Diese Verordnung regelt, welche Behörden Zugriff auf Daten der Einwohnerregisterplattform haben, die Art und den Inhalt ihrer Zugriffsberechtigung, die Aufbewahrung von Personendaten in der Einwohnerregisterplattform sowie die zu verwendenden Daten-Standards.
114.4
Verordnung zum Gesetz über die Einwohnerregister- und die Stimmregisterplattform
(VESP)
Vom 10.11.2015 (Stand 01.03.2016)
Präambel
gestützt auf §§ 4 Absatz 2, 11 Absatz 1 und 12 Absatz 1 des Gesetzes über die Einwohnerregister- und die Stimmregisterplattform (GESP) vom 5. November 2014[1]
beschliesst:
1. Allgemeines
Art. 1 Gegenstand
2. Zugriffsberechtigung
2.1. Berechtigungsverfahren
Art. 2 Grundsatz
Auf die Erteilung einer Zugriffsberechtigung besteht kein Anspruch.
Art. 3 Berechtigungsgremien
Berechtigungsgremien im Rahmen des Berechtigungsverfahrens sind der oder die Beauftragte für Information und Datenschutz, die Koordinationsgruppe GERES-Gemeinden und der GERES-Berechtigungsausschuss.
Die Koordinationsgruppe GERES-Gemeinden setzt sich aus zwei Vertreterinnen oder Vertretern des Verbandes Solothurner Einwohnergemeinden (VSEG) und des Verbandes des Gemeindepersonals des Kantons Solothurn (VGSo) zusammen.
Der GERES-Berechtigungsausschuss setzt sich aus vier Vertretern oder Vertreterinnen der kantonalen Stellen, dem oder der Beauftragten für Information und Datenschutz sowie aus zwei Vertreterinnen oder Vertretern des Verbandes Solothurner Einwohnergemeinden (VSEG) und des Verbandes des Gemeindepersonals des Kantons Solothurn (VGSo) zusammen.
Die Vertretung der kantonalen Stellen wird vom zuständigen Departement bestimmt.
Art. 4 Antrag
Die Behörde, die um Zugriff auf Daten der Einwohnerregisterplattform ersucht, hat beim zuständigen Departement einen begründeten Antrag einzureichen.
Das Departement leitet das Antragsformular an die Berechtigungsgremien weiter.
Art. 5 Berechtigungsverfahren
Für jeden Antrag auf Zugriff auf Daten der Einwohnerregisterplattform ist ein zweistufiges Berechtigungsverfahren vorgesehen (Testphase und Produktionsstufe).
Mit der Zustimmung aller Berechtigungsgremien wird der Antrag stellenden Behörde die Testberechtigung für den Zugriff auf Daten der Einwohnerregisterplattform erteilt.
Die Testphase ist auf maximal zwölf Monate befristet.
Nach Abschluss der Testphase prüfen die Berechtigungsgremien, ob der beantragte Anschluss definitiv erteilt werden kann und stellen dem Regierungsrat entsprechend Antrag.
Der Regierungsrat entscheidet abschliessend über den Zugriff der Antrag stellenden Behörde auf die Einwohnerregisterplattform.
Art. 6 Erteilung einer Berechtigung an Mitarbeitende einer Behörde
Der Leiter oder die Leiterin einer Behörde bestimmt, welche Mitarbeitenden die der Behörde erteilte Zugriffsberechtigung ausüben.
Er oder sie meldet die zugriffsberechtigten Mitarbeitenden sowie diesbezügliche Änderungen dem zuständigen Departement.
Art. 7 Einmalige Abfrage
Mit Zustimmung aller Berechtigungsgremien kann das zuständige Departement einer Behörde gemäss § 3 GESP[2] einmalig Daten der Einwohnerregisterplattform zur Verfügung stellen.
Behörden können bei einer zentralen Stelle Auskünfte aus der kantonalen Einwohnerregisterplattform einholen, soweit die Voraussetzungen für eine Amtshilfe erfüllt sind.
2.2. Berechtigungsverzeichnis
Art. 8 Zugriffsberechtigte Behörden und Zugriffsberechtigung
Das zuständige Departement führt ein Berechtigungsverzeichnis, aus welchem hervorgeht, welchen Behörden eine Zugriffsberechtigung auf Daten der Einwohnerregisterplattform erteilt wurde, und aus welchem auch die Art und der Inhalt der jeweiligen Zugriffsberechtigung ersichtlich ist.
Das Berechtigungsverzeichnis nach Absatz 1 wird vom zuständigen Departement fortlaufend aktualisiert.
Das zuständige Departement publiziert auf dem Internet die Art und den Inhalt der Zugriffsberechtigungen der Behörden.
2.3. Verantwortung für eine ordnungsgemässe Abfrage
Art. 9 Zuständigkeit
Der Leiter oder die Leiterin der berechtigten Behörde stellt sicher, dass
- der Zugriff an nicht mehr Arbeitsplätzen als erforderlich ermöglicht wird;
- nur abfrageberechtigte Personen Zugriffsrechte haben;
- die abfrageberechtigten Personen die Zugriffe ausschliesslich für die Erfüllung ihrer gesetzlichen Aufgabe nutzen.
3. Protokollierung und Überprüfung der Datenabfragen
Art. 10 Protokollierung der Datenabfragen
Jede Abfrage von Daten aus der Einwohnerregisterplattform wird elektronisch protokolliert. Es ist die vom zuständigen Departement bestimmte Version nach § 14 Absatz 1 zu verwenden.
Die Protokollierung umfasst
- die abfragende Behörde sowie die abfragende Person,
- die abgefragte Person und die abgefragten Daten,
- den Zeitpunkt der Abfrage.
Wird durch die Berechtigungsgremien eine Berechtigung für ein Drittsystem (Webservice) erteilt, muss das Drittsystem die elektronische Protokollierung sicherstellen.
Die Protokolle werden nach 12 Monaten gelöscht.
Art. 11 Überprüfung von Datenabfragen
Der Leiter oder die Leiterin der zugriffsberechtigten Behörde kann die protokollierten Datenabfragen stichprobenweise und personenbezogen auf Unregelmässigkeiten hin prüfen.
Die geprüften Personen und der oder die Beauftragte für Information und Datenschutz werden vom Leiter oder der Leiterin über den Umfang und das Ergebnis der durchgeführten Prüfungen informiert.
4. Entzug oder Aufhebung der Zugriffsberechtigung
Art. 12 Missbrauch der Zugriffsberechtigung
Stellt der Leiter oder die Leiterin Unregelmässigkeiten oder gar Missbrauch fest, trifft er oder sie die die erforderlichen Massnahmen. Er oder sie kann der betroffenen Person insbesondere die Zugriffsberechtigung entziehen.
Bei Missbrauch durch eine Behörde erfolgt eine Meldung an die Berechtigungsgremien. Diese prüfen den Sachverhalt und beantragen dem Regierungsrat gegebenenfalls den Entzug der Zugriffsberechtigung der Behörde.
Art. 13 Aufhebung der Zugriffsberechtigung
Ist der Bedarf einer Behörde nach der erteilten Zugriffsberechtigung teilweise oder gar nicht mehr nachgewiesen, wird diese auf Antrag der Berechtigungsgremien durch den Regierungsrat eingeschränkt oder aufgehoben.
5. Daten-Standards und Versionen
Art. 14 eCH-Standards und Versionen
Für den Austausch von Personendaten sind jeweils die vom Departement bestimmten Versionen der Standards für E-Government in der Schweiz (eCH-Standards) zu verwenden.
6. Löschung und Aufbewahrung der Daten
Art. 15 Grundsatz
Folgende Daten der in der Einwohnerregisterplattform verzeichneten Personen werden gelöscht:
- ein vorangegangenes Datum zu einem Merkmal nach zehn Jahren nach seiner Veränderung;
- bei Wegzug oder Tod einer Person alle Daten zehn Jahre nach Wegzug oder Tod der betreffenden Person;
- Daten, die gemäss Meldung einer Gemeinde nicht mehr in den Registern geführt werden, zehn Jahre nach der letzten Meldung.
Die Löschung der Daten in den Fällen von Absatz 1 erfolgt am Ende des laufenden Kalenderjahres.
Solange eine Löschung dieser Daten aus technischen Gründen nicht möglich ist, sind die Zugriffe auf diese Daten inaktiv zu setzen.
Art. 16 Aufbewahrung von Daten im Staatsarchiv
Vorbehalten bleibt die Pflicht zur Anbietung von Dokumenten an das Staatsarchiv gemäss § 8 ff. des Archivgesetzes vom 25. Januar 2006[3].
Egress
RRB Nr. 2015/1807 vom 10. November 2015.
Die Einspruchsfrist ist am 11. Januar 2016 unbenutzt abgelaufen.
Inkrafttreten am 1. März 2016.
Publiziert im Amtsblatt vom 15. Januar 2016.
GS 2015, 55
* Änderungstabelle - Nach Beschluss
| Beschluss | Inkrafttreten | Element | Änderung | GS Fundstelle |
|---|---|---|---|---|
| 10.11.2015 | 01.03.2016 | Erlass | Erstfassung | GS 2015, 55 |
* Änderungstabelle - Nach Artikel
| Element | Beschluss | Inkrafttreten | Änderung | GS Fundstelle |
|---|---|---|---|---|
| Erlass | 10.11.2015 | 01.03.2016 | Erstfassung | GS 2015, 55 |