{"id":348346,"date":"2023-08-16T07:01:22","date_gmt":"2023-08-16T07:01:22","guid":{"rendered":"https:\/\/publicsector.ch\/?p=348346"},"modified":"2024-04-29T08:18:57","modified_gmt":"2024-04-29T08:18:57","slug":"das-neue-dsg-kommt-auch-fuer-inter-kantonale-organisationen","status":"publish","type":"post","link":"https:\/\/publicsector.ch\/en\/das-neue-dsg-kommt-auch-fuer-inter-kantonale-organisationen\/","title":{"rendered":"Das neue DSG kommt – auch f\u00fcr (inter-)kantonale Organisationen?"},"content":{"rendered":"

Bald geht es los<\/strong><\/h2>\n

Aus zahlreichen Artikeln im Internet ist l\u00e4ngst bekannt: Per 1. September 2023 tritt das neue Datenschutzgesetz (DSG) in Kraft. Den meisten Abhandlungen gemein ist, dass sie privatwirtschaftliche Unternehmen dar\u00fcber aufkl\u00e4ren, was diese tun m\u00fcssen, um die Vorschriften des neuen Datenschutzgesetzes einzuhalten und Sanktionen zu vermeiden.
\nAus \u00f6ffentlichen Organisationen des kantonalen und interkantonalen Rechts (kantonale und kommunale Beh\u00f6rden, \u00f6ffentlich-rechtliche Anstalten und K\u00f6rperschaften, Private, die mit der Erf\u00fcllung \u00f6ffentlicher Aufgaben der Kantone betraut sind) wird uns dabei immer wieder die Frage gestellt, was das neue DSG f\u00fcr die jeweilige Organisation bedeutet. Besteht per 1. September Handlungsbedarf?<\/p>\n

Die Antwort: ja und nein.<\/p>\n

Gleich vorneweg: Das revidierte DSG gilt f\u00fcr die Bearbeitung von Personendaten durch Private und Bundesorgane. Die \u00f6ffentlichen Organe der Kantone und Gemeinden haben n\u00e4mlich das Datenschutzgesetz ihres jeweiligen Kantons zu beachten. Dasselbe gilt meist f\u00fcr interkantonale Organisationen, die kraft Verweises aus ihrem eigenen Recht oder aufgrund der Anwendbarkeit des Rechts des Sitzkantons meist einem kantonalen Datenschutzrecht unterstehen. Allerdings sind auch die Kantone verpflichtet, ihre teilweise veralteten Datenschutzgesetze zur revidieren. In diesem Beitrag zeigen wir auf, warum dies so ist und welche \u00c4nderungen damit einhergehen.<\/p>\n

Internationale Pflicht zur Modernisierung der Datenschutzgesetze<\/h2>\n

Die Modernisierung der Datenschutzgesetze auf nationaler und kantonaler Ebene folgt einem internationalen Trend: Verschiedene internationale Regelwerke verpflichten ihre Mitgliedsstaaten dazu, datenschutzrechtliche Mindeststandards zu erf\u00fcllen, die in letzter Zeit deutlich ausgebaut wurden. Aufgrund der f\u00f6deralen Staatstruktur und der Kompetenzverteilung in der Bundesverfassung sind die Kantone selbst f\u00fcr die Regelung des Datenschutzes in den kantonalen und kommunalen Beh\u00f6rden zust\u00e4ndig; sie erlassen daher ihre eigenen Datenschutzgesetze.<\/p>\n

Im europ\u00e4ischen Kontext wurde die Rechtsweiterentwicklung mit der Ausarbeitung der Datenschutz-Grundverordnung (DSGVO) sowie der Richtlinie (EU) 2016\/680 f\u00fcr den Polizei- und Justizbereich durch die EU in Gang gesetzt. Letztere ist Teil des Schengen-Besitzstandes; die Schweiz ist damit verpflichtet, das entsprechende Datenschutzrecht zu \u00fcbernehmen, um die notwendigen Informationen des Schengener-Informationssystems zu erhalten. Im Gegensatz zur Richtlinie (EU) 2016\/680 hat die DSGVO nur indirekte Wirkung f\u00fcr die Schweiz. Aufgrund des sogenannten Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO, der feststellt, ob ein Drittland \u00fcber ein angemessenes Datenschutzniveau verf\u00fcgt (was Datenfl\u00fcsse bedeutend vereinfacht), hat die Schweiz aber auch ohne Mitgliedschaft in der EU ein wirtschaftliches Interesse an der Sicherstellung eines angemessenen Datenschutzniveaus und damit an einer gewissen Angleichung an EU-Recht.<\/p>\n

Weiter hat auch der Europarat (keine Institution der EU, die Schweiz ist hier mitbestimmendes Mitglied) aufgrund der technischen Entwicklungen das aus dem Jahr 1981 stammende \u00dcbereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (ER-Konv 108) \u00fcberarbeitet. Die Schweiz wird dieses revidierte \u00dcbereinkommen (ER-Konv 108+) nach der Unterzeichnung im 2019 mit Inkrafttreten des neuen DSG ratifizieren, womit es auf allen Staatsebenen umgesetzt werden muss.<\/p>\n

Fest steht damit: Aus verschiedenen internationalen Datenschutz-Regelwerken haben die Kantone die Pflicht, ein bestimmtes Datenschutzniveau \u2013 materiell weitgehend dasjenige, das im revidierten DSG aufgenommen wurde \u2013 sicherzustellen.<\/p>\n

Die Kantone h\u00e4tten ihre Gesetze bereits per 1. August 2018 an die Schengen-Richtlinie (EU) 2016\/680 anpassen m\u00fcssen \u2013 viele sind aber auch f\u00fcnf Jahre nach Ablauf dieser Frist noch nicht soweit. Folgende Kantone sind ihrer Pflicht mittlerweile nachgekommen und haben ihr Informations- und\/oder Datenschutzgesetze (die kantonalen Bezeichnungen unterscheiden sich) revidiert (Stand 27. Juni 2023): Aargau, Bern (\u00dcbergangsl\u00f6sung), St. Gallen, Appenzell Innerrhoden, Z\u00fcrich, Zug, Schwyz, Luzern, Schaffhausen, Basel-Landschaft, Jura, Neuenburg, Glarus. Damit sind immer noch 13 der 26 Kantone nicht so weit, wie sie sein sollten. Auf der Website von privatim findet sich eine periodisch aktualisierte Liste<\/a> mit einem \u00dcberblick \u00fcber den Stand der Revisionen in den verschiedenen Kantonen.<\/p>\n

Die wichtigsten Neuerungen<\/h2>\n

Doch welche Ver\u00e4nderungen bringen die revidierten kantonalen Datenschutzgesetze mit sich? Es gelten etwa folgende Pflichten (die genaue Ausgestaltung variiert je nach Kanton):<\/p>\n

Datenschutz-Folgenabsch\u00e4tzung (DSFA)<\/h3>\n

Das verantwortliche \u00f6ffentliche Organ hat f\u00fcr jedes Vorhaben zur Datenbearbeitung abzukl\u00e4ren, ob dadurch ein hohes Risiko f\u00fcr die Pers\u00f6nlichkeit oder die Grundrechte der betroffenen Personen besteht. In den meisten F\u00e4llen d\u00fcrfte die vom Kanton beauftragte Datenschutzstelle ein entsprechendes Formular zwecks Vorbereitung und Durchf\u00fchrung der DSFA bereitstellen. Ergibt sich aus den Abkl\u00e4rungen ein hohes Risiko durch die geplante Datenbearbeitung, hat das verantwortliche Organ eine DSFA durchzuf\u00fchren. Mittels DSFA muss das Organ die Risiken eines Datenbearbeitungsverfahren f\u00fcr die Privatsph\u00e4re und die Grundrechte der betroffenen Personen einsch\u00e4tzen, bewerten und entsprechende Massnahmen zur Risikoverringerung ergreifen.<\/p>\n

Vorabkonsultation<\/h3>\n

Ergibt die DSFA, dass trotz den getroffenen Massnahmen ein hohes Risiko f\u00fcr die Pers\u00f6nlichkeit oder die Grundrechte der Betroffenen besteht, hat das verantwortliche Organ die Pflicht die vom Kanton beauftragte Person f\u00fcr den Datenschutz vor der geplanten Datenbearbeitung zu konsultieren. Einige Datenschutzbeauftragte sehen eine Beispielliste von Datenbearbeitungsvorg\u00e4ngen vor, welche immer einer Vorabkonsultation bed\u00fcrfen (z.B. gewisse Cloud-Sachverhalte, \u00dcberwachungstechnologien).<\/p>\n

Meldung von Datenschutzverletzungen<\/h3>\n

Neuerdings sind \u00f6ffentliche Organe verpflichtet, den Datenschutzbeauftragten zu melden, wenn es zu einer sogenannten Datenschutzverletzung (unbefugte Datenbearbeitung, Verlust von Personendaten oder sonstige Verletzung der Datensicherheit) gekommen ist. Je nach Kanton besteht diese Pflicht jedoch nur, wenn durch die Verletzung ein Risiko f\u00fcr die Grundrechte der betroffenen Person besteht. Unter Umst\u00e4nden muss auch die betroffene Person informiert werden.<\/p>\n

Informationspflicht bei Beschaffung<\/h3>\n

Die Informationspflicht der \u00f6ffentlichen Organe bei der Beschaffung von Personendaten d\u00fcrfte nur f\u00fcr wenige Kantone komplett neu sein. In vielen Kantonen wurde die bestehende Informationspflicht aber erweitert. Aufgrund der Informationspflicht haben die \u00f6ffentlichen Organe die betroffenen Personen zu informieren, wenn sie Personendaten \u00fcber diese erheben (sei dies direkt bei der betroffenen Person oder bei Dritten, z.B. einer anderen Amtsstelle). Die Informationspflicht entf\u00e4llt in der Regel, wenn die Datenbearbeitung in einem Gesetz vorgesehen ist oder die Erf\u00fcllung der \u00f6ffentlichen Aufgaben dadurch ernstlich gef\u00e4hrdet oder verunm\u00f6glicht wird.<\/p>\n

Fazit: Um den Datenschutz kommen auch (inter-)kantonale Organisationen nicht herum<\/h2>\n

\u00d6ffentliche Organisationen, die kantonalen Datenschutzgesetzen unterstehen, m\u00fcssen damit je nach Kanton bereits viele der neuen Datenschutzpflichten, die das revidierte DSG f\u00fcr Privatwirtschaft und Bundesorgane mit sich bringt, umsetzen. Sie haben daf\u00fcr aber keine Frist per 1. September 2023; vielmehr richten sich ihre Pflichten nach dem Inkrafttreten des auf sie anwendbaren Gesetzes. Auch in den Kantonen, die ihre Datenschutzgesetze noch nicht revidiert haben, werden die oben beschriebenen Pflichten fr\u00fcher oder sp\u00e4ter zu geltendem Recht werden.<\/p>\n

Diejenigen, die bereits begonnen haben, ihre Organisation datenschutzrechtlich auf die neuen Pflichten vorzubereiten, sind damit im Vorteil. Es ist aber nie zu sp\u00e4t, mit der Umsetzung des Datenschutzes zu beginnen.<\/p>\n

Gerne d\u00fcrfen Sie bei Fragen auf uns zukommen.<\/p>\n

Dieser Artikel wurde mit Unterst\u00fctzung von Matthias Plattner verfasst. Merci Matthias!<\/p>","protected":false},"excerpt":{"rendered":"

Bald geht es los Aus zahlreichen Artikeln im Internet ist l\u00e4ngst bekannt: Per 1. September 2023 tritt das neue Datenschutzgesetz (DSG) in Kraft. Den meisten Abhandlungen gemein ist, dass sie privatwirtschaftliche Unternehmen dar\u00fcber aufkl\u00e4ren, was diese tun m\u00fcssen, um die Vorschriften des neuen Datenschutzgesetzes einzuhalten und Sanktionen zu vermeiden. Aus \u00f6ffentlichen Organisationen des kantonalen und […]<\/p>\n","protected":false},"author":9,"featured_media":348139,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21,20],"tags":[],"class_list":["post-348346","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-regulierung-im-digitalen-zeitalter"],"_links":{"self":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348346","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/comments?post=348346"}],"version-history":[{"count":3,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348346\/revisions"}],"predecessor-version":[{"id":348350,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348346\/revisions\/348350"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media\/348139"}],"wp:attachment":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media?parent=348346"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/categories?post=348346"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/tags?post=348346"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}