235.1
Liechtensteinisches Landesgesetzblatt
Jahrgang 2018Nr. 272ausgegeben am 7. Dezember 2018
Datenschutzgesetz (DSG)
vom 4. Oktober 2018
Dem nachstehenden vom Landtag gefassten Beschluss erteile Ich Meine Zustimmung:1
I. Allgemeine Bestimmungen
A. Zweck, Anwendungsbereich und Begriffsbestimmungen
Art. 1
Zweck
1) Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen bei der Verarbeitung ihrer personenbezogenen Daten.
2) Es dient zudem:
a) der Durchführung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1);
b) der Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).
3) Die jeweils geltende Fassung der in Abs. 2 genannten Rechtsvorschriften ergibt sich aus der Kundmachung der Beschlüsse des Gemeinsamen EWR-Ausschusses und der Staatsverträge zur Weiterentwicklung des Schengen-Besitzstands im Liechtensteinischen Landesgesetzblatt nach Art. 3 Bst. c und k des Kundmachungsgesetzes.
Art. 2
Anwendungsbereich
1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch öffentliche Stellen. Für nicht-öffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschliesslich persönlicher oder familiärer Tätigkeiten.
2) Spezialgesetzliche Bestimmungen über den Datenschutz gehen den Vorschriften dieses Gesetzes vor. Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschliessend, finden die Vorschriften dieses Gesetzes subsidiär Anwendung. Die Verpflichtung zur Wahrung von Geheimhaltungspflichten oder von Berufs- oder Amtsgeheimnissen bleibt unberührt.
3) Dieses Gesetz findet Anwendung auf öffentliche Stellen. Auf nicht-öffentliche Stellen findet es Anwendung, sofern:
a) der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet;
b) die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt; oder
c) der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem EWR-Mitgliedstaat hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt.
Sofern dieses Gesetz nicht nach Satz 2 Anwendung findet, gelten für den Verantwortlichen oder Auftragsverarbeiter nur Art. 9 bis 20 und 39 bis 44.
4) Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten, finden die Verordnung (EU) 2016/679 und Kapitel I und II dieses Gesetzes entsprechend Anwendung, soweit nicht in diesem Gesetz oder einem anderen Gesetz Abweichendes geregelt ist.
5) Dieses Gesetz findet keine Anwendung auf:
a) Beratungen im Landtag und in Kommissionen des Landtags sowie im Richterauswahlgremium;
b) hängige Zivilverfahren und Verwaltungsbeschwerdeverfahren;
c) hängige Verfahren vor dem Staatsgerichtshof;
d) die Tätigkeiten der Finanzkontrolle des Landes.
6) Dieses Gesetz findet keine Anwendung, soweit das EWR-Recht, insbesondere die Verordnung (EU) 2016/679, unmittelbar gilt.
Art. 3
Begriffe und Bezeichnungen
1) Im Sinne dieses Gesetzes gelten als:
a) "öffentliche Stellen":
1. die Organe des Staates, der Gemeinden und von Körperschaften, Stiftungen und Anstalten des öffentlichen Rechts;
2. nicht-öffentliche Stellen, soweit sie in Erfüllung der ihnen übertragenen öffentlichen Aufgaben tätig sind;
b) "nicht-öffentliche Stellen":
1. natürliche und juristische Personen sowie rechtsfähige Personengesellschaften, die dem Privatrecht unterstehen, soweit sie nicht unter Bst. a Ziff. 2 fallen;
2. öffentliche Stellen nach Bst. a Ziff. 1, wenn sie privatwirtschaftlich handeln.
2) Unter den in diesem Gesetz verwendeten Personen- und Funktionsbezeichnungen sind Angehörige des weiblichen und männlichen Geschlechts zu verstehen.
B. Rechtsgrundlagen der Verarbeitung personenbezogener Daten
Art. 4
Verarbeitung personenbezogener Daten durch öffentliche Stellen
Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.
Art. 5
Videoüberwachung öffentlich zugänglicher Räume
1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit:
a) sie erforderlich ist:
1. zur Aufgabenerfüllung öffentlicher Stellen;
2. zur Wahrnehmung des Hausrechts; oder
3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke; und
b) keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
2) Bei der Videoüberwachung folgender Anlagen und Einrichtungen gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse:
a) öffentlich zugängliche grossflächige Anlagen, wie insbesondere Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätze; oder
b) Fahrzeuge und öffentlich zugängliche grossflächige Einrichtungen des öffentlichen Verkehrs.
3) Der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen sind durch geeignete Massnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen.
4) Die Speicherung oder Verwendung von nach Abs. 1 und 2 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Abs. 2 gilt entsprechend. Für einen anderen Zweck dürfen sie nur weiterverarbeitet werden, soweit dies zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit, zur Abwehr einer schweren Gefahr für Leib, Leben, Freiheit oder Eigentum sowie zur Verfolgung von Straftaten oder zur Beweissicherung erforderlich ist; in den letztgenannten Fällen kann die Landespolizei die Übermittlung der erhobenen Daten verlangen.
5) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, so besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung nach Art. 13 und 14 der Verordnung (EU) 2016/679. Art. 32 gilt entsprechend.
6) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
7) Der Einsatz einer Videoüberwachung muss vor der Inbetriebnahme bei der Datenschutzstelle gemeldet werden. Von einer Meldung ausgenommen sind Bildübermittlungen in Echtzeit ohne Aufzeichnungs- oder sonstige weitere Verarbeitungsmöglichkeit. Die Regierung regelt das Nähere mit Verordnung.
8) Wer vorsätzlich gegen die Meldepflicht nach Abs. 7 verstösst, wird von der Datenschutzstelle wegen Übertretung mit Busse bis zu 5 000 Franken bestraft. Art. 40 Abs. 3 bis 6 findet entsprechende Anwendung.
C. Datenschutzbeauftragte öffentlicher Stellen
Art. 6
Benennung
1) Öffentliche Stellen benennen einen Datenschutzbeauftragten. Dies gilt auch für öffentliche Stellen nach Art. 3 Abs. 1 Bst. b Ziff. 2, die privatwirtschaftlich handeln.
2) Für mehrere öffentliche Stellen kann unter Berücksichtigung ihrer Organisationsstruktur und ihrer Grösse ein gemeinsamer Datenschutzbeauftragter benannt werden.
3) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 8 genannten Aufgaben.
4) Der Datenschutzbeauftragte kann Beschäftigter der öffentlichen Stelle sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
5) Die öffentliche Stelle veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Datenschutzstelle mit.
Art. 7
Stellung
1) Die öffentliche Stelle stellt sicher, dass der Datenschutzbeauftragte ordnungsgemäss und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
2) Die öffentliche Stelle unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben nach Art. 8, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt.
3) Die öffentliche Stelle stellt sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte berichtet unmittelbar der Leitung der öffentlichen Stelle. Der Datenschutzbeauftragte darf von der öffentlichen Stelle wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
4) Die Abberufung des Datenschutzbeauftragten ist nur in entsprechender Anwendung von Art. 24 des Staatspersonalgesetzes zulässig.
5) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte nach der Verordnung (EU) 2016/679, diesem Gesetz sowie anderen Gesetzen über den Datenschutz im Zusammenhang stehenden Fragen zu Rate ziehen. Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit er nicht davon durch die betroffene Person befreit wird.
6) Wenn der Datenschutzbeauftragte bei seiner Tätigkeit Kenntnis von Daten erhält, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Datenschutzbeauftragten und den ihm unterstellten Beschäftigten zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Datenschutzbeauftragten reicht, unterliegen seine Akten und andere Dokumente einem Beschlagnahmeverbot.
Art. 8
Aufgaben
1) Dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
a) Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschliesslich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Gesetze;
b) Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschliesslich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Gesetze, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschliesslich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen;
c) Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung nach Art. 66;
d) Zusammenarbeit mit der Datenschutzstelle;
e) Tätigkeit als Anlaufstelle für die Datenschutzstelle in mit der Verarbeitung zusammenhängenden Fragen, einschliesslich der vorherigen Konsultation nach Art. 68 und gegebenenfalls Beratung zu allen sonstigen Fragen.
2) Im Fall eines bei einem Gericht bestellten Datenschutzbeauftragten beziehen sich die Aufgaben nach Abs. 1 nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit.
3) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
4) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
D. Datenschutzstelle
Art. 9
Stellung und Organisation
1) Die Datenschutzstelle ist die nationale Aufsichtsbehörde nach Art. 51 der Verordnung (EU) 2016/679 und Art. 41 der Richtlinie (EU) 2016/680.
2) Die Datenschutzstelle besteht aus dem Leiter der Datenschutzstelle und dem übrigen Personal.
3) Soweit sich aus der Verordnung (EU) 2016/679 oder diesem Gesetz nicht etwas anderes ergibt, findet auf das Dienstverhältnis des Leiters der Datenschutzstelle und des übrigen Personals der Datenschutzstelle das Staatspersonalgesetz sinngemäss Anwendung.
Art. 10
Zuständigkeit
1) Die Datenschutzstelle ist zuständig für die Aufsicht über die von öffentlichen und nicht-öffentlichen Stellen vorgenommenen Verarbeitungen.
2) Die Datenschutzstelle ist nicht zuständig für die Aufsicht über:
a) die von der Regierung im Rahmen ihrer Tätigkeit vorgenommenen Verarbeitungen;
b) die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.
Art. 11
Unabhängigkeit
1) Die Datenschutzstelle handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse völlig unabhängig. Sie unterliegt weder direkter noch indirekter Beeinflussung von aussen und ersucht weder um Weisung noch nimmt sie Weisungen entgegen.
2) Die Datenschutzstelle unterliegt der Prüfung durch die Finanzkontrolle nach dem Finanzkontrollgesetz.
Begründung und Beendigung von Dienstverhältnissen
Art. 12
a) Leiter der Datenschutzstelle
1) Der Landtag wählt den Leiter der Datenschutzstelle auf Vorschlag der Regierung für eine Dauer von sechs Jahren. Die Wiederwahl ist möglich.
2) Endet das Dienstverhältnis mit Ablauf der Vertragsdauer, so kann die Regierung in begründeten Fällen das Dienstverhältnis bis zur Anstellung eines Nachfolgers um bis zu sechs Monate verlängern.
3) Das Dienstverhältnis des Leiters der Datenschutzstelle endet mit Ablauf der Vertragsdauer; vorbehalten bleibt Abs. 4.
4) Das Dienstverhältnis des Leiters der Datenschutzstelle kann von der Regierung nur gekündigt bzw. aufgelöst werden, wenn:
a) er wegen Krankheit oder Unfall an der Erfüllung der Aufgaben verhindert ist; oder
b) ein wichtiger Grund für eine fristlose Auflösung vorliegt.
Art. 13
b) Übriges Personal der Datenschutzstelle
1) Das übrige Personal der Datenschutzstelle wird auf Vorschlag des Leiters der Datenschutzstelle von der Regierung angestellt.
2) Bestimmungen über die Versetzung und die Beendigung des Dienstverhältnisses nach Art. 16 und 18 bis 27 des Staatspersonalgesetzes finden auf das übrige Personal der Datenschutzstelle mit der Massgabe Anwendung, dass die Versetzung oder Beendigung des Dienstverhältnisses durch die Regierung eines Antrags des Leiters der Datenschutzstelle bedarf.
Art. 14
Rechte und Pflichten
1) Der Leiter der Datenschutzstelle sieht von allen mit den Aufgaben seines Amtes nicht zu vereinbarenden Handlungen ab und übt während seiner Amtszeit keine andere mit seinem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. Der Leiter der Datenschutzstelle darf weder dem Landtag, der Regierung, einem Gericht oder einer Verwaltungsbehörde angehören noch die Funktion eines Gemeindevorstehers oder eines Gemeinderates einer liechtensteinischen Gemeinde ausüben. Mit seiner Bestellung scheidet er aus solchen Ämtern aus. Er darf nicht gegen Entgelt aussergerichtliche Gutachten abgeben.
2) Der Leiter der Datenschutzstelle ist berechtigt, über Personen, die ihm in seiner Eigenschaft als Leiter der Datenschutzstelle Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern. Dies gilt auch für das übrige Personal der Datenschutzstelle mit der Massgabe, dass über die Ausübung dieses Rechts der Leiter der Datenschutzstelle entscheidet. Soweit das Zeugnisverweigerungsrecht des Leiters der Datenschutzstelle reicht, darf die Vorlegung oder Auslieferung von Akten oder anderen Dokumenten von ihm nicht gefordert werden.
3) Der Leiter der Datenschutzstelle ist, auch nach Beendigung seines Dienstverhältnisses, verpflichtet, über die ihm in Ausübung seines Amtes bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Der Leiter der Datenschutzstelle entscheidet nach pflichtgemässem Ermessen, ob und inwieweit er über solche Angelegenheiten vor Gericht oder aussergerichtlich aussagt oder Erklärungen abgibt; wenn er nicht mehr im Amt ist, ist die Genehmigung des amtierenden Leiters der Datenschutzstelle erforderlich. Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen.
4) Für den Leiter der Datenschutzstelle und das übrige Personal der Datenschutzstelle gelten die Art. 84 und 85 des Steuergesetzes nicht. Dies gilt nicht, soweit die Steuerbehörden die Kenntnis für die Durchführung eines Verfahrens wegen einer Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen, an deren Verfolgung ein zwingendes öffentliches Interesse besteht, oder soweit es sich um vorsätzlich falsche Angaben des Auskunftspflichtigen oder der für ihn tätigen Personen handelt. Stellt die Datenschutzstelle einen Datenschutzverstoss fest, ist sie befugt, diesen anzuzeigen und die betroffene Person hierüber zu informieren.
5) Der Leiter der Datenschutzstelle darf als Zeuge aussagen, es sei denn, die Aussage würde:
a) dem Wohl des Landes Nachteile bereiten, insbesondere Nachteile für die Sicherheit oder die Beziehungen zu anderen Staaten; oder
b) Grundrechte verletzen.
6) Betrifft die Aussage nach Abs. 5 laufende oder abgeschlossene Vorgänge, die dem Zuständigkeitsbereich der Regierung zuzurechnen sind oder sein könnten, darf der Leiter der Datenschutzstelle nur in Abstimmung mit der Regierung aussagen. Diese darf die Genehmigung nur verweigern, wenn es das Wohl des Landes erfordert.
7) Der Leiter der Datenschutzstelle erlässt ein Organisationsreglement, das der Regierung zur Kenntnis gebracht wird.
Art. 15
Aufgaben
1) Die Datenschutzstelle hat neben den in der Verordnung (EU) 2016/679 genannten die folgenden Aufgaben:
a) die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschliesslich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Gesetze, zu überwachen und durchzusetzen;
b) die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu sensibilisieren und sie darüber aufzuklären, wobei spezifische Massnahmen für Kinder besondere Beachtung finden;
c) den Landtag, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Massnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten zu beraten;
d) die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschliesslich den zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Gesetze, entstehenden Pflichten zu sensibilisieren;
e) auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschliesslich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Gesetze, zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenzuarbeiten;
f) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes nach Art. 55 der Richtlinie (EU) 2016/680 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
g) mit anderen Aufsichtsbehörden zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwendung und Durchsetzung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschliesslich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Gesetze, zu gewährleisten;
h) Untersuchungen über die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschliesslich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Gesetze, durchzuführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;
i) massgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken;
k) Beratung in Bezug auf die in Art. 68 genannten Verarbeitungsvorgänge zu leisten; und
l) Beiträge zur Tätigkeit des Europäischen Datenschutzausschusses zu leisten.
2) Im Anwendungsbereich der Richtlinie (EU) 2016/680 nimmt die Datenschutzstelle zudem die Aufgabe nach Art. 60 wahr.
3) Zur Erfüllung der in Abs. 1 Bst. c genannten Aufgabe kann die Datenschutzstelle zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an den Landtag oder eine seiner Kommissionen, die Regierung, sonstige Einrichtungen und Stellen richten. Auf Ersuchen des Landtags, einer seiner Kommissionen oder der Regierung geht die Datenschutzstelle ferner Hinweisen auf Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen Stellen nach.
4) Die Datenschutzstelle erleichtert das Einreichen der in Abs. 1 Bst. f genannten Beschwerden durch Massnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
5) Die Erfüllung der Aufgaben der Datenschutzstelle ist für die betroffene Person unentgeltlich. Bei offenkundig unbegründeten oder, insbesondere im Fall von häufiger Wiederholung, exzessiven Anfragen kann die Datenschutzstelle eine angemessene Gebühr auf der Grundlage des Aufwands verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Datenschutzstelle die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage. Die Regierung regelt das Nähere über die Gebühr mit Verordnung.
Art. 16
Tätigkeitsbericht
Die Datenschutzstelle erstellt einen Jahresbericht über ihre Tätigkeit, der eine Liste der Arten der gemeldeten Verstösse und der Arten der getroffenen Massnahmen, einschliesslich der verhängten Sanktionen und der Massnahmen nach Art. 58 Abs. 2 der Verordnung (EU) 2016/679, enthalten kann. Sie übermittelt den Bericht dem Landtag und der Regierung zur Kenntnisnahme und macht ihn der Öffentlichkeit, dem Europäischen Datenschutzausschuss und der EFTA-Überwachungsbehörde zugänglich.
Art. 17
Befugnisse
1) Die Datenschutzstelle nimmt im Anwendungsbereich der Verordnung (EU) 2016/679 die Befugnisse nach Art. 58 der Verordnung (EU) 2016/679 wahr. Kommt die Datenschutzstelle zu dem Ergebnis, dass Verstösse gegen die Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten vorliegen, teilt sie dies der zuständigen spezifischen Aufsichtsbehörde mit und gibt dieser vor der Ausübung der Befugnisse des Art. 58 Abs. 2 Bst. b bis g, i und j der Verordnung (EU) 2016/679 gegenüber dem Verantwortlichen Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist. Von der Einräumung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein zwingendes öffentliches Interesse entgegensteht. Die Stellungnahme soll auch eine Darstellung der Massnahmen enthalten, die aufgrund der Mitteilung der Datenschutzstelle getroffen worden sind.
2) Stellt die Datenschutzstelle bei Datenverarbeitungen durch nicht-öffentliche oder öffentliche Stellen zu Zwecken ausserhalb des Anwendungsbereichs der Verordnung (EU) 2016/679 Verstösse gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet sie dies gegenüber dem Verantwortlichen. Im Fall einer öffentlichen Stelle informiert sie zusätzlich die Regierung über die Beanstandung. Sie gibt dem Verantwortlichen, im Falle einer öffentlichen Stelle zusätzlich auch der Regierung, Gelegenheit zu einer Stellungnahme innerhalb einer von ihr zu bestimmenden angemessenen Frist. Die Datenschutzstelle kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. Die Stellungnahme soll auch eine Darstellung der Massnahmen enthalten, die aufgrund der Beanstandung der Datenschutzstelle getroffen worden sind. Die Datenschutzstelle kann den Verantwortlichen auch davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstossen.
3) Die Befugnisse der Datenschutzstelle erstrecken sich auch auf:
a) von öffentlichen oder nicht-öffentlichen Stellen erlangte personenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs; und
b) personenbezogene Daten, die einem Amtsgeheimnis, insbesondere dem Steuergeheimnis nach Art. 83 des Steuergesetzes, unterliegen.
4) Die öffentlichen oder nicht-öffentlichen Stellen sind verpflichtet, der Datenschutzstelle und den von ihr mit der Überwachung der Einhaltung der Vorschriften über den Datenschutz beauftragten Personen:
a) nach vorgängiger Verständigung durch die Datenschutzstelle oder beauftragten Personen Zugang zu den Grundstücken und Räumen, einschliesslich aller Datenverarbeitungsanlagen und -geräte, sowie zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu gewähren; und
b) alle Informationen, die für die Erfüllung ihrer Aufgaben erforderlich sind, bereitzustellen. Im Fall nicht-öffentlicher Stellen kann der Informationspflichtige die Information verweigern, wenn deren Bereitstellung ihn selbst oder einen der in § 108 Abs. 1 der Strafprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung aussetzen würde. Der Informationspflichtige ist darauf hinzuweisen.
5) Die Kontrolltätigkeit nach Abs. 4 ist unter möglichster Schonung der Rechte der öffentlichen oder nicht-öffentlichen Stellen und Dritter auszuüben.
6) Die Datenschutzstelle berät und unterstützt die Datenschutzbeauftragten mit Rücksicht auf deren typische Bedürfnisse. Sie kann die Abberufung des Datenschutzbeauftragten verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde nicht besitzt oder im Fall des Art. 38 Abs. 6 der Verordnung (EU) 2016/679 ein schwerwiegender Interessenkonflikt vorliegt.
7) Die Datenschutzstelle darf die von ihr gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten; hierbei darf sie Daten an andere Aufsichtsbehörden übermitteln. Eine Verarbeitung zu einem anderen Zweck ist über Art. 6 Abs. 4 der Verordnung (EU) 2016/679 hinaus zulässig, wenn:
a) offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde;
b) sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist; oder
c) sie zur Verfolgung von Straftaten, zur Vollstreckung oder zum Vollzug von Strafen oder Massnahmen des Strafgesetzbuches oder von Erziehungsmassnahmen oder weiteren Massnahmen im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbussen erforderlich ist.
E. Vertretung im Europäischen Datenschutzausschuss und Zusammenarbeit mit anderen Aufsichtsbehörden
Art. 18
Vertretung im Europäischen Datenschutzausschuss
Die Datenschutzstelle vertritt das Land im Europäischen Datenschutzausschuss.
Art. 19
Zusammenarbeit mit anderen Aufsichtsbehörden
Vor Übermittlung eines Standpunktes an die Aufsichtsbehörden anderer EWR-Mitgliedstaaten, die EFTA-Überwachungsbehörde oder den Europäischen Datenschutzausschuss beteiligt die Datenschutzstelle andere nationale Aufsichtsbehörden nach Art. 85 und 91 der Verordnung (EU) 2016/679, sofern diese von der Angelegenheit betroffen sind.
F. Rechtsschutz
Art. 20
Rechtsmittel
1) Gegen Entscheidungen und Verfügungen der Datenschutzstelle kann binnen vier Wochen ab Zustellung Beschwerde bei der Beschwerdekommission für Verwaltungsangelegenheiten erhoben werden.
2) Gegen Entscheidungen und Verfügungen der Beschwerdekommission für Verwaltungsangelegenheiten kann binnen vier Wochen ab Zustellung Beschwerde beim Verwaltungsgerichtshof erhoben werden; dieses Recht steht auch der Datenschutzstelle zu.
3) Die Datenschutzstelle darf Entscheidungen und Verfügungen gegenüber einer öffentlichen Stelle die aufschiebende Wirkung nicht entziehen.
II. Durchführungsbestimmungen für Verarbeitungen zu Zwecken nach Art. 2 der Verordnung (EU) 2016/679
A. Rechtsgrundlagen der Verarbeitung personenbezogener Daten
1. Verarbeitung besonderer Kategorien personenbezogener Daten und Verarbeitung zu anderen Zwecken
Art. 21
Verarbeitung besonderer Kategorien personenbezogener Daten
1) Abweichend von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 zulässig:
a) durch öffentliche und nicht-öffentliche Stellen, wenn sie:
1. erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen;
2. zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden; oder
3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist; ergänzend zu den in Abs. 2 genannten Massnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten;
b) durch öffentliche Stellen, wenn sie:
1. aus Gründen eines überwiegenden öffentlichen Interesses zwingend erforderlich ist;
2. zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist;
3. zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist; oder
4. aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Landes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Massnahmen erforderlich ist
und soweit die Interessen des Verantwortlichen an der Datenverarbeitung in den Fällen des Bst. b die Interessen der betroffenen Person überwiegen.
2) In den Fällen des Abs. 1 sind angemessene und spezifische Massnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:
a) technisch organisatorische Massnahmen, um sicherzustellen, dass die Verarbeitung nach der Verordnung (EU) 2016/679 erfolgt;
b) Massnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind;
c) Sensibilisierung der an Verarbeitungsvorgängen Beteiligten;
d) Benennung eines Datenschutzbeauftragten;
e) Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern;
f) Pseudonymisierung personenbezogener Daten;
g) Verschlüsselung personenbezogener Daten;
h) Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschliesslich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
i) zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen; oder
k) spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.
Art. 22
Verarbeitung zu anderen Zwecken durch öffentliche Stellen
1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch öffentliche Stellen im Rahmen ihrer Aufgabenerfüllung ist zulässig, wenn:
a) offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde;
b) Angaben der betroffenen Person überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen;
c) sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit, zur Wahrung erheblicher Belange des Gemeinwohls oder zur Sicherung des Steuer- und Zollaufkommens erforderlich ist;
d) sie zur Verfolgung von Straftaten, zur Vollstreckung oder zum Vollzug von Strafen oder Massnahmen des Strafgesetzbuches oder von Erziehungsmassnahmen oder weiteren Massnahmen im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbussen erforderlich ist;
e) sie zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist; oder
f) sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen des Verantwortlichen dient; dies gilt auch für die Verarbeitung zu Ausbildungs- und Prüfungszwecken durch den Verantwortlichen, soweit schutzwürdige Interessen der betroffenen Person dem nicht entgegenstehen.
2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Abs. 1 und ein Ausnahmetatbestand nach Art. 9 Abs. 2 der Verordnung (EU) 2016/679 oder nach Art. 21 vorliegen.
Art. 23
Verarbeitung zu anderen Zwecken durch nicht-öffentliche Stellen
1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nicht-öffentliche Stellen ist zulässig, wenn:
a) sie erforderlich ist:
1. zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten; oder
2. zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche; und
b) die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung nicht überwiegen.
2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Abs. 1 und ein Ausnahmetatbestand nach Art. 9 Abs. 2 der Verordnung (EU) 2016/679 oder nach Art. 21 vorliegen.
Art. 24
Datenübermittlungen durch öffentliche Stellen
1) Die Übermittlung personenbezogener Daten durch öffentliche Stellen an öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach Art. 22 zulassen würden. Der Dritte, an den die Daten übermittelt werden, darf diese nur für den Zweck verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung für andere Zwecke ist unter den Voraussetzungen des Art. 22 zulässig.
2) Die Übermittlung personenbezogener Daten durch öffentliche Stellen an nicht-öffentliche Stellen ist zulässig, wenn:
a) sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach Art. 22 zulassen würden;
b) der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; oder
c) sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist
und der Dritte sich gegenüber der übermittelnden öffentlichen Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Satz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.
3) Die Übermittlung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 ist zulässig, wenn die Voraussetzungen des Abs. 1 oder 2 und ein Ausnahmetatbestand nach Art. 9 Abs. 2 der Verordnung (EU) 2016/679 oder nach Art. 21 vorliegen.
2. Besondere Verarbeitungssituationen
Art. 25
Einschränkung des Auskunftsrechts für Medienschaffende
1) Werden personenbezogene Daten ausschliesslich zur Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums verarbeitet, so kann der Verantwortliche die Auskunft nach Art. 15 der Verordnung (EU) 2016/679 verweigern, einschränken oder aufschieben, wenn:
a) die personenbezogenen Daten Aufschluss über die Informationsquellen geben;
b) Einblick in Entwürfe für Publikationen gegeben werden müsste; oder
c) die freie Meinungsbildung des Publikums gefährdet würde.
2) Medienschaffende können die Auskunft nach Art. 15 der Verordnung (EU) 2016/679 zudem verweigern, einschränken oder aufschieben, wenn ihnen die Verarbeitung personenbezogener Daten ausschliesslich als persönliches Arbeitsinstrument dient.
Art. 26
Datengeheimnis
Wer personenbezogene Daten verarbeitet oder verarbeiten lässt, hat personenbezogene Daten aus Verarbeitungen, die ihm aufgrund seiner beruflichen Beschäftigung anvertraut wurden oder zugänglich gemacht geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Offenlegung der anvertrauten oder zugänglich gewordenen Daten besteht.
Art. 27
Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
1) Abweichend von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 auch ohne Einwilligung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke zulässig, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung überwiegen. Der Verantwortliche sieht angemessene und spezifische Massnahmen zur Wahrung der Interessen der betroffenen Person nach Art. 21 Abs. 2 Satz 2 vor.
2) Für im öffentlichen Interesse liegende wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke darf der Verantwortliche alle personenbezogenen Daten, die nicht unter Abs. 1 Satz 1 fallen, verarbeiten, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und wenn:
a) die Daten öffentlich zugänglich sind;
b) die Daten für den Verantwortlichen pseudonymisierte personenbezogene Daten sind und der Verantwortliche die Identität der betroffenen Person mit rechtlich zulässigen Mitteln nicht bestimmen kann; oder
c) die Einholung der Einwilligung der betroffenen Person mangels ihrer Erreichbarkeit unmöglich ist oder sonst einen unverhältnismässigen Aufwand bedeutet.
Abs. 1 Satz 2 gilt entsprechend. Art. 4 bleibt unberührt.
3) Die Bestimmungen von Abs. 1 und 2 gelten auch für personenbezogene Daten, die der Verantwortliche für andere Untersuchungen oder auch andere Zwecke zulässigerweise ermittelt hat.
4) Die in den Art. 15, 16, 18 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte der betroffenen Person sind insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich machen oder ernsthaft beinträchtigen und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist. Das Recht auf Auskunft nach Art. 15 der Verordnung (EU) 2016/679 besteht darüber hinaus nicht, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismässigen Aufwand erfordern würde.
5) Ergänzend zu den in Art. 21 Abs. 2 genannten Massnahmen sind zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitete personenbezogene Daten zu anonymisieren, sobald dies nach dem Forschungs- oder Statistikzweck möglich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen dem entgegen. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies erfordert.
6) Der Verantwortliche darf personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen unerlässlich ist.
Art. 28
Datenverarbeitung zu Zwecken der Personen-, Familien- und genealogischen Forschung sowie der Führung und Veröffentlichung von Familienchroniken und Biografien
Die Verarbeitung von personenbezogenen Daten ist auch ohne Einwilligung der betroffenen Person zu Zwecken der Personen-, Familien- und genealogischen Forschung sowie der Führung und Veröffentlichung von Familienchroniken und Biografien zulässig, wenn die Verarbeitung zu diesen Zwecken erforderlich ist. Sofern es sich um die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 handelt, ist dies abweichend von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 zulässig, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen die Interessen der betroffenen Personen an einem Ausschluss der Verarbeitung überwiegen. Der Verantwortliche sieht angemessene und spezifische Massnahmen zur Wahrung der Interessen der betroffenen Person nach Art. 21 Abs. 2 Satz 2 vor.
Art. 29
Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
1) Abweichend von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 zulässig, wenn sie für im öffentlichen Interesse liegende Archivzwecke erforderlich ist. Der Verantwortliche sieht angemessene und spezifische Massnahmen zur Wahrung der Interessen der betroffenen Person nach Art. 21 Abs. 2 Satz 2 vor.
2) Für im öffentlichen Interesse liegende Archivzwecke, die keine personenbezogenen Ergebnisse zum Ziel haben, darf der Verantwortliche alle personenbezogenen Daten, die nicht unter Abs. 1 Satz 1 fallen, verarbeiten, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und wenn:
a) die Daten öffentlich zugänglich sind;
b) die Daten für den Verantwortlichen pseudonymisierte personenbezogene Daten sind und der Verantwortliche die Identität der betroffenen Person mit rechtlich zulässigen Mitteln nicht bestimmen kann; oder
c) die Einholung der Einwilligung der betroffenen Person mangels ihrer Erreichbarkeit unmöglich ist oder sonst einen unverhältnismässigen Aufwand bedeutet.
Abs. 1 Satz 2 gilt entsprechend. Art. 4 bleibt unberührt.
3) Die Bestimmungen von Abs. 1 und 2 gelten auch für personenbezogene Daten, die der Verantwortliche für andere Untersuchungen oder auch andere Zwecke zulässigerweise ermittelt hat.
4) Das Recht auf Auskunft der betroffenen Person nach Art. 15 der Verordnung (EU) 2016/679 besteht nicht, wenn das Archivgut nicht durch den Namen der Person erschlossen ist oder keine Angaben gemacht werden, die das Auffinden des betreffenden Archivguts mit vertretbarem Verwaltungsaufwand ermöglichen.
5) Das Recht auf Berichtigung der betroffenen Person nach Art. 16 der Verordnung (EU) 2016/679 besteht nicht, wenn die personenbezogenen Daten zu Archivzwecken im öffentlichen Interesse verarbeitet werden. Bestreitet die betroffene Person die Richtigkeit der personenbezogenen Daten, ist ihr die Möglichkeit einer Gegendarstellung einzuräumen. Das zuständige Archiv ist verpflichtet, die Gegendarstellung den Unterlagen hinzuzufügen.
6) Die in Art. 18 Abs. 1 Bst. a, b und d, Art. 20 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte bestehen nicht, soweit diese Rechte voraussichtlich die Verwirklichung der im öffentlichen Interesse liegenden Archivzwecke unmöglich machen oder ernsthaft beeinträchtigen und die Ausnahmen für die Erfüllung dieser Zwecke erforderlich sind.
Art. 30
Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
1) Für die Rechte der betroffenen Person nach Art. 14, 15 und 34 der Verordnung (EU) 2016/679 gilt Folgendes:
a) die Pflicht zur Information der betroffenen Person nach Art. 14 Abs. 1 bis 4 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Art. 14 Abs. 5 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht, soweit durch ihre Erfüllung Informationen offenbart würden, die:
1. einer gesetzlichen Geheimhaltungspflicht unterliegen; oder
2. ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen;
b) das Recht auf Auskunft der betroffenen Person nach Art. 15 der Verordnung (EU) 2016/679 besteht nicht, soweit durch die Auskunft Informationen offenbart würden, die:
1. einer gesetzlichen Geheimhaltungspflicht unterliegen; oder
2. ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen;
c) die Pflicht zur Benachrichtigung nach Art. 34 der Verordnung (EU) 2016/679 besteht ergänzend zu der in Art. 34 Abs. 3 der Verordnung (EU) 2016/679 genannten Ausnahme nicht, soweit durch die Benachrichtigung Informationen offenbart würden, die:
1. einer gesetzlichen Geheimhaltungspflicht unterliegen; oder
2. ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.
Abweichend von der Ausnahme nach Bst. c Ziff. 2 ist die betroffene Person nach Art. 34 der Verordnung (EU) 2016/679 zu benachrichtigen, wenn die Interessen der betroffenen Person, insbesondere unter Berücksichtigung drohender Schäden, gegenüber dem Geheimhaltungsinteresse überwiegen.
2) Werden Daten Dritter im Zuge der Aufnahme oder im Rahmen eines Mandatsverhältnisses an einen Berufsgeheimnisträger übermittelt, so besteht die Pflicht der übermittelnden Stelle zur Information der betroffenen Person nach Art. 13 Abs. 3 der Verordnung (EU) 2016/679 nicht, sofern nicht das Interesse der betroffenen Person an der Informationserteilung überwiegt.
3) Gegenüber den in § 121 Abs. 1, 3 und 4 des Strafgesetzbuches genannten Personen oder deren Auftragsverarbeitern bestehen die Untersuchungsbefugnisse der Datenschutzstelle nach Art. 58 Abs. 1 Bst. e und f der Verordnung (EU) 2016/679 nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoss gegen die Geheimhaltungspflichten dieser Personen führen würde. Erlangt die Datenschutzstelle im Rahmen einer Untersuchung Kenntnis von Daten, die einer Geheimhaltungspflicht im Sinne des Satzes 1 unterliegen, gilt die Geheimhaltungspflicht auch für die Datenschutzstelle.
Art. 31
Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn:
a) die Vorschriften des Datenschutzrechts eingehalten wurden;
b) die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind;
c) für die Berechnung des Wahrscheinlichkeitswerts nicht ausschliesslich Anschriftendaten genutzt wurden; und
d) im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.
2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forderungen nur zulässig, soweit die Voraussetzungen nach Abs. 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz Fälligkeit nicht erbracht worden ist, berücksichtigt werden:
a) die durch einen Exekutionstitel nach Art. 1 der Exekutionsordnung festgestellt worden sind;
b) die nach Art. 66 der Konkursordnung festgestellt und nicht vom Gemeinschuldner an der Prüfungsverhandlung bestritten worden sind;
c) die der Schuldner ausdrücklich anerkannt hat;
d) bei denen:
1. der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist;
2. die erste Mahnung mindestens vier Wochen zurückliegt;
3. der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist; und
4. der Schuldner die Forderung nicht bestritten hat; oder
e) deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist.
3) Die Zulässigkeit der Verarbeitung, einschliesslich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonitätsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unberührt.
B. Rechte der betroffenen Person
Art. 32
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
1) Die Pflicht zur Information der betroffenen Person nach Art. 13 Abs. 3 der Verordnung (EU) 2016/679 besteht ergänzend zu der in Art. 13 Abs. 4 der Verordnung (EU) 2016/679 genannten Ausnahme dann nicht, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung:
a) eine Weiterverarbeitung analog gespeicherter Daten betrifft, bei der sich der Verantwortliche durch die Weiterverarbeitung unmittelbar an die betroffene Person wendet, der Zweck mit dem ursprünglichen Erhebungszweck nach der Verordnung (EU) 2016/679 vereinbar ist, die Kommunikation mit der betroffenen Person nicht in digitaler Form erfolgt und das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des Einzelfalls, insbesondere mit Blick auf den Zusammenhang, in dem die Daten erhoben wurden, als gering anzusehen ist;
b) im Fall einer öffentlichen Stelle die ordnungsgemässe Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben im Sinne von Art. 23 Abs. 1 Bst. a bis e der Verordnung (EU) 2016/679 gefährden würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen;
c) die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Landes Nachteile bereiten würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen;
d) die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen; oder
e) eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährden würde.
2) Unterbleibt eine Information der betroffenen Person nach Massgabe des Abs. 1, ergreift der Verantwortliche geeignete Massnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschliesslich der Bereitstellung der in Art. 13 Abs. 1 und 2 der Verordnung (EU) 2016/679 genannten Informationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information abgesehen hat. Die Sätze 1 und 2 finden in den Fällen des Abs. 1 Bst. d und e keine Anwendung.
3) Unterbleibt die Benachrichtigung in den Fällen des Abs. 1 wegen eines vorübergehenden Hinderungsgrundes, kommt der Verantwortliche der Informationspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen Frist nach Fortfall des Hinderungsgrundes, spätestens jedoch innerhalb von zwei Wochen, nach.
Art. 33
Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
1) Die Pflicht zur Information der betroffenen Person nach Art. 14 Abs. 1, 2 und 4 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Art. 14 Abs. 5 der Verordnung (EU) 2016/679 und der in Art. 30 Abs. 1 Bst. a genannten Ausnahme nicht, wenn die Erteilung der Information:
a) im Fall einer öffentlichen Stelle:
1. die ordnungsgemässe Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben im Sinne von Art. 23 Abs. 1 Bst. a bis e der Verordnung (EU) 2016/679 gefährden würde; oder
2. die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Landes Nachteile bereiten würde
und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss;
b) im Fall einer nicht-öffentlichen Stelle:
1. die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde oder die Verarbeitung Daten aus zivilrechtlichen Verträgen beinhaltet und der Verhütung von Schäden durch Straftaten dient, sofern nicht das berechtigte Interesse der betroffenen Person an der Informationserteilung überwiegt; oder
2. die zuständige öffentliche Stelle gegenüber dem Verantwortlichen festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Landes Nachteile bereiten würde; im Fall der Datenverarbeitung für Zwecke der Strafverfolgung bedarf es keiner Feststellung nach dem ersten Halbsatz.
2) Unterbleibt eine Information der betroffenen Person nach Massgabe des Abs. 1, ergreift der Verantwortliche geeignete Massnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschliesslich der Bereitstellung der in Art. 14 Abs. 1 und 2 der Verordnung (EU) 2016/679 genannten Informationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information abgesehen hat.
3) Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten durch öffentliche Stellen an die Landespolizei für ihre Aufgabenerfüllung im Rahmen des Staatsschutzes, ist sie nur mit Zustimmung der Landespolizei zulässig.
Art. 34
Auskunftsrecht der betroffenen Person
1) Das Recht auf Auskunft der betroffenen Person nach Art. 15 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Art. 27 Abs. 4, Art. 29 Abs. 4 und Art. 30 Abs. 1 Bst. b genannten Ausnahmen nicht, wenn:
a) die betroffene Person nach Art. 33 Abs. 1 Bst. a, b Ziff. 2 oder Abs. 3 nicht zu informieren ist; oder
b) die Daten:
1. nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmässiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen; oder
2. ausschliesslich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen
und die Auskunftserteilung einen unverhältnismässigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Massnahmen ausgeschlossen ist.
2) Die Gründe der Auskunftsverweigerung sind zu dokumentieren. Die Ablehnung der Auskunftserteilung ist gegenüber der betroffenen Person zu begründen, soweit nicht durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. Die zum Zweck der Auskunftserteilung an die betroffene Person und zu deren Vorbereitung gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verarbeitet werden; für andere Zwecke ist die Verarbeitung nach Massgabe des Art. 18 der Verordnung (EU) 2016/679 einzuschränken.
3) Wird der betroffenen Person durch eine öffentliche Stelle keine Auskunft erteilt, so ist die Auskunft auf Verlangen der betroffenen Person der Datenschutzstelle zu erteilen, soweit nicht die Regierung im Einzelfall feststellt, dass dadurch die Sicherheit des Landes gefährdet würde. Die Mitteilung der Datenschutzstelle an die betroffene Person über das Ergebnis der datenschutzrechtlichen Prüfung darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Auskunft zustimmt.
4) Das Recht der betroffenen Person auf Auskunft über personenbezogene Daten, die durch eine öffentliche Stelle weder automatisiert verarbeitet noch nicht automatisiert verarbeitet und in einem Dateisystem gespeichert werden, besteht nur, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht ausser Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.
Art. 35
Recht auf Löschung
1) Ist eine Löschung im Fall nicht automatisierter oder automatisierter Datenverarbeitung wegen der besonderen Art der Verarbeitung oder Speicherung nicht oder nur mit unverhältnismässig hohem Aufwand möglich und ist das Interesse der betroffenen Person an der Löschung als gering anzusehen, besteht das Recht der betroffenen Person auf und die Pflicht des Verantwortlichen zur Löschung personenbezogener Daten nach Art. 17 Abs. 1 der Verordnung (EU) 2016/679 ergänzend zu den in Art. 17 Abs. 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung nach Art. 18 der Verordnung (EU) 2016/679. Die Sätze 1 und 2 finden keine Anwendung, wenn die personenbezogenen Daten unrechtmässig verarbeitet wurden.
2) Ergänzend zu Art. 18 Abs. 1 Bst. b und c der Verordnung (EU) 2016/679 gilt Abs. 1 Satz 1 und 2 entsprechend im Fall des Art. 17 Abs. 1 Bst. a und d der Verordnung (EU) 2016/679, solange und soweit der Verantwortliche Grund zu der Annahme hat, dass durch eine Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden. Der Verantwortliche unterrichtet die betroffene Person über die Einschränkung der Verarbeitung, sofern sich die Unterrichtung nicht als unmöglich erweist oder einen unverhältnismässigen Aufwand erfordern würde.
3) Ergänzend zu Art. 17 Abs. 3 Bst. b der Verordnung (EU) 2016/679 gilt Abs. 1 entsprechend im Fall des Art. 17 Abs. 1 Bst. a der Verordnung (EU) 2016/679, wenn einer Löschung satzungsgemässe oder vertragliche Aufbewahrungsfristen entgegenstehen.
Art. 36
Widerspruchsrecht
Das Recht auf Widerspruch nach Art. 21 Abs. 1 der Verordnung (EU) 2016/679 gegenüber einer öffentlichen Stelle besteht nicht, soweit an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder eine gesetzliche Bestimmung zur Verarbeitung verpflichtet.
Art. 37
Automatisierte Entscheidungen im Einzelfall einschliesslich Profiling
1) Das Recht nach Art. 22 Abs. 1 der Verordnung (EU) 2016/679, keiner ausschliesslich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, besteht über die in Art. 22 Abs. 2 Bst. a und c der Verordnung (EU) 2016/679 genannten Ausnahmen hinaus nicht, wenn die Entscheidung im Rahmen:
a) der Leistungserbringung nach einem Versicherungsvertrag ergeht und
1. die Festsetzung der Versicherungsprämie betrifft;
2. dem Begehren der betroffenen Person stattgegeben wurde; oder
3. die Entscheidung auf der Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen beruht;
b) der Wahrnehmung der Sorgfaltspflichten bei Aufnahme einer Geschäftsbeziehung, der risikoadäquaten Überwachung sowie der Risikobewertung nach den Art. 5, 9 und 9a des Sorgfaltspflichtgesetzes ergeht;
c) des Kreditgeschäfts nach Art. 3 Abs. 3 Bst. b des Bankengesetzes ergeht; oder
d) der Erbringung einer Wertpapierdienstleistung oder Wertpapiernebendienstleistung nach Art. 3 Abs. 4 des Bankengesetzes oder Art. 3 des Vermögensverwaltungsgesetzes ergeht.
2) Mit Ausnahme von Abs. 1 Bst. a Ziff. 2 und Bst. b hat der Verantwortliche angemessene Massnahmen zur Wahrung der berechtigten Interessen der betroffenen Person zu treffen, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung zählt; der Verantwortliche informiert die betroffene Person über diese Rechte spätestens zum Zeitpunkt der Mitteilung, aus der sich ergibt, dass dem Antrag der betroffenen Person nicht vollumfänglich stattgegeben wird oder die betroffene Person von der automatisierten Entscheidung negativ betroffen sein könnte.
3) Entscheidungen nach Abs. 1 Bst. a dürfen auf der Verarbeitung von Gesundheitsdaten im Sinne von Art. 4 Ziff. 15 der Verordnung (EU) 2016/679 beruhen. Der Verantwortliche sieht angemessene und spezifische Massnahmen zur Wahrung der Interessen der betroffenen Person nach Art. 21 Abs. 2 Satz 2 vor.
C. Pflichten der Verantwortlichen und Auftragsverarbeiter
Art. 38
Datenschutzbeauftragte nicht-öffentlicher Stellen
1) Ist die Benennung eines Datenschutzbeauftragten bei nicht-öffentlichen Stellen zwingend vorgeschrieben, so ist die Abberufung des Datenschutzbeauftragten nur unter den Voraussetzungen der arbeitsrechtlichen Bestimmungen über die fristlose Auflösung aus wichtigen Gründen nach § 1173a Art. 53 ABGB zulässig.
2) Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit er nicht davon durch die betroffene Person befreit wird.
3) Wenn der Datenschutzbeauftragte bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Verantwortlichen oder Auftragsverarbeiter ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Datenschutzbeauftragten und den ihm unterstellten Beschäftigten zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Datenschutzbeauftragten reicht, unterliegen seine Akten und andere Dokumente einem Beschlagnahmeverbot.
Art. 39
Akkreditierung
1) Die Erteilung der Befugnis, als Zertifizierungsstelle nach Art. 43 Abs. 1 Satz 1 der Verordnung (EU) 2016/679 tätig zu werden, erfolgt durch die Liechtensteinische Akkreditierungsstelle.
2) Die Regierung kann das Nähere über die Akkreditierung mit Verordnung regeln.
D. Strafbestimmungen
Art. 40
Übertretungen nach der Verordnung (EU) 2016/679
1) Von der Datenschutzstelle wird wegen Übertretung mit Busse nach Abs. 2 bestraft, wer - wenn auch nur fahrlässig - nach Massgabe von Art. 83 Abs. 4 bis 6 der Verordnung (EU) 2016/679 gegen die Bestimmungen der Verordnung (EU) 2016/679 verstösst.
2) Die Busse beträgt:
a) in den Fällen nach Art. 83 Abs. 4 der Verordnung (EU) 2016/679: bis zu 11 Millionen Franken oder im Fall einer juristischen Person von bis zu 2 % ihres gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist;
b) in den Fällen nach Art. 83 Abs. 5 und 6 der Verordnung (EU) 2016/679: bis zu 22 Millionen Franken oder im Fall einer juristischen Person von bis zu 4 % ihres gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.
3) Die Datenschutzstelle hat Bussen gegen juristische Personen zu verhängen, wenn die Übertretungen in Ausübung geschäftlicher Verrichtungen der juristischen Person (Anlasstaten) durch Personen begangen werden, die entweder allein oder als Mitglied des Verwaltungsrats, der Geschäftsleitung, des Vorstands oder Aufsichtsrats der juristischen Person oder aufgrund einer anderen Führungsposition innerhalb der juristischen Person gehandelt haben, aufgrund derer sie:
a) befugt sind, die juristische Person nach aussen zu vertreten;
b) Kontrollbefugnisse in leitender Stellung ausüben; oder
c) sonst massgeblichen Einfluss auf die Geschäftsführung der juristischen Person ausüben.
4) Für Übertretungen, welche von Mitarbeitern der juristischen Person, wenngleich nicht schuldhaft, begangen werden, ist die juristische Person auch dann verantwortlich, wenn die Übertretung dadurch ermöglicht oder wesentlich erleichtert worden ist, dass die in Abs. 3 genannten Personen es unterlassen haben, die erforderlichen und zumutbaren Massnahmen zur Verhinderung derartiger Anlasstaten zu ergreifen.
5) Die Verantwortlichkeit der juristischen Person für die Anlasstat und die Strafbarkeit der in Abs. 3 genannten Personen oder von Mitarbeitern nach Abs. 4 wegen derselben Tat schliessen einander nicht aus. Die Datenschutzstelle kann von der Bestrafung einer natürlichen Person absehen, wenn für denselben Verstoss bereits eine Busse gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen.
6) Die Datenschutzstelle wird den Katalog des Art. 83 Abs. 2 bis 6 der Verordnung (EU) 2016/679 so zur Anwendung bringen, dass die Verhältnismässigkeit gewahrt wird. Insbesondere bei erstmaligen Verstössen wird die Datenschutzstelle im Einklang mit Art. 58 der Verordnung (EU) 2016/679 von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.
7) Gegen Behörden und sonstige öffentliche Stellen werden keine Bussen verhängt.
Art. 41
Unbefugtes Beschaffen von personenbezogenen Daten
Wer unbefugt personenbezogene Daten, die nicht frei zugänglich sind, aus einer Datenverarbeitung beschafft, ist auf Verlangen des Verletzten vom Landgericht wegen Vergehens mit Freiheitsstrafe bis zu sechs Monaten oder Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
Art. 42
Verletzung des Datengeheimnisses
1) Wer vorsätzlich geheime, personenbezogene Daten unbefugt einem anderen zugänglich macht, veröffentlicht oder verwertet, von denen er bei der Ausübung seines Berufes, der die Kenntnis solcher Daten erfordert, erfahren hat, ist auf Verlangen des Verletzten vom Landgericht wegen Vergehens mit Freiheitsstrafe bis zu sechs Monaten oder Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
2) Wer die Tat begeht, um sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, ist auf Verlangen des Verletzten mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
3) Ebenso ist zu bestrafen, wer vorsätzlich geheime, personenbezogene Daten unbefugt einem anderen zugänglich macht, veröffentlicht oder verwertet, von denen er bei seiner Tätigkeit für den Geheimhaltungspflichtigen oder während der Ausbildung bei diesem erfahren hat.
4) Das unbefugte einem anderen zugänglich machen oder veröffentlichen geheimer, personenbezogener Daten ist auch nach Beendigung der Berufsausübung oder der Ausbildung strafbar.
Art. 43
Verwendungsverbot
Eine Meldung nach Art. 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Art. 34 Abs. 1 der Verordnung (EU) 2016/679 darf in einem Strafverfahren nach Art. 41 und 42 gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 108 Abs. 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.
E. Haftung
Art. 44
Haftung und Recht auf Schadenersatz
1) Jede Person, der wegen eines Verstosses gegen die Verordnung (EU) 2016/679 oder gegen die Bestimmungen des Kapitels I oder II ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter nach Art. 82 der Verordnung (EU) 2016/679. Im Einzelnen gelten für diesen Schadenersatzanspruch die allgemeinen Bestimmungen des bürgerlichen Rechts.
2) Hat der Verantwortliche oder Auftragsverarbeiter einen Vertreter nach Art. 27 Abs. 1 der Verordnung (EU) 2016/679 benannt, gilt dieser auch als bevollmächtigt, Zustellungen in zivilgerichtlichen Verfahren entgegenzunehmen. Art. 12 des Zustellgesetzes bleibt unberührt.
III. Bestimmungen für Verarbeitungen zu Zwecken nach Art. 1 Abs. 1 der Richtlinie (EU) 2016/680
A. Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
Art. 45
Anwendungsbereich
Die Vorschriften dieses Kapitels gelten für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Die öffentlichen Stellen gelten dabei als Verantwortliche. Die Verhütung von Straftaten im Sinne des Satzes 1 umfasst den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit. Die Sätze 1 und 2 finden zudem Anwendung auf diejenigen öffentlichen Stellen, die für die Vollstreckung von Strafen, von Massnahmen der Strafgesetzgebung, von Erziehungsmassnahmen oder weiteren Massnahmen im Sinne des Jugendgerichtsgesetzes und von Geldbussen zuständig sind. Soweit dieses Kapitel Vorschriften für Auftragsverarbeiter enthält, gilt es auch für diese.
Art. 46
Begriffsbestimmungen
Im Sinne dieses Kapitels gelten als:
a) "personenbezogene Daten": alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;
b) "Verarbeitung": jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
c) "Einschränkung der Verarbeitung": die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
d) "Profiling": jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
e) "Pseudonymisierung": die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Massnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
f) "Dateisystem": jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
g) "Verantwortlicher": die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
h) "Auftragsverarbeiter": eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
i) "Empfänger": eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem EWR/Schengen-Recht oder anderen Gesetzen personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäss den Zwecken der Verarbeitung;
k) "Verletzung des Schutzes personenbezogener Daten": eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmässig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
l) "genetische Daten": personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betroffenen natürlichen Person gewonnen wurden;
m) "biometrische Daten": mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, insbesondere Gesichtsbilder oder daktyloskopische Daten;
n) "Gesundheitsdaten": personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschliesslich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
o) "besondere Kategorien personenbezogener Daten":
1. Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen;
2. genetische Daten;
3. biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person;
4. Gesundheitsdaten; und
5. Daten zum Sexualleben oder zur sexuellen Orientierung;
p) "Aufsichtsbehörde": eine von einem EWR/Schengen-Staat nach Art. 41 der Richtlinie (EU) 2016/680 eingerichtete unabhängige staatliche Stelle;
q) "internationale Organisation": eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Staaten geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde;
r) "Einwilligung": jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Art. 47
Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
Personenbezogene Daten müssen:
a) auf rechtmässige Weise und nach Treu und Glauben verarbeitet werden;
b) für festgelegte, eindeutige und rechtmässige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden;
c) dem Verarbeitungszweck entsprechen, für das Erreichen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung nicht ausser Verhältnis zu diesem Zweck stehen;
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Massnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden;
e) nicht länger als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht; und
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Massnahmen zu gewährleistender Schutz vor unbefugter oder unrechtmässiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
B. Rechtsgrundlagen der Verarbeitung personenbezogener Daten
Art. 48
Verarbeitung besonderer Kategorien personenbezogener Daten
1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist und:
a) ein Gesetz es ausdrücklich vorsieht;
b) der Wahrung lebenswichtiger Interessen einer Person dient; oder
c) sich auf personenbezogene Daten bezieht, die von der betroffenen Person offensichtlich selbst öffentlich gemacht worden sind.
2) Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien für die Rechtsgüter der betroffenen Personen vorzusehen. Geeignete Garantien können insbesondere sein:
a) spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle;
b) die Festlegung von besonderen Aussonderungsprüffristen;
c) die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten;
d) die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle;
e) die von anderen Daten getrennte Verarbeitung;
f) die Pseudonymisierung personenbezogener Daten;
g) die Verschlüsselung personenbezogener Daten; oder
h) spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmässigkeit der Verarbeitung sicherstellen.
Art. 49
Verarbeitung zu anderen Zwecken
Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn es sich bei dem anderen Zweck um einen der in Art. 45 genannten Zwecke handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verhältnismässig ist. Die Verarbeitung personenbezogener Daten zu einem anderen, in Art. 45 nicht genannten Zweck ist zulässig, wenn dafür eine gesetzliche Grundlage besteht.
Art. 50
Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken
Personenbezogene Daten dürfen im Rahmen der in Art. 45 genannten Zwecke in archivarischer, wissenschaftlicher oder statistischer Form verarbeitet werden, wenn hieran ein öffentliches Interesse besteht und geeignete Garantien für die Rechtsgüter der betroffenen Personen vorgesehen werden. Solche Garantien können in einer so zeitnah wie möglich erfolgenden Anonymisierung der personenbezogenen Daten, in Vorkehrungen gegen ihre unbefugte Kenntnisnahme durch Dritte oder in ihrer räumlich und organisatorisch von den sonstigen Fachaufgaben getrennten Verarbeitung bestehen.
Art. 51
Einwilligung
1) Soweit die Verarbeitung personenbezogener Daten nach Massgabe einer gesetzlichen Bestimmung auf der Grundlage einer Einwilligung erfolgen kann, muss der Verantwortliche die Einwilligung der betroffenen Person nachweisen können.
2) Erfolgt die Einwilligung der betroffenen Person nach Abs. 1 durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.
3) Die betroffene Person hat das Recht, ihre Einwilligung nach Abs. 1 jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmässigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen.
4) Die Einwilligung nach Abs. 1 ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, müssen die Umstände der Erteilung berücksichtigt werden. Die betroffene Person ist auf den vorgesehenen Zweck der Verarbeitung hinzuweisen. Ist dies nach den Umständen des Einzelfalles erforderlich oder verlangt die betroffene Person dies, ist sie auch über die Folgen der Verweigerung der Einwilligung zu belehren.
5) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung nach Abs. 1 ausdrücklich auf diese Daten beziehen.
Art. 52
Verarbeitung auf Weisung des Verantwortlichen
Jede einem Verantwortlichen oder einem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese Daten ausschliesslich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet ist.
Art. 53
Datengeheimnis
Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit dem Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.
Art. 54
Automatisierte Einzelentscheidung
1) Eine ausschliesslich auf einer automatischen Verarbeitung beruhende Entscheidung, die mit einer nachteiligen Rechtsfolge für die betroffene Person verbunden ist oder sie erheblich beeinträchtigt, ist nur zulässig, wenn dafür eine gesetzliche Grundlage besteht.
2) Entscheidungen nach Abs. 1 dürfen nicht auf besonderen Kategorien personenbezogener Daten beruhen, sofern nicht geeignete Massnahmen zum Schutz der Rechtsgüter sowie der berechtigten Interessen der betroffenen Personen getroffen wurden.
3) Profiling, das zur Folge hat, dass betroffene Personen auf der Grundlage von besonderen Kategorien personenbezogener Daten diskriminiert werden, ist verboten.
C. Rechte der betroffenen Person
Art. 55
Allgemeine Informationen zu Datenverarbeitungen
Der Verantwortliche hat in allgemeiner Form und für jedermann zugänglich Informationen zur Verfügung zu stellen über:
a) die Zwecke der von ihm vorgenommenen Verarbeitungen;
b) die im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten bestehenden Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung;
c) den Namen und die Kontaktdaten des Verantwortlichen und der oder des Datenschutzbeauftragten;
d) das Recht, die Datenschutzstelle anzurufen; und
e) die Erreichbarkeit der Datenschutzstelle.
Art. 56
Benachrichtigung betroffener Personen
1) Ist die Benachrichtigung betroffener Personen über die Verarbeitung sie betreffender personenbezogener Daten in spezialgesetzlichen Bestimmungen, insbesondere bei verdeckten Massnahmen, vorgesehen oder angeordnet, so hat diese Benachrichtigung zumindest die folgenden Angaben zu enthalten:
a) die in Art. 55 genannten Angaben;
b) die Rechtsgrundlage der Verarbeitung;
c) die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
d) gegebenenfalls die Kategorien von Empfängern der personenbezogenen Daten; und
e) erforderlichenfalls weitere Informationen, insbesondere, wenn die personenbezogenen Daten ohne Wissen der betroffenen Person erhoben wurden.
2) In den Fällen des Abs. 1 kann der Verantwortliche die Benachrichtigung insoweit und solange aufschieben, einschränken oder unterlassen, wie andernfalls:
a) die Erfüllung der in Art. 45 genannten Aufgaben,
b) die öffentliche Sicherheit oder
c) Rechtsgüter Dritter
beeinträchtigt würden, wenn das Interesse an der Vermeidung dieser Gefahren das Informationsinteresse der betroffenen Person überwiegt.
3) Bezieht sich die Benachrichtigung auf die Übermittlung personenbezogener Daten an die Landespolizei für ihre Aufgabenerfüllung im Rahmen des Staatsschutzes, ist sie nur mit Zustimmung der Landespolizei zulässig.
4) Im Fall der Einschränkung nach Abs. 2 gilt Art. 57 Abs. 7 entsprechend.
Art. 57
Auskunftsrecht
1) Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft darüber zu erteilen, ob er sie betreffende Daten verarbeitet. Betroffene Personen haben darüber hinaus das Recht, Informationen zu erhalten über:
a) die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie gehören;
b) die verfügbaren Informationen über die Herkunft der Daten;
c) die Zwecke der Verarbeitung und deren Rechtsgrundlage;
d) die Empfänger oder die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind, insbesondere bei Empfängern in Drittstaaten oder bei internationalen Organisationen;
e) die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
f) das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten durch den Verantwortlichen;
g) das Recht nach Art. 60, die Datenschutzstelle anzurufen; und
h) Angaben zur Erreichbarkeit der Datenschutzstelle.
2) Abs. 1 gilt nicht für personenbezogene Daten, die nur deshalb verarbeitet werden, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder die ausschliesslich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, wenn die Auskunftserteilung einen unverhältnismässigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Massnahmen ausgeschlossen ist.
3) Von der Auskunftserteilung ist abzusehen, wenn die betroffene Person keine Angaben macht, die das Auffinden der Daten ermöglichen, und deshalb der für die Erteilung der Auskunft erforderliche Aufwand ausser Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.
4) Der Verantwortliche kann unter den Voraussetzungen des Art. 56 Abs. 2 von der Auskunft nach Abs. 1 Satz 1 absehen oder die Auskunftserteilung nach Abs. 1 Satz 2 teilweise oder vollständig einschränken.
5) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an die Landespolizei für ihre Aufgabenerfüllung im Rahmen des Staatsschutzes, ist sie nur mit Zustimmung der Landespolizei zulässig.
6) Der Verantwortliche hat die betroffene Person über das Absehen von oder die Einschränkung einer Auskunft unverzüglich schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Beeinträchtigung im Sinne von Art. 56 Abs. 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von oder der Einschränkung der Auskunft verfolgten Zweck gefährden würde.
7) Wird die betroffene Person nach Abs. 6 über das Absehen von oder die Einschränkung der Auskunft unterrichtet, kann sie ihr Auskunftsrecht auch über die Datenschutzstelle ausüben. Der Verantwortliche hat die betroffene Person über diese Möglichkeit sowie darüber zu unterrichten, dass sie nach Art. 60 die Datenschutzstelle anrufen oder eine rechtsmittelfähige Verfügung verlangen kann. Macht die betroffene Person von ihrem Recht nach Satz 1 Gebrauch, ist die Auskunft auf ihr Verlangen der Datenschutzstelle zu erteilen, soweit nicht die Regierung im Einzelfall feststellt, dass dadurch die Sicherheit des Landes gefährdet würde. Die Datenschutzstelle hat die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen erfolgt sind oder eine Überprüfung durch sie stattgefunden hat. Diese Mitteilung kann die Information enthalten, ob datenschutzrechtliche Verstösse festgestellt wurden. Die Mitteilung der Datenschutzstelle an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser keiner weitergehenden Auskunft zustimmt. Der Verantwortliche darf die Zustimmung nur insoweit und solange verweigern, wie er nach Abs. 4 von einer Auskunft absehen oder sie einschränken könnte. Die Datenschutzstelle hat zudem die betroffene Person über ihr Recht auf gerichtlichen Rechtsschutz zu unterrichten.
8) Der Verantwortliche hat die sachlichen oder rechtlichen Gründe für die Entscheidung zu dokumentieren.
Art. 58
Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung
1) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger Daten zu verlangen. Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder Beurteilung. Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt an die Stelle der Berichtigung eine Einschränkung der Verarbeitung. In diesem Fall hat der Verantwortliche die betroffene Person zu unterrichten, bevor er die Einschränkung wieder aufhebt. Die betroffene Person kann zudem die Vervollständigung unvollständiger personenbezogener Daten verlangen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist.
2) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Löschung sie betreffender Daten zu verlangen, wenn deren Verarbeitung unzulässig ist, deren Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist oder diese zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen.
3) Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn:
a) Grund zu der Annahme besteht, dass eine Löschung schutzwürdige Interessen einer betroffenen Person beeinträchtigen würde;
b) die Daten zu Beweiszwecken in Verfahren, die Zwecken des Art. 45 dienen, weiter aufbewahrt werden müssen; oder
c) eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismässigem Aufwand möglich ist.
In ihrer Verarbeitung nach Satz 1 eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand.
4) Hat der Verantwortliche eine Berichtigung vorgenommen, hat er einer Stelle, die ihm die personenbezogenen Daten zuvor übermittelt hat, die Berichtigung mitzuteilen. In Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Abs. 1 bis 3 hat der Verantwortliche Empfängern, denen die Daten übermittelt wurden, diese Massnahmen mitzuteilen. Der Empfänger hat die Daten zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken.
5) Der Verantwortliche hat die betroffene Person über ein Absehen von der Berichtigung oder Löschung personenbezogener Daten oder über die an deren Stelle tretende Einschränkung der Verarbeitung schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Beeinträchtigung im Sinne von Art. 56 Abs. 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von der Unterrichtung verfolgten Zweck gefährden würde.
6) Art. 57 Abs. 7 und 8 findet entsprechende Anwendung.
Art. 59
Verfahren für die Ausübung der Rechte der betroffenen Person
1) Der Verantwortliche hat mit betroffenen Personen unter Verwendung einer klaren und einfachen Sprache in präziser, verständlicher und leicht zugänglicher Form zu kommunizieren.
2) Bei Anträgen hat der Verantwortliche die betroffene Person unbeschadet des Art. 57 Abs. 6 und des Art. 58 Abs. 5 unverzüglich schriftlich darüber in Kenntnis zu setzen, wie verfahren wurde.
3) Die Erteilung von Informationen nach Art. 55, die Benachrichtigungen nach den Art. 56 und 65 und die Bearbeitung von Anträgen nach den Art. 57 und 58 erfolgen unentgeltlich. Bei offenkundig unbegründeten oder exzessiven Anträgen nach den Art. 57 und 58 kann der Verantwortliche entweder eine angemessene Gebühr verlangen oder sich weigern, aufgrund des Antrags tätig zu werden. In diesem Fall muss der Verantwortliche den offenkundig unbegründeten oder exzessiven Charakter des Antrags belegen können.
4) Hat der Verantwortliche begründete Zweifel an der Identität einer betroffenen Person, die einen Antrag nach den Art. 57 oder 58 gestellt hat, kann er von ihr zusätzliche Informationen anfordern, die zur Bestätigung ihrer Identität erforderlich sind.
Art. 60
Anrufung der Datenschutzstelle
1) Jede betroffene Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an die Datenschutzstelle wenden, wenn sie der Auffassung ist, bei der Verarbeitung ihrer personenbezogenen Daten durch öffentliche Stellen zu den in Art. 45 genannten Zwecken in ihren Rechten verletzt worden zu sein. Dies gilt nicht für die Verarbeitung von personenbezogenen Daten durch Gerichte, soweit diese die Daten im Rahmen ihrer justiziellen Tätigkeit verarbeitet haben. Die Datenschutzstelle hat die betroffene Person über den Stand und das Ergebnis der Beschwerde zu unterrichten und sie hierbei auf die Beschwerdemöglichkeit nach Art. 20 hinzuweisen.
2) Die Datenschutzstelle hat eine bei ihr eingelegte Beschwerde über eine Verarbeitung, die in die Zuständigkeit einer Aufsichtsbehörde in einem anderen EWR/Schengen-Staat fällt, unverzüglich an die zuständige Aufsichtsbehörde des anderen Staates weiterzuleiten. Sie hat in diesem Fall die betroffene Person über die Weiterleitung zu unterrichten und ihr auf deren Ersuchen weitere Unterstützung zu leisten.
D. Pflichten der Verantwortlichen und Auftragsverarbeiter
Art. 61
Auftragsverarbeitung
1) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadenersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen.
2) Ein Verantwortlicher darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Massnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.
3) Auftragsverarbeiter dürfen ohne vorherige schriftliche Genehmigung des Verantwortlichen keine weiteren Auftragsverarbeiter hinzuziehen. Hat der Verantwortliche dem Auftragsverarbeiter eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter erteilt, hat der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung zu informieren. Der Verantwortliche kann in diesem Fall die Hinzuziehung oder Ersetzung untersagen.
4) Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, so hat er diesem dieselben Verpflichtungen aus seinem Vertrag mit dem Verantwortlichen nach Abs. 5 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter nicht schon aufgrund anderer Vorschriften verbindlich sind. Erfüllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.
5) Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt. Der Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsverarbeiter:
a) nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren;
b) gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
c) den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten;
d) alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht eine gesetzliche Verpflichtung zur Speicherung der Daten besteht;
e) dem Verantwortlichen alle erforderlichen Informationen, insbesondere die nach Art. 75 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt;
f) Überprüfungen, die von dem Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt;
g) die in den Abs. 3 und 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
h) alle nach Art. 63 erforderlichen Massnahmen ergreift; und
i) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Art. 63 bis 66 und 68 genannten Pflichten unterstützt.
6) Der Vertrag im Sinne von Abs. 5 ist schriftlich oder elektronisch abzufassen.
7) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoss gegen diese Vorschrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.
Art. 62
Gemeinsam Verantwortliche
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest, gelten sie als gemeinsam Verantwortliche. Gemeinsam Verantwortliche haben ihre jeweiligen Aufgaben und datenschutzrechtlichen Verantwortlichkeiten in transparenter Form in einer Vereinbarung festzulegen, soweit diese nicht bereits in einem Gesetz festgelegt sind. Aus der Vereinbarung muss insbesondere hervorgehen, wer welchen Informationspflichten nachzukommen hat und wie und gegenüber wem betroffene Personen ihre Rechte wahrnehmen können. Eine entsprechende Vereinbarung hindert die betroffene Person nicht, ihre Rechte gegenüber jedem der gemeinsam Verantwortlichen geltend zu machen.
Art. 63
Anforderungen an die Sicherheit der Datenverarbeitung
1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbunden Risiken für die Rechte und Freiheiten natürlicher Personen die erforderlichen technischen und organisatorischen Massnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen allgemein anerkannten technischen Richtlinien und Empfehlungen in der Informationstechnik zu berücksichtigen.
2) Die in Abs. 1 genannten Massnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Massnahmen nach Abs. 1 sollen dazu führen, dass:
a) die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden; und
b) die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.
3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Massnahmen zu ergreifen, die Folgendes bezwecken:
a) Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle);
b) Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle);
c) Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle);
d) Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle);
e) Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschliesslich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugangskontrolle);
f) Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle);
g) Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle);
h) Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle);
i) Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit);
k) Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit);
l) Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität);
m) Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle);
n) Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle);
o) Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).
4) Ein Zweck nach Abs. 3 Bst. b bis f kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.
Art. 64
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Datenschutzstelle
1) Der Verantwortliche hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem sie ihm bekannt geworden ist, der Datenschutzstelle zu melden, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Datenschutzstelle nicht innerhalb von 72 Stunden, so ist die Verzögerung zu begründen.
2) Ein Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.
3) Die Meldung nach Abs. 1 hat zumindest folgende Informationen zu enthalten:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, die, soweit möglich, Angaben zu den Kategorien und der ungefähren Anzahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungefähren Anzahl der betroffenen personenbezogenen Datensätze zu enthalten hat;
b) den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten oder einer sonstigen Person oder Stelle, die weitere Informationen erteilen kann;
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung; und
d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Massnahmen zur Behandlung der Verletzung und der getroffenen Massnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
4) Wenn die Informationen nach Abs. 3 nicht zusammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen, sobald sie ihm vorliegen.
5) Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. Die Dokumentation hat alle mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemassnahmen zu umfassen.
6) Soweit von einer Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen EWR/Schengen-Staat übermittelt wurden, sind die in Abs. 3 genannten Informationen dem dortigen Verantwortlichen unverzüglich zu übermitteln.
7) Das Verwendungsverbot nach Art. 43 findet entsprechende Anwendung.
8) Weitere Pflichten des Verantwortlichen zu Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten bleiben unberührt.
Art. 65
Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
1) Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen.
2) Die Benachrichtigung nach Abs. 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in Art. 64 Abs. 3 Bst. b bis d genannten Informationen und Massnahmen zu enthalten.
3) Von der Benachrichtigung nach Abs. 1 kann abgesehen werden, wenn:
a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden;
b) der Verantwortliche durch im Anschluss an die Verletzung getroffene Massnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach keine erhebliche Gefahr im Sinne von Abs. 1 mehr besteht; oder
c) dies mit einem unverhältnismässigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Massnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
4) Wenn der Verantwortliche die betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten nicht benachrichtigt hat, kann die Datenschutzstelle förmlich feststellen, dass ihrer Auffassung nach die in Abs. 3 genannten Voraussetzungen nicht erfüllt sind. Hierbei hat sie die Wahrscheinlichkeit zu berücksichtigen, dass die Verletzung zu einem hohen Risiko im Sinne von Abs. 1 führt.
5) Die Benachrichtigung der betroffenen Personen nach Abs. 1 kann unter den in Art. 56 Abs. 2 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person aufgrund des von der Verletzung ausgehenden hohen Risikos im Sinne von Abs. 1 überwiegen.
6) Das Verwendungsverbot nach Art. 43 findet entsprechende Anwendung.
Art. 66
Durchführung einer Datenschutz-Folgenabschätzung
1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der natürlichen Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen.
2) Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine gemeinsame Datenschutz-Folgenabschätzung vorgenommen werden.
3) Der Verantwortliche hat die Datenschutzstelle an der Durchführung der Folgenabschätzung zu beteiligen.
4) Die Folgenabschätzung hat den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest Folgendes zu enthalten:
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung;
b) eine Bewertung der Notwendigkeit und Verhältnismässigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen; und
d) die Massnahmen, mit denen bestehenden Risiken abgeholfen werden soll, einschliesslich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen.
5) Soweit erforderlich, hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Massgaben folgt, die sich aus der Folgenabschätzung ergeben haben.
Art. 67
Zusammenarbeit mit der Datenschutzstelle
Der Verantwortliche hat mit der Datenschutzstelle bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten.
Art. 68
Anhörung der Datenschutzstelle
1) Der Verantwortliche hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen die Datenschutzstelle anzuhören, wenn:
a) aus einer Datenschutz-Folgenabschätzung nach Art. 66 hervorgeht, dass die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte, wenn der Verantwortliche keine Abhilfemassnahmen treffen würde; oder
b) die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, Mechanismen oder Verfahren, ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat.
Die Datenschutzstelle kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur Anhörung nach Satz 1 unterliegen.
2) Der Datenschutzstelle sind im Fall des Abs. 1 vorzulegen:
a) die nach Art. 66 durchgeführte Datenschutz-Folgenabschätzung;
b) gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter;
c) Angaben zu den Zwecken und Mitteln der beabsichtigten Verarbeitung;
d) Angaben zu den zum Schutz der Rechtsgüter der betroffenen Personen vorgesehenen Massnahmen und Garantien; und
e) Name und Kontaktdaten der oder des Datenschutzbeauftragten.
Auf Verlangen sind ihr zudem alle sonstigen Informationen zu übermitteln, die sie benötigt, um die Rechtmässigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.
3) Falls die Datenschutzstelle der Auffassung ist, dass die geplante Verarbeitung gegen gesetzliche Vorgaben verstossen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder keine ausreichenden Abhilfemassnahmen getroffen hat, kann sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von sechs Wochen nach Einleitung der Anhörung schriftliche Empfehlungen unterbreiten, welche Massnahmen noch ergriffen werden sollten. Die Datenschutzstelle kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist. Sie hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter über die Fristverlängerung zu informieren.
4) Hat die beabsichtigte Verarbeitung erhebliche Bedeutung für die Aufgabenerfüllung des Verantwortlichen und ist sie daher besonders dringlich, kann er mit der Verarbeitung nach Beginn der Anhörung, aber vor Ablauf der in Abs. 3 Satz 1 genannten Frist beginnen. In diesem Fall sind die Empfehlungen der Datenschutzstelle im Nachhinein zu berücksichtigen und sind die Art und Weise der Verarbeitung daraufhin gegebenenfalls anzupassen.
Art. 69
Verzeichnis von Verarbeitungstätigkeiten
1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen;
d) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
e) gegebenenfalls die Verwendung von Profiling;
f) gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation;
g) Angaben über die Rechtsgrundlage der Verarbeitung;
h) die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten; und
i) eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen nach Art. 63.
2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag eines Verantwortlichen durchführt, das Folgendes zu enthalten hat:
a) den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Datenschutzbeauftragten;
b) gegebenenfalls Übermittlungen von personenbezogenen Daten an Stellen in einem Drittstaat oder an eine internationale Organisation unter Angabe des Staates oder der Organisation; und
c) eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen nach Art. 63.
3) Die in den Abs. 1 und 2 genannten Verzeichnisse sind schriftlich oder elektronisch zu führen.
4) Verantwortliche und Auftragsverarbeiter haben auf Verlangen ihre Verzeichnisse der Datenschutzstelle zur Verfügung zu stellen.
Art. 70
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
1) Der Verantwortliche hat sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst angemessene Vorkehrungen zu treffen, die geeignet sind, die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen, und die sicherstellen, dass die gesetzlichen Anforderungen eingehalten und die Rechte der betroffenen Personen geschützt werden. Er hat hierbei den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Insbesondere sind die Verarbeitung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten, nur die erforderlichen personenbezogenen Daten zu verarbeiten. Personenbezogene Daten sind zum frühestmöglichen Zeitpunkt zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verarbeitungszweck möglich ist.
2) Der Verantwortliche hat geeignete technische und organisatorische Massnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur solche personenbezogenen Daten verarbeitet werden können, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Dies betrifft die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Massnahmen müssen insbesondere gewährleisten, dass die Daten durch Voreinstellungen nicht automatisiert einer unbestimmten Anzahl von Personen zugänglich gemacht werden können.
Art. 71
Unterscheidung zwischen verschiedenen Kategorien betroffener Personen
Der Verantwortliche hat bei der Verarbeitung personenbezogener Daten so weit wie möglich zwischen den verschiedenen Kategorien betroffener Personen zu unterscheiden. Dies betrifft insbesondere folgende Kategorien:
a) Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben;
b) Personen, gegen die ein begründeter Verdacht besteht, dass sie in naher Zukunft eine Straftat begehen werden;
c) verurteilte Straftäter;
d) Opfer einer Straftat oder Personen, bei denen bestimmte Tatsachen darauf hindeuten, dass sie Opfer einer Straftat sein könnten; und
e) andere Personen wie insbesondere Zeugen, Hinweisgeber oder Personen, die mit den in Bst. a bis d genannten Personen in Kontakt oder Verbindung stehen.
Art. 72
Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen
Der Verantwortliche hat bei der Verarbeitung so weit wie möglich danach zu unterscheiden, ob personenbezogene Daten auf Tatsachen oder auf persönlichen Einschätzungen beruhen. Zu diesem Zweck soll er, soweit dies im Rahmen der jeweiligen Verarbeitung möglich und angemessen ist, Beurteilungen, die auf persönlichen Einschätzungen beruhen, als solche kenntlich machen. Es muss ausserdem feststellbar sein, welche Stelle die Unterlagen führt, die der auf einer persönlichen Einschätzung beruhenden Beurteilung zugrunde liegen.
Art. 73
Verfahren bei Übermittlungen
1) Der Verantwortliche hat angemessene Massnahmen zu ergreifen, um zu gewährleisten, dass personenbezogene Daten, die unrichtig oder nicht mehr aktuell sind, nicht übermittelt oder sonst zur Verfügung gestellt werden. Zu diesem Zweck hat er, soweit dies mit angemessenem Aufwand möglich ist, die Qualität der Daten vor ihrer Übermittlung oder Bereitstellung zu überprüfen. Bei jeder Übermittlung personenbezogener Daten hat er zudem, soweit dies möglich und angemessen ist, Informationen beizufügen, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der Daten sowie deren Aktualität zu beurteilen.
2) Gelten für die Verarbeitung von personenbezogenen Daten besondere Bedingungen, so hat bei Datenübermittlungen die übermittelnde Stelle den Empfänger auf diese Bedingungen und die Pflicht zu ihrer Beachtung hinzuweisen. Die Hinweispflicht kann dadurch erfüllt werden, dass die Daten entsprechend markiert werden.
3) Die übermittelnde Stelle darf auf Empfänger in anderen EWR/Schengen-Staaten und auf Einrichtungen und sonstige Stellen, die nach Titel V Kapitel 4 und 5 des Vertrags über die Arbeitsweise der Europäischen Union errichtet wurden, keine Bedingungen anwenden, die nicht auch für entsprechende innerstaatliche Datenübermittlungen gelten.
Art. 74
Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung
1) Der Verantwortliche hat personenbezogene Daten zu berichtigen, wenn sie unrichtig sind.
2) Der Verantwortliche hat personenbezogene Daten unverzüglich zu löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich ist.
3) Art. 58 Abs. 3 und 4 ist entsprechend anzuwenden. Sind unrichtige personenbezogene Daten oder personenbezogene Daten unrechtmässig übermittelt worden, ist auch dies dem Empfänger mitzuteilen.
4) Unbeschadet gesetzlich festgesetzter Höchstspeicher- oder Löschfristen hat der Verantwortliche für die Löschung von personenbezogenen Daten oder eine regelmässige Überprüfung der Notwendigkeit ihrer Speicherung angemessene Fristen vorzusehen und durch verfahrensrechtliche Vorkehrungen sicherzustellen, dass diese Fristen eingehalten werden.
Art. 75
Protokollierung
1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:
a) Erhebung;
b) Veränderung;
c) Abfrage;
d) Offenlegung einschliesslich Übermittlung;
e) Kombination; und
f) Löschung.
2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.
3) Die Protokolle dürfen ausschliesslich für die Überprüfung der Rechtmässigkeit der Datenverarbeitung durch den Datenschutzbeauftragten, die Datenschutzstelle und die betroffene Person sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden.
4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.
5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der Datenschutzstelle auf Verlangen zur Verfügung zu stellen.
Art. 76
Vertrauliche Meldung von Verstössen
Der Verantwortliche hat zu ermöglichen, dass ihm vertrauliche Meldungen über in seinem Verantwortungsbereich erfolgende Verstösse gegen Datenschutzvorschriften zugeleitet werden können.
E. Datenübermittlungen an Drittstaaten und an internationale Organisationen
Art. 77
Allgemeine Voraussetzungen
1) Die Übermittlung personenbezogener Daten an Stellen in Drittstaaten oder an internationale Organisationen ist bei Vorliegen der übrigen für Datenübermittlungen geltenden Voraussetzungen zulässig, wenn:
a) die Stelle oder internationale Organisation für die in Art. 45 genannten Zwecke zuständig ist; und
b) die Europäische Kommission nach Art. 36 Abs. 3 der Richtlinie (EU) 2016/680 einen Angemessenheitsbeschluss gefasst hat, welcher in Liechtenstein anwendbar ist.
2) Die Übermittlung personenbezogener Daten hat trotz des Vorliegens eines Angemessenheitsbeschlusses im Sinne von Abs. 1 Bst. b und des zu berücksichtigenden öffentlichen Interesses an der Datenübermittlung zu unterbleiben, wenn im Einzelfall ein datenschutzrechtlich angemessener und die elementaren Grundrechte wahrender Umgang mit den Daten beim Empfänger nicht hinreichend gesichert ist oder sonst überwiegende schutzwürdige Interessen einer betroffenen Person entgegenstehen. Bei seiner Beurteilung hat der Verantwortliche massgeblich zu berücksichtigen, ob der Empfänger im Einzelfall einen angemessenen Schutz der übermittelten Daten garantiert.
3) Wenn personenbezogene Daten, die aus einem anderen EWR/Schengen-Staat übermittelt oder zur Verfügung gestellt wurden, nach Abs. 1 übermittelt werden sollen, muss diese Übermittlung zuvor von der zuständigen Stelle des anderen EWR/Schengen-Staats genehmigt werden. Übermittlungen ohne vorherige Genehmigung sind nur dann zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Staates oder für die wesentlichen Interessen eines EWR/Schengen-Staates abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. Im Fall des Satzes 2 ist die Stelle des anderen EWR/Schengen-Staats, die für die Erteilung der Genehmigung zuständig gewesen wäre, unverzüglich über die Übermittlung zu unterrichten.
4) Der Verantwortliche, der Daten nach Abs. 1 übermittelt, hat durch geeignete Massnahmen sicherzustellen, dass der Empfänger die übermittelten Daten nur dann an andere Drittstaaten oder andere internationale Organisationen weiterübermittelt, wenn der Verantwortliche diese Übermittlung zuvor genehmigt hat. Bei der Entscheidung über die Erteilung der Genehmigung hat der Verantwortliche alle massgeblichen Faktoren zu berücksichtigen, insbesondere die Schwere der Straftat, den Zweck der ursprünglichen Übermittlung und das in dem Drittstaat oder der internationalen Organisation, an das oder an die die Daten weiterübermittelt werden sollen, bestehende Schutzniveau für personenbezogene Daten. Eine Genehmigung darf nur dann erfolgen, wenn auch eine direkte Übermittlung an den anderen Drittstaat oder die andere internationale Organisation zulässig wäre. Die Zuständigkeit für die Erteilung der Genehmigung kann auch abweichend geregelt werden.
Art. 78
Datenübermittlung bei geeigneten Garantien
1) Liegt entgegen Art. 77 Abs. 1 Bst. b kein Beschluss nach Art. 36 Abs. 3 der Richtlinie (EU) 2016/680 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des Art. 77 auch dann zulässig, wenn:
a) in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind; oder
b) der Verantwortliche nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, zu der Auffassung gelangt ist, dass geeignete Garantien für den Schutz personenbezogener Daten bestehen.
2) Der Verantwortliche hat Übermittlungen nach Abs. 1 Bst. b zu dokumentieren. Die Dokumentation hat den Zeitpunkt der Übermittlung, die Identität des Empfängers, den Grund der Übermittlung und die übermittelten personenbezogenen Daten zu enthalten. Sie ist der Datenschutzstelle auf Verlangen zur Verfügung zu stellen.
3) Der Verantwortliche hat die Datenschutzstelle zumindest jährlich über Übermittlungen zu unterrichten, die aufgrund einer Beurteilung nach Abs. 1 Bst. b erfolgt sind. In der Unterrichtung kann er die Empfänger und die Übermittlungszwecke angemessen kategorisieren.
Art. 79
Datenübermittlung ohne geeignete Garantien
1) Liegt entgegen Art. 77 Abs. 1 Bst. b kein Beschluss nach Art. 36 Abs. 3 der Richtlinie (EU) 2016/680 vor und liegen auch keine geeigneten Garantien im Sinne von Art. 78 Abs. 1 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen nach Art. 77 auch dann zulässig, wenn die Übermittlung erforderlich ist:
a) zum Schutz lebenswichtiger Interessen einer natürlichen Person;
b) zur Wahrung berechtigter Interessen der betroffenen Person;
c) zur Abwehr einer gegenwärtigen und erheblichen Gefahr für die öffentliche Sicherheit eines Staates;
d) im Einzelfall für die in Art. 45 genannten Zwecke; oder
e) im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in Art. 45 genannten Zwecken.
2) Der Verantwortliche hat von einer Übermittlung nach Abs. 1 abzusehen, wenn die Grundrechte der betroffenen Person das öffentliche Interesse an der Übermittlung überwiegen.
3) Für Übermittlungen nach Abs. 1 gilt Art. 78 Abs. 2 entsprechend.
Art. 80
Sonstige Datenübermittlung an Empfänger in Drittstaaten
1) Verantwortliche können bei Vorliegen der übrigen für die Datenübermittlung in Drittstaaten geltenden Voraussetzungen im besonderen Einzelfall personenbezogene Daten unmittelbar an nicht in Art. 77 Abs. 1 Bst. a genannte Stellen in Drittstaaten übermitteln, wenn die Übermittlung für die Erfüllung ihrer Aufgaben unbedingt erforderlich ist und:
a) im konkreten Fall keine Grundrechte der betroffenen Person das öffentliche Interesse an einer Übermittlung überwiegen;
b) die Übermittlung an die in Art. 77 Abs. 1 Bst. a genannten Stellen wirkungslos oder ungeeignet wäre, insbesondere weil sie nicht rechtzeitig durchgeführt werden kann; und
c) der Verantwortliche dem Empfänger die Zwecke der Verarbeitung mitteilt und ihn darauf hinweist, dass die übermittelten Daten nur in dem Umfang verarbeitet werden dürfen, in dem ihre Verarbeitung für diese Zwecke erforderlich ist.
2) Im Fall des Abs. 1 hat der Verantwortliche die in Art. 77 Abs. 1 Bst. a genannten Stellen unverzüglich über die Übermittlung zu unterrichten, sofern dies nicht wirkungslos oder ungeeignet ist.
3) Für Übermittlungen nach Abs. 1 gilt Art. 78 Abs. 2 und 3 entsprechend.
4) Bei Übermittlungen nach Abs. 1 hat der Verantwortliche den Empfänger zu verpflichten, die übermittelten personenbezogenen Daten ohne seine Zustimmung nur für den Zweck zu verarbeiten, für den sie übermittelt worden sind.
5) Abkommen im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit bleiben unberührt.
F. Zusammenarbeit der Aufsichtsbehörden
Art. 81
Gegenseitige Amtshilfe
1) Die Datenschutzstelle hat den Datenschutzaufsichtsbehörden in anderen EWR/Schengen-Staaten Informationen zu übermitteln und Amtshilfe zu leisten, soweit dies für eine einheitliche Umsetzung und Anwendung der Richtlinie (EU) 2016/680 erforderlich ist. Die Amtshilfe betrifft insbesondere Auskunftsersuchen und aufsichtsbezogene Massnahmen, beispielsweise Ersuchen um Konsultation oder um Vornahme von Nachprüfungen und Untersuchungen.
2) Die Datenschutzstelle hat alle geeigneten Massnahmen zu ergreifen, um Amtshilfeersuchen unverzüglich und spätestens innerhalb eines Monats nach deren Eingang nachzukommen.
3) Die Datenschutzstelle darf Amtshilfeersuchen nur ablehnen, wenn:
a) sie für den Gegenstand des Ersuchens oder für die Massnahmen, die sie durchführen soll, nicht zuständig ist; oder
b) ein Eingehen auf das Ersuchen gegen Gesetze verstossen würde.
4) Die Datenschutzstelle hat die ersuchende Aufsichtsbehörde des anderen EWR/Schengen-Staates über die Ergebnisse oder gegebenenfalls über den Fortgang der Massnahmen zu informieren, die getroffen wurden, um dem Amtshilfeersuchen nachzukommen. Sie hat im Fall des Abs. 3 die Gründe für die Ablehnung des Ersuchens zu erläutern.
5) Die Datenschutzstelle hat die Informationen, um die sie von der Aufsichtsbehörde des anderen EWR/Schengen-Staates ersucht wurde, in der Regel elektronisch und in einem standardisierten Format zu übermitteln.
6) Die Datenschutzstelle hat Amtshilfeersuchen kostenfrei zu erledigen, soweit sie nicht im Einzelfall mit der Aufsichtsbehörde des anderen EWR/Schengen-Staates die Erstattung entstandener Ausgaben vereinbart hat.
7) Ein Amtshilfeersuchen der Datenschutzstelle hat alle erforderlichen Informationen zu enthalten; hierzu gehören insbesondere der Zweck und die Begründung des Ersuchens. Die auf das Ersuchen übermittelten Informationen dürfen ausschliesslich zu dem Zweck verwendet werden, zu dem sie angefordert wurden.
G. Haftung und Sanktionen
Art. 82
Schadenersatz und Entschädigung
1) Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadenersatz verpflichtet. Die Ersatzpflicht entfällt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist.
2) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.
3) Lässt sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welche von mehreren beteiligten Verantwortlichen den Schaden verursacht hat, so haftet jeder Verantwortliche beziehungsweise sein Rechtsträger.
4) Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, sind die §§ 1301 bis 1304 des Allgemeinen bürgerlichen Gesetzbuches entsprechend anzuwenden.
5) Ersatzansprüche verjähren in drei Jahren nach Ablauf des Tages, an dem der Schaden dem Geschädigten bekanntgeworden ist.
Art. 83
Strafbestimmung
Für die Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von Tätigkeiten nach Art. 45 Satz 1, 3 oder 4 finden Art. 41 und 42 entsprechende Anwendung.
IV. Besondere Bestimmungen für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
Art. 84
Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
1) Die Übermittlung personenbezogener Daten an einen Drittstaat oder an supra- oder internationale Organisationen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten ist über die bereits nach der Verordnung (EU) 2016/679 zulässigen Fälle hinaus auch dann zulässig, wenn sie zur Erfüllung eigener Aufgaben aus zwingenden Gründen der Verteidigung oder zur Erfüllung vertraglicher Verpflichtungen des Staates auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Massnahmen erforderlich ist. Der Empfänger ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verwendet werden dürfen, zu dem sie übermittelt wurden.
2) Für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten durch die Landespolizei gilt Art. 17 Abs. 4 nicht, soweit die Regierung im Einzelfall feststellt, dass die Erfüllung der dort genannten Pflichten die Sicherheit des Landes gefährden würde.
3) Für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten durch öffentliche Stellen besteht keine Informationspflicht nach Art. 13 Abs. 1 und 2 der Verordnung (EU) 2016/679, wenn:
a) es sich um Fälle des Art. 32 Abs. 1 Bst. a bis c handelt; oder
b) durch ihre Erfüllung Informationen offenbart würden, die nach einem Gesetz oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen, und deswegen das Interesse der betroffenen Person an der Erteilung der Information zurücktreten muss.
4) Ist die betroffene Person in den Fällen nach Abs. 3 nicht zu informieren, besteht auch kein Recht auf Auskunft. Art. 32 Abs. 2 und Art. 33 Abs. 2 finden keine Anwendung.
V. Übergangs- und Schlussbestimmungen
Art. 85
Durchführungsverordnungen
Die Regierung erlässt die zur Durchführung dieses Gesetzes notwendigen Verordnungen, insbesondere über:
a) die Voraussetzungen, unter welchen eine öffentliche Stelle personenbezogene Daten durch einen Dritten verarbeiten lassen oder für Dritte verarbeiten darf;
b) die Meldung von Videoüberwachungen nach Art. 5;
c) die in Liechtenstein anwendbaren Angemessenheitsbeschlüsse der EU-Kommission nach Art. 45 der Verordnung (EU) 2016/679 und die von der EU-Kommission erlassenen Standarddatenschutzklauseln nach Art. 46 der Verordnung (EU) 2016/679;
d) die Gebühren für Amtshandlungen der Datenschutzstelle.
Art. 86
Aufhebung bisherigen Rechts
Das Datenschutzgesetz (DSG) vom 14. März 2002, LGBl. 2002 Nr. 55, in der geltenden Fassung, wird aufgehoben.
Art. 87
Datenschutzbeauftragter und übriges Personal
Der nach bisherigem Recht gewählte Datenschutzbeauftragte übernimmt nach Inkrafttreten dieses Gesetzes die Leitung der Datenschutzstelle (Art. 12) und übt diese Funktion nach Massgabe des neuen Rechts bis zum 31. Dezember 2025 weiterhin aus. Die bestehenden Dienstverhältnisse des übrigen Personals der Datenschutzstelle bleiben weiterhin aufrecht.
Art. 88
Datenschutzkommission
1) Mit dem Inkrafttreten dieses Gesetzes endet die Mandatsdauer der bestehenden Datenschutzkommission.
2) Die zum Zeitpunkt des Inkrafttretens dieses Gesetzes bei der Datenschutzkommission hängigen Beschwerdeverfahren oder Verfahren in Zusammenhang mit Empfehlungen der Datenschutzstelle werden von der Beschwerdekommission für Verwaltungsangelegenheiten nach dem bisherigen Recht behandelt.
Art. 89
Videoüberwachungen
1) Nach bisherigem Recht erteilte Bewilligungen für Videoüberwachungen bleiben bis zum Ablauf der Geltungsdauer aufrecht.
2) Ist beabsichtigt, die Videoüberwachung nach Ablauf der Geltungsdauer der Bewilligung fortzusetzen, hat eine Meldung nach Art. 5 Abs. 7 zu erfolgen.
Art. 90
Akkreditierungen und Zertifizierungen
Nach bisherigem Recht erteilte Akkreditierungen und Zertifizierungen bleiben bis zum Ablauf ihrer Geltungsdauer aufrecht. Auf zum Zeitpunkt des Inkrafttretens dieses Gesetzes bei der Akkreditierungs- oder Zertifizierungsstelle hängige Akkreditierungs- oder Zertifizierungsverfahren findet das bisherige Recht Anwendung.
Art. 91
Inkrafttreten
Dieses Gesetz tritt unter Vorbehalt des ungenutzten Ablaufs der Referendumsfrist am 1. Januar 2019 in Kraft, andernfalls am Tag nach der Kundmachung.

In Stellvertretung des Landesfürsten:

gez. Alois

Erbprinz

gez. Adrian Hasler

Fürstlicher Regierungschef

1   Bericht und Antrag sowie Stellungnahme der Regierung Nr. 36/2018 und 69/2018