Lexipedia

157.12

Verordnung über die Informationssicherheit von Personendaten *

(VIP)

Vom 16. Januar 2007 (Stand 19. Dezember 2020)

Präambel

Der Regierungsrat des Kantons Zug,

gestützt auf § 7 des Datenschutzgesetzes vom 28. September 2000[1],

beschliesst:

Art. 1 Gegenstand und Geltungsbereich

Diese Verordnung regelt das Verfahren und die Verantwortlichkeit zur Gewährleistung der Sicherheit von Personendaten, die mit elektronischen Hilfsmitteln oder auf andere Weise bearbeitet werden. *

Sie gilt für die dem Datenschutzgesetz unterstellten Organe. Für Organe, die für den Kanton oder die Gemeinden öffentliche Aufgaben erfüllen, ist sie nur im Rahmen der übertragenen Aufgaben anwendbar.

Art. 2 Zweck der Informationssicherheit *

Die Informationssicherheit bezweckt den Schutz von Personendaten insbesondere gegen: *

  1. zufällige Bekanntgabe, Vernichtung oder Verlust;
  2. technische Fehler;
  3. unbefugte Kenntnisnahme;
  4. unbefugte Bearbeitung;
  5. Fälschung, Entwendung oder widerrechtliche Verwendung.

Art. 3 Verantwortlichkeit *

Die Organe sind verantwortlich für die Gewährleistung der Informationssicherheit in allen Phasen der Datenbearbeitung. Für die Gewährleistung der Sicherheit der Personendaten in der Phase der Archivierung ist das Archiv verantwortlich. *

Art. 4 Sicherheitsmassnahmen

Die Organe sorgen für Vertraulichkeit, Integrität und Verfügbarkeit der Personendaten sowie die Zurechenbarkeit und Nachvollziehbarkeit von Datenbearbeitungen. Sie ergreifen die erforderlichen technischen und organisatorischen Sicherheitsmassnahmen zum Zwecke der Zugangs-, Datenträger-, Transport-, Bekanntgabe-, Speicher-, Benutzer-, Zugriffs- oder Eingabekontrolle. *

Die technischen und organisatorischen Massnahmen müssen angemessen sein und insbesondere folgenden Kriterien Rechnung tragen: *

  1. dem Zweck der Datenbearbeitung;
  2. der Art und dem Umfang der Datenbearbeitung;
  3. den möglichen Risiken für die betroffenen Personen;
  4. dem gegenwärtigen Stand der Technik; und
  5. der Verhältnismässigkeit und Wirtschaftlichkeit.

Die Organe erstellen einen Massnahmenkatalog, der Auskunft gibt über den Zweck und die Kosten der vorgeschlagenen Massnahmen sowie den Zeitbedarf für deren Umsetzung. *

Art. 5 Umsetzung

Die Organe beantragen die Umsetzung des Massnahmenkatalogs – je nach Zuständigkeit – bei den Direktionen, dem Obergericht, dem Verwaltungsgericht, der Staatskanzlei sowie den vorgesetzten gemeindlichen Stellen. Bei ausgelagerter Datenbearbeitung gehen die betreffenden Organe sinngemäss vor.

Die Organe sind verantwortlich für die Instruktion und Kontrolle der Mitarbeitenden und überprüfen periodisch die Wirksamkeit der getroffenen Massnahmen. *

Art. 5a * Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung enthält insbesondere Angaben zu:

  1. Art der Personendaten, Kreis der betroffenen Personen, gesetzliche Grundlage, Zweck, Art und Umfang der Datenbearbeitung, gemeinsame Datenbearbeitungen, Kombination von Datensätzen, Zugriff auf Personendaten anderer Organe, automatisierte Entscheidfindung, Auftragsdatenbearbeitung, grenzüberschreitende Datenbekanntgaben, Kreis der Empfängerinnen und Empfänger bzw. der Zugriffsberechtigten, Aufbewahrungsdauer, Anwendungen, Systeme und Netzwerke, Technologien und Verfahren;
  2. Eintrittswahrscheinlichkeit, Schwere und potenzielle Auswirkungen der Risiken für die Grundrechte der betroffenen Personen; und
  3. technische sowie organisatorische Massnahmen und deren Auswirkungen auf die Risiken.

Die Organe halten das Ergebnis der Datenschutz-Folgenabschätzung schriftlich fest.

Art. 6 Regierungsrat

Der Regierungsrat erlässt eine Weisung zur Gewährleistung der Informationssicherheit. *

Art. 7 Kantonale Datenschutzstelle

Die kantonale Datenschutzstelle berät die Organe in grundsätzlichen Fragen der Informationssicherheit von Personendaten. *

Art. 8 Amt für Informatik und Organisation

… *

Das Amt für Informatik und Organisation berät die Organe des Kantons bei der Gewährleistung der Informationssicherheit und der Erstellung von Massnahmenkatalogen. *

Art. 8a * Security Board

Das Security Board gemäss § 29 ITV[2] erstellt die Merkblätter für die Instruktion von Mitarbeitenden zur Informationssicherheit sowie eine Vorlage für die Erarbeitung eines Massnahmenkatalogs.

Art. 9 Übergangsregelung

Die Organe beantragen die Massnahmen gemäss § 4 innert zwei Jahren nach Vorliegen der Merkblätter für die Instruktion der Mitarbeitenden.

Einfache Sicherheitsmassnahmen ohne Kostenfolgen, vor allem solche organisatorischer Art, setzen die Organe umgehend um.

Art. 10 Inkrafttreten

Diese Verordnung tritt am Tage nach der Publikation im Amtsblatt in Kraft[3].

Egress

GS 29, 5

Änderungstabelle - Nach Beschluss

Beschluss Inkrafttreten Element Änderung GS Fundstelle
16.01.2007 27.01.2007 Erlass Erstfassung GS 29, 5
15.12.2020 19.12.2020 Erlasstitel geändert GS 2020/089
15.12.2020 19.12.2020 § 1 Abs. 1 geändert GS 2020/089
15.12.2020 19.12.2020 § 2 Titel geändert GS 2020/089
15.12.2020 19.12.2020 § 2 Abs. 1 geändert GS 2020/089
15.12.2020 19.12.2020 § 3 Titel geändert GS 2020/089
15.12.2020 19.12.2020 § 3 Abs. 1 geändert GS 2020/089
15.12.2020 19.12.2020 § 4 Abs. 1 geändert GS 2020/089
15.12.2020 19.12.2020 § 4 Abs. 2 geändert GS 2020/089
15.12.2020 19.12.2020 § 4 Abs. 2, a) eingefügt GS 2020/089
15.12.2020 19.12.2020 § 4 Abs. 2, b) eingefügt GS 2020/089
15.12.2020 19.12.2020 § 4 Abs. 2, c) eingefügt GS 2020/089
15.12.2020 19.12.2020 § 4 Abs. 2, d) eingefügt GS 2020/089
15.12.2020 19.12.2020 § 4 Abs. 2, e) eingefügt GS 2020/089
15.12.2020 19.12.2020 § 4 Abs. 3 geändert GS 2020/089
15.12.2020 19.12.2020 § 5 Abs. 2 geändert GS 2020/089
15.12.2020 19.12.2020 § 5a eingefügt GS 2020/089
15.12.2020 19.12.2020 § 6 Abs. 1 geändert GS 2020/089
15.12.2020 19.12.2020 § 7 Abs. 1 geändert GS 2020/089
15.12.2020 19.12.2020 § 8 Abs. 1 aufgehoben GS 2020/089
15.12.2020 19.12.2020 § 8 Abs. 2 geändert GS 2020/089
15.12.2020 19.12.2020 § 8a eingefügt GS 2020/089

Änderungstabelle - Nach Artikel

Element Beschluss Inkrafttreten Änderung GS Fundstelle
Erlass 16.01.2007 27.01.2007 Erstfassung GS 29, 5
Erlasstitel 15.12.2020 19.12.2020 geändert GS 2020/089
§ 1 Abs. 1 15.12.2020 19.12.2020 geändert GS 2020/089
§ 2 15.12.2020 19.12.2020 Titel geändert GS 2020/089
§ 2 Abs. 1 15.12.2020 19.12.2020 geändert GS 2020/089
§ 3 15.12.2020 19.12.2020 Titel geändert GS 2020/089
§ 3 Abs. 1 15.12.2020 19.12.2020 geändert GS 2020/089
§ 4 Abs. 1 15.12.2020 19.12.2020 geändert GS 2020/089
§ 4 Abs. 2 15.12.2020 19.12.2020 geändert GS 2020/089
§ 4 Abs. 2, a) 15.12.2020 19.12.2020 eingefügt GS 2020/089
§ 4 Abs. 2, b) 15.12.2020 19.12.2020 eingefügt GS 2020/089
§ 4 Abs. 2, c) 15.12.2020 19.12.2020 eingefügt GS 2020/089
§ 4 Abs. 2, d) 15.12.2020 19.12.2020 eingefügt GS 2020/089
§ 4 Abs. 2, e) 15.12.2020 19.12.2020 eingefügt GS 2020/089
§ 4 Abs. 3 15.12.2020 19.12.2020 geändert GS 2020/089
§ 5 Abs. 2 15.12.2020 19.12.2020 geändert GS 2020/089
§ 5a 15.12.2020 19.12.2020 eingefügt GS 2020/089
§ 6 Abs. 1 15.12.2020 19.12.2020 geändert GS 2020/089
§ 7 Abs. 1 15.12.2020 19.12.2020 geändert GS 2020/089
§ 8 Abs. 1 15.12.2020 19.12.2020 aufgehoben GS 2020/089
§ 8 Abs. 2 15.12.2020 19.12.2020 geändert GS 2020/089
§ 8a 15.12.2020 19.12.2020 eingefügt GS 2020/089