Dieses Gesetz bezweckt den Schutz der Grundrechte von Personen, deren Daten bearbeitet werden.

Es gilt für anerkannte Kirchen, es sei denn, sie haben Datenschutzbestimmungen erlassen, die ein angemessenes Schutzniveau gewährleisten, und eine eigene Aufsichtsbehörde eingesetzt.

Dieses Gesetz gilt für jegliche Bearbeitung von Personendaten, die von einem öffentlichen Organ im Sinne von Artikel 2 ausgeführt wird.

1. Bearbeitung: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere die Beschaffung, Speicherung, Aufbewahrung, Verwendung, Umarbeitung, Bekanntgabe, Verknüpfung, Auslagerung, Löschung, Archivierung und Vernichtung;
2. Abrufverfahren: ein automatisierter Datenbekanntgabemodus, bei dem die Empfängerin oder der Empfänger der Daten aufgrund einer Bewilligung des Verantwortlichen für die Bearbeitung selber und ohne vorherige Kontrolle über den Zeitpunkt und den Umfang der Bekanntgabe entscheidet;
3. Profiling: jede Art der automatisierten Verarbeitung von Personendaten, die darin besteht, dass diese Personendaten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser Person zu analysieren oder vorherzusagen;
4. Auslagerung: eine qualifizierte Form der Auftragsbearbeitung, welche die Nutzung von Computerressourcen beinhaltet, die über ein Kommunikationsnetz aus der Ferne zugänglich sind, um Daten zu speichern, zu bearbeiten und auszutauschen (Cloud Computing);
5. Verantwortlicher: öffentliches Organ, das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung von Personendaten entscheidet;
6. Auftragsbearbeiter: private Person oder öffentliches Organ, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet;
7. Bearbeitungsregister: Onlineverzeichnis, in dem die von den öffentlichen Organen ausgeführten Bearbeitungstätigkeiten verzeichnet sind;
8. Verletzung der Sicherheit von Personendaten: jede Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden.

Das öffentliche Organ darf Personendaten nur dann bearbeiten, wenn es in einer gesetzlichen Bestimmung vorgesehen wird oder wenn die Erfüllung einer gesetzlichen Aufgabe dies erfordert.

Profiling-Aktivitäten und die Bearbeitung von Personendaten, deren Zwecke oder Modalitäten ein hohes Risiko für die Grundrechte der betroffenen Personen bergen, dürfen nur durchgeführt werden, wenn es in einem Gesetz im formellen Sinne ausdrücklich vorgesehen wird.

Ausnahmsweise ist keine gesetzliche Grundlage erforderlich, um Personendaten, einschliesslich besonders schützenswerte, zu bearbeiten, wenn die Bearbeitung nötig ist, um wesentliche Interessen der betroffenen Person oder einer oder eines Dritten zu wahren.

Ausser in den Fällen nach Artikel 5 kann die betroffene Person im Einzelfall in die Bearbeitung ihrer Personendaten einwilligen.

Die betroffene Person willigt nur gültig ein, wenn sie ihren Willen frei ausdrückt und nachdem sie in angemessener Weise über den Zweck der Bearbeitung aufgeklärt wurde. Die Einwilligung muss ausdrücklich sein, wenn sie sich auf die Bearbeitung besonders schützenswerter Personendaten oder auf Profiling-Aktivitäten bezieht. Die Einwilligung wird jedoch vermutet, wenn die Person ihre Daten selbst frei zugänglich gemacht hat.

Jede Bearbeitung von Daten, die nicht auf den Grundlagen nach Artikel 5 beruht, muss von einem sichtbaren und leicht verständlichen Hinweis auf ihren freiwilligen Charakter begleitet werden.

Wenn sich die Bearbeitung auf die Einwilligung der betroffenen Person stützt, muss der Verantwortliche in der Lage sein, das Vorhandensein einer solchen Einwilligung zu beweisen.

Die Einwilligung kann jederzeit ohne Angabe von Gründen widerrufen werden. Aus technischen Gründen kann aber für die tatsächliche Umsetzung der Widerrufung der Einwilligung eine vernünftige Frist nötig sein.

Personendaten dürfen nur für eine bestimmte und erkennbare Verwendung beschafft werden. Sie dürfen später nur zu diesem Zweck oder zu einem Zweck, der mit diesem nach Treu und Glauben vereinbar ist, bearbeitet werden.

Die Fälle, in denen die betroffene Person in eine Änderung der Zweckbestimmung eingewilligt hat, bleiben vorbehalten.

Die Daten und die Art ihrer Bearbeitung müssen für den Zweck der Bearbeitung nötig, geeignet und nicht übertrieben sein.

Das öffentliche Organ, das Personendaten bearbeitet, achtet darauf, dass diese richtig sind. Es ergreift alle geeigneten Massnahmen, um falsche oder für den Zweck, für den sie beschafft und bearbeitet werden, unvollständige Daten zu berichtigen, zu ergänzen, zu löschen oder zu vernichten.

Personendaten, die für den Zweck der Bearbeitung nicht mehr nötig sind, werden vernichtet oder anonymisiert. Die Bestimmungen über die Archivierung bleiben vorbehalten.

Mit geeigneten Schutzmassnahmen können sie insofern für längere Zeit aufbewahrt werden, soweit sie gemäss Artikel 26 ausschliesslich zu Zwecken, die sich nicht auf die Person beziehen, dienen.

Das öffentliche Organ, das besonders schützenswerte Personendaten bearbeitet, Profiling betreibt oder Daten zu Zwecken oder nach Modalitäten, die ein erhöhtes Risiko der Verletzung der Grundrechte mit sich bringt, bearbeitet, muss alle nötigen Massnahmen ergreifen, um dieses Risiko zu verringern.

Der Verantwortliche informiert die betroffene Person angemessen über das Beschaffen von Personendaten.

Werden Personendaten bei einem anderen Organ oder bei Dritten beschafft, so teilt der Verantwortliche der betroffenen Person so bald wie möglich, aber spätestens bei ihrer ersten Verwendung die Informationen nach Absatz 1 und die Art der beschafften Daten mit.

Ausserdem kann unter denselben Voraussetzungen und aus denselben Gründen wie denjenigen nach Artikel 29 Abs. 1 von der Informationspflicht abgewichen werden.

Personendaten dürfen nur dann systematisch bekanntgegeben, weitergegeben, verbreitet oder zugänglich gemacht werden, wenn es in einer gesetzlichen Bestimmung vorgesehen wird.

Im Fall nach Absatz 2 Bst. c wird die betroffene Person vorher aufgefordert, Stellung zu nehmen, es sei denn, dies erweist sich als unmöglich oder ist mit unverhältnismässigem Aufwand verbunden.

Der Zugang zu Personendaten über ein Abrufverfahren, namentlich ein Online-Zugriff, darf nur gewährt werden, wenn es in einer gesetzlichen Bestimmung vorgesehen wird.

Die Übermittlung von Personendaten einer natürlichen Person an einen ausländischen Staat oder ein internationales Organ ist nur soweit zulässig, als in einem Entscheid des Bundesrats bezeugt wird, dass der Empfängerstaat oder das internationale Organ ein angemessenes Datenschutzniveau gewährleistet.

Die oder der Öffentlichkeits- und Datenschutzbeauftragte (die oder der Beauftragte) wird vor der Bekanntgabe von Personendaten ins Ausland rechtzeitig über die Garantien nach Absatz 2 Bst. a informiert. Auf Anfrage kann sie oder er jederzeit Informationen erhalten, um zu überprüfen, ob eine Bekanntgabe von Daten ins Ausland den Anforderungen nach den Buchstaben b‒e entspricht.

Nicht als Bekanntgabe ins Ausland wird die einfache Veröffentlichung von Daten auf einer Website, die der Öffentlichkeit offensteht, betrachtet.

Die Bekanntgabe von Personendaten, die bei der Einwohnerkontrolle oder im Kantonalen Bezugssystem eingetragen sind, wird in den entsprechenden Gesetzen geregelt.

Die öffentliche Bekanntgabe von Personendaten richtet sich ausserdem nach der Gesetzgebung über die Information und den Zugang zu Dokumenten.

Die Bearbeitung von Personendaten, einschliesslich besonders schützenswerter Daten, kann unter den in diesem Gesetz festgelegten Bedingungen ausgelagert werden.

Die Daten müssen jederzeit auf dem Gebiet der Schweiz oder auf dem Gebiet eines Staates, der ein angemessenes Schutzniveau gewährleistet, bearbeitet werden.

Wenn die Auslagerung eine Delegation von Aufgaben an Dritte im Sinne von Artikel 54 KV[1] zur Folge hat, gelten die besonderen Anforderungen gemäss dieser Bestimmung.

Einmal pro Legislaturperiode legt der Staatsrat im Rahmen seines Richtplans der Digitalisierung eine Bestandesaufnahme zur Auslagerung der Datenbearbeitung vor.

1. überträgt es dem Auftragsbearbeiter keine Bearbeitung, die es nicht selber ausführen darf;
2. sorgt es dafür, dass es die von einer Auslagerung betroffenen Daten rechtzeitig zurückbekommen kann, namentlich damit es den Auftragsbearbeiter wechseln, die Daten wieder bei sich bearbeiten oder sie dem Historischen Archiv abliefern kann;
3. macht es den Auftragsbearbeiter auf seine Geheimhaltungspflichten aufmerksam, insbesondere auf das Amtsgeheimnis und/oder das Berufsgeheimnis.

Bei der Kantonsverwaltung übernehmen das sachlich zuständige Organ und das Amt, das für die Informatik zuständig ist[2], gemeinsam die Verantwortung für die Umsetzung und die Kontrolle der Vorschriften über die Auslagerung. Fälle, in denen das sachlich zuständige Organ seine Informatiksysteme ganz oder teilweise autonom verwaltet, bleiben vorbehalten.

Wenn die Auslagerung mehrere verschiedene Organe desselben Gemeinwesens betrifft, wird ein hauptverantwortliches Organ bezeichnet. Im Übrigen gilt Absatz 2.

Die Integrität, die Authentizität, die Verfügbarkeit und die Vertraulichkeit der ausgelagerten Personendaten sowie die Dauerhaftigkeit ihrer Aufbewahrung und Nutzung müssen durch geeignete organisatorische und technische Massnahmen, die der Entwicklung der verfügbaren Technologien angepasst sind, sichergestellt werden.

Die Definition der Sicherheitsmassnahmen berücksichtigt das Risiko, welches das Bearbeiten der fraglichen Daten für die Grundrechte der betroffenen Personen mit sich bringt.

Wenn die Auslagerung Daten betrifft, die für den Betrieb der Verwaltung unentbehrlich sind, muss die Fortführung der ausgelagerten Tätigkeiten bei einem Zwischenfall mit einem angemessenen Dispositiv sichergestellt werden.

Die Bearbeitung von besonders schützenswerten Personendaten und die Bearbeitung von Daten, die einer gesetzlichen oder vertraglichen Geheimhaltungspflicht unterliegen, darf dann ausgelagert werden, wenn die Vertraulichkeit gegenüber dem Auftragsbearbeiter sichergestellt ist, so dass dieser auf deren Inhalt keinen Zugriff hat.

Wenn der Auftragsbearbeiter aus technischen Gründen unbedingt Zugriff auf die Daten haben muss, werden im Auslagerungsvertrag die nötigen besonderen Anforderungen festgelegt, insbesondere die Verpflichtung des Auftragsbearbeiters, nur mit ausdrücklicher Zustimmung des öffentlichen Organs, das die Daten auslagert, auf den Inhalt der Daten zuzugreifen, und die Pflicht, ein Zugriffsjournal zu führen.

Bei der Auslagerung von Daten, die einer gesetzlichen Geheimhaltungspflicht unterliegen, stellt der Verantwortliche sicher, dass der Auftragsbearbeiter den Status einer Hilfsperson des Geheimnisträgers hat.

Die Unterlagen des Pilotprojekts und der Evaluierungsbericht müssen jeweils mindestens einen Teil enthalten, der sich mit der Bearbeitung von Personendaten und deren Schutz befasst.

Die Aufsichtsbehörde kann zum Inhalt der Unterlagen des Pilotprojekts und des Evaluierungsberichts Stellung nehmen. Ihre Stellungnahme wird dem Staatsrat mitgeteilt.

Personendaten unterliegen der Gesetzgebung über die Archivierung; ihre Archivwürdigkeit wird in Zusammenarbeit mit den für das historische Archiv zuständigen Organen bestimmt.

Personendaten, deren Aufbewahrung keinem Zweck mehr dient und die nicht archivwürdig sind, werden so bald wie möglich mit geeigneten Mitteln, welche die gesicherte Beseitigung gewährleisten, gelöscht oder vernichtet.

Die Datenträger werden beim Recycling oder beim Ersetzen zerstört, wenn das Risiko besteht, dass unbefugte Personen besonders schützenswerte Personendaten, die gelöscht wurden, einsehen könnten.

Die Vorschriften über die Videoüberwachung befinden sich in der einschlägigen Gesetzgebung.

Die Artikel 5 Abs. 2 und 3, 7 und 14 Abs. 1 gelten nicht.

Privatpersonen, die von einem öffentlichen Organ Personendaten für die Bearbeitung zu nicht personenbezogenen Zwecken erhalten, verpflichten sich schriftlich, die nötigen Vorsichtsmassnahmen zu ergreifen, um die Persönlichkeit der betroffenen Personen zu schützen.

Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.

Lässt ein öffentliches Organ Daten durch einen Auftragsbearbeiter bearbeiten, so bleibt es verpflichtet, die Daten bekanntzugeben und die verlangten Auskünfte zu erteilen.

Niemand darf im Voraus auf das Auskunftsrecht verzichten.

Wer das Auskunftsrecht geltend macht, muss seine Identität nachweisen.

Die Auskünfte werden in der Regel schriftlich auf einem physischen Träger oder elektronisch erteilt. Im Einvernehmen mit dem Verantwortlichen kann die betroffene Person ihre Daten auch vor Ort einsehen.

Das Verfahren ist kostenlos. Der Staatsrat kann Ausnahmen vorsehen.

Die Bekanntgabe von Daten, die im historischen Archiv abgelegt sind, kann ebenfalls verweigert, eingeschränkt oder aufgeschoben werden, wenn die Behandlung des Gesuchs nicht mit einer rationellen Verwaltungsführung vereinbar ist und die betroffene Person kein schutzwürdiges Interesse geltend macht.

Der Verantwortliche muss angeben, aus welchem Grund er die Auskunft verweigert, einschränkt oder aufschiebt.

Ein Interesse an der Einsichtnahme besteht, wenn ein nahes Verwandtschaftsverhältnis, eine Ehe oder eine eheähnliche Gemeinschaft mit der verstorbenen Person vorliegt.

Für den Zugang zu Daten, die dem Berufsgeheimnis unterliegen, bleibt Artikel 321 StGB[6] vorbehalten.

Die betroffene Person kann gegen das Bekanntgeben bestimmter Personendaten durch den Verantwortlichen Einsprache einlegen.

In den Situationen nach Absatz 2 Bst. c wird die betroffene Person soweit möglich vorgängig angehört. Der Verantwortliche entscheidet über die Bekanntgabe mit einem Entscheid.

Die Artikel 11 und 27 Abs. 1 Bst. c und Abs. 2 des Gesetzes vom 9. September 2009 über die Information und den Zugang zu Dokumenten (InfoG)[7] bleiben vorbehalten.

Sofern die Voraussetzungen nach Absatz 1 erfüllt sind und kein unverhältnismässiger Aufwand nötig ist, kann die betroffene Person ausserdem vom Verantwortlichen verlangen, dass er die sie betreffenden Personendaten einem anderen Verantwortlichen übermittelt.

Der Verantwortliche händigt die Personendaten kostenlos aus oder übermittelt sie. Die Spezialgesetzgebung bleibt vorbehalten.

Personendaten in Archivbeständen oder in öffentlich zugänglichen Beständen dürfen weder berichtigt noch vernichtet werden. Die betroffene Person oder jede Person, die ein schutzwürdiges Interesse hat, kann jedoch verlangen, dass die Einrichtung den Zugang zu den umstrittenen Daten einschränkt und/oder einen entsprechenden Vermerk anbringt.

Für Entscheide, die nach diesem Abschnitt getroffen werden, gilt das Gesetz über die Verwaltungsrechtspflege[8]. Gegen diese Entscheide kann Beschwerde eingereicht werden.

Ausser wenn sich die betroffene Person dagegen wehrt, teilt das Organ, das den Entscheid gemäss Absatz 1 gefällt hat, ihn der Aufsichtsbehörde mit.

Die Aufsichtsbehörde kann gegen den Entscheid Beschwerde erheben.

Die Person, die einen Schaden erleidet, weil die Bestimmungen dieses Gesetzes verletzt wurden, kann Schadenersatz- und Genugtuungsansprüche gemäss dem Gesetz über die Haftung der Gemeinwesen und ihrer Amtsträger[9] geltend machen.

Sie kann von der Richterin oder vom Richter verlangen, dass sie oder er das Urteil vollständig oder teilweise veröffentlicht oder Dritten mitteilen lässt.

Jedes öffentliche Organ, das Personendaten bearbeitet, ist für den Datenschutz verantwortlich.

Bearbeiten mehrere öffentliche Organe zusammen Daten, so ist die Verteilung ihrer Pflichten beim Datenschutz in der Meldung nach Artikel 38 zu regeln, es sei denn, dass sie ausdrücklich aus einer gesetzlichen Bestimmung hervorgeht.

Die Aufteilung der Verantwortung nach Absatz 2 kann der betroffenen Person nicht entgegengehalten werden.

Das öffentliche Organ, das Personendaten von einem Auftragsbearbeiter bearbeiten lässt, bleibt für die Verpflichtungen nach der Gesetzgebung über den Datenschutz verantwortlich.

Der Verantwortliche muss insbesondere sicherstellen, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.

Der Auftragsbearbeiter kann die gleichen Rechtfertigungsgründe geltend machen wie der Verantwortliche.

Sofern das Gesetz oder eine Vereinbarung zwischen Organen nichts anderes vorsieht, gelten die Vorschriften über die Auftragsbearbeitung nicht zwischen Organen, die derselben Körperschaft angehören. Artikel 36 Abs. 2 ist anwendbar.

Die Aufsichtsbehörde führt ein öffentliches Register der Bearbeitungstätigkeiten, die von den diesem Gesetz unterstellten Organen ausgeführt werden.

Alle Verantwortlichen melden der Aufsichtsbehörde die von ihnen durchgeführten Bearbeitungstätigkeiten und ihre jeweiligen Änderungen.

Bei der gemeinsamen Bearbeitung von Daten richtet der Verantwortliche, der die Erklärung für die Bearbeitung ausfüllt, eine Kopie an die übrigen Verantwortlichen.

Auf Stellungnahme der Aufsichtsbehörde kann der Staatsrat für andere Kategorien der Bearbeitung, die offensichtlich kein Risiko für die Rechte der betroffenen Personen darstellen, Ausnahmen von der Meldepflicht vorsehen.

Der Verantwortliche ist verpflichtet, geeignete technische und organisatorische Massnahmen zu treffen, damit bei der Bearbeitung dieses Gesetz und insbesondere die Grundsätze nach Abschnitt 2.1 beachtet werden. Er tut dies bereits bei der Konzeption der Bearbeitung.

Die getroffenen Massnahmen werden mit denjenigen, mit denen die Informationssicherheit der Verwaltung im Allgemeinen sichergestellt werden soll, und mit den Massnahmen zur Informatiksicherheit harmonisiert.

Der Verantwortliche muss durch geeignete Voreinstellungen sicherstellen, dass die Bearbeitung auf das für den verfolgten Zweck erforderliche Mindestmass beschränkt wird.

Die ergriffenen Massnahmen und die Wahl der Einstellungen werden dokumentiert.

Führt eine neue Bearbeitung von Daten voraussichtlich zu einem erhöhten Risiko für die Grundrechte der betroffenen Person, so muss der Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung durchführen.

Die Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken aus technischer und rechtlicher Sicht sowie eine Beschreibung der Massnahmen, die zum Schutz der Grundrechte der betroffenen Personen vorgesehen sind.

Der Verantwortliche hört die Aufsichtsbehörde an, wenn das Ergebnis der Folgenabschätzung bestätigt, dass ein erhöhtes Risiko für die Grundrechte der betroffenen Personen besteht, bei denen besondere Vorsichtsmassnahmen getroffen werden müssen.

Die Aufsichtsbehörde teilt innerhalb von zwei Monaten Einwände und Empfehlungen zur geplanten Bearbeitung mit. Ausnahmsweise kann diese Frist um einen Monat verlängert werden, wenn es sich um eine komplexe Bearbeitung von Daten handelt.

Der Verantwortliche informiert die Aufsichtsbehörde spätestens darüber, welche Folge seinen Empfehlungen gegeben wird, wenn die Bearbeitung, für welche die Folgenabschätzung gemacht wurde, beginnt.

Wenn der Verantwortliche eine Verletzung der Sicherheit der Personendaten feststellt, ergreift er unverzüglich geeignete Massnahmen, um die Verletzung zu beenden und ihre Auswirkungen zu minimieren.

Er hält in einem internen Dokument die Art der Verletzung, die Art der betroffenen Daten und die betroffenen Personenkategorien, die wahrscheinlichen Folgen für letztere und die Massnahmen fest, die ergriffen wurden, um die Situation zu verbessern.

Der Verantwortliche meldet der oder dem Beauftragten so schnell wie möglich Fälle von Verletzungen der Sicherheit von Personendaten, die voraussichtlich ein hohes Risiko für die Grundrechte der betroffenen Person mit sich bringen.

Der Verantwortliche sorgt dafür, dass der Auftragsbearbeiter ihm unverzüglich jede Verletzung der Sicherheit der Personendaten meldet, die bei ihm aufgetreten ist.

Wenn dies aus Gründen der Transparenz erforderlich ist und/oder um der betroffenen Person die Möglichkeit zu geben, geeignete Massnahmen zur Wahrung ihrer Interessen zu ergreifen, informiert der Verantwortliche die betroffene Person über das Auftreten einer Verletzung der Datensicherheit.

Wenn eine grosse Anzahl Personen von einer Verletzung der Datensicherheit betroffen ist, kann die Information in Form einer öffentlichen Mitteilung erfolgen. Der Verantwortliche sorgt in diesem Fall dafür, dass die Informationen so umfassend wie möglich sind.

Eine Verletzung der Datensicherheit kann auch auf Ersuchen der oder des Beauftragten gemeldet werden, wenn sie oder er der Meinung ist, dass die Voraussetzungen für eine solche Meldung erfüllt sind.

Jede Direktion bezeichnet mindestens eine Ansprechperson für den Datenschutz. Diese Funktion kann mit anderen Funktionen, insbesondere im Bereich der Informationssicherheit, kombiniert werden.

Die Ansprechperson für Datenschutz übt ihre Aufgaben selbstständig aus. Die Verantwortlichen geben ihr von Amtes wegen oder auf Verlangen alle Informationen, die sie für die Erfüllung ihrer Aufgaben braucht.

Die Ansprechpersonen für den Datenschutz bilden untereinander ein Kompetenznetzwerk. Der Staatsrat regelt die Organisation und die Arbeitsweise des Netzwerks.

Der Staatsrat kann die Pflicht zur Bezeichnung einer Ansprechperson für den Datenschutz über die Direktionen hinaus auch auf andere Einheiten der Kantonsverwaltung ausdehnen.

Die Aufsicht über den Datenschutz wird auf Kantonsebene und auf Gemeindeebene von der Kantonalen Behörde für Öffentlichkeit, Datenschutz und Mediation (Aufsichtsbehörde) ausgeübt.

Die Aufsichtsbehörde setzt sich aus der Kantonalen Öffentlichkeits-, Datenschutz- und Mediationskommission (der Kommission), der oder dem Öffentlichkeits- und Datenschutzbeauftragten (der oder dem Beauftragten) und der kantonalen Mediatorin oder dem kantonalen Mediator zusammen.

Sie erfüllt die Aufgaben, die ihr aufgrund dieses Gesetzes übertragen werden, durch die Kommission und die Beauftragte oder den Beauftragten.

Die Aufgaben, die sie in den Bereichen des Rechts auf Zugang zu amtlichen Dokumenten und der Mediation für Verwaltungsangelegenheiten wahrnimmt, werden in den einschlägigen Gesetzgebungen geregelt.

Die kantonale Aufsichtsbehörde erfüllt ihre Aufgaben unabhängig.

Sie ist der Direktion, der sie angehört, administrativ zugewiesen. Sie verfügt über ein eigenes Sekretariat und die notwendigen Ressourcen, um ihre Aufgaben und die Ausübung ihrer Befugnisse effektiv wahrzunehmen.

Die Behörde verfügt über ein Globalbudget, dessen Betrag alljährlich bei der Verabschiedung des Staatsvoranschlags festgelegt wird. Zuvor richtet sie ihren eigenen Voranschlagsantrag an den Staatsrat. Dieser Antrag wird gemäss Artikel 61 Abs. 1 Bst. a des Gesetzes vom 16. Oktober 2001 über die Organisation des Staatsrates und der Verwaltung[10] behandelt.

Die Mitglieder der Behörde unterstehen ebenso wie deren Mitarbeiterinnen und Mitarbeiter dem Amtsgeheimnis und der Schweigepflicht.

Bei ihrem Amtsantritt und bei jeder späteren Änderung der Situation teilen die Mitglieder der Behörde ihre besonderen privaten und öffentlichen Interessenbindungen mit. Artikel 14 Abs. 1 Bst. b und 2 und 3 InfoG[11] gelten sinngemäss.

Für den Ausstand von Mitgliedern der Behörde gelten die Artikel 21–25 des Gesetzes über die Verwaltungsrechtspflege[12].

Die kantonale Öffentlichkeits-, Datenschutz- und Mediationskommission setzt sich aus der Präsidentin oder dem Präsidenten und sechs Mitgliedern zusammen, die vom Grossen Rat auf Vorschlag des Staatsrats gewählt werden.

Die Präsidentin oder der Präsident und die Mitglieder müssen in ihrer Gesamtheit über die Kenntnisse verfügen, die zur Erfüllung der Aufgaben der Kommission erforderlich sind; dieser gehören insbesondere eine Juristin oder ein Jurist, eine Fachperson aus dem Gesundheitswesen, eine Informatik- und Datensicherheitsspezialistin oder ein Informatik- und Datensicherheitsspezialist und eine Fachperson aus dem Medienbereich an.

Das Sekretariat der Kommission wird von der oder dem Beauftragten geführt; für die Dossiers in Zusammenhang mit den Mediationstätigkeiten kann das Sekretariat von der kantonalen Mediatorin oder dem kantonalen Mediator geführt werden.

Wenn nötig kann die Kommission Sachverständige beiziehen oder Drittpersonen zu einer Sitzung oder einem Teil einer Sitzung einladen und ihnen gegebenenfalls beratende Stimme geben.

Im Übrigen regelt die Kommission ihre Organisation und ihre Arbeitsweise.

Die Kommission erstattet dem Staatsrat zuhanden des Grossen Rates alljährlich einen Bericht über ihre Tätigkeit und über die Tätigkeit der oder des Beauftragten und der kantonalen Mediatorin oder des kantonalen Mediators. Sie kann, sofern dies durch das öffentliche Interesse gerechtfertigt ist, die Öffentlichkeit über ihre Feststellungen informieren.

Die oder der Öffentlichkeits- und Datenschutzbeauftragte wird vom Staatsrat für eine individuelle Amtszeit von fünf Jahren ernannt. Diese Anstellung kann erneuert werden.

Während der gesamten Dauer ihrer oder seiner Anstellung darf die oder der Beauftragte keine Tätigkeit ausüben, welche die Unabhängigkeit des Amtes beeinträchtigen könnte oder die auf andere Weise mit den Aufgaben der Aufsichtsbehörde unvereinbar wäre. Die Ausübung eines öffentlichen Nebenamtes oder einer nebenberuflichen Erwerbstätigkeit bedarf der Genehmigung durch die Kommission.

Zum Zeitpunkt der Anstellung und während der gesamten Dauer des Dienstverhältnisses muss die oder der Beauftragte über die für die Ausübung ihrer oder seiner Aufgaben erforderlichen Qualifikationen und/oder Erfahrungen verfügen.

Soweit in diesem Gesetz oder in der dazugehörigen Ausführungsverordnung nichts anderes bestimmt wird, wird das Dienstverhältnis der oder des Beauftragten in der Gesetzgebung über das Staatspersonal geregelt. Die jährliche Beurteilung im Sinne dieser Gesetzgebung wird von der Kommission durchgeführt.

Die Amtszeit der oder des Beauftragten wird stillschweigend verlängert. Der Staatsrat kann jedoch spätestens sechs Monate vor Ablauf der Amtszeit einen Entscheid über die Nichterneuerung treffen. Er bittet zu diesem Zweck um die Stellungnahme der Kommission. Diesem Entscheid müssen triftige Gründe zugrunde liegen.

Die oder der Beauftragte kann den Staatsrat unter Einhaltung einer dreimonatigen Kündigungsfrist ersuchen, die Amtszeit auf das Ende eines Monats zu beenden.

Der Entscheid, die Beauftragte oder den Beauftragten gemäss Absatz 3 Bst. b des Amtes zu entheben, liegt in der Kompetenz des Staatsrats. Dieser Entscheid kann auf Veranlassung des Staatsrats oder der Kommission getroffen werden. In jedem Fall holt der Staatsrat die Stellungnahme der Kommission ein.

Ist die oder der Beauftragte dauerhaft verhindert, so ernennt der Staatsrat eine Person ad interim. Das Bezeichnungsverfahren wird gemeinsam von der Kommission und der Direktion, der die Behörde zugewiesen ist, durchgeführt.

Bei punktueller Verhinderung wird er oder sie von einer Person, die von der Kommission dazu bestimmt wird, vertreten.

Die Aufsichtsbehörde stellt durch geeignete Kontrollmassnahmen, insbesondere in Bezug auf die Datensicherheit, sicher, dass die Beachtung und die richtige Anwendung der kantonalen Datenschutzbestimmungen innerhalb ihrer Behörde gewährleistet ist.

Die oder der Beauftragte ist befugt, von Amtes wegen oder auf Klage hin eine Kontrolle bei einem Verantwortlichen oder einem Auftragsbearbeiter durchzuführen, um zu prüfen, ob er die Datenschutzbestimmungen einhält.

Sie oder er kann namentlich Auskünfte einholen, die Herausgabe von Akten verlangen, Inspektionen durchführen und sich Datenbearbeitungen vorführen lassen.

Gegenüber der kantonalen Aufsichtsbehörde können weder das Amtsgeheimnis noch weitere Geheimhaltungspflichten geltend gemacht werden. Das Berufsgeheimnis bleibt vorbehalten.

Wenn die oder der Beauftragte aufgrund einer Klage der betroffenen Person eine Kontrolle durchführt, informiert sie oder er diese Person über die Folge, die ihrer Klage gegeben wurde, und das Ergebnis einer allfälligen Untersuchung. Die betroffene Person hat keine Parteistellung im Verfahren.

Bei einer Verletzung oder einer möglichen Verletzung der Datenschutzvorschriften kann die oder der Beauftragte eine Empfehlung an das betroffene öffentliche Organ richten und es auffordern, innert einer bestimmten Frist die nötigen Abhilfemassnahmen zu treffen.

Handelt es sich um eine unterstellte Verwaltungseinheit, so ergeht die Empfehlung direkt an das hierarchisch übergeordnete Organ.

Das Organ, an das die Empfehlung gerichtet wird, gibt innert der von der oder dem Beauftragen gesetzten Frist eine Stellungnahme zur Folge ab, die es der Empfehlung leisten will, und teilt die Stellungnahme der oder dem Beauftragten mit. Eine fehlende Stellungnahme wird als Ablehnung der Empfehlung betrachtet.

Wird die Empfehlung ganz oder teilweise abgelehnt, so kann die oder der Beauftragte den Fall zum Entscheid an die Kommission weiterleiten.

Wenn das öffentliche Organ im Laufe des Verfahrens die notwendigen Massnahmen zur Wiederherstellung eines datenschutzkonformen Zustandes getroffen hat, stellt die oder der Beauftragte das Verfahren ein und verzichtet auf eine Empfehlung.

Die Kommission fällt in den Angelegenheiten, welche die oder der Beauftragte ihr gemäss Artikel 57 Abs. 4 übermittelt, einen Entscheid.

Wenn ein Organ, das diesem Gesetz unterstellt ist, die Bestimmungen über den Datenschutz nicht beachtet, kann die Kommission verfügen, dass die ganze Bearbeitung oder ein Teil davon ausgesetzt, geändert oder eingestellt wird und dass alle Personendaten oder ein Teil davon gelöscht oder vernichtet werden.

Im Falle einer unmittelbar drohenden ernsthaften Bedrohung oder einer Datenschutzverletzung, welche die Rechte einer oder mehrerer betroffener Personen ernsthaft beeinträchtigen könnte, kann die Kommission von Amtes wegen oder auf Verlangen der oder des Beauftragten dringende vorsorgliche Massnahmen verfügen, um die strittige Datenbearbeitung einzuschränken oder auszusetzen, bis sie in der Sache entschieden hat.

Die oder der Beauftragte wirkt mit beratender Stimme am Verfahren vor der Kommission mit. Sie oder er kann mit der Instruktion der Angelegenheit beauftragt werden.

Wenn das betroffene öffentliche Organ im Laufe des Verfahrens die nötigen Massnahmen zur Wiederherstellung eines datenschutzkonformen Zustands ergriffen hat, kann die Kommission das Verfahren einstellen oder lediglich eine Verwarnung aussprechen

Das Verfahren wird im Gesetz über die Verwaltungsrechtspflege[13] geregelt. Das betroffene Organ hat insbesondere das Recht, angehört zu werden; Artikel 58 Abs. 3 bleibt vorbehalten.

Das öffentliche Organ, gegen das sich ein Entscheid der Kommission richtet, kann gegen diesen Entscheid Beschwerde einlegen.

Bei der Ausübung ihrer Funktionen kann die Aufsichtsbehörde mit den kantonalen, eidgenössischen und ausländischen Behörden, die mit dem Datenschutz beauftragt sind, zusammenarbeiten.

Bevor die Behörde Informationen, die Berufs-, Fabrikations- oder Geschäftsgeheimnisse enthalten können, an eine andere Behörde, die mit dem Datenschutz beauftragt ist, weiterleitet, informiert sie die Inhaberinnen und Inhaber dieser Geheimnisse und fordert sie auf, Stellung zu nehmen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismässigen Aufwand verbunden.

Für die Bearbeitungen, die bereits am Laufen sind, wenn dieses Gesetz in Kraft tritt, verfügen die Verantwortlichen über eine Frist von zwei Jahren, um die neu vorgeschriebenen Anforderungen zu erfüllen. Die Artikel 43 und 44 sind direkt anwendbar.

Sofern die Zweckbindung des Bearbeitens unverändert bleibt und keine neuen Daten beschafft werden, welche die Durchführung einer Folgenabschätzung rechtfertigen, gelten die Artikel 41 und 42 nicht für Bearbeitungen, die vor dem Inkrafttreten dieses Gesetzes begonnen wurden.

Die Bearbeitungen, die abgeschlossen sind, wenn dieses Gesetz in Kraft tritt, werden im alten Recht geregelt, ausser was die Rechte der betroffenen Person angeht (3. Abschnitt).

Die Artikel 12, 13, 40, 41 und 42 gelten für Bearbeitungstätigkeiten, die durch die Richtlinie (EU) 2016/680[14] ab dem Inkrafttreten dieses Gesetzes geregelt sind.

Die Direktionen verfügen über eine Frist von zwei Jahren ab Inkrafttreten dieses Gesetzes, um die Gesetzgebung, für die sie zuständig sind, an die Anforderungen von Artikel 5 anzupassen.

Bei Inkrafttreten des Gesetzes passt die Anstellungsbehörde den Arbeitsvertrag der Stelleninhaberin oder des Stelleninhabers im Einklang mit der Personalgesetzgebung an die Anforderungen des neuen Gesetzes an.

Wird der Vorschlag zur Umwandlung des Arbeitsvertrags abgelehnt, so wird die Situation gemäss den Bestimmungen über die Abschaffung von Stellen im Sinne der Personalgesetzgebung geregelt.