Datenschutzrechtliche Pflichten
Die kantonalen Behörden sind für den Datenschutz verantwortlich. Sie haben insbesondere die nachfolgend aufgeführten datenschutzrechtlichen Pflichten zu beachten.
ISDS-Analyse und ISDS-Konzept
Beim Einsatz von Informations- und Telekommunikationstechnologie (ICT) beurteilen die verantwortlichen Stellen in der Phase «Voranalyse» mit einer Informationssicherheits- und Datenschutz (ISDS) Analyse die datenschutzrechtliche Konformität eines ICT-Vorhabens und bestimmen mit einer Schutzbedarfsklassifizierung, ob bei dem Projekt erhöhte ISDS-Anforderungen bestehen.
Ergibt die ISDS-Analyse, dass keine erhöhten ISDS-Anforderungen bestehen, sorgen die verantwortlichen Stellen dafür, dass auf den Zeitpunkt der Inbetriebnahme der ICT-Anwendung die massgeblichen Datenschutzvorgaben eingehalten werden und die Informationssicherheit mindestens durch die Umsetzung der ISDS-Grundschutzmassnahmen gewährleistet ist. Bestehen hingegen erhöhte ISDS-Anforderungen, ist spätestens in der Phase «Konzept» ein ISDS-Konzept zu erstellen.
Vorabkontrolle
Beabsichtigt eine Behörde, Personendaten einer grösseren Anzahl von Personen elektronisch zu bearbeiten, unterbreitet sie die beabsichtigte Datenbearbeitung (d.h. das entsprechende ISDS-Konzept) vor deren Beginn unter Berücksichtigung der gesetzlichen Voraussetzungen der Aufsichtsstelle zur Stellungnahme. Sie unterbreitet der Aufsichtsstelle ebenso wesentliche Änderungen solcher Datenbearbeitungen.
Auch jede Videoüberwachung ist vorgängig der Datenschutzaufsichtsstelle zur Vorabkontrolle vorzulegen.
Unterbreitung von Vorlagen über Erlasse und andere Massnahmen zur Stellungnahme
Soweit Vorlagen über Erlasse und andere Massnahmen für den Datenschutz erheblich sind, legt die Behörde diese der Aufsichtsstelle zur Stellungnahme vor.
Anmeldung von angelegten Datensammlungen
Die Aufsichtsstelle veröffentlicht im Internet ein Register der im Kanton, in der Gemeinde oder in einer anderen gemeinderechtlichen Körperschaft sowie in der Landeskirche oder in ihrer regionalen Einheit angelegten Datensammlungen. Die verantwortliche Behörde erstellt den ihre Datensammlungen betreffenden Teil des Registers nach den Vorgaben der Aufsichtsstelle und führt diesen nach.
Meldung eines Datenschutzvorfalls
Eine gesetzliche Verpflichtung zur Meldung eines Datenschutzvorfalls besteht zurzeit nur im Bereich Strafverfolgung und Strafvollzug. Auch ohne entsprechende Verpflichtung empfiehlt die Datenschutzaufsichtsstelle den Behörden, Datenschutzvorfälle umgehend zu melden.