177.110
Gestützt auf Art. 45 Abs. 1 der Kantonsverfassung[1]
Die Verwaltungsbehörde, welche die Bearbeitung von Daten oder die Verwaltung von Informatiklösungen auslagert, bleibt verantwortlich für die Einhaltung der Anforderungen an den Datenschutz und die Datensicherheit.
Wenn die Auslagerung mehrere Behörden betrifft, ist eine hauptverantwortliche Behörde zu bestimmen.
Mittels Vereinbarung, Auflage oder auf andere geeignete Weise sind mindestens folgende Punkte zu regeln:
Als Basisdienste gelten:
Bestehende Dienstleistungen über das Internet können in ihrer bisherigen Form weiterbetrieben werden. Sie sind zusätzlich über das E-Government-Portal anzubieten, soweit dies sinnvoll und technisch machbar ist.
Die Stabstelle Digitale Verwaltung ist die für den administrativen Betrieb des E-Government-Portals und die damit verbundenen Basisdienste zuständige Verwaltungseinheit.
Das Amt für Informatik ist die für die Informatik zuständige Verwaltungseinheit.
Die Eröffnung eines E-Kontos erfolgt über ein elektronisches Formular.
Zur Eröffnung des E-Kontos müssen mindestens die Kontodaten gemäss Artikel 17 Absatz 1 Litera a bis Litera e des Gesetzes über die digitale Verwaltung[2] angegeben werden.
Jede Benutzerin und jeder Benutzer kann nur über ein E-Konto verfügen.
Bei der Eröffnung der Kontos findet zur Doublettenprüfung ein Abgleich der eingegebenen Daten mit den bestehenden Konten statt.
Wird beim Abgleich ein bestehendes E-Konto gefunden, kann dieses weitergenutzt oder reaktiviert werden. Dies gilt nicht, wenn das Konto nach Artikel 16 Absatz 2 Litera a des Gesetzes über die digitale Verwaltung[3] durch die zuständige Behörde gesperrt wurde.
Die Benutzerinnen und Benutzer sind über ihre Rechte und Pflichten bei der Eröffnung des E-Kontos und bei jeder Änderung der Rechte und Pflichten rechtzeitig in geeigneter Weise zu informieren.
Die Benutzerinnen und Benutzer haben den Rechten und Pflichten bei der Eröffnung des E-Kontos und bei jeder Änderung der Rechte und Pflichten zuzustimmen. Die Nutzung des E-Kontos kann eingeschränkt werden, solange den geänderten Bestimmungen nicht zugestimmt wird.
Die Zustimmung ist durch die für die Informatik zuständige Verwaltungseinheit in geeigneter Weise aufzuzeichnen.
Der Umfang der Vertretungsbefugnis ist klar zu definieren, insbesondere hinsichtlich der betroffenen Dienstleistungen.
Das Vertretungsverhältnis kann jederzeit beidseitig widerrufen werden.
Für den Bezug von Dienstleistungen durch juristische Personen, sind diese einmalig im System zu erfassen und es sind die berechtigten Benutzerinnen und Benutzer zu benennen.
Im Zuge der Erfassung wird mindestens eine Benutzerin oder ein Benutzer als Unternehmensvertretung benannt.
Die Fachbehörde kann zusätzliche Nachweise der Vertretungsbefugnis einfordern. Diese Vorgaben sind den Benutzerinnen und Benutzern durch die Fachbehörde in geeigneter Weise bekannt zu geben.
Juristische Personen mit einer Unternehmens-Identifikationsnummer (UID-Nummer) gemäss dem Bundesgesetz über die Unternehmens-Identifikationsnummer[4] (UID-Einheiten) beantragen die Erfassung über das E-Konto einer Benutzerin oder eines Benutzers unter Angabe von Firmenname und UID-Nummer.
Nach der Antragsstellung wird ein Aktivierungscode zuhanden der Geschäftsleitung an die im UID-Register des Bundes hinterlegte Sitzadresse der UID-Einheit gesendet.
Durch Eingabe des Aktivierungscodes über das E-Konto der dafür benannten Benutzerin oder des dafür benannten Benutzers wird die UID-Einheit aktiviert und die entsprechende Person zur Unternehmensvertretung berechtigt.
Bei juristischen Personen ohne UID-Nummer erfolgt die Zusendung des Aktivierungscodes an die durch die Benutzerin oder den Benutzer eingegebene Adresse. Dienstleistungen gewisser Vertrauensstufen können von der Nutzung durch juristische Personen ohne UID-Nummer ausgenommen werden.
Die Unternehmensvertretung kann weitere Benutzerinnen und Benutzer zum Bezug von Dienstleistungen berechtigen.
Die Unternehmensvertretung ist für die Nachführung der berechtigten Benutzerinnen und Benutzer verantwortlich. Sie wird vom System regelmässig zur Überprüfung der erteilten Berechtigungen aufgefordert.
Das E-Konto der zum Bezug von Dienstleistungen berechtigten Benutzerinnen und Benutzer hat die für die Dienstleistung erforderliche Vertrauensstufe aufzuweisen.
Die Benutzerin oder der Benutzer kann die Deaktivierung des eigenen E-Kontos ohne Angabe von Gründen jederzeit in ihrem oder seinem E-Konto veranlassen.
Eine Behörde kann eine Deaktivierung oder Einschränkung veranlassen, sofern die Voraussetzungen von Artikel 16 Absatz 2 des Gesetzes über die digitale Verwaltung[5] erfüllt sind.
Ein Missbrauch des E-Kontos durch das Konto einer Benutzerin oder eines Benutzers liegt insbesondere vor, wenn sie oder er gegen die Rechte und Pflichten verstösst oder Anzeichen auf eine Kompromittierung des E-Kontos durch Dritte bestehen.
Die Deaktivierung oder Einschränkung ist der Benutzerin oder dem Benutzer auf die im System hinterlegte E-Mail-Adresse mitzuteilen.
Die Benutzerin oder der Benutzer kann die Reaktivierung des Kontos oder die Aufhebung der Einschränkung bei der Behörde beantragen. Die Behörde kann das Gesuch ablehnen, wenn eine Person mehrfach oder in schwerer Weise gegen die Rechte und Pflichten verstossen hat oder die Gefahr der Kompromittierung noch nicht behoben ist.
Die betroffene Person kann bei der zuständigen Verwaltungseinheit gemäss Artikel 5 den Erlass eines schriftlichen Entscheids über die Verweigerung verlangen.
Mit der Deaktivierung oder Einschränkung besteht kein Zugriff mehr auf die im Portal gespeicherten und die mit dem E-Konto verknüpften Daten. Die Benutzerin oder der Benutzer ist selber für die vorgängige Sicherung der eigenen Daten verantwortlich.
Befindet sich die Benutzerin oder der Benutzer zum Zeitpunkt der Deaktivierung oder Einschränkung in einem hängigen Verfahren, welches gemäss den Bestimmungen des Gesetzes über die Verwaltungsrechtspflege[6] über das E-Government-Portal als Übermittlungssystem geführt wird, so haben die weiteren Verfahrenshandlungen in Papierform zu erfolgen.
Um sich für eine Dienstleistung in einer Fachanwendung zu authentisieren, muss die Benutzerin oder der Benutzer:
Für den Zugriff auf die Fachanwendung sind entsprechend dem Schutzbedarf der bearbeiteten Daten verschiedene Vertrauensstufen vorgesehen:
Eine höhere Vertrauensstufe kann erlangt werden, indem die Benutzerin oder der Benutzer:
Die Anforderungen zur Erlangung einer Vertrauensstufe richten sich nach dem Qualitätsmodell zur Authentifizierung von Subjekten (Standard eCH-0170).
Das amtliche Identifizierungsverfahren wird durchgeführt durch:
Die zuständige Verwaltungseinheit definiert die Identifizierungsprozesse und Identifizierungsstellen und hat die Vorgaben für jede Vertrauensstufe zu publizieren.
Der Nachweis über das Durchlaufen des Identifizierungsprozesses kann im E-Konto gespeichert werden.
Die Verknüpfung eines E-Kontos mit einer Fachanwendung wird hergestellt, sofern die Kontodaten mit den entsprechenden Daten in der Fachapplikation übereinstimmen. Je nach Vertrauensstufe kann die Eingabe weiterer Daten verlangt werden, welche der Benutzerin oder dem Benutzer bekannt sind.
Sofern Kontodaten nicht in einer Fachanwendung gespeichert sind, können diese mit der Einwilligung der Benutzerin oder des Benutzers der Fachanwendung zur Verfügung gestellt werden.
Die Personendaten aus den Fachanwendungen werden während der Verknüpfung im E-Konto zwischengespeichert.
Bei erfolgreicher Verknüpfung wird die Benutzeridentifizierungsnummer aus der Fachanwendung dauerhaft im E-Konto gespeichert.
Als anerkannte, elektronische Identifizierungseinheiten gelten:
Die Daten aus der anerkannten elektronischen Identifizierungseinheit werden mit dem Einverständnis der Benutzerin oder des Benutzers im E-Konto gespeichert.
Die für die Informatik zuständige Verwaltungseinheit definiert unter Beachtung bundesrechtlicher Vorgaben, welche Vertrauensstufen die elektronischen Identifizierungseinheiten erfüllen.
Die Speicherung umfasst die zugreifende Benutzerin oder den zugreifenden Benutzer, den Zeitpunkt des Zugriffs sowie die Art der vorgenommenen Handlungen.
Die Protokolle können von einem beschränkten Personenkreis eingesehen und kontrolliert werden.
Die gespeicherten Daten werden nach zwölf Monaten gelöscht. Vorbehalten bleiben abweichende Aufbewahrungsfristen der anwendbaren Spezialgesetzgebung.
Die zuständige Verwaltungseinheit kann Dritte mit Datenbearbeitungen im Zusammenhang mit dem E-Konto, namentlich der Durchführung des Identifizierungsprozesses und der Sicherstellung der Benutzerunterstützung, beauftragen.
Bestehende Vereinbarungen, Auflagen oder auf andere geeignete Weise getroffene Abreden zur Auslagerung bleiben bis zu ihrem Ablauf gültig. Sie müssen bei einer allfälligen Erneuerung den Bestimmungen dieser Verordnung angepasst werden.
| Beschluss | Inkrafttreten | Element | Änderung | AGS Fundstelle |
|---|---|---|---|---|
| 05.03.2024 | 01.04.2024 | Erlass | Erstfassung | 2024-007 |
| 16.09.2025 | 01.01.2026 | Art. 2 Abs. 1, f) | geändert | 2025-050 |
| 16.09.2025 | 01.01.2026 | Art. 2 Abs. 1, h) | geändert | 2025-050 |
| 16.09.2025 | 01.01.2026 | Art. 2 Abs. 1, i) | eingefügt | 2025-050 |
| Element | Beschluss | Inkrafttreten | Änderung | AGS Fundstelle |
|---|---|---|---|---|
| Erlass | 05.03.2024 | 01.04.2024 | Erstfassung | 2024-007 |
| Art. 2 Abs. 1, f) | 16.09.2025 | 01.01.2026 | geändert | 2025-050 |
| Art. 2 Abs. 1, h) | 16.09.2025 | 01.01.2026 | geändert | 2025-050 |
| Art. 2 Abs. 1, i) | 16.09.2025 | 01.01.2026 | eingefügt | 2025-050 |