VPB-64.68 - 1998-04-30 - Eidgenössische Datenschutz- und Öffentlichkeitskommission (EDÖK) - Art. 2 Abs. 2 Bst. c, Art. 34 und 35 DSG. Behauptete unbefugte Weitergabe von Personendaten. Unzulässigkeit der Beschwerde...

VPB 64.68

(Entscheid des Präsidenten der Eidgenössischen Datenschutzkommission vom 30. April 1998)

Art. 2 Abs. 2 Bst. c, Art. 34 und 35 DSG. Behauptete unbefugte Weitergabe von Personendaten. Unzulässigkeit der Beschwerde an die Eidgenössische Datenschutzkommission.

Die speziellen Bestimmungen des anwendbaren Strafprozessrechts gehen dem Datenschutzrecht auch dann vor, wenn materieller Gegenstand des Strafverfahrens eine behauptete Straftat im Sinne von Art. 34 oder 35 DSG ist.

Art. 2 al. 2 let. c, art. 34 et 35 LPD. Allégation d'une communication non autorisée de données personnelles. Irrecevabilité du recours à la Commission fédérale de la protection des données.

Les dispositions spéciales du droit de procédure pénale applicable priment le droit de la protection des données même si la procédure pénale a pour objet de fond une prétendue infraction au sens des art. 34 ou 35 LPD.

Art. 2 cpv. 2 lett. c, art. 34 e 35 LPD. Allegazione di una comunicazione non autorizzata di dati personali. Irricevibilità di un ricorso alla Commissione federale della protezione dei dati.

Le disposizioni speciali del diritto di procedura penale applicabile hanno la priorità sul diritto della protezione dei dati anche se l'oggetto materiale della procedura penale è un reato ai sensi degli art. 34 e 35 LPD.

A. Frau M. erlitt am 12. April 1988 einen Strassenverkehrsunfall. Für die Folgen des Unfallereignisses war die Versicherungsgesellschaft A. als Versicherer gemäss dem Bundesgesetz vom 20. März 1981 über die Unfallversicherung (UVG, SR 832.20) zuständig. Die Haftpflichtansprüche richteten sich gegen den Halter des Kollisionsfahrzeuges bzw. gegen dessen Haftpflichtversicherer und wurden offenbar schliesslich durch Vergleich erledigt. Der Vertreter der Beschwerdeführerin reichte am 17. Januar 1997 Strafanzeige gegen die Versicherungsgesellschaft A. und gegen einen Mitarbeiter von deren Generalagentur ein. Er machte geltend, nach Erlass der rechtskräftigen Rentenverfügung seien die Geheimhaltungspflichten nach dem UVG und dem Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) verletzt worden. Mit Verfügung vom 16. Mai 1997 ordnete die Bezirksanwaltschaft Zürich die Einstellung des Verfahrens bezüglich des Vorwurfs eines Vergehens gegen das UVG an. Gleichzeitig stellte sie die Akten dem Polizeirichteramt Zürich zu, damit dieses abklärte, ob ein allfälliger Verstoss gegen Art. 34 DSG vorliege. Gegen die Einstellungsverfügung erhob der Vertreter der Beschwerdeführerin Rekurs beim Einzelrichter in Strafsachen
des Bezirkes Zürich. Dieser wies mit Verfügung vom 9. Oktober 1997 den Rekurs ab. Dagegen erhob die Anzeigenerstatterin am 27. November 1997 Nichtigkeitsbeschwerde an das Obergericht des Kantons Zürich. Die III. Strafkammer des Obergerichts wies mit Beschluss vom 6. Februar 1998 die Nichtigkeitsbeschwerde ab.

B. Gegen dieses Urteil der III. Strafkammer des Obergerichts erhob Rechtsanwalt Dr. B. namens von Frau M. «Beschwerde» an die Eidgenössische Datenschutzkommission (EDSK). Beantragt wurde:

1. Es sei der Beschluss des Obergerichts des Kantons Zürich vom 6.2.1998 aufzuheben;

2. es sei die Sache zur Durchführung der strafrechtlichen Untersuchung an die Staatsanwaltschaft des Kantons Zürich bzw. der Bezirksanwaltschaft des Kantons Zürich zurückzuweisen;

3. unter Kosten- und Entschädigungsfolgen zulasten der Beschwerdegegner und Beschwerdegegnerinnen (Versicherungsgesellschaft A., Staatsanwaltschaft sowie Obergericht des Kantons Zürich).

Begründungsweise wird geltend gemacht, dass neben der vom Obergericht im genannten Urteil als Rechtsmittel angegebenen eidgenössischen Nichtigkeitsbeschwerde gemäss Art. 268 ff. des Bundesgesetzes vom 15. Juni 1934 über die Bundesstrafrechtspflege (SR 312.0) auch zusätzlich die (Verwaltungs-) Beschwerde an die EDSK nach Art. 33 Abs. 1 DSG zulässig sei, da es sich beim angefochtenen Beschluss um einen letztinstanzlichen kantonalen Entscheid handle, der sich auf öffentliche Vorschriften des Bundes über den Datenschutz stütze. Die vollständige Weitergabe aller medizinischen Akten durch den UVG-Versicherer an den Haftpflichtversicherer habe die Art. 4 , 5 und 7 DSG verletzt. Das DSG gehe als späteres Gesetz den datenschutzrechtlichen Vorschriften des UVG über die Bekanntgabe vor. Obwohl das Obergericht in seinem zweiten Entscheid die Untersuchung der allfälligen Verletzung des DSG an den Einzelrichter des Bezirksgerichts Zürich zurückgewiesen habe, werde gegen das Urteil des Obergerichts vom selben Tag bei der EDSK Beschwerde geführt, da damit materiell auch über die von den Zürcher Behörden abgespaltene zweite Frage entschieden werden könne.

Aus den Erwägungen:

1. (...)

2.a. Eine Verletzung des Bundesdatenschutzrechts kann auf verschiedenen Wegen verfolgt werden.

aa. Es kann eine Verletzung der Strafbestimmungen von Art. 34 und 35 DSG vorliegen. Eine Verletzung von Art. 34 Abs. 1 DSG wird auf Antrag, eine solche von Art. 34 Abs. 2 DSG officialiter (Gunter Arzt, Kommentar zum Schweizerischen Datenschutzgesetz, Basel / Frankfurt am Main 1995, N. 35 zu Art. 34 ) durch die zuständige kantonale Strafverfolgungsbehörde verfolgt. Eine Verletzung von Art. 35 DSG wird auf Antrag ebenfalls durch die kantonale Behörde untersucht. Die Vorschriften des Verwaltungsstrafrechts finden keine Anwendung (Arzt, a.a.O., N. 54). Der Rechtsmittelweg richtet sich nach kantonalem und eidgenössischem Strafprozessrecht.

Die prozessrechtliche Behandlung einer allfälligen Verletzung weiterer, dem Datenschutz dienender Strafvorschriften des eidgenössischen Rechts, wie besonderen, strafrechtlich bewehrten Geheimhaltungspflichten, ist im vorliegenden Fall nicht zu beurteilen.

bb. Eine Verletzung des Bundesdatenschutzrechts durch eine private bearbeitende Person, welche durch ihre Bearbeitung die Persönlichkeit einer betroffenen Person widerrechtlich verletzt, muss auf dem Zivilrechtswege verfolgt werden. Art. 15 DSG verweist auf die entsprechenden Rechtsmittel.

cc. Als Drittes kann die Anwendung des DSG zu verwaltungsrechtlichen Streitigkeiten führen. Im vorliegenden Fall hat die Versicherungsgesellschaft A. als Unfallversicherer als Bundesorgan Daten bearbeitet (vgl. Art. 2 Abs. 1 Bst. b , die Definition in Art. 3 Bst. h sowie die Art. 16 ff . DSG). Denkbar wäre gewesen, dass die Beschwerdeführerin der Beschwerdegegnerin Versicherungsgesellschaft A. eine nach Art. 19 DSG unbefugte Weitergabe von Personendaten vorgeworfen hätte, worauf sie hätte versuchen können, einen Rechtsschutz nach Art. 25 Abs. 1 DSG zu erreichen. Eine entsprechende Streitigkeit hätte gemäss Art. 25 Abs. 5 DSG vor die EDSK gebracht werden können.

dd. Eine Verletzung kann schliesslich auch durch kantonale öffentliche Organe erfolgen, wenn sie nach Art. 37 DSG ersatzweise Bundesdatenschutzrecht als kantonales Datenschutzrecht anwenden oder wenn sie sonst datenschutzrechtliche Vorschriften des Bundesverwaltungsrechts vollziehen.

b. Die vorliegende Beschwerde betrifft keinen letztinstanzlichen kantonalen Entscheid, der nach Art. 33 Abs. 1 Bst. d DSG an die EDSK weitergezogen werden kann, weil kein Streitgegenstand nach Art. 37 bzw. Art. 25 Abs. 1 -3 DSG oder sonst nach Bundesverwaltungsrecht vorliegt. Zudem ist der Entscheid der III. Strafkammer des Obergerichts im Rahmen eines hängigen Strafverfahrens ergangen; die speziellen Bestimmungen des anwendbaren Strafprozessrechts gehen dem Datenschutzrecht vor (Art. 2 Abs. 2 Bst. c DSG). Hieran ändert auch nichts, wenn materieller Gegenstand des Strafverfahrens eine behauptete Straftat im Sinne von Art. 34 oder 35 DSG ist.

Aus allen diesen Gründen kann auf die Beschwerde nicht eingetreten werden.

Dokumente der EDSK

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 34 Rechtsgrundlagen - 1 Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.
¹	Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.
²	Eine Grundlage in einem Gesetz im formellen Sinn ist in folgenden Fällen erforderlich:
^a	Es handelt sich um die Bearbeitung von besonders schützenswerten Personendaten.
^b	Es handelt sich um ein Profiling.
^c	Der Bearbeitungszweck oder die Art und Weise der Datenbearbeitung können zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person führen.
³	Für die Bearbeitung von Personendaten nach Absatz 2 Buchstaben a und b ist eine Grundlage in einem Gesetz im materiellen Sinn ausreichend, wenn die folgenden Voraussetzungen erfüllt sind:
^a	Die Bearbeitung ist für eine in einem Gesetz im formellen Sinn festgelegte Aufgabe unentbehrlich.
^b	Der Bearbeitungszweck birgt für die Grundrechte der betroffenen Person keine besonderen Risiken.
⁴	In Abweichung von den Absätzen 1-3 dürfen Bundesorgane Personendaten bearbeiten, wenn eine der folgenden Voraussetzungen erfüllt ist:
^a	Der Bundesrat hat die Bearbeitung bewilligt, weil er die Rechte der betroffenen Person für nicht gefährdet hält.
^b	Die betroffene Person hat im Einzelfall in die Bearbeitung eingewilligt oder hat ihre Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
^c	Die Bearbeitung ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 34 Rechtsgrundlagen - 1 Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.
¹	Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.
²	Eine Grundlage in einem Gesetz im formellen Sinn ist in folgenden Fällen erforderlich:
^a	Es handelt sich um die Bearbeitung von besonders schützenswerten Personendaten.
^b	Es handelt sich um ein Profiling.
^c	Der Bearbeitungszweck oder die Art und Weise der Datenbearbeitung können zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person führen.
³	Für die Bearbeitung von Personendaten nach Absatz 2 Buchstaben a und b ist eine Grundlage in einem Gesetz im materiellen Sinn ausreichend, wenn die folgenden Voraussetzungen erfüllt sind:
^a	Die Bearbeitung ist für eine in einem Gesetz im formellen Sinn festgelegte Aufgabe unentbehrlich.
^b	Der Bearbeitungszweck birgt für die Grundrechte der betroffenen Person keine besonderen Risiken.
⁴	In Abweichung von den Absätzen 1-3 dürfen Bundesorgane Personendaten bearbeiten, wenn eine der folgenden Voraussetzungen erfüllt ist:
^a	Der Bundesrat hat die Bearbeitung bewilligt, weil er die Rechte der betroffenen Person für nicht gefährdet hält.
^b	Die betroffene Person hat im Einzelfall in die Bearbeitung eingewilligt oder hat ihre Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
^c	Die Bearbeitung ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 4 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter - 1 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
¹	Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beaufsichtigt die Anwendung der bundesrechtlichen Datenschutzvorschriften.
²	Von der Aufsicht durch den EDÖB sind ausgenommen:
^a	die Bundesversammlung;
^b	der Bundesrat;
^c	die eidgenössischen Gerichte;
^d	die Bundesanwaltschaft: betreffend die Bearbeitung von Personendaten im Rahmen von Strafverfahren;
^e	Bundesbehörden: betreffend die Bearbeitung von Personendaten im Rahmen einer rechtsprechenden Tätigkeit oder von Verfahren der internationalen Rechtshilfe in Strafsachen.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 5 Begriffe - In diesem Gesetz bedeuten:
^a	Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;
^b	betroffene Person: natürliche Person, über die Personendaten bearbeitet werden;
^c	besonders schützenswerte Personendaten:
^c1	Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
^c2	Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
^c3	genetische Daten,
^c4	biometrische Daten, die eine natürliche Person eindeutig identifizieren,
^c5	Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
^c6	Daten über Massnahmen der sozialen Hilfe;
^d	Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten;
^e	Bekanntgeben: das Übermitteln oder Zugänglichmachen von Personendaten;
^f	Profiling: jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
^g	Profiling mit hohem Risiko: Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt;
^h	Verletzung der Datensicherheit: eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden;
ⁱ	Bundesorgan: Behörde oder Dienststelle des Bundes oder Person, die mit öffentlichen Aufgaben des Bundes betraut ist;
^j	Verantwortlicher: private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet;
^k	Auftragsbearbeiter: private Person oder Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 7 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen - 1 Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.
¹	Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.
²	Die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.
³	Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 35 Automatisierte Datenbearbeitung im Rahmen von Pilotversuchen - 1 Der Bundesrat kann vor Inkrafttreten eines Gesetzes im formellen Sinn die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder andere Datenbearbeitungen nach Artikel 34 Absatz 2 Buchstaben b und c bewilligen, wenn:
¹	Der Bundesrat kann vor Inkrafttreten eines Gesetzes im formellen Sinn die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder andere Datenbearbeitungen nach Artikel 34 Absatz 2 Buchstaben b und c bewilligen, wenn:
^a	die Aufgaben, aufgrund deren die Bearbeitung erforderlich ist, in einem bereits in Kraft stehenden Gesetz im formellen Sinn geregelt sind;
^b	ausreichende Massnahmen getroffen werden, um einen Eingriff in die Grundrechte der betroffenen Personen auf das Mindestmass zu begrenzen; und
^c	für die praktische Umsetzung der Datenbearbeitung eine Testphase vor dem Inkrafttreten, insbesondere aus technischen Gründen, unentbehrlich ist.
²	Er holt vorgängig die Stellungnahme des EDÖB ein.
³	Das zuständige Bundesorgan legt dem Bundesrat spätestens zwei Jahre nach der Aufnahme des Pilotversuchs einen Evaluationsbericht vor. Es schlägt darin die Fortführung oder die Einstellung der Bearbeitung vor.
⁴	Die automatisierte Datenbearbeitung muss in jedem Fall abgebrochen werden, wenn innerhalb von fünf Jahren nach Aufnahme des Pilotversuchs kein Gesetz im formellen Sinn in Kraft getreten ist, das die erforderliche Rechtsgrundlage enthält.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 15 Pflichten der Vertretung - 1 Die Vertretung führt ein Verzeichnis der Bearbeitungstätigkeiten des Verantwortlichen, das die Angaben nach Artikel 12 Absatz 2 enthält.
¹	Die Vertretung führt ein Verzeichnis der Bearbeitungstätigkeiten des Verantwortlichen, das die Angaben nach Artikel 12 Absatz 2 enthält.
²	Auf Anfrage teilt sie dem EDÖB die im Verzeichnis enthaltenen Angaben mit.
³	Auf Anfrage erteilt sie der betroffenen Person Auskünfte darüber, wie sie ihre Rechte ausüben kann.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 2 Persönlicher und sachlicher Geltungsbereich - 1 Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
¹	Dieses Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen durch:
^a	private Personen;
^b	Bundesorgane.
²	Es ist nicht anwendbar auf:
^a	Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden;
^b	Personendaten, die von den eidgenössischen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bearbeitet werden;
^c	Personendaten, die bearbeitet werden durch institutionelle Begünstigte nach Artikel 2 Absatz 1 des Gaststaatgesetzes vom 22. Juni 20073, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen.
³	Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bundesrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
⁴	Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt. Enthalten die Spezialbestimmungen keine Regelung, so ist dieses Gesetz anwendbar.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 3 Räumlicher Geltungsbereich - 1 Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
¹	Dieses Gesetz gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
²	Für privatrechtliche Ansprüche gilt das Bundesgesetz vom 18. Dezember 19874 über das Internationale Privatrecht. Vorbehalten bleiben zudem die Bestimmungen zum räumlichen Geltungsbereich des Strafgesetzbuchs5.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 16 Grundsätze - 1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
¹	Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
²	Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch:
^a	einen völkerrechtlichen Vertrag;
^b	Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden;
^c	spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat;
^d	Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; oder
^e	verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.
³	Der Bundesrat kann andere geeignete Garantien im Sinne von Absatz 2 vorsehen.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 19 Informationspflicht bei der Beschaffung von Personendaten - 1 Der Verantwortliche informiert die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.
¹	Der Verantwortliche informiert die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden.
²	Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; er teilt ihr mindestens mit:
^a	die Identität und die Kontaktdaten des Verantwortlichen;
^b	den Bearbeitungszweck;
^c	gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden.
³	Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr zudem die Kategorien der bearbeiteten Personendaten mit.
⁴	Werden die Personendaten ins Ausland bekanntgegeben, so teilt er der betroffenen Person auch den Staat oder das internationale Organ und gegebenenfalls die Garantien nach Artikel 16 Absatz 2 oder die Anwendung einer Ausnahme nach Artikel 17 mit.
⁵	Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr die Informationen nach den Absätzen 2-4 spätestens einen Monat, nachdem er die Daten erhalten hat, mit. Gibt der Verantwortliche die Personendaten vor Ablauf dieser Frist bekannt, so informiert er die betroffene Person spätestens im Zeitpunkt der Bekanntgabe.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 25 Auskunftsrecht - 1 Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
¹	Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
²	Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. In jedem Fall werden ihr folgende Informationen mitgeteilt:
^a	die Identität und die Kontaktdaten des Verantwortlichen;
^b	die bearbeiteten Personendaten als solche;
^c	der Bearbeitungszweck;
^d	die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
^e	die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
^f	gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
^g	gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.
³	Personendaten über die Gesundheit können der betroffenen Person mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden.
⁴	Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig.
⁵	Niemand kann im Voraus auf das Auskunftsrecht verzichten.
⁶	Der Verantwortliche muss kostenlos Auskunft erteilen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismässig ist.
⁷	Die Auskunft wird in der Regel innerhalb von 30 Tagen erteilt.

SR 235.1 Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) - Datenschutzgesetz DSG Art. 37 Widerspruch gegen die Bekanntgabe von Personendaten - 1 Die betroffene Person, die ein schutzwürdiges Interesse glaubhaft macht, kann gegen die Bekanntgabe bestimmter Personendaten durch das verantwortliche Bundesorgan Widerspruch einlegen.
¹	Die betroffene Person, die ein schutzwürdiges Interesse glaubhaft macht, kann gegen die Bekanntgabe bestimmter Personendaten durch das verantwortliche Bundesorgan Widerspruch einlegen.
²	Das Bundesorgan weist das Begehren ab, wenn eine der folgenden Voraussetzungen erfüllt ist:
^a	Es besteht eine Rechtspflicht zur Bekanntgabe.
^b	Die Erfüllung seiner Aufgaben wäre sonst gefährdet.
³	Artikel 36 Absatz 3 bleibt vorbehalten.