152.040.1

Datenschutzverordnung

(DSV)

vom 22.10.2008 (Stand 01.01.2009)
Der Regierungsrat des Kantons Bern,

gestützt auf Artikel 38 des Datenschutzgesetzes vom 19. Februar 1986 (KDSG)[1]

auf Antrag der Justiz-, Gemeinde- und Kirchendirektion,

beschliesst:
1 Datensperrung
Art. 1
 
1

Die verantwortliche Behörde bestätigt die Anordnung der Datensperre von Personendaten (Art. 13 KDSG[2]) der Gesuchstellerin oder dem Gesuchsteller schriftlich.

2

Das Gesuch um Datensperrung und die Bestätigung können auf elektronischem Weg erfolgen, wenn die verantwortliche Behörde angemessene Massnahmen getroffen hat, um

a die Identifizierung der betroffenen Person sicherzustellen und
b die persönlichen Daten der betroffenen Person bei der Gesuchsbehandlung vor dem Zugriff unberechtigter Dritter zu schützen.
2 Bekanntgabe ins Ausland
Art. 2
Veröffentlichung in elektronischer Form
1

Werden Personendaten mittels automatisierter Informations- und Kommunikationsdienste zwecks Information der Öffentlichkeit zugänglich gemacht, so stellt die verantwortliche Behörde sicher, dass die Rechtsgrundlage auch die Datenbekanntgabe ins Ausland erlaubt.

Art. 3
Informationspflicht
1

Wurde die Aufsichtsstelle über die Garantien gemäss Artikel 14a Absatz 2 Buchstabe a KDSG[3] informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die unter denselben Garantien erfolgen, soweit die Kategorien der Empfängerinnen oder der Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben.

2

Die Informationspflicht gilt ebenfalls als erfüllt, wenn Daten gestützt auf Modellverträge oder Standardvertragsklauseln übermittelt werden, die vom eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten erstellt oder anerkannt wurden, und die Aufsichtsstelle von der verantwortlichen Behörde in allgemeiner Form über die Verwendung dieser Modellverträge oder Standardvertragsklauseln informiert wurde.

3

Die verantwortliche Behörde trifft Massnahmen, um sicherzustellen, dass die Empfängerin oder der Empfänger die Garantien beachtet.

3 Technische und organisatorische Massnahmen
Art. 4
Grundsatz
1

Die verantwortliche Behörde, die Personendaten bearbeitet oder ein Datenkommunikationsnetz zur Verfügung stellt, sorgt mit technischen und organisatorischen Massnahmen für die Vertraulichkeit, die Verfügbarkeit und die Richtigkeit der Daten (Art. 17 KDSG). Insbesondere schützt sie die Systeme gegen folgende Risiken:

a unbefugte oder zufällige Vernichtung,
b zufälligen Verlust,
c technische Fehler,
d Fälschung, Diebstahl oder widerrechtliche Verwendung,
e unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.
2

Die Massnahmen müssen angemessen sein. Insbesondere tragen sie folgenden Kriterien Rechnung:

a Zweck der Datenbearbeitung,
b Art und Umfang der Datenbearbeitung,
c Einschätzung der möglichen Risiken für die betroffenen Personen,
d gegenwärtigem Stand der Technik.
3

Die Risiken und Massnahmen sind periodisch zu überprüfen.

Art. 5
Besondere Massnahmen
1

Die verantwortliche Behörde trifft insbesondere bei der elektronischen Bearbeitung von Personendaten die folgenden technischen und organisatorischen Massnahmen:

a Zugangskontrolle: Unbefugten Personen ist der Zugang zu den Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren;
b Personendatenträgerkontrolle: Unbefugten Personen ist das Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verunmöglichen;
c Transportkontrolle: Bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern ist zu verhindern, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können;
d Bekanntgabekontrolle: Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden, müssen identifiziert werden können;
e Speicherkontrolle: Die unbefugte Eingabe in den Speicher sowie die unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten sind zu verhindern;
f Benutzerkontrolle: Die Benutzung von automatisierten Datenbearbeitungssystemen mittels Einrichtungen zur Datenübertragung durch unbefugte Personen ist zu verhindern;
g Zugriffskontrolle: Der Zugriff der berechtigten Personen ist auf diejenigen Personendaten zu beschränken, die sie für die Erfüllung ihrer Aufgabe benötigen;
h Eingabekontrolle: In automatisierten Systemen muss nachträglich überprüft werden können, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden.
2

Die Datensammlungen sind so zu gestalten, dass die betroffenen Personen ihr Auskunftsrecht und ihr Recht auf Berichtigung wahrnehmen können.

Art. 6
Protokollierung
1

Die verantwortliche Behörde protokolliert die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder von Personendaten, die einer besonderen Geheimhaltungspflicht unterstehen, wenn die präventiven Massnahmen den Datenschutz nicht gewährleisten können.

2

Eine Protokollierung hat insbesondere dann zu erfolgen, wenn sonst nicht nachträglich festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie erhoben oder bekannt gegeben wurden.

3

Die Protokolle sind während eines Jahres revisionsgerecht aufzubewahren. Sie sind ausschliesslich denjenigen Stellen zugänglich, denen die Überwachung der Datenschutzvorschriften obliegt, und dürfen nur für diesen Zweck verwendet werden. Abweichende Vorgaben in der Gesetzgebung oder in Betriebsbewilligungen bleiben vorbehalten.

4 Vorabkontrolle
Art. 7
Begriffe
1

Technische Mittel mit besonderen Risiken für die Rechte und Freiheiten der betroffenen Personen im Sinne von Artikel 17a Absatz 1 Buchstabe d KDSG liegen insbesondere vor, wenn Personendaten

a auf Datenträgern gespeichert werden, welche die betroffene Person mit sich trägt,
b auf RFID-Chips (passive Funkfrequenzidentifikationstransponder) gespeichert werden,
c über Drahtlosverbindungen übertragen werden, soweit es nicht um Funktelefonverbindungen und Drahtlosverbindungen von Zahlterminals geht, deren Sicherheit für den Geschäftsverkehr bereits geprüft worden ist,
d mit Bildaufzeichnungs- und Bearbeitungsgeräten erhoben werden.
2

Gleiches gilt, wenn

a besonders schützenswerte Personendaten über öffentliche Netze übertragen werden,
b Privaten aus dem Internet ein eingeschränkter Zugriff auf Daten aus einer Personendatenbank gewährt werden soll.
3

Eine wesentliche Änderung im Sinne von Artikel 17a Absatz 2 KDSG liegt insbesondere vor, wenn

a die Mittel oder der Zweck der Datenbearbeitung in erheblicher Weise ändern oder
b die Änderung für sich allein die Voraussetzungen für eine Vorabkontrolle erfüllt.
4

Ändert lediglich der Umfang einer Datenbearbeitung, bildet dies keine wesentliche Änderung.

Art. 8
Verzicht auf Vorabkontrolle
1

Gemeinden und andere gemeinderechtliche Körperschaften können auf eine Vorabkontrolle verzichten, wenn

a sie Datenbearbeitungssysteme oder -programme einsetzen, für die eine Zertifizierung nach Artikel 11 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG)[4] vorliegt und diese sowohl die Informatiksicherheit als auch den Datenschutz insgesamt umfasst oder
b die Datenbearbeitung einschliesslich der elektronisch archivierten Datenbearbeitungen weniger als 500 Personen betrifft.
Art. 9
Delegation
1

Für die Informatikprojekte des Kantons und für Informatikprojekte, an die der Kanton nach der besonderen Gesetzgebung Abgeltungen gewährt, regelt die Finanzdirektion durch Direktionsverordnung

a die Analyse der Informatiksicherheit und des Datenschutzes,
b die Vorabkontrolle und deren Zeitpunkt,
c die Vorgaben für die Informatiksicherheit und den Datenschutz.
5 Register der Datensammlungen
Art. 10
 
1

Datensammlungen werden nicht in das Register aufgenommen, wenn sie

a während höchstens zweier Jahre verwendet werden,
b im Staats- oder Gemeindearchiv aufbewahrt werden oder
c in Form von Jahrbüchern der Öffentlichkeit zugänglich sind.
6 Auskunftsrecht
Art. 11
Modalitäten
1

Die Auskunft oder der begründete Entscheid über die Einschränkung des Auskunftsrechts (Art. 21 und 22 KDSG) ist spätestens innert 30 Tagen seit dem Eingang des Auskunftsbegehrens zu erteilen. Kann die Auskunft nicht innert 30 Tagen erteilt werden, so muss die verantwortliche Behörde die Gesuchstellerin oder den Gesuchsteller darüber benachrichtigen und ihr oder ihm die Frist mitteilen, in der die Auskunft erfolgen wird.

2

Das Auskunftsbegehren und die Auskunftserteilung können auf elektronischem Weg erfolgen, wenn die verantwortliche Behörde angemessene Massnahmen getroffen hat, um

a die Identifizierung der betroffenen Person sicherzustellen und
b die persönlichen Daten der betroffenen Person bei der Auskunftserteilung vor dem Zugriff unberechtigter Dritter zu schützen.
Art. 12
Auskunft über Daten von verstorbenen Personen
1

Wird Auskunft über Daten von verstorbenen Personen verlangt, so ist sie zu erteilen, wenn die Gesuchstellerin oder der Gesuchsteller ein Interesse an der Auskunft nachweist und keine überwiegenden Interessen von Angehörigen der verstorbenen Person oder von Dritten entgegenstehen. Bei naher Verwandtschaft sowie Ehe oder eingetragener Partnerschaft mit der verstorbenen Person gilt dieser Nachweis als erbracht. Vorbehalten bleiben besondere Geheimhaltungspflichten.

7 Datenschutzaufsichtsstelle, Kontaktstellen für Datenschutz
Art. 13
Dokumentation
1

Die verantwortlichen Behörden legen der Aufsichtsstelle alle Vorlagen über Erlasse und andere Massnahmen nach Artikel 34 Absatz 1 Buchstabe k KDSG vor, welche die Bearbeitung von Personendaten und den Datenschutz betreffen.

2

Die Direktionen und die Staatskanzlei teilen der kantonalen Aufsichtsstelle ihre Verfügungen und Entscheide im Bereich des Datenschutzes in anonymisierter Form mit.

Art. 14
Gemeinden, Ausgabenbefugnis
1

Treffen die Gemeinden und die anderen gemeinderechtlichen Körperschaften keine abweichende Regelung, verfügen ihre Aufsichtsstellen pro Jahr über folgende Ausgabenbefugnis:

a 1000 Franken für Kleinstkörperschaften gemäss Artikel 64a der Gemeindeverordnung[5],
b 5000 Franken für Gemeinden bis 10 000 Einwohner und für die andern gemeinderechtlichen Körperschaften,
c 10 000 Franken für Gemeinden mit mehr als 10 000 Einwohnern.
Art. 15
Kontaktstelle für Datenschutz
1

Die Staatskanzlei und die Direktionen bezeichnen jeweils mindestens eine Kontaktstelle für Datenschutz. Diese

a berät die Organisationseinheiten in Datenschutzfragen,
b leitet Anfragen, die sie nicht selber beantworten kann, an die kantonale Datenschutzaufsichtsstelle weiter,
c unterstützt die verantwortlichen Organe und Benützerinnen und Benützer,
d fördert die Information und die Ausbildung der Mitarbeiterinnen und Mitarbeiter,
e wirkt beim Vollzug der Datenschutzvorschriften mit.
2

Bezeichnen die Direktionen und die Staatskanzlei keine anderen Stellen, sind die Rechtsdienste der Direktionen und der Staatskanzlei bzw. die Amtsjuristinnen und -juristen Kontaktstelle.

3

Die Beratung der gemeinderechtlichen Körperschaften in allgemeinen Datenschutzfragen erfolgt durch das Amt für Gemeinden und Raumordnung der Justiz-, Gemeinde- und Kirchendirektion. Zu fachspezifischen Datenschutzfragen erfolgt die Beratung durch die je zuständigen Rechtsdienste der Direktionen und der Staatskanzlei bzw. die Amtsjuristinnen und -juristen. Die kantonale Datenschutzaufsichtsstelle bleibt Anlaufstelle für die Datenschutzaufsichtsstellen gemeinderechtlicher Körperschaften.

8 Verfahren und Rechtsschutz
Art. 16
Zuständigkeiten der Behörden der Verwaltungsrechtspflege
1

Die Zuständigkeiten der Behörden der Verwaltungsrechtspflege richten sich grundsätzlich nach den Bestimmungen des Gesetzes über die Verwaltungsrechtspflege.

2

Gegen Verfügungen von Anstalten und Körperschaften des Kantons sowie von Privaten, die kantonale öffentliche Aufgaben erfüllen, kann bei jener Direktion Beschwerde geführt werden, welche die Aufsicht wahrnimmt oder welche dem Fachbereich am nächsten steht.

3

Gegen Verfügungen von Organen des Grossen Rates kann das Plenum angerufen werden.

9. Schlussbestimmungen
Art. 17
Änderung von Erlassen
1

Folgende Erlasse werden geändert:

1. Verordnung vom 26. Oktober 1994 über die Information der Bevölkerung (Informationsverordnung; IV)[6]
2. Verordnung vom 26. Juni 1996 über das Vernehmlassungs- und das Mitberichtsverfahren (VMV)[7]
3. Verordnung über die Organisation und die Aufgaben der Justiz-, Gemeinde- und Kirchendirektion vom 18. Oktober 1995 (Organisationsverordnung JGK; OrV JGK)[8]
4. Verordnung über die Gebühren der Kantonsverwaltung vom 22. Februar 1995 (Gebührenverordnung; GebV)[9]
5. Spitalversorgungsverordnung vom 30. November 2005 (SpVV)[10]
Art. 18
Inkrafttreten
1

Diese Verordnung tritt am 1. Januar 2009 in Kraft.

Bern, 22. Oktober 2008

Im Namen des Regierungsrates

Die Präsidentin: Egger-Jenzer

Der Staatsschreiber: Nuspliger

08-119
  1. [1] BSG 152.04
  2. [2] BSG 152.04
  3. [3] BSG 152.04
  4. [4] SR 235.1
  5. [5] BSG 170.111
  6. [6] BSG 107.111
  7. [7] BSG 152.025
  8. [8] BSG 152.221.131
  9. [9] BSG 154.21
  10. [10] Aufgehoben durch Spitalversorgungsverordnung vom 23. 10. 2013, BSG 812.112

Änderungstabelle - nach Beschluss

Beschluss Inkrafttreten Element Änderung BAG-Fundstelle
22.10.2008 01.01.2009 Erlass Erstfassung 08-119

Änderungstabelle - nach Artikel

Element Beschluss Inkrafttreten Änderung BAG-Fundstelle
Erlass 22.10.2008 01.01.2009 Erstfassung 08-119