Veröffentlicht am 27. Februar 2024
Datenschutz
Der Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die armasuisse Personendaten bearbeitet, hat für uns einen hohen Stellenwert. Als Mitarbeiter/in, Auftragnehmer/in etc. können Sie sich darauf verlassen, dass armasuisse Ihre Personendaten gemäss den Bestimmungen des Datenschutzgesetzes schützt und dies auch von seinen Geschäftspartnern einfordert.
Sie können von armasuisse Auskunft darüber verlangen, ob Personendaten über Sie bearbeitet werden. Die Auskunft erfolgt kostenlos und in der Regel innerhalb von 30 Tagen.
Anfragen sind schriftlich an folgende Adresse zu richten:
Eidgenössisches Departement für Verteidigung,
Bevölkerungsschutz und Sport VBS
Bundesamt für Rüstung armasuisse
Datenschutzberater/in
Guisanplatz 1
CH-3003 Bern
dsgvo@ar.admin.ch- Bundesgesetz über den Datenschutz vom 25. September 2020
- Verordnung über den Datenschutz vom 31. August 2022
- Verordnung über Datenschutzzertfizierungen vom 31. August 2022
- Bundesgesetz über militärische und andere Informationssysteme im VBS vom 3. Oktober 2008
- Verordnung über die militärischen Informationssysteme vom 3. März 2023
- Regierungs- und Verwaltungsorganisationsgesetz vom 21. März 1997
- Regierungs- und Verwaltungsorganisationsverordnung vom 25. November 1998
- Verordnung über die Bearbeitung von Personendaten und Daten juristischer Personen bei der Nutzung der elektronischen Infrastruktur des Bundes vom 22. Februar 2022
- Informationssicherheitsgesetz vom 18. Dezember 2020 (insb. 3. Kapitel 5. Abschnitt , 4. Kapitel 7. Abschnitt)
- Informationssicherheitsverordnung vom 8. November 2023 (insb. 9. Abschnitt und Anhang 1)
- Bundespersonalgesetz vom 24. März 2000
- Verordnung über den Schutz von Personendaten des Bundespersonals vom 22. November 2017
- Weisungen über die Organisation des Datenschutzes im VBS vom 18. Dezember 2023
FAQ
Personendaten können unter anderem von internen oder externen Mitarbeitenden, Kunden, Lieferanten, Geschäftspartnern oder Drittpersonen stammen.
Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Das können z.B. Namen, E-Mail-Adresse, Wohnadresse, Geburtsdatum, AHV-Nummer, Bankdaten oder IP-Adresse sein.
Als besonders schützenswerte Personendaten gelten Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten; Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie; genetische Daten; biometrische Daten, Daten über verwaltungs- oder strafrechtliche Verfolgungen oder Sanktionen; und Daten über die soziale Hilfe.
Die Bearbeitung von Personendaten beschreibt jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.
Die Verantwortung für die gesetzeskonforme Bearbeitung von Personendaten liegt beim verantwortlichen Bundesorgan (armasuisse) bzw. seinen datenverantwortlichen Mitarbeitenden, das oder die allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheiden.
Personendaten können unter anderem von internen oder externen Mitarbeitenden, Kunden, Lieferanten, Geschäftspartnern oder Drittpersonen stammen.
Rechtmässigkeit: Bundesorgane benötigen eine gesetzliche Grundlage für die Bearbeitung von Personendaten. Eine Ausnahme ist möglich, wenn die betroffene Person im Einzelfall in die Bearbeitung eingewilligt hat oder ihre Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.
Verhältnismässigkeit: Die Bearbeitung von Personendaten muss für die Erfüllung der Aufgabe objektiv geeignet und erforderlich sein («so viel wie nötig, so wenig wie möglich»). Es muss ein vernünftiges Verhältnis zwischen dem verfolgten Zweck und der Datenbearbeitung bestehen.
Zweckbindung: Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.
Begrenzte Speicherfristen: Personendaten werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
Datenrichtigkeit: Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind.
Transparenz: Der Verantwortliche informiert die betroffene Person angemessen über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden. Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
Datensicherheit: Der Verantwortliche gewährleistet durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit. Er berücksichtigt dies ab der Planung («Privacy by Design»). Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt («Privacy by Default»).Besondere Vorsicht ist bei der Bearbeitung von Personendaten durch Dritte, sogenannte Auftragsbearbeiter (z.B. Assessment-Center, Softwarehersteller, Cloud-Dienste), und der Nutzung von Online-Diensten (z.B. ChatGPT, DeepL) geboten. Hier besteht ein erhöhtes Risiko, dass Personendaten in der Verantwortung von armasuisse unrechtmässig ins Ausland bekannt gegeben, für Marketingzwecke verwendet, mit weiteren Personen geteilt oder ungenügend geschützt werden.
Die Auftragsbearbeiter müssen armasuisse vertraglich zusichern, dass sie das Datenschutzgesetz einhalten und die Datensicherheit gewährleisten. Personendaten dürfen nur mit der vorgängigen Genehmigung von armasuisse an Dritte weitergegeben werden. Über Verletzungen der Datensicherheit muss armasuisse so rasch wie möglich informiert werden. Die Einhaltung dieser Vorgaben kann von armasuisse oder einem von ihr beauftragten Unternehmen auditiert werden. Falls nötig, können zusätzliche Massnahmen getroffen werden.
Bei vorsätzlichen Verstössen gegen die Bestimmungen des Datenschutzrechts drohen für private Personen Bussen bis zu 250'000 Franken.