Verordnung des Regierungsrates über den Datenschutz

Verordnung des Regierungsrates über den Datenschutz (Datenschutzverordnung, TG DSV) vom 4. November 2008 (Stand 1. März 2013)

1. Allgemeine Bestimmungen

1.1. Begriffsdefinitionen

§ 1 Betroffene Personen

1 Betroffene Personen sind natürliche oder juristische Personen, über die Daten bear - beitet werden.

§ 2 Besondere Risiken

1 Besondere Risiken, die eine Vorabkontrolle bei der Datenbearbeitung erfordern, liegen insbesondere dann vor, wenn:

1. besonders schützenswerte Personendaten manuell oder mittels Informatiksys - temen bearbeitet werden;

2. die Handlungs- oder Entfaltungsmöglichkeiten der betroffenen Person einge - schränkt werden können;

3. ein erhöhtes Risiko technikbedingter Fehler oder Missbräuche besteht.

§ 3 Angemessener Datenschutz

1 Ein angemessener Datenschutz im grenzüberschreitenden Datenverkehr ist dann gegeben, wenn im Empfängerstaat ein adäquates Datenschutzniveau sichergestellt ist.

2 Ein solches liegt unter Berücksichtigung aller Umstände insbesondere dann vor, wenn:

1. die Grund- und Menschenrechte eingehalten werden;

2. das Datenschutzniveau europäischem Standard entspricht.

§ 4 Unverhältnismässiger Verwaltungsaufwand

1 Ein unverhältnismässiger Verwaltungsaufwand im Sinne von § 20a Abs. 2 des Ge - setzes liegt insbesondere dann vor, wenn:

1. eine Person wiederholt in derselben Angelegenheit ein Gesuch stellt;

2. die gesuchstellende Person trotz Aufforderung des verantwortlichen Organs ihrer Mitwirkungspflicht nicht nachkommt;

3. mit der Gesuchsbearbeitung ein besonders hoher materieller oder zeitlicher Aufwand verbunden ist.

1.2. Organisation

§ 5 Datenschutzbeauftragte oder Datenschutzbeauftragter

1 Die oder der Beauftragte für den Datenschutz (Datenschutzbeauftragte oder Daten - schutzbeauftragter) wird auf eine Amtsdauer von vier Jahren gewählt. *

2 Sie oder er ist administrativ der Staatskanzlei zugeordnet. *

§ 6 Aufsichtsstelle der Gemeinden

1 Die Gemeinden können eigene Aufsichtsstellen einrichten, die Aufsicht an Private übertragen oder zwecks Führung einer gemeinsamen Aufsichtsstelle mit anderen Gemeinden zusammenarbeiten.

2 Die Gemeinden sorgen für die Unabhängigkeit ihrer Aufsichtsstellen.

3 Die Aufsichtsstellen der Gemeinden sind spätestens ein Jahr nach Inkrafttreten des Gesetzes zu errichten und der oder dem Datenschutzbeauftragten zu melden. Muta - tionen bei der Aufsichtsstelle sind jeweils umgehend bekanntzugeben.

§ 7 Rechenschaftsbericht

1 Der jährliche Rechenschaftsbericht der oder des Datenschutzbeauftragten erfolgt im Rahmen des Geschäftsberichtes des Regierungsrates.

1.3. Datensammlungen, Register, Adressbücher und Nachschlagewerke

§ 8 Datensammlungen

1 Die Datensammlungen sind so zu gestalten, dass die betroffenen Personen ihre Rechte wahrnehmen können.

§ 9 Register

1 Das verantwortliche Organ führt das Register der von ihm angelegten Datensamm - lungen in einer für die Übernahme in das zentrale Register geeigneten Form. Die Aufsichtsstelle kann dazu Weisungen erlassen.

2 Kurzfristig verwendete Datensammlungen im Sinne von § 14 Abs. 3 Ziff. 1 des Gesetzes sind solche, die nur vorübergehend, insbesondere während der Dauer eines Verwaltungsverfahrens, geführt werden.

3 Ausschliesslich persönliche Arbeitsmittel im Sinne von § 14 Abs. 3 Ziff. 4 des Ge - setzes sind Datensammlungen, die der Arbeitserleichterung dienen und auf die nur die verantwortliche Person oder deren Stellvertretung Zugriff hat.

4 Das zentrale Register enthält für jedes verantwortliche Organ innerhalb des Zustän - digkeitsbereiches die Angaben über die von ihm angelegten Datensammlungen.

§ 10 Meldepflicht

1 Das verantwortliche Organ meldet Errichtung und Aufgabe von registrierungs - pflichtigen Datensammlungen mit den Angaben gemäss § 14 Abs. 2 des Gesetzes der Aufsichtsstelle.

§ 11 Adressbücher und Nachschlagewerke

1 Für Veröffentlichungen von allgemeinem Interesse dürfen folgende Personendaten bekanntgegeben werden:

1. für Adressbücher und ähnliche Nachschlagewerke: Name, Vorname, Firma, Adresse, Telefonnummer, Beruf und Titel von natürlichen und juristischen Personen;

2. für Staatskalender, Behördenverzeichnisse und ähnliche Nachschlagewerke: Name, Vorname, Titel, Beruf, Jahrgang, Adresse, Telefon sowie Funktion von Personen, die im öffentlichen Dienst stehen oder gestanden haben;

3. für Fahrzeugverzeichnisse: Name, Vorname, Firma und Adresse von Halterin - nen oder Haltern.

2 Auf die Bekanntgabe besteht kein Rechtsanspruch.

2. Datensicherheit

§ 12 Massnahmen

1 Das verantwortliche Organ hat eine angemessene Datensicherheit zu gewährleisten und trifft Massnahmen zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbar - keit, Datenexistenz und Nachvollziehbarkeit.

2 Personendaten sind vor folgenden Gefahren zu schützen:

1. unbefugte Vernichtung;

2. zufälliger Verlust;

3. technische Fehler;

4. Fälschung, Diebstahl oder widerrechtliche Verwendung;

5. unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitun - gen.

3 Die technischen und organisatorischen Massnahmen müssen angemessen sein. Ins - besondere haben sie folgenden Kriterien Rechnung zu tragen:

1. Zweck der Datenbearbeitung;

2. Art und Umfang der Datenbearbeitung;

3. Einschätzung der möglichen Risiken für die betroffenen Personen;

4. aktueller Stand der Technik.

4 Die Massnahmen sind von der Aufsichtsstelle periodisch zu überprüfen.

§ 13 Protokollierung

1 Bei der Bearbeitung von besonders schützenswerten Personendaten mittels EDV hat das verantwortliche Organ für die Protokollierung zu sorgen.

2 Die Protokolle sind entsprechend der Sensibilität mit angemessenen Massnahmen zu schützen und ein Jahr aufzubewahren.

3. Geltendmachung von Rechten

§ 14 Gesuch um Einsichtnahme

1 Gesuche um Einsichtnahme in Datenregister und Datensammlungen sind beim ver - antwortlichen Organ schriftlich einzureichen.

2 Das Gesuch ist so zu formulieren, dass daraus klar hervorgeht, in welche Daten - sammlungen oder Daten Einsicht begehrt wird. Die gesuchstellende Person hat sich über ihre Identität auszuweisen.

3 Generelle oder pauschale Einsichtsgesuche sind unzulässig.

§ 15 Geltendmachung weitergehender Rechte

1 Gesuche um Geltendmachung weitergehender Rechte im Sinne von § 22, § 23 und § 23a des Gesetzes sind schriftlich und begründet beim verantwortlichen Organ ein - zureichen. Die gesuchstellende Person hat sich über ihre Identität auszuweisen.

4. Schlussbestimmungen

§ 16 Aufhebung bisherigen Rechtes

1 Die Verordnung des Regierungsrates über den Datenschutz vom 6. Dezember 1988 wird aufgehoben.

§ 17 Inkrafttreten

1 Das Gesetz vom 19. Dezember 2007 betreffend die Änderung des Gesetzes über den Datenschutz vom 9. November 1987 und diese Verordnung treten am 5. Dezem - ber 2008 in Kraft.

Änderungstabelle - Nach Paragraph Element Beschluss Inkrafttreten Änderung Amtsblatt Erlass 04.11.2008 05.12.2008 Erstfassung ABl. 45/2008