Datenschutzerklärung

Die Details von nDSG 19 ff.

Art. 19 nDSG Informationspflicht bei der Beschaffung von Personendaten

¹ Der Verantwortliche informiert die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.

² Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; er teilt ihr mindestens mit:

1. die Identität und die Kontaktdaten des Verantwortlichen;
2. den Bearbeitungszweck;
3. gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden.

³ Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr zudem die Kategorien der bearbeiteten Personendaten mit.

⁴ Werden die Personendaten ins Ausland bekanntgegeben, so teilt er der betroffenen Person auch den Staat oder das internationale Organ und gegebenenfalls die Garantien nach Artikel 16 Absatz 2 oder die Anwendung einer Ausnahme nach Artikel 17 mit.

⁵ Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr die Informationen nach den Absätzen 2–4 spätestens einen Monat, nachdem er die Daten erhalten hat, mit. Gibt der Verantwortliche die Personendaten vor Ablauf dieser Frist bekannt, so informiert er die betroffene Person spätestens im Zeitpunkt der Bekanntgabe.

Art. 20 nDSG Ausnahmen von der Informationspflicht und Einschränkungen

¹ Die Informationspflicht nach Artikel 19 entfällt, wenn eine der folgenden Voraussetzungen erfüllt ist:

1. Die betroffene Person verfügt bereits über die entsprechenden Informationen.
2. Die Bearbeitung ist gesetzlich vorgesehen.
3. Es handelt sich beim Verantwortlichen um eine private Person, die gesetzlich zur Geheimhaltung verpflichtet ist.
4. Die Voraussetzungen nach Artikel 27 sind erfüllt.

² Werden die Personendaten nicht bei der betroffenen Person beschafft, so entfällt die Informationspflicht zudem, wenn eine der folgenden Voraussetzungen erfüllt ist:

1. Die Information ist nicht möglich.
2. Die Information erfordert einen unverhältnismässigen Aufwand.

³ Der Verantwortliche kann die Mitteilung der Informationen in den folgenden Fällen einschränken, aufschieben oder darauf verzichten:

1. Überwiegende Interessen Dritter erfordern die Massnahme.
2. Die Information vereitelt den Zweck der Bearbeitung.
3. Der Verantwortliche ist eine private Person und die folgenden Voraussetzungen sind erfüllt:
   1. Überwiegende Interessen des Verantwortlichen erfordern die Massnahme.
   2. Der Verantwortliche gibt die Personendaten nicht Dritten bekannt.
4. Der Verantwortliche ist ein Bundesorgan und eine der folgenden Voraussetzungen ist erfüllt:
   1. Die Massnahme ist wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder der äusseren Sicherheit der Schweiz, erforderlich.
   2. Die Mitteilung der Information kann eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden.

⁴ Unternehmen, die zum selben Konzern gehören, gelten nicht als Dritte im Sinne von Absatz 3 Buchstabe c Ziffer 2.

Art. 21 nDSG Informationspflicht bei einer automatisierten Einzelentscheidung

¹ Der Verantwortliche informiert die betroffene Person über eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt (automatisierte Einzelentscheidung).

² Er gibt der betroffenen Person auf Antrag die Möglichkeit, ihren Standpunkt darzulegen. Die betroffene Person kann verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.

³ Die Absätze 1 und 2 gelten nicht, wenn:

1. die automatisierte Einzelentscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person steht und ihrem Begehren stattgegeben wird; oder
2. die betroffene Person ausdrücklich eingewilligt hat, dass die Entscheidung automatisiert erfolgt.

⁴ Ergeht die automatisierte Einzelentscheidung durch ein Bundesorgan, so muss es die Entscheidung entsprechend kennzeichnen. Absatz 2 ist nicht anwendbar, wenn die betroffene Person nach Artikel 30 Absatz 2 des Verwaltungsverfahrensgesetzes vom 20. Dezember 1968⁶ (VwVG) oder nach einem anderen Bundesgesetz vor dem Entscheid nicht angehört werden muss.

Art. 9 DSV Datenschutzklauseln und spezifische Garantien

¹ Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:

1. die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit;
2. die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;
3. die Art und den Zweck der Bekanntgabe von Personendaten;
4. gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe;
5. die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;
6. die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
7. die Massnahmen zur Gewährleistung der Datensicherheit;
8. die Pflicht, Verletzungen der Datensicherheit zu melden;
9. falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren;
10. die Rechte der betroffenen Person, insbesondere:
    1. das Auskunftsrecht und das Recht auf Datenherausgabe oder -übertragung,
    2. das Recht, der Datenbekanntgabe zu widersprechen,
    3. das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,
    4. das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen.

⁴ Unternehmen, die zum selben Konzern gehören, gelten nicht als Dritte im Sinne von Absatz 3 Buchstabe c Ziffer 2.

Art. 21 nDSG Informationspflicht bei einer automatisierten Einzelentscheidung

¹ Der Verantwortliche informiert die betroffene Person über eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt (automatisierte Einzelentscheidung).

² Er gibt der betroffenen Person auf Antrag die Möglichkeit, ihren Standpunkt darzulegen. Die betroffene Person kann verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.

³ Die Absätze 1 und 2 gelten nicht, wenn:

1. die automatisierte Einzelentscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person steht und ihrem Begehren stattgegeben wird; oder
2. die betroffene Person ausdrücklich eingewilligt hat, dass die Entscheidung automatisiert erfolgt.

⁴ Ergeht die automatisierte Einzelentscheidung durch ein Bundesorgan, so muss es die Entscheidung entsprechend kennzeichnen. Absatz 2 ist nicht anwendbar, wenn die betroffene Person nach Artikel 30 Absatz 2 des Verwaltungsverfahrensgesetzes vom 20. Dezember 1968⁶ (VwVG) oder nach einem anderen Bundesgesetz vor dem Entscheid nicht angehört werden muss.

Art. 9 DSV Datenschutzklauseln und spezifische Garantien

¹ Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:

1. die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit;
2. die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;
3. die Art und den Zweck der Bekanntgabe von Personendaten;
4. gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe;
5. die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;
6. die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
7. die Massnahmen zur Gewährleistung der Datensicherheit;
8. die Pflicht, Verletzungen der Datensicherheit zu melden;
9. falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren;
10. die Rechte der betroffenen Person, insbesondere:
    1. das Auskunftsrecht und das Recht auf Datenherausgabe oder -übertragung,
    2. das Recht, der Datenbekanntgabe zu widersprechen,
    3. das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,
    4. das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen.

² Der Verantwortliche und im Fall von Datenschutzklauseln in einem Vertrag der Auftragsbearbeiter müssen angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese Klauseln oder die spezifischen Garantien einhält.

³ Wurde der EDÖB über die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:

1. unter denselben Datenschutzklauseln oder Garantien erfolgen, sofern die Kategorien der Empfängerinnen und Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder
2. innerhalb derselben juristischen Person oder Gesellschaft oder zwischen Unternehmen, die zum selben Konzern gehören, stattfinden.

Art. 10 DSV Standarddatenschutzklauseln

¹ Gibt der Verantwortliche oder der Auftragsbearbeiter Personendaten mittels Standarddatenschutzklauseln nach Artikel 16 Absatz 2 Buchstabe d DSG ins Ausland bekannt, so trifft er angemessene Massnahmen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese beachtet.

² Der EDÖB veröffentlicht eine Liste von Standarddatenschutzklauseln, die er genehmigt, ausgestellt oder anerkannt hat. Er teilt das Ergebnis der Prüfung der Standarddatenschutzklauseln, die ihm unterbreitet werden, innerhalb von 90 Tagen mit.

Art. 11 DSV Verbindliche unternehmensinterne Datenschutzvorschriften

¹ Verbindliche unternehmensinterne Datenschutzvorschriften nach Artikel 16 Absatz 2 Buchstabe e DSG gelten für alle Unternehmen, die zum selben Konzern gehören.

² Sie umfassen mindestens die in Artikel 9 Absatz 1 genannten Punkte sowie die folgenden Angaben:

1. a) die Organisation und die Kontaktdaten des Konzerns und seiner Unternehmen;
2. b) die innerhalb des Konzerns getroffenen Massnahmen zur Einhaltung der verbindlichen unternehmensinternen Datenschutzvorschriften.

³ Der EDÖB teilt das Ergebnis der Prüfung der verbindlichen unternehmensinternen Datenschutzvorschriften, die ihm unterbreitet werden, innerhalb von 90 Tagen mit.

Art. 12 DSV Verhaltenskodizes und Zertifizierungen

¹ Personendaten dürfen ins Ausland bekanntgegeben werden, wenn ein Verhaltenskodex oder eine Zertifizierung einen geeigneten Datenschutz gewährleistet.

² Der Verhaltenskodex muss vorgängig dem EDÖB zur Genehmigung unterbreitet werden.

³ Der Verhaltenskodex oder die Zertifizierung muss mit einer verbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen oder des Auftragsbearbeiters im Drittstaat verbunden werden, die darin enthaltenen Massnahmen anzuwenden.