sowie die Aufsicht über die Einhaltung der Datenschutzvorschriften;

17. Bundesgesetz vom 30. September 201667 über die Aufarbeitung der fürsorgerischen Zwangsmassnahmen und Fremdplatzierungen vor 1981 Art. 6 Abs. 2 Sie darf besonders schützenswerte Personendaten nach Artikel 5 Buchstabe c des Datenschutzgesetzes vom 25. September 202068 bearbeiten, soweit dies für die Erfüllung ihrer Aufgabe erforderlich ist.

2

18. Obligationenrecht69 Art. 328b zweiter Satz ... Im Übrigen gelten die Bestimmungen des Datenschutzgesetzes vom 25. September 202070.

65 66 67 68 69 70

SR 173.32 SR 210 SR 211.223.13 SR 235.1 SR 220 SR 235.1

7683

Datenschutzgesetz

BBl 2020

Art. 406g Abs. 2 Bei der Bearbeitung der Personendaten des Auftraggebers ist der Beauftragte zur Geheimhaltung verpflichtet; die Bestimmungen des Datenschutzgesetzes vom 25. September 202071 bleiben vorbehalten.

2

19. Bundesgesetz vom 23. März 200172 über den Konsumkredit Art. 23 Abs. 3 und 4 Die Informationsstelle gilt als Bundesorgan im Sinne von Artikel 5 Buchstabe i des Datenschutzgesetzes vom 25. September 202073. Der Bundesrat erlässt die Vollzugsbestimmungen.

3

Vorbehältlich der Zuständigkeit gemäss dem Datenschutzgesetz untersteht die Informationsstelle der Aufsicht des Departements.

4

20. Versicherungsvertragsgesetz vom 2. April 190874 Art. 3 Abs. 1 Bst. g Der Versicherer muss den Versicherungsnehmer vor Abschluss des Versicherungsvertrages verständlich über die Identität des Versicherers und den wesentlichen Inhalt des Versicherungsvertrages informieren. Er muss informieren über: 1

g.

die Bearbeitung der Personendaten einschliesslich Zweck und Art der Datenbank sowie Empfänger und Aufbewahrung der Daten.

21. Revisionsaufsichtsgesetz vom 16. Dezember 200575 Art. 15b

Bearbeitung von Personendaten und von Daten juristischer Personen

Zur Erfüllung ihrer gesetzlichen Aufgabe kann die Aufsichtsbehörde Personendaten sowie Daten juristischer Personen, einschliesslich besonders schützenswerter Personendaten im Sinne des Datenschutzgesetzes vom 25. September 202076 und besonders schützenswerter Daten juristischer Personen im Sinne des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 199777, bearbeiten.

71 72 73 74 75 76 77

SR 235.1 SR 221.214.1 SR 235.1 SR 221.229.1 SR 221.302 SR 235.1 SR 172.010

7684

Datenschutzgesetz

BBl 2020

22. Bundesgesetz vom 24. März 200078 über die Bearbeitung von Personendaten im Eidgenössischen Departement für auswärtige Angelegenheiten Art. 1 zweiter Satz Aufgehoben Art. 2 Abs. 1 und 2 erster Satz Zur Planung und Durchführung der Einsätze für die Friedensförderung, die Stärkung der Menschenrechte und die humanitäre Hilfe können die zuständigen Stellen des Departements Daten über an solchen Einsätzen beteiligte Personen bearbeiten.

1

Sie können auch besonders schützenswerte Personendaten über die Gesundheit und andere Personendaten zur Beurteilung der Eignung von Personen für Einsätze nach Absatz 1 bearbeiten. ...

2

Art. 4 Abs. 3 Einleitungssatz und Bst. b 3

Die Daten können enthalten: b.

besonders schützenswerte Personendaten über Massnahmen der sozialen Hilfe und über verwaltungs- und strafrechtliche Verfolgungen und Sanktionen;

Art. 5 Abs. 1 Einleitungssatz und 3 Zur Erfüllung der völkerrechtlichen Verpflichtungen der Schweiz dürfen das Staatssekretariat und die ständige Mission der Schweiz bei den internationalen Organisationen in Genf Personendaten bearbeiten über: 1

Zur Erfüllung der Verpflichtungen und Aufgaben nach den Absätzen 1 und 2 und zur Mitwirkung bei der Erledigung von Streitfällen mit Beteiligung von Personen, Organisationen oder Institutionen nach Absatz 1 können die zuständigen Stellen im Departement besonders schützenswerte Personendaten bearbeiten, insbesondere Daten über Massnahmen der sozialen Hilfe und über verwaltungs- und strafrechtliche Verfolgungen und Sanktionen.

3

Art. 6 Bst. a Der Bundesrat erlässt Ausführungsbestimmungen über: a.

78

Organisation und Betrieb der Informationssysteme;

SR 235.2

7685

Datenschutzgesetz

BBl 2020

23. Bundesgesetz vom 19. Dezember 198679 gegen den unlauteren Wettbewerb Art. 22 Abs. 2 zweiter Satz ... Im Übrigen sind die Artikel 16 und 17 des Datenschutzgesetzes vom 25. September 202080 anwendbar.

2

24. Zivilprozessordnung81 Art. 20 Bst. d Für die folgenden Klagen und Begehren ist das Gericht am Wohnsitz oder Sitz einer der Parteien zuständig: d.

Klagen und Begehren nach dem Datenschutzgesetz vom 25. September 202082 (DSG).

Art. 99 Abs. 3 Bst. d 3

Keine Sicherheit ist zu leisten: d.

im Verfahren wegen einer Streitigkeit nach dem DSG83.

Art. 113 Abs. 2 Bst. g 2

Keine Gerichtskosten werden gesprochen in Streitigkeiten: g.

nach dem DSG84.

Art. 114 Bst. g Im Entscheidverfahren werden keine Gerichtskosten gesprochen bei Streitigkeiten: g.

nach dem DSG85.

Art. 243 Abs. 2 Bst. d 2

Es gilt ohne Rücksicht auf den Streitwert bei Streitigkeiten: d.

79 80 81 82 83 84 85 86

zur Durchsetzung des Auskunftsrechts nach Artikel 25 DSG86;

SR 241 SR 235.1 SR 272 SR 235.1 SR 235.1 SR 235.1 SR 235.1 SR 235.1

7686

Datenschutzgesetz

BBl 2020

Gliederungstitel vor Art. 407e

6. Kapitel: Übergangsbestimmung zur Änderung vom 25. September 2020 Art. 407e Für Verfahren, die bei Inkrafttreten der Änderung vom 25. September 2020 hängig sind, gilt das neue Recht.

25. Bundesgesetz vom 18. Dezember 198787 über das Internationale Privatrecht Art. 130 Abs. 3 Klagen zur Durchsetzung des Auskunfts- oder Einsichtsrechts im Zusammenhang mit der Bearbeitung von Personendaten können bei den in Artikel 129 genannten Gerichten eingereicht werden.

3

26. Strafgesetzbuch88 Ersatz eines Ausdrucks In den Artikeln 349c, 349e, 349g und 349h wird «der Beauftragte» durch «der EDÖB» ersetzt.

Art. 179novies Unbefugtes Beschaffen von Personendaten

Wer unbefugt besonders schützenswerte Personendaten, die nicht für jedermann zugänglich sind, beschafft, wird auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Einfügen vor dem Gliederungstitel des 4. Titels Art. 179decies

Identitätsmissbrauch

87 88

Wer die Identität einer anderen Person ohne deren Einwilligung verwendet, um dieser zu schaden oder um sich oder einem Dritten einen unrechtmässigen Vorteil zu verschaffen, wird auf Antrag mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bestraft.

SR 291 SR 311.0

7687

Datenschutzgesetz

BBl 2020

Art. 349a Einleitungssatz Die zuständigen Bundesbehörden dürfen Personendaten nur bekannt geben, wenn dafür eine Rechtsgrundlage im Sinne von Artikel 36 Absatz 1 des Datenschutzgesetzes vom 25. September 202089 (DSG) besteht oder wenn: Art. 349c Abs. 3 Handelt es sich bei der bekanntgebenden Behörde um eine Bundesbehörde, so informiert sie den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) über die Kategorien von Bekanntgaben von Personendaten, die auf der Grundlage spezifischer Garantien nach Absatz 2 Buchstabe c erfolgen. Jede Bekanntgabe wird dokumentiert.

3

Art. 349g Abs. 1 und 3 Die betroffene Person kann vom EDÖB verlangen, dass er prüft, ob allfällige Daten über sie rechtmässig bearbeitet werden, wenn: 1

a.

ihr Recht auf Information über den Austausch von Daten über sie eingeschränkt oder aufgeschoben wird (Art. 19 und 20 DSG90);

b.

ihr Auskunftsrecht verweigert, eingeschränkt oder aufgeschoben wird (Art. 25 und 26 DSG); oder

c.

ihr Recht, die Berichtigung, die Vernichtung oder die Löschung von Daten über sie zu verlangen, teilweise oder ganz verweigert wird (Art. 41 Abs. 2 Bst. a DSG).

Der EDÖB führt die Prüfung durch; er teilt der betroffenen Person mit, dass entweder keine Daten über sie unrechtmässig bearbeitet werden oder dass er im Falle von Fehlern bei der Bearbeitung der Personendaten eine Untersuchung nach Artikel 49 DSG eröffnet hat.

3

Art. 349h Abs. 1 und 4 Macht die betroffene Person glaubhaft, dass ein Austausch von Personendaten über sie gegen die Vorschriften zum Schutz von Personendaten verstossen könnte, kann sie vom EDÖB die Eröffnung einer Untersuchung nach Artikel 49 DSG91 verlangen.

1

4

89 90 91

SR 235.1 SR 235.1 SR 235.1

7688

Ferner gelten die Artikel 50 und 51 DSG.

Datenschutzgesetz

BBl 2020

Art. 352 Abs. 2 Für den Austausch von Informationen zur Suche nach Vermissten, zur Identifizierung von Unbekannten und zu administrativen Zwecken gilt das DSG92.

2

Art. 355a Abs. 1 Das Bundesamt für Polizei (fedpol) und der Nachrichtendienst des Bundes (NDB) können dem Europäischen Polizeiamt (Europol) Personendaten, einschliesslich besonders schützenswerter Personendaten, weitergeben.

1

Art. 365 Abs. 1 erster Satz Das Bundesamt für Justiz führt unter Mitwirkung anderer Bundesbehörden und der Kantone (Art. 367 Abs. 1) ein automatisiertes Strafregister über Verurteilungen und Gesuche um Strafregisterauszug im Rahmen von hängigen Strafverfahren, das besonders schützenswerte Personendaten enthält. ...

1

Art. 367 Abs. 3 Der Bundesrat kann, wenn es die Anzahl der Auskunftsersuchen rechtfertigt, nach Anhörung des EDÖB bis zur Inkraftsetzung der Rechtsgrundlagen in einem formellen Gesetz die Einsichtsrechte nach Absatz 2 auf weitere Justiz- und Verwaltungsbehörden des Bundes und der Kantone ausdehnen.

3

92

SR 235.1

7689

Datenschutzgesetz

BBl 2020

27. Bundesgesetz vom 22. März 197493 über das Verwaltungsstrafrecht Gliederungstitel vor Art. 18a

Dritter Abschnitt: Schutz von Personendaten Art. 18a A. Beschaffung von Personendaten

Personendaten sind bei der betroffenen Person oder für diese erkennbar zu beschaffen, wenn dadurch das Verfahren nicht gefährdet oder unverhältnismässig aufwendig wird.

1

Erfolgte die Beschaffung von Personendaten ohne Wissen der betroffenen Person, so ist diese umgehend darüber zu informieren. Die Information kann zum Schutz überwiegender öffentlicher oder privater Interessen unterlassen oder aufgeschoben werden.

2

Art. 18b B. Bearbeitung von Personendaten

Bei der Bearbeitung von Personendaten sorgt die Verwaltungsbehörde des Bundes dafür, dass sie so weit wie möglich unterscheidet: a.

zwischen den verschiedenen Kategorien betroffener Personen;

b.

zwischen auf Tatsachen und auf persönlichen Einschätzungen beruhenden Personendaten.

Art. 18c C. Bekanntgabe und Verwendung von Personendaten bei hängigem Verfahren

Die Verwaltungsbehörde des Bundes darf Personendaten aus einem hängigen Verwaltungsstrafverfahren zur Verwendung in einem anderen hängigen Verfahren bekannt geben, wenn anzunehmen ist, dass die Personendaten wesentliche Aufschlüsse geben können.

Art. 18d

D. Auskunftsrecht bei hängigem Verfahren

Solange ein Verfahren hängig ist, haben die Parteien und die anderen Verfahrensbeteiligten nach Massgabe des ihnen zustehenden Akteneinsichtsrechts das Recht auf Auskunft über die sie betreffenden Personendaten.

Art. 18e Die Verwaltungsbehörde des Bundes berichtigt unrichtige Personendaten unverzüglich.

E. Richtigkeit der 1 Personendaten

Sie benachrichtigt die Behörde, die ihr die Personendaten übermittelt oder bereitgestellt oder der sie diese bekannt gegeben hat, unverzüglich über die Berichtigung.

2

93

SR 313.0

7690

Datenschutzgesetz

BBl 2020

28. Militärstrafprozess vom 23. März 197994 Gliederungstitel vor Art. 25a

Sechstes Kapitel: Schutz von Personendaten Art. 25a

Beschaffung von Personendaten

Personendaten sind bei der betroffenen Person oder für diese erkennbar zu beschaffen, wenn dadurch das Verfahren nicht gefährdet oder unverhältnismässig aufwendig wird.

1

Erfolgte die Beschaffung von Personendaten ohne Wissen der betroffenen Person, so ist diese umgehend darüber zu informieren. Die Information kann zum Schutz überwiegender öffentlicher oder privater Interessen unterlassen oder aufgeschoben werden.

2

Art. 25b

Bearbeitung von Personendaten

Bei der Bearbeitung von Personendaten sorgt die militärische Strafbehörde dafür, dass sie so weit wie möglich unterscheidet: a.

zwischen den verschiedenen Kategorien betroffener Personen;

b.

zwischen auf Tatsachen und auf persönlichen Einschätzungen beruhenden Personendaten.

Art. 25c

Bekanntgabe und Verwendung von Personendaten bei hängigem Verfahren

Die militärische Strafbehörde darf aus einem hängigen militärischen Strafverfahren Personendaten zwecks Verwendung in einem anderen hängigen Verfahren bekannt geben, wenn anzunehmen ist, dass die Personendaten wesentliche Aufschlüsse geben können.

Art. 25d

Auskunftsrecht bei hängigem Verfahren

Solange ein Verfahren hängig ist, haben die Parteien und die anderen Verfahrensbeteiligten nach Massgabe des ihnen zustehenden Akteneinsichtsrechts das Recht auf Auskunft über die sie betreffenden Personendaten.

Art. 25e 1

Richtigkeit der Personendaten

Die militärische Strafbehörde berichtigt unrichtige Personendaten unverzüglich.

Sie benachrichtigt die Behörde, die ihr die Personendaten übermittelt oder bereitgestellt oder der sie diese bekannt gegeben hat, unverzüglich über die Berichtigung.

2

94

SR 322.1

7691

Datenschutzgesetz

BBl 2020

29. Rechtshilfegesetz vom 20. März 198195 Art. 11c Abs. 24 Verlangt eine Person Auskunft darüber, ob das Bundesamt ein Ersuchen um Festnahme zum Zweck der Auslieferung erhalten hat, so teilt dieses ihr mit, dass keine Daten über sie unrechtmässig bearbeitet werden und dass sie vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) verlangen kann, zu prüfen, ob allfällige Daten über sie rechtmässig bearbeitet werden.

2

Der EDÖB führt die Prüfung durch; er teilt der betroffenen Person mit, dass entweder keine Daten über sie unrechtmässig bearbeitet werden oder dass er im Falle von Fehlern bei der Bearbeitung der Personendaten eine Untersuchung nach Artikel 49 des Datenschutzgesetzes vom 25. September 202096 eröffnet hat.

3

Stellt der EDÖB Fehler bei der Datenbearbeitung fest, so ordnet er an, dass das Bundesamt diese behebt.

4

30. Bundesgesetz vom 13. Juni 200897 über die polizeilichen Informationssysteme des Bundes Ersatz eines Ausdrucks: In Artikel 8 Absätze 4 und 7 und in Artikel 8a Absätze 1 und 3 wird die Bezeichnung «der Beauftragte» durch «der EDÖB» ersetzt.

Art. 3 Abs. 2 erster Satz Im Rahmen dieses Gesetzes dürfen die Polizeibehörden des Bundes Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten und den kantonalen Polizei- und Strafverfolgungsbehörden sowie anderen schweizerischen oder ausländischen Behörden bekanntgeben. ...

2

Art. 5 Sachüberschrift und Abs. 2 Datenbearbeitung zur internen Kontrolle 2

Aufgehoben

Art. 7 Abs. 1 Das Auskunftsrecht richtet sich nach den Artikeln 25 und 26 des Datenschutzgesetzes vom 25. September 202098 (DSG).

1

95 96 97 98

SR 351.1 SR 235.1 SR 361 SR 235.1

7692

Datenschutzgesetz

BBl 2020

Art. 8 Abs. 2 und 3 Fedpol teilt der gesuchstellenden Person den Aufschub der Auskunft mit und weist sie darauf hin, dass sie das Recht hat, vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu verlangen, dass er prüfe, ob allfällige Daten über sie rechtmässig bearbeitet werden und ob überwiegende Geheimhaltungsinteressen den Aufschub rechtfertigen.

2

Der EDÖB führt die Prüfung durch; er teilt der betroffenen Person mit, dass entweder keine Daten über sie unrechtmässig bearbeitet werden oder dass er im Falle von Fehlern bei der Bearbeitung der Personendaten oder betreffend den Aufschub der Auskunft eine Untersuchung nach Artikel 49 des DSG99 eröffnet hat.

3

Art. 8a Abs. 2 Der EDÖB führt die Prüfung durch; er teilt der betroffenen Person mit, dass entweder keine Daten über sie unrechtmässig bearbeitet werden oder dass er im Falle von Fehlern bei der Bearbeitung der Personendaten eine Untersuchung nach Artikel 49 DSG100 eröffnet hat.

2

Art. 18 Abs. 1 erster Satz Fedpol betreibt das interne elektronische Geschäfts- und Aktenverwaltungssystem, das besonders schützenswerte Personendaten enthalten darf. ...

1

31. DNA-Profil-Gesetz vom 20. Juni 2003101 Art. 12 Abs. 1 Der Bundesrat bezeichnet das Bundesamt, das im Sinne des Datenschutzgesetzes vom 25. September 2020102 für das Informationssystem verantwortlich ist (Bundesamt).

1

Art. 15 Abs. 3 Das Auskunftsrecht sowie die Verweigerung, die Einschränkung oder das Aufschieben der Auskunft richten sich nach den Artikeln 25 und 26 des Datenschutzgesetzes vom 25. September 2020103.

3

99 100 101 102 103

SR 235.1 SR 235.1 SR 363 SR 235.1 SR 235.1

7693

Datenschutzgesetz

BBl 2020

32. ETH-Gesetz vom 4. Oktober 1991104 Art. 36a Abs. 1 erster Satz Der ETH-Rat, die ETH und die Forschungsanstalten betreiben je ein Personalinformationssystem, in dem auch besonders schützenswerte Personendaten bearbeitet werden können. ...

1

Art. 36b Abs. 1 und 5 zweiter Satz Jede ETH betreibt für die Verwaltung der Daten der Studienanwärter, Studierenden, Doktoranden und Hörer ein Informationssystem, in dem auch besonders schützenswerte Personendaten bearbeitet werden können.

1

... Die Bekanntgabe besonders schützenswerter Personendaten durch ein Abrufverfahren ist nur an die für die Studienadministration zuständigen Stellen innerhalb jeder ETH gestattet.

5

Art. 36c

Bearbeitung der Daten

Die ETH und die Forschungsanstalten können im Rahmen von Forschungsprojekten Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten, soweit dies für das entsprechende Projekt erforderlich ist.

1

Sie stellen sicher, dass dabei die Bestimmungen des Datenschutzgesetzes vom 25. September 2020105 eingehalten werden.

2

33. Sportförderungsgesetz vom 17. Juni 2011106 Art. 21 Abs. 3 Einleitungssatz Die Dopingkontrollstellen nach Absatz 2 sind berechtigt, die im Zusammenhang mit ihrer Kontrolltätigkeit erhobenen Personendaten, einschliesslich besonders schützenswerter Personendaten, zu bearbeiten und an die zuständige Stelle weiterzuleiten für: 3

Art. 25 Abs. 1 Einleitungssatz und 4 Die nach Artikel 19 für Massnahmen gegen Doping zuständige Stelle ist berechtigt, Personendaten, einschliesslich besonders schützenswerter Personendaten, zum Zweck der Dopingbekämpfung mit anerkannten ausländischen oder internationalen Dopingbekämpfungsstellen auszutauschen, wenn ein solcher Datenaustausch notwendig ist: 1

104 105 106

SR 414.110 SR 235.1 SR 415.0

7694

Datenschutzgesetz

BBl 2020

Die nach Artikel 19 für Massnahmen gegen Doping zuständige Stelle hat dafür zu sorgen, dass die von ihr übermittelten Personendaten nicht an unberechtigte Dritte weitergegeben werden. Im Übrigen sind die Artikel 16 und 17 des Datenschutzgesetzes vom 25. September 2020107 anwendbar.

4

34. Bundesgesetz vom 19. Juni 2015108 über die Informationssysteme des Bundes im Bereich Sport Art. 1 Abs. 1 Einleitungssatz Dieses Gesetz regelt die Bearbeitung von Personendaten (Daten), einschliesslich besonders schützenswerter Personendaten, in den Informationssystemen des Bundesamtes für Sport (BASPO) durch: 1

Art. 4 Aufgehoben Art. 9 Einleitungssatz Das nationale Informationssystem für Sport enthält alle Personendaten und Informationen, einschliesslich besonders schützenswerter Personendaten, die zur Erfüllung der Aufgaben in den Bereichen nach Artikel 8 notwendig sind, insbesondere: Art. 14 Einleitungssatz Das Informationssystem für medizinische Daten enthält alle Personendaten und Informationen, einschliesslich besonders schützenswerter Personendaten, die zur Erfüllung der Aufgaben nach Artikel 13 notwendig sind, insbesondere: Art. 18 Einleitungssatz Das Informationssystem für leistungsdiagnostische Daten enthält alle Personendaten und Informationen, einschliesslich besonders schützenswerter Personendaten, die zur Erfüllung der Aufgaben nach Artikel 17 notwendig sind, insbesondere: Art. 22 Einleitungssatz Das Informationssystem der EHSM enthält alle Personendaten und Informationen, einschliesslich besonders schützenswerter Personendaten, die zur Erfüllung der Aufgaben nach Artikel 21 notwendig sind, insbesondere:

107 108

SR 235.1 SR 415.1

7695

Datenschutzgesetz

BBl 2020

Art. 26 Einleitungssatz Das Informationssystem zur Kursevaluation enthält alle Personendaten und Informationen, einschliesslich besonders schützenswerter Personendaten, die für die Evaluation der Kurse und Lehrveranstaltungen notwendig sind, insbesondere: Art. 32 Einleitungssatz Das Informationssystem der nationalen Agentur zur Bekämpfung von Doping enthält alle Personendaten und Informationen, einschliesslich besonders schützenswerter Personendaten, die für die Dopingbekämpfung notwendig sind, insbesondere:

35. Bundesstatistikgesetz vom 9. Oktober 1992109 Art. 5 Abs. 2 Bst. a und 4 Bst. a Er kann die Anordnungsbefugnis an ein Departement, eine Gruppe oder ein Amt delegieren: 2

a.

für Erhebungen, bei denen keine Personendaten oder Daten juristischer Personen erhoben werden;

Andere dem Gesetz nach Artikel 2 Absatz 2 oder 3 unterstellte Organisationen sind befugt zur selbständigen Anordnung von: 4

a.

Erhebungen, bei denen keine Personendaten oder Daten juristischer Personen erhoben werden;

Art. 7 Abs. 2 Er kann dabei die Übernahme von Daten aus ihren Datenbanken anordnen, sofern die Rechtsgrundlage der Datenbank die Verwendung für statistische Zwecke nicht ausdrücklich ausschliesst. Unterliegen diese Daten einer gesetzlich verankerten Geheimhaltungspflicht, so dürfen sie gemäss Artikel 19 des vorliegenden Gesetzes sowie Artikel 39 des Datenschutzgesetzes vom 25. September 2020110 nicht weitergegeben werden.

2

Art. 10 Abs. 4 und 5 zweiter Satz Die Verwaltungseinheiten sowie, nach Massgabe ihrer Unterstellung nach Artikel 2 Absatz 3, die übrigen Organe liefern dem Bundesamt zur Erfüllung seiner Aufgaben die Ergebnisse und Grundlagen ihrer Statistiktätigkeit und, falls erforderlich, die Daten aus ihren Datenbanken und Erhebungen.

4

109 110

SR 431.01 SR 235.1

7696

Datenschutzgesetz

BBl 2020

... Das Bundesamt darf diese Daten gemäss Artikel 19 des vorliegenden Gesetzes sowie Artikel 39 des Datenschutzgesetzes vom 25. September 2020111 nicht weitergeben.

5

Art. 12 Abs. 2 Das Bundesamt wirkt auf eine Koordination mit den kantonalen Statistiken hin, insbesondere um die Erhebungsprogramme aufeinander abzustimmen und Register oder andere Datenbanken im Hinblick auf die statistische Bearbeitung zu harmonisieren.

2

Art. 14 Abs. 1 Die zu statistischen Zwecken erhobenen oder weitergegebenen Daten dürfen nicht zu anderen Zwecken verwendet werden, ausser wenn ein Bundesgesetz eine andere Verwendung ausdrücklich anordnet oder die betroffene natürliche oder juristische Person einer solchen schriftlich zustimmt.

1

Art. 14a Abs. 1 zweiter Satz ... Werden besonders schützenswerte Personendaten oder besonders schützenswerte Daten juristischer Personen verknüpft oder ergeben sich aus der Verknüpfung die wesentlichen Merkmale einer natürlichen oder juristischen Person, so sind die verknüpften Daten nach Abschluss der statistischen Auswertungsarbeiten zu löschen. ...

1

Art. 15 Abs. 1 Alle Stellen, die Personendaten oder Daten juristischer Personen für die oder aus der Bundesstatistik bearbeiten, müssen diese durch die erforderlichen organisatorischen und technischen Massnahmen gegen unbefugtes Bearbeiten schützen.

1

Art. 16 Abs. 1 Für den Datenschutz bei allen statistischen Arbeiten gelten die Bestimmungen dieses Gesetzes. Für Personendaten gelten ausserdem die Bestimmungen des Datenschutzgesetzes vom 25. September 2020112 über die Bearbeitung für Forschung, Planung und Statistik.

1

Art. 19 Abs. 2 Einleitungssatz Die Statistikproduzenten des Bundes dürfen Personendaten und Daten juristischer Personen für nicht personenbezogene Zwecke, insbesondere für Forschung, Planung und Statistik, Forschungs- und Statistikstellen des Bundes sowie Dritten bekannt geben, wenn: 2

111 112

SR 235.1 SR 235.1

7697

Datenschutzgesetz

BBl 2020

36. Bundesgesetz vom 18. Juni 2010113 über die Unternehmens-Identifikationsnummer Art. 3 Abs. 1 Bst. d 1

In diesem Gesetz gelten als: d.

UID-Stellen: Verwaltungseinheiten von Bund, Kantonen und Gemeinden, öffentlich-rechtliche Anstalten sowie mit öffentlich-rechtlichen Aufgaben betraute private Einrichtungen, die aufgrund von deren wirtschaftlicher Tätigkeit Datenbanken über UID-Einheiten führen;

Art. 5 Abs. 1 Bst. b 1

Die UID-Stellen müssen die UID: b.

in ihren Datenbanken verwenden;

37. Nationalbibliotheksgesetz vom 18. Dezember 1992 114 Art. 2 Abs. 2 Sie verzeichnet öffentlich zugängliche Datenbanken, die einen Bezug zur Schweiz aufweisen.

2

Art. 7 Sachüberschrift und Einleitungssatz Verzeichnung von Datenbanken Die Nationalbibliothek verzeichnet die öffentlich zugänglichen Datenbanken, die:

38. Bundesgesetz vom 16. März 2012115 über den Verkehr mit Tieren und Pflanzen geschützter Arten Art. 23 Abs. 2 erster Satz Die Daten dürfen im Abrufverfahren bekannt gegeben werden, wenn die entsprechende ausländische Gesetzgebung einen angemessenen Datenschutz nach Artikel 16 des Datenschutzgesetzes vom 25. September 2020116 gewährleistet. ...

2

113 114 115 116

SR 431.03 SR 432.21 SR 453 SR 235.1

7698

Datenschutzgesetz

BBl 2020

39. Tierschutzgesetz vom 16. Dezember 2005117 Art. 20c Abs. 1 Einleitungssatz Die folgenden Personen dürfen im Rahmen ihrer gesetzlichen Aufgaben Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten und im Abrufverfahren auf diese Daten zugreifen: 1

40. Militärgesetz vom 3. Februar 1995118 Art. 31 Abs. 2 zweiter Satz ... Diese dürfen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten, soweit und solange es der Vollzug ihrer Aufgaben erfordert.

2

Art. 99 Abs. 2 erster Satz und 3 Bst. d Er ist befugt, Personendaten, einschliesslich Personendaten, welche die Beurteilung des Grades der Gefährlichkeit einer Person erlauben, zu bearbeiten, unabhängig davon, ob es sich um besonders schützenswerte Personendaten handelt oder nicht, gegebenenfalls ohne Wissen der betroffenen Personen, soweit und solange es der Vollzug seiner Aufgaben erfordert. ...

2

3

Der Bundesrat regelt: d.

die Ausnahmen von den Vorschriften über die Registrierung von Datenbearbeitungstätigkeiten, wenn diese die Informationsbeschaffung gefährden würden.

Art. 100 Abs. 3 Bst. a und b sowie 4 Bst. c Ziff. 2 3

4

Die für die militärische Sicherheit zuständigen Stellen sind berechtigt: a.

Personendaten, einschliesslich Personendaten, welche die Beurteilung des Grades der Gefährlichkeit einer Person erlauben, zu bearbeiten, unabhängig davon, ob es sich um besonders schützenswerte Personendaten handelt oder nicht, soweit und solange es ihre Aufgaben erfordern;

b.

Personendaten ins Ausland bekannt zu geben, sofern die Voraussetzungen der Artikel 16 und 17 des Datenschutzgesetzes vom 25. September 2020119 (DSG) erfüllt sind;

Der Bundesrat regelt: c.

117 118 119

für den Fall des Assistenz- oder des Aktivdienstes: 2. die Ausnahmen von der Pflicht, Verzeichnisse der Bearbeitungstätigkeiten beim Eidgenössischen Datenschutz- und ÖffentlichkeitsbeaufSR 455 SR 510.10 SR 235.1

7699

Datenschutzgesetz

BBl 2020

tragten zur Registrierung anzumelden (Art. 12 Abs. 4 DSG), wenn diese Registrierung die Informationsbeschaffung gefährden würde.

Art. 146

Militärische Informationssysteme

Die Bearbeitung von besonders schützenswerten Personendaten und von Personendaten, welche die Beurteilung des Grades der Gefährlichkeit einer Person erlauben, in Informationssystemen und beim Einsatz von Überwachungsmitteln der Armee und der Militärverwaltung wird im Bundesgesetz vom 3. Oktober 2008120 über die militärischen Informationssysteme geregelt.

41. Geoinformationsgesetz vom 5. Oktober 2007 121 Art. 11

Datenschutz

Das Datenschutzgesetz vom 25. September 2020122 findet auf alle Geobasisdaten des Bundesrechts Anwendung. Die Artikel 12 Absatz 2 Buchstabe c, 14 Absätze 1 und 2 und 32 Absatz 2 Buchstabe d des vorliegenden Gesetzes und die entsprechenden Ausführungsbestimmungen bleiben vorbehalten.

1

Der Bundesrat kann Ausnahmen zur Pflicht, ein Register der Bearbeitungstätigkeiten zu führen, vorsehen, wenn aufgrund der Bearbeitung lediglich ein beschränktes Risiko für einen Eingriff in die Grundrechte der betroffenen Person besteht.

2

Er kann zwingende Zugangsberechtigungsstufen für die Geobasisdaten des Bundesrechts vorsehen.

3

42. Bundesgesetz vom 3. Oktober 2008123 über die militärischen Informationssysteme Art. 1 Abs. 1 Einleitungssatz und 3 Dieses Gesetz regelt die Bearbeitung von Personendaten (Daten), einschliesslich besonders schützenswerter Personendaten, in Informationssystemen und beim Einsatz von Überwachungsmitteln der Armee und der Militärverwaltung durch: 1

Soweit dieses Gesetz keine besonderen Bestimmungen enthält, ist das Datenschutzgesetz vom 25. September 2020124 anwendbar.

3

120 121 122 123 124

SR 510.91 SR 510.62 SR 235.1 SR 510.91 SR 235.1

7700

Datenschutzgesetz

BBl 2020

Art. 10 Bst. c Nicht bearbeitet werden dürfen Daten über: c.

die Zugehörigkeit zu einer Rasse oder Ethnie.

Art. 11 Abs. 2 Erlaubt die Verknüpfung von Personendaten die Beurteilung von wesentlichen Merkmalen einer Person, so werden die verknüpften Daten längstens aufbewahrt: 2

a.

bis zur Entlassung aus der Militärdienstpflicht; oder

b.

während fünf Jahren ab Beendigung der Anstellung bei der Gruppe Verteidigung.

43. Kriegsmaterialgesetz vom 13. Dezember 1996 125 Art. 30 Abs. 2 zweiter Satz ... Soweit und solange es der Vollzug ihrer Aufgaben erfordert, ist sie befugt, Personendaten, einschliesslich Personendaten, welche die Beurteilung der Gefahr erlauben, dass eine Person Widerhandlungen gegen dieses Gesetz begeht, zu bearbeiten, unabhängig davon, ob es sich um besonders schützenswerte Personendaten handelt oder nicht.

2

44. Waffengesetz vom 20. Juni 1997126 Art. 32e Abs. 1 und 2 Personendaten dürfen Drittstaaten nur bekannt gegeben werden, wenn diese ein angemessenes Datenschutzniveau nach Artikel 16 Absatz 1 des Datenschutzgesetzes vom 25. September 2020127 (DSG) gewährleisten.

1

Gewährleistet ein Drittstaat kein angemessenes Datenschutzniveau, so können ihm Personendaten in folgenden Fällen bekannt gegeben werden: 2

125 126 127

a.

Die betroffene Person hat nach Artikel 6 Absatz 6 und gegebenenfalls Absatz 7 DSG eingewilligt.

b.

Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist deren Einwilligung einzuholen.

c.

Die Bekanntgabe ist notwendig zur Wahrung überwiegender öffentlicher Interessen oder zur Feststellung, Ausübung oder Durchsetzung von Rechtsan-

SR 514.51 SR 514.54 SR 235.1

7701

Datenschutzgesetz

BBl 2020

sprüchen vor Gericht oder einer anderen zuständigen ausländischen Behörde.

Art. 32g zweiter Satz Aufgehoben

45. Bevölkerungs- und Zivilschutzgesetz vom 4. Oktober 2002128 Art. 72 Abs. 1 zweiter Einleitungssatz und Bst. b sowie 1bis zweiter Einleitungssatz und Bst. b 1

... Es kann dabei folgende Daten bearbeiten: b.

1bis

Personendaten, die es erlauben, die Zuteilung der Grundfunktion oder das Kaderpotenzial abzuklären.

... Es kann dabei folgende Daten bearbeiten:

b.

Personendaten, die es erlauben, die Eignung für eine Kader- oder Spezialistenfunktion zu beurteilen.

46. Finanzhaushaltsgesetz vom 7. Oktober 2005 129 Art. 60c Abs. 1 Einleitungssatz und 3 Die SKB bearbeitet in Papierform und in einem Informationssystem die Daten, einschliesslich besonders schützenswerter Personendaten, ihrer Kundinnen und Kunden, die sie zur Erfüllung ihrer Aufgabe benötigt, namentlich um: 1

Die Angestellten der SKB können für die Erfüllung ihrer Aufgaben Personendaten, einschliesslich besonders schützenswerter Personendaten, an ihre direkten Vorgesetzten weitergeben, auch wenn diese nicht Angestellte der SKB sind.

3

47. Finanzkontrollgesetz vom 28. Juni 1967130 Art. 10 Abs. 3 Die Verwaltungseinheiten des Bundes räumen der Eidgenössischen Finanzkontrolle das Recht ein, im Abrufverfahren auf die für die Wahrnehmung der Finanzaufsicht erforderlichen Daten zuzugreifen. Bei Bedarf erstreckt sich das Zugriffsrecht auch auf besonders schützenswerte Personendaten. Die Eidgenössische Finanzkontrolle darf die ihr derart zur Kenntnis gebrachten Personendaten nur bis zum Ab3

128 129 130

SR 520.1 SR 611.0 SR 614.0

7702

Datenschutzgesetz

BBl 2020

schluss des Revisionsverfahrens speichern. Die Zugriffe auf die verschiedenen Systeme und die damit verfolgten Zwecke müssen protokolliert werden.

48. Zollgesetz vom 18. März 2005131 Art. 38 Abs. 2 Sie kann die Veranlagungsverfügung als automatisierte Einzelentscheidung nach Artikel 21 des Datenschutzgesetzes vom 25. September 2020132 (DSG) erlassen.

2

Art. 103 Abs. 1 Einleitungssatz und 2 Die EZV darf durch Fotografieren oder durch Abnahme genetischer oder biometrischer Daten die Identität einer Person festhalten, sofern: 1

Der Bundesrat legt fest, welche genetischen und biometrischen Daten abgenommen werden dürfen.

2

Art. 110 Abs. 1 und 2 Die EZV darf Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten betreffend: 1

a.

das Veranlagen und das Erheben von Abgaben;

b.

das Erstellen von Risikoanalysen;

c.

das Verfolgen und das Beurteilen von Straffällen;

d.

das Behandeln von Amts- und Rechtshilfeersuchen;

e.

das Erstellen von Statistiken;

f.

das Durchführen und das Analysieren polizeilicher Tätigkeiten im Bereich der Personenkontrolle;

g.

das Durchführen und das Analysieren des Vollzugs der nichtzollrechtlichen Erlasse des Bundes;

h.

das Durchführen und das Analysieren von Tätigkeiten zur Verbrechensbekämpfung.

Sie darf zu diesem Zweck Informationssysteme führen. Sie ist darüber hinaus für die Erfüllung der Aufgaben nach Absatz 1 Buchstaben a­c und e­h zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach DSG133 befugt.

2

131 132 133

SR 631.0 SR 235.1 SR 235.1

7703

Datenschutzgesetz

BBl 2020

Art. 110a Abs. 3 Bst. b Im Informationssystem können folgende besonders schützenswerte Personendaten bearbeitet werden: 3

b.

Angaben zur Religionszugehörigkeit, falls dies für die Strafverfolgung ausnahmsweise erforderlich ist;

Art. 112 Abs. 2 Einleitungssatz, 4 Bst. b sowie 6 dritter Satz Es dürfen namentlich folgende Daten und Datenverbindungen, einschliesslich besonders schützenswerter Personendaten sowie Daten, die auf einem Profiling, einschliesslich auf einem Profiling mit hohem Risiko, beruhen, bekannt gegeben werden: 2

Die EZV darf die folgenden Daten den nachfolgend genannten Behörden im Abrufverfahren zugänglich machen, sofern die Daten für den Vollzug der von diesen Behörden anzuwendenden Erlasse notwendig sind: 4

b.

6

Aufgehoben

... Artikel 16 Absatz 1 DSG134 bleibt vorbehalten.

Art. 113

Datenbekanntgabe an ausländische Behörden

Die EZV darf Behörden anderer Staaten sowie supranationaler und internationaler Organisationen (ausländische Behörden) Daten, einschliesslich besonders schützenswerter Personendaten sowie Daten, die auf einem Profiling, einschliesslich auf einem Profiling mit hohem Risiko, beruhen, im Einzelfall oder im Abrufverfahren nur bekannt geben, sofern ein völkerrechtlicher Vertrag dies vorsieht.

Art. 114 Abs. 2 Die inländischen Behörden geben der EZV Daten, einschliesslich besonders schützenswerter Personendaten sowie Daten, die auf einem Profiling, einschliesslich auf einem Profiling mit hohem Risiko, beruhen, bekannt, sofern dies für den Vollzug der von der EZV anzuwendenden Erlasse notwendig ist.

2

49. Mehrwertsteuergesetz vom 12. Juni 2009135 Art. 76 Abs. 1 und 3 Die ESTV darf zur Erfüllung ihrer gesetzlichen Aufgaben besonders schützenswerte Personendaten, einschliesslich Daten über verwaltungs- und strafrechtliche Verfolgungen und Sanktionen, bearbeiten.

1

134 135

SR 235.1 SR 641.20

7704

Datenschutzgesetz

BBl 2020

Zur Erfüllung ihrer Aufgaben ist sie überdies zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 2020136 befugt: 3

a.

für die Überprüfung und Kontrolle;

b.

für die Feststellung der Steuerpflicht;

c.

für die Erhebung der Steuer;

d.

für die Verhinderung und Verfolgung von Widerhandlungen;

e.

für die Analyse und Erstellung von Risikoprofilen;

f.

für die Erstellung von Statistiken.

Art. 76a Abs. 1, 3 Bst. g und 4 Die ESTV betreibt ein Informationssystem zur Bearbeitung von Personendaten einschliesslich besonders schützenswerter Daten über verwaltungs- und strafrechtliche Verfolgungen und Sanktionen.

1

Das Informationssystem kann folgende Personendaten, einschliesslich besonders schützenswerter Personendaten, enthalten: 3

g.

Aufgehoben

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte erhält für seine Aufsichtstätigkeit Zugang zum Informationssystem der ESTV.

4

Art. 76b Abs. 2 Die ESTV darf den in der EZV mit der Erhebung und dem Einzug der Mehrwertsteuer sowie mit der Durchführung von Straf- und Administrativverfahren betrauten Personen die Personendaten aus einem Profiling, einschliesslich aus einem Profiling mit hohem Risiko, nach Artikel 76 Absatz 3 und die Daten nach Artikel 76a Absatz 3 bekannt geben oder im Abrufverfahren zugänglich machen, sofern dies für die Erfüllung von deren Aufgaben nötig ist.

2

50. Tabaksteuergesetz vom 21. März 1969137 Art. 18 Abs. 4 Die Festsetzung des Steuerbetrags kann als automatisierte Einzelentscheidung nach Artikel 21 des Datenschutzgesetzes vom 25. September 2020138 erfolgen.

4

136 137 138

SR 235.1 SR 641.31 SR 235.1

7705

Datenschutzgesetz

BBl 2020

51. Biersteuergesetz vom 6. Oktober 2006139 Art. 17 Abs. 3 zweiter Satz ... Diese kann als automatisierte Einzelentscheidung nach Artikel 21 des Datenschutzgesetzes vom 25. September 2020140 erfolgen.

3

52. Mineralölsteuergesetz vom 21. Juni 1996141 Art. 21 Abs. 2bis Die Festsetzung des Steuerbetrags kann als automatisierte Einzelentscheidung nach Artikel 21 des Datenschutzgesetzes vom 25. September 2020142 erfolgen.

2bis

53. Schwerverkehrsabgabegesetz vom 19. Dezember 1997 143 Art. 11 Abs. 4 Die Festsetzung der Abgabe kann als automatisierte Einzelentscheidung nach Artikel 21 des Datenschutzgesetzes vom 25. September 2020144 erfolgen.

4

54. Steueramtshilfegesetz vom 28. September 2012 145 Art. 5a zweiter Satz ... Die einzuhaltenden Datenschutzbestimmungen müssen mindestens dem Schutzniveau des Datenschutzgesetzes vom 25. September 2020146 entsprechen.

139 140 141 142 143 144 145 146

SR 641.411 SR 235.1 SR 641.61 SR 235.1 SR 641.81 SR 235.1 SR 651.1 SR 235.1

7706

Datenschutzgesetz

BBl 2020

55. Bundesgesetz vom 18. Dezember 2015147 über den internationalen automatischen Informationsaustausch in Steuersachen Art. 6 zweiter Satz ... Die einzuhaltenden Datenschutzbestimmungen müssen mindestens dem Schutzniveau des Datenschutzgesetzes vom 25. September 2020148 (DSG) und dieses Gesetzes entsprechen.

56. Energiegesetz vom 30. September 2016149 Art. 56 Abs. 1 Einleitungssatz Die für die Untersuchungen und das Monitoring nach Artikel 55 sowie für statistische Auswertungen benötigten Informationen und Personendaten sowie Daten juristischer Personen sind dem BFE auf Anfrage hin zu liefern durch: 1

Art. 58 Sachüberschrift, Abs. 1 und 3 Bearbeitungen von Personendaten und von Daten juristischer Personen Die zuständigen Bundesbehörden und die Vollzugsstelle nach Artikel 64 können im Rahmen der Zweckbestimmung dieses Gesetzes Personendaten und Daten juristischer Personen, einschliesslich besonders schützenswerter Daten über Sanktionen und die entsprechenden Verfahren, bearbeiten.

1

Der Bundesrat legt fest, welche Personendaten und Daten juristischer Personen bearbeitet werden dürfen und wie lange sie aufzubewahren sind.

3

Art. 59 Sachüberschrift, Abs. 1 Einleitungssätze und 2 Einleitungssatz Bekanntgabe von Personendaten und von Daten juristischer Personen Der Bundesrat kann aus Gründen der Transparenz und der Information der Endverbraucherinnen und -verbraucher die Unternehmen der Energiewirtschaft verpflichten, Personendaten und Daten juristischer Personen in anonymisierter Form zu veröffentlichen oder den zuständigen Bundesbehörden weiterzugeben. Sie können insbesondere dazu verpflichtet werden, folgende Angaben zu veröffentlichen oder weiterzugeben: 1

Die zuständigen Bundesbehörden können die anonymisierten Daten nach Absatz 1 in geeigneter Form veröffentlichen, wenn: 2

147 148 149

SR 653.1 SR 235.1 SR 730.0

7707

Datenschutzgesetz

BBl 2020

57. Kernenergiegesetz vom 21. März 2003150 Art. 24 Abs. 2 Im Rahmen dieser Prüfung können Daten über die Gesundheit und die psychische Eignung sowie sicherheitsrelevante Daten über die Lebensführung der betroffenen Person bearbeitet werden.

2

58. Elektrizitätsgesetz vom 24. Juni 1902151 Art. 25a Abs. 2 Sie können die Daten untereinander austauschen, soweit dies für den einheitlichen Vollzug dieses Gesetzes erforderlich ist.

2

59. Stromversorgungsgesetz vom 23. März 2007152 Art. 17c Abs. 1 Auf die Bearbeitung von Personendaten im Zusammenhang mit intelligenten Mess-, Steuer- oder Regelsystemen findet das Datenschutzgesetz vom 25. September 2020153 (DSG) Anwendung. Das DSG findet sinngemäss Anwendung auf die Bearbeitung von Daten juristischer Personen.

1

Art. 27 Abs. 1 Das BFE und die ElCom bearbeiten im Rahmen der Zweckbestimmung dieses Gesetzes Personendaten sowie Daten juristischer Personen, einschliesslich besonders schützenswerter Daten über strafrechtliche Verfolgungen und Sanktionen (Art. 29).

1

60. Strassenverkehrsgesetz vom 19. Dezember 1958154 Art. 76b Abs. 3 zweiter Satz ... Sie sind zur Erfüllung der ihnen übertragenen Aufgaben befugt, die dafür benötigten Personendaten, einschliesslich besonders schützenswerter Personendaten, zu bearbeiten oder bearbeiten zu lassen.

3

150 151 152 153 154

SR 732.1 SR 734.0 SR 734.7 SR 235.1 SR 741.01

7708

Datenschutzgesetz

BBl 2020

61. Eisenbahngesetz vom 20. Dezember 1957155 Art. 16a

Datenbearbeitung durch Konzessionsinhaberinnen

Die Unternehmen unterstehen für ihre konzessionierten und bewilligten Tätigkeiten den Artikeln 33­42 des Datenschutzgesetzes vom 25. September 2020156 (DSG).

Handeln sie dabei privatrechtlich, so unterstehen sie stattdessen den Artikeln 30­32 DSG.

1

Sie können Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten, soweit dies für die Sicherheit der Infrastruktur, insbesondere für deren Bau und Betrieb, erforderlich ist. Dies gilt auch für Dritte, die Aufgaben der Konzessionsinhaberinnen wahrnehmen. Diese bleiben für die Einhaltung der Datenschutzvorschriften verantwortlich.

2

Art. 37 Abs. 8 8

Artikel 9 DSG157 ist anwendbar.

62. Personenbeförderungsgesetz vom 20. März 2009158 Art. 54

Datenbearbeitung durch Konzessionsinhaberinnen

Die Unternehmen unterstehen für ihre konzessionierten und bewilligten Tätigkeiten den Artikeln 33­42 des Datenschutzgesetzes vom 25. September 2020159 (DSG).

Handeln sie dabei privatrechtlich, so unterstehen sie stattdessen den Artikeln 30­32 DSG.

1

Sie können besonders schützenswerte Personendaten bearbeiten, soweit dies für die Personenbeförderung und den Betrieb oder für die Sicherheit der Reisenden, des Betriebes oder der Infrastruktur erforderlich ist. Dies gilt auch für Dritte, die Aufgaben eines Unternehmens mit einer Konzession oder Bewilligung nach den Artikeln 6­8 wahrnehmen. Das Unternehmen bleibt für die Einhaltung der Datenschutzvorschriften verantwortlich.

2

155 156 157 158 159

SR 742.101 SR 235.1 SR 235.1 SR 745.1 SR 235.1

7709

Datenschutzgesetz

BBl 2020

63. Bundesgesetz vom 18. Juni 2010160 über die Sicherheitsorgane der Transportunternehmen im öffentlichen Verkehr Art. 6 Abs. 3 Im Übrigen gelten die Bestimmungen des Datenschutzgesetzes vom 25. September 2020161, insbesondere die Artikel 3342 und 4953.

3

64. Rohrleitungsgesetz vom 4. Oktober 1963162 Art. 47a Abs. 2 Sie können die Daten untereinander austauschen, soweit dies für den einheitlichen Vollzug dieses Gesetzes erforderlich ist.

2

65. Luftfahrtgesetz vom 21. Dezember 1948163 Art. 21c Abs. 1 Bst. b und 1bis Im Informationssystem werden folgende Daten über sicherheitsrelevante Ereignisse und damit in Verbindung stehende mögliche Gefährder bearbeitet: 1

b.

Personendaten, die für die Beurteilung der Gefährdung des internationalen gewerbsmässigen Luftverkehrs notwendig sind, einschliesslich besonders schützenswerter Personendaten, wie Informationen über den Gesundheitszustand, über Verurteilungen oder hängige Straf- oder Verwaltungsverfahren und über die Zugehörigkeit zu kriminellen oder terroristischen Gruppierungen;

Zur Beurteilung des Gefährlichkeitsgrades der in Absatz 1 genannten Personen ist fedpol zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 2020164 befugt.

1bis

Art. 107a Abs. 2 Einleitungssatz, 4 zweiter Satz und 5 Bearbeitet werden Personendaten, einschliesslich besonders schützenswerter Personendaten, betreffend: 2

160 161 162 163 164

SR 745.2 SR 235.1 SR 746.1 SR 748.0 SR 235.1

7710

Datenschutzgesetz

BBl 2020

... Der Bundesrat regelt die Verantwortung für die Datenbeschaffung, das Auswertungsverfahren, die Datenempfänger, die Aufbewahrungsdauer und die Vernichtung der Daten sowie die technischen und organisatorischen Schutzmassnahmen.

4

Die Daten bearbeitenden Stellen können zum Vollzug ihrer gesetzlichen Aufgaben den mit entsprechenden Aufgaben betrauten in- und ausländischen Behörden sowie internationalen Organisationen Personendaten, einschliesslich besonders schützenswerter Personendaten, bekannt geben, wenn die Voraussetzungen nach Artikel 16 des Datenschutzgesetzes vom 25. September 2020165 erfüllt sind.

5

66. Bundesgesetz vom 18. März 2016166 betreffend die Überwachung des Post- und Fernmeldeverkehrs Art. 4

Bearbeitung von Personendaten

Der Dienst, die anordnenden Behörden, die Genehmigungsbehörden sowie die Anbieterinnen von Post- und Fernmeldediensten dürfen diejenigen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten, die sie benötigen, um Überwachungen anzuordnen, zu genehmigen und durchzuführen.

Art. 10 Abs. 1 Bst. b In Bezug auf Daten, welche im Rahmen eines Strafverfahrens oder im Rahmen des Vollzugs eines Rechtshilfeersuchens gesammelt wurden, richten sich: 1

b.

das Recht auf Auskunft nach Abschluss des Verfahrens: nach dem Datenschutzgesetz vom 25. September 2020167 (DSG), wenn eine Bundesbehörde mit dem Rechtshilfeersuchen befasst ist, oder nach kantonalem Recht, wenn eine kantonale Behörde damit befasst ist.

Art. 13

Verantwortung

Die Behörden, die nach Artikel 9 Zugriff auf das Verarbeitungssystem haben, sind für die Daten aus Überwachungen in ihrem Zuständigkeitsbereich die Verantwortlichen für die Datenbearbeitung.

165 166 167

SR 235.1 SR 780.1 SR 235.1

7711

Datenschutzgesetz

BBl 2020

67. Postgesetz vom 17. Dezember 2010168 Art. 26 Abs. 1, 2 Einleitungssatz und 3 zweiter Satz Die PostCom sowie weitere mit dem Vollzug dieses Gesetzes betraute Behörden übermitteln anderen Behörden des Bundes und der Kantone diejenigen Daten, die diese zur Erfüllung ihrer gesetzlichen Aufgaben benötigen; dazu gehören auch die in Verwaltungs- oder Verwaltungsstrafverfahren beschafften besonders schützenswerten Personendaten.

1

Unter Vorbehalt anders lautender internationaler Vereinbarungen darf die PostCom ausländischen Aufsichtsbehörden im Postbereich Daten, einschliesslich in Verwaltungs- oder Verwaltungsstrafverfahren beschaffter besonders schützenswerter Personendaten, nur übermitteln, sofern diese Behörden: 2

... Dazu gehören auch die in Verwaltungs- oder Verwaltungsstrafverfahren beschafften besonders schützenswerten Personendaten.

3

Art. 28

Bearbeitung von Personendaten

Die PostCom sowie die Schlichtungsstelle dürfen zur Erfüllung ihrer gesetzlichen Aufgaben Personendaten, einschliesslich besonders schützenswerter Personendaten betreffend strafrechtliche Verfolgungen und Sanktionen, bearbeiten.

68. Fernmeldegesetz vom 30. April 1997169 Art. 13a Abs. 1 erster Satz Die Kommission und das Bundesamt können Personendaten, einschliesslich Daten über verwaltungs- oder strafrechtliche Verfolgungen und Sanktionen, bearbeiten, sofern dies zur Erfüllung der ihnen durch die Fernmeldegesetzgebung auferlegten Aufgaben unerlässlich ist. ...

1

Art. 13b Abs. 1 zweiter Satz, 2 Einleitungssatz und 4 erster Satz ... Zu diesen Daten gehören auch die in Verwaltungs- oder Verwaltungsstrafverfahren beschafften besonders schützenswerten Personendaten. ...

1

Unter Vorbehalt anders lautender internationaler Vereinbarungen dürfen die Kommission und das Bundesamt ausländischen Aufsichtsbehörden im Fernmeldebereich Daten, einschliesslich in Verwaltungs- oder Verwaltungsstrafverfahren beschaffter besonders schützenswerter Personendaten, nur übermitteln, sofern diese Behörden: 2

Schweizerische Behörden geben der Kommission und dem Bundesamt kostenlos diejenigen Daten weiter, die für die Durchsetzung der Fernmeldegesetzgebung von Bedeutung sein können, einschliesslich besonders schützenswerter Personendaten. ...

4

168 169

SR 783.0 SR 784.10

7712

Datenschutzgesetz

BBl 2020

69. Bundesgesetz vom 24. März 2006170 über Radio und Fernsehen Art. 69f Abs. 1 zweiter Satz ... Die Datenbearbeitung richtet sich nach den für Bundesorgane geltenden Bestimmungen des Datenschutzgesetzes vom 25. September 2020171 (DSG).

1

Art. 88 Abs. 2 Die Datenbearbeitung richtet sich nach den für Bundesorgane geltenden Bestimmungen des DSG172.

2

70. Humanforschungsgesetz vom 30. September 2011173 Art. 42 Abs. 2 Nichtgenetische gesundheitsbezogene Personendaten dürfen zu Forschungszwecken ins Ausland bekannt gegeben werden, wenn die Anforderungen der Artikel 16 und 17 des Datenschutzgesetzes vom 25. September 2020174 erfüllt sind.

2

71. Medizinalberufegesetz vom 23. Juni 2006175 Art. 51 Abs. 3 Das Register enthält die Daten, die zur Erreichung des Zwecks nach Absatz 2 benötigt werden. Dazu gehören auch besonders schützenswerte Personendaten im Sinne von Artikel 5 Buchstabe c des Datenschutzgesetzes vom 25. September 2020176.

3

72. Gesundheitsberufegesetz vom 30. September 2016177 Art. 24 Abs. 2 zweiter Satz ... Dazu gehören auch besonders schützenswerte Personendaten im Sinne von Artikel 5 Buchstabe c des Datenschutzgesetzes vom 25. September 2020178.

2

170 171 172 173 174 175 176 177 178

SR 784.40 SR 235.1 SR 235.1 SR 810.30 SR 235.1 SR 811.11 SR 235.1 SR 811.21 SR 235.1

7713

Datenschutzgesetz

BBl 2020

73. Betäubungsmittelgesetz vom 3. Oktober 1951179 Art. 3f Abs. 1 Die für den Vollzug dieses Gesetzes zuständigen Behörden und Institutionen sind berechtigt, Personendaten, einschliesslich besonders schützenswerter Personendaten, zur Überprüfung der Voraussetzungen und des Verlaufs der Behandlung von betäubungsmittelabhängigen Personen zu bearbeiten.

1

Art. 18c zweiter Satz Aufgehoben

74. Heilmittelgesetz vom 15. Dezember 2000180 Art. 62a Abs. 1 Einleitungssatz Stellen des Bundes und der Kantone, regionale Zentren und mit Vollzugsaufgaben betraute Dritte können, soweit es zur Erfüllung ihrer Aufgaben nach diesem Gesetz erforderlich ist, folgende besonders schützenswerte Personendaten bearbeiten: 1

Art. 62b Abs. 1 Das Institut und die Eidgenössische Zollverwaltung (EZV) sind nach einer Interessenabwägung berechtigt, der Inhaberin oder dem Inhaber einer Betriebsbewilligung oder einer Zulassung für Arzneimittel sowie jeder Person, die ein Medizinprodukt in Verkehr bringt, nach diesem Gesetz gesammelte, vertrauliche Daten im Einzelfall bekannt zu geben, einschliesslich besonders schützenswerter Daten nach Artikel 5 Buchstabe c Ziffer 5 des Datenschutzgesetzes vom 25. September 2020181, sofern diese Massnahme für notwendig erachtet wird, um einen mutmasslichen illegalen Heilmittelhandel aufzudecken und zu bekämpfen.

1

75. Epidemiengesetz vom 28. September 2012 182 Art. 60 Abs. 9 erster Satz Das Recht, Auskünfte über die Daten im Informationssystem zu erhalten, und das Recht, die Daten berichtigen zu lassen, richten sich nach den Artikeln 25 und 41 des Datenschutzgesetzes vom 25. September 2020183 (DSG). ...

9

179 180 181 182 183

SR 812.121 SR 812.21 SR 235.1 SR 818.101 SR 235.1

7714

Datenschutzgesetz

BBl 2020

Art. 62 Abs. 1 sowie 3 Einleitungssatz und Bst. a und d Das BAG und die zuständigen kantonalen Behörden dürfen zum Vollzug dieses Gesetzes den mit entsprechenden Aufgaben betrauten ausländischen Behörden sowie supranationalen und internationalen Organisationen Personendaten, einschliesslich Daten über die Gesundheit, bekannt geben, wenn: 1

a.

die Gesetzgebung des betreffenden Staates oder die supranationale oder internationale Organisation einen angemessenen Datenschutz nach Artikel 16 Absatz 1 DSG184 gewährleistet; oder

b.

die Personendaten mit spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG bekannt gegeben werden.

In Abweichung von Absatz 1 können die Personendaten nur ins Ausland bekannt gegeben werden, wenn: 3

a.

Aufgehoben

d.

die Bekanntgabe im Einzelfall erforderlich ist, um das Leben oder die körperliche Integrität der betroffenen Person zu schützen, und es nicht möglich ist, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.

76. Krebsregistrierungsgesetz vom 18. März 2016185 Art. 7 Abs. 2 Die Patientin oder der Patient kann vom Verantwortlichen für die Datenbearbeitung Auskunft darüber verlangen, ob und welche Daten über sie oder ihn bearbeitet werden. Eine Einschränkung des Auskunftsrechts ist nicht zulässig.

2

77. Arbeitsgesetz vom 13. März 1964186 Art. 46 zweiter Satz ... Im Übrigen gelten die Bestimmungen des Datenschutzgesetzes vom 25. September 2020187.

184 185 186 187

SR 235.1 SR 818.33 SR 822.11 SR 235.1

7715

Datenschutzgesetz

BBl 2020

78. Bundesgesetz vom 17. Juni 2005188 gegen die Schwarzarbeit Gliederungstitel vor Art. 17

11. Abschnitt: Datenbearbeitung und Strafbestimmungen Art. 17 Sachüberschrift, Abs. 1 Einleitungssatz sowie 2 und 4 Bearbeitung von Personendaten 1

Das kantonale Kontrollorgan ist befugt, folgende Personendaten zu bearbeiten:

Die für die Sanktionen nach Artikel 13 zuständigen kantonalen Behörden sind befugt, Daten über natürliche Personen zu bearbeiten, gegen die eine administrative oder strafrechtliche Sanktion verhängt worden ist.

2

Die Bestimmungen des Datenschutzgesetzes vom 25. September 2020189 betreffend die Richtigkeit der Daten und das Auskunftsrecht sind anwendbar.

4

Art. 17a

Bearbeitung von Daten juristischer Personen

Das kantonale Kontrollorgan ist befugt, folgende Daten juristischer Personen zu bearbeiten: 1

a.

Daten, die in den Kontrollprotokollen enthalten sind, sofern die Kontrollen einen oder mehrere Fälle von Missachtung der Melde- und Bewilligungspflichten nach Artikel 6 aufgedeckt haben;

b.

Daten aus Mitteilungen, die das kantonale Kontrollorgan von den für den Kontrollgegenstand zuständigen Behörden erhalten hat.

Die für die Sanktionen nach Artikel 13 zuständigen kantonalen Behörden sind befugt, Daten juristischer Personen zu bearbeiten, gegen die eine administrative oder strafrechtliche Sanktion verhängt worden ist.

2

79. Arbeitsvermittlungsgesetz vom 6. Oktober 1989190 Art. 33a Abs. 1 Einleitungssatz und 3 Die mit der Durchführung oder mit der Kontrolle oder Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe sind befugt, Personendaten zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach diesem Gesetz übertragenen Aufgaben zu erfüllen, namentlich um: 1

Ausserdem dürfen die mit der Durchführung oder mit der Kontrolle oder Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe Personendaten, die die Beurteilung der persönlichen und der wirtschaftlichen Situation der Empfänger 3

188 189 190

SR 822.41 SR 235.1 SR 823.11

7716

Datenschutzgesetz

BBl 2020

von Beratungsleistungen nach diesem Gesetz erlauben, bearbeiten oder bearbeiten lassen.

Art. 35 Abs. 2, 3bis und 5 Bst. d Im Informationssystem dürfen Personendaten, einschliesslich besonders schützenswerter Personendaten nach Artikel 33a Absatz 2, bearbeitet werden.

2

Soweit es für den Vollzug dieses Gesetzes und des Arbeitslosenversicherungsgesetzes notwendig ist, dürfen Personendaten, einschliesslich besonders schützenswerter Personendaten, zwischen den Informationssystemen der öffentlichen Arbeitsvermittlung und den Informationssystemen der Arbeitslosenversicherung (Art. 83 Abs. 1 Bst. i des Arbeitslosenversicherungsgesetzes) ausgetauscht werden.

3bis

5

Der Bundesrat regelt: d.

den Zugriff auf die Daten, namentlich, welche Benutzer des Informationssystems befugt sind, besonders schützenswerte Personendaten zu bearbeiten;

Art. 35b Betrifft nur den französischen Text.

80. Bundesgesetz vom 20. Dezember 1946191 über die Alters- und Hinterlassenenversicherung Art. 49a Abs. 1 Einleitungssatz und 2 Die mit der Durchführung oder mit der Kontrolle oder Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe sind befugt, die Personendaten, einschliesslich besonders schützenswerter Personendaten, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach diesem Gesetz übertragenen Aufgaben zu erfüllen, namentlich um: 1

Zur Erfüllung dieser Aufgaben sind sie darüber hinaus befugt, Personendaten, die namentlich die Beurteilung der Gesundheit, der Schwere des physischen oder psychischen Leidens, der Bedürfnisse und der wirtschaftlichen Situation der versicherten Person erlauben, zu bearbeiten oder bearbeiten zu lassen.

2

191

SR 831.10

7717

Datenschutzgesetz

BBl 2020

81. Bundesgesetz vom 25. Juni 1982192 über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge Art. 85a Abs. 1 Einleitungssatz und 2 Die mit der Durchführung oder mit der Kontrolle oder Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe sind befugt, die Personendaten, einschliesslich besonders schützenswerter Personendaten, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach diesem Gesetz übertragenen Aufgaben zu erfüllen, namentlich um: 1

Zur Erfüllung dieser Aufgaben sind sie darüber hinaus befugt, Personendaten, die namentlich die Beurteilung der Gesundheit, der Schwere des physischen oder psychischen Leidens, der Bedürfnisse und der wirtschaftlichen Situation der versicherten Person erlauben, zu bearbeiten oder bearbeiten zu lassen.

2

82. Bundesgesetz vom 18. März 1994193 über die Krankenversicherung Art. 84 Abs. 1 Einleitungssatz und 2 Die mit der Durchführung oder mit der Kontrolle oder Beaufsichtigung der Durchführung dieses Gesetzes oder des KVAG194 betrauten Organe sind befugt, die Personendaten, einschliesslich besonders schützenswerter Personendaten, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach diesem Gesetz oder nach dem KVAG übertragenen Aufgaben zu erfüllen, namentlich um: 1

Zur Erfüllung dieser Aufgaben sind sie darüber hinaus befugt, Personendaten, die namentlich die Beurteilung der Gesundheit, der Schwere des physischen oder psychischen Leidens, der Bedürfnisse und der wirtschaftlichen Situation der versicherten Person erlauben, zu bearbeiten oder bearbeiten zu lassen.

2

83. Bundesgesetz vom 20. März 1981195 über die Unfallversicherung Art. 96 Abs. 1 Einleitungssatz und 2 Die mit der Durchführung oder mit der Kontrolle oder Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe sind befugt, die Personendaten, einschliesslich besonders schützenswerter Personendaten, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach diesem Gesetz übertragenen Aufgaben zu erfüllen, namentlich um: 1

Zur Erfüllung dieser Aufgaben sind sie darüber hinaus zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. Septem2

192 193 194 195

SR 831.40 SR 832.10 SR 832.12 SR 832.20

7718

Datenschutzgesetz

BBl 2020

ber 2020196 (DSG) und zum Erlass von automatisierten Einzelentscheidungen nach Artikel 21 DSG befugt.

84. Bundesgesetz vom 19. Juni 1992197 über die Militärversicherung Art. 94a Abs. 1 Einleitungssatz und 2 Die mit der Durchführung oder mit der Kontrolle oder Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe sind befugt, die Personendaten, einschliesslich besonders schützenswerter Personendaten, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach diesem Gesetz übertragenen Aufgaben zu erfüllen, namentlich um: 1

Zur Erfüllung dieser Aufgaben sind sie darüber hinaus zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 2020198 (DSG) und zum Erlass von automatisierten Einzelentscheidungen nach Artikel 21 DSG befugt.

2

85. Arbeitslosenversicherungsgesetz vom 25. Juni 1982199 Art. 96b Abs. 1 Einleitungssatz und 2 Die mit der Durchführung oder mit der Kontrolle oder Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe sind befugt, die Personendaten, einschliesslich besonders schützenswerter Personendaten, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach diesem Gesetz übertragenen Aufgaben zu erfüllen, namentlich um: 1

Zur Erfüllung dieser Aufgaben sind sie darüber hinaus befugt, Personendaten, die namentlich die Beurteilung der persönlichen und der wirtschaftlichen Situation der Empfänger von Leistungen der Arbeitslosenversicherung erlauben, zu bearbeiten oder bearbeiten zu lassen.

2

Art. 96c Abs. 2 Einleitungssatz und 2bis Sie dürfen diejenigen Personendaten, einschliesslich besonders schützenswerter Personendaten, abrufen, die sie benötigen, um die folgenden ihnen nach diesem Gesetz übertragenen Aufgaben zu erfüllen: 2

Soweit es für den Vollzug dieses Gesetzes und des AVG200 notwendig ist, dürfen Personendaten, einschliesslich besonders schützenswerter Personendaten, zwischen den Informationssystemen der Arbeitslosenversicherung (Art. 83 Abs. 1 Bst. i) und 2bis

196 197 198 199 200

SR 235.1 SR 833.1 SR 235.1 SR 837.0 SR 823.11

7719

Datenschutzgesetz

BBl 2020

den Informationssystemen der öffentlichen Arbeitsvermittlung (Art. 35 AVG) ausgetauscht werden.

86. Tierseuchengesetz vom 1. Juli 1966201 Art. 54a Abs. 3 Im Rahmen ihrer gesetzlichen Aufgaben dürfen die Vollzugsbehörden besonders schützenswerte Personendaten und Betriebsprofile bearbeiten.

3

87. Jagdgesetz vom 20. Juni 1986202 Art. 22 Abs. 3 erster und zweiter Satz Das Bundesamt darf diese Personendaten aufbewahren. Nach Ablauf des Entzugs der Jagdberechtigung löscht es sie und vernichtet die entsprechenden kantonalen Verfügungen. ...

3

88. Bundesgesetz vom 12. Juni 2009203 über die Produktesicherheit Art. 13 Abs. 1 Die Vollzugsorgane sind berechtigt, Personendaten, einschliesslich Daten über administrative und strafrechtliche Verfolgungen und Sanktionen, zu bearbeiten.

1

89. Bauproduktegesetz vom 21. März 2014204 Art. 32 Abs. 2 Die Marktüberwachungsorgane sind berechtigt, Personendaten, einschliesslich Daten über administrative und strafrechtliche Verfolgungen und Sanktionen, zu bearbeiten. Sie geben die entsprechenden Daten in die zentrale Vollzugsdatenbank zur Marktüberwachung ein.

2

201 202 203 204

SR 916.40 SR 922.0 SR 930.11 SR 933.0

7720

Datenschutzgesetz

BBl 2020

90. Geldspielgesetz vom 29. September 2017 205 Art. 65 Abs. 2 und 2bis Bei einem hinreichenden Verdacht auf Manipulation eines Sportwettkampfs kann sie namentlich folgende Personendaten, einschliesslich besonders schützenswerter Personendaten über Straf- oder Verwaltungsverfahren, an die Veranstalterinnen und die Organisationen weitergeben: 2

a.

Personendaten der Wettenden;

b.

Personendaten, die eine Beurteilung des Wettverhaltens der betroffenen Personen bei Sportwetten erlauben.

Erweist sich der Verdacht als unbegründet, so sind die Daten umgehend zu löschen.

2bis

Art. 101 Abs. 1 Zur Erfüllung ihrer gesetzlichen Aufgaben kann die ESBK Personendaten, einschliesslich besonders schützenswerter Daten über die Gesundheit, über Massnahmen der sozialen Hilfe, über verwaltungs- oder strafrechtliche Verfolgungen und Sanktionen, sowie Daten, die eine Beurteilung der Tätigkeit von Veranstalterinnen illegaler Geldspielangebote erlauben, bearbeiten.

1

Art. 110

Datenbearbeitung

Zur Erfüllung ihrer gesetzlichen Aufgaben kann die interkantonale Behörde Personendaten, einschliesslich besonders schützenswerter Daten über die Gesundheit, über Massnahmen der sozialen Hilfe, über verwaltungs- oder strafrechtliche Verfolgungen und Sanktionen, sowie Daten, die eine Beurteilung der Tätigkeit von Veranstalterinnen illegaler Geldspielangebote erlauben, bearbeiten.

91. Psychologieberufegesetz vom 18. März 2011206 Art. 40 Abs. 1 Das Register enthält die Daten, die zur Erreichung des Zwecks benötigt werden.

Dazu gehören auch besonders schützenswerte Personendaten im Sinne von Artikel 5 Buchstabe c des Datenschutzgesetzes vom 25. September 2020207.

1

205 206 207

SR 935.51 SR 935.81 SR 235.1

7721

Datenschutzgesetz

BBl 2020

92. Bundesgesetz vom 27. September 2019208 über elektronische Identifizierungsdienste Art. 16 Abs. 2 zweiter Satz ... Die Datenbearbeitung durch Auftragsbearbeiter nach Artikel 9 des Datenschutzgesetzes vom 25. September 2020209 bleibt vorbehalten.

2

Art. 30 Abs. 2 Sie darf zur Erfüllung ihrer gesetzlichen Aufgaben Personendaten, einschliesslich besonders schützenswerter Personendaten über strafrechtliche Verfolgungen und Sanktionen, bearbeiten.

2

93. Bundesgesetz vom 6. Oktober 1995210 über die technischen Handelshemmnisse Art. 20b Abs. 1 Die Vollzugsorgane sind berechtigt, Personendaten, einschliesslich Daten über administrative und strafrechtliche Verfolgungen und Sanktionen, zu bearbeiten.

1

94. Nationalbankgesetz vom 3. Oktober 2003211 Art. 14 Abs. 3 Die Eidgenössische Steuerverwaltung liefert der Nationalbank zur Erfüllung ihrer statistischen Aufgaben die Grundlagen und Ergebnisse ihrer Statistiktätigkeit im Bereich der Mehrwertsteuer und, falls erforderlich, Mehrwertsteuerdaten aus ihren Datenbeständen und Erhebungen. Die Nationalbank darf diese Daten ungeachtet der Artikel 16 Absätze 4 und 4bis, 50a und 50b des vorliegenden Gesetzes sowie von Artikel 39 des Datenschutzgesetzes vom 25. September 2020212 (DSG) nicht weitergeben.

3

Art. 16 Abs. 4bis und 5 Die Nationalbank ist befugt, die erhobenen Daten für statistische Zwecke in nicht aggregierter Form dem Bundesamt für Statistik bekannt zu geben. Dieses darf die von der Nationalbank empfangenen Daten ungeachtet von Artikel 39 DSG213 ohne deren Zustimmung nicht weitergeben.

4bis

208 209 210 211 212 213

BBl 2019 6567 SR 235.1 SR 946.51 SR 951.11 SR 235.1 SR 235.1

7722

Datenschutzgesetz

5

BBl 2020

Im Übrigen gelten für die Daten natürlicher Personen die Bestimmungen des DSG.

Gliederungstitel vor Art. 49

6. Abschnitt: Geheimhaltungspflicht, Bearbeitung von Personendaten und von Daten juristischer Personen sowie Informationsaustausch und Verantwortlichkeit Art. 49a

Bearbeitung von Personendaten und von Daten juristischer Personen

Zur Erfüllung ihrer gesetzlichen Aufgaben kann die Nationalbank Personendaten, einschliesslich besonders schützenswerter Personendaten, und Daten juristischer Personen bearbeiten.

95. Geldwäschereigesetz vom 10. Oktober 1997 214 Art. 29 Abs. 2 zweiter Satz ... Dazu gehören namentlich Finanzinformationen sowie andere, in Straf-, Verwaltungsstraf- und Verwaltungsverfahren beschaffte besonders schützenswerte Personendaten, einschliesslich solcher aus hängigen Verfahren.

2

Art. 33

Grundsatz

Die Bearbeitung von Personendaten richtet sich nach dem Datenschutzgesetz vom 25. September 2020215.

Art. 34 Sachüberschrift und Abs. 1­3 Datenbanken und Akten im Zusammenhang mit der Meldepflicht Die Finanzintermediäre führen separate Datenbanken oder Akten, die alle im Zusammenhang mit der Meldung stehenden Unterlagen enthalten.

1

Sie dürfen die Daten dieser Datenbanken und Akten nur an die FINMA, die EBSK, die interkantonale Aufsichts- und Vollzugsbehörde nach Artikel 105 BGS216, die Aufsichtsorganisation, Selbstregulierungsorganisationen, die Meldestelle und Strafverfolgungsbehörden weitergeben.

2

Das Auskunftsrecht betroffener Personen nach Artikel 25 des Datenschutzgesetzes vom 25. September 2020217 ist ab Erstattung einer Meldung nach Artikel 9 Absatz 1 des vorliegenden Gesetzes oder nach Artikel 305ter Absatz 2 StGB218 bis zum Zeitpunkt, an dem die Meldestelle den Finanzintermediär nach Artikel 23 Absatz 5 3

214 215 216 217 218

SR 955.0 SR 235.1 SR 935.51 SR 235.1 SR 311.0

7723

Datenschutzgesetz

BBl 2020

oder 6 informiert, sowie während einer Vermögenssperre nach Artikel 10 ausgeschlossen.

96. Finanzmarktaufsichtsgesetz vom 22. Juni 2007219 Art. 13a Abs. 1 Einleitungssätze, Bst. a und abis sowie 2 Einleitungssatz Die FINMA bearbeitet in Papierform oder in einem oder mehreren Informationssystemen Daten ihres Personals sowie von Stellenbewerberinnen und Stellenbewerbern zur Erfüllung der Aufgaben nach diesem Gesetz. Sie kann die Bearbeitung einem Auftragsbearbeiter übertragen.

1

Die bearbeiteten Personendaten betreffen insbesondere: a.

den Bewerbungsprozess;

abis.

die Begründung, Durchführung und Beendigung eines Arbeitsverhältnisses;

Sie kann folgende für die Erfüllung ihrer Aufgaben nach Absatz 1 notwendigen Daten ihres Personals, einschliesslich besonders schützenswerte Personendaten, bearbeiten: 2

Art. 23

Datenbearbeitung

Die FINMA kann im Rahmen der Aufsicht nach diesem Gesetz und den Finanzmarktgesetzen Personendaten, einschliesslich besonders schützenswerter Personendaten, bearbeiten oder bearbeiten lassen.

1

2

Sie darf dies insbesondere zum Zweck: a.

der Prüfung der Beaufsichtigten;

b.

der Aufsicht;

c.

der Führung eines Verfahrens;

d.

der Beurteilung der Gewähr für einwandfreie Geschäftstätigkeit;

e.

der Beurteilung des Verhaltens einer Person bei einer Tätigkeit für eine Beaufsichtigte oder einen Beaufsichtigten oder auf dem Finanzmarkt; oder

f.

der nationalen und internationalen Amts- und Rechtshilfe.

Für die Datenbearbeitung zum Zweck nach Absatz 2 Buchstabe e ist sie zum Profiling, einschliesslich zum Profiling mit hohem Risiko, nach dem Datenschutzgesetz vom 25. September 2020220 befugt.

3

4

Sie regelt die Einzelheiten.

219 220

SR 956.1 SR 235.1

7724

Datenschutzgesetz

BBl 2020

Einfügen vor dem Gliederungstitel des 3. Kapitels Art. 23a

Öffentliches Verzeichnis

Die FINMA führt ein Verzeichnis der Beaufsichtigten. Dieses ist in elektronischer Form öffentlich zugänglich.

97. Bundesgesetz vom 19. März 1976221 über die internationale Entwicklungszusammenarbeit und humanitäre Hilfe Art. 13a Abs. 1 Einleitungssatz und Bst. g Die zuständige Verwaltungseinheit kann von Personen, die mit der Durchführung von Massnahmen nach diesem Gesetz betraut oder davon betroffen sind, namentlich folgende Daten bearbeiten: 1

g.

Aufgehoben

98. Bundesgesetz vom 30. September 2016222 über die Zusammenarbeit mit den Staaten Osteuropas Art. 15 Abs. 2 Einleitungssatz Er kann folgende für die Erfüllung seiner Aufgaben nach Absatz 1 notwendige Daten seines Personals, einschliesslich besonders schützenswerter Personendaten, bearbeiten: 2

221 222

SR 974.0 SR 974.1

7725

Datenschutzgesetz

BBl 2020

Anhang 2 (Art. 73)

Koordination mit anderen Erlassen 1. Bundesbeschluss vom 13. Juni 2008 über die Genehmigung und

die Umsetzung von Übereinkommen zur Haftung auf dem Gebiet der Kernenergie

Unabhängig davon, ob zuerst die vorliegende Änderung des Bundesgesetzes vom 18. Dezember 1987223 über das Internationale Privatrecht (IPRG; Anhang 1 Ziff. II 25) oder die Änderung des IPRG im Rahmen des Bundesbeschlusses vom 13. Juni 2008 über die Genehmigung und die Umsetzung von Übereinkommen zur Haftung auf dem Gebiet der Kernenergie (Anhang Ziff. II 3 zum Kernenergiehaftpflichtgesetz vom 13. Juni 2008224) in Kraft tritt, lauten die nachfolgenden Bestimmungen des IPRG mit Inkrafttreten des später in Kraft tretenden Gesetzes sowie bei gleichzeitigem Inkrafttreten wie folgt: Art. 130 Abs. 3 Die Zuständigkeitsordnung nach Absatz 2 gilt sinngemäss auch für Klagen aus nuklearen Ereignissen, auf die das Übereinkommen nicht anwendbar ist. Befinden sich bei einer solchen Klage weder der Ort des Ereignisses noch die Kernanlage in der Schweiz, so kann auch in demjenigen Kanton geklagt werden, auf dessen Gebiet der geltend gemachte Schaden eingetreten ist. Ist in mehreren Kantonen ein Schaden eingetreten, ist derjenige Kanton zuständig, der am meisten von den Auswirkungen des Ereignisses betroffen ist.

3

Art. 130a b. Auskunfts- und Einsichtsrechte im Zusammenhang mit Personendaten

Klagen zur Durchsetzung des Auskunfts- oder Einsichtsrechts im Zusammenhang mit der Bearbeitung von Personendaten können bei den in Artikel 129 genannten Gerichten eingereicht werden.

2. Strafregistergesetz vom 17. Juni 2016 1. Mit Inkrafttreten des vorliegenden Gesetzes lauten die folgenden Bestimmungen des Strafregistergesetzes vom 17. Juni 2016225 (StReG) wie folgt: Art. 3 Abs. 1 1

Das Bundesamt für Justiz ist das für VOSTRA verantwortliche Bundesorgan.

223 224 225

SR 291 BBl 2008 5339 BBl 2016 4871

7726

Datenschutzgesetz

BBl 2020

Art. 12 Abs. 2 Die aus VOSTRA bezogenen Strafdaten dürfen nicht in einer neuen Datenbank aufbewahrt werden, es sei denn, dies sei zur Begründung eines getroffenen Entscheides, einer erlassenen Verfügung oder eines eingeleiteten Verfahrensschritts notwendig.

2

Art. 25 Abs. 1 1

Betrifft nur den französischen Text.

2. Mit Inkrafttreten des StReG226 lauten die nachfolgenden Bestimmungen des Strafgesetzbuches (Anhang 1 Ziff. II 26, des vorliegenden Gesetzes) wie folgt: Art. 365 Abs. 1 erster Satz und Art. 367 Abs. 3 Gegenstandslos oder Aufgehoben

3. Bevölkerungs- und Zivilschutzgesetz vom 20. Dezember 2019 Mit Inkrafttreten des vorliegenden Gesetzes lautet die folgende Bestimmung des Bevölkerungs- und Zivilschutzgesetzes vom 20. Dezember 2019227 wie folgt: Art. 93 Abs. 1 zweiter Einleitungssatz und Bst. b sowie 2 zweiter Einleitungssatz und Bst. b 1

... Es kann dabei folgende Daten bearbeiten: b.

2

Personendaten, die es erlauben, die Zuteilung der Grundfunktion oder das Kaderpotenzial abzuklären.

... Es kann dabei folgende Daten bearbeiten: b.

226 227

Personendaten, die es erlauben, die Eignung für eine Kader- oder Spezialistenfunktion zu beurteilen.

BBl 2016 4871 BBl 2019 8687

7727

Datenschutzgesetz

BBl 2020

4. Änderung vom 19. Juni 2020 des Arbeitslosenversicherungsgesetzes vom 25. Juni 1982 1. Unabhängig davon, ob zuerst die vorliegende Änderung des Arbeitsvermittlungsgesetzes vom 6. Oktober 1989228 (AVG; Anhang 1 Ziff. II 79) oder die Änderung des AVG vom 19. Juni 2020229 im Rahmen der Änderung des Arbeitslosenversicherungsgesetzes vom 25. Juni 1982 (Anhang Ziff. 1) in Kraft tritt, lautet mit Inkrafttreten des später in Kraft tretenden Gesetzes sowie bei gleichzeitigem Inkrafttreten die folgende Bestimmung des AVG wie folgt: Art. 35 Abs. 2, 3bis und 5 Bst. d Im Informationssystem nach Absatz 1 Buchstabe a dürfen Personendaten, einschliesslich besonders schützenswerter Personendaten nach Artikel 33a Absatz 2, bearbeitet werden.

2

Soweit es für den Vollzug dieses Gesetzes und des AVIG notwendig ist, dürfen Personendaten, einschliesslich besonders schützenswerter Personendaten, zwischen den Informationssystemen der öffentlichen Arbeitsvermittlung und den Informationssystemen der Arbeitslosenversicherung ausgetauscht werden.

3bis

5

Der Bundesrat regelt: d.

den Umfang der Zugriffs- und Bearbeitungsrechte für Personendaten, einschliesslich besonders schützenswerter Personendaten, der genannten Personen, Stellen und Organe nach den Absätzen 3 und 3 ter;

2. Unabhängig davon ob die vorliegende Änderung des Arbeitslosenversicherungsgesetzes vom 25. Juni 1982230 (AVIG; Anhang 1 Ziff. II 85) oder die Änderung des AVIG vom 19. Juni 2020231 zuerst in Kraft tritt, lautet mit Inkrafttreten des später in Kraft tretenden Gesetzes sowie bei gleichzeitigem Inkrafttreten die folgende Bestimmung des AVIG wie folgt: Art. 96c Abs. 2 und 2bis 2

Aufgehoben

Soweit es für den Vollzug dieses Gesetzes und des AVG notwendig ist, dürfen Personendaten, einschliesslich besonders schützenswerter Personendaten, zwischen den Informationssystemen der Arbeitslosenversicherung (Art. 83 Abs. 1 bis) und den Informationssystemen der öffentlichen Arbeitsvermittlung (Art. 35 AVG) ausgetauscht werden.

2bis

228 229 230 231

SR 823.11 BBl 2020 5683 SR 837.0 BBl 2020 5683

7728

Datenschutzgesetz

BBl 2020

5. Änderung vom 21. Juni 2019 des Bundesgesetzes über

den Allgemeinen Teil des Sozialversicherungsrechts vom 6. Oktober 2000 Unabhängig davon, ob zuerst die vorliegende Änderung des Bundesgesetzes vom 20. Dezember 1946232 über die Alters- und Hinterlassenenversicherung (AHVG; Anhang 1 Ziff. II 80) oder die Änderung des AHVG im Rahmen der Änderung vom 21. Juni 2019233 des Bundesgesetz vom 6. Oktober 2000 über den Allgemeinen Teil des Sozialversicherungsrechts (Anhang Ziff. 1) in Kraft tritt, lauten mit Inkrafttreten des später in Kraft tretenden Gesetzes sowie bei gleichzeitigem Inkrafttreten die nachstehenden Bestimmungen des AHVG wie folgt: Art. 49a

Informationssysteme

Der Bundesrat kann die Durchführungsstellen verpflichten, Informationssysteme zu verwenden, die für die Erfüllung der Aufgaben nach Anhang II des Abkommens vom 21. Juni 1999234 zwischen der Schweizerischen Eidgenossenschaft einerseits und der Europäischen Gemeinschaft und ihren Mitgliedstaaten andererseits über die Freizügigkeit (Freizügigkeitsabkommen) sowie anderer internationaler Abkommen über die soziale Sicherheit und nach Anhörung der betroffenen Stellen entwickelt wurden.

Art. 49b

Bearbeiten von Personendaten

Die mit der Durchführung oder mit der Kontrolle, oder der Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe sind befugt, die Personendaten, einschliesslich besonders schützenswerter Daten, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach diesem Gesetz oder im Rahmen von zwischenstaatlichen Vereinbarungen übertragenen Aufgaben zu erfüllen, namentlich um: 1

a.

die Versicherungsbeiträge zu berechnen und zu erheben;

b.

Leistungsansprüche zu beurteilen sowie Leistungen zu berechnen, zu gewähren und mit Leistungen anderer Sozialversicherungen zu koordinieren;

c.

Beitragsansprüche zu beurteilen sowie Beiträge zu berechnen, zu gewähren und deren Verwendung zu überwachen;

d.

ein Rückgriffsrecht gegenüber einem haftpflichtigen Dritten geltend zu machen;

e.

die Aufsicht über die Durchführung dieses Gesetzes auszuüben;

f.

Statistiken zu führen;

g.

die Versichertennummer zuzuweisen oder zu verifizieren.

Zur Erfüllung dieser Aufgaben sind sie darüber hinaus befugt, Personendaten, die namentlich die Beurteilung der Gesundheit, der Schwere des physischen oder psy2

232 233 234

SR 831.10 BBl 2019 4475 SR 0.142.112.681

7729

Datenschutzgesetz

BBl 2020

chischen Leidens, der Bedürfnisse und der wirtschaftlichen Situation der versicherten Person erlauben, zu bearbeiten oder bearbeiten zu lassen.

6. Änderung vom 19. Juni 2020 des Tierseuchengesetzes

vom 1. Juli 1966

Unabhängig davon ob zuerst die vorliegende Änderung des Tierseuchengesetzes vom 1. Juli 1966235 (TSG; Anhang 1 Ziff. II 86) oder die Änderung des TSG vom 19. Juni 2020236 in Kraft tritt, lautet mit Inkrafttreten des später in Kraft tretenden Gesetzes sowie bei gleichzeitigem Inkrafttreten die nachstehende Bestimmung des TSG wie folgt: Art. 54a Aufgehoben

235 236

SR 916.40 BBl 2020 5565

7730