I. Allgemeine Bestimmungen
Art. 1.- Zweck
1) Dieses Gesetz dient dem Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden.
2) Durch dieses Gesetz wird die Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EWR-Rechtssamm-lung: Anh. XI – 5e.01) umgesetzt.
Art. 2.- Geltungsbereich
1) Dieses Gesetz gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch:
a) private Personen;
b) Behörden.
2) Dieses Gesetz gilt zudem für alle Bearbeitungen von Daten:
a) die im Rahmen der Tätigkeiten einer Niederlassung des Inhabers der Datensammlung in Liechtenstein ausgeführt werden;
b) die von einem Inhaber der Datensammlung ausgeführt werden, der an einem Ort niedergelassen ist, an dem liechtensteinisches Recht anwendbar ist;
c) die von einem Inhaber der Datensammlung ausgeführt werden, der nicht im Gebiet des Europäischen Wirtschaftsraums niedergelassen ist und zum Zwecke der Bearbeitung von Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die in Liechtenstein belegen sind, es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet des Europäischen Wirtschaftsraums verwendet werden. Der Inhaber der Datensammlung hat, ungeachtet seiner Verantwortlichkeit gegenüber der Datenschutzstelle, einen Vertreter in Liechtenstein zu benennen.
3) Dieses Gesetz findet keine Anwendung auf:
a) Personendaten, die eine natürliche Person ausschliesslich zum persönlichen Gebrauch bearbeitet und nicht an Aussenstehende bekannt gibt;
b) Beratungen im Landtag und in Kommissionen des Landtags;
c) hängige Zivilverfahren und Verwaltungsbeschwerdeverfahren;
d) hängige Verfahren vor dem Staatsgerichtshof;
e) die Tätigkeiten der Finanzkontrolle des Landes.
f) Aufgehoben
g) Aufgehoben
4) Abweichende und ergänzende Bestimmungen in anderen Gesetzen bleiben vorbehalten, sofern sie den Schutz vor unbefugter Bearbeitung von Daten im Sinne dieses Gesetzes sicherstellen.
Art. 3.- Begriffe
1) Im Sinne dieses Gesetzes bedeuten:
a) “Personendaten (Daten)”: Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen;
b) “betroffene Personen”: natürliche und juristische Personen sowie rechtsfähige Personengesellschaften, über die Daten bearbeitet werden;
c) “private Personen”: natürliche und juristische Personen sowie rechtsfähige Personengesellschaften, die dem Privatrecht unterstehen;
d) “Behörden”: Organe des Staates, der Gemeinden und von Körperschaften, Stiftungen und Anstalten des öffentlichen Rechts sowie auch Private, soweit sie in Erfüllung der ihnen übertragenen öffentlichen Aufgaben tätig sind;
e) “besonders schützenswerte Personendaten”: Daten über:
aa) die religiösen, weltanschaulichen und politischen Ansichten oder Tätigkeiten,
bb) die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit,
cc) Massnahmen der sozialen Hilfe,
dd) administrative oder strafrechtliche Verfolgungen und Sanktionen;
f) “Persönlichkeitsprofil”: eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt;
g) “Bearbeiten von Personendaten”: jeder Umgang mit Personendaten, wie das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten;
h) “Bekanntgeben von Personendaten”: das Zugänglichmachen von Personendaten, wie das Einsichtgewähren, Weitergeben oder Veröffentlichen;
i) “Datensammlung”: jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind;
k) “Inhaber der Datensammlung (Inhaber; Verantwortlicher)”: private Personen oder Behörden, die über den Zweck und den Inhalt einer Datensammlung entscheiden;
l) “Empfänger”: die private Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält, gleichgültig, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines einzelnen Untersuchungsauftrags möglicherweise Daten erhalten, gelten jedoch nicht als Empfänger;
m) “Einwilligung der betroffenen Person”: jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass Daten, die sie betreffen, bearbeitet werden.
n) “öffentlich zugänglicher Ort”: ein Ort, dessen Zugänglichkeit sich nach allgemeinen Merkmalen, die von jeder Person erfüllt werden können, bestimmt.
2) Soweit in diesem Gesetz nichts anderes bestimmt ist, sind unter den in diesem Gesetz verwendeten auf Personen bezogenen männlichen Begriffen Angehörige des weiblichen und männlichen Geschlechts zu verstehen.
II. Verwendung von Daten
A. Gemeinsame Bestimmungen
Art. 4.- Grundsätze
1) Personendaten dürfen nur rechtmässig bearbeitet werden.
2) Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein.
3) Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde oder gesetzlich vorgesehen ist.
4) Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung ausdrücklich erfolgen.
Art. 5.- Vorgängige Informationen
1) Werden Daten beschafft, so hat der Inhaber der Datensammlung die betroffene Person hierüber zu informieren; diese Informationspflicht gilt auch dann, wenn die Daten nicht bei der betroffenen Person beschafft werden.
2) Der betroffenen Person sind mindestens mitzuteilen:
a) der Inhaber der Datensammlung und gegebenenfalls sein Vertreter;
b) der Zweck des Bearbeitens;
c) die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorgesehen ist;
d) die Datenkategorien, wenn die Daten nicht bei der betroffenen Person beschafft werden;
e) das Berichtigungsrecht nach Art. 7 und das Auskunftsrecht nach Art. 11;
f) die Folgen einer Weigerung der betroffenen Person, die verlangten Personendaten anzugeben.
3) Werden die Daten nicht bei der betroffenen Person beschafft, so hat deren Information spätestens bei der Speicherung der Daten oder, wenn die Daten nicht gespeichert werden, mit ihrer ersten Bekanntgabe an Dritte zu erfolgen.
4) Die Informationspflicht entfällt, wenn die betroffene Person bereits informiert wurde oder, in Fällen nach Abs. 3, wenn:
a) die Speicherung oder die Bekanntgabe der Daten ausdrücklich im Gesetz vorgesehen ist; oder
b) die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist.
5) Der Inhaber der Datensammlung kann die Information unter den in Art. 12 Abs. 1 und 2 genannten Voraussetzungen verweigern, einschränken oder aufschieben. Sobald der Grund für die Verweigerung, Einschränkung oder Aufschiebung wegfällt, gilt die Informationspflicht uneingeschränkt, ausser diese ist unmöglich oder nur mit einem unverhältnismässigen Aufwand zu erfüllen.
6) Die zuständige Behörde informiert die betroffene Person nicht, wenn der an den Schengen-Besitzstand gebundene Staat (Schengen-Staat), der die Daten übermittelt oder bereitgestellt hat, dies ausdrücklich verlangt.
7) Die Abs. 1 bis 3 finden bei Bearbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung keine Anwendung, wenn die Information der betroffenen Person unmöglich ist, unverhältnismässigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Gesetz ausdrücklich vorgesehen ist.
Art. 6.- Automatisierte Einzelentscheidungen
1) Entscheidungen, die ausschliesslich aufgrund einer automatisierten Bearbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte einer Person, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens ergehen, stellen, wenn dies rechtliche Folgen nach sich zieht und zu einer erheblichen Beeinträchtigung führt, eine Verletzung der Persönlichkeit dar.
2) Entscheidungen gemäss Abs. 1 sind zulässig, wenn sie:
a) im Rahmen des Abschlusses oder der Erfüllung eines Vertrags, auf Ersuchen der betroffenen Person oder nachdem ihr Gelegenheit zur Stellungnahme gewährt wurde, ergehen; oder
b) durch ein Gesetz zugelassen sind.
Art. 6a.- Einsatz von Bildübermittlungs- und Bildaufzeichnungsgeräten an öffentlich zugänglichen Orten
1) Der Einsatz von Bildübermittlungs- und Bildaufzeichnungsgeräten an öffentlich zugänglichen Orten (Videoüberwachung) ist nur zulässig, soweit er erforderlich ist:
a) für Behörden zur Erfüllung ihrer gesetzlichen Aufgaben;
b) zur Wahrnehmung des Hausrechts; oder
c) zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke.
2) Die Bearbeitung der nach Abs. 1 erhobenen Daten ist nur zulässig, wenn sie zum Erreichen des verfolgten Zweckes erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. Für einen anderen Zweck dürfen sie nur bearbeitet werden, soweit dies erforderlich ist:
a) zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit;
b) zur Abwehr einer schweren Gefahr für Leib, Leben, Freiheit oder Eigentum; oder
c) zur Verfolgung von Straftaten und zur Beweissicherung.
Im Fall von Satz 2 kann die Landespolizei die Bekanntgabe der erhobenen Daten verlangen.
3) Der Einsatz einer Videoüberwachung muss vor der Installation durch die Datenschutzstelle bewilligt werden. Von einer Bewilligung ausgenommen sind Bildübermittlungen in Echtzeit ohne Aufzeichnungs- oder sonstige weitere Bearbeitungsmöglichkeit. Gegen die Entscheidung über die Bewilligung kann innerhalb von 14 Tagen Beschwerde bei der Datenschutzkommission erhoben werden. Die Datenschutzstelle ist berechtigt, gegen den Entscheid der Datenschutzkommission Beschwerde zu erheben. Die Regierung regelt das Nähere mit Verordnung.
4) Der Umstand einer Videoüberwachung sowie der Verantwortliche sind durch geeignete Massnahmen erkennbar zu machen.
5) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, so ist diese über eine Bearbeitung entsprechend Art. 5 Abs. 3 zu benachrichtigen.
6) Der für den Einsatz der Videoüberwachung Verantwortliche hat alle notwendigen Massnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach Art der bearbeiteten Daten und nach Umfang und Zweck der Bearbeitung sowie unter Berücksichtigung der technischen Möglichkeiten und der wirtschaftlichen Vertretbarkeit sicher zu stellen, dass:
a) die Bearbeitung der Daten ordnungsgemäss und zweckgebunden erfolgt;
b) die Daten vor zufälliger oder unrechtmässiger Zerstörung und vor Verlust geschützt sind; und
c) die Daten Unbefugten nicht zugänglich sind.
Die Regierung regelt das Nähere mit Verordnung.
7) Die Daten sind unverzüglich, spätestens jedoch nach 30 Tagen, zu löschen, wenn:
a) sie zur Erreichung des Zweckes nicht mehr erforderlich sind; oder
b) schutzwürdige Interessen der betroffenen Personen einer weiteren Aufbewahrung entgegen stehen.
Art. 7.- Richtigkeit der Daten
1) Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern.
2) Jede betroffene Person kann verlangen, dass unrichtige Daten berichtigt werden.
Art. 8.- Bekanntgabe ins Ausland
1) Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. Dies gilt nicht im Verhältnis zu EWR-Mitgliedstaaten.
2) Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, können Personendaten ins Ausland nur bekannt gegeben werden, wenn:
a) der für die Bearbeitung Verantwortliche hinreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten und der Ausübung damit verbundenen Rechte, insbesondere durch Vertragsklauseln, gewährleistet;
b) die betroffene Person im Einzelfall zugestimmt hat;
c) die Bearbeitung in unmittelbarem Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags steht und es sich um Personendaten des Vertragspartners handelt;
d) die Bekanntgabe im Einzelfall entweder für die Wahrung eines überwiegenden öffentlichen Interesses oder für die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht unerlässlich ist;
e) die Bekanntgabe im Einzelfall erforderlich ist, um das Leben oder die körperliche Integrität der betroffenen Person zu schützen;
f) die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat; oder
g) die Bekanntgabe innerhalb derselben juristischen Person oder Gesellschaft oder zwischen juristischen Personen oder Gesellschaften, die einer einheitlichen Leitung unterstehen, stattfindet, sofern die Beteiligten einheitlichen Datenschutzregeln unterstehen, welche einen angemessenen Schutz gewährleisten.
3) Die Bekanntgabe von Daten nach Abs. 2 Bst. a und g bedarf einer Genehmigung der Regierung. Die Datenschutzstelle gibt vorgängig eine Empfehlung ab, ob die Garantien oder einheitlichen Datenschutzregelungen einen angemessenen Schutz gewährleisten. Die Regierung regelt das Nähere mit Verordnung.
4) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmassnahmen berücksichtigt werden.
5) Die Regierung bezeichnet aufgrund von Beschlüssen des Gemeinsamen EWR-Ausschusses die Nicht-EWR-Mitgliedstaaten, deren Datenschutzgesetzgebung ein angemessenes Schutzniveau aufweist, mit Verordnung.
Art. 9.- Datensicherheit
1) Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.
2) Die Regierung erlässt mit Verordnung nähere Bestimmungen über die Mindestanforderungen an die Datensicherheit.
Art. 10.- Datengeheimnis
Wer Daten bearbeitet oder bearbeiten lässt, hat Daten aus Datenanwendungen, die ihm aufgrund seiner beruflichen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht.
Art. 11.- Auskunftsrecht
1) Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Die Regierung legt mit Verordnung eine Frist fest, innert welcher in der Regel die Auskunft zu erteilen ist.
2) Der Inhaber der Datensammlung muss ihr mitteilen:
a) alle über sie in der Datensammlung vorhandenen Daten und deren Herkunft;
b) den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger;
c) den logischen Aufbau der automatisierten Bearbeitung der sie betreffenden Daten, im Fall automatisierter Entscheidungen gemäss Art. 6; und
d) je nach Fall die Berichtigung, Vernichtung oder Sperrung von Daten, deren Bearbeitung nicht den Bestimmungen dieses Gesetzes entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind.
3) Daten über die Gesundheit kann der Inhaber der Datensammlung der betroffenen Person durch einen von ihr bezeichneten Arzt mitteilen lassen.
4) Lässt der Inhaber der Datensammlung Personendaten durch einen Dritten bearbeiten, so bleibt er auskunftspflichtig. Der Dritte ist auskunftspflichtig, wenn er den Inhaber nicht bekannt gibt oder dieser keinen Wohnsitz im Inland hat.
5) Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen. Die Regierung regelt mit Verordnung die Ausnahmen. Sie kann namentlich eine Kostenbeteiligung vorsehen, wenn die Auskunft einen übermässigen Aufwand erfordert.
6) Niemand kann im Voraus auf das Auskunftsrecht verzichten.
Einschränkungen des Auskunftsrechts
Art. 12.- a) im Allgemeinen
1) Der Inhaber der Datensammlung kann die Auskunft verweigern, einschränken oder aufschieben, wenn:
a) ein Gesetz dies vorsieht;
b) eine gerichtlich oder behördlich angeordnete Informationssperre vorliegt; oder
c) dies wegen überwiegender Interessen eines Dritten erforderlich ist.
2) Eine Behörde kann zudem die Auskunft verweigern, einschränken oder aufschieben, wenn:
a) dies wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder äusseren Sicherheit des Landes erforderlich ist; oder
b) die Auskunft den Zweck einer Strafuntersuchung oder eines andern Untersuchungsverfahrens in Frage stellt.
2a) Sobald der Grund für die Verweigerung, Einschränkung oder Aufschiebung einer Auskunft wegfällt, muss die Behörde die Auskunft erteilen, ausser dies ist unmöglich oder nur mit einem unverhältnismässigen Aufwand möglich.
3) Private als Inhaber einer Datensammlung können zudem die Auskunft verweigern, einschränken oder aufschieben, soweit eigene überwiegende Interessen es erfordern und sie die Personendaten nicht an Dritte bekannt geben.
4) Der Inhaber der Datensammlung muss angeben, aus welchem Grund er die Auskunft verweigert, einschränkt oder aufschiebt.
Art. 13.- b) für Medienschaffende
1) Der Inhaber einer Datensammlung, die ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums verwendet wird, kann die Auskunft verweigern, einschränken oder aufschieben, wenn:
a) die Personendaten Aufschluss über die Informationsquellen geben;
b) Einblick in Entwürfe für Publikationen gegeben werden müsste; oder
c) die freie Meinungsbildung des Publikums gefährdet würde.
2) Medienschaffende können die Auskunft zudem verweigern, einschränken oder aufschieben, wenn ihnen eine Datensammlung ausschliesslich als persönliches Arbeitsinstrument dient.
Art. 14.- Widerspruchsrecht
1) Sofern die Verwendung von Daten nicht gesetzlich vorgesehen ist, hat jeder Betroffene das Recht, gegen die Verwendung seiner Daten wegen Verletzung überwiegender schutzwürdiger Interessen, die sich aus seiner besonderen Situation ergeben, beim Inhaber der Datensammlung Widerspruch zu erheben.
2) Im Fall eines berechtigten Widerspruchs darf sich die vom Inhaber vorgenommene Bearbeitung nicht mehr auf diese Daten beziehen.
3) Werden Daten für Zwecke der Direktwerbung bearbeitet, ist die betroffene Person vorgängig zu informieren (Art. 5) und auf das ihr zustehende unentgeltliche und sofort wirksame Widerspruchsrecht hinzuweisen.
Art. 14a.- Zertifizierungsverfahren
1) Um den Datenschutz und die Datensicherheit zu verbessern, können die Hersteller von Datenbearbeitungssystemen oder -programmen sowie private Personen oder Behörden, die Personendaten bearbeiten, ihre Produkte, Systeme, Verfahren und ihre Organisation einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen.
2) Die Regierung erlässt mit Verordnung Vorschriften über die Akkreditierung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens. Sie berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen.
Art. 15.- Register der Datensammlungen
1) Die Datenschutzstelle führt ein Register der Datensammlungen, das insbesondere über das Internet zugänglich ist. Jede Person kann das Register einsehen.
2) Inhaber einer Datensammlung müssen vorbehaltlich Abs. 6 sämtliche Datensammlungen bei der Datenschutzstelle zur Registrierung anmelden.
3) Aufgehoben
3a) Aufgehoben
4) Datensammlungen müssen angemeldet werden, bevor sie eröffnet werden.
5) Die Anmeldung enthält folgende Angaben:
a) Name und Adresse des Inhabers der Datensammlung;
b) Name und vollständige Bezeichnung der Datensammlung;
c) Person, bei welcher das Auskunftsrecht geltend gemacht werden kann;
d) Zweck der Datensammlung;
e) Kategorien der bearbeiteten Personendaten;
f) Kategorien der Datenempfänger;
g) Kategorien der an der Datensammlung Beteiligten, das heisst Dritte, die in der Datensammlung Daten eingeben und Änderungen an den Daten vornehmen dürfen;
h) eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Massnahmen nach Art. 9 zur Gewährleistung der Sicherheit der Bearbeitung angemessen sind.
6) Die Regierung regelt mit Verordnung das Nähere über die Anmeldung und die Aktualisierung der Datensammlungen sowie die Führung und die Veröffentlichung des Registers. Sie kann für bestimmte Arten von Datensammlungen eine vereinfachte Meldepflicht oder Ausnahmen von der Meldepflicht vorsehen, wenn das Bearbeiten die Persönlichkeit der betroffenen Personen nicht gefährdet.
B. Bearbeiten von Personendaten durch private Personen
Art. 16.- Persönlichkeitsverletzungen
1) Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen.
2) Er darf insbesondere nicht ohne Rechtfertigungsgrund:
a) Personendaten entgegen den Grundsätzen von Art. 4, Art. 7 Abs. 1, Art. 8 Abs. 1 und Art. 9 Abs. 1 bearbeiten;
b) Daten einer Person gegen deren ausdrücklichen Willen bearbeiten;
c) besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeiten.
3) In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.
Rechtfertigungsgründe
Art. 17.- a) bei Personendaten
1) Eine Verletzung der Persönlichkeit bei der Bearbeitung von Personendaten ist widerrechtlich, wenn sie nicht gerechtfertigt ist durch:
a) die Einwilligung des Verletzten;
b) ein überwiegendes privates oder öffentliches Interesse; oder
c) ein Gesetz.
2) Ein überwiegendes Interesse der bearbeitenden Person fällt insbesondere in Betracht, wenn diese:
a) in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags Personendaten über ihren Vertragspartner bearbeitet;
b) mit einer anderen Person in wirtschaftlichem Wettbewerb steht oder treten will und zu diesem Zweck Personendaten bearbeitet, ohne diese Dritten bekannt zu geben;
c) zur Prüfung der Kreditwürdigkeit einer anderen Person weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet und Dritten nur Daten bekannt gibt, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen;
d) beruflich Personendaten ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums bearbeitet;
e) Personendaten zu nicht personenbezogenen Zwecken, insbesondere in der Forschung, Planung und Statistik, bearbeitet und die Ergebnisse so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind;
f) Daten bearbeitet, die allgemein zugänglich sind;
g) Daten über eine Person des öffentlichen Lebens sammelt, sofern sich die Daten auf das Wirken dieser Person in der Öffentlichkeit beziehen.
Art. 18.- b) bei besonders schützenswerten Personendaten und Persönlichkeitsprofilen
Eine Verletzung der Persönlichkeit bei der Bearbeitung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen ist nicht widerrechtlich, wenn:
a) ein Gesetz es ausdrücklich vorsieht;
b) es für eine in einem Gesetz klar umschriebene Aufgabe unentbehrlich ist;
c) die betroffene Person im Einzelfall eingewilligt oder ihre Daten allgemein zugänglich gemacht hat;
d) die Bearbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich ist, sofern die Person aus physischen oder rechtlichen Gründen ausserstande ist, ihre Einwilligung zu geben;
e) die Bearbeitung durch ideelle Vereinigungen erfolgt, unter der Voraussetzung, dass sich die Bearbeitung nur auf deren Mitglieder oder auf Personen bezieht, die im Zusammenhang mit ihrem Tätigkeitszweck regelmässige Kontakte mit ihr unterhalten und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden;
f) die Bearbeitung zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich ist; oder
g) die Bearbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und durch Personen vorgenommen wird, die einer beruflichen Geheimhaltungspflicht unterliegen.
Art. 19.- Datenbearbeitung im Auftrag
1) Das Bearbeiten von Personendaten kann einem Dritten übertragen werden, wenn:
a) der Auftraggeber dafür sorgt, dass die Daten nur so bearbeitet werden, wie er es selbst tun dürfte; und
b) keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet.
2) Der Dritte unterliegt denselben Pflichten und kann dieselben Rechtfertigungsgründe geltend machen wie der Auftraggeber.
3) Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags und die Anforderungen in Bezug auf Massnahmen nach Abs. 1 und 2 schriftlich oder in einer anderen Form zu dokumentieren.
Art. 19a.- Anonymisieren und Vernichten von Personendaten
1) Private Personen haben Personendaten zu anonymisieren oder zu vernichten, wenn diese für die Erreichung der Zwecke, für die sie bearbeitet wurden, nicht mehr benötigt werden.
2) Eine Anonymisierung oder Vernichtung kann unterbleiben, wenn die Personendaten über die ursprüngliche Bearbeitung hinaus für historische, statistische oder wissenschaftliche Zwecke weiter aufbewahrt werden sollen. In diesem Fall hat der Inhaber durch geeignete technische und organisatorische Massnahmen die sichere Aufbewahrung der Personendaten zu gewährleisten. Die Regierung regelt das Nähere mit Verordnung.
C. Bearbeiten von Personendaten durch Behörden
Art. 20.- Verantwortliche Behörde
1) Für den Datenschutz ist diejenige Behörde verantwortlich, die in Erfüllung ihrer gesetzlichen Aufgaben Personendaten bearbeitet oder bearbeiten lässt.
2) Bearbeiten Behörden Personendaten zusammen mit anderen Behörden oder mit Privaten, so kann die Regierung die Verantwortung für den Datenschutz besonders regeln.
Art. 21.- Rechtsgrundlagen
1) Behörden dürfen Personendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht.
2) Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen sie nur bearbeiten, wenn ein Gesetz es ausdrücklich vorsieht oder wenn ausnahmsweise:
a) es für eine in einem Gesetz klar umschriebene Aufgabe unentbehrlich ist;
b) die Regierung es im Einzelfall bewilligt, weil die Rechte der betroffenen Person nicht gefährdet sind; oder
c) die betroffene Person im Einzelfall eingewilligt hat oder ihre Daten allgemein zugänglich sind und eine Bearbeitung nicht untersagt wurde.
Art. 22.- Beschaffen von Personendaten
1) Bei systematischen Erhebungen, namentlich mit Fragebogen, gibt die Behörde den Zweck und die Rechtsgrundlage des Bearbeitens, die Kategorien der an der Datensammlung Beteiligten und der Datenempfänger bekannt.
2) Das Beschaffen von besonders schützenswerten Personendaten sowie von Persönlichkeitsprofilen muss für die betroffenen Personen erkennbar sein.
Art. 23.- Bekanntgabe von Personendaten
1) Behörden dürfen Personendaten bekannt geben, wenn dafür Rechtsgrundlagen im Sinne von Art. 21 bestehen oder wenn:
a) die Daten für den Empfänger im Einzelfall zur Erfüllung seiner gesetzlichen Aufgabe unentbehrlich sind;
b) die betroffene Person im Einzelfall eingewilligt hat oder die Einwilligung nach den Umständen vorausgesetzt werden darf;
c) die Daten der betroffenen Person allgemein zugänglich sind; oder
d) der Empfänger glaubhaft macht, dass die betroffene Person die Einwilligung verweigert oder die Bekanntgabe sperrt, um ihm die Durchsetzung von Rechtsansprüchen oder die Wahrnehmung anderer schutzwürdiger Interessen zu verwehren; der betroffenen Person ist vorher, wenn möglich, Gelegenheit zur Stellungnahme zu geben.
2) Behörden dürfen auf Anfrage Name, Vorname, Adresse und Geburtsdatum einer Person auch bekannt geben, wenn die Voraussetzungen von Abs. 1 nicht erfüllt sind.
3) Behörden dürfen Personendaten durch ein Abrufverfahren zugänglich machen, wenn dies ausdrücklich vorgesehen ist. Besonders schützenswerte Personendaten sowie Persönlichkeitsprofile dürfen nur durch ein Abrufverfahren zugänglich gemacht werden, wenn ein Gesetz dies ausdrücklich vorsieht.
4) Die Behörde lehnt die Bekanntgabe ab, schränkt sie ein oder verbindet sie mit Auflagen, wenn:
a) wesentliche öffentliche Interessen oder offensichtlich schutzwürdige Interessen einer betroffenen Person es verlangen; oder
b) gesetzliche Geheimhaltungspflichten oder besondere Datenschutzvorschriften es verlangen.
Art. 23a.- Bekanntgabe von Personendaten aus einem Schengen-Staat an einen Drittstaat oder ein internationales Organ
1) Die zuständigen Behörden können Personendaten, die von einem Schengen-Staat übermittelt oder bereitgestellt wurden, der zuständigen Behörde eines Drittstaates oder einem internationalen Organ bekannt geben, wenn:
a) die Bekanntgabe zur Verhütung, Feststellung oder Verfolgung einer Straftat oder zur Vollstreckung eines Strafentscheids erforderlich ist;
b) die empfangende Stelle für die Verhütung, Feststellung oder Verfolgung einer Straftat oder für die Vollstreckung eines Strafentscheids zuständig ist;
c) der Schengen-Staat, der die Personendaten übermittelt oder bereitgestellt hat, der Bekanntgabe vorgängig zugestimmt hat; und
d) der Drittstaat oder das internationale Organ einen angemessenen Schutz der Daten gewährleistet.
2) Abweichend von Abs. 1 Bst. c dürfen Personendaten im Einzelfall bekannt gegeben werden, wenn:
a) die vorgängige Zustimmung des Schengen-Staates nicht rechtzeitig eingeholt werden kann; und
b) die Bekanntgabe zur Abwehr einer unmittelbar drohenden ernsthaften Gefahr für die öffentliche Sicherheit eines Schengen-Staates oder eines Drittstaates oder zur Wahrung der wesentlichen Interessen eines Schengen-Staates unerlässlich ist.
3) Die zuständige Behörde informiert den Schengen-Staat, der die Personendaten übermittelt oder bereitgestellt hat, unverzüglich über die Bekanntgabe von Personendaten nach Abs. 2.
4) Abweichend von Abs. 1 Bst. d dürfen Personendaten im Einzelfall bekannt gegeben werden, wenn:
a) dies zur Wahrung überwiegender schutzwürdiger Interessen der betroffenen Person oder einer Drittperson erforderlich ist;
b) dies zur Wahrung eines überwiegenden öffentlichen Interesses erforderlich ist; oder
c) hinreichende Garantien einen angemessenen Schutz der Daten gewährleisten.
Art. 23b.- Bekanntgabe von Personendaten aus einem Schengen-Staat an eine natürliche oder juristische Person
1) Die zuständigen Behörden können Personendaten, die von einem Schengen-Staat übermittelt oder bereitgestellt wurden, natürlichen oder juristischen Personen in Schengen-Staaten im Einzelfall bekannt geben, wenn:
a) ein Gesetz oder ein völkerrechtlicher Vertrag dies vorsieht;
b) der Schengen-Staat, der die Personendaten übermittelt oder bereitgestellt hat, der Bekanntgabe vorgängig zugestimmt hat;
c) überwiegende schutzwürdige Interessen der betroffenen Person der Bekanntgabe nicht entgegenstehen; und
d) die Bekanntgabe unerlässlich ist für:
1. die Erfüllung einer gesetzlichen Aufgabe der natürlichen oder juristischen Person;
2. die Verhütung, Feststellung oder Verfolgung einer Straftat oder die Vollstreckung eines Strafentscheids;
3. die Abwehr einer unmittelbar drohenden ernsthaften Gefahr für die öffentliche Sicherheit; oder
4. die Abwehr einer schweren Verletzung der Rechte Dritter.
2) Die zuständige Behörde gibt der natürlichen oder juristischen Person die Daten mit der ausdrücklichen Auflage bekannt, sie ausschliesslich für den Zweck zu verwenden, den die Behörde nennt.
Art. 24.- Sperrung der Bekanntgabe
1) Eine betroffene Person, die ein schutzwürdiges Interesse glaubhaft macht, kann von der verantwortlichen Behörde verlangen, dass sie die Bekanntgabe von bestimmten Personendaten sperrt.
2) Die Behörde verweigert die Sperre oder hebt sie auf, wenn:
a) eine Rechtspflicht zur Bekanntgabe besteht; oder
b) die Erfüllung ihrer Aufgabe sonst gefährdet wäre.
Art. 25.- Archivieren und Vernichten von Personendaten
1) Die Behörden bieten in Übereinstimmung mit dem Archivgesetz dem Amt für Kultur alle Personendaten an, die sie nicht mehr benötigen.
2) Die Behörden vernichten die Personendaten, die vom Amt für Kultur als nicht archivwürdig bezeichnet wurden, ausser wenn sie:
a) anonymisiert sind;
b) zu Beweis- oder Sicherungszwecken erhalten bleiben müssen.
Art. 26.- Bearbeitung für Forschung, Planung und Statistik
1) Personendaten dürfen für nicht personenbezogene Zwecke, insbesondere für Forschung, Planung und Statistik bearbeitet werden, wenn:
a) die Daten anonymisiert werden, sobald es der Zweck des Bearbeitens erlaubt;
b) der Empfänger die Daten nur mit Zustimmung des Inhabers weitergibt; und
c) die Ergebnisse so veröffentlicht werden, dass die betroffenen Personen nicht bestimmbar sind.
2) Die Anforderungen der folgenden Bestimmungen müssen nicht erfüllt sein:
a) Art. 4 Abs. 3 über den Zweck des Bearbeitens;
b) Art. 18 und 21 über die Rechtsgrundlagen für die Bearbeitung von besonders schützenswerten Daten und Persönlichkeitsprofilen; sowie
c) Art. 23 Abs. 1 über die Bekanntgabe von Personendaten.
Art. 27.- Privatrechtliche Tätigkeit von Behörden
1) Handelt eine Behörde privatrechtlich, so gelten die Bestimmungen für das Bearbeiten von Personendaten durch private Personen.
2) Die Aufsicht richtet sich nach den Bestimmungen für Behörden.
III. Datenschutzstelle und Datenschutzkommission
A. Datenschutzstelle
Art. 28.- Errichtung und Rechtsstellung
1) Es wird eine Datenschutzstelle eingerichtet, die organisatorisch dem Landtag zugeordnet ist.
2) Die Datenschutzstelle besteht aus dem Datenschutzbeauftragten als Leiter und dem übrigen Personal.
3) Die Datenschutzstelle ist bei der Erfüllung der ihr zugewiesenen Aufgaben unabhängig und an keine Weisungen gebunden.
4) Die Datenschutzstelle schliesst mit der Regierung eine Vereinbarung über die Besorgung organisatorischer und administrativer Geschäfte ab.
Art. 28a.- Datenschutzbeauftragter
1) Der Landtag wählt den Datenschutzbeauftragten auf Vorschlag der Regierung und nach Anhörung des Landtagsbüros für eine Amtsdauer von acht Jahren. Die Wiederwahl ist möglich.
2) Der Datenschutzbeauftragte darf weder dem Landtag, der Regierung, einem Gericht oder einer Verwaltungsbehörde angehören noch die Funktion eines Gemeindevorstehers oder eines Gemeinderates einer liechtensteinischen Gemeinde ausüben. Mit seiner Bestellung scheidet er aus solchen Ämtern aus.
3) Der Landtag kann den Datenschutzbeauftragten bei schwerwiegender Pflichtverletzung, das Ansehen des Landes schädigendem Verhalten oder aus anderen wichtigen Gründen vor Ablauf der Amtsdauer nach Anhörung der Regierung abberufen.
4) Der Datenschutzbeauftragte erlässt nach Anhörung der Geschäftsprüfungskommission ein Organisationsreglement.
5) Im Übrigen finden auf den Datenschutzbeauftragten das Staatspersonalgesetz, das Besoldungsgesetz und das Gesetz über die Pensionsversicherung für das Staatspersonal sinngemäss Anwendung.
Art. 28b.- Übriges Personal
1) Das übrige Personal der Datenschutzstelle wird vom Landtagsbüro im Einvernehmen mit dem Datenschutzbeauftragten im Rahmen des vom Landtag bewilligten Voranschlags angestellt; Art. 28a Abs. 2 findet sinngemäss Anwendung.
2) Für personalrechtliche Entscheide, die das übrige Personal der Datenschutzstelle betreffen, sind zuständig:
a) der Datenschutzbeauftragte, soweit es sich um Angelegenheiten handelt, die nach der Staatspersonalgesetzgebung dem Amtsstellenleiter zur selbständigen Erledigung übertragen sind;
b) das Landtagsbüro im Einvernehmen mit dem Datenschutzbeauftragten in allen übrigen Fällen.
3) Im Übrigen findet auf das Dienstverhältnis des übrigen Personals der Datenschutzstelle das Staatspersonalgesetz, das Besoldungsgesetz und das Gesetz über die Pensionsversicherung für das Staatspersonal sinngemäss Anwendung.
Art. 28c.- Voranschlag und Rechnungslegung
1) Die Datenschutzstelle reicht den Entwurf ihres jährlichen Voranschlags nach dessen Vorberatung durch die Geschäftsprüfungskommission bei der Regierung ein. Diese leitet ihn unverändert zur Behandlung und Beschlussfassung an den Landtag weiter.
2) Die Datenschutzstelle führt eine eigene Rechnung. Die Rechnungslegung wird im Auftrag der Geschäftsprüfungskommission von der Finanzkontrolle im Sinne ihrer gesetzlichen Befugnisse geprüft.
Art. 29.- Aufsicht über Behörden
1) Die Datenschutzstelle überwacht die Anwendung der Bestimmungen dieses Gesetzes und der übrigen Datenschutzvorschriften durch die Behörden. Die Regierung ist von dieser Aufsicht ausgenommen.
2) Sie klärt von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab.
3) Bei der Abklärung kann die Datenschutzstelle Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen vorführen lassen. Die Behörden müssen an der Feststellung des Sachverhaltes mitwirken. Das Zeugnisverweigerungsrecht nach § 108 der Strafprozessordnung gilt sinngemäss.
4) Ergibt die Abklärung, dass Datenschutzvorschriften verletzt werden, so empfiehlt die Datenschutzstelle der verantwortlichen Behörde, das Bearbeiten zu ändern oder zu unterlassen. Sie orientiert die Regierung über ihre Empfehlung.
5) Wird eine Empfehlung nicht befolgt oder abgelehnt, so kann sie die Angelegenheit der Datenschutzkommission zum Entscheid vorlegen. Der Entscheid wird der betroffenen Person mitgeteilt. Die Datenschutzstelle ist berechtigt, gegen den Entscheid der Datenschutzkommission Beschwerde zu führen.
Art. 30.- Abklärungen und Empfehlungen im Privatrechtsbereich
1) Die Datenschutzstelle klärt von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn:
a) Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer oder mehrerer Personen zu verletzen;
b) Datensammlungen registriert werden müssen (Art. 15);
c) Bekanntgaben ins Ausland gemeldet werden müssen (Art. 8).
2) Bei der Abklärung kann sie Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen vorführen lassen. Das Zeugnisverweigerungsrecht nach § 108 der Strafprozessordnung gilt sinngemäss.
3) Die Datenschutzstelle kann aufgrund ihrer Abklärungen empfehlen, das Bearbeiten zu ändern oder zu unterlassen.
4) Wird eine solche Empfehlung der Datenschutzstelle nicht befolgt oder abgelehnt, so kann sie die Angelegenheit der Datenschutzkommission zum Entscheid vorlegen. Sie ist berechtigt, gegen den Entscheid der Datenschutzkommission Beschwerde zu führen.
Art. 31.- Berichterstattung; Information
1) Die Datenschutzstelle erstattet dem Landtag und der Regierung jährlich einen Tätigkeitsbericht, in dem sie über den Umfang und die Schwerpunkte ihrer Tätigkeit sowie über Feststellungen und Empfehlungen und deren Umsetzung informiert. Der Bericht wird veröffentlicht.
2) In Fällen von allgemeinem Interesse kann die Datenschutzstelle die Öffentlichkeit über ihre Feststellungen und Empfehlungen informieren. Personendaten, die dem Amtsgeheimnis unterstehen, darf sie nur mit Zustimmung der zuständigen Behörde veröffentlichen. Verweigert diese die Zustimmung, so entscheidet die Datenschutzkommission endgültig.
Art. 32.- Weitere Aufgaben
1) Die Datenschutzstelle nimmt insbesondere folgende weitere Aufgaben wahr:
a) sie unterstützt private Personen und Behörden durch allgemeine Orientierungen und individuelle Beratung;
b) sie reicht in hängigen Verfahren auf Ersuchen von entscheidenden Organen oder Rechtsmittelbehörden Stellungnahmen zu Datenschutzfragen ein;
c) sie begutachtet, inwieweit die Datenschutzgesetzgebung im Ausland einen angemessenen Schutz gewährleistet;
d) sie nimmt Stellung zu Vorlagen und Erlassen, die für den Datenschutz erheblich sind und überprüft insbesondere deren Übereinstimmung mit den Bestimmungen der Richtlinie 95/46/EG;
e) sie arbeitet mit in- und ausländischen Datenschutzbehörden zusammen;
f) sie vertritt das Fürstentum Liechtenstein in der Datenschutzgruppe gemäss Art. 29 der Richtlinie 95/46/EG;
g) sie prüft die ihr nach Art. 8 Abs. 3 gemeldeten Garantien und Datenschutzregeln;
h) sie prüft die Zertifizierungsverfahren nach Art. 14a und kann dazu Erklärungen nach Art. 29 Abs. 4 oder Art. 30 Abs. 3 abgeben. Ihr können auch die Aufgaben einer Akkreditierungsstelle zugewiesen werden.
2) Sie kann Behörden auch dann beraten, wenn dieses Gesetz nach Art. 2 Abs. 3 Bst. c bis f nicht anwendbar ist. Sie können ihr Einblick in ihre Geschäfte gewähren.
B. Datenschutzkommission
Art. 33.- Datenschutzkommission
1) Die Datenschutzkommission besteht aus drei Mitgliedern, die zusammen mit zwei Ersatzmitgliedern vom Landtag auf vier Jahre gewählt werden. Der Landtag bestimmt den Vorsitzenden und seinen Stellvertreter.
2) Die Mitglieder der Datenschutzkommission unterliegen den Bestimmungen des Gesetzes über die allgemeine Landesverwaltungsrechtspflege (LVG) über Ausstand, Verantwortlichkeit und Verbot des Berichtens. Sie haben vor ihrem Amtsantritt bei der Regierung den Amtseid abzulegen.
Art. 34.- Aufgaben
Die Datenschutzkommission entscheidet über:
a) Empfehlungen der Datenschutzstelle, die ihr vorgelegt werden (Art. 29 Abs. 5; Art. 30 Abs. 4);
b) Beschwerden gegen Verfügungen von Behörden in Datenschutzfragen; ausgenommen sind Entscheidungen der Regierung oder Akte der Gerichtsbarkeit;
c) Beschwerden gegen Entscheidungen der Datenschutzstelle nach Art. 6a Abs. 3.
Art. 35.- Einstweilige Verfügungen
1) Der Vorsitzende kann auf Ansuchen einer Partei oder der Datenschutzstelle diejenigen einstweiligen Verfügungen treffen, welche erforderlich erscheinen, um einstweilen einen bestehenden Zustand zu regeln oder bedrohte rechtliche Verhältnisse sicherzustellen.
2) Einer Beschwerde gegen die einstweilige Verfügung kommt keine aufschiebende Wirkung zu.
3) Über Beschwerden gegen Verfügungen des Vorsitzenden entscheidet die Datenschutzkommission. Die Beschwerdefrist beträgt 14 Tage.
Art. 36.- Entschädigung
Die Mitglieder der Datenschutzkommission werden für ihre Tätigkeit gemäss den Bestimmungen des Gesetzes über die Bezüge der Mitglieder der Regierung, der Gerichtshöfe und der Kommissionen entschädigt.
IV. Rechtsschutz
A. Bearbeitung von Personendaten durch Private
Art. 37.- Rechtsansprüche und Verfahren
1) Für Klagen und einstweilige Verfügungen (sichernde Massnahmen) zum Schutz der Persönlichkeit gelten die Art. 39 bis 41 des Personen- und Gesellschaftsrechts. Der Kläger kann insbesondere verlangen, dass die Personendaten berichtigt oder vernichtet werden oder dass ihre Bekanntgabe an Dritte gesperrt wird.
2) Kann weder die Richtigkeit noch die Unrichtigkeit von Personendaten dargetan werden, so kann der Kläger verlangen, dass bei den Daten ein entsprechender Vermerk angebracht wird.
3) Er kann verlangen, dass die Berichtigung, Vernichtung, Sperre, der Vermerk über die Bestreitung oder das Urteil Dritten mitgeteilt oder veröffentlicht wird.
4) Für Klagen zur Durchsetzung des Auskunftsrechts findet das Ausserstreitverfahren Anwendung.
B. Bearbeitung von Personendaten durch Behörden
Art. 38.- Ansprüche und Verfahren
1) Wer ein schutzwürdiges Interesse hat, kann von der verantwortlichen Behörde verlangen, dass sie:
a) das widerrechtliche Bearbeiten von Personendaten unterlässt;
b) die Folgen eines widerrechtlichen Bearbeitens beseitigt;
c) die Widerrechtlichkeit des Bearbeitens feststellt.
2) Kann weder die Richtigkeit noch die Unrichtigkeit von Personendaten dargetan werden, so muss die Behörde bei den Daten einen entsprechenden Vermerk anbringen.
3) Der Antragsteller kann insbesondere verlangen, dass die Behörde:
a) Personendaten berichtigt, vernichtet oder die Bekanntgabe an Dritte sperrt;
b) ihre Entscheidung, namentlich die Berichtigung, Vernichtung, Sperre oder den Vermerk über die Bestreitung, Dritten mitteilt oder veröffentlicht.
4) Das Verfahren richtet sich nach dem Gesetz über die allgemeine Landesverwaltungspflege (LVG).
5) Entscheidungen und Verfügungen von Behörden können binnen 14 Tagen ab Zustellung mit Beschwerde bei der Datenschutzkommission angefochten werden. Gegen Entscheidungen der Datenschutzkommission kann binnen 14 Tagen ab Zustellung Beschwerde beim Verwaltungsgerichtshof eingereicht werden.
6) Gegen Entscheidungen der Regierung kann binnen 14 Tagen ab Zustellung Beschwerde beim Verwaltungsgerichtshof eingereicht werden.
V. Strafbestimmungen
Art. 39.- Unbefugtes Beschaffen von Personendaten
Wer unbefugt besonders schützenswerte Personendaten, die nicht frei zugänglich sind, aus einer Datensammlung beschafft, ist auf Verlangen des Verletzten vom Landgericht wegen Vergehens mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
Art. 40.- Verletzung der Informations-, Auskunfts-, Melde- und Mitwirkungspflicht
1) Private Personen, die ihre Pflichten nach den Art. 5 und 11 bis 13 verletzen, indem sie vorsätzlich eine falsche oder eine unvollständige Auskunft erteilen, werden auf Verlangen des Verletzten vom Landgericht wegen Übertretung mit Busse bis zu 20 000 Franken, im Nichteinbringlichkeitsfalle bis zu drei Monaten Freiheitsstrafe, bestraft.
2) Ebenso ist zu bestrafen, wer als private Person vorsätzlich:
a) Datensammlungen nach Art. 15 nicht meldet oder bei der Meldung falsche Angaben macht;
b) der Datenschutzstelle bei der Abklärung eines Sachverhaltes (Art. 30) falsche Auskünfte erteilt oder die Mitwirkung verweigert;
c) Daten ohne Genehmigung nach Art. 8 Abs. 3 ins Ausland bekannt gibt.
Art. 41.- Verletzung des Datengeheimnisses
1) Wer vorsätzlich geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile unbefugt bekannt gibt, von denen er bei der Ausübung seines Berufes, der die Kenntnis solcher Daten erfordert, erfahren hat, ist auf Verlangen des Verletzten vom Landgericht wegen Vergehens mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
2) Ebenso ist zu bestrafen, wer vorsätzlich geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile unbefugt bekannt gibt, von denen er bei seiner Tätigkeit für den Geheimhaltungspflichtigen oder während der Ausbildung bei diesem erfahren hat.
3) Das unbefugte Bekanntgeben geheimer, besonders schützenswerter Personendaten oder Persönlichkeitsprofile ist auch nach Beendigung der Berufsausübung oder der Ausbildung strafbar.
VI. Übergangs- und Schlussbestimmungen
Art. 42.- Durchführungsverordnungen
1) Die Regierung erlässt die zur Durchführung dieses Gesetzes notwendigen Verordnungen, insbesondere über:
a) Ausnahmen gemäss Art. 11 Abs. 5 über die Auskunft sowie von Art. 21 Abs. 2 Bst. b über die Bearbeitung besonders schützenswerter Personendaten und von Persönlichkeitsprofilen;
b) Kategorien von Datensammlungen, welche eine Bearbeitungsordnung benötigen;
c) Voraussetzungen, unter welchen eine Behörde Personendaten durch einen Dritten bearbeiten lassen oder für Dritte bearbeiten darf;
d) die Bekanntgabe von Daten in Art. 23 Abs. 2 und das Abrufverfahren gemäss Art. 23 Abs. 3;
e) die Verwendung von Mitteln zur Identifikation von Personen;
f) die Datensicherheit.
2) Sie kann für die Auskunftserteilung durch diplomatische und konsularische Vertretungen des Fürstentums Liechtenstein im Ausland Abweichungen von den Art. 12 und 13 vorsehen.
3) Sie regelt, wie Datensammlungen zu sichern sind, deren Daten im Kriegs- oder Krisenfall zu einer Gefährdung von Leib und Leben der betroffenen Personen führen können.
Art. 43.- Bearbeitung von Personendaten in besonderen Bereichen der Verbrechensbekämpfung und im Bereich der staatlichen Sicherheit
1) Für das Bearbeiten von Personendaten zur Bekämpfung des Terrorismus, des gewalttätigen Extremismus, des organisierten Verbrechens und des verbotenen Nachrichtendienstes sowie zur Gewährleistung der staatlichen Sicherheit kann die Regierung bis zum Inkrafttreten eines Gesetzes, das diese Bereiche regelt:
a) Ausnahmen von den Bestimmungen über den Zweck des Bearbeitens (Art. 4 Abs. 3), die Datenbekanntgabe ins Ausland (Art. 8), die Meldepflicht und die Registrierung (Art. 15) sowie das Beschaffen von Personendaten (Art. 22) vorsehen;
b) das Bearbeiten von besonders schützenswerten Personendaten und Persönlichkeitsprofilen bewilligen, auch wenn die Voraussetzungen von Art. 21 Abs. 2 nicht erfüllt sind.
2) Das Stimm-, das Petitions- und das Statistikgeheimnis bleiben gewahrt.
3) Die Regierung entscheidet nach Anhörung der Datenschutzstelle an Stelle der Datenschutzkommission oder ihres Vorsitzenden. Gegen Entscheidungen der Regierung kann binnen 14 Tagen ab Zustellung Beschwerde beim Verwaltungsgerichtshof eingereicht werden.
Art. 44.- Übergangsbestimmungen
1) Die Inhaber von Datensammlungen müssen bestehende Datensammlungen, die nach Art. 15 zu registrieren sind, spätestens ein Jahr nach Inkrafttreten dieses Gesetzes anmelden.
2) Sie müssen binnen einem Jahr nach Inkrafttreten dieses Gesetzes die notwendigen Vorkehrungen treffen, damit sie die Auskünfte nach Art. 11 erteilen können.
3) Inhaber von Datensammlungen dürfen eine bestehende Datensammlung mit besonders schützenswerten Daten oder mit Persönlichkeitsprofilen noch bis zum 1. August 2007 benützen, ohne dass die Voraussetzungen von Art. 18 und 21 erfüllt sind.
Art. 45.- Inkrafttreten
1) Dieses Gesetz tritt vorbehaltlich Abs. 2 am 1. August 2002 in Kraft.
2) Art. 28 und 33 treten am Tage der Kundmachung in Kraft.
gez. Hans-Adam
gez. Otmar Hasler
Fürstlicher Regierungschef