Randdatenverordnung
1 153.011.5 Randdatenverordnung (RDV) vom 20.11.2019 (Stand 01.01.2024) Der Regierungsrat des Kantons Bern, gestützt auf Artikel 12e Absatz 1 des Personalgesetzes vom 16. September
2004 (PG) 1 ) , auf Antrag der Finanzdirektion, beschliesst:
1 Abschnitt: Begriffe
Art. 1
1 In dieser Verordnung bedeuten: a bewirtschaftete Daten: Personendaten, die bei der Nutzung der elektroni schen Infrastruktur des Kantons aufgezeichnet und regelmässig genutzt, ausgewertet oder bewusst vernichtet werden; b nichtbewirtschaftete Daten: Personendaten, die bei der Nutzung der elek tronischen Infrastruktur des Kantons aufgezeichnet, aber nicht oder nicht regelmässig genutzt, ausgewertet oder bewusst vernichtet werden; c Betreiberin: die mit dem technischen Betrieb der elektronischen Infrastruk tur des Kantons beauftragte Stelle; d verantwortliche Behörde: die für den Datenschutz verantwortliche Behör de.
2 Abschnitt: Zugriffsberechtigung, Aufbewahrung und Vernichtung
Art. 2
Zugriffsberechtigung
1 Auf bewirtschaftete Daten dürfen nur zugreifen a die verantwortliche Behörde, b die Betreiberin und die in einem ISDS-Konzept gemäss den Vorschriften über die Informationssicherheit und den Datenschutz (ISDS) vorgesehe nen Stellen, sofern die verantwortliche Behörde einen Auftrag erteilt oder zustimmt.
1) BSG 153.01 * Änderungstabellen am Schluss des Erlasses
19-080
153.011.5 2
2 Auf nichtbewirtschaftete Daten darf nur die Behörde zugreifen, welche die Geräte, auf denen diese Daten aufgezeichnet werden, selbst nutzt.
Art. 3
Sichere Aufbewahrung
1 Die Daten sind gemäss den Vorschriften über ISDS sicher aufzubewahren.
Art. 4
Aufbewahrungsdauer und Vernichtung bewirtschafteter Daten
1 Soweit der Auswertungszweck dies erfordert, können die bewirtschafteten Daten längstens wie folgt aufbewahrt werden: a Daten über die Nutzung der elektronischen Infrastruktur nach Artikel 12c Absatz 1 Buchstabe a PG: 2 Jahre; b Daten über die Arbeitszeiten des Personals nach Artikel 12c Absatz 1 Buchstabe b PG: 5 Jahre; c Daten von Systemen zur Zutritts-, Raum- und Arealkontrolle von Geb äu den und Anlagen des Kantons und seiner Anstalten nach Artikel 12c Ab satz 1 Buchstabe c PG: 3 Jahre. d Sicherungskopien nach Artikel 12c Absatz 2 PG: bis zur Archivierung der zugrundeliegenden Informationen; falls diese nicht archivwürdig sind: 2 Jahre;
2 Sie sind spätestens drei Monate nach Abschluss der Auswertung oder nach Ablauf der Aufbewahrungsfristen nach Absatz 1 zu vernichten.
3 Der Regierungsrat kann im Einzelfall für bestimmte Kategorien von Daten über die Nutzung der elektronischen Infrastruktur (Abs. 1 Bst. b) aus Gründen der Informations- und Dienstleistungssicherheit längere Aufbewahrungsfristen beschliessen. Die Justizverwaltungsleitung kann dies für Daten beschliessen, die mit Fachapplikationen der Gerichtsbehörden und der Staatsanwaltschaft bearbeitet werden. *
Art. 5
Aufbewahrungsdauer und Vernichtung nichtbewirtschafteter Da ten
1 Bei nichtbewirtschafteten Daten richtet sich die Aufbewahrungsdauer nach der Speicherkapazität des Geräts, auf dem die Daten aufgezeichnet werden, sofern deren rasche automatische Vernichtung nach der Benutzung nicht mit technischen Massnahmen sichergestellt werden kann.
2 Die nichtbewirtschafteten Daten müssen spätestens bei der Weitergabe oder Entsorgung des Geräts von der Behörde nach Artikel 2 Absatz 2 unwieder bringlich vernichtet werden.
3 153.011.5
Art. 6
Verantwortung für Aufbewahrung und Vernichtung
1 Verantwortlich für die sichere Aufbewahrung und die rechtzeitige Vernichtung der Daten sind a für bewirtschaftete Daten: die verantwortliche Behörde und im Auftrag oder mit Zustimmung der verantwortlichen Behörde die Betreiberin und die in einem ISDS-Konzept vorgesehenen Stellen, b für nichtbewirtschaftete Daten: die Behörde nach Artikel 2 Absatz 2.
Art. 7
Bearbeitung bei technischen Arbeiten
1 Die mit technischen Arbeiten wie Wartung oder Unterhalt der elektronischen Infrastruktur betrauten Personen dürfen die Daten nur bearbeiten, soweit dies zur Erfüllung dieser Aufgaben erforderlich ist.
2 Die Informationssicherheit muss gewährleistet bleiben.
3 Abschnitt: Auswertungsvoraussetzungen
Art. 8
Nicht personenbezogene Auswertungen (Art. 12d Abs. 1 PG)
1 Die verantwortliche Behörde und in ihrem Auftrag oder mit ihrer Zustimmung die Betreiberin und die in einem ISDS-Konzept vorgesehenen Stellen können zu den gesetzlich vorgesehenen Zwecken bewirtschaftete Daten von sich aus nicht personenbezogen auswerten.
2 Die Behörde nach Artikel 2 Absatz 2 kann nichtbewirtschaftete Daten zu den gesetzlich vorgesehenen Zwecken nicht personenbezogen auswerten oder auswerten lassen.
3 Sie können solche Auswertungen zeitlich und sachlich unbeschränkt vorneh men.
Art. 9
Personenbezogene, nicht namentliche Auswertungen (Art. 12d Abs. 2 PG)
1 Die verantwortliche Behörde und in ihrem Auftrag oder mit ihrer Zustimmung die Betreiberin und die in einem ISDS-Konzept vorgesehenen Stellen können zu den gesetzlich vorgesehenen Zwecken bewirtschaftete Daten von sich aus stichprobenartig personenbezogen, nicht namentlich auswerten.
2 Die Behörde nach Artikel 2 Absatz 2 kann nichtbewirtschaftete Daten zu den gesetzlich vorgesehenen Zwecken von sich aus stichprobenartig personenbe zogen, nicht namentlich auswerten oder auswerten lassen.
153.011.5 4
Art. 10
Auftrag zu personenbezogenen, namentlichen Auswertungen we gen Verdachts auf Missbrauch oder Missbrauchs (Art. 12d Abs. 3 Bst. a PG)
1 Eine personenbezogene, namentliche Auswertung bewirtschafteter oder nichtbewirtschafteter Daten wegen Verdachts auf Missbrauch oder Miss brauchs muss von der Behörde, für welche die Nutzerin oder der Nutzer der elektronischen Infrastruktur arbeitet, selbst vorgenommen oder angeordnet werden.
2 Ein Missbrauch der elektronischen Infrastruktur liegt vor, wenn die Art oder das Ausmass der Nutzung die Vorgaben der Behörde oder Rechtsvorschriften verletzt.
3 Stimmt die betroffene Person einer solchen Auswertung nicht zu, so muss die Leitung der Behörde die Auswertung bewilligen.
Art. 11
Durchführung der personenbezogenen, namentlichen Auswertun gen wegen Verdachts auf Missbrauch oder Missbrauchs (Art. 12d Abs. 3 Bst. a PG)
1 Die mit der personenbezogenen, namentlichen Auswertung beauftragte Be hörde prüft vor der Auswertung, ob a der konkrete Missbrauchsverdacht hinreichend schriftlich begründet oder der Missbrauch erwiesen ist und b die betroffene Person über den konkreten Missbrauchsverdacht oder den erwiesenen Missbrauch schriftlich informiert worden ist.
2 Weigert sich die beauftragte Behörde, eine personenbezogene, namentliche Auswertung vorzunehmen, weil die Auswertungsvoraussetzungen nach Absatz
1 aus ihrer Sicht nicht erfüllt sind, so kann die auftragserteilende Behörde die kantonale Aufsichtsstelle für Datenschutz ersuchen, dazu Stellung zu nehmen.
3 Eine personenbezogene, namentliche Auswertung nichtbewirtschafteter Da ten darf ohne Einverständnis der betroffenen Person nur innerhalb der Fristen nach Artikel 4 Absatz 1 erfolgen.
Art. 12
Personenbezogene, namentliche Auswertungen zur Analyse und Behebung von Störungen und zur Abwehr konkreter Bedrohungen (Art. 12d Abs. 3 Bst. b PG)
1 Die verantwortliche Behörde, die Betreiberin und die in einem ISDS-Konzept vorgesehenen Stellen können zur Analyse und Behebung einer Störung oder zur Abwehr einer konkreten Bedrohung bewirtschaftete Daten von sich aus personenbezogen, namentlich auswerten.
5 153.011.5
2 Solche Auswertungen sind nur zulässig, wenn sie für die Suche nach der Ur sache oder die Behebung der Störung oder für die Abwehr der Bedrohung er forderlich sind, namentlich wenn: a die Nutzung der elektronischen Infrastruktur wegen eines Defekts oder ei ner ausserordentlichen Beanspruchung durch Nutzerinnen und Nutzer verunmöglicht oder stark eingeschränkt ist; oder b die unmittelbare Gefahr einer Schädigung der elektronischen Infrastruktur oder der Daten besteht (Verbreitung von Schadprogrammen).
3 Die Behörde nach Artikel 2 Absatz 2 kann unter den gleichen Voraussetzun gen nichtbewirtschaftete Daten personenbezogen, namentlich auswerten oder auswerten lassen.
Art. 13
Personenbezogene, namentliche Auswertungen betreffend Dienstleistungen und individuelle Arbeitszeiten (Art. 12d Abs. 3 Bst. c bis e PG)
1 Die verantwortliche Behörde kann bewirtschaftete Daten personenbezogen, namentlich auswerten oder auswerten lassen a zur Bereitstellung benötigter Dienstleistungen, b zur Erfassung und Fakturierung erbrachter Leistungen der technischen Leistungserbringer oder c zur Kontrolle der individuellen Arbeitszeiten der für die Anstellungsbehör de arbeitenden Nutzerinnen und Nutzer.
Art. 14
Kein Anspruch der Nutzerinnen und Nutzer auf Auswertung
1 Die Nutzerinnen und Nutzer der elektronischen Infrastruktur des Kantons ha ben keinen Anspruch auf Auswertung ihrer Personendaten gemäss dieser Ver ordnung.
4 Abschnitt: Auswertungsergebnis
Art. 15
Information über das Auswertungsergebnis
1 Die mit der Auswertung beauftragte Stelle übergibt das Auswertungsergebnis der auftragserteilenden Behörde.
2 Bei einer personenbezogenen, namentlichen Auswertung wegen Verdachts auf Missbrauch oder Missbrauchs informiert die auftragserteilende Behörde die betreffende Person über das Auswertungsergebnis.
153.011.5 6
Art. 16
Aufbewahrung und Vernichtung des Auswertungsergebnisses
1 Die mit der Auswertung beauftragte Stelle bewahrt das Auswertungsergebnis und die zum Zweck der Auswertung kopierten Daten gemäss den Vorschrif ten über ISDS sicher auf und vernichtet sie spätestens nach einem Jahr.
5 Abschnitt: Übergangs- und Schlussbestimmungen
Art. 17
Übergangsbestimmung
1 ICT-Systeme, welche die Umsetzung dieser Verordnung nicht erlauben, sind innert einer Frist von fünf Jahren seit Inkrafttreten dieser Verordnung anzupas sen.
Art. 18
Änderung von Erlassen
1 Folgende Erlasse werden geändert: a Versuchsverordnung vom 21. November 2018 zum elektronischen Umzug (eUmzug VV) 1 ) , b Verordnung vom 24. Januar 2018 über die Informations- und Telekommu nikationstechnik der Kantonsverwaltung (ICTV) 2 ) , c Verordnung vom 12. März 2008 über die Harmonisierung amtlicher Regis ter (RegV) 3 ) , d Verordnung vom 18. Oktober 1995 über die Organisation und die Aufga ben der Finanzdirektion (Organisationsverordnung FIN; OrV FIN) 4 ) , e Personalverordnung vom 18. Mai 2005 (PV) 5 ) .
Art. 19
Inkrafttreten
1 Diese Verordnung tritt am 1. Januar 2020 in Kraft. Bern, 20. November 2019 Im Namen des Regierungsrates Der Präsident: Ammann Der Staatsschreiber: Auer
1) BSG 122.162
2) BSG 152.042
3) BSG 152.051
4) BSG 152.221.171
5) BSG 153.011.1
7 153.011.5 Änderungstabelle - nach Beschluss Beschluss Inkrafttreten Element Änderung BAG-Fundstelle 20.11.2019 01.01.2020 Erlass Erstfassung 19-080 25.10.2023 01.01.2024
Art. 4 Abs. 3
geändert 23-068
153.011.5 8 Änderungstabelle - nach Artikel Element Beschluss Inkrafttreten Änderung BAG-Fundstelle Erlass 20.11.2019 01.01.2020 Erstfassung 19-080
Art. 4 Abs. 3
25.10.2023 01.01.2024 geändert 23-068
Feedback