Datenschutz: Europa veranlasst Kantone zu strengeren Richtlinien

Rund 50 Punkte der kantonalen Informations- und Datenschutzgesetze (IDG), gültig für kantonale und kommunale Organe, bedürfen einer Prüfung oder sogar einer Anpassung. Dies wird notwendig aufgrund rechtlicher Veränderungen auf europäischer Ebene. Im Februar 2017 hat die Konferenz der Kantonsregierungen einen entsprechenden Leitfaden für den Anpassungsbedarf bei den kantonalen IDG (PDF) veröffentlicht. Wir haben einige wichtige Themen herausgegriffen, die angepasst werden müssen.
 
Strengere Richtlinien bei der Datenverarbeitung
Besonders schützenswerte Personendaten, also Daten die ein grosses Stigmatisierungs- und Diskriminierungspotential besitzen, müssen qualifiziert geschützt werden, heisst es im Leitfaden. Die Bearbeitung oder ein Profiling dürfe nur vorgenommen werden, wenn ein Gesetz es ausdrücklich vorsieht oder wenn es für eine in einem Gesetz umschriebene Aufgabe unentbehrlich ist. Dies gilt auch für die Bekanntgabe solcher Daten, es sei denn eine Person stimmt der Veröffentlichung ohne Androhung von Nachteilen zu.
 
Damit öffentliche Organe die Bearbeitung von Personendaten an Dritte übertragen können, müssen bestimmte Voraussetzungen erfüllt werden. Diese werden in den neuen Richtlinien klarer definiert und umfassen unter anderem Vertraulichkeitsbestimmungen, die Rechte von Betroffenen sowie die Vernichtung oder Rückgabe von Daten nach ihrer Bearbeitung.
 
Ausdehnung der Informationspflicht
Nach den neuen EU-Richtlinien wird die Informationspflicht ausgedehnt. Die Behörde soll bei jeder Beschaffung von Daten die betroffene Person informieren müssen. Dies umfasst neben Angabe von Daten, Rechtsgrundlage und Zweck auch die rechtlichen Möglichkeiten der Betroffenen.
 
Allerdings werden die Informationspflichten wieder eingeschränkt falls die betroffene Person bereits Informationen hat, die Bearbeitung gesetzlich ausdrücklich vorgesehen ist oder die Information einen unverhältnismässigen Aufwand erfordert.
 
Angepasst werden ebenfalls das Recht auf Forderung nach Löschung sowie die Beschwerdemöglichkeiten bei den Datenschutz-Aufsichtsbehörden, und nicht zuletzt die Meldepflicht an den Datenschutzbeauftragten bei Verletzungen des Datenschutzes.
 
Neu sollen die öffentlichen Organe bei jedem Vorhaben eine Datenschutz-Folgeabschätzung durchführen. Das heisst, sie müssen eine Bewertung vornehmen, wie sich die geplante Verarbeitung der Daten in Bezug auf die Grundrechte der betroffenen Personen auswirken können, sowie welche Massnahmen, Garantien und Vorkehrungen zum Schutz sichergestellt werden müssen.
 
Verbindliche Vorgaben aus Europa
Die kantonale Gesetzgebung müsse wegen der Erneuerung der Konvention 108 des Europarates sowie der Schengen-relevanten Teile der neuen EU-Richtlinien notwendig angepasst werden, schreibt der Zürcher Datenschutz in einer Mitteilung.
 
Die Konvention 108 ist ein "Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten". Die Schweiz ist Mitglied des Europarats und die Konvention ein völkerrechtlich bindendes Dokument. Die EU-Richtlinien zum Schutz bei der Verarbeitung personenbezogener Daten bezüglich Verfolgung von Straftaten und Strafvollstreckung sind Teil des Schengen-Abkommens. Deshalb müssen auch diese in Schweizer Recht umgesetzt werden. Die ebenfalls revidierte Verordnung zum Datenaustausch hingegen ist für die Schweiz nicht verbindlich, aber für den Datenaustausch mit der EU muss das entsprechende Datenschutzniveau gewährleistet sein. (Thomas Schwendener)