Logo Kanton Bern / Canton de BerneDatenschutzaufsichtsstelle

Pflichten der Behörden

Datenschutzrechtliche Pflichten

Die kantonalen Behörden haben insbesondere die nachfolgend aufgeführten datenschutzrechtlichen Pflichten zu beachten.

ISDS-Analyse und ISDS-Konzept

Beim Einsatz von Informations- und Telekommunikationstechnologie (ICT) beurteilen die verantwortlichen Stellen in der Phase «Voranalyse» mit einer Informationssicherheits- und Datenschutz (ISDS) Analyse die datenschutzrechtliche Konformität eines ICT-Vorhabens und bestimmen mit einer Schutzbedarfsklassifizierung, ob bei dem Projekt erhöhte ISDS-Anforderungen bestehen.

Ergibt die ISDS-Analyse, dass keine erhöhten ISDS-Anforderungen bestehen, sorgen die verantwortlichen Stellen dafür, dass auf den Zeitpunkt der Inbetriebnahme der ICT-Anwendung die massgeblichen Datenschutzvorgaben eingehalten werden und die Informationssicherheit mindestens durch die Umsetzung der ISDS-Grundschutzmassnahmen gewährleistet ist. Bestehen hingegen erhöhte ISDS-Anforderungen, ist spätestens in der Phase «Konzept» ein ISDS-Konzept zu erstellen.

Vorabkontrolle

Beabsichtigt eine Behörde, Personendaten einer grösseren Anzahl von Personen elektronisch zu bearbeiten, unterbreitet sie die beabsichtigte Datenbearbeitung (d.h. das entsprechende ISDS-Konzept) vor deren Beginn unter Berücksichtigung der gesetzlichen Voraussetzungen der Aufsichtsstelle zur Stellungnahme. Sie unterbreitet der Aufsichtsstelle ebenso wesentliche Änderungen solcher Datenbearbeitungen.

Unterbreitung von Vorlagen über Erlasse und andere Massnahmen zur Stellungnahme

Soweit Vorlagen über Erlasse und andere Massnahmen für den Datenschutz erheblich sind, legt die Behörde diese der Aufsichtsstelle zur Stellungnahme vor.

Anmeldung von angelegten Datensammlungen

Die Aufsichtsstelle veröffentlicht im Internet ein Register der im Kanton, in der Gemeinde oder in einer anderen gemeinderechtlichen Körperschaft sowie in der Landeskirche oder in ihrer regionalen Einheit angelegten Datensammlungen. Die verantwortliche Behörde erstellt den ihre Datensammlungen betreffenden Teil des Registers nach den Vorgaben der Aufsichtsstelle und führt diesen nach.

Meldung eines Datenschutzvorfalls

Eine gesetzliche Verpflichtung zur Meldung eines Datenschutzvorfalls besteht zurzeit nur im Bereich Strafverfolgung und Strafvollzug. Auch ohne entsprechende Verpflichtung empfiehlt die Datenschutzaufsichtsstelle den Behörden, Datenschutzvorfälle umgehend zu melden.

Seite teilen