Gesetz über den Schutz von Personendaten

1 Datenschutzgesetz

236.1 Gesetz über den Schutz von Personendaten (Datenschutzgesetz) (vom 6. Juni 1993)

1 I. Allgemeine Bestimmungen

Zweck

§ 1.

Dieses Gesetz dient dem Schutz der Grundrechte von Per sonen, über die öffentlich e Organe Daten bearbeiten.

Begriffe

§ 2.

Die folgenden Ausdrücke bedeuten: a. Personendaten, Daten: Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen; b. betroffene Personen: natürliche oder juristische Personen, über die Daten bearbeitet werden; c. öffentliche Organe: Behörden ode r Amtsstellen des Kantons und der Gemeinden, andere öffentlich e Einrichtungen sowie Personen, die mit öffentlichen Aufgaben betraut sind; d. besonders schützenswerte Persone ndaten: Daten, bei denen wegen ihrer Bedeutung, der Art ihrer Bearbeitung ode r ihrer Verknüp fung mit anderen Daten eine be sondere Gefahr einer Persönlich keitsverletzung best eht, wie Daten über:

1. die religiösen, weltanschaul ichen, politischen oder gewerk schaftlichen Ansichten oder Tätigkeiten;

2. die Gesundheit, de n persönlichen Gehe imbereich oder die Rassenzugehörigkeit;

3. Massnahmen der sozialen Hilfe;

4. strafrechtliche Verfol gungen und Sanktionen; e. Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine Beurteilung wesentlich er Aspekte der Persön lichkeit einer natür lichen Person erlaubt; f. Bearbeiten: jeder Umgang mit Daten, insbesonde re das Beschaf fen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben oder Vernichten von Daten; g. Bekanntgeben: das Zugänglichma chen von Daten, wie das Ein sichtgewähren, Weiterge ben oder Veröffentlichen; h. Datensammlung: jeder Bestand von Daten, der so aufgebaut ist, dass die Daten nach den betro ffenen Personen erschliessbar sind.

236.1 Datenschutzgesetz Geltungsbereich

§ 3.

1 Dieses Gesetz gilt für das Bearbeiten von Personendaten durch öffentliche Organe, unabhäng ig von den dabei angewandten Mitteln und Verfahren.

2 Es gilt nicht a. wenn ein Organ am wirtschaftlichen Wettbewerb teilnimmt und dabei nicht hoheitlich handelt; b. in hängigen Verfahren der Zivi l-, Verwaltungs- und Strafrechts

- pflege; c. soweit der Regierungsrat für öffe ntlich-rechtlich anerkannte kirch

- liche Körperschaften und deren Einrichtungen Ausnahmen vor

- sieht. II. Grundsätze für das Bear beiten von Personendaten Allgemeine Vo r a u s setzungen

§ 4.

1 Personendaten dürfen bearbeit et werden, wenn eine gesetz

- liche Grundlage besteht.

2 Personendaten müssen richtig und, soweit es der Zweck des Bearbeitens verlangt, vollständig sein.

3 Das Bearbeiten von Personendate n muss für die Erfüllung der Aufgaben geeignet und erforderlich sein.

4 Daten dürfen nur zu dem Zweck be arbeitet werden, der bei der Beschaffung angegeben wu rde, der aus den Umständen ersichtlich ist oder der gesetzlich vorgesehen wird.

5 Daten müssen durch angemessene organisatorische und technische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Besonders schützenswerte Personendaten und Persönlich keitsprofile

§ 5.

Besonders schützenswerte Pe rsonendaten und Persönlich

- keitsprofile dürfen nur bearbeitet werden, wenn a. sich die Zulässigkeit aus einer ge setzlichen Grundlage klar ergibt, b. es zur Erfüllung einer gesetzli ch klar umschriebenen Aufgabe unentbehrlich ist oder c. die betroffene Person im Einzel fall eingewilligt hat, ihre Daten allgemein zugänglich gemacht ha t oder ihre Zustimmung voraus

- gesetzt werden darf. Ve r a n t w o r t liches Organ

§ 6.

1 Für den Datenschutz ist das Or gan verantwortlich, das die Personendaten zur Erfüllung sein er Aufgaben bearbeitet oder be

- arbeiten lässt.

3 Datenschutzgesetz

236.1

2 Bearbeiten mehrere Organe Pe rsonendaten eine r gemeinsamen Datensammlung, wird da s Organ bezeichnet, da s die Hauptverantwor tung für den Datenschutz trägt. Jede s Organ bleibt für seinen Bereich verantwortlich.

Daten

beschaffung

§ 7.

1 Personendaten sind in der Regel bei der betroffenen Person zu beschaffen.

2 Werden Personendaten systematisch, namentlich mit Frage bogen, erhoben, so müssen Rech tsgrundlage und Zwec k der Bearbei tung bekanntgegeben werden. In de n übrigen Fällen sind diese Anga ben der befragten Person auf Wunsch bekanntzugeben, ausser wenn dadurch die Erfüllung der gesetzlichen Aufg abe gefährdet wird.

Bekanntgabe

von Personen

daten

§ 8.

1 Öffentliche Organe dürfen Personendaten bekanntgeben, wenn dafür gesetzliche Grundl agen bestehen oder wenn a. die Daten für den Empf änger im Einzelfall zur Erfüllung seiner öffentlichen Aufgaben notwendig sind; b. die betroffene Person im Einzelfa ll eingewilligt hat oder die Ein willigung nach den Umständen vorausgesetzt werden darf; c. die betroffene Person ihre Da ten allgemein zugänglich gemacht hat.

2 Der Regierungsrat regelt die Bekanntgabe von Personendaten für Adressbücher und ähnliche Na chschlagewerke vo n allgemeinem Interesse.

b. Durch die

Einwohner

kontrolle

§ 9.

1 Die Einwohnerkontrolle gibt ei ner privaten Person oder Organisation im Einzelfall auf Gesuch ohne Einschränkung Name, Vorname, Adresse, Datum von Zuund Wegzug sowie Beruf einer Person bekannt.

2 Zuzugsort und Wegzugsort, Gebur tsdatum, Geschlecht, Zivil stand und Heimatort ei ner Person werden bekanntgegeben, wenn ein berechtigtes Interesse glaubhaft gemacht wird.

3 Werden diese Daten mit Ausschluss von Zu- und Wegzugsort aus schliesslich für schützenswerte idee lle Zwecke verwendet und nicht an Dritte weitergegeben, so können si e nach bestimmten Gesichtspunk ten geordnet bekannt gegeben werden.

4 Weitere Personendaten können be kanntgegeben werden, wenn ein besonders schützenswertes Interesse nachgewiesen wird.

c. Einschrän

kungen

§ 10.

Das öffentliche Organ lehnt di e Bekanntgabe ab, schränkt sie ein oder verbindet si e mit Auflagen, wenn a. wesentliche öffentliche Interess en oder offensichtlich schützens werte Interessen einer betroffe nen Person es verlangen oder

a. Im

Allgemeinen

236.1 Datenschutzgesetz b. gesetzliche Geheimhaltungspf lichten oder besondere Daten

- schutzvorschrifte n es verlangen. d. Sperrung

§ 11.

1 Die betroffene Person kann die Bekanntgabe ihrer Daten an private Personen und Orga nisationen sperren lassen.

2 Die Bekanntgabe ist trot z Sperrung zulässig, wenn a. das öffentliche Organ hiezu ge setzlich verpflichtet ist oder b. die gesuchstellende Person ode r Organisation gl aubhaft macht, dass die Sperrung sie in der Verf olgung eigener Rechte gegenüber der betroffenen Person behindert. Bearbeiten für nicht personen bezogene Zwecke

§ 12.

1 Personendaten dürfen für ni cht personenbezogene Zwecke, insbesondere in der Forschung, Pl anung und Statistik, bearbeitet werden, wenn a. die Daten anonymisiert werden, s obald es der Zweck des Bearbei

- tens erlaubt; b. die Ergebnisse so ve röffentlicht werden, da ss die betroffenen Personen nicht bestimmbar sind.

2 Personendaten dürfen für ni cht personenbezogene Zwecke bekanntgegeben werden, wenn a. keine Geheimhaltungspflicht ode r andere Bestim mung dies aus

- schliesst, b. Rückschlüsse auf die betroffene n Personen mög lichst erschwert sind und c. eine private Person oder Organi sation für die Einhaltung der Be

- arbeitungsvorschriften gemäss Abs. 1 Gewähr bietet und die Daten nur mit Zustimmung des verantw ortlichen Organs weitergibt.

3 Die Bestimmungen über die Verei nbarkeit der Zwecke über die Rechtsgrundlagen für da s Bearbeiten von bes onders schützenswerten Personendaten und Pers önlichkeitsprofilen und über die Bekanntgabe von Personendaten sind nicht anwendbar. Bearbeiten im Auftrag

§ 13.

1 Beauftragt das verantwortliche Organ ein anderes öffent

- liches Organ oder Dritte mit dem Bearbeiten von Personendaten, ist der Datenschutz durch Auflagen, Vereinbarungen oder auf andere Weise sicherzustellen.

2 Ohne anderslautende ausdrück liche Ermächtigung darf die beauftragte Stelle Personendaten nur für das auftraggebende Organ verwenden und nur di esem bekanntgeben.

5 Datenschutzgesetz

236.1

Vernichtung

und Archi

vierung von

Personendaten

§ 14.

1 Nicht mehr benötigte Persone ndaten sind zu vernichten.

2 Das verantwortliche Organ legt für jede Datensammlung fest, wann die Personendaten zu vernichten sind.

3 Vorbehalten bleiben die Bestimmungen übe r die Archivierung.

4 III. Registrierung von Datensammlungen

§ 15.

1 Das verantwortliche Organ führ t ein öffentliches Register der von ihm angelegten Datensammlungen.

2 Das Register enthält für jede Datensammlung mindestens Anga ben über die Rechtsgr undlage, den Zweck und die Mittel der Bearbei tung, die Art und die Herkunft der bearbeiteten Personendaten sowie die an der Datensamml ung beteiligten Stelle n und die regelmässigen Datenempfänger.

3 Nicht in das Register aufge nommen werden Da tensammlungen, die a. nur kurzfristig verwendet werden; b. rechtmässig veröffentlicht sind; c. nur Kopien oder Be arbeitungsmittel sind; d. ausschliesslich persönl iche Arbeitsmittel sind.

4 Wird durch die Registrierung einer Datensammlung die Erfül lung einer gesetzlichen Aufgabe in schwerer Weise beeinträchtigt, so kann das verantwortliche Organ im Einvernehmen mit der Aufsichts stelle eine andere Form der Verö ffentlichung oder ausnahmsweise den Verzicht auf eine Veröffentlichung vorsehen.

Zentrales

§ 16.

1 Die Aufsichtsstelle für den Datenschutz im kantonalen Bereich führt ein zentrales, öffe ntliches Register der gemäss §

15 registrierten Da tensammlungen.

2 Der Regierungsrat regelt Inha lt, Umfang und Veröffentlichung des zentralen Registers.

3 Gemeinden und andere öffentli che Einrichtungen können ein eigenes zentrales Register der Datensammlungen führen oder vom Regierungsrat mit der Führung ei nes solchen Registers beauftragt werden.

236.1 Datenschutzgesetz IV. Rechte der betroffenen Personen Auskunft

§ 17.

Jede Person, die sich ausgew iesen hat, kann vom verant

- wortlichen Organ Auskunft verlange n, welche Daten über sie in dessen Datensammlungen bearbeitet werden. b. Einschrän kungen

§ 18.

1 Die Auskunft darf aufgeschob en, eingeschränkt oder ver

- weigert werden, wenn ei ne gesetzliche Best immung, überwiegende öffentliche Interessen oder überwie gende schützenswe rte Interessen Dritter dies verlangen.

2 Wenn die Auskunft zu einem unv erhältnismässigen Verwaltungs

- aufwand führen würde, kann sie vo m Nachweis eines schützenswerten Interesses der gesuchstellenden Person abhängig gemacht werden. Andere Rechte

§ 19.

1 Wer ein schützenswertes Inte resse hat, kann vom verant

- wortlichen Organ verlangen, dass es a. das widerrechtliche Bearbeiten von Personenda ten unterlässt; b. die Folgen eines widerrechtlichen Bearbeitens beseitigt; c. die Widerrechtlichkeit de s Bearbeitens feststellt.

2 Insbesondere kann verlangt werden , dass das verantwortliche Organ a. Daten berichtigt oder vernichtet; b. den Entscheid oder die Berich tigung Dritten mitteilt oder ver

- öffentlicht.

3 Kann weder die Richtigkeit noch die Unrichtigkeit von Daten bewiesen werden, bringt das verantwortliche Organ bei den Daten einen entsprechenden Vermerk an.

4 Bestreitet das verantwortliche Organ die Unrichtigkeit von Daten, obliegt ihm der Beweis für die Richtigkeit, wenn der Beweis der gesuchstellenden Person nicht ohne weiteres zugemutet werden kann. Behandlung von Begehren

§ 20.

1 Entspricht ein Organ einem Begehren auf Grund dieses Gesetzes nicht, erlässt es einen begründeten Entscheid.

2 Bearbeiten mehrere Organe Personendaten au s einer gemein

- samen Datensammlung, kann die betr offene Person ihre Rechte bei jedem beteiligten Organ geltend machen. a. Grundsatz

7 Datenschutzgesetz

236.1 V. A u f s i c h t

§§

21 und 22.

Aufgaben

§ 23.

1 Die Aufsichtsstelle a. überwacht die Anwendung der Vorschriften über den Daten schutz; b. berät in Zusammenarbeit mit de n Fachstellen der Verwaltung die verantwortlichen Organe in Fr agen des Datenschutzes und der Datensicherung; c. erteilt den betroffenen Persone n Auskunft über ihre Rechte; d. vermittelt zwischen betroffenen Personen und verantwortlichen Organen; e. orientiert die verantwortlichen Organe über wesentliche Anliegen des Datenschutzes.

2 Sie erstattet dem Wahlorgan jährli ch oder nach Bedarf Bericht. Diese Berichte werden veröffentlicht.

Befugnisse

§ 24.

Die Aufsichtsstelle kann ungea chtet allfälliger Geheimhal tungspflichten bei öffentlichen Organen oder beauftragten Dritten schriftlich oder mündlich Auskünfte über das Bearbe iten von Per sonendaten einholen, Einsicht in Un terlagen und Akten nehmen und sich Bearbeitungen vorführen lassen, soweit es für ihre Tätigkeit not wendig ist.

Schweigepflicht

§ 25.

1 Mitglieder, Mitarbeiterinne n und Mitarbeiter der Auf sichtsstelle sind hinsichtlich Person endaten, die sie be i ihrer Tätigkeit zur Kenntnis nehmen, zur gleichen Verschwiegenheit verpflichtet wie das bearbeitende Organ.

2 Im Übrigen sind sie zur Verschwi egenheit verpflichtet, wenn die Natur der Angelegenheit oder bes ondere Geheimhaltungsvorschriften es erfordern.

3 Die Schweigepflicht gilt auch nach Beendigung des Amts- oder Dienstverhältnisses. VI. Straf- und Schlussbestimmungen

Straf

bestimmung

§ 26.

1 Wer als beauftragte Person für das Bearbeiten von Per sonendaten ohne anders lautende ausdrückliche Ermächtigung des auftraggebenden Organs Personendaten für sich oder andere verwen det oder anderen bekannt gi bt, wird mit Busse bestraft.

2 Die Untersuchung und Beurte ilung von Widerhandlungen ob liegt den Statthalterämtern.

236.1 Datenschutzgesetz Änderung bisherigen Rechts

§ 27.

Das Verwaltungsrechtspflegegesetz vom 24. Mai 1959 wird wie folgt geändert: . . .

3 Übergangs bestimmungen

§ 28.

1 Innert zwei Jahren nach I nkrafttreten dieses Gesetzes haben die verantwortlichen Organe für bestehende Datensammlungen a. die Registrierung zu veranlassen; b. den Zeitpunkt für die Vernic htung der Date n festzulegen; c. die vorgeschriebene Date nsicherung einzurichten.

2 Der Regierungsrat kann auf be gründetes Gesuch hin die Über

- gangsfrist erstrecken. b. Datenschutz erlasse

§ 29.

1 Bestehende Datenschutzreg elungen sind von den Behör

- den, die sie erlassen ha ben, innert zwei Jahren nach Inkrafttreten dieses Gesetzes aufzuheben oder an dieses Gesetz anzupassen.

2 Bei Inkrafttreten dieses Gesetz es bereits hängige Verfahren betreffend Persönlichkeitsverletzung durch Datenbearbeitung werden nach früherem Re cht erledigt. Inkrafttreten

§ 30.

Dieses Gesetz untersteht der Volksabstimmung. Der Regie

- rungsrat bestimmt den Zeitpunkt des Inkrafttretens

2 .

1 OS 52, 452.

2 In Kraft seit 1. Januar 1995 (OS 52, 990).

3 Text siehe OS 52, 452.

4 Fassung gemäss G vom 24. September 1995 (OS 53, 267). In Kraft seit 1. Ja

- nuar 1999 (OS 54, 912)

5 Fassung gemäss G über die Anpassung an den geänderten allgemeinen Teil des Strafgesetzbuches und an das neue Jugendstrafgesetz vom 19. Juni 2006 ( OS 61, 391 ; ABl 2005, 1483 ). In Kraft seit 1. Januar 2007.

6 Aufgehoben durch G über die Informat ion und den Datenschutz (IDG) vom

12. Februar 2007 ( OS 62, 121 ; ABl 2005, 1283 ). In Kraft seit 1. Juni 2007 (OS

62, 136). a. Daten- sammlungen