Stellungnahme zur Vernehmlassung betreffend Änderung des Gesetzes über die Information und den Datenschutz (Informations- und Datenschutzgesetz, IDG) – Anpassung an das geänderte europäische Datenschutzrecht
Sehr geehrte geehrte Damen und Herren,
wir bedanken uns für die Möglichkeit, zur oben genannten Vernehmlassung Stellung zu nehmen.
Das Schengen-Assoziierungsabkommen verpflichtet die Schweiz, das Schengen-Recht der Europäischen Union zu übernehmen und im innerstaatlichen Recht umzusetzen. Es erscheint und deshalb wichtig, die Revision des IDG inhaltlich soweit wie möglich (betreffend die Bearbeitung von Personendaten durch kantonale und kommunale öffentliche Organe) mit der vorgesehenen Totalrevision des Datenschutzgesetzes auf Bundesebene (DSG; SR 235.1) abzustimmen. Die Revision des kantonalen Datenschutzes darf nicht zu unterschiedlichen bzw. nicht abgestimmten Schutzniveaus führen.
Zu den einzelnen Bestimmungen:
§ 2 Geltungsbereich
Das Bundesgesetz über den Datenschutz hält in Art. 2 Abs. 2 lit. c unter anderem fest, dass es nicht auf hängige Zivilprozesse, Strafverfahren, Verfahren der internationalen Rechtshilfe und auf staats- und verwaltungsrechtliche Verfahren anwendbar ist.
Wir schlagen vor, dieselbe Formulierung zu wählen, namentlich die Verfahren der internationalen Rechtshilfe im Katalog aufzunehmen.
§ 6 Verantwortung
In Abs. 2 sollte präzisierend ergänzt werden, dass ohne Verzug und somit zu Beginn des Bearbeitungsvorgangs die Verantwortung untereinander zu regeln und die Gesamtverantwortung festzulegen ist.
Zu Abs. 3: Das verantwortliche öffentliche Organ muss nachweisen können, dass es die Datenschutzbestimmungen einhält. Näheres ist vom Regierungsrat für die kantonale Verwaltung und vom Gemeinderat für die kommunale Verwaltung zu regeln.
Wir sind der Meinung, dass auf Gesetzesstufe in wesentlichen Zügen und einheitlich geregelt sein soll, wer an wen und in welcher Form innerhalb welcher Frist zu rapportieren hat, und was die Folgen einer Nichteinhaltung der Datenschutzbestimmungen sind. Auf Verordnungsstufe sind lediglich Detailfragen zu regeln.
§ 7 Bearbeiten im Auftrag
Das Bearbeiten von Informationen durch Dritte im Auftrag des öffentlichen Organs ist eine sensible Angelegenheit. Deshalb sind die Anforderungen, die eine Übertragung auf weitere Auftragsdatenbearbeiter*innen zulassen, mindestens in groben Zügen auf Gesetzesstufe festzulegen. Die detaillierten Anforderungen können auf Verordnungsstufe geregelt werden.
Die Übertragung der Aufgabenerfüllung an Dritte (einhergehend mit Daten- und Informationsbearbeitung) sollte ausdrücklich den Regelungen dieses Gesetzes unterstellt werden, was in den Materialien Erwähnung finden muss.
§ 11a Datenschutz-Folgenabschätzung
Im Interesse einer möglichst einheitlichen Rechtsanwendung erachten wir es als unumgänglich, im Gesetz hinreichend klar festzulegen, wann von einem hohen Risiko auszugehen ist bzw. anhand welcher Kriterien die Feststellung eines hohen Risikos für die Grundrechte der betroffenen Personen erfolgen soll.