Lexipedia

171.110

Verordnung zum Kantonalen Datenschutzgesetz

(Kantonale Datenschutzverordnung, VKDSG)

Vom 16.09.2025 (Stand 01.01.2026)

Präambel

Gestützt auf Art. 45 Abs. 1 der Kantonsverfassung[1] und Art. 6 Abs. 3 sowie Art. 23 Abs. 1 des Kantonalen Datenschutzgesetzes[2]

von der Regierung erlassen am 16. September 2025

1. Allgemeine Bestimmungen

Art. 1 Nachweis der Einhaltung der Datenschutzbestimmungen

Das öffentliche Organ erbringt den Nachweis der Einhaltung der Datenschutzbestimmungen, indem mindestens folgende Punkte im Zusammenhang mit den Bearbeitungstätigkeiten dokumentiert werden:

  1. die Prozesse der Datenbearbeitung;
  2. die verantwortlichen Personen;
  3. die rechtlichen Grundlagen für die Datenbearbeitung;
  4. die Datenschutzrisiken und die getroffenen Massnahmen.

Das öffentliche Organ kann den Nachweis insbesondere erbringen durch:

  1. Geschäftsordnungen und andere allgemeine Festlegungen zu Geschäftsprozessen und zur betrieblichen Organisation;
  2. Weisungen zu Datenbearbeitungen und zum Umgang mit Personendaten, einschliesslich der Löschung und der Archivierung;
  3. Informationssicherheits- und Datenschutzkonzepte sowie Datenschutz-Folgenabschätzungen;
  4. Konzepte für den Zugriff auf Informationen und Informatikmittel;
  5. Berichte zum Umgang mit meldepflichtigen Verletzungen der Datensicherheit;
  6. sonstige Unterlagen und Hilfsmittel über die sichere Datenbearbeitung.

Art. 2 Technische und organisatorische Massnahmen 1. Schutzziele

Die öffentlichen Organe stellen mit angemessenen organisatorischen und technischen Massnahmen sicher, dass die Personendaten:

  1. nur Berechtigten zugänglich sind (Vertraulichkeit);
  2. verfügbar sind, wenn sie benötigt werden (Verfügbarkeit);
  3. nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität);
  4. nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).

Art. 3 2. Angemessenheit

Die Angemessenheit der technischen und organisatorischen Massnahmen richtet sich insbesondere nach folgenden Kriterien:

  1. dem Schutzbedarf der bearbeiteten Daten, der sich aus dem Zweck, der Art, dem Umfang und den Umständen der Datenbearbeitung ergibt;
  2. der Einschätzung der möglichen Risiken für die betroffenen Personen;
  3. dem Stand der Technik.

Die Massnahmen sind periodisch auf ihre Zweck- und Verhältnismässigkeit zu überprüfen und gegebenenfalls anzupassen.

Art. 4 3. Massnahmen

Zur Gewährleistung der Datensicherheit können insbesondere die folgenden technischen und organisatorischen Massnahmen ergriffen werden:

  1. Zugangsbeschränkungen zu Einrichtungen: unbefugten Personen ist der Zugang zu Einrichtungen, in denen Sach- und Personendaten bearbeitet werden, zu verwehren;
  2. Benutzerkontrollen: unbefugten Personen ist die Benutzung von Informatikmitteln, mit denen Sach- und Personendaten bearbeitet werden, zu verwehren;
  3. Datenträgerkontrollen: unbefugten Personen ist das Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verunmöglichen;
  4. Zugriffsbeschränkungen: der Zugriff ist auf diejenigen Sach- und Personendaten zu beschränken, welche die berechtigten Personen für die Erfüllung ihrer Aufgabe benötigen;
  5. Bearbeitungsbeschränkungen: das unbefugte Bearbeiten von Sach- und Personendaten wird verhindert;
  6. Eingabekontrollen: bei der Verwendung von Informatikmitteln muss nachträglich überprüft werden können, welche Sach- und Personendaten zu welcher Zeit und von welcher Person bearbeitet wurden;
  7. Empfängeridentifikation: die Empfängerinnen oder Empfänger, denen Sach- und Personendaten bekannt gegeben werden, müssen identifiziert werden können;
  8. Kontinuitätssicherung: Vorkehrungen werden getroffen, damit bei einem Ausfall von Informatikmitteln wichtige Funktionen möglichst rasch weiter erfüllt werden können;
  9. Generationenfolgesicherung: Vorkehrungen werden getroffen, damit Sach- und Personendaten infolge technologischen Wandels beim Einsatz von Informatikmitteln dauerhaft erhalten werden können.

Art. 5 4. Protokollierung

Die öffentlichen Organe protokollieren bei der automatisierten Bearbeitung von Personendaten zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten, wenn die präventiven Massnahmen den Datenschutz nicht gewährleisten und ein solches System auf dem Markt verfügbar ist.

Die Protokollierung muss Aufschluss geben über die Identität der Person, welche die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität der Empfängerin oder des Empfängers der Daten.

2. Bearbeitung von Personendaten

Art. 6 Pilotversuche 1. Unentbehrlichkeit

Die Durchführung einer Testphase ist für die praktische Umsetzung einer Datenbearbeitung unentbehrlich, wenn eine der folgenden Bedingungen erfüllt ist:

  1. Die Erfüllung einer Aufgabe erfordert technische Neuerungen, deren Auswirkungen zunächst evaluiert werden müssen;
  2. Die Erfüllung einer Aufgabe erfordert bedeutende organisatorische oder technische Massnahmen, deren Wirksamkeit zunächst geprüft werden muss, insbesondere bei der Zusammenarbeit mit Organen anderer Gemeinwesen und Organisationen, welche von Gemeinwesen geschaffen werden;
  3. Die Erfüllung einer Aufgabe erfordert, dass die Personendaten im Abrufverfahren zugänglich sind.

Art. 7 2. Verfahren

Das öffentliche Organ, das den Pilotversuch durchführt, holt die Stellungnahme der Aufsichtsstelle ein.

Es stellt der Aufsichtsstelle alle zur Beurteilung der Bewilligungsfähigkeit des Pilotversuchs notwendigen Unterlagen zur Verfügung, insbesondere:

  1. eine allgemeine Beschreibung des Pilotversuchs;
  2. einen Bericht, der nachweist, dass die Erfüllung der gesetzlich vorgesehenen Aufgaben eine Bearbeitung erfordert und dass eine Testphase vor dem Inkrafttreten des Gesetzes unentbehrlich ist;
  3. eine Beschreibung der Sicherheits- und Datenschutzmassnahmen;
  4. den Entwurf einer Verordnung, welche die Einzelheiten der Bearbeitung regelt, oder das Konzept einer Verordnung.

Die Stellungnahme ist der Regierung vorzulegen, bevor sie über ein Bewilligungsgesuch entscheidet.

Art. 8 Auftragsbearbeitung 1. Mindestinhalt von Verträgen

Soweit die Bearbeitung durch eine Auftragsbearbeiterin oder einen Auftragsbearbeiter nicht gesetzlich vorgesehen ist, sind mindestens folgende Punkte vertraglich zu regeln:

  1. Gegenstand und Umfang der übertragenen Aufgaben;
  2. Wahrung des Amtsgeheimnisses sowie besonderer Geheimhaltungspflichten;
  3. Verantwortlichkeiten;
  4. technische und organisatorische Massnahmen zur Wahrung des Datenschutzes und der Datensicherheit;
  5. Ort der Datenbearbeitung;
  6. Kontrolle der Auftragserfüllung;
  7. Beizug von Dritten;
  8. bei Pflichtverletzung vorgesehene Sanktionen;
  9. Vertragsdauer und Voraussetzungen der Vertragsauflösung sowie deren Folgen, insbesondere die Rückführung und Löschung der Daten;
  10. anwendbares Recht und Gerichtsstand.

Art. 9 2. Beizug von Dritten

Die vorgängige Genehmigung des öffentlichen Organs, die der Auftragsbearbeiterin oder dem Auftragsbearbeiter erlaubt, zur Datenbearbeitung Dritte beizuziehen, kann spezifischer oder allgemeiner Art sein.

Bei einer allgemeinen Genehmigung informiert die Auftragsbearbeiterin oder der Auftragsbearbeiter das verantwortliche öffentliche Organ über jede beabsichtigte Änderung betreffend den Beizug oder die Ersetzung anderer Dritter. Das verantwortliche öffentliche Organ kann diese Änderung ablehnen.

Art. 10 Grenzüberschreitende Bekanntgabe von Personendaten

Das öffentliche Organ kann für die Beurteilung, ob die Gesetzgebung eines Empfängerstaats einen angemessenen Schutz gewährleistet, auf die vom Bund getroffene Beurteilung der Angemessenheit des Datenschutzes eines Staates, eines Gebiets, eines spezifischen Sektors in einem Staat oder eines internationalen Organs gemäss Artikel 8 der Verordnung über den Datenschutz[3] abstellen.

Wurde die Aufsichtsstelle über die Garantien gemäss Artikel 12 Absatz 3 des Kantonalen Datenschutzgesetzes[4] informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die unter denselben Garantien erfolgen, soweit die Kategorien der Empfängerinnen und Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben.

Die Informationspflicht gilt ebenfalls als erfüllt, wenn Daten gestützt auf Modellverträge oder Standardvertragsklauseln übermittelt werden, die vom eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten erstellt oder anerkannt wurden, und wenn die Aufsichtsstelle vom verantwortlichen öffentlichen Organ in allgemeiner Form über die Verwendung dieser Modellverträge oder Standardvertragsklauseln informiert wurde.

Art. 11 Veröffentlichung in elektronischer Form im Rahmen der behördlichen Informationstätigkeit

Werden Personendaten mittels automatisierter Informations- und Kommunikationsdienste allgemein zugänglich gemacht, gilt dies nicht als Übermittlung ins Ausland.

Art. 12 Datenbearbeitung für nicht personenbezogene Zwecke

Sollen Personendaten für einen nicht personenbezogenen Zweck bekannt gegeben werden, so hat die Empfängerin oder der Empfänger mindestens folgende Angaben zu liefern:

  1. Bezeichnung der Empfängerin oder des Empfängers;
  2. Kurzbeschreibung des Vorhabens;
  3. Umschreibung der benötigten Personendaten;
  4. Ablauf und Art der Datenbearbeitung;
  5. Angaben über die zum Schutz der Personendaten vorzukehrenden Massnahmen.

Das öffentliche Organ holt bei der Empfängerin oder dem Empfänger eine Verpflichtungserklärung ein, dass die Vorgaben von Artikel 13 Absatz 1 Litera a des Kantonalen Datenschutzgesetzes[5] erfüllt werden. Es kann die Bekanntgabe von Personendaten mit weiteren Auflagen zum Schutz der Personendaten versehen.

3. Pflichten des verantwortlichen öffentlichen Organs

3.1. Allgemeine Vorgaben

Art. 13 Durchführung der Vorabkonsultation

Der Aufsichtsstelle sind mindestens die Dokumente vorzulegen, die im Rahmen der Datenschutz-Folgenabschätzung erarbeitet wurden. Die Aufsichtsstelle kann weitere Dokumente anfordern, sofern diese zur Beurteilung des Risikos für die Grundrechte notwendig sind.

Auf die Vorabkonsultation kann verzichtet werden, soweit die Mitwirkung der Aufsichtsstelle in der Projektorganisation des Vorhabens auf andere Weise sichergestellt wird.

Die Vorabkonsultation ist abgeschlossen, wenn die Aufsichtsstelle die Anwendung für unbedenklich erklärt oder eine Empfehlung gemäss Artikel 36 des Kantonalen Datenschutzgesetzes[6] abgegeben hat.

Art. 14 Aufbewahrung der Datenschutz-Folgenabschätzung und der Vorabkonsultation

Das öffentliche Organ hat die Datenschutz-Folgenabschätzung und die Ergebnisse der Vorabkonsultation mindestens zwei Jahre über die Beendigung der Bearbeitungstätigkeit hinaus aufzubewahren.

Art. 15 Meldung von Verletzungen der Datensicherheit 1. Modalitäten der Meldepflicht und Dokumentation

Die Aufsichtsstelle stellt ein Formular zur Meldung von Verletzungen der Datensicherheit bereit.

Ist es dem öffentlichen Organ nicht möglich, alle Angaben gleichzeitig zu melden, so liefert es die fehlenden Angaben so rasch als möglich nach.

Das öffentliche Organ hat die Verletzung der Datensicherheit zu dokumentieren. Die Dokumentation muss die mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen enthalten. Sie ist mindestens zwei Jahre über die Meldung hinaus aufzubewahren.

Art. 16 2. Information der betroffenen Person

Ist das öffentliche Organ verpflichtet, die betroffene Person über die Verletzung der Datensicherheit zu informieren, so wird ihr in einfacher und verständlicher Sprache mindestens mitgeteilt:

  1. die Art der Verletzung;
  2. die Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;
  3. welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben und die Folgen, einschliesslich der allfälligen Risiken, zu mindern;
  4. den Namen und die Kontaktdaten einer Ansprechperson.

Erscheint eine individuelle Information über die Verletzung der Datensicherheit aufgrund der Vielzahl betroffener Personen als unverhältnismässig, kann die Information in geeigneter Form veröffentlicht werden.

3.2. Besondere Vorgaben

Art. 17 Betroffene öffentliche Organe

Die Pflichten dieses Abschnitts gelten für die in Artikel 22 und Artikel 23 des Kantonalen Datenschutzgesetzes[7] bezeichneten öffentlichen Organe sowie für:

  1. das Amt für Justizvollzug;
  2. die Kantonspolizei;
  3. die Staatsanwaltschaft;
  4. die Stadtpolizei Chur.

Andere öffentliche Organe können die besonderen Vorgaben gemäss Artikel 22 und Artikel 23 des Kantonalen Datenschutzgesetzes freiwillig umsetzen. Sofern sie dies tun, haben sie die Bestimmungen dieses Abschnitts zu beachten.

Art. 18 Verzeichnis der Bearbeitungstätigkeiten

Die betroffenen öffentlichen Organe aktualisieren das Verzeichnis der Bearbeitungstätigkeiten regelmässig.

Änderungen sind der Aufsichtsstelle zu melden.

Von der Meldepflicht ausgenommen sind öffentliche Organe, die das Verzeichnis der Bearbeitungstätigkeiten freiwillig führen.

Art. 19 Datenschutzberaterin oder Datenschutzberater

Die betroffenen öffentlichen Organe bezeichnen mindestens eine Person als Datenschutzberaterin oder Datenschutzberater, welche über die erforderlichen Fachkenntnisse verfügt.

Mehrere betroffene öffentliche Organe können gemeinsam eine Datenschutzberaterin oder einen Datenschutzberater ernennen.

Der Name und die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters sind der Aufsichtsstelle bekannt zu geben und zu veröffentlichen.

Die Aufsichtsstelle schult die Datenschutzberaterinnen und Datenschutzberater periodisch.

4. Rechte der betroffenen Personen

Art. 20 Gesuchsmodalitäten

Die betroffene Person kann ihre Rechte beim verantwortlichen öffentlichen Organ schriftlich oder mündlich geltend machen.

Das verantwortliche öffentliche Organ muss angemessene Massnahmen treffen, um die betroffene Person zu identifizieren. Diese ist zur Mitwirkung verpflichtet.

Art. 21 Erteilung des Auskunftsrechts

Das verantwortliche öffentliche Organ macht die Personendaten soweit möglich in der zum amtlichen Gebrauch erstellten Form zugänglich. Die Auskunft kann auf elektronischem Weg erteilt werden, wenn die Übermittlung vor dem Zugriff unberechtigter Dritter ausreichend geschützt ist.

Im Einvernehmen mit dem verantwortlichen öffentlichen Organ kann die betroffene Person ihre Daten an Ort und Stelle einsehen. Die Auskunft kann mündlich erteilt werden, wenn die betroffene Person einverstanden ist.

Art. 22 Widerspruch

Das verantwortliche öffentliche Organ, welches den Widerspruch erhalten hat, bestätigt die Vornahme des Widerspruchs in geeigneter Form. Es sorgt dafür, dass andere öffentliche Organe, welche von ihm die betroffenen Personendaten erhalten, über den Widerspruch informiert werden.

Verlangt die betroffene Person die Aufhebung des Widerspruchs, teilt sie dies dem verantwortlichen öffentlichen Organ schriftlich mit.

Art. 23 Ausnahmen von der Kostenlosigkeit

Ein unverhältnismässiger Aufwand liegt insbesondere vor, wenn:

  1. die betroffene Person wiederholt in derselben Angelegenheit ein Gesuch stellt;
  2. die betroffene Person trotz Aufforderung des verantwortlichen Organs ihrer Mitwirkungspflicht nicht nachkommt; oder
  3. mit der Gesuchsbearbeitung ein hoher Sach- oder Zeitaufwand verbunden ist.

Das verantwortliche öffentliche Organ muss der betroffenen Person die Höhe der Kosten vor der Auskunftserteilung mitteilen. Bestätigt die betroffene Person das Gesuch nicht innerhalb von zehn Tagen, so gilt es als zurückgezogen.

5. Schlussbestimmungen

Art. 24 Übergangsbestimmungen

Bestehende Informatiksysteme, die eine Protokollierung gemäss Artikel 5 nicht vorsehen, können bis zum Ende ihres Lebenszyklus weiterbetrieben werden. Artikel 5 ist zu beachten, wenn sie durch ein neues System ersetzt werden.

Bestehende Vereinbarungen über die Auftragsbearbeitung bleiben bis zu ihrem Ablauf gültig. Sie haben Artikel 8 und Artikel 9 zu beachten, wenn sie verlängert oder angepasst werden.

Egress

2025-050

Änderungstabelle - Nach Beschluss

Beschluss Inkrafttreten Element Änderung AGS Fundstelle
16.09.2025 01.01.2026 Erlass Erstfassung 2025-050

Änderungstabelle - Nach Artikel

Element Beschluss Inkrafttreten Änderung AGS Fundstelle
Erlass 16.09.2025 01.01.2026 Erstfassung 2025-050