Datenschutzverordnung
1 152.040.1 Datenschutzverordnung (DSV) vom 22.10.2008 (Stand 01.11.2020) Der Regierungsrat des Kantons Bern, gestützt auf Artikel 38 des Datenschutzgesetzes vom 19. Februar 1986 (KDSG) 1 ) auf Antrag der Justiz-, Gemeinde- und Kirchendirektion, beschliesst:
1 Datensperrung
Art. 1
1 Die verantwortliche Behörde bestätigt die Anordnung der Datensperre von Personendaten (Art. 13 KDSG 2 ) ) der Gesuchstellerin oder dem Gesuchsteller schriftlich.
2 Das Gesuch um Datensperrung und die Bestätigung können auf elektroni schem Weg erfolgen, wenn die verantwortliche Behörde angemessene Mass nahmen getroffen hat, um a die Identifizierung der betroffenen Person sicherzustellen und b die persönlichen Daten der betroffenen Person bei der Gesuchsbehand lung vor dem Zugriff unberechtigter Dritter zu schützen.
2 Bekanntgabe ins Ausland
Art. 2
Veröffentlichung in elektronischer Form
1 Werden Personendaten mittels automatisierter Informations- und Kommunika tionsdienste zwecks Information der Öffentlichkeit zugänglich gemacht, so stellt die verantwortliche Behörde sicher, dass die Rechtsgrundlage auch die Daten bekanntgabe ins Ausland erlaubt.
1) BSG 152.04
2) BSG 152.04 * Änderungstabellen am Schluss des Erlasses
08-119
152.040.1 2
Art. 3
Informationspflicht
1 Wurde die Aufsichtsstelle über die Garantien gemäss Artikel 14a Absatz 2 Buchstabe a KDSG 1 ) informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die unter denselben Garantien erfolgen, soweit die Kategorien der Empfängerinnen oder der Empfänger, der Zweck der Bearbei tung und die Datenkategorien im Wesentlichen unverändert bleiben.
2 Die Informationspflicht gilt ebenfalls als erfüllt, wenn Daten gestützt auf Mo dellverträge oder Standardvertragsklauseln übermittelt werden, die vom eidge nössischen Datenschutz- und Öffentlichkeitsbeauftragten erstellt oder aner kannt wurden, und die Aufsichtsstelle von der verantwortlichen Behörde in all gemeiner Form über die Verwendung dieser Modellverträge oder Standardver tragsklauseln informiert wurde.
3 Die verantwortliche Behörde trifft Massnahmen, um sicherzustellen, dass die Empfängerin oder der Empfänger die Garantien beachtet.
3 Technische und organisatorische Massnahmen
Art. 4
Grundsatz
1 Die verantwortliche Behörde, die Personendaten bearbeitet oder ein Daten kommunikationsnetz zur Verfügung stellt, sorgt mit technischen und organisa torischen Massnahmen für die Vertraulichkeit, die Verfügbarkeit und die Rich tigkeit der Daten (Art. 17 KDSG). Insbesondere schützt sie die Systeme gegen folgende Risiken: a unbefugte oder zufällige Vernichtung, b zufälligen Verlust, c technische Fehler, d Fälschung, Diebstahl oder widerrechtliche Verwendung, e unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbei tungen.
2 Die Massnahmen müssen angemessen sein. Insbesondere tragen sie folgen den Kriterien Rechnung: a Zweck der Datenbearbeitung, b Art und Umfang der Datenbearbeitung, c Einschätzung der möglichen Risiken für die betroffenen Personen, d gegenwärtigem Stand der Technik.
3 Die Risiken und Massnahmen sind periodisch zu überprüfen.
1) BSG 152.04
3 152.040.1
Art. 5
Besondere Massnahmen
1 Die verantwortliche Behörde trifft insbesondere bei der elektronischen Bear beitung von Personendaten die folgenden technischen und organisatorischen Massnahmen: a Zugangskontrolle: Unbefugten Personen ist der Zugang zu den Einrich tungen, in denen Personendaten bearbeitet werden, zu verwehren; b Personendatenträgerkontrolle: Unbefugten Personen ist das Lesen, Ko pieren, Verändern oder Entfernen von Datenträgern zu verunmöglichen; c Transportkontrolle: Bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern ist zu verhindern, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können; d Bekanntgabekontrolle: Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden, müssen identifiziert werden können; e Speicherkontrolle: Die unbefugte Eingabe in den Speicher sowie die un befugte Einsichtnahme, Veränderung oder Löschung gespeicherter Per sonendaten sind zu verhindern; f Benutzerkontrolle: Die Benutzung von automatisierten Datenbearbei tungssystemen mittels Einrichtungen zur Datenübertragung durch unbe fugte Personen ist zu verhindern; g Zugriffskontrolle: Der Zugriff der berechtigten Personen ist auf diejenigen Personendaten zu beschränken, die sie für die Erfüllung ihrer Aufgabe be nötigen; h Eingabekontrolle: In automatisierten Systemen muss nachträglich über prüft werden können, welche Personendaten zu welcher Zeit und von wel cher Person eingegeben wurden.
2 Die Datensammlungen sind so zu gestalten, dass die betroffenen Personen ihr Auskunftsrecht und ihr Recht auf Berichtigung wahrnehmen können.
Art. 6
Protokollierung
1 Die verantwortliche Behörde protokolliert die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder von Personendaten, die einer besonderen Geheimhaltungspflicht unterstehen, wenn die präventiven Mass nahmen den Datenschutz nicht gewährleisten können.
2 Eine Protokollierung hat insbesondere dann zu erfolgen, wenn sonst nicht nachträglich festgestellt werden kann, ob die Daten für diejenigen Zwecke be arbeitet wurden, für die sie erhoben oder bekannt gegeben wurden.
152.040.1 4
3 Die Protokolle sind während eines Jahres revisionsgerecht aufzubewahren. Sie sind ausschliesslich denjenigen Stellen zugänglich, denen die Überwa chung der Datenschutzvorschriften obliegt, und dürfen nur für diesen Zweck verwendet werden. Abweichende Vorgaben in der Gesetzgebung oder in Betriebsbewilligungen bleiben vorbehalten.
4 Vorabkontrolle
Art. 7
Begriffe
1 Technische Mittel mit besonderen Risiken für die Rechte und Freiheiten der betroffenen Personen im Sinne von Artikel 17a Absatz 1 Buchstabe d KDSG liegen insbesondere vor, wenn Personendaten a auf Datenträgern gespeichert werden, welche die betroffene Person mit sich trägt, b auf RFID-Chips (passive Funkfrequenzidentifikationstransponder) gespei chert werden, c über Drahtlosverbindungen übertragen werden, soweit es nicht um Funk telefonverbindungen und Drahtlosverbindungen von Zahlterminals geht, deren Sicherheit für den Geschäftsverkehr bereits geprüft worden ist, d mit Bildaufzeichnungs- und Bearbeitungsgeräten erhoben werden.
2 Gleiches gilt, wenn a besonders schützenswerte Personendaten über öffentliche Netze übertra gen werden, b Privaten aus dem Internet ein eingeschränkter Zugriff auf Daten aus einer Personendatenbank gewährt werden soll.
3 Eine wesentliche Änderung im Sinne von Artikel 17a Absatz 2 KDSG liegt ins besondere vor, wenn a die Mittel oder der Zweck der Datenbearbeitung in erheblicher Weise än dern oder b die Änderung für sich allein die Voraussetzungen für eine Vorabkontrolle erfüllt.
4 Ändert lediglich der Umfang einer Datenbearbeitung, bildet dies keine we sentliche Änderung.
5 152.040.1
Art. 8
Verzicht auf Vorabkontrolle
1 Gemeinden und andere gemeinderechtliche Körperschaften können auf eine Vorabkontrolle verzichten, wenn a sie Datenbearbeitungssysteme oder -programme einsetzen, für die eine Zertifizierung nach Artikel 11 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG) 1 ) vorliegt und diese sowohl die Informatiksicher heit als auch den Datenschutz insgesamt umfasst oder b die Datenbearbeitung einschliesslich der elektronisch archivierten Daten bearbeitungen weniger als 500 Personen betrifft.
Art. 9
Delegation
1 Für die Informatikprojekte des Kantons und für Informatikprojekte, an die der Kanton nach der besonderen Gesetzgebung Abgeltungen gewährt, regelt die Finanzdirektion durch Direktionsverordnung a die Analyse der Informatiksicherheit und des Datenschutzes, b die Vorabkontrolle und deren Zeitpunkt, c die Vorgaben für die Informatiksicherheit und den Datenschutz.
5 Register der Datensammlungen
Art. 10
1 Datensammlungen werden nicht in das Register aufgenommen, wenn sie a während höchstens zweier Jahre verwendet werden, b im Staats- oder Gemeindearchiv aufbewahrt werden oder c in Form von Jahrbüchern der Öffentlichkeit zugänglich sind.
6 Auskunftsrecht
Art. 11
Modalitäten
1 Die Auskunft oder der begründete Entscheid über die Einschränkung des Auskunftsrechts (Art. 21 und 22 KDSG) ist spätestens innert 30 Tagen seit dem Eingang des Auskunftsbegehrens zu erteilen. Kann die Auskunft nicht innert 30 Tagen erteilt werden, so muss die verantwortliche Behörde die Gesuchstellerin oder den Gesuchsteller darüber benachrichtigen und ihr oder ihm die Frist mit teilen, in der die Auskunft erfolgen wird.
1) SR 235.1
152.040.1 6
2 Das Auskunftsbegehren und die Auskunftserteilung können auf elektroni schem Weg erfolgen, wenn die verantwortliche Behörde angemessene Mass nahmen getroffen hat, um a die Identifizierung der betroffenen Person sicherzustellen und b die persönlichen Daten der betroffenen Person bei der Auskunftserteilung vor dem Zugriff unberechtigter Dritter zu schützen.
Art. 12
Auskunft über Daten von verstorbenen Personen
1 Wird Auskunft über Daten von verstorbenen Personen verlangt, so ist sie zu erteilen, wenn die Gesuchstellerin oder der Gesuchsteller ein Interesse an der Auskunft nachweist und keine überwiegenden Interessen von Angehörigen der verstorbenen Person oder von Dritten entgegenstehen. Bei naher Verwandt schaft sowie Ehe oder eingetragener Partnerschaft mit der verstorbenen Per son gilt dieser Nachweis als erbracht. Vorbehalten bleiben besondere Geheim haltungspflichten.
7 Datenschutzaufsichtsstelle, Kontaktstellen für Datenschutz
Art. 13
Dokumentation
1 Die verantwortlichen Behörden legen der Aufsichtsstelle alle Vorlagen über Erlasse und andere Massnahmen nach Artikel 34 Absatz 1 Buchstabe k KDSG vor, welche die Bearbeitung von Personendaten und den Datenschutz betref fen.
2 Die Direktionen und die Staatskanzlei teilen der kantonalen Aufsichtsstelle ihre Verfügungen und Entscheide im Bereich des Datenschutzes in anonymi sierter Form mit.
Art. 14
Gemeinden, Ausgabenbefugnis
1 Treffen die Gemeinden und die anderen gemeinderechtlichen Körperschaften keine abweichende Regelung, verfügen ihre Aufsichtsstellen pro Jahr über fol gende Ausgabenbefugnis: a 1000 Franken für Kleinstkörperschaften gemäss Artikel 64a der Gemein deverordnung 1 ) , b 5000 Franken für Gemeinden bis 10 000 Einwohner und für die andern gemeinderechtlichen Körperschaften, c 10 000 Franken für Gemeinden mit mehr als 10 000 Einwohnern.
1) BSG 170.111
7 152.040.1
Art. 15
Kontaktstelle für Datenschutz
1 Die Staatskanzlei und die Direktionen bezeichnen jeweils mindestens eine Kontaktstelle für Datenschutz. Diese a berät die Organisationseinheiten in Datenschutzfragen, b leitet Anfragen, die sie nicht selber beantworten kann, an die kantonale Datenschutzaufsichtsstelle weiter, c unterstützt die verantwortlichen Organe und Benützerinnen und Benützer, d fördert die Information und die Ausbildung der Mitarbeiterinnen und Mitar beiter, e wirkt beim Vollzug der Datenschutzvorschriften mit.
2 Bezeichnen die Direktionen und die Staatskanzlei keine anderen Stellen, sind die Rechtsdienste der Direktionen und der Staatskanzlei bzw. die Amtsjuristin nen und -juristen Kontaktstelle.
3 Die Beratung der gemeinderechtlichen Körperschaften in allgemeinen Daten schutzfragen erfolgt durch das Amt für Gemeinden und Raumordnung der Di rektion für Inneres und Justiz. Zu fachspezifischen Datenschutzfragen erfolgt die Beratung durch die je zuständigen Rechtsdienste der Direktionen und der Staatskanzlei bzw. die Amtsjuristinnen und -juristen. Die kantonale Daten schutzaufsichtsstelle bleibt Anlaufstelle für die Datenschutzaufsichtsstellen gemeinderechtlicher Körperschaften. *
8 Verfahren und Rechtsschutz
Art. 16
Zuständigkeiten der Behörden der Verwaltungsrechtspflege
1 Die Zuständigkeiten der Behörden der Verwaltungsrechtspflege richten sich grundsätzlich nach den Bestimmungen des Gesetzes über die Verwaltungs rechtspflege.
2 Gegen Verfügungen von Anstalten und Körperschaften des Kantons sowie von Privaten, die kantonale öffentliche Aufgaben erfüllen, kann bei jener Direk tion Beschwerde geführt werden, welche die Aufsicht wahrnimmt oder welche dem Fachbereich am nächsten steht.
3 Gegen Verfügungen von Organen des Grossen Rates kann das Plenum angerufen werden.
152.040.1 8
9. Schlussbestimmungen
Art. 17
Änderung von Erlassen
1 Folgende Erlasse werden geändert:
1. Verordnung vom 26. Oktober 1994 über die Information der Bevölkerung (Informationsverordnung; IV) 1 )
2. Verordnung vom 26. Juni 1996 über das Vernehmlassungs- und das Mit berichtsverfahren (VMV) 2 )
3. Verordnung über die Organisation und die Aufgaben der Justiz-, Gemeinde- und Kirchendirektion vom 18. Oktober 1995 (Organisations verordnung JGK; OrV JGK) 3 )
4. Verordnung über die Gebühren der Kantonsverwaltung vom 22. Februar 1995 (Gebührenverordnung; GebV) 4 )
5. Spitalversorgungsverordnung vom 30. November 2005 (SpVV) 5 )
Art. 18
Inkrafttreten
1 Diese Verordnung tritt am 1. Januar 2009 in Kraft. Bern, 22. Oktober 2008 Im Namen des Regierungsrates Die Präsidentin: Egger-Jenzer Der Staatsschreiber: Nuspliger
1) BSG 107.111
2) BSG 152.025
3) BSG 152.221.131
4) BSG 154.21
5) Aufgehoben durch Spitalversorgungsverordnung vom 23. 10. 2013, BSG 812.112
9 152.040.1 Änderungstabelle - nach Beschluss Beschluss Inkrafttreten Element Änderung BAG-Fundstelle 22.10.2008 01.01.2009 Erlass Erstfassung 08-119 02.09.2020 01.11.2020
Art. 15 Abs. 3
geändert 20-091
152.040.1 10 Änderungstabelle - nach Artikel Element Beschluss Inkrafttreten Änderung BAG-Fundstelle Erlass 22.10.2008 01.01.2009 Erstfassung 08-119
Art. 15 Abs. 3
02.09.2020 01.11.2020 geändert 20-091
Feedback