vorheriges Kapitelerste Seite des Titelsnächstes Kapitel    [Inhalt]  SR 235.11 - Edition Optobyte AG

Verordnung zum Bundesgesetz über den Datenschutz
1. Kapitel

Bearbeiten von Personendaten durch private Personen

4. Abschnitt

Technische und organisatorische Massnahmen


Allgemeine Massnahmen


Art. 8

1 Wer als Privatperson Personendaten bearbeitet oder ein Datenkommunikationsnetz zur Verfügung stellt, sorgt für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten, um einen angemessenen Datenschutz zu gewährleisten.1 Insbesondere schützt er die Systeme gegen folgende Risiken:
a. unbefugte oder zufällige Vernichtung;
b. zufälligen Verlust;
c. technische Fehler;
d. Fälschung, Diebstahl oder widerrechtliche Verwendung;
e. unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.
2 Die technischen und organisatorischen Massnahmen müssen angemessen sein. Insbesondere tragen sie folgenden Kriterien Rechnung:
a. Zweck der Datenbearbeitung;
b. Art und Umfang der Datenbearbeitung;
c. Einschätzung der möglichen Risiken für die betroffenen Personen;
d. gegenwärtiger Stand der Technik.
3 Diese Massnahmen sind periodisch zu überprüfen.
4 2

Besondere Massnahmen


Art. 9

1 Der Inhaber der Datensammlung trifft insbesondere bei der automatisierten Bearbeitung von Personendaten die technischen und organisatorischen Massnahmen, die geeignet sind, namentlich folgenden Zielen gerecht zu werden:
a. Zugangskontrolle: unbefugten Personen ist der Zugang zu den Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren;
b. Personendatenträgerkontrolle: unbefugten Personen ist das Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verunmöglichen;
c. Transportkontrolle: bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern ist zu verhindern, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können;
d. Bekanntgabekontrolle: Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden, müssen identifiziert werden können;
e. Speicherkontrolle: unbefugte Eingabe in den Speicher sowie unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten sind zu verhindern;
f. Benutzerkontrolle: die Benutzung von automatisierten Datenverarbeitungssystemen mittels Einrichtungen zur Datenübertragung durch unbefugte Personen ist zu verhindern;
g. Zugriffskontrolle: der Zugriff der berechtigten Personen ist auf diejenigen Personendaten zu beschränken, die sie für die Erfüllung ihrer Aufgabe benötigen;
h. Eingabekontrolle: in automatisierten Systemen muss nachträglich überprüft werden können, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden.
2 Die Datensammlungen sind so zu gestalten, dass die betroffenen Personen ihr Auskunftsrecht und ihr Recht auf Berichtigung wahrnehmen können.

Protokollierung


Art. 103

1 Der Inhaber der Datensammlung protokolliert die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen, wenn die präventiven Massnahmen den Datenschutz nicht gewährleisten können. Eine Protokollierung hat insbesondere dann zu erfolgen, wenn sonst nicht nachträglich festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie erhoben oder bekannt gegeben wurden. Der Beauftragte4 kann die Protokollierung auch für andere Bearbeitungen empfehlen.
2 Die Protokolle sind während eines Jahres revisionsgerecht festzuhalten. Sie sind ausschliesslich den Organen oder privaten Personen zugänglich, denen die Überwachung der Datenschutzvorschriften obliegt, und dürfen nur für diesen Zweck verwendet werden.

Bearbeitungsreglement


Art. 115

1 Der Inhaber einer meldepflichtigen automatisierten Datensammlung (Art. 11a Abs. 3 DSG), die nicht aufgrund von Artikel 11a Absatz 5 Buchstaben b-d DSG von der Meldepflicht ausgenommen ist, erstellt ein Bearbeitungsreglement, das insbesondere die interne Organisation sowie das Datenbearbeitungs- und Kontrollverfahren umschreibt und die Unterlagen über die Planung, die Realisierung und den Betrieb der Datensammlung und der Informatikmittel enthält.
2 Der Inhaber der Datensammlung aktualisiert das Reglement regelmässig. Er stellt es dem Beauftragten oder dem Datenschutzverantwortlichen nach Artikel 11a Absatz 5 Buchstabe e DSG auf Anfrage in einer für sie verständlichen Form zur Verfügung.

Bekanntgabe der Daten


Art. 12

Der Inhaber der Datensammlung meldet dem Datenempfänger die Aktualität und die Zuverlässigkeit der von ihm bekannt gegebenen Personendaten, soweit diese Informationen nicht aus den Daten selbst oder aus den Umständen ersichtlich sind.


1 Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 (AS 2007 4993).
2 Aufgehoben durch Ziff. I der V vom 28. Sept. 2007, mit Wirkung seit 1. Jan. 2008 (AS 2007 4993).
3 Die Berichtigung vom 16. Okt. 2012 betrifft nur den italienischen Text (AS 2012 5521).
4 Ausdruck gemäss Anhang 2 Ziff. 3 der Öffentlichkeitsverordnung vom 24. Mai 2006, in Kraft seit 1. Juli 2006 (AS 2006 2331). Diese Änd. ist im ganzen Erlass berücksichtigt.
5 Fassung gemäss Ziff. I der V vom 28. Sept. 2007, in Kraft seit 1. Jan. 2008 (AS 2007 4993).

vorheriges Kapitelerste Seite des Titelsnächstes Kapitel    [Inhalt]  SR 235.11 - Edition Optobyte AG