Änderungen vergleichen: Verordnung über das Datenbearbeitungssystem private Sicherheitsdienstleistungen (VDPS)
Versionen auswählen:
Verordnung über das Datenbearbeitungssystem private Sicherheitsdienstleistungen (VDPS)
(VDPS) vom 12. August 2015 (Stand am 1. September 2023) (Stand am 1. September 2023)
Der Schweizerische Bundesrat,
gestützt auf Artikel 57 h ter des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997 ¹ (RVOG) und auf Artikel 38 des Bundesgesetzes vom 27. September 2013 ² über die im Ausland erbrachten privaten Sicherheitsdienstleistungen (BPS), ³
verordnet:
¹ SR 172.010 ² SR 935.41 ³ Fassung gemäss Anhang 2 Ziff. II 133 der Datenschutzverordnung vom 31. Aug. 2022, in Kraft seit 1. Sept. 2023 ( AS 2022 568 ).
1. Abschnitt: Allgemeine Bestimmungen
Art. 1 Gegenstand
Diese Verordnung regelt den Betrieb und die Benützung des automatisierten Datenbearbeitungssystems private Sicherheitsdienstleistungen (DPS) der Politischen Direktion (PD) des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA).
Art. 2 Zweck des DPS
Das DPS dient der PD zur Wahrnehmung der folgenden nach den Artikeln 10, 12–14 und 16 BPS zu erbringenden Aufgaben:
a. Bearbeitung der eingehenden Meldungen;
b. Durchführung des Prüfverfahrens;
c. Erstellung von Statistiken und Berichten.
Art. 3 Verantwortliche Behörde
Die PD trägt die Verantwortung für das DPS.
2. Abschnitt: Daten und Datenbearbeitung
Art. 4 Bearbeitete Daten und Bearbeitungsrechte
¹ Im DPS werden folgende Daten bearbeitet:
a. betreffend das meldepflichtige Unternehmen: Angaben zu den Identitäten und den beabsichtigten Tätigkeiten nach Anhang 1;
b. betreffend das Personal und die Mitglieder der Geschäftsleitung oder des Aufsichtsorgans des meldepflichtigen Unternehmens: die Daten nach Anhang 2;
c. betreffend die Auftraggeberinnen und Auftraggeber sowie die Empfängerinnen und Empfänger von privaten Sicherheitsdienstleistungen nach Artikel 5 der Verordnung vom 24. Juni 2015 ⁴ über die im Ausland erbrachten privaten Sicherheitsdienstleistungen: die Daten nach Anhang 3.
² Die zuständigen Mitarbeiterinnen und Mitarbeiter der PD erfassen die Daten im DPS; sie können die Daten jederzeit bearbeiten.
³ Die Einheit für Informatik des EDA kann alle Daten im DPS bearbeiten, soweit dies für die Erfüllung ihrer Aufgaben notwendig ist.
⁴ SR 935.411
Art. 5 Erteilung der Zugriffsberechtigung
¹ Die oder der Anwendungsverantwortliche erteilt den Benutzerinnen und Benutzern des DPS die individuellen Zugriffsrechte.
² Sie oder er überprüft mindestens einmal jährlich, ob die Voraussetzungen für die Zugriffsberechtigungen weiterhin bestehen.
Art. 6 Dokumente
Im DPS können alle Dokumente zu elektronisch gespeicherten Geschäften erfasst werden.
Art. 7 Technischer Betrieb und Systemverwaltung
¹ Die Einheit für Informatik des EDA ist für den technischen Betrieb des DPS verantwortlich.
² Die Systemadministratorin oder der Systemadministrator verwaltet das Computersystem, die Datenbank und die Anwendungen des DPS.
³ Die oder der Anwendungsverantwortliche bildet die Schnittstelle zwischen der Systemadministratorin oder dem Systemadministrator und den Benutzerinnen und Benutzern. Sie oder er ist bei der PD angestellt.
3. Abschnitt: Datenschutz und Informatiksicherheit
Art. 8 Sorgfaltspflichten
¹ Die PD sorgt dafür, dass die Personendaten im DPS vorschriftsgemäss bearbeitet werden.
² Sie stellt sicher, dass die Personendaten im DPS richtig und vollständig sind und nachgeführt werden.
Art. 9 Datensicherheit
¹ Die Daten- und die Informatiksicherheit richten sich nach:
a. ⁵
der Datenschutzverordnung vom 31. August 2022 ⁶ ;
b. der Cyberrisikenverordnung vom 27. Mai 2020 ⁷ . ⁸
² Die PD erlässt ein Bearbeitungsreglement. Dieses regelt die organisatorischen und technischen Massnahmen zur Gewährleistung der Datensicherheit sowie die Kontrolle der Datenbearbeitung.
⁵ Fassung gemäss Anhang 2 Ziff. II 133 der Datenschutzverordnung vom 31. Aug. 2022, in Kraft seit 1. Sept. 2023 ( AS 2022 568 ).
⁶ SR 235.11
⁷ SR 120.73
⁸ Fassung gemäss Anhang Ziff. 36 der V vom 24. Febr. 2021, in Kraft seit 1. April 2021 ( AS 2021 132 ).
Art. 10 Protokollierung
¹ Die Zugriffe auf das DPS und die Änderungen werden laufend protokolliert.
² Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt. ⁹
⁹ Fassung gemäss Anhang 2 Ziff. II 133 der Datenschutzverordnung vom 31. Aug. 2022, in Kraft seit 1. Sept. 2023 ( AS 2022 568 ).
4. Abschnitt: Aufbewahrung, Archivierung und Vernichtung der Daten
Art. 11
¹ Die im DPS enthaltenen Personendaten werden 15 Jahre nach der letzten Bearbeitung vernichtet.
² Vorbehalten bleiben die Bestimmungen der Archivierungsgesetzgebung.
5. Abschnitt: Inkrafttreten
Art. 12
Diese Verordnung tritt am 1. September 2015 in Kraft.
Anhang 1
(Art. 4 Abs. 1 Bst. a)
Daten betreffend Unternehmen
1. Firma
2. Sitz
3. Rechtsform
4. Handelsregisterauszug
5. Zweck
6. Geschäftsbereiche
7. Einsatzorte im Ausland
8. Hauptsächliche Kundenkategorien
9. Nachweis des Beitritts zum Verhaltenskodex
10. Massnahmen zur Aus- und Weiterbildung des Personals
11. Angaben zum internen Kontrollsystem
12. Art und Volumen der Dienstleistung nach Artikel 4 Buchstaben a und b BPS
13. Zur Erbringung der Sicherheitsdienstleistung zum Einsatz kommende Waffen und andere Mittel
14. Umfang und Dauer des Einsatzes
15. Anzahl der eingesetzten Personen
16. Risiken des Einsatzes
17. Andere wichtige, die Geschäftstätigkeit des Unternehmens betreffenden Angaben
Anhang 2
(Art. 4 Abs. 1 Bst. b)
Daten betreffend das Personal und die Mitglieder der Geschäftsleitung oder des Aufsichtsorgans
1. Name
2. Vorname
3. Geburtsdatum
4. Wohnsitz, inkl. Wohnsitzbescheinigung
5. Nationalitäten
6. Angaben zum Leumund
7. Angaben zur Bewilligung für die Ausfuhr, das Tragen und die Verwendung von Waffen, Waffenzubehör und Munition
8. Angaben zu Aus- und Weiterbildungen
9. Funktion im Unternehmen: Mitglied der Geschäftsleitung, Mitglied des Aufsichtsorgans, Führungsfunktion, Funktion mit Waffentragerlaubnis
10. Daten im Zusammenhang mit administrativen oder strafrechtlichen Verfolgungen und Sanktionen nach Artikel 20 BPS: vorgeworfene Straftat, Angaben zur Art des Verfahrens, Bezeichnung der betroffenen Behörden, Kopie des Urteils und aller anderen mit dem Urteil zusammenhängenden Informationen
Anhang 3
(Art. 4 Abs. 1 Bst. c)
Daten betreffend die Auftraggeberinnen und Auftraggeber sowie die Empfängerinnen und Empfänger von privaten Sicherheitsdienstleistungen
1. Name oder Bezeichnung: natürliche oder juristische Person, internationale Organisation, Regierung, Gruppierung usw.
2. Bei natürlichen Personen: Geburtsdatum
3. Ausführungsort der beabsichtigten Tätigkeit
4. Angaben zur Stellung: Funktion, Rolle, Rang, Position usw.
5. Weitere Angaben zur Identifikation
Verordnung über das Datenbearbeitungssystem private Sicherheitsdienstleistungen (VDPS)
(VDPS) vom 12. August 2015 (Stand am 1. Januar 2024)
¹ SR 172.010 ² SR 935.41 ³ Fassung gemäss Anhang 2 Ziff. II 133 der Datenschutzverordnung vom 31. Aug. 2022, in Kraft seit 1. Sept. 2023 ( AS 2022 568 ).
1. Abschnitt: Allgemeine Bestimmungen
Art. 1 Gegenstand
Diese Verordnung regelt den Betrieb und die Benützung des automatisierten Datenbearbeitungssystems private Sicherheitsdienstleistungen (DPS) der Politischen Direktion (PD) des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA).
Art. 2 Zweck des DPS
Das DPS dient der PD zur Wahrnehmung der folgenden nach den Artikeln 10, 12–14 und 16 BPS zu erbringenden Aufgaben:
a. Bearbeitung der eingehenden Meldungen;
b. Durchführung des Prüfverfahrens;
c. Erstellung von Statistiken und Berichten.
Art. 3 Verantwortliche Behörde
Die PD trägt die Verantwortung für das DPS.
2. Abschnitt: Daten und Datenbearbeitung
Art. 4 Bearbeitete Daten und Bearbeitungsrechte
¹ Im DPS werden folgende Daten bearbeitet:
a. betreffend das meldepflichtige Unternehmen: Angaben zu den Identitäten und den beabsichtigten Tätigkeiten nach Anhang 1;
b. betreffend das Personal und die Mitglieder der Geschäftsleitung oder des Aufsichtsorgans des meldepflichtigen Unternehmens: die Daten nach Anhang 2;
c. betreffend die Auftraggeberinnen und Auftraggeber sowie die Empfängerinnen und Empfänger von privaten Sicherheitsdienstleistungen nach Artikel 5 der Verordnung vom 24. Juni 2015 ⁴ über die im Ausland erbrachten privaten Sicherheitsdienstleistungen: die Daten nach Anhang 3.
² Die zuständigen Mitarbeiterinnen und Mitarbeiter der PD erfassen die Daten im DPS; sie können die Daten jederzeit bearbeiten.
³ Die Einheit für Informatik des EDA kann alle Daten im DPS bearbeiten, soweit dies für die Erfüllung ihrer Aufgaben notwendig ist.
⁴ SR 935.411
Art. 5 Erteilung der Zugriffsberechtigung
¹ Die oder der Anwendungsverantwortliche erteilt den Benutzerinnen und Benutzern des DPS die individuellen Zugriffsrechte.
² Sie oder er überprüft mindestens einmal jährlich, ob die Voraussetzungen für die Zugriffsberechtigungen weiterhin bestehen.
Art. 6 Dokumente
Im DPS können alle Dokumente zu elektronisch gespeicherten Geschäften erfasst werden.
Art. 7 Technischer Betrieb und Systemverwaltung
¹ Die Einheit für Informatik des EDA ist für den technischen Betrieb des DPS verantwortlich.
² Die Systemadministratorin oder der Systemadministrator verwaltet das Computersystem, die Datenbank und die Anwendungen des DPS.
³ Die oder der Anwendungsverantwortliche bildet die Schnittstelle zwischen der Systemadministratorin oder dem Systemadministrator und den Benutzerinnen und Benutzern. Sie oder er ist bei der PD angestellt.
3. Abschnitt: Datenschutz und Informatiksicherheit
Art. 8 Sorgfaltspflichten
¹ Die PD sorgt dafür, dass die Personendaten im DPS vorschriftsgemäss bearbeitet werden.
² Sie stellt sicher, dass die Personendaten im DPS richtig und vollständig sind und nachgeführt werden.
Art. 9 Datensicherheit
¹ Die Daten- und die Informationssicherheit richten sich nach: ⁵
a. ⁶
der Datenschutzverordnung vom 31. August 2022 ⁷ ;
b. ⁸
der Informationssicherheitsverordnung vom 8. November 2023 ⁹ .
² Die PD erlässt ein Bearbeitungsreglement. Dieses regelt die organisatorischen und technischen Massnahmen zur Gewährleistung der Datensicherheit sowie die Kontrolle der Datenbearbeitung.
⁵ Fassung gemäss Anhang 2 Ziff. II 42 der Informationssicherheitsverordnung vom 8. Nov. 2023, in Kraft seit 1. Jan. 2024 ( AS 2023 735 ).
⁶ Fassung gemäss Anhang 2 Ziff. II 133 der Datenschutzverordnung vom 31. Aug. 2022, in Kraft seit 1. Sept. 2023 ( AS 2022 568 ).
⁷ SR 235.11
⁸ Fassung gemäss Anhang 2 Ziff. II 42 der Informationssicherheitsverordnung vom 8. Nov. 2023, in Kraft seit 1. Jan. 2024 ( AS 2023 735 ).
⁹ SR 128.1
Art. 10 Protokollierung
¹ Die Zugriffe auf das DPS und die Änderungen werden laufend protokolliert.
² Die Protokolle werden während einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt. ¹⁰
¹⁰ Fassung gemäss Anhang 2 Ziff. II 133 der Datenschutzverordnung vom 31. Aug. 2022, in Kraft seit 1. Sept. 2023 ( AS 2022 568 ).
4. Abschnitt: Aufbewahrung, Archivierung und Vernichtung der Daten
Art. 11
¹ Die im DPS enthaltenen Personendaten werden 15 Jahre nach der letzten Bearbeitung vernichtet.
² Vorbehalten bleiben die Bestimmungen der Archivierungsgesetzgebung.
5. Abschnitt: Inkrafttreten
Art. 12
Diese Verordnung tritt am 1. September 2015 in Kraft.
Anhang 1
(Art. 4 Abs. 1 Bst. a)
Daten betreffend Unternehmen
1. Firma
2. Sitz
3. Rechtsform
4. Handelsregisterauszug
5. Zweck
6. Geschäftsbereiche
7. Einsatzorte im Ausland
8. Hauptsächliche Kundenkategorien
9. Nachweis des Beitritts zum Verhaltenskodex
10. Massnahmen zur Aus- und Weiterbildung des Personals
11. Angaben zum internen Kontrollsystem
12. Art und Volumen der Dienstleistung nach Artikel 4 Buchstaben a und b BPS
13. Zur Erbringung der Sicherheitsdienstleistung zum Einsatz kommende Waffen und andere Mittel
14. Umfang und Dauer des Einsatzes
15. Anzahl der eingesetzten Personen
16. Risiken des Einsatzes
17. Andere wichtige, die Geschäftstätigkeit des Unternehmens betreffenden Angaben
Anhang 2
(Art. 4 Abs. 1 Bst. b)
Daten betreffend das Personal und die Mitglieder der Geschäftsleitung oder des Aufsichtsorgans
1. Name
2. Vorname
3. Geburtsdatum
4. Wohnsitz, inkl. Wohnsitzbescheinigung
5. Nationalitäten
6. Angaben zum Leumund
7. Angaben zur Bewilligung für die Ausfuhr, das Tragen und die Verwendung von Waffen, Waffenzubehör und Munition
8. Angaben zu Aus- und Weiterbildungen
9. Funktion im Unternehmen: Mitglied der Geschäftsleitung, Mitglied des Aufsichtsorgans, Führungsfunktion, Funktion mit Waffentragerlaubnis
10. Daten im Zusammenhang mit administrativen oder strafrechtlichen Verfolgungen und Sanktionen nach Artikel 20 BPS: vorgeworfene Straftat, Angaben zur Art des Verfahrens, Bezeichnung der betroffenen Behörden, Kopie des Urteils und aller anderen mit dem Urteil zusammenhängenden Informationen
Anhang 3
(Art. 4 Abs. 1 Bst. c)
Daten betreffend die Auftraggeberinnen und Auftraggeber sowie die Empfängerinnen und Empfänger von privaten Sicherheitsdienstleistungen
1. Name oder Bezeichnung: natürliche oder juristische Person, internationale Organisation, Regierung, Gruppierung usw.
2. Bei natürlichen Personen: Geburtsdatum
3. Ausführungsort der beabsichtigten Tätigkeit
4. Angaben zur Stellung: Funktion, Rolle, Rang, Position usw.
5. Weitere Angaben zur Identifikation
Feedback