152.043

Einführungsverordnung zur EU-Datenschutzrichtlinie 2016/680 über den Schutz personenbezogener Daten

(Einführungsverordnung zur EU-Datenschutzrichtlinie, EV EDS)

vom 04.07.2018 (Stand 01.09.2018)
Der Regierungsrat des Kantons Bern,

gestützt auf Artikel 88 Absatz 3 der Kantonsverfassung[1],

beschliesst:
Art. 1
Gegenstand und Geltungsbereich
1

Diese Verordnung regelt die Einführung der EU-Richtlinie 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates[2].

2

Sie findet Anwendung auf die Behörden, die zuständig sind für die Verarbeitung personenbezogener Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschliesslich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (Art. 1 Abs. 1 der EU-Richtlinie 2016/680).

Art. 2
Profiling
1

Profiling ist die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, die Vorlieben, den Aufenthaltsort oder die Mobilität zu analysieren oder vorherzusagen.

2

Es ist unter den Voraussetzungen von Artikel 5 des Datenschutzgesetzes vom 19. Februar 1986 (KDSG)[3] zulässig.

3

Führt es zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person, ist es unter den Voraussetzungen von Artikel 6 KDSG zulässig.

4

Die Bestimmungen der Artikel 10 bis 14a KDSG über die Bekanntgabe von Personendaten gelten auch für die Resultate eines Profilings, sofern sie Personendaten enthalten.

Art. 3
Nachweis der Einhaltung der Datenschutzbestimmungen
1

Die verantwortliche Behörde muss nachweisen können, dass sie die Datenschutzbestimmungen von Artikel 4 Absätze 1 bis 3 der EU-Richtlinie 2016/680 einhält.

Art. 4
Informationspflicht bei der Beschaffung von Personendaten
1. Grundsatz
1

Die verantwortliche Behörde informiert die betroffene Person über jede Beschaffung von Daten. Diese Informationspflicht gilt auch, wenn die Daten bei Dritten beschafft werden.

2

Die Information umfasst insbesondere Angaben über

a die verantwortliche Behörde samt Kontaktdaten,
b die bearbeiteten Daten oder die Kategorien der bearbeiteten Daten,
c die Rechtsgrundlage und den Zweck des Bearbeitens,
d die Datenempfängerinnen und Datenempfänger oder die Kategorien der Datenempfängerinnen und Datenempfänger, falls die Daten Dritten bekannt gegeben werden, und
e die Rechte der betroffenen Person.
3

Die Information erfolgt

a durch entsprechende Angaben im öffentlich zugänglichen Register der Datensammlungen nach Artikel 18 KDSG,
b auf der Internetseite der verantwortlichen Behörde oder
c durch Mitteilung an die betroffene Person.
Art. 5
2. Ausnahmen
1

Auf die Information kann verzichtet werden, wenn

a die betroffene Person bereits über die Informationen nach Artikel 4 Absatz 2 verfügt,
b das Bearbeiten der Personendaten gesetzlich ausdrücklich vorgesehen ist oder
c die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist.
2

Die Übermittlung der Informationen kann überdies unter denselben Voraussetzungen eingeschränkt werden wie der Zugang zu den eigenen Personendaten.

Art. 6
Mitteilung an die Empfängerinnen und Empfänger der Personendaten
1

Die verantwortliche Behörde teilt denjenigen Behörden oder Privaten, denen sie Personendaten bekanntgegeben hatte (Art. 10 bis 14a KDSG), mit, wenn Daten aufgrund der Artikel 23 oder 24 KDSG berichtigt oder vernichtet worden sind.

2

Die Mitteilung kann unterbleiben, wenn sie nicht möglich ist oder mit unverhältnismässigem Aufwand verbunden wäre.

Art. 7
Bearbeiten im Auftrag (Art. 16 KDSG)
1

Wer im Sinne von Artikel 16 KDSG Personendaten im Auftrag einer Behörde bearbeitet (Auftragsdatenbearbeiterinnen und Auftragsdatenbearbeiter), darf ohne deren vorgängige schriftliche Zustimmung die Datenbearbeitung keiner weiteren Auftragsdatenbearbeiterin und keinem weiteren Auftragsdatenbearbeiter übertragen.

Art. 8
Meldung von Verletzungen des Datenschutzes
1. An die Aufsichtsstelle
1

Die verantwortliche Behörde meldet der zuständigen Aufsichtsstelle für Datenschutz (Aufsichtsstelle) unverzüglich, das heisst möglichst binnen 72 Stunden, eine Verletzung des Datenschutzes. Die Meldung besteht in einer Beschreibung der Verletzung und deren Auswirkungen sowie der ergriffenen und vorgesehenen Massnahmen zur Wiederherstellung des Schutzes bzw. zur Abschwächung der Folgen der Verletzung.

2

Eine Verletzung des Datenschutzes liegt vor, wenn die Datensicherheit so verletzt wird, dass bearbeitete Personendaten unwiederbringlich vernichtet werden oder verloren gehen, unbeabsichtigt oder unrechtmässig verändert oder offenbart werden oder dass Unbefugte Zugang zu solchen Personendaten erhalten.

3

Eine Meldepflicht besteht nicht, wenn die Verletzung des Datenschutzes voraussichtlich nicht zu einem Risiko für die Grundrechte der betroffenen Person führt.

Art. 9
2. An die betroffenen Personen
1

Die verantwortliche Behörde informiert die betroffenen Personen, wenn die Umstände dies erfordern oder die Aufsichtsstelle es verlangt. Die Benachrichtigung hat insbesondere zu erfolgen, wenn die betroffenen Personen zur Abwendung des Schadens Massnahmen ergreifen können.

2

Die Benachrichtigung kann unterbleiben, wenn

a die verantwortliche Behörde technische und organisatorische Sicherheitsvorkehrungen getroffen hat, die im konkreten Fall den Eintritt eines Schadens bei der betroffenen Person verhindert haben,
b durch nachträgliche Vorkehrungen sichergestellt werden konnte, dass für die Grundrechte der betroffenen Personen aller Wahrscheinlichkeit nach kein hohes Risiko mehr besteht oder
c es mit unverhältnismässigem Aufwand verbunden wäre; in diesem Fall erfolgt die Benachrichtigung durch eine öffentliche Bekanntmachung.
3

Die Benachrichtigung der betroffenen Personen kann ausserdem ganz oder teilweise eingeschränkt oder aufgeschoben werden, wenn öffentliche oder private Geheimhaltungsinteressen überwiegen.

Art. 10
3. Beim Bearbeiten im Auftrag (Art. 16 KDSG)
1

Wer Personendaten im Auftrag einer Behörde bearbeitet, informiert die auftraggebende Behörde unverzüglich über eine Verletzung des Datenschutzes. Artikel 8 Absatz 1 Satz 2 und Absatz 2 gelten sinngemäss.

Art. 11
Prozessvertretung (Art. 26 KDSG)
1

Zur Prozessvertretung sind gemeinnützige Organisationen zugelassen, die sich nach ihren Statuten mit den Anliegen des Datenschutzes befassen.

Art. 12
Aufsichtsrechtliche Anzeigen (Art. 34 Abs. 1 Bst. d KDSG)
1

Die Aufsichtsstelle informiert die betroffenen Personen innerhalb von höchstens drei Monaten seit Eingang einer aufsichtsrechtlichen Anzeige über das Ergebnis oder den Stand der Abklärungen.

Art. 13
Inkrafttreten und Befristung
1

Diese Verordnung tritt am 1. September 2018 in Kraft und gilt bis zum 31. August 2023.

Bern, 4. Juli 2018

Im Namen des Regierungsrates

Der Präsident: Neuhaus

Der Staatsschreiber: Auer

18-055
  1. [1] BSG 101.1
  2. [2] CELEX Nr. 32016L0680
  3. [3] BSG 152.04

Änderungstabelle - nach Beschluss

Beschluss Inkrafttreten Element Änderung BAG-Fundstelle
04.07.2018 01.09.2018 Erlass Erstfassung 18-055

Änderungstabelle - nach Artikel

Element Beschluss Inkrafttreten Änderung BAG-Fundstelle
Erlass 04.07.2018 01.09.2018 Erstfassung 18-055