137.1
# Gesetz über den Datenschutz
(Datenschutzgesetz, kDSG)
Vom 25.01.2008 (Stand 01.09.2023)
## 1. Geltungsbereich
### **Art. 1** Geltungsbereich {#art_1 omnilex-key=ch-lexwork-ow--137.1--1}
1. Dieses Gesetz regelt das Bearbeiten von Daten natürlicher Personen durch öffentliche Organe.
2. Es gilt für die kantonalen und kommunalen Behörden und Amtsstellen sowie andere öffentlich-rechtliche Körperschaften und Anstalten und Personen, soweit sie öffentliche Aufgaben erfüllen.
3. Das Gesetz ist nicht anwendbar auf:
a. privatrechtlich handelnde öffentliche Organe;
b.–d. …
e. verwaltungsinterne Arbeitsmittel, die dem persönlichen Gebrauch dienen.
4. Vorbehalten bleiben Datenschutzregelungen in der Sachgesetzgebung, namentlich über die Bearbeitung von Gerichtsakten, Patientendaten und Einwohnerkontrolldaten.
5. In Verfahren der Zivil-, Straf- und Verwaltungsrechtspflege richten sich die Rechte und Ansprüche der betroffenen Personen nach dem anwendbaren Verfahrensrecht. Auf das erstinstanzliche Verwaltungsverfahren sind die Bestimmungen dieses Gesetzes anwendbar.
## 2. Allgemeine Datenschutzbestimmungen
### **Art. 2** Grundsätze {#art_2 omnilex-key=ch-lexwork-ow--137.1--2}
1. Soweit dieses Gesetz keine abweichenden Vorschriften enthält, gelten sinngemäss die Vorschriften des Bundesgesetzes über den Datenschutz (DSG).
2. Bearbeiten öffentliche Organe gemeinsam oder mit Dritten Personendaten aus einer Datensammlung, so trägt der Inhaber oder die Inhaberin der Datensammlung die Verantwortung; jedes öffentliche Organ bleibt für seinen Bereich verantwortlich.
3. Das öffentliche Organ muss den Nachweis erbringen können, dass es die Datenschutzbestimmungen einhält.
4. Die Straf- und Strafvollzugsorgane gemäss Art. 3 Ziff. 7 der Richtlinie (EU) 2016/680 benachrichtigen die Behörde, von der die Personendaten stammen, sowie die Empfängerinnen und Empfänger, denen die Personendaten bekannt gegeben wurden, über getroffene Berichtigungsmassnahmen, soweit dies mit verhältnismässigem Aufwand möglich ist.
### **Art. 3** Datenquellen {#art_3 omnilex-key=ch-lexwork-ow--137.1--3}
1. Personendaten sind in der Regel bei der betroffenen Person oder aus der Datensammlung eines öffentlichen Organs zu beschaffen.
2. Eine andere Beschaffung von Personendaten ist ausnahmsweise zulässig, soweit dieses Gesetz nicht entgegensteht.
3. …
### **Art. 4** Vorabkonsultation * {#art_4 omnilex-key=ch-lexwork-ow--137.1--4}
1. Ergibt eine Datenschutz-Folgenabschätzung der Straf- und Strafvollzugsorgane gemäss Art. 3 Ziff. 7 der Richtlinie (EU) 2016/680, dass die geplante Bearbeitung von Personendaten trotz den vorgesehenen Massnahmen hohe Risiken für die Rechte und Freiheiten der betroffenen Person zur Folge hat, holt das planende Organ vorgängig die Stellungnahme der beauftragten Person für Datenschutz ein.
2. Die beauftragte Person für Datenschutz teilt dem planenden Organ innerhalb von zwei Monaten ihre Einwände gegen die geplante Bearbeitung mit. Diese Frist kann um einen Monat verlängert werden, wenn es sich um eine komplexe Datenbearbeitung handelt.
3. Die beauftragte Person für Datenschutz kann die Datenbearbeitungsvorgänge bezeichnen, die ihr vorzulegen sind.
### **Art. 5** Verzeichnis der Datenbearbeitungstätigkeiten * {#art_5 omnilex-key=ch-lexwork-ow--137.1--5}
1. Die Straf- und Strafvollzugsorgane gemäss Art. 3 Ziff. 7 der Richtlinie (EU) 2016/680 führen die notwendigen Verzeichnisse ihrer Datenbearbeitungstätigkeiten und stellen diese Verzeichnisse auf Anfrage der beauftragten Person für Datenschutz zur Verfügung.
…
### **Art. 5a** Beratende Person für Datenschutz {#art_5 omnilex-key=ch-lexwork-ow--137.1--5a}
1. Die Straf- und Strafvollzugsorgane gemäss Art. 3 Ziff. 7 der Richtlinie (EU) 2016/680 bezeichnen innerhalb ihrer Organisationseinheit eine für den Datenschutz zuständige Person (beratende Person für Datenschutz). Die Zuständigkeit erfasst nicht die justizielle Tätigkeit der Gerichte und der anderen unabhängigen Straforgane.
2. Der Regierungsrat und das Obergericht können für mehrere Organisationseinheiten eine gemeinsame Person bezeichnen.
3. Die beratende Person für Datenschutz nimmt auch die Datenschutz-Folgenabschätzung vor.
### **Art. 6** Archivieren und Vernichten von Personendaten {#art_6 omnilex-key=ch-lexwork-ow--137.1--6}
1. Die öffentlichen Organe gemäss Art. 5 der Verordnung über das Staatsarchiv bieten dem Staatsarchiv alle Personendaten an, die sie nicht mehr ständig benötigen.
1a. Die Straf- und Strafvollzugsorgane gemäss Art. 3 Ziff. 7 der Richtlinie (EU) 2016/680 legen für alle Personendaten Fristen für die Aufbewahrung oder für die Beurteilung fest, ob die Daten zur Aufgabenerfüllung noch benötigt oder dem Staatsarchiv angeboten werden.
2. Die öffentlichen Organe vernichten die vom Staatsarchiv als nicht archivwürdig bezeichneten Personendaten, ausser wenn diese:
a. anonymisiert sind und für amtliche oder statistische Zwecke weiter verwendet werden;
b. zu Beweis- oder Sicherheitszwecken aufbewahrt werden müssen.
3. Für die kommunalen öffentlichen Organe gelten Absatz 1 und 2 sinngemäss.
## 2a. Besondere Datenschutzbestimmungen *
### **Art. 7** Überwachungsgeräte {#art_7 omnilex-key=ch-lexwork-ow--137.1--7}
1. Öffentlich zugängliche Orte dürfen zum Schutz von Personen und Sachen mit technischen Geräten überwacht werden, wenn:
a. die Überwachung in geeigneter Weise erkennbar gemacht wird;
b. die gespeicherten Personendaten nach spätestens 100 Tagen gelöscht oder innerhalb dieser Frist mit einem Strafantrag bzw. einer Strafanzeige der Polizei übergeben werden und
c. die beauftragte Person für Datenschutz vorgängig über die Einführung einer Überwachung informiert wurde.
2. Das Anbringen von Überwachungsgeräten wird von jenem öffentlichen Organ angeordnet, dem das Benützungsrecht oder die Hoheit über den zu überwachenden Ort zusteht.
### **Art. 7a** Elektronische Informations-, Geschäftsverwaltungs- und Datenablagesysteme {#art_7 omnilex-key=ch-lexwork-ow--137.1--7a}
1. Personendaten und Daten juristischer Personen, einschliesslich besonders schützenswerter Daten, dürfen von öffentlichen Organen in elektronischen Informations-, Geschäftsverwaltungs- und Datenablagesystemen bearbeitet werden, wenn sie dazu dienen:
a. Geschäfte zu bearbeiten;
b. Arbeitsabläufe zu organisieren;
c. festzustellen, ob Daten über eine bestimmte Person bearbeitet werden;
d. den Zugang zu amtlichen Dokumenten zu erleichtern;
e. die gesetzlichen Aufgaben zu erfüllen.
2. Anderen öffentlichen Organen oder Dritten darf Zugriff auf Personendaten und Daten juristischer Personen, einschliesslich besonders schützenswerter Daten, gewährt werden, wenn die für die Bekanntgabe erforderliche gesetzliche Grundlage vorhanden ist.
## 3. Organisation und Verfahren
### **Art. 8** Regierungsrat und Obergericht * {#art_8 omnilex-key=ch-lexwork-ow--137.1--8}
1. Der Regierungsrat ist auf kantonaler Ebene für jene Erlasse, Verfügungen und Entscheide zuständig, die gemäss Bundesgesetzgebung über den Datenschutz auf Bundesebene dem Bundesrat zustehen.
2. Er erlässt die zum Vollzug erforderlichen Ausführungsbestimmungen. Er kann insbesondere folgende Bereiche im Einzelnen regeln:
a. Bearbeiten, Beschaffen, Bekanntgabe, Aufbewahrung, besondere Formen der Bearbeitung im Rahmen des Bundesrechts (Art. 2 Abs. 1 dieses Gesetzes);
b. Verantwortlichkeit bei gemeinsamer Datenbearbeitung mehrerer öffentlicher Organe (Art. 2 Abs. 2 dieses Gesetzes);
c. Mindestanforderung an die Datensicherheit (Art. 8 DSG);
d. …
e. Modalitäten des Auskunftsrechts (Art. 25 bis 29 DSG);
f. Anspruch auf Massnahmen (Art. 41 DSG);
g. kostenpflichtige Amtshandlungen;
h. Nachweis des Datenschutzes (Art. 2 Abs. 3 dieses Gesetzes);
i. Verzeichnis der Datenbearbeitungstätigkeiten (Art. 5 dieses Gesetzes);
j. beratende Person für Datenschutz (Art. 5a dieses Gesetzes);
k. Informations-, Geschäftsverwaltungs- und Datenablagesysteme (Art. 7a dieses Gesetzes);
l. Inhalt und Umfang der Datenschutz-Folgenabschätzung (Art. 22 DSG).
3. Das Obergericht erlässt in seinem Aufsichtsbereich die zum Vollzug erforderlichen Reglemente, insbesondere jene für die Straf- und Strafvollzugsorgane gemäss Art. 3 Ziff. 7 der Richtlinie (EU) 2016/680.
4. Der Regierungsrat und das Obergericht können die Regelungen für die Straf- und Strafvollzugsorgane gemäss Art. 3 Ziff. 7 der Richtlinie (EU) 2016/680 für weitere öffentliche Organe als anwendbar erklären.
### **Art. 9** Beauftragte Person für Datenschutz, a. Wahl und Stellung {#art_9 omnilex-key=ch-lexwork-ow--137.1--9}
1. Der Kantonsrat wählt auf die verfassungsmässige Amtsdauer eine Person als Beauftragte für den Datenschutz sowie eine Stellvertretung.
2. Die beauftragte Person für Datenschutz erfüllt ihre Aufgabe unabhängig und selbstständig; die Bestimmungen von Art. 21 ff. des Gesetzes über die Gerichtsorganisation betreffend die Gerichtsverwaltung sind sinngemäss anwendbar.
3. Sie steht unter der Aufsicht des Kantonsrats. Administrativ ist sie einem Departement oder der Staatskanzlei zugeordnet.
4. Die beauftragte Person, die Stellvertretung sowie ihre Hilfspersonen unterstehen den gleichen Geheimhaltungsvorschriften wie das die Daten bearbeitende öffentliche Organ; dies gilt auch nach der Beendigung der Funktion.
5. Der Regierungsrat kann, unter Wahrung des Wahl- und Aufsichtsrechts des Kantonsrats, durch Vereinbarung die Aufgaben der beauftragten Person für Datenschutz einer geeigneten Person bzw. Stelle eines anderen Kantons übertragen oder mit anderen Kantonen ein gemeinsames Organ für diese Aufgaben errichten.
### **Art. 10** b. Aufgaben {#art_1 omnilex-key=ch-lexwork-ow--137.1--10}
1. …
2. Die beauftragte Person für Datenschutz:
a. überwacht die Anwendung der Vorschriften über den Datenschutz;
b. berät die öffentlichen Organe und betroffenen Personen in Fragen des Datenschutzes;
b1. sensibilisiert die öffentlichen Organe für ihre datenschutzrechtlichen Pflichten und die Öffentlichkeit für die Anliegen des Datenschutzes;
c. nimmt Stellung zu Entwürfen von Erlassen und zu Massnahmen, die für den Datenschutz von erheblicher Bedeutung sind;
d. legt Rechenschaft über ihre Tätigkeit ab.
3. Die beauftragte Person für Datenschutz erfüllt diese Aufgaben, indem sie insbesondere:
a. Kontrollen bei den öffentlichen Organen durchführt;
b. Stellung nimmt im Rahmen von Vorabkonsultationen;
c. Eingaben und Meldungen behandelt, die den Datenschutz betreffen;
d. …
e. mit den Kontrollorganen der andern Kantone, des Bundes und des Auslandes zusammen arbeitet;
f. zuhanden des Kantonsrats einen Rechenschaftsbericht erstellt.
4. Die beauftragte Person für Datenschutz kann wichtige Feststellungen und Massnahmen im Bereich des Datenschutzes veröffentlichen.
### **Art. 11** c. Befugnisse {#art_1 omnilex-key=ch-lexwork-ow--137.1--11}
1. Die beauftragte Person für Datenschutz ist befugt, ungeachtet allfälliger Geheimhaltungspflichten, bei den öffentlichen Organen oder beauftragten Dritten:
a. alle für die Erfüllung des Kontrollauftrags erforderlichen Informationen über Daten und deren Bearbeitung einzuholen;
b. Einsicht in alle Datensammlungen, Unterlagen und Akten zu nehmen;
c. Besichtigungen durchzuführen;
d. sich Bearbeitungen vorführen zu lassen.
2. Sie kann für einzelne Aufgaben Sachverständige beiziehen.
3. Die öffentlichen Organe sind verpflichtet, die beauftragte Person für Datenschutz bei der Erfüllung ihrer Aufgabe zu unterstützen.
### **Art. 11a** d. Ausnahmen von der Aufsicht {#art_1 omnilex-key=ch-lexwork-ow--137.1--11a}
1. Von der Aufsicht der beauftragten Person für Datenschutz sind ausgenommen:
a. der Kantonsrat;
b. der Regierungsrat;
c. die Gerichtsbehörden im Rahmen ihrer rechtsprechenden Tätigkeit;
d. die Staatsanwaltschaft im Rahmen ihrer Tätigkeit im Strafverfahren;
e. die übrigen kantonalen und kommunalen öffentlichen Organe im Rahmen ihrer rechtsprechenden Tätigkeit.
### **Art. 12** Verfahren, a. allgemein {#art_1 omnilex-key=ch-lexwork-ow--137.1--12}
1. Das Verfahren richtet sich nach dem Staatsverwaltungsgesetz.
### **Art. 13** b. Anspruch auf Massnahmen {#art_1 omnilex-key=ch-lexwork-ow--137.1--13}
1. Wird dem Gesuch einer Person namentlich um Auskunft, Einsicht oder Erfüllung eines Anspruchs im Sinne von Art. 25 des Bundesgesetzes über den Datenschutz nicht vollumfänglich entsprochen, so erlässt das öffentliche Organ eine anfechtbare Verfügung, wenn es die betroffene Person verlangt.
2. Die Verfügung ist auch der beauftragten Person für Datenschutz mitzuteilen, der ein Beschwerderecht zusteht.
### **Art. 14** c. Sachverhaltsabklärung, Massnahmen, Verfügung und Rechtsmittel * {#art_1 omnilex-key=ch-lexwork-ow--137.1--14}
1. Die beauftragte Person für Datenschutz wird von sich aus oder auf Anzeige hin tätig.
2. Sie klärt den Sachverhalt von Amtes wegen ab.
3. Ergibt die Abklärung, dass Datenschutzbestimmungen verletzt werden, so beantragt die beauftragte Person für Datenschutz dem öffentlichen Organ Massnahmen. Die übergeordnete Behörde ist zu orientieren.
4. Wird dem Antrag nicht vollumfänglich entsprochen, so kann die beauftragte Person für Datenschutz bei erheblichen Datenschutzverletzungen eine anfechtbare Verfügung erlassen. Gegenüber dem Obergericht und dem Verwaltungsgericht kann keine Verfügung erlassen werden.
5. Dem öffentlichen Organ und der beauftragten Person für Datenschutz stehen das Beschwerderecht zu. Das für die Beschwerdeeinreichung zuständige öffentliche Organ bestimmt sich sinngemäss nach Art. 10 Abs. 1 und die anzurufenden Beschwerdeinstanzen nach Art. 10 Abs. 3 des Gesetzes über das Öffentlichkeitsprinzip.
### **Art. 15** Kosten {#art_1 omnilex-key=ch-lexwork-ow--137.1--15}
1. Auskunft und Einsicht durch die betroffene Person sind in der Regel kostenlos.
## 4. Übergangs- und Schlussbestimmungen
### **Art. 16** Strafbestimmungen {#art_1 omnilex-key=ch-lexwork-ow--137.1--16}
1. Mit Busse oder Freiheitsstrafe bis zu drei Jahren wird bestraft, wer:
a. als Dritter Personendaten im Auftrag eines öffentlichen Organs bearbeitet und dabei die Daten auftragswidrig verwendet oder bekannt gibt;
b. als Dritter Personendaten für nicht personenbezogene Zwecke von einem öffentlichen Organ zur Bearbeitung erhält und die Daten zweckwidrig verwendet oder bekannt gibt.
2. Im Übrigen gelten die Bestimmungen des Gesetzes über das kantonale Strafrecht.
### **Art. 17** Übergangsbestimmungen {#art_1 omnilex-key=ch-lexwork-ow--137.1--17}
1. Die Bestimmungen sind anwendbar auf Datenbearbeitungen, die nach Inkrafttreten dieses Gesetzes erfolgt sind.
2. Die Bearbeitung bestehender Datensammlungen ist innert zwei Jahren nach Inkrafttreten dieses Gesetzes an das neue Recht anzupassen.
### **Art. 18** Änderung bisherigen Rechts {#art_1 omnilex-key=ch-lexwork-ow--137.1--18}
1. ...
### **Art. 19** Inkrafttreten {#art_1 omnilex-key=ch-lexwork-ow--137.1--19}
1. Der Regierungsrat bestimmt, wann dieses Gesetz in Kraft tritt. Es unterliegt dem fakultativen Referendum.