157.12
# Verordnung über die Informationssicherheit von Personendaten
(VIP)
Vom 16.01.2007 (Stand 19.12.2020)

### **Art. 1** Gegenstand und Geltungsbereich {#art_1 omnilex-key=ch-lexwork-zg--157.12--1}

1. Diese Verordnung regelt das Verfahren und die Verantwortlichkeit zur Gewährleistung der Sicherheit von Personendaten, die mit elektronischen Hilfsmitteln oder auf andere Weise bearbeitet werden.
2. Sie gilt für die dem Datenschutzgesetz unterstellten Organe. Für Organe, die für den Kanton oder die Gemeinden öffentliche Aufgaben erfüllen, ist sie nur im Rahmen der übertragenen Aufgaben anwendbar.

### **Art. 2** Zweck der Informationssicherheit&nbsp;<strong>*</strong> {#art_2 omnilex-key=ch-lexwork-zg--157.12--2}

1. Die Informationssicherheit bezweckt den Schutz von Personendaten insbesondere gegen:
   a) zufällige Bekanntgabe, Vernichtung oder Verlust;
   b) technische Fehler;
   c) unbefugte Kenntnisnahme;
   d) unbefugte Bearbeitung;
   e) Fälschung, Entwendung oder widerrechtliche Verwendung.

### **Art. 3** Verantwortlichkeit&nbsp;<strong>*</strong> {#art_3 omnilex-key=ch-lexwork-zg--157.12--3}

1. Die Organe sind verantwortlich für die Gewährleistung der Informationssicherheit in allen Phasen der Datenbearbeitung. Für die Gewährleistung der Sicherheit der Personendaten in der Phase der Archivierung ist das Archiv verantwortlich.

### **Art. 4** Sicherheitsmassnahmen {#art_4 omnilex-key=ch-lexwork-zg--157.12--4}

1. Die Organe sorgen für Vertraulichkeit, Integrität und Verfügbarkeit der Personendaten sowie die Zurechenbarkeit und Nachvollziehbarkeit von Datenbearbeitungen. Sie ergreifen die erforderlichen technischen und organisatorischen Sicherheitsmassnahmen zum Zwecke der Zugangs-, Datenträger-, Transport-, Bekanntgabe-, Speicher-, Benutzer-, Zugriffs- oder Eingabekontrolle.
2. Die technischen und organisatorischen Massnahmen müssen angemessen sein und insbesondere folgenden Kriterien Rechnung tragen:
   a) dem Zweck der Datenbearbeitung;
   b) der Art und dem Umfang der Datenbearbeitung;
   c) den möglichen Risiken für die betroffenen Personen;
   d) dem gegenwärtigen Stand der Technik; und
   e) der Verhältnismässigkeit und Wirtschaftlichkeit.
3. Die Organe erstellen einen Massnahmenkatalog, der Auskunft gibt über den Zweck und die Kosten der vorgeschlagenen Massnahmen sowie den Zeitbedarf für deren Umsetzung.

### **Art. 5** Umsetzung {#art_5 omnilex-key=ch-lexwork-zg--157.12--5}

1. Die Organe beantragen die Umsetzung des Massnahmenkatalogs – je nach Zuständigkeit – bei den Direktionen, dem Obergericht, dem Verwaltungsgericht, der Staatskanzlei sowie den vorgesetzten gemeindlichen Stellen. Bei ausgelagerter Datenbearbeitung gehen die betreffenden Organe sinngemäss vor.
2. Die Organe sind verantwortlich für die Instruktion und Kontrolle der Mitarbeitenden und überprüfen periodisch die Wirksamkeit der getroffenen Massnahmen.

### **Art. 5a** Datenschutz-Folgenabschätzung {#art_5 omnilex-key=ch-lexwork-zg--157.12--5a}

1. Eine Datenschutz-Folgenabschätzung enthält insbesondere Angaben zu:
   a) Art der Personendaten, Kreis der betroffenen Personen, gesetzliche Grundlage, Zweck, Art und Umfang der Datenbearbeitung, gemeinsame Datenbearbeitungen, Kombination von Datensätzen, Zugriff auf Personendaten anderer Organe, automatisierte Entscheidfindung, Auftragsdatenbearbeitung, grenzüberschreitende Datenbekanntgaben, Kreis der Empfängerinnen und Empfänger bzw. der Zugriffsberechtigten, Aufbewahrungsdauer, Anwendungen, Systeme und Netzwerke, Technologien und Verfahren;
   b) Eintrittswahrscheinlichkeit, Schwere und potenzielle Auswirkungen der Risiken für die Grundrechte der betroffenen Personen; und
   c) technische sowie organisatorische Massnahmen und deren Auswirkungen auf die Risiken.
2. Die Organe halten das Ergebnis der Datenschutz-Folgenabschätzung schriftlich fest.

### **Art. 6** Regierungsrat {#art_6 omnilex-key=ch-lexwork-zg--157.12--6}

1. Der Regierungsrat erlässt eine Weisung zur Gewährleistung der Informationssicherheit.

### **Art. 7** Kantonale Datenschutzstelle {#art_7 omnilex-key=ch-lexwork-zg--157.12--7}

1. Die kantonale Datenschutzstelle berät die Organe in grundsätzlichen Fragen der Informationssicherheit von Personendaten.

### **Art. 8** Amt für Informatik und Organisation {#art_8 omnilex-key=ch-lexwork-zg--157.12--8}

1. …
2. Das Amt für Informatik und Organisation berät die Organe des Kantons bei der Gewährleistung der Informationssicherheit und der Erstellung von Massnahmenkatalogen.

### **Art. 8a** Security Board {#art_8 omnilex-key=ch-lexwork-zg--157.12--8a}

1. Das Security Board gemäss § 29 ITV erstellt die Merkblätter für die Instruktion von Mitarbeitenden zur Informationssicherheit sowie eine Vorlage für die Erarbeitung eines Massnahmenkatalogs.

### **Art. 9** Übergangsregelung {#art_9 omnilex-key=ch-lexwork-zg--157.12--9}

1. Die Organe beantragen die Massnahmen gemäss § 4 innert zwei Jahren nach Vorliegen der Merkblätter für die Instruktion der Mitarbeitenden.
2. Einfache Sicherheitsmassnahmen ohne Kostenfolgen, vor allem solche organisatorischer Art, setzen die Organe umgehend um.

### **Art. 10** Inkrafttreten {#art_1 omnilex-key=ch-lexwork-zg--157.12--10}

1. Diese Verordnung tritt am Tage nach der Publikation im Amtsblatt in Kraft.