Bald geht es los
Aus zahlreichen Artikeln im Internet ist längst bekannt: Per 1. September 2023 tritt das neue Datenschutzgesetz (DSG) in Kraft. Den meisten Abhandlungen gemein ist, dass sie privatwirtschaftliche Unternehmen darüber aufklären, was diese tun müssen, um die Vorschriften des neuen Datenschutzgesetzes einzuhalten und Sanktionen zu vermeiden.
Aus öffentlichen Organisationen des kantonalen und interkantonalen Rechts (kantonale und kommunale Behörden, öffentlich-rechtliche Anstalten und Körperschaften, Private, die mit der Erfüllung öffentlicher Aufgaben der Kantone betraut sind) wird uns dabei immer wieder die Frage gestellt, was das neue DSG für die jeweilige Organisation bedeutet. Besteht per 1. September Handlungsbedarf?
Die Antwort: ja und nein.
Gleich vorneweg: Das revidierte DSG gilt für die Bearbeitung von Personendaten durch Private und Bundesorgane. Die öffentlichen Organe der Kantone und Gemeinden haben nämlich das Datenschutzgesetz ihres jeweiligen Kantons zu beachten. Dasselbe gilt meist für interkantonale Organisationen, die kraft Verweises aus ihrem eigenen Recht oder aufgrund der Anwendbarkeit des Rechts des Sitzkantons meist einem kantonalen Datenschutzrecht unterstehen. Allerdings sind auch die Kantone verpflichtet, ihre teilweise veralteten Datenschutzgesetze zur revidieren. In diesem Beitrag zeigen wir auf, warum dies so ist und welche Änderungen damit einhergehen.
Internationale Pflicht zur Modernisierung der Datenschutzgesetze
Die Modernisierung der Datenschutzgesetze auf nationaler und kantonaler Ebene folgt einem internationalen Trend: Verschiedene internationale Regelwerke verpflichten ihre Mitgliedsstaaten dazu, datenschutzrechtliche Mindeststandards zu erfüllen, die in letzter Zeit deutlich ausgebaut wurden. Aufgrund der föderalen Staatstruktur und der Kompetenzverteilung in der Bundesverfassung sind die Kantone selbst für die Regelung des Datenschutzes in den kantonalen und kommunalen Behörden zuständig; sie erlassen daher ihre eigenen Datenschutzgesetze.
Im europäischen Kontext wurde die Rechtsweiterentwicklung mit der Ausarbeitung der Datenschutz-Grundverordnung (DSGVO) sowie der Richtlinie (EU) 2016/680 für den Polizei- und Justizbereich durch die EU in Gang gesetzt. Letztere ist Teil des Schengen-Besitzstandes; die Schweiz ist damit verpflichtet, das entsprechende Datenschutzrecht zu übernehmen, um die notwendigen Informationen des Schengener-Informationssystems zu erhalten. Im Gegensatz zur Richtlinie (EU) 2016/680 hat die DSGVO nur indirekte Wirkung für die Schweiz. Aufgrund des sogenannten Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO, der feststellt, ob ein Drittland über ein angemessenes Datenschutzniveau verfügt (was Datenflüsse bedeutend vereinfacht), hat die Schweiz aber auch ohne Mitgliedschaft in der EU ein wirtschaftliches Interesse an der Sicherstellung eines angemessenen Datenschutzniveaus und damit an einer gewissen Angleichung an EU-Recht.
Weiter hat auch der Europarat (keine Institution der EU, die Schweiz ist hier mitbestimmendes Mitglied) aufgrund der technischen Entwicklungen das aus dem Jahr 1981 stammende Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (ER-Konv 108) überarbeitet. Die Schweiz wird dieses revidierte Übereinkommen (ER-Konv 108+) nach der Unterzeichnung im 2019 mit Inkrafttreten des neuen DSG ratifizieren, womit es auf allen Staatsebenen umgesetzt werden muss.
Fest steht damit: Aus verschiedenen internationalen Datenschutz-Regelwerken haben die Kantone die Pflicht, ein bestimmtes Datenschutzniveau – materiell weitgehend dasjenige, das im revidierten DSG aufgenommen wurde – sicherzustellen.
Die Kantone hätten ihre Gesetze bereits per 1. August 2018 an die Schengen-Richtlinie (EU) 2016/680 anpassen müssen – viele sind aber auch fünf Jahre nach Ablauf dieser Frist noch nicht soweit. Folgende Kantone sind ihrer Pflicht mittlerweile nachgekommen und haben ihr Informations- und/oder Datenschutzgesetze (die kantonalen Bezeichnungen unterscheiden sich) revidiert (Stand 27. Juni 2023): Aargau, Bern (Übergangslösung), St. Gallen, Appenzell Innerrhoden, Zürich, Zug, Schwyz, Luzern, Schaffhausen, Basel-Landschaft, Jura, Neuenburg, Glarus. Damit sind immer noch 13 der 26 Kantone nicht so weit, wie sie sein sollten. Auf der Website von privatim findet sich eine periodisch aktualisierte Liste mit einem Überblick über den Stand der Revisionen in den verschiedenen Kantonen.
Die wichtigsten Neuerungen
Doch welche Veränderungen bringen die revidierten kantonalen Datenschutzgesetze mit sich? Es gelten etwa folgende Pflichten (die genaue Ausgestaltung variiert je nach Kanton):
Datenschutz-Folgenabschätzung (DSFA)
Das verantwortliche öffentliche Organ hat für jedes Vorhaben zur Datenbearbeitung abzuklären, ob dadurch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht. In den meisten Fällen dürfte die vom Kanton beauftragte Datenschutzstelle ein entsprechendes Formular zwecks Vorbereitung und Durchführung der DSFA bereitstellen. Ergibt sich aus den Abklärungen ein hohes Risiko durch die geplante Datenbearbeitung, hat das verantwortliche Organ eine DSFA durchzuführen. Mittels DSFA muss das Organ die Risiken eines Datenbearbeitungsverfahren für die Privatsphäre und die Grundrechte der betroffenen Personen einschätzen, bewerten und entsprechende Massnahmen zur Risikoverringerung ergreifen.
Vorabkonsultation
Ergibt die DSFA, dass trotz den getroffenen Massnahmen ein hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen besteht, hat das verantwortliche Organ die Pflicht die vom Kanton beauftragte Person für den Datenschutz vor der geplanten Datenbearbeitung zu konsultieren. Einige Datenschutzbeauftragte sehen eine Beispielliste von Datenbearbeitungsvorgängen vor, welche immer einer Vorabkonsultation bedürfen (z.B. gewisse Cloud-Sachverhalte, Überwachungstechnologien).
Meldung von Datenschutzverletzungen
Neuerdings sind öffentliche Organe verpflichtet, den Datenschutzbeauftragten zu melden, wenn es zu einer sogenannten Datenschutzverletzung (unbefugte Datenbearbeitung, Verlust von Personendaten oder sonstige Verletzung der Datensicherheit) gekommen ist. Je nach Kanton besteht diese Pflicht jedoch nur, wenn durch die Verletzung ein Risiko für die Grundrechte der betroffenen Person besteht. Unter Umständen muss auch die betroffene Person informiert werden.
Informationspflicht bei Beschaffung
Die Informationspflicht der öffentlichen Organe bei der Beschaffung von Personendaten dürfte nur für wenige Kantone komplett neu sein. In vielen Kantonen wurde die bestehende Informationspflicht aber erweitert. Aufgrund der Informationspflicht haben die öffentlichen Organe die betroffenen Personen zu informieren, wenn sie Personendaten über diese erheben (sei dies direkt bei der betroffenen Person oder bei Dritten, z.B. einer anderen Amtsstelle). Die Informationspflicht entfällt in der Regel, wenn die Datenbearbeitung in einem Gesetz vorgesehen ist oder die Erfüllung der öffentlichen Aufgaben dadurch ernstlich gefährdet oder verunmöglicht wird.
Fazit: Um den Datenschutz kommen auch (inter-)kantonale Organisationen nicht herum
Öffentliche Organisationen, die kantonalen Datenschutzgesetzen unterstehen, müssen damit je nach Kanton bereits viele der neuen Datenschutzpflichten, die das revidierte DSG für Privatwirtschaft und Bundesorgane mit sich bringt, umsetzen. Sie haben dafür aber keine Frist per 1. September 2023; vielmehr richten sich ihre Pflichten nach dem Inkrafttreten des auf sie anwendbaren Gesetzes. Auch in den Kantonen, die ihre Datenschutzgesetze noch nicht revidiert haben, werden die oben beschriebenen Pflichten früher oder später zu geltendem Recht werden.
Diejenigen, die bereits begonnen haben, ihre Organisation datenschutzrechtlich auf die neuen Pflichten vorzubereiten, sind damit im Vorteil. Es ist aber nie zu spät, mit der Umsetzung des Datenschutzes zu beginnen.
Gerne dürfen Sie bei Fragen auf uns zukommen.
Dieser Artikel wurde mit Unterstützung von Matthias Plattner verfasst. Merci Matthias!