235.1
Liechtensteinisches Landesgesetzblatt
Jahrgang 2002 Nr. 55 ausgegeben am 8. Mai 2002
Datenschutzgesetz (DSG)
vom 14. März 2002
Dem nachstehenden vom Landtag gefassten Beschluss erteile Ich Meine Zustimmung:
I. Allgemeine Bestimmungen
Art. 1
Zweck
1) Dieses Gesetz dient dem Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden.
2) Durch dieses Gesetz wird die Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EWR-Rechtssamm-lung: Anh. XI - 5e.01) umgesetzt.
Art. 2
Geltungsbereich
1) Dieses Gesetz gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch:
a) private Personen;
b) Behörden.
2) Dieses Gesetz gilt zudem für alle Bearbeitungen von Daten:
a) die im Rahmen der Tätigkeiten einer Niederlassung des Inhabers der Datensammlung in Liechtenstein ausgeführt werden;
b) die von einem Inhaber der Datensammlung ausgeführt werden, der an einem Ort niedergelassen ist, an dem liechtensteinisches Recht anwendbar ist;
c) die von einem Inhaber der Datensammlung ausgeführt werden, der nicht im Gebiet des Europäischen Wirtschaftsraums niedergelassen ist und zum Zwecke der Bearbeitung von Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die in Liechtenstein belegen sind, es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet des Europäischen Wirtschaftsraums verwendet werden. Der Inhaber der Datensammlung hat, ungeachtet seiner Verantwortlichkeit gegenüber dem Datenschutzbeauftragten, einen Vertreter in Liechtenstein zu benennen.
3) Dieses Gesetz findet keine Anwendung auf:
a) Personendaten, die eine natürliche Person ausschliesslich zum persönlichen Gebrauch bearbeitet und nicht an Aussenstehende bekannt gibt;
b) Beratungen im Landtag und in Kommissionen des Landtags;
c) hängige Zivil-, Straf- und Rechtshilfeverfahren sowie Verwaltungsbeschwerdeverfahren;
d) hängige Verfahren vor dem Staatsgerichtshof;
e) die Tätigkeiten der Finanzkontrolle des Landes;
f) öffentliche Register des Privatrechtsverkehrs;
g) Personendaten, welche aufgrund des Sorgfaltspflichtgesetzes anzulegen sind.
4) Abweichende und ergänzende Bestimmungen in anderen Gesetzen bleiben vorbehalten, sofern sie den Schutz vor unbefugter Bearbeitung von Daten im Sinne dieses Gesetzes sicherstellen.
Art. 3
Begriffe
1) Im Sinne dieses Gesetzes bedeuten:
a) "Personendaten (Daten)": Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen;
b) "betroffene Personen": natürliche und juristische Personen sowie rechtsfähige Personengesellschaften, über die Daten bearbeitet werden;
c) "private Personen": natürliche und juristische Personen sowie rechtsfähige Personengesellschaften, die dem Privatrecht unterstehen;
d) "Behörden": Organe des Staates, der Gemeinden und von Körperschaften, Stiftungen und Anstalten des öffentlichen Rechts sowie auch Private, soweit sie in Erfüllung der ihnen übertragenen öffentlichen Aufgaben tätig sind;
e) "besonders schützenswerte Personendaten": Daten über:
aa) die religiösen, weltanschaulichen und politischen Ansichten oder Tätigkeiten,
bb) die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit,
cc) Massnahmen der sozialen Hilfe,
dd) administrative oder strafrechtliche Verfolgungen und Sanktionen;
f) "Persönlichkeitsprofil": eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt;
g) "Bearbeiten von Personendaten": jeder Umgang mit Personendaten, wie das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten;
h) "Bekanntgeben von Personendaten": das Zugänglichmachen von Personendaten, wie das Einsichtgewähren, Weitergeben oder Veröffentlichen;
i) "Datensammlung": jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind;
k) "Inhaber der Datensammlung (Inhaber; Verantwortlicher)": private Personen oder Behörden, die über den Zweck und den Inhalt einer Datensammlung entscheiden;
l) "Empfänger": die private Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält, gleichgültig, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines einzelnen Untersuchungsauftrags möglicherweise Daten erhalten, gelten jedoch nicht als Empfänger;
m) "Einwilligung der betroffenen Person": jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass Daten, die sie betreffen, bearbeitet werden.
2) Soweit in diesem Gesetz nichts anderes bestimmt ist, sind unter den in diesem Gesetz verwendeten auf Personen bezogenen männlichen Begriffen Angehörige des weiblichen und männlichen Geschlechts zu verstehen.
II. Verwendung von Daten
A. Gemeinsame Bestimmungen
Art. 4
Grundsätze
1) Personendaten dürfen nur rechtmässig beschafft werden.
2) Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein.
3) Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.
Art. 5
Vorgängige Informationen
1) Werden Daten beschafft, so sind der betroffenen Person vom Inhaber der Datensammlung zumindest die nachstehenden Informationen zu erteilen, sofern ihr diese noch nicht vorliegen:
a) die Identität des Inhabers;
b) der Zweck der Bearbeitung.
2) Die Regierung kann mit Verordnung vorsehen, dass weitere Informationen zu erteilen sind, sofern diese unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, für eine Bearbeitung nach Treu und Glauben notwendig sind, wie beispielsweise:
a) die Datenkategorien, die bearbeitet werden;
b) die Empfänger oder Kategorien der Empfänger der Daten;
c) die Auskunfts- und Berichtigungsrechte.
3) Wurden Daten nicht bei der betroffenen Person erhoben, so sind ihr die Angaben gemäss Abs. 1 vom Inhaber bei Beginn der Speicherung der Daten bzw. im Fall einer beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Bekanntgabe zu erteilen.
4) Die vorstehenden Bestimmungen finden, insbesondere bei Bearbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung, keine Anwendung, wenn die Information der betroffenen Person unmöglich ist, unverhältnismässigen Aufwand erfordert oder die Speicherung oder Weitergabe gesetzlich ausdrücklich vorgesehen ist.
Art. 6
Automatisierte Einzelentscheidungen
1) Entscheidungen, die ausschliesslich aufgrund einer automatisierten Bearbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte einer Person, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens ergehen, stellen, wenn dies rechtliche Folgen nach sich zieht und zu einer erheblichen Beeinträchtigung führt, eine Verletzung der Persönlichkeit dar.
2) Entscheidungen gemäss Abs. 1 sind zulässig, wenn sie:
a) im Rahmen des Abschlusses oder der Erfüllung eines Vertrags, auf Ersuchen der betroffenen Person oder nachdem ihr Gelegenheit zur Stellungnahme gewährt wurde, ergehen; oder
b) durch ein Gesetz zugelassen sind.
Art. 7
Richtigkeit der Daten
1) Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern.
2) Jede betroffene Person kann verlangen, dass unrichtige Daten berichtigt werden.
Art. 8
Bekanntgabe ins Ausland
1) Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil ein Datenschutz fehlt, der dem liechtensteinischen gleichwertig ist. Dies gilt nicht im Verhältnis zu Mitgliedstaaten des EWR-Abkommens.
2) Wer Datensammlungen ins Ausland übermitteln will, muss dies dem Datenschutzbeauftragten vorher melden, wenn:
a) für die Bekanntgabe keine gesetzliche Pflicht besteht; und
b) die betroffenen Personen davon keine Kenntnis haben.
3) Die Regierung regelt das Nähere mit Verordnung. Sie kann insbesondere:
a) vereinfachte Meldungen oder Ausnahmen von der Meldepflicht vorsehen, wenn das Bearbeiten die Persönlichkeit der betroffenen Personen nicht gefährdet;
b) Staaten bezeichnen, welche gemäss Art. 25 Abs. 4 der Richtlinie 95/46/EG die Anforderungen gemäss Abs. 1 Satz 1 nicht erfüllen.
Art. 9
Datensicherheit
1) Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.
2) Die Regierung erlässt mit Verordnung nähere Bestimmungen über die Mindestanforderungen an die Datensicherheit.
Art. 10
Datengeheimnis
Wer Daten bearbeitet oder bearbeiten lässt, hat Daten aus Datenanwendungen, die ihm aufgrund seiner beruflichen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht.
Art. 11
Auskunftsrecht
1) Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Die Regierung legt mit Verordnung eine Frist fest, innert welcher in der Regel die Auskunft zu erteilen ist.
2) Der Inhaber der Datensammlung muss ihr mitteilen:
a) alle über sie in der Datensammlung vorhandenen Daten und deren Herkunft;
b) den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger;
c) den logischen Aufbau der automatisierten Bearbeitung der sie betreffenden Daten, im Fall automatisierter Entscheidungen gemäss Art. 6; und
d) je nach Fall die Berichtigung, Vernichtung oder Sperrung von Daten, deren Bearbeitung nicht den Bestimmungen dieses Gesetzes entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind.
3) Daten über die Gesundheit kann der Inhaber der Datensammlung der betroffenen Person durch einen von ihr bezeichneten Arzt mitteilen lassen.
4) Lässt der Inhaber der Datensammlung Personendaten durch einen Dritten bearbeiten, so bleibt er auskunftspflichtig. Der Dritte ist auskunftspflichtig, wenn er den Inhaber nicht bekannt gibt oder dieser keinen Wohnsitz im Inland hat.
5) Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen. Die Regierung regelt mit Verordnung die Ausnahmen. Sie kann namentlich eine Kostenbeteiligung vorsehen, wenn die Auskunft einen übermässigen Aufwand erfordert.
6) Niemand kann im Voraus auf das Auskunftsrecht verzichten.
Einschränkungen des Auskunftsrechts
Art. 12
a) im Allgemeinen
1) Der Inhaber der Datensammlung kann die Auskunft verweigern, einschränken oder aufschieben, wenn:
a) ein Gesetz dies vorsieht;
b) eine gerichtlich oder behördlich angeordnete Informationssperre vorliegt; oder
c) dies wegen überwiegender Interessen eines Dritten erforderlich ist.
2) Eine Behörde kann zudem die Auskunft verweigern, einschränken oder aufschieben, wenn:
a) dies wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit des Landes erforderlich ist; oder
b) die Auskunft den Zweck einer Strafuntersuchung oder eines andern Untersuchungsverfahrens in Frage stellt.
3) Private als Inhaber einer Datensammlung können zudem die Auskunft verweigern, einschränken oder aufschieben, soweit eigene überwiegende Interessen es erfordern und sie die Personendaten nicht an Dritte bekannt geben.
4) Der Inhaber der Datensammlung muss angeben, aus welchem Grund er die Auskunft verweigert, einschränkt oder aufschiebt.
Art. 13
b) für Medienschaffende
1) Der Inhaber einer Datensammlung, die ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums verwendet wird, kann die Auskunft verweigern, einschränken oder aufschieben, wenn:
a) die Personendaten Aufschluss über die Informationsquellen geben;
b) Einblick in Entwürfe für Publikationen gegeben werden müsste; oder
c) die freie Meinungsbildung des Publikums gefährdet würde.
2) Medienschaffende können die Auskunft zudem verweigern, einschränken oder aufschieben, wenn ihnen eine Datensammlung ausschliesslich als persönliches Arbeitsinstrument dient.
Art. 14
Widerspruchsrecht
1) Sofern die Verwendung von Daten nicht gesetzlich vorgesehen ist, hat jeder Betroffene das Recht, gegen die Verwendung seiner Daten wegen Verletzung überwiegender schutzwürdiger Interessen, die sich aus seiner besonderen Situation ergeben, beim Inhaber der Datensammlung Widerspruch zu erheben.
2) Im Fall eines berechtigten Widerspruchs darf sich die vom Inhaber vorgenommene Bearbeitung nicht mehr auf diese Daten beziehen.
3) Werden Daten für Zwecke der Direktwerbung bearbeitet, ist die betroffene Person vorgängig zu informieren (Art. 5) und auf das ihr zustehende unentgeltliche und sofort wirksame Widerspruchsrecht hinzuweisen.
Art. 15
Register der Datensammlungen
1) Der Datenschutzbeauftragte führt ein Register der Datensammlungen. Jede Person kann das Register einsehen.
2) Die Behörden müssen sämtliche Datensammlungen beim Datenschutzbeauftragten zur Registrierung anmelden.
3) Private Personen, die regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeiten oder Personendaten an Dritte bekannt geben, müssen Sammlungen anmelden, wenn:
a) für das Bearbeiten keine gesetzliche Pflicht besteht; und
b) die betroffenen Personen davon keine Kenntnis haben.
4) Datensammlungen müssen angemeldet werden, bevor sie eröffnet werden.
5) Die Anmeldung enthält folgende Angaben:
a) Name und Adresse des Inhabers der Datensammlung;
b) Name und vollständige Bezeichnung der Datensammlung;
c) Person, bei welcher das Auskunftsrecht geltend gemacht werden kann;
d) Zweck der Datensammlung;
e) Kategorien der bearbeiteten Personendaten;
f) Kategorien der Datenempfänger;
g) Kategorien der an der Datensammlung Beteiligten, das heisst Dritte, die in der Datensammlung Daten eingeben und Änderungen an den Daten vornehmen dürfen;
h) eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Massnahmen nach Art. 9 zur Gewährleistung der Sicherheit der Bearbeitung angemessen sind.
6) Die Regierung regelt mit Verordnung das Nähere über die Anmeldung und die Aktualisierung der Datensammlungen sowie die Führung und die Veröffentlichung des Registers. Sie kann für bestimmte Arten von Datensammlungen Ausnahmen von der Meldepflicht oder der Registrierung vorsehen, wenn das Bearbeiten die Persönlichkeit der betroffenen Personen nicht gefährdet.
B. Bearbeiten von Personendaten durch private Personen
Art. 16
Persönlichkeitsverletzungen
1) Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen.
2) Er darf insbesondere nicht ohne Rechtfertigungsgrund:
a) Personendaten entgegen den Grundsätzen von Art. 4, Art. 7 Abs. 1, Art. 8 Abs. 1 und Art. 9 Abs. 1 bearbeiten;
b) Daten einer Person gegen deren ausdrücklichen Willen bearbeiten;
c) besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeiten.
3) In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.
Rechtfertigungsgründe
Art. 17
a) bei Personendaten
1) Eine Verletzung der Persönlichkeit bei der Bearbeitung von Personendaten ist widerrechtlich, wenn sie nicht gerechtfertigt ist durch:
a) die Einwilligung des Verletzten;
b) ein überwiegendes privates oder öffentliches Interesse; oder
c) ein Gesetz.
2) Ein überwiegendes Interesse der bearbeitenden Person fällt insbesondere in Betracht, wenn diese:
a) in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags Personendaten über ihren Vertragspartner bearbeitet;
b) mit einer anderen Person in wirtschaftlichem Wettbewerb steht oder treten will und zu diesem Zweck Personendaten bearbeitet, ohne diese Dritten bekannt zu geben;
c) zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen;
d) beruflich Personendaten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet;
e) Personendaten zu nicht personenbezogenen Zwecken, insbesondere in der Forschung, Planung und Statistik, bearbeitet und die Ergebnisse so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind;
f) Daten bearbeitet, welche die betroffene Person allgemein zugänglich gemacht hat;
g) Daten über eine Person des öffentlichen Lebens sammelt, sofern sich die Daten auf das Wirken dieser Person in der Öffentlichkeit beziehen.
Art. 18
b) bei besonders schützenswerten Personendaten und Persönlichkeitsprofilen
Eine Verletzung der Persönlichkeit bei der Bearbeitung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen ist nicht widerrechtlich, wenn:
a) ein Gesetz es ausdrücklich vorsieht;
b) es für eine in einem Gesetz klar umschriebene Aufgabe unentbehrlich ist;
c) die betroffene Person im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht hat;
d) die Bearbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich ist, sofern die Person aus physischen oder rechtlichen Gründen ausserstande ist, ihre Einwilligung zu geben;
e) die Bearbeitung durch ideelle Vereinigungen erfolgt, unter der Voraussetzung, dass sich die Bearbeitung nur auf deren Mitglieder oder auf Personen bezieht, die im Zusammenhang mit ihrem Tätigkeitszweck regelmässige Kontakte mit ihr unterhalten und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden;
f) die Bearbeitung zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich ist; oder
g) die Bearbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und durch Personen vorgenommen wird, die einer beruflichen Geheimhaltungspflicht unterliegen.
Art. 19
Datenbearbeitung im Auftrag
1) Das Bearbeiten von Personendaten kann einem Dritten übertragen werden, wenn:
a) der Auftraggeber dafür sorgt, dass die Daten nur so bearbeitet werden, wie er es selbst tun dürfte; und
b) keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet.
2) Der Dritte unterliegt denselben Pflichten und kann dieselben Rechtfertigungsgründe geltend machen wie der Auftraggeber.
3) Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags und die Anforderungen in Bezug auf Massnahmen nach Abs. 1 und 2 schriftlich oder in einer anderen Form zu dokumentieren.
C. Bearbeiten von Personendaten durch Behörden
Art. 20
Verantwortliche Behörde
1) Für den Datenschutz ist diejenige Behörde verantwortlich, die in Erfüllung ihrer gesetzlichen Aufgaben Personendaten bearbeitet oder bearbeiten lässt.
2) Bearbeiten Behörden Personendaten zusammen mit anderen Behörden oder mit Privaten, so kann die Regierung die Verantwortung für den Datenschutz besonders regeln.
Art. 21
Rechtsgrundlagen
1) Behörden dürfen Personendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.
2) Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen sie nur bearbeiten, wenn ein Gesetz es ausdrücklich vorsieht oder wenn ausnahmsweise:
a) es für eine in einem Gesetz klar umschriebene Aufgabe unentbehrlich ist;
b) die Regierung es bewilligt, weil die Rechte der betroffenen Person nicht gefährdet sind; oder
c) die betroffene Person im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht hat.
Art. 22
Beschaffen von Personendaten
1) Bei systematischen Erhebungen, namentlich mit Fragebogen, gibt die Behörde den Zweck und die Rechtsgrundlage des Bearbeitens, die Kategorien der an der Datensammlung Beteiligten und der Datenempfänger bekannt.
2) Das Beschaffen von besonders schützenswerten Personendaten sowie von Persönlichkeitsprofilen muss für die betroffenen Personen erkennbar sein.
Art. 23
Bekanntgabe von Personendaten
1) Behörden dürfen Personendaten bekannt geben, wenn dafür Rechtsgrundlagen im Sinne von Art. 21 bestehen oder wenn:
a) die Daten für den Empfänger im Einzelfall zur Erfüllung seiner gesetzlichen Aufgabe unentbehrlich sind;
b) die betroffene Person im Einzelfall eingewilligt hat oder die Einwilligung nach den Umständen vorausgesetzt werden darf;
c) die betroffene Person ihre Daten allgemein zugänglich gemacht hat; oder
d) der Empfänger glaubhaft macht, dass die betroffene Person die Einwilligung verweigert oder die Bekanntgabe sperrt, um ihm die Durchsetzung von Rechtsansprüchen oder die Wahrnehmung anderer schutzwürdiger Interessen zu verwehren; der betroffenen Person ist vorher, wenn möglich, Gelegenheit zur Stellungnahme zu geben.
2) Behörden dürfen auf Anfrage Name, Vorname, Adresse und Geburtsdatum einer Person auch bekannt geben, wenn die Voraussetzungen von Abs. 1 nicht erfüllt sind.
3) Behörden dürfen Personendaten durch ein Abrufverfahren zugänglich machen, wenn dies ausdrücklich vorgesehen ist. Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen nur durch ein Abrufverfahren zugänglich gemacht werden, wenn ein Gesetz dies ausdrücklich vorsieht.
4) Die Behörde lehnt die Bekanntgabe ab, schränkt sie ein oder verbindet sie mit Auflagen, wenn:
a) wesentliche öffentliche Interessen oder offensichtlich schutzwürdige Interessen einer betroffenen Person es verlangen; oder
b) gesetzliche Geheimhaltungspflichten oder besondere Datenschutzvorschriften es verlangen.
Art. 24
Sperrung der Bekanntgabe
1) Eine betroffene Person, die ein schutzwürdiges Interesse glaubhaft macht, kann von der verantwortlichen Behörde verlangen, dass sie die Bekanntgabe von bestimmten Personendaten sperrt.
2) Die Behörde verweigert die Sperre oder hebt sie auf, wenn:
a) eine Rechtspflicht zur Bekanntgabe besteht; oder
b) die Erfüllung ihrer Aufgabe sonst gefährdet wäre.
Art. 25
Anonymisieren und Vernichten von Personendaten
Behörden müssen Personendaten, die sie nicht mehr benötigen, anonymisieren oder vernichten, soweit die Daten nicht:
a) Beweis- oder Sicherungszwecken dienen; oder
b) dem Landesarchiv oder anderen Archiven im Sinne des Archivgesetzes abzuliefern sind.
Art. 26
Bearbeitung für Forschung, Planung und Statistik
1) Personendaten dürfen für nicht personenbezogene Zwecke, insbesondere für Forschung, Planung und Statistik bearbeitet werden, wenn:
a) die Daten anonymisiert werden, sobald es der Zweck des Bearbeitens erlaubt;
b) der Empfänger die Daten nur mit Zustimmung des Inhabers weitergibt; und
c) die Ergebnisse so veröffentlicht werden, dass die betroffenen Personen nicht bestimmbar sind.
2) Die Anforderungen der folgenden Bestimmungen müssen nicht erfüllt sein:
a) Art. 4 Abs. 3 über den Zweck des Bearbeitens;
b) Art. 18 und 21 über die Rechtsgrundlagen für die Bearbeitung von besonders schützenswerten Daten und Persönlichkeitsprofilen; sowie
c) Art. 23 Abs. 1 über die Bekanntgabe von Personendaten.
Art. 27
Privatrechtliche Tätigkeit von Behörden
1) Handelt eine Behörde privatrechtlich, so gelten die Bestimmungen für das Bearbeiten von Personendaten durch private Personen.
2) Die Aufsicht richtet sich nach den Bestimmungen für Behörden.
III. Datenschutzbeauftragter und
Datenschutzkommission
A. Datenschutzbeauftragter
Art. 28
Bestellung und Organisation
1) Die Regierung bestellt einen Datenschutzbeauftragten.
2) Er erfüllt seine Aufgabe unabhängig. Er kann einem Ressort der Regierung administrativ zugeordnet werden.
3) Die Regierung regelt die Einzelheiten insbesondere hinsichtlich der Organisation und der Entschädigung mittels Verordnung.
Art. 29
Aufsicht über Behörden
1) Der Datenschutzbeauftragte überwacht die Anwendung der Bestimmungen dieses Gesetzes und der übrigen Datenschutzvorschriften durch die Behörden. Die Regierung ist von dieser Aufsicht ausgenommen.
2) Er klärt von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab.
3) Bei der Abklärung kann der Datenschutzbeauftragte Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen vorführen lassen. Die Behörden müssen an der Feststellung des Sachverhaltes mitwirken. Das Zeugnisverweigerungsrecht nach § 108 der Strafprozessordnung gilt sinngemäss.
4) Ergibt die Abklärung, dass Datenschutzvorschriften verletzt werden, so empfiehlt der Datenschutzbeauftragte der verantwortlichen Behörde, das Bearbeiten zu ändern oder zu unterlassen. Er orientiert die Regierung über seine Empfehlung.
5) Wird eine Empfehlung nicht befolgt oder abgelehnt, so kann er die Angelegenheit der Datenschutzkommission zum Entscheid vorlegen. Der Entscheid wird der betroffenen Person mitgeteilt.
Art. 30
Abklärungen und Empfehlungen im Privatrechtsbereich
1) Der Datenschutzbeauftragte klärt von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn:
a) Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen;
b) Datensammlungen registriert werden müssen (Art. 15);
c) Bekanntgaben ins Ausland gemeldet werden müssen (Art. 8).
2) Bei der Abklärung kann er Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen vorführen lassen. Das Zeugnisverweigerungsrecht nach § 108 der Strafprozessordnung gilt sinngemäss.
3) Der Datenschutzbeauftragte kann aufgrund seiner Abklärungen empfehlen, das Bearbeiten zu ändern oder zu unterlassen.
4) Wird eine solche Empfehlung des Datenschutzbeauftragten nicht befolgt oder abgelehnt, so kann er die Angelegenheit der Datenschutzkommission zum Entscheid vorlegen.
Art. 31
Berichterstattung; Information
1) Der Datenschutzbeauftragte erstattet der Regierung periodisch und nach Bedarf Bericht. Die periodischen Berichte werden veröffentlicht.
2) In Fällen von allgemeinem Interesse kann der Datenschutzbeauftragte die Öffentlichkeit über seine Feststellungen und Empfehlungen informieren. Personendaten, die dem Amtsgeheimnis unterstehen, darf er nur mit Zustimmung der zuständigen Behörde veröffentlichen. Verweigert diese die Zustimmung, so entscheidet die Datenschutzkommission endgültig.
Art. 32
Weitere Aufgaben
1) Der Datenschutzbeauftragte nimmt insbesondere folgende weitere Aufgaben wahr:
a) er unterstützt private Personen und Behörden durch allgemeine Orientierungen und individuelle Beratung;
b) er reicht in hängigen Verfahren auf Ersuchen von entscheidenden Organen oder Rechtsmittelbehörden Stellungnahmen zu Datenschutzfragen ein;
c) er begutachtet, inwieweit der Datenschutz im Ausland dem liechtensteinischem gleichwertig ist;
d) er nimmt Stellung zu Vorlagen und Erlassen, die für den Datenschutz erheblich sind und überprüft insbesondere deren Übereinstimmung mit den Bestimmungen der Richtlinie 95/46/EG;
e) er arbeitet mit in- und ausländischen Datenschutzbehörden zusammen;
f) er vertritt das Fürstentum Liechtenstein in der Datenschutzgruppe gemäss Art. 29 der Richtlinie 95/46/EG.
2) Er kann Behörden auch dann beraten, wenn dieses Gesetz nach Art. 2 Abs. 3 Bst. c bis f nicht anwendbar ist. Sie können ihm Einblick in ihre Geschäfte gewähren.
B. Datenschutzkommission
Art. 33
Datenschutzkommission
1) Die Datenschutzkommission besteht aus drei Mitgliedern, die zusammen mit zwei Ersatzmitgliedern vom Landtag auf vier Jahre gewählt werden. Der Landtag bestimmt den Vorsitzenden und seinen Stellvertreter.
2) Die Mitglieder der Datenschutzkommission unterliegen den Bestimmungen des Gesetzes über die allgemeine Landesverwaltungsrechtspflege (LVG) über Ausstand, Verantwortlichkeit und Verbot des Berichtens. Sie haben vor ihrem Amtsantritt bei der Regierung den Amtseid abzulegen.
Art. 34
Aufgaben
Die Datenschutzkommission entscheidet über:
a) Empfehlungen des Datenschutzbeauftragten, die ihr vorgelegt werden (Art. 29 Abs. 5; Art. 30 Abs. 4);
b) Beschwerden gegen Verfügungen von Behörden in Datenschutzfragen; ausgenommen sind solche der Regierung.
Art. 35
Einstweilige Verfügungen
1) Der Vorsitzende kann auf Ansuchen einer Partei oder des Datenschutzbeauftragten diejenigen einstweiligen Verfügungen treffen, welche erforderlich erscheinen, um einstweilen einen bestehenden Zustand zu regeln oder bedrohte rechtliche Verhältnisse sicherzustellen.
2) Einer Beschwerde gegen die einstweilige Verfügung kommt keine aufschiebende Wirkung zu.
3) Über Beschwerden gegen Verfügungen des Vorsitzenden entscheidet die Datenschutzkommission. Die Beschwerdefrist beträgt 14 Tage.
Art. 36
Entschädigung
Die Mitglieder der Datenschutzkommission werden für ihre Tätigkeit gemäss den Bestimmungen des Gesetzes betreffend die Bezüge der Mitglieder der Regierung, der Gerichtshöfe, der Kommissionen und der Organe von Anstalten und Stiftungen des Staates entschädigt.
IV. Rechtsschutz
A. Bearbeitung von Personendaten durch Private
Art. 37
Rechtsansprüche und Verfahren
1) Für Klagen und einstweilige Verfügungen (sichernde Massnahmen) zum Schutz der Persönlichkeit gelten die Art. 39 bis 41 des Personen- und Gesellschaftsrechts. Der Kläger kann insbesondere verlangen, dass die Personendaten berichtigt oder vernichtet werden oder dass ihre Bekanntgabe an Dritte gesperrt wird.
2) Kann weder die Richtigkeit noch die Unrichtigkeit von Personendaten dargetan werden, so kann der Kläger verlangen, dass bei den Daten ein entsprechender Vermerk angebracht wird.
3) Er kann verlangen, dass die Berichtigung, Vernichtung, Sperre, der Vermerk über die Bestreitung oder das Urteil Dritten mitgeteilt oder veröffentlicht wird.
4) Für Klagen zur Durchsetzung des Auskunftsrechts findet das Rechtsfürsorgeverfahren Anwendung.
B. Bearbeitung von Personendaten durch Behörden
Art. 38
Ansprüche und Verfahren
1) Wer ein schutzwürdiges Interesse hat, kann von der verantwortlichen Behörde verlangen, dass sie:
a) das widerrechtliche Bearbeiten von Personendaten unterlässt;
b) die Folgen eines widerrechtlichen Bearbeitens beseitigt;
c) die Widerrechtlichkeit des Bearbeitens feststellt.
2) Kann weder die Richtigkeit noch die Unrichtigkeit von Personendaten dargetan werden, so muss die Behörde bei den Daten einen entsprechenden Vermerk anbringen.
3) Der Antragsteller kann insbesondere verlangen, dass die Behörde:
a) Personendaten berichtigt, vernichtet oder die Bekanntgabe an Dritte sperrt;
b) ihre Entscheidung, namentlich die Berichtigung, Vernichtung, Sperre oder den Vermerk über die Bestreitung, Dritten mitteilt oder veröffentlicht.
4) Das Verfahren richtet sich nach dem Gesetz über die allgemeine Landesverwaltungspflege (LVG).
5) Entscheidungen und Verfügungen von Behörden können binnen 14 Tagen ab Zustellung mit Beschwerde bei der Datenschutzkommission angefochten werden. Gegen Entscheidungen der Datenschutzkommission kann binnen 14 Tagen ab Zustellung Beschwerde bei der Verwaltungsbeschwerdeinstanz eingereicht werden.
6) Gegen Entscheidungen der Regierung kann binnen 14 Tagen ab Zustellung Beschwerde bei der Verwaltungsbeschwerdeinstanz eingereicht werden.
V. Strafbestimmungen
Art. 39
Unbefugtes Beschaffen von Personendaten
Wer unbefugt besonders schützenswerte Personendaten, die nicht frei zugänglich sind, aus einer Datensammlung beschafft, ist auf Verlangen des Verletzten vom Landgericht wegen Vergehens mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
Art. 40
Verletzung der Informations-, Auskunfts-, Melde- und Mitwirkungspflicht
1) Private Personen, die ihre Pflichten nach den Art. 11 bis 13 verletzen, indem sie vorsätzlich eine falsche oder eine unvollständige Auskunft erteilen, werden auf Verlangen des Verletzten vom Landgericht wegen Übertretung mit Busse bis zu 20 000 Franken, im Nichteinbringlichkeitsfalle bis zu drei Monaten Freiheitsstrafe, bestraft.
2) Ebenso ist zu bestrafen, wer als private Person vorsätzlich:
a) Datensammlungen nach Art. 15 oder Datenbekanntgaben ins Ausland nach Art. 8 nicht meldet oder bei der Meldung falsche Angaben macht;
b) dem Datenschutzbeauftragten bei der Abklärung eines Sachverhaltes (Art. 30) falsche Auskünfte erteilt oder die Mitwirkung verweigert.
Art. 41
Verletzung des Datengeheimnisses
1) Wer vorsätzlich geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile unbefugt bekannt gibt, von denen er bei der Ausübung seines Berufes, der die Kenntnis solcher Daten erfordert, erfahren hat, ist auf Verlangen des Verletzten vom Landgericht wegen Vergehens mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
2) Ebenso ist zu bestrafen, wer vorsätzlich geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile unbefugt bekannt gibt, von denen er bei seiner Tätigkeit für den Geheimhaltungspflichtigen oder während der Ausbildung bei diesem erfahren hat.
3) Das unbefugte Bekanntgeben geheimer, besonders schützenswerter Personendaten oder Persönlichkeitsprofile ist auch nach Beendigung der Berufsausübung oder der Ausbildung strafbar.
VI. Übergangs- und Schlussbestimmungen
Art. 42
Durchführungsverordnungen
1) Die Regierung erlässt die zur Durchführung dieses Gesetzes notwendigen Verordnungen, insbesondere über:
a) Ausnahmen gemäss Art. 11 Abs. 5 über die Auskunft sowie von Art. 21 Abs. 2 Bst. b über die Bearbeitung besonders schützenswerter Personendaten und von Persönlichkeitsprofilen;
b) Kategorien von Datensammlungen, welche eine Bearbeitungsordnung benötigen;
c) Voraussetzungen, unter welchen eine Behörde Personendaten durch einen Dritten bearbeiten lassen oder für Dritte bearbeiten darf;
d) die Bekanntgabe von Daten in Art. 23 Abs. 2 und das Abrufverfahren gemäss Art. 23 Abs. 3;
e) die Verwendung von Mitteln zur Identifikation von Personen;
f) die Datensicherheit.
2) Sie kann für die Auskunftserteilung durch diplomatische und konsularische Vertretungen des Fürstentums Liechtenstein im Ausland Abweichungen von den Art. 12 und 13 vorsehen.
3) Sie regelt, wie Datensammlungen zu sichern sind, deren Daten im Kriegs- oder Krisenfall zu einer Gefährdung von Leib und Leben der betroffenen Personen führen können.
Art. 43
Bearbeitung von Personendaten in besonderen Bereichen der Verbrechensbekämpfung und im Bereich der staatlichen Sicherheit
1) Für das Bearbeiten von Personendaten zur Bekämpfung des Terrorismus, des gewalttätigen Extremismus, des organisierten Verbrechens und des verbotenen Nachrichtendienstes sowie zur Gewährleistung der staatlichen Sicherheit kann die Regierung bis zum Inkrafttreten eines Gesetzes, das diese Bereiche regelt:
a) Ausnahmen von den Bestimmungen über den Zweck des Bearbeitens (Art. 4 Abs. 3), die Datenbekanntgabe ins Ausland (Art. 8), die Meldepflicht und die Registrierung (Art. 15) sowie das Beschaffen von Personendaten (Art. 22) vorsehen;
b) das Bearbeiten von besonders schützenswerten Personendaten und Persönlichkeitsprofilen bewilligen, auch wenn die Voraussetzungen von Art. 21 Abs. 2 nicht erfüllt sind.
2) Das Stimm-, das Petitions- und das Statistikgeheimnis bleiben gewahrt.
3) Die Regierung entscheidet nach Anhörung des Datenschutzbeauftragten an Stelle der Datenschutzkommission oder ihres Vorsitzenden. Gegen Entscheidungen der Regierung kann binnen 14 Tagen ab Zustellung Beschwerde bei der Verwaltungsbeschwerdeinstanz eingereicht werden.
Art. 44
Übergangsbestimmungen
1) Die Inhaber von Datensammlungen müssen bestehende Datensammlungen, die nach Art. 15 zu registrieren sind, spätestens ein Jahr nach Inkrafttreten dieses Gesetzes anmelden.
2) Sie müssen binnen einem Jahr nach Inkrafttreten dieses Gesetzes die notwendigen Vorkehrungen treffen, damit sie die Auskünfte nach Art. 11 erteilen können.
3) Inhaber von Datensammlungen dürfen eine bestehende Datensammlung mit besonders schützenswerten Daten oder mit Persönlichkeitsprofilen noch während zwei Jahren nach Inkrafttreten dieses Gesetzes benützen, ohne dass die Voraussetzungen von Art. 18 und 21 erfüllt sind.
Art. 45
Inkrafttreten
1) Dieses Gesetz tritt vorbehaltlich Abs. 2 am 1. August 2002 in Kraft.
2) Art. 28 und 33 treten am Tage der Kundmachung in Kraft.
gez. Hans-Adam

gez. Otmar Hasler

Fürstlicher Regierungschef