Ihre Rechte
Im "Register der Datensammlungen" finden Sie die Behörden, die möglicherweise Daten über Sie bearbeiten. Auskunfts- und Einsichtsgesuche sind bei derjenigen Behörde einzureichen, die die Daten bearbeitet oder bearbeiten könnte. Jede Person hat einen Anspruch auf eine Antwort innert 30 Tagen. (Mehr erfahren Sie hier.)
Ja. Sie haben das Recht, die Bekanntgabe Ihrer Daten an Dritte sperren zu lassen, wenn Sie ein schützenswertes Interesse haben (also einen wichtigen Grund dafür angeben können). Listenauskünfte (siehe auch Frage unter "Gemeinden") können Sie ohne Begründung sperren lassen. Ein entsprechendes Gesuch müssen Sie bei der Behörde einreichen, bei der die Daten liegen. Die Bekanntgabe von Fahrzeughalterdaten kann auf der Website des Strassenverkehrs- und Schifffahrtsamts (SVSA) gesperrt werden.
Ja. Sie haben das Recht, falsche Personendaten berichtigen und unnötige Daten vernichten zu lassen. Ein entsprechendes Gesuch müssen Sie bei jener Behörde einreichen, die die Daten bearbeitet.
Nein. Auskunfts- und Sperrgesuche sind bei derjenigen Behörde einzureichen, die die Daten bearbeitet.
Die Auskunft über die eigenen Daten ist bei kantonalen und kommunalen Behörden gebührenfrei.
Nein. Für ein Auskunfts- und Einsichtsgesuch über die eigenen Daten genügt der Nachweis der Identität.
Die Grundlage: Datenschutzrecht
Das Datenschutzrecht schützt nicht die Daten als solche, sondern die Personen, deren Daten von einer Behörde bearbeitet werden.
Alle Personendaten, das heisst: alle Angaben über eine bestimmte oder bestimmbare natürliche oder juristische Person. Die Angaben müssen also entweder direkt einer konkreten Person zuordenbar sein oder sie müssen sich durch zusätzliches Wissen respektive zusätzlichen Aufwand einer Person zuordnen lassen.
Personendaten sind alle Angaben über eine bestimmte oder bestimmbare natürliche oder juristische Person. Die Angaben müssen also entweder direkt einer konkreten Person zuordenbar sein oder sie müssen sich durch zusätzliches Wissen respektive zusätzlichen Aufwand einer konkreten Person zuordnen lassen.
Besonders schützenswerte Personendaten sind Angaben über religiöse, weltanschauliche oder politische Ansichten, Zugehörigkeiten und Betätigungen sowie die Rassenzugehörigkeit; den persönlichen Geheimbereich, insbesondere den seelischen, geistigen oder körperlichen Zustand; Massnahmen der sozialen Hilfe oder fürsorgerischen Betreuung; polizeiliche Ermittlungen, Strafverfahren, Straftaten und die dafür verhängten Strafen oder Massnahmen.
Nein. Die Persönlichkeit endet mit dem Tod, also können auch keine Persönlichkeitsrechte mehr geltend gemacht werden. Angehörige der Verstorbenen haben jedoch grundsätzlich die Möglichkeit, ihre eigenen Persönlichkeitsrechte geltend zu machen, wenn sie sich in ihrer eigenen Persönlichkeit verletzt fühlen oder wenn ihre emotionale Verbundenheit mit den Verstorbenen durch einen Angriff auf diese betroffen ist.
Datenbekanntgabe durch Behörden
Das Bearbeiten von Personendaten umfasst das Beschaffen, Aufbewahren, Verändern, Verknüpfen, Bekanntgeben oder Vernichten – kurzum: jeden Umgang mit Personendaten.
"Bekanntgeben" meint jedes Zugänglichmachen von Personendaten – beispielsweise Einsicht gewähren, Auskunft geben, Weitergeben oder Veröffentlichen. (Mehr Infos finden Sie hier.)
Eine Datensperrung (insbesondere bei der Einwohnerkontrolle) gilt nur für die Bekanntgabe von Daten an private Personen. Sie hat keine Auswirkungen auf die Bekanntgabe an Behörden und damit auf die Amtshilfe.
Nein. In den Spezialgesetzen wird aufgeführt, welche Behörden welche Daten zu welchen Zwecken bearbeiten dürfen, oder es werden gesetzliche Aufgaben aufgezählt, zu deren Erfüllung Personendaten bearbeitet werden müssen. Personendaten dürfen grundsätzlich nicht für einen Zweck bearbeitet werden, der nach Treu und Glauben mit jenem Zweck unvereinbar ist, für den sie ursprünglich beschafft oder der Behörde bekannt gegeben worden sind.
Ja. Die Öffentlichkeit des Grundbuchs inklusive der darin enthaltenen Personendaten ist im Bundesrecht (Zivilgesetzbuch und Grundbuchverordnung [GBV]) ausdrücklich vorgesehen. Zur Bezeichnung des Eigentümers oder der Eigentümerin oder von Personen, denen ein anderes Recht am Grundstück zusteht, werden der Name, die Vornamen, das Geburtsdatum, das Geschlecht, der Heimatort oder die Staatsangehörigkeit angegeben (Art. 90 GBV).
Ja, aber immer nur mit Zustimmung der Betroffenen und wenn die Veröffentlichung für die Erfüllung einer öffentlichen Aufgabe erforderlich ist. Letzteres trifft zu, wenn die Behörde damit ihrem Informationsauftrag nachkommt (allgemeines Interesse). Es dürfen überdies keine privaten oder öffentlichen Interessen entgegenstehen. Wir empfehlen einen zurückhaltenden Einsatz von Fotos mit Personen.
Das Abrufverfahren ist eine Form der Datenbekanntgabe durch eine Behörde an Dritte (eine oder mehrere andere Behörden oder Private). Die Daten werden in einer Weise bereitgestellt, die es Dritten ermöglicht, selbst zu bestimmen, welche sie wann abrufen. Die bereitstellende Behörde verliert dabei die Kontrolle darüber, ob jeder Datenabruf recht- und verhältnismässig ist und ob der Bekanntgabe im Einzelfall überwiegende Interessen entgegenstehen. Wegen des erhöhten Risikos von Grundrechtsverletzungen bestehen besondere Anforderungen an diese Form der Datenbekanntgabe. Bei sensiblen Personendaten muss ein Abrufverfahren in aller Regel ausdrücklich in einem formellen Gesetz vorgesehen sein.
Gemeinden
Ja. Nach dem Gesetz über die Information und die Medienförderung (IMG) sind Gemeindeversammlungen öffentlich und das Gemeindegesetz verpflichtet Gemeinden dazu, die Versammlungen zu protokollieren. Wiederum gemäss IMG informieren Behörden von Amtes wegen über Tätigkeiten von allgemeinem Interesse und nutzen dafür vorzugsweise das Internet. Die Information ist insoweit einzuschränken, als überwiegende öffentliche oder private Interessen entgegenstehen, namentlich weil sensible Personendaten betroffen sind.
Nein. In anderen Kantonen ist das teils so, im Kanton Bern aber nicht. Das Gesetz über Niederlassung und Aufenthalt der Schweizerinnen und Schweizer (NAG) sieht zwar vor, dass die zuziehende Person zum Nachweis ihrer Angaben angehalten werden kann. Weil dabei aber pflichtgemässes Ermessen auszuüben ist, kann ein Nachweis der Wohnsitzbegründung durch Vorlage eines Mietvertrags nicht in jedem Fall standardmässig verlangt werden, sondern nur bei konkreten Anhaltspunkten für einen möglichen Missbrauch. Auch dann sind alle Angaben, welche die Gemeinde nicht benötigt (z. B. Mietzins) abzudecken. Unzulässig wäre es, wenn die Gemeinde eine Kopie des ganzen Vertrags erstellen und zu ihren Akten nehmen wollte.
Ja. Gestützt auf die Verordnung über Niederlassung und Aufenthalt der Schweizerinnen und Schweizer (NAV) können Gemeinden die E-Mail-Adressen ihrer Einwohnerinnen und Einwohner erheben und verwenden. Dies ist aber nur eine Möglichkeit für Gemeinden, die keine Pflichten für Einwohnerinnen und Einwohner schafft. Sie müssen weder eine E-Mail-Adresse bekanntgeben, noch müssen sie eine solche überhaupt besitzen.
Eine Listenauskunft ist eine systematisch geordnete Bekanntgabe von Personendaten über die Einwohnerinnen und Einwohner einer Gemeinde, die ein bestimmtes Merkmal (z. B. Alter) gemeinsam haben. Diese Bekanntgabe erfolgt durch die Einwohnerkontrolle.
Die Erteilung von Listenauskünften muss im jeweiligen Gemeindereglement vorgesehen und die dort genannten Voraussetzungen müssen erfüllt sein. Jede Person kann ihre Daten für Listenauskünfte sperren lassen, ohne dies begründen zu müssen.
Bildung
Der "Leitfaden Datenschutz in den Volksschulen des Kantons Bern" ist überarbeitet worden. Sie finden das neue "Datenschutzlexikon für die Volksschule" unter diesem Link.
Gesundheit
Ja. Die Datenschutzaufsichtsstelle ist für die Behörden des Kantons Bern zuständig. Dazu zählen auch Leistungserbringer, die eine öffentliche Aufgabe erfüllen – also auch Spitäler mit Leistungsauftrag in der Gesundheitsversorgung. Die Datenschutzaufsichtsstelle ist hier aber nur im Rahmen der Gesundheitsversorgung zuständig. Bearbeitet ein Spital Daten seiner Mitarbeitenden, so tut es dies nicht im unmittelbaren Zusammenhang mit dem Leistungsauftrag, sondern als Privatperson. Bei der Bearbeitung von Daten seiner Mitarbeitenden untersteht das Spital demnach dem Datenschutzgesetz des Bundes (DSG). Zuständig ist in diesem Fall der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
Nein. Die Datenschutzaufsichtsstelle ist für die Behörden des Kantons Bern zuständig. Dazu zählen auch Spitäler, die vom Kanton Bern einen öffentlichen Leistungsauftrag für die Gesundheitsversorgung erhalten haben. Mangels Leistungsauftrag ist ein privater Arzt oder eine private Ärztin als Privatperson anzusehen und untersteht deshalb dem Datenschutzgesetz des Bundes (DSG). Zuständig ist demnach der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
Angaben über ausgeführte oder geplante Behandlungen sind besonders schützenswerte Personendaten, die dem ärztlichen Berufsgeheimnis unterliegen. Sie dürfen deshalb nicht via E-Mail ausgetauscht werden (es sei denn, es handelt sich um einen verschlüsselten E-Mail-Verkehr).
Im Kanton Bern ist die Behandlungsdokumentation während mindestens 20 Jahren aufzubewahren (s. bernisches Gesundheitsgesetz).
Ja. Einsicht kann auch durch das Zustellen von Kopien gewährt werden. Hinweis: Im Gesundheitsbereich gibt es Auskünfte, die für Betroffene zu belastend sein könnten. In solchen Fälle erlaubt das Berner Datenschutzgesetz die Weitergabe der Information an eine Vertrauensperson der Patientin/des Patienten.
Grundsätzlich ja. Dies ist bereits vor Ablauf der Aufbewahrungsfrist von 20 Jahren möglich, wenn sowohl eine Entbindung von der Aufbewahrungspflicht als auch ein Haftungsverzicht vorliegen. Die Herausgabe der originalen Papierakte respektive die Löschung des elektronischen Dossiers ohne Zurückbehaltung einer Kopie liegt jedoch gemäss Berner Gesundheitsgesetz im Ermessen der Gesundheitsinstitutionen.
Videoüberwachung
Nein. Zwar findet keine Datenbearbeitung statt und das Datenschutzgesetz ist nicht anwendbar. Jedoch verpflichten die Bundesverfassung und die Verfassung des Kantons Bern die Behörden zum Handeln nach Treu und Glauben. Das Fingieren oder Ankündigen einer nicht existenten Videoüberwachung verstösst gegen Treu und Glauben, weil dies bei Betroffenen ein falsches Sicherheitsgefühl wecken oder sie von der Ausübung ihrer Grundrechte abhalten kann: der persönlichen (Bewegungs-) Freiheit, der Versammlungsfreiheit, der Meinungsäusserungsfreiheit etc. (sog. "chilling effect"). Vorgetäuschte Videoüberwachungen sind deshalb unzulässig.
Videoüberwachungen durch private Personen fallen unter das Datenschutzgesetz des Bundes (DSG) und unterstehen der Aufsicht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Dieser hat auf seiner Website Informationen zur Videoüberwachung durch Private publiziert.
Gestützt auf das kantonale Polizeigesetz darf ein Spital seinen Eingangsbereich mit Kameras überwachen, wenn das zum Schutz des Gebäudes sowie seiner Benutzerinnen und Benutzer vor Straftaten nötig ist. Die Kantonspolizei stellt auf ihrer Website Unterlagen zur Verfügung, die vorab auszufüllen und bei ihr einzureichen sind. Die Kantonspolizei und die Datenschutzaufsichtsstelle prüfen diese Unterlagen. Im Vorfeld bietet die Kantonspolizei zudem eine Beratung an.
Ein Spital darf Aufwachräume mit Kameras überwachen, wenn das zum Wohl der Patientinnen und Patienten nötig ist. Vorgängig muss es Unterlagen zur Videoüberwachung ausfüllen und bei der Datenschutzaufsichtsstelle (DSA) einreichen, die insbesondere die Notwendigkeit und die Datensicherheit der geplanten Videoüberwachung prüft. Auf Anfrage bietet die DSA Unterlagen und eine Beratung an.
Gestützt auf das kantonale Polizeigesetz darf eine Gemeinde Abfallsammelstellen mit Kameras überwachen, wenn sie Verstösse gegen kommunale Abfallvorschriften per Reglement mit einer Strafe (Busse) bedroht. Die Kantonspolizei stellt auf ihrer Website Unterlagen zur Verfügung, die vorab auszufüllen und bei ihr einzureichen sind. Die Kantonspolizei und die kommunale Datenschutzaufsichtsstelle prüfen diese Unterlagen. Im Vorfeld bietet die Kantonspolizei zudem eine Beratung an.
Informationssicherheit
HTTPS ist ein Protokoll, das bewirkt, dass eine geschützte (verschlüsselte) Verbindung zwischen einem Internetbrowser und einer Ziel-Website zustande kommt. Weiter stellt es die Echtheit einer Website und ihrer Zuordnung zum Anbieter sicher.
Ein Versand besonders schützenswerter Personendaten ist nicht zu empfehlen. Unverschlüsselte E-Mails sind wie Postkarten, deren Inhalt theoretisch jeder lesen kann. Zudem durchforsten einige E-Mail-Anbieter die Inhalte, um Nutzerinnen und Nutzern gezielte Werbung zeigen zu können.
Die Verschlüsselung "at rest" stellt sicher, dass Daten, die z. B. in einer Cloud abgelegt sind, nur von der Person gelesen werden können, die über den Schlüssel verfügt. Eine Transportverschlüsselung dagegen verschlüsselt die Daten nur während des Transports von A nach B. Anschliessend sind diese wieder unverschlüsselt verfügbar.
Das Prinzip "Hold Your Own Key" (HYOK) stellt sicher, dass ausschliesslich der/die Betroffene selbst über den Schlüssel zur Entschlüsselung der in einer Cloud gespeicherten Daten verfügt. Bei jeder anderen Form hat der Cloud-Anbieter vollen Zugriff auf die abgelegten Daten, da er den Schlüssel dazu besitzt.
Geräte, die nicht durch eine zentrale Stelle verwaltet werden, stellen immer ein latentes Risiko dar – beispielsweise wegen nicht aktualisierter Systeme, veralteter Virenschutzprogramme oder Malware auf den Geräten.