Lexipedia

174.101

Verordnung über den Schutz von Personendaten

(Kantonale Datenschutzverordnung)

Vom 23.11.2021 (Stand 01.12.2021)

Präambel

Der Regierungsrat des Kantons Schaffhausen,

gestützt auf Art. 8 Abs. 2, 13 Abs. 2, 14. Abs. 2, 23 Abs. 4 des Gesetzes über den Schutz von Personendaten (Kantonales Datenschutzgesetz) vom 7. März 1994[1],

beschliesst:

Art. 1 Adressbücher und Nachschlagewerke

Für Veröffentlichungen von allgemeinem Interesse dürfen folgende Personendaten bekanntgegeben werden:

  1. für Adressbücher und ähnliche Nachschlagewerke: Name, Vorname, Firma, Adresse, Beruf und Titel von natürlichen und juristischen Personen
  2. für Staatskalender, Behördenverzeichnisse und ähnliche Nachschlagewerke: Name, Vorname, Titel, Beruf, Jahrgang, Adresse, Telefon sowie Funktion von Personen, die im öffentlichen Dienst stehen oder gestanden haben
  3. für Fahrzeug- und Schiffshalterverzeichnisse: Name, Vorname, Firma und Adresse von Haltern

Eine geplante Bekanntgabe ist der Aufsichtsstelle so früh mitzuteilen, dass diese nötigenfalls noch eingreifen kann.

Die Bekanntgabe von Personendaten im Zusammenhang mit Geburten, Todesfällen, Verkündigungen und Trauungen richtet sich nach der kantonalen Zivilstandsverordnung[2].

Vorbehalten bleiben die Sperrung von Personendaten gemäss Art. 11 Abs. 1 des Gesetzes und andere rechtmässig zugelassene Ausnahmen von der Veröffentlichung.

Auf die Bekanntgabe besteht kein Rechtsanspruch.

Art. 2 Sperrung

Will eine betroffene Person die Bekanntgabe ihrer Daten an private Personen und Organisationen sperren lassen, hat sie dies den verantwortlichen Organen schriftlich mitzuteilen.

Art. 3 Auftragserteilung an Dritte

Soweit keine andere gesetzliche Regelung besteht, ergehen Auftragserteilungen zur Bearbeitung von Personendaten an Dritte gemäss Art. 13 des Gesetzes schriftlich.

Der Auftrag regelt insbesondere:

  1. den Gegenstand und den Umfang der übertragenen Aufgaben
  2. den Umgang mit den Personendaten (Verantwortung, Zweckbindung, Verfügungsmacht)
  3. die Geheimhaltungsverpflichtungen
  4. die Behandlung von Auskunftsgesuchen der betroffenen Person
  5. die zum Schutz der Daten vorzukehrenden Massnahmen
  6. die Kontrolle der Auftragserfüllung
  7. die bei Pflichtverletzung vorgesehenen Sanktionen
  8. die Vertragsdauer und die Voraussetzungen der Vertragsauflösung
  9. die Rückgabe oder Vernichtung der Daten nach Vertragsauflösung

Art. 4 Informationssicherheit: Inhalt

Die vom verantwortlichen Organ gemäss Art. 14 des Gesetzes zu gewährleistende Informationssicherheit beinhaltet insbesondere den Schutz vor:

  1. unbefugter oder zufälliger Vernichtung
  2. zufälligem Verlust
  3. technischen Fehlern
  4. Fälschung, Diebstahl oder widerrechtlicher Verwendung
  5. unbefugtem Ändern, Kopieren, Zugreifen oder anderen unbefugten Bearbeitungen

Die technischen und organisatorischen Massnahmen müssen verhältnismässig sein und periodisch überprüft werden.

Sie tragen insbesondere folgenden Kriterien Rechnung:

  1. Zweck der Datenbearbeitung
  2. Art und Umfang der Datenbearbeitung
  3. mögliche Gefährdung der Persönlichkeitsrechte betroffener Personen
  4. Stand der Technik

Art. 5 Informationssicherheit: Massnahmen und Nachweis

Das verantwortliche Organ trifft die zur Gewährleistung der Informationssicherheit geeigneten technischen und organisatorischen Massnahmen. Die Massnahmen bestehen insbesondere in:

  1. Zugangskontrollen: Unbefugten Personen ist der Zugang zu den Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren
  2. Benutzerkontrollen: Unbefugten Personen ist die Benutzung von Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren
  3. Datenträgerkontrollen: Unbefugten Personen ist das Lesen, Kopieren, Verändern, Zerstören oder Entfernen von Personendatenträgern zu verunmöglichen
  4. Zugriffskontrollen: Der Zugriff der berechtigten Personen ist auf die Personendaten zu beschränken, die sie für die Erfüllung ihrer Aufgaben benötigen
  5. Empfängeridentifikation: Empfängerinnen und Empfänger von bekanntzugebenden Personendaten müssen identifiziert werden können

Die getroffenen Massnahmen sind zwecks Nachweis der Einhaltung der Datenschutzvorschriften schriftlich in Organisationsvorschriften, Informationssicherheitsrichtlinien oder Zugriffskonzepten festzuhalten.

Art. 6 Datenschutz-Folgenabschätzung

Ein erhöhtes Risiko für die Grundrechte im Sinne von Art. 14b des Gesetzes liegt insbesondere vor, wenn ein Vorhaben:

  1. die Sammlung einer Vielzahl besonders schützenswerter Personendaten oder ein systematisches Profiling betrifft
  2. mit dem Einsatz neuer Technologien verbunden ist
  3. eine grosse Anzahl Personen betrifft
  4. die systematische und umfangreiche Überwachung öffentlicher Bereiche beinhaltet

Art. 7 Aufsichtsstelle: Allgemeines

Die Aufsichtsstelle erfüllt ihre Aufgaben unabhängig.

Die kantonale Aufsichtsstelle ist administrativ dem Volkswirtschaftsdepartement zugeordnet.

Besteht Gewähr für eine einwandfreie Erfüllung der Aufgaben gemäss den Datenschutzvorschriften, können Gemeinden und andere öffentliche Einrichtungen mit Ermächtigung des Regierungsrates eine eigene Aufsichtsstelle einrichten.

Art. 8 Aufsichtsstelle: Veröffentlichung der Tätigkeitsberichte

Die Berichte der kantonalen Aufsichtsstelle über ihre Tätigkeit werden im Verwaltungsbericht veröffentlicht.

Haben Gemeinden und andere öffentliche Einrichtungen eine eigene Aufsichtsstelle eingerichtet, bestimmen sie selber über die Art und Weise, in der die Tätigkeitsberichte veröffentlicht werden.

Art. 9 Gebühren

Die öffentlichen Organe können für die auf das Gesetz und diese Verordnung gestützten Verrichtungen Gebühren erheben. Für die kantonalen Organe gilt die Verwaltungsgebührenverordnung[3], insbesondere deren § 14.

Bei Bekanntgaben gemäss § 1 dieser Verordnung sowie Gesuchen um Unterlassung und anderen Ansprüchen nach § 21 des Gesetzes gelten die Ansätze von § 12 der Verwaltungsgebührenverordnung.

Keine Gebühren werden erhoben für:

  1. die Auskunftserteilung nach Art. 18 des Gesetzes vorbehältlich der im Gesetz genannten Ausnahmen
  2. die Behandlung von Gesuchen um Berichtigung gemäss Art. 20 des Gesetzes
  3. die Behandlung von Gesuchen um Unterlassung und anderen Ansprüchen gemäss Art. 21 des Gesetzes
  4. die Erteilung von Auskünften durch die Aufsichtsstelle, deren Vermittlertätigkeit sowie die Behandlung von Eingaben und Beschwerden gemäss Art. 25 Abs. 1 lit. b, c und d des Gesetzes

In den Fällen von Abs. 3 lit. b bis d kann ausnahmsweise eine angemessene Gebühr unter vorgängiger Bekanntgabe der Höhe verlangt werden, wenn der Antrag rechtsmissbräuchlich ist, namentlich bei exzessiven Anträgen in derselben Angelegenheit.

Art. 10 Schlussbestimmungen

Diese Verordnung tritt am 1. Dezember 2021 in Kraft.

Sie ist im Amtsblatt zu veröffentlichen[4] und in die kantonale Gesetzessammlung aufzunehmen.

Sie ersetzt die Verordnung über den Schutz von Personendaten (Kantonale Datenschutzverordnung) vom 28. Februar 1995.

Egress

Abl. 2021, S. 2125

Änderungstabelle - Nach Beschluss

Beschluss Inkrafttreten Element Änderung Fundstelle
23.11.2021 01.12.2021 Erlass Erstfassung Abl. 2021, S. 2125

Änderungstabelle - Nach Artikel

Element Beschluss Inkrafttreten Änderung Fundstelle
Erlass 23.11.2021 01.12.2021 Erstfassung Abl. 2021, S. 2125