235.11
Liechtensteinisches Landesgesetzblatt
Jahrgang 2002 Nr. 102 ausgegeben am 18. Juli 2002
Verordnung
vom 9. Juli 2002
zum Datenschutzgesetz (Datenschutzverordnung; DSV)
Aufgrund von Art. 8 Abs. 3, Art. 9 Abs. 2, Art. 11 Abs. 1 und 5, Art. 15 Abs. 6, Art. 20 Abs. 2, Art. 28 Abs. 3 und Art. 42 des Datenschutzgesetzes (DSG) vom 14. März 2002, LGBl. 2002 Nr. 551, verordnet die Regierung:
I. Bearbeiten von Personendaten durch private Personen
A. Auskunftsrecht
Art. 1
Modalitäten
1) Jede Person, die vom Inhaber einer Datensammlung Auskunft darüber verlangt, ob Daten über sie bearbeitet werden (Art. 11 DSG), muss dies in der Regel in schriftlicher Form beantragen und sich über ihre Identität ausweisen.
2) Das Auskunftsbegehren sowie die Auskunftserteilung können auf elektronischem Weg erfolgen, wenn der Inhaber der Datensammlung dies ausdrücklich vorsieht und angemessene Massnahmen trifft, um:
a) die Identifizierung der betroffenen Person sicherzustellen; und
b) die persönlichen Daten der betroffenen Person bei der Auskunftserteilung vor dem Zugriff unberechtigter Dritter zu schützen.2
3) Im Einvernehmen mit dem Inhaber der Datensammlung oder auf dessen Vorschlag hin kann die betroffene Person ihre Daten auch an Ort und Stelle einsehen. Die Auskunft kann auch mündlich erteilt werden, wenn die betroffene Person eingewilligt hat und vom Inhaber identifiziert worden ist.
4) Die Auskunft oder der begründete Entscheid über die Beschränkung des Auskunftsrechts (Art. 12 und 13 DSG) wird innert 30 Tagen seit dem Eingang des Auskunftsbegehrens erteilt. Kann die Auskunft nicht innert 30 Tagen erteilt werden, so muss der Inhaber der Datensammlung den Gesuchsteller hierüber benachrichtigen und ihm die Frist mitteilen, in der die Auskunft erfolgen wird.
5) Werden eine oder mehrere Datensammlungen von mehreren Inhabern gemeinsam geführt, kann das Auskunftsrecht bei jedem Inhaber geltend gemacht werden, sofern nicht einer von ihnen für die Behandlung aller Auskunftsbegehren verantwortlich ist. Wenn der Inhaber der Datensammlung zur Auskunftserteilung nicht ermächtigt ist, leitet er das Begehren an den Zuständigen weiter.
6) Betrifft das Auskunftsbegehren Daten, die im Auftrag des Inhabers der Datensammlung von einem Dritten bearbeitet werden, so leitet der Auftraggeber das Begehren an den Dritten zur Erledigung weiter, sofern er nicht selbst in der Lage ist, Auskunft zu erteilen.3
7) Aufgehoben4
Art. 2
Ausnahmen von der Kostenlosigkeit
1) Eine angemessene Beteiligung an den Kosten kann ausnahmsweise verlangt werden, wenn:
a) der antragsstellenden Person in den zwölf Monaten vor dem Gesuch die gewünschten Auskünfte bereits mitgeteilt wurden und kein schutzwürdiges Interesse an einer neuen Auskunftserteilung nachgewiesen werden kann. Ein schutzwürdiges Interesse ist insbesondere gegeben, wenn die Personendaten ohne Mitteilung an die betroffene Person verändert wurden;
b) die Auskunftserteilung mit einem besonders grossen Arbeitsaufwand verbunden ist.
2) Die Beteiligung beträgt maximal 200 Franken. Der Gesuchsteller ist über die Höhe der Beteiligung vor der Auskunftserteilung in Kenntnis zu setzen und kann sein Gesuch innert zehn Tagen zurückziehen.5
B. Anmeldung der Datensammlungen
Art. 3 6
Anmeldung und Aktualisierung
Die Anmeldung der Datensammlung bei der Datenschutzstelle hat die in Art. 15 Abs. 5 DSG angeführten Angaben zu enthalten. Der Inhaber einer Datensammlung hat diese Angaben laufend zu aktualisieren. Eingetretene Änderungen sind jährlich bei der Datenschutzstelle anzumelden.
Ausnahmen von der Anmeldepflicht7
Art. 3a 8
a) Datensammlungen
1) Ausgenommen von der Pflicht zur Anmeldung der Datensammlungen nach Art. 15 DSG sind:
a) Datensammlungen von Lieferanten oder Kunden, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;
b) Datensammlungen, deren Daten ausschliesslich zu nicht personenbezogenen Zwecken verwendet werden, namentlich in der Forschung, der Planung und der Statistik;
c) archivierte Datensammlungen, die nur zu historischen oder wissenschaftlichen Zwecken aufbewahrt werden;
d) Datensammlungen, die ausschliesslich Daten enthalten, die veröffentlicht wurden, oder welche die betroffene Person selbst allgemein zugänglich gemacht und deren Bearbeitung sie nicht ausdrücklich untersagt hat;
e) Daten, die ausschliesslich der Erfüllung der Anforderungen nach Art. 11 dienen;
f) Buchhaltungsunterlagen;
g) Hilfsdatensammlungen für die Personalverwaltung des Inhabers der Datensammlung, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;
h) Datensammlungen, für welche eine Zertifizierung gemäss der Verordnung über die Datenschutzzertifizierungen besteht, soweit sämtliche dieser Datensammlung dienenden Produkte, Systeme, Verfahren und Organisationen zertifiziert sind.9
2) Der Inhaber der Datensammlungen trifft die erforderlichen Massnahmen, um die Angaben gemäss Art. 15 Abs. 5 DSG zu den Datensammlungen, welche nach Abs. 1 keiner Anmeldepflicht unterliegen, auf Gesuch hin der Datenschutzstelle oder den betroffenen Personen mitteilen zu können.
b) Datensammlungen der Medien10
Art. 4
Datensammlungen der Medien
Datensammlungen sind nicht anzumelden, wenn:
a) sie vom Inhaber ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums verwendet werden und wenn ihre Daten Dritten nicht bekannt gegeben werden, ohne dass die betroffenen Personen davon Kenntnis haben;
b) sie ausschliesslich als persönliches Arbeitsinstrument des Journalisten verwendet werden.
Art. 4a 11
c) Datensammlungen, für die ein Datenschutzverantwortlicher bezeichnet wird
1) Inhaber einer Datensammlung sind nach Art. 15 Abs. 6 DSG von der Pflicht zur Anmeldung der Datensammlung befreit, wenn sie:
a) einen betrieblichen Datenschutzverantwortlichen bezeichnen, der die Anforderungen von Abs. 2 und von Art. 13a erfüllt; und
b) die Datenschutzstelle über die Bezeichnung des Datenschutzverantwortlichen informieren.
2) Der Inhaber der Datensammlung kann einen Mitarbeiter oder einen Dritten als Datenschutzverantwortlichen bezeichnen. Dieser darf keine anderen Tätigkeiten ausüben, die mit seinen Aufgaben als Datenschutzverantwortlicher unvereinbar sind, und muss über die erforderliche Fachkenntnis verfügen.
3) Die Datenschutzstelle publiziert eine Liste der ihr gegenüber von den Inhabern der Datensammlungen nach Abs. 1 Bst. b bezeichneten Datenschutzverantwortlichen.
Art. 4b 12
Vereinfachte Anmeldung
1) Die Datenschutzstelle kann auf Ersuchen des Inhabers für Datensammlungen, die der Pflicht zur Anmeldung unterliegen, eine vereinfachte Anmeldung zulassen, wenn unter Berücksichtigung der zu bearbeitenden Daten die Persönlichkeit der betroffenen Personen nicht gefährdet erscheint. Für die Überprüfung sind insbesondere zu berücksichtigten:
a) der Zweck der Bearbeitung;
b) die bearbeiteten Daten;
c) die betroffenen Personen;
d) die Empfänger bei einer Weitergabe; und
e) die Dauer einer Aufbewahrung.
2) Die vereinfachte Anmeldung enthält folgende Angaben:
a) Name und Adresse des Inhabers;
b) Zweck und vollständige Bezeichnung der Datensammlung; und
c) die Stelle, bei der das Auskunftsrecht geltend gemacht werden kann.
C. Bekanntgabe ins Ausland
Art. 5 13
Veröffentlichung in elektronischer Form
Werden Personendaten mittels im Gebiet des Europäischen Wirtschaftsraums betriebener automatisierter Informations- und Kommunikationsdienste zwecks Information der Öffentlichkeit allgemein zugänglich gemacht, so gilt dies nicht als Übermittlung ins Ausland.
Art. 6 14
Genehmigung der Bekanntgabe von Daten
1) Der Inhaber der Datensammlung hat den Antrag auf Genehmigung der Bekanntgabe von Daten ins Ausland nach Art. 8 Abs. 3 DSG beim Amt für Justiz einzureichen.15
2) Das Amt für Justiz leitet den Antrag nach Abs. 1 zur Stellungnahme an die Datenschutzstelle weiter. Diese prüft die Garantien und die einheitlichen Datenschutzregeln und teilt dem Amt für Justiz das Ergebnis ihrer Prüfung innert 30 Tagen ab Eingang mit.16
3) Gewährleisten die Garantien oder einheitlichen Datenschutzregelungen einen angemessenen Schutz, erteilt die Regierung dem Inhaber der Datensammlung die Genehmigung.
4) Wurde eine Genehmigung erteilt, so gilt diese für alle weiteren Bekanntgaben, die:
a) unter denselben Garantien erfolgen, soweit die Kategorien der Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder
b) innerhalb derselben juristischen Person oder Gesellschaft oder zwischen juristischen Personen oder Gesellschaften, die einer einheitlichen Leitung unterstehen, stattfinden, soweit die Datenschutzregeln weiterhin einen angemessenen Schutz gewährleisten.
5) Eine Genehmigung ist nicht notwendig, wenn Daten unter Anwendung von Standardvertragsklauseln nach Anhang 1 übermittelt werden. In diesen Fällen ist die Datenschutzstelle vom Inhaber der Datensammlung über die Datenbekanntgabe unter Verwendung dieser Standardvertragsklauseln zu informieren.
6) Der Inhaber der Datensammlung trifft angemessene Massnahmen, um sicherzustellen, dass der Empfänger die Garantien und die Datenschutzregeln beachtet.
Art. 7 17
Liste der Nicht-EWR-Mitgliedstaaten mit angemessener Datenschutzgesetzgebung
Die Liste der Nicht-EWR-Mitgliedstaaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet, ist im Anhang 2 enthalten.
Art. 8 18
Aufgehoben
D. Technische und organisatorische Massnahmen
Art. 9
Allgemeine Massnahmen
1) Wer als Privatperson Personendaten bearbeitet oder ein Datenkommunikationsnetz zur Verfügung stellt, sorgt für die Vertraulichkeit, die Verfügbarkeit und die Richtigkeit der Daten, um einen angemessenen Datenschutz zu gewährleisten. Insbesondere schützt er die Systeme gegen folgende Risiken:
a) unbefugte oder zufällige Vernichtung;
b) zufälligen Verlust;
c) technische Fehler;
d) Fälschung, Diebstahl oder widerrechtliche Verwendung;
e) unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.
2) Die technischen und organisatorischen Massnahmen müssen angemessen sein. Insbesondere tragen sie folgenden Kriterien Rechnung:
a) Zweck der Datenbearbeitung;
b) Art und Umfang der Datenbearbeitung;
c) Einschätzung der möglichen Risiken für die betroffenen Personen;
d) gegenwärtiger Stand der Technik.
3) Diese Massnahmen sind periodisch zu überprüfen.
4) Die Datenschutzstelle kann in diesem Bereich Empfehlungen in Form von Handbüchern erlassen.19
Art. 10
Besondere Massnahmen
1) Der Inhaber der Datensammlung trifft insbesondere bei der automatisierten Bearbeitung von Personendaten die technischen und organisatorischen Massnahmen, die geeignet sind, namentlich folgenden Zielen gerecht zu werden:
a) Zugangskontrolle: unbefugten Personen ist der Zugang zu den Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren;
b) Personendatenträgerkontrolle: unbefugten Personen ist das Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verunmöglichen;20
c) Transportkontrolle: bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern ist zu verhindern, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können;
d) Bekanntgabekontrolle: Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden, müssen identifiziert werden können;
e) Speicherkontrolle: unbefugte Eingabe in den Speicher sowie unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten sind zu verhindern;
f) Benutzerkontrolle: die Benutzung von automatisierten Datenverarbeitungssystemen mittels Einrichtungen zur Datenübertragung durch unbefugte Personen ist zu verhindern;
g) Zugriffskontrolle: der Zugriff der berechtigten Personen ist auf diejenigen Personendaten zu beschränken, die sie für die Erfüllung ihrer Aufgabe benötigen;
h) Eingabekontrolle: in automatisierten Systemen muss nachträglich überprüft werden können, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden.
2) Die Datensammlungen sind so zu gestalten, dass:21
a) die betroffenen Personen ihre Rechte wahrnehmen können (Intervenierbarkeit);
b) die Daten der betroffenen Personen nicht oder nur mit ausserordentlichem Aufwand für einen anderen als den ursprünglichen Zweck bearbeitet werden können (Nichtverkettbarkeit);
c) die Bearbeitung mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann (Transparenz).
Art. 11
Protokollierung
1) Der Inhaber der Datensammlung protokolliert die automatisierte Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen, wenn die präventiven Massnahmen den Datenschutz nicht gewährleisten können. Eine Protokollierung hat insbesondere dann zu erfolgen, wenn sonst nicht nachträglich festgestellt werden kann, ob die Daten für diejenigen Zwecke bearbeitet wurden, für die sie erhoben oder bekannt gegeben wurden. Die Datenschutzstelle kann die Protokollierung auch für andere Bearbeitungen empfehlen.22
2) Die Protokolle sind während eines Jahres revisionsgerecht festzuhalten. Sie sind ausschliesslich den Stellen oder privaten Personen zugänglich, denen die Überwachung der Datenschutzvorschriften obliegt, und dürfen nur für diesen Zweck verwendet werden.
Art. 12 23
Bearbeitungsreglement
1) Der Inhaber einer meldepflichtigen automatisierten Datensammlung (Art. 15 DSG), die nicht aufgrund von Art. 3a, 4 und 4a von der Meldepflicht ausgenommen ist, hat ein Bearbeitungsreglement zu erstellen.
2) Das Bearbeitungsreglement umschreibt insbesondere die Datenbearbeitungs- und die Kontrollverfahren und enthält alle wesentlichen Unterlagen über die Planung, Realisierung und den Betrieb der Datensammlung. Es enthält die für die Meldepflicht erforderlichen Angaben (Art. 15 Abs. 5 DSG) sowie Angaben über:
a) die für den Datenschutz und die Datensicherheit der Daten verantwortliche Stelle;
b) die Herkunft der Daten;
c) die Zwecke, für welche die Daten regelmässig bekannt gegeben werden;
d) die Kontrollverfahren und insbesondere die technischen und organisatorischen Massnahmen nach Art. 9 bis 11;
e) die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben;
f) Art und Umfang des Zugriffs der Benutzer der Datensammlung;
g) die Datenbearbeitungsverfahren, insbesondere die Verfahren bei der Berichtigung, Sperrung, Anonymisierung, Speicherung, Aufbewahrung, Archivierung oder Vernichtung der Daten;
h) die Konfiguration der Informatikmittel;
i) das Verfahren zur Ausübung des Auskunftsrechts.
3) Der Inhaber der Datensammlung aktualisiert das Reglement regelmässig.
Art. 13
Bekanntgabe der Daten
Der Inhaber der Datensammlung meldet dem Datenempfänger die Aktualität und die Zuverlässigkeit der von ihm bekannt gegebenen Personendaten, soweit diese Informationen nicht aus den Daten selbst oder aus den Umständen ersichtlich sind.
E. Datenschutzverantwortlicher24
Art. 13a 25
Aufgaben und Stellung des Datenschutzverantwortlichen
1) Der Datenschutzverantwortliche hat namentlich folgende Aufgaben:
a) Er prüft die Bearbeitung von Personendaten und empfiehlt Korrekturmassnahmen, wenn er feststellt, dass Datenschutzvorschriften verletzt wurden. Er erstattet der Datenschutzstelle im Sinne von Art. 30 DSG Meldung, wenn er schwere Verstösse gegen die Datenschutzvorschriften feststellt oder seinen Empfehlungen nicht in angemessener Zeit nachgekommen wird und die Verletzung weiter besteht.
b) Er führt eine Liste der Datensammlungen nach Art. 15 DSG, die vom Inhaber der Datensammlungen geführt werden; diese Liste ist der Datenschutzstelle oder betroffenen Personen, die ein entsprechendes Gesuch stellen, zur Verfügung zu stellen.
2) Der Datenschutzverantwortliche:
a) übt seine Funktion fachlich unabhängig aus, ohne diesbezüglich Weisungen des Inhabers der Datensammlung zu unterliegen;
b) verfügt über die zur Erfüllung seiner Aufgaben erforderlichen Ressourcen;
c) hat Zugang zu allen Datensammlungen und Datenbearbeitungen sowie zu allen Informationen, die er zur Erfüllung seiner Aufgaben benötigt.
II. Bearbeiten von Personendaten durch Behörden
A. Auskunftsrecht
Art. 14
Modalitäten
Art. 1 und 2 sind auf die an Behörden gerichteten Auskunftsbegehren sinngemäss anwendbar.
Art. 15
Auskunftsbegehren an die diplomatischen Vertretungen des Fürstentums Liechtenstein im Ausland
Die diplomatischen und konsularischen Vertretungen des Fürstentums Liechtenstein im Ausland erteilen keine Auskunft. Ein an sie gerichtetes Auskunftsbegehren wird zur Beantwortung an das Amt für Auswärtige Angelegenheiten weitergeleitet. Dieses ist die verantwortliche Stelle für alle Datensammlungen der Missionen des Fürstentums Liechtenstein im Ausland.
B. Anmeldung der Datensammlungen
Art. 16
Ordentliche Anmeldung
1) Die verantwortlichen Behörden (Art. 20 DSG) melden alle von ihnen geführten Datensammlungen vor deren Eröffnung bei der Datenschutzstelle an. Die Anmeldung enthält folgende Angaben:26
a) Name und Adresse der verantwortlichen Behörde;
b) Name und vollständige Bezeichnung der Datensammlung;
c) die Stelle, bei der das Auskunftsrecht geltend gemacht werden kann;
d) Rechtsgrundlage und Zweck der Datensammlung;
e) Kategorien der bearbeiteten Personendaten;
f) Kategorien der Empfänger der Daten;
g) Kategorien der an der Datensammlung Beteiligten, das heisst Dritte, die Daten in eine Datensammlung eingeben und verändern dürfen;
h) eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Massnahmen nach Art. 9 DSG zur Gewährleistung der Sicherheit der Bearbeitung angemessen sind.27
2) Die verantwortliche Behörde aktualisiert diese Angaben laufend und meldet jährlich die eingetretenen Änderungen an.
Art. 17 28
Ausnahmen von der Anmeldepflicht
1) Folgende Datensammlungen unterliegen nicht der Anmeldepflicht, sofern die Behörden sie ausschliesslich für verwaltungsinterne Zwecke verwenden:
a) Korrespondenzregistraturen;
b) Datensammlungen von Lieferanten oder Kunden, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;
c) Adressensammlungen, die einzig der Adressierung dienen, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;
d) Listen für Entschädigungszahlungen;
e) Buchhaltungsunterlagen;
f) Hilfsdatensammlungen für die Personalverwaltung des Landes, soweit sie keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile enthalten;
g) Bibliothekdatensammlungen (Autorenkataloge, Ausleiher und Benutzerverzeichnisse).
2) Ebenfalls nicht der Anmeldepflicht unterliegen:
a) Datensammlungen, die beim Landesarchiv archiviert sind;
b) Datensammlungen, die der Öffentlichkeit in Form von Verzeichnissen zugänglich gemacht werden;
c) Datensammlungen, deren Daten ausschliesslich zu nicht personenbezogenen Zwecken verwendet werden, namentlich in der Forschung, der Planung und der Statistik;
d) Datensammlungen, für welche eine Zertifizierung gemäss der Verordnung über die Datenschutzzertifizierungen besteht, soweit sämtliche dieser Datensammlung dienenden Produkte, Systeme, Verfahren und Organisationen zertifiziert sind.29
3) Die für die Datensammlungen verantwortliche Behörde trifft die erforderlichen Massnahmen, um die Angaben gemäss Art. 15 Abs. 5 DSG zu den Datensammlungen, welche nach Abs. 1 und 2 keiner Anmeldepflicht unterliegen, auf Gesuch hin der Datenschutzstelle oder den betroffenen Personen mitteilen zu können.
Art. 17a 30
Vereinfachte und globale Anmeldung
1) Die Datenschutzstelle kann auf Ersuchen der verantwortlichen Behörde für Datensammlungen, die der Pflicht zur Anmeldung unterliegen, eine vereinfachte Anmeldung zulassen, wenn unter Berücksichtigung der zu bearbeitenden Daten die Persönlichkeit der betroffenen Personen nicht gefährdet erscheint. Für die Überprüfung sind insbesondere zu berücksichtigen:
a) der Zweck der Bearbeitung;
b) die bearbeiteten Daten;
c) die betroffenen Personen;
d) die Empfänger bei einer Weitergabe; und
e) die Dauer einer Aufbewahrung.
2) Die vereinfachte Anmeldung enthält folgende Angaben:
a) Name und Adresse der verantwortlichen Behörde;
b) Zweck und vollständige Bezeichnung der Datensammlung;
c) die Stelle, bei der das Auskunftsrecht geltend gemacht werden kann.
3) Wenn eine Behörde mehrere Datensammlungen verwaltet, für die jeweils eine vereinfachte Anmeldung zugelassen wurde, bilden jene Datensammlungen, die derselben Kategorie angehören, Gegenstand einer globalen Anmeldung.
Art. 18
Ausnahmen von der Veröffentlichung
Datensammlungen werden im Register nicht veröffentlicht, wenn sie:
a) für höchstens zwei Jahre verwendet werden;
b) im Landesarchiv aufbewahrt werden;
c) Hilfsdatensammlungen für die Personalverwaltung sind, soweit die verantwortlichen Behörden die interne Veröffentlichung dieser Datensammlungen gewährleisten;
d) in Form von Jahrbüchern der Öffentlichkeit zugänglich sind.
C. Bekanntgabe31
Art. 18a 32
Bekanntgabe an private Personen
1) Behörden können Personendaten nach Art. 23 Abs. 2 DSG im Einzelfall auf mündliches oder schriftliches Gesuch hin an private Personen bekannt geben, wenn ein berechtigtes Interesse glaubhaft gemacht wird. Vorbehalten bleiben die Art. 23 Abs. 4 und 24 DSG.
2) Werden Personendaten nach Art. 23 Abs. 2 ausschliesslich für ideelle, insbesondere politische, kulturelle, soziale oder wissenschaftliche Zwecke verwendet, so können diese Daten auf schriftliches Gesuch hin auch nach bestimmten Gesichtspunkten (z.B. nach Jahrgängen) geordnet bekannt gegeben werden. Die Bekanntgabe der Personendaten hat schriftlich zu erfolgen.
3) Die Behörde hat den Gesuchsteller bei der Bekanntgabe der Personendaten ausdrücklich darauf hinzuweisen, dass die Daten nicht weitergegeben und ausschliesslich für den im Gesuch angegebenen Zweck verwendet werden dürfen.
4) Ist die Bekanntgabe der Personendaten für die Behörde mit erheblichem Aufwand verbunden, so kann sie eine Gebühr erheben; der Aufwandsberechnung wird ein Stundensatz von 100 Franken zu Grunde gelegt.
Art. 18b
Bekanntgabe im Abrufverfahren33
1) Behörden können vorbehaltlich der Art. 23 Abs. 4 und 24 DSG folgende Personendaten von Mitarbeitern oder von Personen, die unter ihrer Aufsicht stehen oder im öffentlichen Interesse liegende Aufgaben erfüllen, in einem öffentlich zugänglichen Abrufverfahren bekannt geben:
a) den Namen oder die Firma;
b) die Geschäftsadresse, die geschäftliche Telefon- und Telefaxnummer sowie die geschäftliche E-Mail-Adresse.34
2) Mit Ausnahme von besonders schützenswerten Personendaten und Persönlichkeitsprofilen dürfen auch andere als in Abs. 1 genannte Personendaten bekannt gegeben werden, wenn:
a) die betroffene Person nach vorgängiger Information über die geplante Bekanntgabe nicht von ihrem Recht auf Sperrung der Daten nach Art. 24 DSG Gebrauch gemacht hat;
b) nach den Umständen angenommen werden kann, dass die Bekanntgabe im Interesse der betroffenen Person liegt; oder
c) die betroffene Person ihre Daten allgemein zugänglich gemacht hat.35
3) Im Übrigen dürfen Behörden Personendaten in einem öffentlich zugänglichen Abrufverfahren nur bekannt geben, wenn:36
a) die Rechte der betroffenen Personen nicht gefährdet sind; und37
b) die Datenschutzstelle ihre Zustimmung erteilt hat.38
Art. 19 39
Bekanntgabe ins Ausland
Gibt eine Behörde Personendaten nach Massgabe von Art. 6 Abs. 2 Bst. a DSG ins Ausland bekannt, findet Art. 6 sinngemäss Anwendung.
D. Technische und organisatorische Massnahmen
Art. 20
Grundsätze
1) Die verantwortlichen Behörden treffen die nach Art. 9 bis 11 erforderlichen technischen und organisatorischen Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der Personen, über die Daten bearbeitet werden.
2) Die verantwortliche Behörde meldet dem Datenschutzverantwortlichen oder, falls kein solcher besteht, der Datenschutzstelle unverzüglich alle Projekte zur automatisierten Bearbeitung von Personendaten, damit die Erfordernisse des Datenschutzes sogleich berücksichtigt werden.40
3) Die verantwortliche Behörde hat bei der Ermittlung der Massnahmen nach Abs. 1 mit der Datenschutzstelle zusammenzuarbeiten.41
Art. 21
Bearbeitungsreglement
1) Die verantwortlichen Behörden erstellen ein Bearbeitungsreglement für automatisierte Datensammlungen, die:
a) besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten;
b) durch mehrere Behörden benutzt werden;
c) Gemeinden, ausländischen Behörden, internationalen Organisationen oder privaten Personen zugänglich gemacht werden; oder
d) mit anderen Datensammlungen verknüpft sind.
2) Die verantwortliche Behörde legt ihre interne Organisation im Bearbeitungsreglement fest. Dieses umschreibt insbesondere die Datenbearbeitungs- und Kontrollverfahren und enthält alle wesentlichen Unterlagen über die Planung, Realisierung und den Betrieb der Datensammlung. Das Reglement enthält die für die Meldepflicht erforderlichen Angaben (Art. 16) sowie Angaben über:
a) die für den Datenschutz und die Datensicherheit der Daten verantwortliche Stelle;
b) die Herkunft der Daten;
c) die Zwecke, für welche die Daten regelmässig bekannt gegeben werden;
d) die Kontrollverfahren und insbesondere die technischen und organisatorischen Massnahmen nach Art. 20;
e) die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben;
f) Art und Umfang des Zugriffs der Benutzer der Datensammlung;
g) die Datenbearbeitungsverfahren, insbesondere die Verfahren bei der Berichtigung, Sperrung, Anonymisierung, Speicherung, Aufbewahrung, Archivierung oder Vernichtung der Daten;
h) die Konfiguration der Informatikmittel;
i) das Verfahren zur Ausübung des Auskunftsrechts.42
3) Das Reglement wird regelmässig aktualisiert. Es wird den zuständigen Kontrollorganen in einer für diese verständlichen Form zur Verfügung gestellt.
Art. 22
Datenbearbeitung im Auftrag
1) Eine Behörde kann Personendaten durch einen Dritten bearbeiten lassen, wenn der Datenschutz gewährleistet ist.
2) Die Behörde, die Personendaten durch Dritte bearbeiten lässt, bleibt für den Datenschutz verantwortlich. Sie sorgt dafür, dass die Daten auftragsgemäss bearbeitet werden, insbesondere was deren Verwendung und Bekanntgabe betrifft.
3) Untersteht der Dritte dem Datenschutzgesetz nicht, vergewissert sich die verantwortliche Behörde, dass andere gesetzliche Bestimmungen einen gleichwertigen Datenschutz gewährleisten, andernfalls stellt es diesen auf vertraglichem Wege sicher.
Art. 23 43
Berater für den Datenschutz und Datenschutzverantwortlicher
1) Die Regierung bezeichnet mindestens einen Berater für den Datenschutz. Dieser Berater hat folgende Aufgaben:
a) Unterstützung der verantwortlichen Stelle und Benützer;
b) Förderung der Information und der Ausbildung der Mitarbeiter;
c) Mitwirkung beim Vollzug der Datenschutzvorschriften.
2) Wollen Behörden von der Pflicht zur Anmeldung ihrer Datensammlungen befreit werden, so sind die Art. 4a und 13a über den Datenschutzverantwortlichen anwendbar.
E. Besondere Bestimmungen
Art. 24
Beschaffung von Personendaten
1) Ist die befragte Person gesetzlich zur Erteilung einer Auskunft verpflichtet, muss sie von der Behörde, die die Personendaten erhebt, auf die Folgen der Auskunftsverweigerung oder einer falschen Antwort hingewiesen werden.
2) Ist die befragte Person nicht zur Auskunftserteilung verpflichtet, muss sie von der Behörde, die die Personendaten systematisch mittels Fragebogen erhebt, auf die Freiwilligkeit der Auskunftserteilung hingewiesen werden.
Art. 25
Persönliche Identifikationsnummer
1) Die Behörde, welche für die Verwaltung ihrer Datensammlung eine persönliche Identifikationsnummer einführt, schafft eine nichtsprechende Nummer, die im eigenen Aufgabenbereich verwendet wird. Eine nichtsprechende Nummer ist jede eindeutige oder umkehrbar eindeutige Summe von Zeichen, die jeder Person, die in einer Datensammlung registriert ist, zugeteilt wird, und aus der keine Rückschlüsse auf die Person gezogen werden können.
2) Die Verwendung der persönlichen Identifikationsnummer durch eine andere Behörde sowie durch private Personen muss von der betroffenen Behörde genehmigt werden.
3) Die Genehmigung kann erteilt werden, wenn ein enger Zusammenhang zwischen der vorgesehenen und derjenigen Datenbearbeitung besteht, für welche die persönliche Identifikationsnummer geschaffen wurde.
4) Im Übrigen wird die Verwendung der AHV-Nummer von der AHV-Gesetzgebung geregelt.
Art. 26
Bekanntgabe der Daten
Die verantwortliche Behörde meldet dem Datenempfänger die Aktualität und die Zuverlässigkeit der von ihm bekannt gegebenen Personendaten, soweit diese Informationen nicht aus den Daten selbst oder aus den Umständen ersichtlich sind.
IIa. Videoüberwachung44
Art. 27 45
Bewilligung einer Videoüberwachung
1) Der Antrag auf Bewilligung einer Videoüberwachung nach Art. 6a DSG ist bei der Datenschutzstelle schriftlich einzureichen und hat insbesondere zu enthalten:
a) den Namen und die Adresse des Inhabers der Videoüberwachung;
b) eine Beschreibung des Zwecks und der Notwendigkeit der Videoüberwachung;
c) einen detaillierten Situationsplan, aus welchem die Anzahl der Überwachungsgeräte, ihre jeweilige Positionierung und der resultierende Abdeckungsbereich ersichtlich werden;
d) eine detaillierte Beschreibung der Funktionsweise der Videoüberwachung, aus welcher sich die Arbeitweise des Systems (insbesondere die Erfassung, Übertragung, Aufzeichnung und Auswertung) ableiten lässt;
e) eine Auflistung der Personen oder Stellen, welche auf die Videoüberwachung oder die aus ihr resultierenden Daten Zugriff haben;
f) die Betriebszeiten der Videoüberwachung;
g) eine detaillierte Beschreibung, wie die Videoüberwachung und die dafür verantwortliche Auskunftsperson nach aussen gegenüber betroffenen Personen erkennbar gemacht werden soll; und
h) weitere Angaben, soweit sie im Einzelfall für die sachgerechte Beurteilung des Bewilligungsantrags als notwendig erscheinen.
2) Die Datenschutzstelle kann weitere Informationen und Auskünfte vom Antragsteller verlangen, wenn dies zur Beurteilung des Antrags als notwendig erscheint.
3) Die Datenschutzstelle kann eine Bewilligung höchstens für die Dauer von fünf Jahren erteilen. Die Bewilligung kann verlängert werden, wenn ein entsprechender Antrag mit den Angaben nach Abs. 1 spätestens drei Monate vor Ablauf der Gültigkeitsdauer der Bewilligung eingereicht wird.
4) Änderungen der Angaben nach Abs. 1 und 2 sind der Datenschutzstelle unverzüglich mitzuteilen. Bei wesentlichen Änderungen ist jedenfalls eine neue Bewilligung erforderlich.
III. Register der Datensammlungen, Datenschutzstelle und Datenschutzkommission46
A. Register und Registrierung von Datensammlungen47
Art. 28
Register der Datensammlungen
1) Das von der Datenschutzstelle geführte Register enthält die Informationen nach Art. 3, 4b, 16 und 17a.48
2) Das Register ist öffentlich und kann bei der Datenschutzstelle kostenlos eingesehen werden.49
3) Eine Liste der registrierten Datensammlungen wird im Internet veröffentlicht.50
4) Die Datenschutzstelle führt ein Verzeichnis der Inhaber von Datensammlungen, die ihrer Pflicht zur Anmeldung der Datensammlungen nach Art. 4a enthoben sind. Dieses Verzeichnis wird im Internet veröffentlicht.51
Art. 29
Registrierung von Datensammlungen
1) Liegt eine vollständige und formgerechte Anmeldung vor, registriert die Datenschutzstelle die Datensammlung. Bevor die Datensammlung registriert wird, prüft die Datenschutzstelle summarisch die Rechtmässigkeit der Datenbearbeitung.52
2) Wenn die zu registrierende Datensammlung die Vorschriften des Datenschutzes verletzt, empfiehlt die Datenschutzstelle, die vorgesehene Datenbearbeitung zu ändern, einzustellen oder zu unterlassen. Sie schiebt die Registrierung auf, bis die Rechtslage geklärt ist.53
3) Wenn der Inhaber seine Datensammlung nicht oder nur unvollständig anmeldet, setzt ihm die Datenschutzstelle eine Frist, um ihren Verpflichtungen nachzukommen. Nach Ablauf der Frist kann sie gestützt auf die Angaben, die ihr zur Verfügung stehen, von Amtes wegen die Datensammlung registrieren oder die Einstellung der Bearbeitung empfehlen.54
B. Datenschutzstelle55
Art. 30 56
Aufgehoben
Art. 31 57
Aufgehoben
Art. 32
Dokumentation
1) Die Amtsstellen legen der Datenschutzstelle alle Rechtssetzungsentwürfe vor, welche die Bearbeitung von Personendaten und den Datenschutz betreffen. Die Ministerien und die Regierungskanzlei teilen ihr ihre Entscheide in anonymisierter Form sowie ihre Richtlinien im Bereich des Datenschutzes mit.58
2) Die Datenschutzstelle muss über eine für ihre Tätigkeit ausreichende Dokumentation verfügen. Sie betreibt ein unabhängiges Informationssystem für die Dokumentation, die Aktenregistratur und das Register der Datensammlungen.59
3) Die Datenschutzkommission hat Zugriff auf die wissenschaftliche Dokumentation der Datenschutzstelle.60
Art. 33 61
Gebühren
1) Für Stellungnahmen und Gutachten der Datenschutzstelle wird eine Gebühr in Höhe des tatsächlichen Arbeitsaufwandes erhoben. Je nach Komplexität des Sachverhalts wird ein Stundensatz von 100 bis 500 Franken zu Grunde gelegt. Die Datenschutzstelle unterrichtet die gebührenpflichtige Person vorgängig über den voraussichtlichen Gebührensatz.62
2) Für die Bearbeitung von Bewilligungen nach Art. 27 wird pro Videoüberwachung je nach Aufwand der Bearbeitung des Antrags eine Gebühr von 100 bis 500 Franken erhoben. Für die Verlängerung einer Bewilligung beträgt die Gebühr die Hälfte der Gebühr nach Satz 1.
3) Gegenüber Behörden wird keine Gebühr erhoben.
Art. 34
Prüfung der Datenbearbeitung von Personendaten
1) Für die Abklärung des Sachverhalts nach Art. 29 und 30 DSG, insbesondere bei der Prüfung der Rechtmässigkeit der Datenbearbeitung, kann die Datenschutzstelle vom Inhaber der Datensammlung insbesondere folgende Auskünfte verlangen:63
a) technische und organisatorische Massnahmen (Art. 9 bis 11 und 20), die getroffen wurden oder geplant sind;
b) die Regelungen betreffend Berichtigung, Sperrung, Anonymisierung, Speicherung, Aufbewahrung und Vernichtung von Personendaten;
c) die Konfiguration der Informatikmittel;
d) die Verknüpfungen mit anderen Datensammlungen;
e) die Art der Bekanntgabe der Daten;
f) die Beschreibung der Datenfelder und die Organisationseinheiten, die darauf Zugriff haben;
g) Art und Umfang des Zugriffs der Benutzer auf die Daten der Datensammlung.
2) Bei Bekanntgaben ins Ausland kann die Datenschutzstelle zusätzliche Angaben verlangen, insbesondere über die Bearbeitungsmöglichkeiten des Datenempfängers oder über die zum Datenschutz getroffenen Massnahmen.64
C. Datenschutzkommission
Art. 35
1) Die Kommission kann verlangen, dass ihr Datenbearbeitungen vorgelegt werden.
2) Sie gibt der Datenschutzstelle ihre Entscheide bekannt.65
3) Im Übrigen ist das Gesetz über die allgemeine Landesverwaltungspflege anwendbar.
IV. Schlussbestimmung
Art. 36
Inkrafttreten
Diese Verordnung tritt gleichzeitig mit dem Datenschutzgesetz in Kraft.

Fürstliche Regierung:

gez. Rita Kieber-Beck

Regierungschef-Stellvertreterin
Anhang 166
(Art. 6 Abs. 5)
Standardvertragsklauseln, die einen angemessenen Datenschutz gewährleisten
Standardvertragsklauseln, die nach Art. 6 Abs. 5 einen angemessenen Datenschutz gewährleisten, sind Vertragsklauseln nach Massgabe:
a) der Entscheidung 2001/497/EG der Kommission vom 15. Juni 2001, in der Fassung der Entscheidung 2004/915/EG, hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG (EWR-Rechtssammlung: Anh. XI - 5ed.01 und 5ed.02);
b) des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (EWR-Rechtssammlung: Anh. XI - 5ef.01).
Anhang 267
(Art. 7)
Liste der Nicht-EWR-Mitgliedstaaten, deren
Gesetzgebung einen angemessenen Datenschutz

gewährleistet
1. Andorra;
2. Argentinien;
3. Färöer nach Massgabe des Beschlusses 2010/146/EU der Kommission vom 5. März 2010 gemäss der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzniveaus, den das färöische Gesetz über die Verarbeitung personenbezogener Daten bietet (EWR-Rechtssammlung: Anh. XI - 5el.01);
4. Guernsey;
5. Insel Man;
6. Israel nach Massgabe des Beschlusses 2011/61/EU der Kommission vom 31. Januar 2011 gemäss der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus im Staat Israel im Hinblick auf die automatisierte Verarbeitung personenbezogener Daten (EWR-Rechtssammlung: Anh. XI - 5en.01);
7. Jersey;
8. Kanada;
8a. Neuseeland;
9. Schweiz;
10. Aufgehoben
10a. Uruguay;
11. Vereinigte Staaten von Amerika nach Massgabe des Durchführungsbeschlusses (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäss der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (EWR-Rechtssammlung: Anh. XI - 5eq.01).

1   LR 235.1

2   Art. 1 Abs. 2 abgeändert durch LGBl. 2009 Nr. 209.

3   Art. 1 Abs. 6 abgeändert durch LGBl. 2009 Nr. 209.

4   Art. 1 Abs. 7 aufgehoben durch LGBl. 2014 Nr. 145.

5   Art. 2 Abs. 2 abgeändert durch LGBl. 2014 Nr. 145.

6   Art. 3 abgeändert durch LGBl. 2008 Nr. 320.

7   Sachüberschrift vor Art. 3a eingefügt durch LGBl. 2009 Nr. 209.

8   Art. 3a eingefügt durch LGBl. 2009 Nr. 209.

9   Art. 3a Abs. 1 Bst. h eingefügt durch LGBl. 2014 Nr. 145.

10   Sachüberschrift vor Art. 4 eingefügt durch LGBl. 2009 Nr. 209.

11   Art. 4a eingefügt durch LGBl. 2009 Nr. 209.

12   Art. 4b eingefügt durch LGBl. 2009 Nr. 209.

13   Art. 5 abgeändert durch LGBl. 2009 Nr. 209.

14   Art. 6 abgeändert durch LGBl. 2009 Nr. 209.

15   Art. 6 Abs. 1 abgeändert durch LGBl. 2013 Nr. 12.

16   Art. 6 Abs. 2 abgeändert durch LGBl. 2013 Nr. 12.

17   Art. 7 abgeändert durch LGBl. 2009 Nr. 209.

18   Art. 8 aufgehoben durch LGBl. 2014 Nr. 145.

19   Art. 9 Abs. 4 abgeändert durch LGBl. 2008 Nr. 320.

20   Art. 10 Abs. 1 Bst. b abgeändert durch LGBl. 2014 Nr. 145.

21   Art. 10 Abs. 2 abgeändert durch LGBl. 2014 Nr. 145.

22   Art. 11 Abs. 1 abgeändert durch LGBl. 2008 Nr. 320.

23   Art. 12 abgeändert durch LGBl. 2009 Nr. 209.

24   Überschrift vor 13a eingefügt durch LGBl. 2009 Nr. 209.

25   Art. 13a eingefügt durch LGBl. 2009 Nr. 209.

26   Art. 16 Abs. 1 Einleitungssatz abgeändert durch LGBl. 2008 Nr. 320.

27   Art. 16 Abs. 1 Bst. h abgeändert durch LGBl. 2009 Nr. 209.

28   Art. 17 abgeändert durch LGBl. 2009 Nr. 209.

29   Art. 17 Abs. 2 Bst. d eingefügt durch LGBl. 2014 Nr. 145.

30   Art. 17a eingefügt durch LGBl. 2009 Nr. 209.

31   Überschrift vor Art. 18a eingefügt durch LGBl. 2005 Nr. 206.

32   Art. 18a eingefügt durch LGBl. 2005 Nr. 206.

33   Art. 18b Sachüberschrift eingefügt durch LGBl. 2005 Nr. 206.

34   Art. 18b Abs. 1 eingefügt durch LGBl. 2005 Nr. 206.

35   Art. 18b Abs. 2 eingefügt durch LGBl. 2005 Nr. 206.

36   Art. 18b Abs. 3 Einleitungssatz eingefügt durch LGBl. 2005 Nr. 206.

37   Art. 18b Abs. 3 Bst. a eingefügt durch LGBl. 2005 Nr. 206.

38   Art. 18b Abs. 3 Bst. b eingefügt durch LGBl. 2005 Nr. 206 und abgeändert durch LGBl. 2008 Nr. 320.

39   Art. 19 abgeändert durch LGBl. 2014 Nr. 145.

40   Art. 20 Abs. 2 abgeändert durch LGBl. 2009 Nr. 209.

41   Art. 20 Abs. 3 abgeändert durch LGBl. 2008 Nr. 320.

42   Art. 21 Abs. 2 abgeändert durch LGBl. 2009 Nr. 209.

43   Art. 23 abgeändert durch LGBl. 2009 Nr. 209.

44   Überschrift vor Art. 27 eingefügt durch LGBl. 2009 Nr. 209.

45   Art. 27 abgeändert durch LGBl. 2009 Nr. 209.

46   Überschrift vor Art. 28 abgeändert durch LGBl. 2008 Nr. 320.

47   Überschrift vor Art. 28 abgeändert durch LGBl. 2008 Nr. 320.

48   Art. 28 Abs. 1 abgeändert durch LGBl. 2009 Nr. 209.

49   Art. 28 Abs. 2 abgeändert durch LGBl. 2008 Nr. 320.

50   Art. 28 Abs. 3 abgeändert durch LGBl. 2004 Nr. 221.

51   Art. 28 Abs. 4 abgeändert durch LGBl. 2014 Nr. 145.

52   Art. 29 Abs. 1 abgeändert durch LGBl. 2008 Nr. 320.

53   Art. 29 Abs. 2 abgeändert durch LGBl. 2008 Nr. 320.

54   Art. 29 Abs. 3 abgeändert durch LGBl. 2008 Nr. 320.

55   Überschrift vor Art. 30 abgeändert durch LGBl. 2008 Nr. 320.

56   Art. 30 aufgehoben durch LGBl. 2008 Nr. 320.

57   Art. 31 aufgehoben durch LGBl. 2008 Nr. 320.

58   Art. 32 Abs. 1 abgeändert durch LGBl. 2014 Nr. 145.

59   Art. 32 Abs. 2 abgeändert durch LGBl. 2008 Nr. 320.

60   Art. 32 Abs. 3 abgeändert durch LGBl. 2008 Nr. 320.

61   Art. 33 abgeändert durch LGBl. 2009 Nr. 209.

62   Art. 33 Abs. 1 abgeändert durch LGBl. 2015 Nr. 182.

63   Art. 34 Abs. 1 Einleitungssatz abgeändert durch LGBl. 2008 Nr. 320.

64   Art. 34 Abs. 2 abgeändert durch LGBl. 2008 Nr. 320.

65   Art. 35 Abs. 2 abgeändert durch LGBl. 2008 Nr. 320.

66   Anhang 1 abgeändert durch LGBl. 2012 Nr. 154.

67   Anhang 2 abgeändert durch LGBl. 2012 Nr. 154, LGBl. 2014 Nr. 145, LGBl. 2016 Nr. 85 und LGBl. 2017 Nr. 225.