Lexipedia

142.1

Datenschutzgesetz

(DSG)

vom 20.01.2009 (Stand 25.06.2019)

Präambel

Der Kantonsrat des Kantons St.Gallen

hat von der Botschaft der Regierung vom 20. Mai 2008[1] Kenntnis genommen und

erlässt

in Ausführung von Art. 2 Bst. g der Kantonsverfassung vom 10. Juni 2001[2]

als Gesetz:[3]

I. Allgemeine Bestimmungen

Art. 1 Begriffe

In diesem Erlass bedeuten:

  1. Personendaten: Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;
  2. besonders schützenswerte Personendaten: Angaben über:
  1. religiöse, weltanschauliche sowie politische Ansichten und Tätigkeiten. Ausgenommen sind Angaben über die Mitgliedschaft bei einer Religionsgemeinschaft, einer Organisation oder einer politischen Partei, wenn die betroffene Person diese selbst bekannt gegeben hat oder für ein öffentliches Amt kandidiert;
  2.* Gesundheit, Intimsphäre und ethnische Zugehörigkeit;
  2bis.* genetische Daten[4];
  2ter.* biometrische Daten, die eine natürliche Person eindeutig identifizieren;
  3. Leistungen und Massnahmen der sozialen Hilfe;
  4. strafrechtliche sowie disziplinarische Verfahren und Sanktionen;
  1. betroffene Person: natürliche Person, über die Personendaten bearbeitet werden;
  2. Persönlichkeitsprofil: Zusammenstellung von Personendaten, welche die Beurteilung der Persönlichkeit einer natürlichen Person erlaubt;
  3. Profiling: jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
  4. Bearbeitung: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere die Beschaffung, Aufbewahrung, Verwendung, Umarbeitung, Bekanntgabe, Archivierung, Löschung oder Vernichtung von Personendaten sowie die Durchführung logischer oder rechnerischer Operationen mit diesen Personendaten;
  5. Verletzung der Datensicherheit: jede Verletzung der Sicherheit, die ungeachtet der Absicht oder der Widerrechtlichkeit dazu führt, dass Personendaten verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden;
  6. Bekanntgabe von Personendaten: Zugänglichmachen von Personendaten sowie Gewährung von Einsicht, Weitergabe und Veröffentlichung;
  7. Datensammlung: Bestand von Personendaten, der nach Personen erschlossen oder erschliessbar ist;
  8. öffentliches Organ: Organ, Behörde oder Dienststelle von:
  1. Kanton;
  2. selbständiger öffentlich-rechtlicher Anstalt des Kantons;
  3. Gemeinde
  4. selbständigem öffentlich-rechtlichem Gemeindeunternehmen;
  5. Gemeindeverband und Zweckverband;
  1. Empfängerin oder Empfänger: natürliche oder juristische Person, die vom öffentlichen Organ Personendaten erhält;
  2. Fachstelle für Datenschutz: von Kanton und Gemeinde eingesetztes Organ für Aufsicht und Beratung im Datenschutz;
  3. Rechtsgrundlage: Erlass mit allgemein verbindlichen Bestimmungen, insbesondere Gesetz und Verordnung. Der Verordnung sind vom fakultativen Referendum ausgenommene Vollzugsvorschriften von Gemeinden gleichgestellt;
  4. Gesetz: Erlass, der nach Art. 67 der Kantonsverfassung vom 10. Juni 2001[5] von den Stimmberechtigten ausdrücklich oder stillschweigend angenommen wurde, sowie zwischenstaatliche Vereinbarungen, denen nach Massgabe ihres Inhalts Verfassungs- oder Gesetzesrang zukommt. Dem Gesetz sind die Gemeindeordnung sowie das rechtsetzende Reglement und die rechtsetzende Vereinbarung gleichgestellt.

Art. 2* Geltungsbereich a) Grundsatz

Dieser Erlass regelt die Bearbeitung von Personendaten durch öffentliche Organe.

Dem öffentlichen Organ sind Private gleichgestellt, wenn sie Staatsaufgaben erfüllen.*

Er wird nicht angewendet:

  1. wenn das öffentliche Organ am wirtschaftlichen Wettbewerb teilnimmt und dabei nicht hoheitlich handelt;
  2. auf Personendaten, die von einer im Dienst- oder Auftragsverhältnis mit dem öffentlichen Organ stehenden natürlichen Person zum ausschliesslich persönlichen Gebrauch bearbeitet werden und anderen Personen weder ausgehändigt werden noch ihnen zugänglich sind;
  4. auf Personendaten, die das zuständige Archiv von Kanton und Gemeinde dauerhaft aufbewahrt.

In hängigen Verfahren der Zivil-, der Straf- und der gerichtlichen Verwaltungsrechtspflege sowie in hängigen Rechtshilfeverfahren richten sich die Rechte und Ansprüche nach dem jeweiligen Verfahrensrecht.*

Art. 2a* b) kantonale Statistik

Es werden im Rahmen der kantonalen Statistik nicht angewendet:

  1. Art. 4 Abs. 1 dieses Erlasses bei Verwendung von Daten für statistische Zwecke;
  2. Art. 4 Abs. 2 dieses Erlasses auf die Indirekterhebung von statistischen Daten nach dem Statistikgesetz.

II. Bearbeitung von Personendaten

Art. 3 Verantwortlichkeit

Wer Personendaten bearbeitet oder bearbeiten lässt, ist für die Einhaltung des Datenschutzes verantwortlich.

Bearbeiten mehrere öffentliche Organe Personendaten einer Datensammlung, bezeichnen sie das für die Einhaltung des Datenschutzes verantwortliche Organ. Bei Uneinigkeit entscheidet die kantonale Fachstelle für Datenschutz.

Das öffentliche Organ ist für die Einhaltung der Datenschutzbestimmungen beweispflichtig.*

Art. 4 Grundsätze

Das öffentliche Organ bearbeitet Personendaten nach Massgabe des Zwecks, der in der Rechtsgrundlage festgelegt ist, bei der Beschaffung angegeben wurde oder aus den Umständen ersichtlich ist.

Es stellt sicher, dass die Beschaffung der Personendaten und der Zweck ihrer Bearbeitung für die betroffene Person erkennbar und die Personendaten richtig und, nach Massgabe der Verwendung, vollständig sind.

Es trifft organisatorische und technische Massnahmen zur Sicherung der Daten vor Verlust und Entwendung sowie unbefugter Kenntnisnahme und unbefugtem Bearbeiten.

Art. 5 Voraussetzungen

Die Bearbeitung von Personendaten ist zulässig, wenn eine Rechtsgrundlage besteht oder die Bearbeitung zur Erfüllung einer gesetzlichen Aufgabe erforderlich ist.

Die Bearbeitung von besonders schützenswerten Personendaten, Persönlichkeitsprofilen sowie Profiling ist zulässig, wenn:*

  1. das Gesetz die Bearbeitung vorsieht oder
  2. die Bearbeitung zur Erfüllung einer gesetzlichen Aufgabe unentbehrlich ist oder
  3. die betroffene Person:
  1. im Einzelfall ausdrücklich sowie in Kenntnis von Zweck und Art der vorgesehenen Bearbeitung eingewilligt hat oder
  2. ihre Daten allgemein zugänglich gemacht hat.

Art. 6* Besondere Fälle a) Systematische Beschaffung

Das öffentliche Organ gibt bei einer systematischen Beschaffung von Personendaten durch Fragebogen oder andere Formen von Umfragen bei einer Vielzahl von Personen bekannt:

  1. Zweck und Rechtsgrundlage der Bearbeitung;
  2. an der Beschaffung beteiligte Behörde oder Dienststelle;
  3. die Kategorien der Empfängerinnen und Empfänger der beschafften Personendaten.

Art. 7 b) Bearbeitung für nicht personenbezogenen Zweck

Das öffentliche Organ anonymisiert Personendaten, die es für einen nicht personenbezogenen Zweck, insbesondere für Statistik, Planung und Forschung, bearbeitet, sobald der Zweck der Bearbeitung die Anonymisierung zulässt.

Es stellt sicher, dass bei Bekanntgabe des Ergebnisses Rückschlüsse auf betroffene Personen ausgeschlossen sind.

Es kann Personendaten einem anderen öffentlichen Organ oder Dritten zur Bearbeitung für einen nicht personenbezogenen Zweck überlassen, wenn die Empfängerin oder der Empfänger Gewähr bietet und sich schriftlich verpflichtet:

  1. die Verpflichtungen nach Abs. 1 und 2 dieser Bestimmung zu erfüllen;
  2. die Personendaten nicht weiterzugeben.

Art. 8a* Datenschutz-Folgenabschätzung

Das öffentliche Organ erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, kann eine gemeinsame Abschätzung erstellt werden.

Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:

  1. bei der umfangreichen Bearbeitung von besonders schützenswerten Personendaten oder von Persönlichkeitsprofilen;
  2. bei einem Profiling.

Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Grundrechte.

Art. 8b* Vorabkonsultation

Das öffentliche Organ legt der Fachstelle für Datenschutz zur Vorabkonsultation vor:

  1. Rechtsetzungsprojekte, die den Datenschutz betreffen;
  2. Vorhaben zur Bearbeitung von Personendaten, die zu einem hohen Risiko für die Grundrechte der betroffenen Personen führen.

Die Vorabkonsultation erfolgt in der Regel innert zwei Wochen ab Gesuchseingang, längstens innert sechs Wochen.

Die Fachstelle für Datenschutz bezeichnet die wesentlichen Bearbeitungsvorgänge, die ihr vorzulegen sind.

Art. 9 Bearbeitung durch Dritte

Das öffentliche Organ kann die Bearbeitung von Personendaten an Dritte übertragen, wenn die Übertragung nicht durch Gesetz oder Verordnung ausgeschlossen ist und die beauftragten Dritten Gewähr für die datenschutzrechtlich einwandfreie Bearbeitung bieten.*

Es stellt die Einhaltung des Datenschutzes sicher und legt insbesondere fest, dass die Personendaten:

  1. nur so bearbeitet werden, wie das öffentliche Organ es selbst tun dürfte;
  2. nach den für das öffentliche Organ geltenden gesetzlichen Bestimmungen bearbeitet werden;
  3. vor Verlust und Entwendung sowie unbefugter Kenntnisnahme und unbefugtem Bearbeiten gesichert werden.

Es prüft durch geeignete regelmässige Kontrollen, ob der Datenschutz eingehalten wird. Stellt es die Nichteinhaltung von Auflagen nach Abs. 2 dieser Bestimmung oder Verstösse gegen andere Datenschutzvorschriften fest, macht es die Übertragung rückgängig.

Die Weiterübertragung der Datenbearbeitung bedarf der vorgängigen schriftlichen Zustimmung des auftraggebenden öffentlichen Organs.*

Art. 9a* Meldung von Verletzungen der Datensicherheit

Das öffentliche Organ meldet der Fachstelle für Datenschutz so rasch wie möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Grundrechte der betroffenen Person führt.

In der Meldung nennt es wenigstens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen, um die Verletzung zu beheben.

Der Dritte, der Personendaten im Auftrag bearbeitet, meldet dem öffentlichen Organ so rasch wie möglich eine Verletzung der Datensicherheit.

Das öffentliche Organ informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder die Fachstelle für Datenschutz es verlangt.

Es kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn:

  1. dies aufgrund überwiegender Interessen Dritter erforderlich ist;
  2. dies aufgrund überwiegender öffentlicher Interessen, insbesondere zur Wahrung der inneren oder äusseren Sicherheit der Schweiz, erforderlich ist;
  3. die Mitteilung der Information eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden kann;
  4. die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert oder
  5. die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist.

Art. 10* Archivierung und Vernichtung

Das öffentliche Organ bietet dem zuständigen Archiv von Kanton oder Gemeinde innert angemessener Frist die Personendaten an, die es nicht mehr benötigt. Vorbehalten bleiben besondere Bestimmungen über die Archivierung.*

Das öffentliche Organ vernichtet umgehend die vom zuständigen Archiv als nicht archivwürdig bezeichneten Personendaten. Ausgenommen sind Personendaten, deren Vernichtung schutzwürdige Interessen der betroffenen Person verletzen könnte.*

Auf die Vernichtung kann verzichtet werden, wenn die Personendaten:

  1. anonymisiert sind;
  2. vom öffentlichen Organ unmittelbar nach Mitteilung des zuständigen Archivs anonymisiert werden.

Art. 10a* Bearbeitung durch Justizbehörden und Polizei

Die Justizbehörden und die Polizei führen ein Verzeichnis ihrer Bearbeitungstätigkeiten.

Das Verzeichnis enthält wenigstens:

  1. die Identität des öffentlichen Organs;
  2. den Bearbeitungszweck;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
  4. die Kategorien der Empfängerinnen und Empfänger;
  5. die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
  6. eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit;
  7. falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates und die Garantien bei der Bekanntgabe von Personendaten nach der Bundesgesetzgebung über den Datenschutz.

Bei Bearbeitung von Personendaten im Auftrag enthält das Verzeichnis:

  1. Angaben zur Identität des Dritten und des auftraggebenden öffentlichen Organs;
  2. Angaben zu den Kategorien von Bearbeitungen, die im Auftrag des öffentlichen Organs durchgeführt werden;
  3. wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit;
  4. falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates und die Garantien bei der Bekanntgabe von Personendaten nach der Bundesgesetzgebung über den Datenschutz.

Das öffentliche Organ meldet das Verzeichnis der Fachstelle für Datenschutz.

III. Bekanntgabe von Personendaten

Art. 11 Personendaten a) Grundsatz

Die Bekanntgabe von Personendaten ist zulässig, wenn:

  1. eine Rechtsgrundlage besteht oder
  2. die betroffene Person eingewilligt hat oder
  3. die Bekanntgabe im Interesse der betroffenen Person liegt und deren Einwilligung nicht eingeholt werden kann oder
  4. ein wesentliches öffentliches Interesse besteht, welches das schutzwürdige Interesse der betroffenen Person an der Geheimhaltung der Personendaten überwiegt, oder
  5. Empfängerin oder Empfänger ein schutzwürdiges Interesse glaubhaft macht, welches das schutzwürdige Interesse der betroffenen Person an der Geheimhaltung der Personendaten überwiegt.

Das öffentliche Organ gibt Personendaten einer Behörde des Bundes, eines anderen Kantons oder einem anderen öffentlichen Organ bekannt, wenn die Empfängerin oder der Empfänger die Personendaten zur Erfüllung einer gesetzlichen Aufgabe benötigt.

Art. 12 b) Einschränkung der Bekanntgabe

Das öffentliche Organ schränkt die Bekanntgabe von Personendaten ein oder verbindet sie mit Auflagen, wenn:

  1. besondere Bestimmungen über den Datenschutz es verlangen oder
  2. öffentliche oder schutzwürdige private Interessen es verlangen.

Art. 13 Besonders schützenswerte Personendaten und Persönlichkeitsprofile

Die Bekanntgabe von besonders schützenswerten Personendaten und Persönlichkeitsprofilen ist zulässig, wenn:

  1. das Gesetz die Bekanntgabe vorsieht oder
  2. die betroffene Person eingewilligt hat oder
  3. die Bekanntgabe im Interesse der betroffenen Person liegt und deren Einwilligung nicht eingeholt werden kann.

Das öffentliche Organ gibt besonders schützenswerte Personendaten und Persönlichkeitsprofile einer Behörde des Bundes, eines anderen Kantons oder einem anderen öffentlichen Organ bekannt, wenn die Personendaten für die Empfängerin oder den Empfänger zur Erfüllung einer ihr oder ihm übertragenen gesetzlichen Aufgabe unentbehrlich sind.

Art. 14 Besondere Fälle a) Bekanntgabe für gemeinnützige und schutzwürdige ideelle Zwecke

Das öffentliche Organ kann auf Anfrage Name, Vorname, Geburtsdatum, Adresse sowie Zuzug in den Kanton oder die Gemeinde und Wegzug aus dem Kanton oder der Gemeinde bekannt geben, wenn die Empfängerin oder der Empfänger Gewähr bietet und sich schriftlich verpflichtet, die Personendaten ausschliesslich für gemeinnützige oder schutzwürdige ideelle Zwecke zu verwenden und nicht weiterzugeben.

Art. 15 b) Abrufverfahren

Die Bekanntgabe von Personendaten im Abrufverfahren ist zulässig, wenn dieses in einer Rechtsgrundlage vorgesehen ist.

Die Bekanntgabe von besonders schützenswerten Personendaten im Abrufverfahren ist zulässig, wenn dieses im Gesetz vorgesehen ist.

Art. 16 c) Bekanntgabe ins Ausland

Die Bekanntgabe von Personendaten ins Ausland richtet sich sachgemäss nach den Bestimmungen der Bundesgesetzgebung über den Datenschutz.

Das öffentliche Organ informiert vor der Bekanntgabe die zuständige Fachstelle für Datenschutz über die von der Bundesgesetzgebung geforderten Garantien, wenn der Staat nicht auf der von der oder vom eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten veröffentlichten Liste der Staaten mit angemessener Datenschutzgesetzgebung aufgeführt ist.

Die kantonale Fachstelle für Datenschutz beschafft bei der oder beim eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Informationen über den Datenschutz im Ausland. Sie stellt die Informationen zur Verfügung:

  1. den öffentlichen Organen in ihrem Zuständigkeitsbereich;
  2. den Fachstellen der Gemeinden zur Weiterleitung an die öffentlichen Organe in deren Zuständigkeitsbereich.

IIIbis. Automatisierte Datenbearbeitung im Rahmen von Pilotversuchen*

Art. 16a* Bewilligung

Die Regierung kann, nachdem sie die Stellungnahme der Fachstelle für Datenschutz eingeholt hat, vor Erlass eines Gesetzes die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen im Pilotversuch bewilligen, wenn:

  1. die Aufgaben, die diese Bearbeitung erforderlich machen, in einem Gesetz geregelt sind;
  2. ausreichende Massnahmen zur Verhinderung von Persönlichkeitsverletzungen getroffen werden;
  3. die praktische Umsetzung einer Datenbearbeitung eine Testphase vor dem Erlass des Gesetzes zwingend erfordert.

Die praktische Umsetzung einer Datenbearbeitung kann eine Testphase zwingend erfordern, wenn:

  1. die Erfüllung einer Aufgabe technische Neuerungen erfordert, deren Auswirkungen zunächst evaluiert werden müssen oder
  2. die Erfüllung einer Aufgabe bedeutende organisatorische oder technische Massnahmen erfordert, deren Wirksamkeit zunächst geprüft werden muss, insbesondere bei der Zusammenarbeit zwischen öffentlichen Organen oder
  3. sie die Übermittlung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen in einem Abrufverfahren erfordert.

Die Regierung bezeichnet das für die Durchführung des Pilotversuchs zuständige öffentliche Organ und regelt die Modalitäten der automatisierten Datenbearbeitung in einer Verordnung.

Art. 16b* Evaluation

Das zuständige öffentliche Organ legt der Regierung spätestens innert zwei Jahren nach Beginn des Pilotversuchs einen Evaluationsbericht vor.

Es schlägt die Fortführung oder die Einstellung des Pilotversuchs vor.

Der Pilotversuch wird eingestellt, wenn innert fünf Jahren nach dessen Beginn kein Gesetz rechtsgültig geworden ist, das die erforderliche Rechtsgrundlage umfasst.

IV. Rechte der betroffenen Person

Art. 17 Auskunft und Einsicht a) Grundsatz

Das öffentliche Organ erteilt der betroffenen Person auf grundsätzlich schriftliches Gesuch hin und gegen Ausweis über die Identität Auskunft, welche Personendaten über sie bearbeitet werden. Die Auskunft erfolgt in der Regel schriftlich.*

Es gewährt auf Verlangen der betroffenen Person Einsicht in die Personendaten.

Art. 18 b) Beschränkung

Das öffentliche Organ lehnt Auskunft und Einsicht ab, schränkt sie ein oder verbindet sie mit Auflagen, soweit öffentliche oder schutzwürdige private Interessen Dritter überwiegen oder ein Gesetz im formellen Sinn dies vorsieht.*

Art. 19 c) Gebühr

Die Behandlung des Gesuchs um Auskunft und Einsicht ist in der Regel unentgeltlich.

Art. 20 Unrichtige und widerrechtlich bearbeitete Personendaten

Die betroffene Person hat Anspruch darauf, dass das öffentliche Organ unrichtige Personendaten kostenlos berichtigt. Kann weder Richtigkeit noch Unrichtigkeit bewiesen werden, bringt das öffentliche Organ bei den Personendaten einen entsprechenden Vermerk an und schränkt deren Bearbeitung ein.*

Die betroffene Person hat Anspruch darauf, dass das öffentliche Organ:

  1. die widerrechtliche Bearbeitung von Personendaten unterlässt, unrichtige Daten löscht und deren Bekanntgabe an Dritte sperrt;
  2. die Widerrechtlichkeit einer Bearbeitung feststellt;
  3. die Folgen eines widerrechtlichen Bearbeitens beseitigt;
  4. widerrechtlich bearbeitete Personendaten vernichtet.

Das öffentliche Organ informiert Empfängerinnen und Empfänger von unrichtigen oder widerrechtlich bearbeiteten Personendaten über die getroffenen Massnahmen. Die Information kann unterbleiben, wenn sie nicht oder nur mit unverhältnismässigem Aufwand möglich ist.*

Art. 20a* Informationspflicht bei der Beschaffung von Daten a) Grundsatz

Das öffentliche Organ informiert die betroffene Person über die Beschaffung von Personendaten bei Amtsstellen oder Dritten.

Art. 20b* b) Beschränkung

Die Informationspflicht entfällt, wenn:

  1. die betroffene Person bereits über die Information nach Art. 20a dieses Erlasses verfügt;
  2. wenn das Bearbeiten der Personendaten gesetzlich ausdrücklich vorgesehen ist oder
  3. die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist.

Die Übermittlung der Informationen kann unter denselben Voraussetzungen eingeschränkt werden wie das Recht auf Auskunft nach Art. 18 dieses Erlasses.

Art. 21 Sperrung a) Grundsatz

Das öffentliche Organ sperrt auf Gesuch die Bekanntgabe von Personendaten, wenn die betroffene Person ein schutzwürdiges Interesse hat.

Art. 22 b) Bekanntgabe trotz Sperrung

Das öffentliche Organ gibt Personendaten trotz Sperrung bekannt, wenn:

  1. eine Rechtspflicht zur Bekanntgabe besteht oder
  2. die Erfüllung einer gesetzlichen Aufgabe verunmöglicht würde oder
  3. die Empfängerin oder der Empfänger glaubhaft macht, dass die Sperrung rechtsmissbräuchlich erwirkt wurde.

Art. 23 Verfügung des öffentlichen Organs

Das öffentliche Organ erlässt eine Verfügung, wenn es ein zur Durchsetzung ihrer Rechte eingereichtes Gesuch der betroffenen Person abweist.

V. Fachstelle für Datenschutz

1. Organisation

Art. 24 Fachstelle für Datenschutz in Kanton und Gemeinden

Der Kanton setzt die kantonale Fachstelle für Datenschutz ein, die für die Staatsverwaltung und für die selbständigen öffentlich-rechtlichen Anstalten tätig ist.

Die Gemeinde setzt die Gemeindefachstelle für Datenschutz ein, die für die Verwaltungsstellen der Gemeinde und die selbständigen öffentlich-rechtlichen Gemeindeunternehmen tätig ist.

Sie kann durch Vereinbarung mit einer anderen Gemeinde deren Gemeindefachstelle für Datenschutz als für sie zuständig bezeichnen.

Art. 25 Gemeinsame Fachstelle für Datenschutz für mehrere Gemeinden

Die Gemeinde kann durch Vereinbarung mit anderen Gemeinden eine gemeinsame Gemeindefachstelle einsetzen. Die Vereinbarung bestimmt:

  1. die für die administrative Zuordnung zuständige Sitzgemeinde;
  2. den Schlüssel für die Finanzierung der Ausgaben der Gemeindefachstelle.

Die Regierung kann Gemeinden verpflichten, eine gemeinsame Gemeindefachstelle einzusetzen, wenn eine wirksame Aufgabenerfüllung und ein wirtschaftlicher Mitteleinsatz es verlangen. Sie legt die Sitzgemeinde und den Schlüssel für die Finanzierung der Ausgaben der Gemeindefachstelle fest, wenn sich die Gemeinden nicht einigen.

Für den Gemeindeverband oder den Zweckverband ist die Gemeindefachstelle der Mitgliedgemeinde zuständig, in der sich der Verbandssitz befindet.

Art. 26 Unabhängigkeit

Die Fachstelle für Datenschutz erfüllt ihre Aufgaben unabhängig und selbständig.

Sie ist administrativ zugeordnet:

  1. im Kanton dem von der Regierung durch Verordnung bezeichneten Departement oder der Staatskanzlei;
  2. in der Gemeinde dem Rat der Gemeinde oder der Sitzgemeinde.

Art. 27 Aufsicht

Die Aufsicht übt aus:

  1. die für die Aufsicht von Regierung und Staatsverwaltung zuständige Kommission des Kantonsrates über die kantonale Fachstelle für Datenschutz;
  2. die kantonale Fachstelle für Datenschutz über die Gemeindefachstelle für Datenschutz.

Art. 28 Personal

Die Regierung wählt die Leiterin oder den Leiter der kantonalen Fachstelle für Datenschutz für eine Amtsdauer von vier Jahren. Sie kann ihr oder sein Dienstverhältnis bei Amtspflichtverletzung oder fachlichem Ungenügen vor Ablauf der Amtsdauer auflösen. Wahl und Auflösung des Dienstverhältnisses bedürfen der Genehmigung durch das Präsidium des Kantonsrates.*

Der Rat ernennt die Leiterin oder den Leiter der Gemeindefachstelle für Datenschutz für eine Amtsdauer von vier Jahren. Er kann die Ernennung bei Amtspflichtverletzung oder fachlichem Ungenügen widerrufen. Ernennung und Widerruf bedürfen der Genehmigung durch die Geschäftsprüfungskommission.*

Setzen mehrere Gemeinden eine gemeinsame Gemeindefachstelle ein, regeln sie das Verfahren und die Zuständigkeit für die Ernennung der Leiterin oder des Leiters und für den Widerruf sowie die Genehmigung durch ein unabhängiges Organ in der Vereinbarung.

Die Leiterin oder der Leiter der Fachstelle für Datenschutz sieht von allen mit den Aufgaben des Amtes nicht zu vereinbarenden Handlungen ab und übt während der Amtszeit keine andere mit dem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus.*

Die Leiterin oder der Leiter der Fachstelle für Datenschutz stellt im Rahmen des Voranschlags die Mitarbeitenden an.*

Das Dienstverhältnis der Leiterin oder des Leiters sowie der Mitarbeitenden der kantonalen Fachstelle für Datenschutz richtet sich nach dem Personalgesetz vom 25. Januar 2011[6].*

Art. 29 Voranschlag

Die Fachstelle für Datenschutz erstellt ihren Abschnitt des Voranschlags selbständig.

Die Regierung, in der Gemeinde der Rat, gibt im Voranschlagsentwurf zuhanden des Kantonsrates, in Gemeinden zuhanden des Gemeindeparlamentes oder der Bürgerversammlung, bekannt, ob der von der Fachstelle für Datenschutz erstellte Voranschlag unverändert übernommen wurde. Abweichungen werden begründet.

2. Zuständigkeit

Art. 30 Aufgaben

Die Fachstelle für Datenschutz:

  1. überprüft auf Anzeige, von sich aus oder nach dem von ihr aufgestellten Prüfprogramm die Einhaltung der Bestimmungen über den Datenschutz. Der anzeigenden Person ist die Art der Erledigung innert drei Monaten mitzuteilen;
  2. berät öffentliche Organe und betroffene Personen in Fragen des Datenschutzes;
  3. kann der Regierung, in Gemeinden dem Rat, den Erlass von Weisungen über technische und organisatorische Massnahmen zur Gewährleistung des Datenschutzes beantragen;
  4. nimmt Stellung zum Entwurf von Erlassen, die:
  1. Bestimmungen über den Datenschutz enthalten;
  2. datenschutzerhebliche Sachverhalte regeln;
  1. wirkt in Projekten mit, die den Datenschutz betreffen oder Bezüge zum Datenschutz aufweisen;
  2. sensibilisiert die öffentlichen Organe für ihre datenschutzrechtlichen Pflichten und die Öffentlichkeit für die Anliegen des Datenschutzes;
  3. arbeitet zur Erfüllung ihrer Aufgaben mit den Organen der anderen Kantone, des Bundes und des Auslands, welche die gleichen Aufgaben erfüllen, zusammen.

Von der Aufsicht der Fachstelle für Datenschutz nach Abs. 1 Bst. a dieser Bestimmung sind ausgenommen:*

  1. Kantonsrat und Regierung, Gemeindeparlament und Rat sowie Gerichte, soweit diese richterlich handeln;
  2. Datenbearbeitungen in hängigen Verfahren der Zivil-, der Straf- und der gerichtlichen Verwaltungsrechtspflege sowie in hängigen Rechtshilfeverfahren.

Die kantonale Fachstelle für Datenschutz berät die Gemeindefachstellen für Datenschutz.

Sie nimmt vor Erteilung der Bewilligung nach Art. 16a dieses Erlasses Stellung zur beabsichtigten automatisierten Bearbeitung von Personendaten im Pilotversuch.*

Art. 30a* Kosten

Die Aufgabenerfüllung der Fachstelle für Datenschutz ist für die betroffene Person in der Regel unentgeltlich.

Die Fachstelle für Datenschutz kann in offensichtlich unbegründeten oder unverhältnismässig häufigen Fällen die Kosten der betroffenen Person überbinden oder nicht tätig werden.

Art. 31 Einsicht in Daten

Die Fachstelle für Datenschutz ist berechtigt, die für die Erfüllung ihrer Aufgaben unentbehrlichen Daten einschliesslich besonders schützenswerter Personendaten und Persönlichkeitsprofile aus den Datensammlungen des öffentlichen Organs einzusehen.*

Art. 32 Unterstützung durch Dienststellen

Das öffentliche Organ unterstützt die Fachstelle für Datenschutz bei der Erfüllung ihrer Aufgaben, indem es auf deren Verlangen insbesondere:

  1. Auskünfte erteilt;
  2. Unterlagen vorlegt und Einsicht in Unterlagen gewährt;
  3. das Vorgehen bei der Bearbeitung von Personendaten erläutert;
  4. die Bearbeitung von Personendaten vorführt;
  5. Fachinformationen vermittelt.

Es ist vom Amtsgeheimnis entbunden.

Art. 33 Empfehlungen

Die Fachstelle für Datenschutz gibt Empfehlungen ab und unterbreitet diese dem öffentlichen Organ zur schriftlichen Stellungnahme:

  1. wenn sie Mängel bei der Bearbeitung von Personendaten feststellt;
  2. bei beabsichtigter Bearbeitung von Personendaten mit besonderen Risiken für den Schutz der Grundrechte.

Art. 34 Massnahmen a) im Kanton

Die kantonale Fachstelle für Datenschutz kann beim zuständigen Departement oder bei der Staatskanzlei die Anordnung von Massnahmen beantragen, wenn das öffentliche Organ die Empfehlungen nicht oder nur teilweise umsetzen will oder innert angesetzter Frist keine Stellungnahme abgibt. Handelt das zuständige Departement, die Staatskanzlei oder eine selbständige öffentlich-rechtliche Anstalt des Kantons als öffentliches Organ, ist der Antrag an die Regierung zu richten.

Das zuständige Departement, die Staatskanzlei oder die Regierung verfügt Massnahmen, ausgenommen in Fällen, in denen das öffentliche Organ eine Verfügung gegenüber der betroffenen Person erlässt.

Der Rechtsschutz richtet sich nach der Gesetzgebung über die Verwaltungsrechtspflege. Die kantonale Fachstelle für Datenschutz ist beschwerdeberechtigt.

Art. 35 b) in der Gemeinde

Die Gemeindefachstelle für Datenschutz kann beim Rat die Anordnung von Massnahmen beantragen, wenn das öffentliche Organ die Empfehlungen nicht oder nur teilweise umsetzen will oder innert angesetzter Frist keine Stellungnahme abgibt. Handelt der Rat, ein Gemeinde- oder Zweckverband oder ein selbständiges öffentlich-rechtliches Gemeindeunternehmen als öffentliches Organ, ist der Antrag an das zuständige Departement zu richten.

Der Rat oder das zuständige Departement verfügt Massnahmen, ausgenommen in Fällen, in denen das öffentliche Organ eine Verfügung gegenüber der betroffenen Person erlässt.

Der Rechtsschutz richtet sich nach der Gesetzgebung über die Verwaltungsrechtspflege. Die Gemeindefachstelle für Datenschutz ist rekurs- und beschwerdeberechtigt.

Art. 35a* Anordnungen

Die Fachstelle für Datenschutz kann bei erheblichen Verletzungen der Datensicherheit eine Verfügung erlassen, wenn absehbar ist, dass das öffentliche Organ eine Empfehlung ablehnen oder ihr keine Folge leisten wird.

Das öffentliche Organ kann die Verfügung innert vierzehn Tagen mit Rekurs bei der Verwaltungsrekurskommission anfechten.

Ist das öffentliche Organ ein oberes Gericht, kann es die Verfügung innert vierzehn Tagen mit Beschwerde beim Verwaltungsgericht anfechten.

Art. 36 Berichterstattung

Die Fachstelle für Datenschutz erstattet der Regierung, in Gemeinden dem Rat oder bei der gemeinsam eingesetzten Gemeindefachstelle den beteiligten Räten, jährlich Bericht über:

  1. die Anwendung des Datenschutzrechts und die Einhaltung des Datenschutzes;
  2. Umfang und Schwerpunkte der Prüftätigkeit;
  3. Feststellungen und deren Beurteilung.

Die kantonale Fachstelle für Datenschutz berichtet dem Kantonsrat jährlich über ihre Tätigkeit. Der Kantonsrat nimmt vom Bericht Kenntnis.

VI. Register über Datensammlungen

Art. 37 Führung

Die Fachstelle für Datenschutz führt das Register über die in ihrem Zuständigkeitsbereich vorhandenen Datensammlungen.

Für die Führung des Registers über Datensammlungen bei Privaten, die Staatsaufgaben erfüllen, ist zuständig:

  1. die kantonale Fachstelle für Datenschutz bei Erfüllung von kantonalen Aufgaben;
  2. die Gemeindefachstelle für Datenschutz bei Erfüllung von Gemeindeaufgaben.

Art. 38 Inhalt

Das Register informiert insbesondere über:

  1. Rechtsgrundlage und Zweck;
  2. Mittel der Bearbeitung;
  3. Art und Herkunft der Personendaten;
  4. Dritte, die Daten eingeben und verändern dürfen;
  5. regelmässige Empfängerinnen und Empfänger.

Das Register über Datensammlungen ist periodisch, wenigstens jedoch jährlich zu aktualisieren.

Es ist öffentlich.

Art. 39 Meldung von Änderungen

Das öffentliche Organ meldet der zuständigen Fachstelle für Datenschutz Änderungen:

  1. im Bestand der von ihm geführten Datensammlungen;
  2. von für den Inhalt des Registers massgeblichen Sachverhalten.

Es meldet:

1. neue Datensammlungen vor deren Eröffnung;
2. übrige Änderungen jährlich auf Beginn des nächsten Kalenderjahres.

VII. Schlussbestimmungen

Art. 40 Strafbestimmung

Auf Antrag wird mit Busse bestraft:

  1. wer Personendaten im Auftrag des öffentlichen Organs bearbeitet und sich dabei vorsätzlich auftragswidrig verhält;
  2. wer Personendaten, die ihm vom öffentlichen Organ nach Art. 14 dieses Erlasses bekannt gegeben wurden, zweckwidrig verwendet oder weitergibt.

Art. 47 Vollzugsbeginn

Die Regierung bestimmt den Vollzugsbeginn dieses Erlasses.

Egress

nGS 44–37

* Änderungstabelle - Nach Bestimmung

Bestimmung Änderungstyp nGS-Fundstelle Erlassdatum Vollzugsbeginn
Erlass Grunderlass 44–37 20.01.2009 01.01.2009
Art. 1, Abs. 1, a) geändert 2019-043 25.06.2019 25.06.2019
Art. 1, Abs. 1, b), 2. geändert 2019-043 25.06.2019 25.06.2019
Art. 1, Abs. 1, b), 2bis. eingefügt 2019-043 25.06.2019 25.06.2019
Art. 1, Abs. 1, b), 2ter. eingefügt 2019-043 25.06.2019 25.06.2019
Art. 1, Abs. 1, c) geändert 2019-043 25.06.2019 25.06.2019
Art. 1, Abs. 1, dbis) eingefügt 2019-043 25.06.2019 25.06.2019
Art. 1, Abs. 1, e) geändert 2019-043 25.06.2019 25.06.2019
Art. 1, Abs. 1, ebis) eingefügt 2019-043 25.06.2019 25.06.2019
Art. 1, Abs. 1, h) geändert 2019-043 25.06.2019 25.06.2019
Art. 2 geändert 47-82 16.11.2010 keine Angabe
Art. 2, Abs. 1bis eingefügt 2019-043 25.06.2019 25.06.2019
Art. 2, Abs. 2, c) aufgehoben 2019-043 25.06.2019 25.06.2019
Art. 2, Abs. 3 eingefügt 2019-043 25.06.2019 25.06.2019
Art. 2a eingefügt 47-82 16.11.2010 keine Angabe
Art. 3, Abs. 3 eingefügt 2019-043 25.06.2019 25.06.2019
Art. 5, Abs. 2 geändert 2019-043 25.06.2019 25.06.2019
Art. 6 geändert 47-82 16.11.2010 keine Angabe
Art. 8 aufgehoben 2019-043 25.06.2019 25.06.2019
Art. 8a eingefügt 2019-043 25.06.2019 25.06.2019
Art. 8b eingefügt 2019-043 25.06.2019 25.06.2019
Art. 9, Abs. 1 geändert 2019-043 25.06.2019 25.06.2019
Art. 9, Abs. 4 eingefügt 2019-043 25.06.2019 25.06.2019
Art. 9a eingefügt 2019-043 25.06.2019 25.06.2019
Art. 10 geändert 46-68 19.04.2011 keine Angabe
Art. 10, Abs. 1 geändert 2019-043 25.06.2019 25.06.2019
Art. 10, Abs. 2 geändert 2019-043 25.06.2019 25.06.2019
Art. 10a eingefügt 2019-043 25.06.2019 25.06.2019
Gliederungstitel 3bis. eingefügt 2019-003 20.11.2018 01.01.2019
Art. 16a eingefügt 2019-003 20.11.2018 01.01.2019
Art. 16b eingefügt 2019-003 20.11.2018 01.01.2019
Art. 17, Abs. 1 geändert 2019-043 25.06.2019 25.06.2019
Art. 18, Abs. 1 geändert 2019-043 25.06.2019 25.06.2019
Art. 20, Abs. 1 geändert 2019-043 25.06.2019 25.06.2019
Art. 20, Abs. 2, a) geändert 2019-043 25.06.2019 25.06.2019
Art. 20, Abs. 2, abis) eingefügt 2019-043 25.06.2019 25.06.2019
Art. 20, Abs. 2, ater) eingefügt 2019-043 25.06.2019 25.06.2019
Art. 20, Abs. 3 geändert 2019-043 25.06.2019 25.06.2019
Art. 20a eingefügt 2019-043 25.06.2019 25.06.2019
Art. 20b eingefügt 2019-043 25.06.2019 25.06.2019
Art. 28, Abs. 1 geändert 2019-043 25.06.2019 25.06.2019
Art. 28, Abs. 2 geändert 2019-043 25.06.2019 25.06.2019
Art. 28, Abs. 3bis eingefügt 2019-043 25.06.2019 25.06.2019
Art. 28, Abs. 4 geändert 2019-043 25.06.2019 25.06.2019
Art. 28, Abs. 5 geändert 2019-043 25.06.2019 25.06.2019
Art. 30, Abs. 1, a) geändert 2019-043 25.06.2019 25.06.2019
Art. 30, Abs. 1, e) geändert 2019-043 25.06.2019 25.06.2019
Art. 30, Abs. 1, f) eingefügt 2019-043 25.06.2019 25.06.2019
Art. 30, Abs. 1, g) eingefügt 2019-043 25.06.2019 25.06.2019
Art. 30, Abs. 1bis eingefügt 2019-043 25.06.2019 25.06.2019
Art. 30, Abs. 3 eingefügt 2019-003 20.11.2018 01.01.2019
Art. 30a eingefügt 2019-043 25.06.2019 25.06.2019
Art. 31, Abs. 1 geändert 2019-043 25.06.2019 25.06.2019
Art. 35a eingefügt 2019-043 25.06.2019 25.06.2019

* Änderungstabelle - Nach Erlassdatum

Erlassdatum Vollzugsbeginn Bestimmung Änderungstyp nGS-Fundstelle
20.01.2009 01.01.2009 Erlass Grunderlass 44–37
16.11.2010 keine Angabe Art. 2 geändert 47-82
16.11.2010 keine Angabe Art. 2a eingefügt 47-82
16.11.2010 keine Angabe Art. 6 geändert 47-82
19.04.2011 keine Angabe Art. 10 geändert 46-68
20.11.2018 01.01.2019 Gliederungstitel 3bis. eingefügt 2019-003
20.11.2018 01.01.2019 Art. 16a eingefügt 2019-003
20.11.2018 01.01.2019 Art. 16b eingefügt 2019-003
20.11.2018 01.01.2019 Art. 30, Abs. 3 eingefügt 2019-003
25.06.2019 25.06.2019 Art. 1, Abs. 1, a) geändert 2019-043
25.06.2019 25.06.2019 Art. 1, Abs. 1, b), 2. geändert 2019-043
25.06.2019 25.06.2019 Art. 1, Abs. 1, b), 2bis. eingefügt 2019-043
25.06.2019 25.06.2019 Art. 1, Abs. 1, b), 2ter. eingefügt 2019-043
25.06.2019 25.06.2019 Art. 1, Abs. 1, c) geändert 2019-043
25.06.2019 25.06.2019 Art. 1, Abs. 1, dbis) eingefügt 2019-043
25.06.2019 25.06.2019 Art. 1, Abs. 1, e) geändert 2019-043
25.06.2019 25.06.2019 Art. 1, Abs. 1, ebis) eingefügt 2019-043
25.06.2019 25.06.2019 Art. 1, Abs. 1, h) geändert 2019-043
25.06.2019 25.06.2019 Art. 2, Abs. 1bis eingefügt 2019-043
25.06.2019 25.06.2019 Art. 2, Abs. 2, c) aufgehoben 2019-043
25.06.2019 25.06.2019 Art. 2, Abs. 3 eingefügt 2019-043
25.06.2019 25.06.2019 Art. 3, Abs. 3 eingefügt 2019-043
25.06.2019 25.06.2019 Art. 5, Abs. 2 geändert 2019-043
25.06.2019 25.06.2019 Art. 8 aufgehoben 2019-043
25.06.2019 25.06.2019 Art. 8a eingefügt 2019-043
25.06.2019 25.06.2019 Art. 8b eingefügt 2019-043
25.06.2019 25.06.2019 Art. 9, Abs. 1 geändert 2019-043
25.06.2019 25.06.2019 Art. 9, Abs. 4 eingefügt 2019-043
25.06.2019 25.06.2019 Art. 9a eingefügt 2019-043
25.06.2019 25.06.2019 Art. 10, Abs. 1 geändert 2019-043
25.06.2019 25.06.2019 Art. 10, Abs. 2 geändert 2019-043
25.06.2019 25.06.2019 Art. 10a eingefügt 2019-043
25.06.2019 25.06.2019 Art. 17, Abs. 1 geändert 2019-043
25.06.2019 25.06.2019 Art. 18, Abs. 1 geändert 2019-043
25.06.2019 25.06.2019 Art. 20, Abs. 1 geändert 2019-043
25.06.2019 25.06.2019 Art. 20, Abs. 2, a) geändert 2019-043
25.06.2019 25.06.2019 Art. 20, Abs. 2, abis) eingefügt 2019-043
25.06.2019 25.06.2019 Art. 20, Abs. 2, ater) eingefügt 2019-043
25.06.2019 25.06.2019 Art. 20, Abs. 3 geändert 2019-043
25.06.2019 25.06.2019 Art. 20a eingefügt 2019-043
25.06.2019 25.06.2019 Art. 20b eingefügt 2019-043
25.06.2019 25.06.2019 Art. 28, Abs. 1 geändert 2019-043
25.06.2019 25.06.2019 Art. 28, Abs. 2 geändert 2019-043
25.06.2019 25.06.2019 Art. 28, Abs. 3bis eingefügt 2019-043
25.06.2019 25.06.2019 Art. 28, Abs. 4 geändert 2019-043
25.06.2019 25.06.2019 Art. 28, Abs. 5 geändert 2019-043
25.06.2019 25.06.2019 Art. 30, Abs. 1, a) geändert 2019-043
25.06.2019 25.06.2019 Art. 30, Abs. 1, e) geändert 2019-043
25.06.2019 25.06.2019 Art. 30, Abs. 1, f) eingefügt 2019-043
25.06.2019 25.06.2019 Art. 30, Abs. 1, g) eingefügt 2019-043
25.06.2019 25.06.2019 Art. 30, Abs. 1bis eingefügt 2019-043
25.06.2019 25.06.2019 Art. 30a eingefügt 2019-043
25.06.2019 25.06.2019 Art. 31, Abs. 1 geändert 2019-043
25.06.2019 25.06.2019 Art. 35a eingefügt 2019-043