174.101
# Verordnung über den Schutz von Personendaten
(Kantonale Datenschutzverordnung)
Vom 23.11.2021 (Stand 01.12.2021)

### **Art. 1** Adressbücher und Nachschlagewerke {#art_1 omnilex-key=ch-lexwork-sh--174.101--1}

1. Für Veröffentlichungen von allgemeinem Interesse dürfen folgende Personendaten bekanntgegeben werden:
   a) für Adressbücher und ähnliche Nachschlagewerke: Name, Vorname, Firma, Adresse, Beruf und Titel von natürlichen und juristischen Personen
   b) für Staatskalender, Behördenverzeichnisse und ähnliche Nachschlagewerke: Name, Vorname, Titel, Beruf, Jahrgang, Adresse, Telefon sowie Funktion von Personen, die im öffentlichen Dienst stehen oder gestanden haben
   c) für Fahrzeug- und Schiffshalterverzeichnisse: Name, Vorname, Firma und Adresse von Haltern
2. Eine geplante Bekanntgabe ist der Aufsichtsstelle so früh mitzuteilen, dass diese nötigenfalls noch eingreifen kann.
3. Die Bekanntgabe von Personendaten im Zusammenhang mit Geburten, Todesfällen, Verkündigungen und Trauungen richtet sich nach der kantonalen Zivilstandsverordnung.
4. Vorbehalten bleiben die Sperrung von Personendaten gemäss Art. 11 Abs. 1 des Gesetzes und andere rechtmässig zugelassene Ausnahmen von der Veröffentlichung.
5. Auf die Bekanntgabe besteht kein Rechtsanspruch.

### **Art. 2** Sperrung {#art_2 omnilex-key=ch-lexwork-sh--174.101--2}

1. Will eine betroffene Person die Bekanntgabe ihrer Daten an private Personen und Organisationen sperren lassen, hat sie dies den verantwortlichen Organen schriftlich mitzuteilen.

### **Art. 3** Auftragserteilung an Dritte {#art_3 omnilex-key=ch-lexwork-sh--174.101--3}

1. Soweit keine andere gesetzliche Regelung besteht, ergehen Auftragserteilungen zur Bearbeitung von Personendaten an Dritte gemäss Art. 13 des Gesetzes schriftlich.
2. Der Auftrag regelt insbesondere:
   a) den Gegenstand und den Umfang der übertragenen Aufgaben
   b) den Umgang mit den Personendaten (Verantwortung, Zweckbindung, Verfügungsmacht)
   c) die Geheimhaltungsverpflichtungen
   d) die Behandlung von Auskunftsgesuchen der betroffenen Person
   e) die zum Schutz der Daten vorzukehrenden Massnahmen
   f) die Kontrolle der Auftragserfüllung
   g) die bei Pflichtverletzung vorgesehenen Sanktionen
   h) die Vertragsdauer und die Voraussetzungen der Vertragsauflösung
   i) die Rückgabe oder Vernichtung der Daten nach Vertragsauflösung

### **Art. 4** Informationssicherheit: Inhalt {#art_4 omnilex-key=ch-lexwork-sh--174.101--4}

1. Die vom verantwortlichen Organ gemäss Art. 14 des Gesetzes zu gewährleistende Informationssicherheit beinhaltet insbesondere den Schutz vor:
   a) unbefugter oder zufälliger Vernichtung
   b) zufälligem Verlust
   c) technischen Fehlern
   d) Fälschung, Diebstahl oder widerrechtlicher Verwendung
   e) unbefugtem Ändern, Kopieren, Zugreifen oder anderen unbefugten Bearbeitungen
2. Die technischen und organisatorischen Massnahmen müssen verhältnismässig sein und periodisch überprüft werden.
3. Sie tragen insbesondere folgenden Kriterien Rechnung:
   a) Zweck der Datenbearbeitung
   b) Art und Umfang der Datenbearbeitung
   c) mögliche Gefährdung der Persönlichkeitsrechte betroffener Personen
   d) Stand der Technik

### **Art. 5** Informationssicherheit: Massnahmen und Nachweis {#art_5 omnilex-key=ch-lexwork-sh--174.101--5}

1. Das verantwortliche Organ trifft die zur Gewährleistung der Informationssicherheit geeigneten technischen und organisatorischen Massnahmen. Die Massnahmen bestehen insbesondere in:
   a) Zugangskontrollen: Unbefugten Personen ist der Zugang zu den Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren
   b) Benutzerkontrollen: Unbefugten Personen ist die Benutzung von Einrichtungen, in denen Personendaten bearbeitet werden, zu verwehren
   c) Datenträgerkontrollen: Unbefugten Personen ist das Lesen, Kopieren, Verändern, Zerstören oder Entfernen von Personendatenträgern zu verunmöglichen
   d) Zugriffskontrollen: Der Zugriff der berechtigten Personen ist auf die Personendaten zu beschränken, die sie für die Erfüllung ihrer Aufgaben benötigen
   e) Empfängeridentifikation: Empfängerinnen und Empfänger von bekanntzugebenden Personendaten müssen identifiziert werden können
2. Die getroffenen Massnahmen sind zwecks Nachweis der Einhaltung der Datenschutzvorschriften schriftlich in Organisationsvorschriften, Informationssicherheitsrichtlinien oder Zugriffskonzepten festzuhalten.

### **Art. 6** Datenschutz-Folgenabschätzung {#art_6 omnilex-key=ch-lexwork-sh--174.101--6}

1. Ein erhöhtes Risiko für die Grundrechte im Sinne von Art. 14b des Gesetzes liegt insbesondere vor, wenn ein Vorhaben:
   a) die Sammlung einer Vielzahl besonders schützenswerter Personendaten oder ein systematisches Profiling betrifft
   b) mit dem Einsatz neuer Technologien verbunden ist
   c) eine grosse Anzahl Personen betrifft
   d) die systematische und umfangreiche Überwachung öffentlicher Bereiche beinhaltet

### **Art. 7** Aufsichtsstelle: Allgemeines {#art_7 omnilex-key=ch-lexwork-sh--174.101--7}

1. Die Aufsichtsstelle erfüllt ihre Aufgaben unabhängig.
2. Die kantonale Aufsichtsstelle ist administrativ dem Volkswirtschaftsdepartement zugeordnet.
3. Besteht Gewähr für eine einwandfreie Erfüllung der Aufgaben gemäss den Datenschutzvorschriften, können Gemeinden und andere öffentliche Einrichtungen mit Ermächtigung des Regierungsrates eine eigene Aufsichtsstelle einrichten.

### **Art. 8** Aufsichtsstelle: Veröffentlichung der Tätigkeitsberichte {#art_8 omnilex-key=ch-lexwork-sh--174.101--8}

1. Die Berichte der kantonalen Aufsichtsstelle über ihre Tätigkeit werden im Verwaltungsbericht veröffentlicht.
2. Haben Gemeinden und andere öffentliche Einrichtungen eine eigene Aufsichtsstelle eingerichtet, bestimmen sie selber über die Art und Weise, in der die Tätigkeitsberichte veröffentlicht werden.

### **Art. 9** Gebühren {#art_9 omnilex-key=ch-lexwork-sh--174.101--9}

1. Die öffentlichen Organe können für die auf das Gesetz und diese Verordnung gestützten Verrichtungen Gebühren erheben. Für die kantonalen Organe gilt die Verwaltungsgebührenverordnung, insbesondere deren § 14.
2. Bei Bekanntgaben gemäss § 1 dieser Verordnung sowie Gesuchen um Unterlassung und anderen Ansprüchen nach § 21 des Gesetzes gelten die Ansätze von § 12 der Verwaltungsgebührenverordnung.
3. Keine Gebühren werden erhoben für:
   a) die Auskunftserteilung nach Art. 18 des Gesetzes vorbehältlich der im Gesetz genannten Ausnahmen
   b) die Behandlung von Gesuchen um Berichtigung gemäss Art. 20 des Gesetzes
   c) die Behandlung von Gesuchen um Unterlassung und anderen Ansprüchen gemäss Art. 21 des Gesetzes
   d) die Erteilung von Auskünften durch die Aufsichtsstelle, deren Vermittlertätigkeit sowie die Behandlung von Eingaben und Beschwerden gemäss Art. 25 Abs. 1 lit. b, c und d des Gesetzes
4. In den Fällen von Abs. 3 lit. b bis d kann ausnahmsweise eine angemessene Gebühr unter vorgängiger Bekanntgabe der Höhe verlangt werden, wenn der Antrag rechtsmissbräuchlich ist, namentlich bei exzessiven Anträgen in derselben Angelegenheit.

### **Art. 10** Schlussbestimmungen {#art_1 omnilex-key=ch-lexwork-sh--174.101--10}

1. Diese Verordnung tritt am 1. Dezember 2021 in Kraft.
2. Sie ist im Amtsblatt zu veröffentlichen und in die kantonale Gesetzessammlung aufzunehmen.
3. Sie ersetzt die Verordnung über den Schutz von Personendaten (Kantonale Datenschutzverordnung) vom 28. Februar 1995.