Ab dem 1. September 2021 gilt das neue Kantonale Datenschutzgesetz (KDSG). Das revidierte Gesetz sieht Verstärkungen bei den Informations- und Meldepflichten der öffentlichen Organe und bei den Rechten der betroffenen Personen auf Auskunft über die bearbeiteten Daten vor. Es führt neue Instrumente ein wie die Datenschutz-Folgeabschätzung oder das Verzeichnis der Bearbeitungstätigkeiten und institutionalisiert bereits bestehende Prozesse wie die Vorabkonsultation oder die Meldung von Datenschutzverstössen an den Beauftragten. Ausserdem schafft es für Organe neu die Möglichkeit, eine Datenschutzberaterin oder einen Datenschutzberater zu bezeichnen.
An dieser Stelle werden die wichtigsten Neuerungen des Datenschutzgesetzes kurz aufgezählt. Massgebend ist der publizierte Gesetzestext der systematischen Rechtssammlung (SRL 38).
Geltungsbereich
Aus der Definition der Personendaten geht neu ausdrücklich hervor, dass nur noch Angaben, die sich auf natürliche Personen beziehen, vom KDSG erfasst werden. Daten von juristischen Personen und von anderen Personengesellschaften des Handelsrechts gelten nicht mehr als Personendaten. Der Schutzkreis des KDSG beschränkt sich daher auf bestimmte oder bestimmbare
natürliche Personen.
Das KDSG gilt weiterhin für Kanton wie Gemeinden und sämtlichen Gemeinwesen. Neuerdings wird klargestellt, dass es auf sämtliche Personen und Organisationen, die öffentliche Aufgaben erfüllen, angewendet wird.
Profiling
Unter den Begriff "Profiling" fallen insbesondere automatisierte Auswertungen von Daten oder Personendaten, um wesentliche persönliche Merkmale zu analysieren oder Entwicklungen vorherzusagen namentlich bzgl. Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel.
Das KDSG schützt überdies neu das Erbgut sowie physische, physiologische oder verhaltenstypischen Merkmale einer Person, die eine eindeutige Identifizierung dieser Person ermöglichen, als besonders schützenswerten Personendaten.
Meldung von Datenschutzverletzungen
Neu müssen unbefugte Datenbearbeitung, sogenannte «data breaches», die voraussichtlich zu einem Risiko für die Grundrechte der betroffenen Personen führen, dem Beauftragten gemeldet werden. Im Sinn der Risikoorientierung sind jedoch qualitativ und quantitativ unbedeutende Verletzungen der Datensicherheit nicht zu melden. Unter Umständen kann die Information der betroffenen Personen angezeigt sein.
Datenschutz-Folgenabschätzung und Vorabkonsultation
Neu wird das international anerkannte Instrument der Datenschutz-Folgenabschätzung (DSFA) sowie die Bestimmungen einer allfälligen Vorabkonsultation institutionalisiert. Mit der DSFA muss ein Organ die Risiken einer Datenbearbeitung für die Privatsphäre und die Grundrechte der betroffenen Personen einschätzen, bewerten und entsprechende Massnahmen ergreifen. Die DSFA dient dem verantwortlichen Organ somit letztlich dazu, den Nachweis über die Einhaltung der Datenschutzbestimmungen zu erbringen. Führt eine geplante Bearbeitung aufgrund der DSFA zu einem hohen Risiko für die Grundrechte der Betroffenen, muss das verantwortliche Organ den DSB vor der Bearbeitung konsultieren (Vorabkonsultation).
Verzeichnis der Bearbeitungstätigkeiten
Der Begriff «Datensammlung» und das «Register der Datensammlungen» werden aufgehoben. Das Register wurde ab 1. September 2020 nicht mehr aktualisiert, bleibt aber voraussichtlich noch bis Ende 2021 auf der Webseite der Datenschutzstelle aufgeschaltet. Der DSB empfiehlt allen öffentlichen Organen, die dem KDSG unterstehen, das Führen eines Verzeichnisses. Insbesondere in Gemeinden, grösseren Anstalten und bei grösseren, privatrechtlich organisierten Leistungserbringern dient das Verzeichnis als erste Anlaufstelle für betroffene Personen, denn es schliesst praxisbezogen an die entsprechenden Tätigkeiten der Organe an. Die Verpflichtung, ein Verzeichnis der Bearbeitungstätigkeiten zu führen und zu veröffentlichen, gilt hingegen nur für die Justiz- und Strafverfolgungs- / Strafvollzugsbehörden.
Verantwortung des Organs
Die neuen internationalen Rechtsgrundlagen betonen die klare Zuordnung der Verantwortung für Datenbearbeitungen. Der neue Absatz 1bis und die Änderungen des Absatzes 2 von § 6 KDSG nehmen die Verantwortlichkeit für technische und organisatorische Sicherheitsmassnahmen und die Nachweisbarkeit für die Einhaltung der Datenschutzbestimmungen auf. Dies gilt selbstredend auch bei einer Auslagerung an Dritte, weshalb eine schriftliche Vereinbarung für diese Art von Datenbearbeitung nötig ist.
Datenschutzberater
Das KDSG sieht neu die Möglichkeit vor, Datenschutzberaterinnen und -berater zu ernennen. Die Datenschutzberater sollen die Mitarbeitenden, die Personendaten bearbeiten, amts- beziehungsweise gerichtsintern unterstützen, indem sie diese hinsichtlich der Datenschutzbelange unterrichten und beraten. Zudem sorgen sie für die Datenschutz-Folgenabschätzungen (z.B. durch Begleitung) und sind erste Ansprechpersonen des Beauftragten für den Datenschutz (Abs. 2). Dem verantwortlichen Organ bleibt es unbenommen, seinem Datenschutzberater oder seiner Datenschutzberaterin weitere Aufgaben zu übertragen.
Informationspflicht beim Beschaffen von Personendaten
Transparenz und Information sind wichtige Anliegen des Datenschutzes. Verantwortliche Organe stehen in der Pflicht, die betroffenen Personen über die Erhebung von Personendaten aktiv zu informieren. Neu beinhaltet diese Pflicht ausdrücklich, die Angabe von Kontaktdaten, sowie Angaben über die bearbeiteten Daten oder Datenkategorien, die Rechtsgrundlage und den Zweck des Bearbeitens, die Aufbewahrungsdauer, allfällige Dritte als Datenempfänger und die Rechte der betroffenen Personen (§ 8 Abs. 4 KDSG). Ausnahmen und Einschränkungen werden abschliessend geregelt. Nach wie vor entfällt die Informationspflicht, wenn die Erfüllung der öffentlichen Aufgaben ernstlich gefährdet oder verunmöglicht.