Tätigkeitsbericht 2020 - Datenschutzbeauftragte des Kantons Zug - Kanton Zug
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Tätigkeitsbericht 2020 Datenschutzbeauftragte des Kantons Zug
Datenschutzbeauftragte des Kantons Zug 2 Gemäss § 19 Abs. 1 Bst. h des Datenschutzgesetzes des Kantons Zug (DSG; BGS 157.1) erstattet die Datenschutzbeauftragte dem Kantonsrat jährlich Bericht über ihre Tätigkeit und vertritt den Bericht im Kantonsrat. Der vorliegende Bericht bezieht sich auf den Zeitraum vom 1. Januar bis 31. Dezember 2020. Sofern relevant werden bis zur Drucklegung eingetretene Sachverhalte zu erwähnten Themen ebenfalls noch berücksichtigt. Der Bericht wird auf der Website der Datenschutzstelle (www.datenschutz-zug.ch) veröffentlicht. Zug, im Februar 2021
3
Inhaltsverzeichnis
2020 – von der Gesetzgebung zur Umsetzung 4
1. Beratungs- und Aufsichtstätigkeiten 5
1.1 IT- und Digitalisierungsprojekte 5
1.2 Verantwortung der Organe 6
1.3 Förderung der Koordination 9
1.4 Beratung von Privaten 9
2. Gesetzgebung und Vernehmlassungen 10
2.1 Kantonale und kommunale Vorlagen 10
2.2 Bundesvorlagen 10
3. Spezialgesetzliche Aufgaben 11
3.1 Verordnung über das Bewilligungsverfahren für den
elektronischen Datenaustausch (Online-Verordnung) 11
3.2 Gesetz über die Videoüberwachung im öffentlichen und im
öffentlich zugänglichen Raum 12
4. Kontrollen 13
5. Schulung und Öffentlichkeitsarbeit 14
6. Zusammenarbeit mit anderen Datenschutzstellen 15
7. Personal und Statistik 164
2020 – von der Gesetz-
gebung zur Umsetzung
Im Berichtsjahr konnte die Revision des Daten- Datenschutz-Folgenabschätzung durchzuführen
schutzgesetzes abgeschlossen werden. Das re- und allenfalls die Datenschutzstelle zu konsultie-
vidierte Datenschutzgesetz (DSG) wurde Ende ren. Neu besteht auch die Pflicht, in gewissen
April verabschiedet und ist am 1. September Fällen Datenschutzverletzungen der Datenschutz-
2020 in Kraft getreten. stelle zu melden und gegebenenfalls die betroffe-
ne Person zu benachrichtigen.
Der Kanton Zug trägt mit der Modernisierung des
Datenschutzgesetzes der technologischen Ent- Mit Blick auf die Tätigkeit der Datenschutzstelle
wicklung und dem Schutz der Privatsphäre in der hat sich der Schwerpunkt im Berichtsjahr somit
digitalen Welt Rechnung. Damit gehört er auch von der Gesetzgebung hin zur konzeptionellen
zur Minderheit derjenigen Kantone, welche die Umsetzung des revidierten Datenschutzgesetzes
überfälligen Anpassungen an die europäischen verlagert. Namentlich galt es, das Vorgehen und
und völkerrechtlichen Vorgaben bereits umge- die Methodik der Datenschutz-Folgenabschät-
setzt haben. zung festzulegen und aufzubauen. Dabei wurden
bereits bestehende und funktionierende Abläufe
Neben der Stärkung der Rechte der betroffenen genutzt und soweit erforderlich angepasst. Zu-
Personen zählt zu den wichtigsten Neuerungen, dem galt es, verschiedene Hilfsmittel für die ver-
dass die Pflichten der verantwortlichen Organe antwortlichen Organe aufzubereiten, um diese
präzisiert worden sind: So sind die für Daten- im Hinblick auf eine datenschutzkonforme Da-
bearbeitungen verantwortlichen Organe nun aus- tenbearbeitung zu unterstützen, welche dem
drücklich zu Datenschutz durch Technikgestal- Schutz der Privatsphäre und den Rechten der
tung («privacy by design») und Datenschutz Betroffenen Rechnung trägt. Damit soll ihnen
durch datenschutzfreundliche Voreinstellungen eine selbstständige Rechtsgrundlagen- und Risi-
(«privacy by default») verpflichtet. Zudem haben koanalyse ermöglicht werden und eine Entschei-
sie vor bestimmten Datenbearbeitungen eine dungsgrundlage für weitergehende Massnahmen
geschaffen werden.
Erfreulicherweise konnte im Dezember 2020
auch die Revision der Datensicherheitsverord-
nung – neu: Verordnung über die Informations
sicherheit von Personendaten (VIP) – verab-
schiedet wird. Die Verordnung ist inzwischen am
27. Januar 2021 in Kraft getreten. Die Umsetzung
von DSG und VIP wird die Datenschutzstelle und
die Organe auch im laufenden Jahr noch
beschäftigen.
Dr. iur. Yvonne Jöhri
Datenschutzbeauftragte des Kantons Zug5
1. Beratungs- und Aufsichtstätigkeiten
Ein Schwerpunkt der Tätigkeit der Datenschutz- – das Projekt «Cloud enabling» in der kantonalen
stelle liegt in der Beratung von kantonalen und Verwaltung;
kommunalen Behörden und Dienststellen sowie – die allgemeine Thematisierung der Cloud-Risi-
von natürlichen und juristischen Personen, soweit ken und künftigen Einsatzmöglichkeiten bei
ihnen öffentliche Aufgaben übertragen sind. den kantonalen und gemeindlichen Schulen;
– die Beratung von Institutionen mit Leistungs-
Im Berichtsjahr lag der Schwerpunkt der Bera- vereinbarung aufgrund der Ablösung/End of
tungs- und Aufsichtstätigkeit einerseits auf IT- und Life Cycle ihrer Geschäftsverwaltung sowie
Digitalisierungsprojekten; andererseits erforderte – die Taskforce zur Corona-bedingten (temporä-
das per 1. September 2020 in Kraft getretene Da- ren) Bereitstellung von digitalen Zusammen-
tenschutzgesetz (DSG) grundsätzliche, konzeptio- arbeitsmöglichkeiten.
nelle Arbeiten: So mussten das Vorgehen und die
Methodik der Datenschutz-Folgenabschätzung Im Berichtsjahr galt es zudem, verschiedenen
aufgebaut und in bestehende Abläufe integriert rechtlichen Entwicklungen Rechnung zu tragen,
bzw. mit diesen abgestimmt werden. Namentlich welche Cloud-Angebote vor neue Herausforde-
galt es, die erforderlichen Hilfestellungen für die rungen stellen:
Organe zu erarbeiten und bereitzustellen.
– Ein im Juli 2020 ergangener EuGH-Entscheid
(Schrems II) hält fest, dass das US Privacy
1.1 IT- und Digitalisierungs-
Shield (bzw. die Standardvertragsklauseln) für
projekte Datenbekanntgaben in Staaten ohne angemes-
Das Thema Cloud war im Berichtsjahr omniprä- senes Datenschutzniveau (u.a. USA) keine aus-
sent bei der Datenschutzstelle. Schnelle Verfüg- reichenden Garantien bietet.
barkeit, Zugriffsmöglichkeiten von überall her, – Entsprechend hat der EDÖB zum Swiss-US Pri-
einfache Kommunikation mit Dritten und gerin- vacy Shield im September 2020 Stellung ge-
gere Investitionskosten sind wesentliche Anrei- nommen und seine Beurteilung in der Staaten-
ze, webbasierte Dienstleistungen in Anspruch zu liste entsprechend angepasst
nehmen. https://www.edoeb.admin.ch/e-doeb/de/
home/datenschutz/handel-und-wirtschaft/
Entsprechend prüfen auch verschiedene kanto- uebermittlung-ins-ausland/datenuebermitt-
nale und gemeindliche Organe sowie private Insti- lung-in-die-usa.html.
tutionen mit Leistungsvereinbarung im Kanton – Ende 2020 wurde schliesslich bekannt, dass
Zug den Einsatz von Cloud-basierten Technolo- die von privatim (der Konferenz der schweize-
gien. Neben der allgemeinen Beratung zu Cloud- rischen Datenschutzbeauftragten) seit Länge-
Lösungen wird die Datenschutzstelle insbeson- rem mit Microsoft geführten Vertragsverhand-
dere auch im Rahmen konkreter Projekte um lung zu den Online-Diensten als gescheitert zu
Unterstützung gebeten. Dabei geht es hauptsäch- betrachten sind. Verschiedene Vertragsbe-
lich um Rückfragen und Unterstützung bei der dingungen vermögen den Anforderungen an
durch die Organe vorzunehmenden Datenschutz- behördliche Datenbearbeitungen nicht zu ge-
Folgenabschätzung, welche der Datenschutz nügen, so u.a. das einseitige Recht auf Ver-
stelle allenfalls auch zur Vorabkonsultation vorzu- tragsänderung, das Verwendungsrecht von
legen ist (siehe dazu Ziff. 1.2). Kundendaten für eigene Geschäftszwecke,
ungenügende (eigene) Kontrollmöglichkeiten
Zu den Cloud-Vorhaben, in welche die Daten- durch den Dienstleistungsbezüger etc.
schutzstelle im Berichtsjahr involviert war, zählen
etwa:1. Beratungs- und Aufsichtstätigkeiten 6
Diese jüngsten Entwicklungen sind vor dem 1.2 Verantwortung der Organe
Hintergrund des seit 2018 bestehenden sog.
CLOUD Act zu sehen. Danach sind Unternehmen Mit Inkrafttreten des revidierten Datenschutz-
mit Sitz in den USA oder US-Bezug verpflichtet, gesetzes des Kantons Zug kommt klar(er) zum
US-Behörden Zugriff auf gespeicherte Daten zu Ausdruck, dass das Organ, das Personendaten
gewährleisten, auch wenn die Speicherung in ei- bearbeitet, für die datenschutzkonforme Daten-
nem EU-Mitgliedstaat oder der Schweiz erfolgt. bearbeitung verantwortlich ist. Klar(er) ist nun
auch, was das konkret bedeutet. So wurde mit
Die Datenschutzstelle geht davon aus, dass sich dem Inkrafttreten des revidierten Datenschutzge-
der Cloud-Trend verstärkt fortsetzen wird. Der setzes die bisherige Regelung der Vorabkontrolle
damit verbundenen Risikosituation für die Rech- durch Bestimmungen zur Datenschutz-Folgen-
te der Betroffenen ist – unter Beachtung der abschätzung (DSFA) und zur Vorabkonsultation
technologischen (Weiter-)Entwicklung – Rech- wie folgt konkretisiert: Das verantwortliche Organ
nung zu tragen. Kurz: Die technischen, organisa- hat die durch eine (neue oder geänderte) Daten-
torischen und vertraglichen Herausforderungen bearbeitung ausgelösten allgemeinen und daten-
im Zusammenhang mit dem Einsatz von Cloud- schutzrelevanten Auswirkungen zu beschreiben
Lösungen sind und bleiben ein zentrales Thema. bzw. die Risiken für die Grundrechte der betroffe-
nen Personen zu identifizieren, zu bewerten und
Die Beratungen und Stellungnahmen zu weiteren mit geeigneten Massnahmen zu eliminieren oder
IT- und Digitalisierungsprojekten betrafen bspw. mindestens zu minimieren.
– die (Neu-)Einführung verschiedener Weblösungen Organe sind nicht nur verpflichtet, die Datenbe-
wie z.B. für Lehrerbeurteilung, Schulbefragung, arbeitung technisch, organisatorisch und vertrag-
Kursverwaltung sowie mobiler E-Government- lich so auszugestalten, dass die Datenschutz
Lösungen; vorschriften eingehalten werden, sondern müssen
– die Digitalisierung der Post; auch den Nachweis erbringen können, dass die
– die Einsatzmöglichkeiten von Web-Tracking; Datenschutzbestimmungen eingehalten werden
– den Einsatz von Videokonferenz-Tools; (§ 5d DSG).
– die Einführung eines Online-Reservationssys-
tems für eine Badi sowie Um den Organen ihre Pflichten zu erleichtern,
– die Anbindung des Krebsregisters des Unispi- hat die Datenschutzstelle einen ihrer Schwer-
tals Zürich an das kantonale Personenregister. punkte im Berichtsjahr auf die Aufbereitung und
Bereitstellung entsprechender Informationen und
Wie schon im Vorjahr wurde die Datenschutz- Hilfsmittel gelegt. Insbesondere wurden Vorlagen
stelle auch in die Durchsicht von Datenschutz- erarbeitet, um die Organe bei der eigenständigen
erklärungen, Nutzungsbestimmungen, Verträgen Durchführung der erforderlichen Datenschutz-
und Allgemeinen Geschäftsbedingungen (AGB) Folgenabschätzung zu unterstützen.
involviert.1. Beratungs- und Aufsichtstätigkeiten 7
Durchführung Datenschutz- Einbettung in bestehende Abläufe
Folgenabschätzung Eines der Ziele der Datenschutzstelle war es, die
Mit der DSFA muss ein Organ wie erwähnt die DSFA auf bestehende Prozesse und Methoden
Risiken einer Datenbearbeitung für die Privat- abzustimmen und in entsprechende interne Ab-
sphäre und die Grundrechte der betroffenen Per- läufe einzubetten. Die bestehende und nach der
sonen einschätzen, bewerten und entsprechen- Projektmethodik HERMES in der Startphase
de Massnahmen ergreifen. durchzuführende Schutzbedarfsanalyse wurde
gemeinsam mit dem Amt für Informatik (AIO)
Das Vorgehen ist grundsätzlich nicht neu, wird dahingehend angepasst bzw. ergänzt, dass die
nun aber bezüglich Datenschutzrisiken standardi- Frage, ob eine Pflicht für die Durchführung einer
siert und damit vereinfacht. Die verantwortlichen DSFA besteht, bereits in dieser Phase geklärt
Organe werden mit den bereitgestellten Hilfsmit- wird.
teln beim folgenden Vorgehen unterstützt:
Von der im Rahmen der DSFA vorzunehmenden
– Prüfen der gesetzlichen Grundlagen (Rechts- Risikoeinschätzung sind die weiterführenden
grundlagenanalyse); Dokumentationen abhängig, so ein allenfalls
– Identifizieren und Bewerten der Risiken für die erforderliches technisches Informationssicher-
Grundrechte der betroffenen Personen, die mit heits- und Datenschutzkonzept (ISDS-Konzept),
einer neuen/geänderten Bearbeitung verbunden welches der Datenschutzstelle im Rahmen einer
sind wie beispielsweise unverhältnismässige Vorabkonsultation vorzulegen ist.
Erhebung von Daten, übermässig lange Daten-
aufbewahrung, Dateneinsicht durch Unbefugte, Die nachfolgende Darstellung gibt einen Überblick
Probleme bei der Datenverfügbarkeit, fehler- über den Ablauf sowie die Aufgaben und Verant-
hafte Daten, unzulässige Verknüpfung von Daten wortlichkeiten der involvierten Stellen (verant-
oder Profilbildung, ungenügende Information und wortliches Organ, Datenschutzstelle, IT-SIBE):
Transparenz über die Datenbearbeitung etc.;
– Definieren und Auslösen von geeigneten Mass-
nahmen zur Bewältigung der identifizierten Risi-
ken mit anschliessendem Bewerten der verblei-
benden Restrisiken;
– Entscheiden über die Notwendigkeit einer Vor-
abkonsultation bei der Datenschutzstelle (falls
das Vorhaben einer solchen nicht ohnehin un-
terliegt – siehe Liste der Vorabkonsultation unter
https://www.zg.ch/behoerden/datenschutz-
stelle/services/vorabkonsultation sowie
– stufengerechte Freigabe des Projektes bzw. der
Veränderungen durch die verantwortlichen
Stellen mit den geplanten Massnahmen unter
Kenntnisnahme der eingeschätzten Risiken.1. Beratungs- und Aufsichtstätigkeiten 8
Vorabkonsultation – Abgleichen und/oder Zusammenführen von
Führt eine geplante Bearbeitung aufgrund der Datenbeständen in Form von Abrufverfahren
DSFA zu einem hohen Risiko für die Grundrechte (z.B. Einrichten von Online-Zugriffen);
der Betroffenen, muss das verantwortliche Or- – Datenbearbeitung, die nicht ausschliesslich im
gan das Vorhaben der Datenschutzstelle zur internen Netzwerk erfolgt (z.B. Cloud, Schnitt-
Stellungnahme vorlegen. stelle zu externen Systemen);
– E-Government-Anwendungen;
Diesen Entscheid hat das verantwortliche Organ, – Videoüberwachungen bzw. der Einsatz von
wie bereits erwähnt, aufgrund der vorgenomme- neuen (Überwachungs-)Technologien;
nen DSFA zu treffen und zu dokumentieren. – gemeinsame Datenbearbeitung durch mehrere
öffentliche Organe;
Die Datenschutzstelle ist verpflichtet, eine Liste – automatisierte Entscheidungsfindung mit Rechts-
der ihr zur Vorabkonsultation vorzulegenden Be- wirkung oder ähnlich bedeutsamer Wirkung für
arbeitungstätigkeiten zu veröffentlichen. Diese eine betroffene Person;
Liste wurde erstellt und ist veröffentlicht (siehe – Bearbeitung von genetischen und/oder bio-
Link unter Ziff. 1.2). Dabei handelt es sich um Da- metrischen Daten, die mittels technischer Ver-
tenbearbeitungen, bei denen von einem hohen fahren die eindeutige Identifizierung einer na-
Risiko für die Grundrechte der betroffenen Perso- türlichen Person erlauben;
nen auszugehen ist, sei es aufgrund der Art der
Bearbeitung oder aufgrund der zu bearbeitenden
Personendaten. Beispiele sind etwa:1. Beratungs- und Aufsichtstätigkeiten 9
– Bearbeitung von Daten schutzbedürftiger Per- aus Effizienz- und Ressourcengründen versucht
sonen (wie z.B. Daten über Kinder, Arbeitneh- die Datenschutzstelle, (auch) Unterstützung zu
mende, psychisch Kranke, Asylbewerbende, mehr Koordination und Zusammenarbeit bei
Seniorinnen und Senioren, Patientinnen und gleich gelagerten Anfragen zu leisten.
Patienten) oder
– Auswertung von Daten oder Personendaten, Die Datenschutzstelle kann als unabhängige Be-
um wesentliche persönliche Merkmale zu ana- hörde ein vermehrt koordiniertes Vorgehen aller-
lysieren oder Entwicklungen vorherzusagen dings nur anregen. Letztlich liegt es an den Invol-
(Profiling). vierten, ob ein koordiniertes Zusammenarbeiten
gewollt und gelebt wird.
Bereitstellen von Hilfslinien
und Informationen Ein gelungenes Beispiel aus dem Berichtsjahr
Um die zuständigen Organe formell und materiell ist etwa die Errichtung eines gemeinsamen
zu unterstützen, stellt die Datenschutzstelle Arbeitsraums der Einwohnerkontrollen und der
neben Ablaufbeschreibungen Vorlagen für alle ge- Datenschutzstelle zum Informationsaustausch.
forderten Dokumente zur Verfügung. Für die bis- Im gemeinsamen Arbeitsraum sind u.a. neben
herige Vorabkontrolle (neu: Vorabkonsultation) gab Musterschreiben und -formularen auch Antwor-
es noch keine Vorlagen. Dabei handelt es sich um ten auf Fragen einer Einwohnerkontrolle aufge-
eigene Vorlagen (Datenschutz-Folgenabschätzung, schaltet, die für alle Einwohnerkontrollen von
ISDS-Konzept, ISDS-Konzept Videoüberwachung) Interesse sind.
oder solche, die in Absprache/Koordination mit
anderen Stellen angepasst wurden (z.B. Schutz- 1.4 Beratung von Privaten
bedarfsanalyse zusammen mit AIO).
Die Datenschutzstelle ist ebenfalls Ansprech-
1.3 Förderung der Koordination stelle für Privatpersonen, soweit deren Daten
durch kantonale oder kommunale Organe oder
Da das Datenschutzgesetz lediglich ein Rahmen- private Institutionen mit Leistungsvereinbarungen
gesetz ist, welches die Grundsätze der Bearbei- bear-beitet werden. Die Datenschutzstelle gibt
tung von Personendaten festhält, ist die Daten- Privaten Auskunft über ihre Rechte und kann, falls
schutzstelle auf das fachliche und praktische erforderlich, auch zwischen Organen und betrof-
Know-how von Spezialisten aus den jeweiligen fenen Personen vermitteln.
Sachgebieten angewiesen. Das Fachwissen, die
Kenntnis der Praxis sowie der spezifischen Prob- Die Anfragen von Privatpersonen betrafen u.a.
lemstellungen und Herausforderungen liegen bei Kamera-/Videoüberwachungen; neue Parking-
den Organen, die auch für ihre Datenbearbeitun- Anlagen, die zwingend die Eingabe des Fahr-
gen verantwortlich sind. Im Rahmen der Beratung zeugkennzeichens erfordern; die Erhebung von
arbeitet die Datenschutzstelle deshalb regelmäs- Daten via Online-Formulare; die Ausübung des
sig mit den anfragenden Stellen zusammen. Auskunftsrechts, die Errichtung und Wirkung von
Datensperren (insbesondere bei Einwohner-
Insbesondere bei gemeindlichen Organen, welche gemeinden und Strassenverkehrsamt), Datenbe-
gleiche Aufgaben haben (und sich damit regelmä- arbeitungen und -bekanntgaben (u.a. auch durch
ssig auch mit gleich gelagerten Fragen und Her- Zuger Unternehmen, Krankenkassen und Vereine,
ausforderungen konfrontiert sehen), ist ein koor- deren Beurteilung allerdings nicht unter das kan-
diniertes Beantworten und Bearbeiten von Fragen tonale DSG und in die Zuständigkeit der kanto-
und Themen oft sinnvoll. Dies schafft zudem nalen Datenschutzstelle fallen).
Transparenz und Rechtssicherheit für die und un-
ter den involvierten Stellen. Aus diesen und auch10
2. Gesetzgebung und Vernehmlassungen
Die Datenschutzstelle nimmt aufgrund ihres ge- Weitere Vorlagen, in welche die Datenschutz-
setzlichen Auftrags aus datenschutzrechtlicher stelle im Berichtsjahr involviert war, sind etwa
Sicht Stellung zu Vorlagen des Kantons, der Ge- Änderungen bzw. Revisionen folgender Rechts-
meinden und des Bundes. Die Mitwirkung in der grundlagen:
Gesetzgebung ist ein weiterer Schwerpunkt in
der Tätigkeit der Datenschutzstelle. – EG RHG sowie dazugehörige Verordnung
EG RHG
Aus datenschutzrechtlicher Sicht sind klare ge- – Polizeigesetz (siehe schon Vorjahr)
setzliche Grundlagen ein zentrales Anliegen. Dies – Publikationsgesetz
nicht nur aus Gründen des Legalitätsprinzips, wo- – Verordnung über die Nutzung von Mobil- und
nach sich staatliches Handeln auf eine ausrei- Festnetztelefonen (Telefonnutzungsverordnung;
chende gesetzliche Grundlage stützen können TNV)
muss, sondern auch aus Gründen der Information – Verordnung über die elektronische Übermitt-
und Transparenz gegenüber den von staatli- lung im Verwaltungsverfahren
chen Datenbearbeitungen betroffenen Bürge- – Schengen-Evaluation – Follow-up-Prozess (Up-
rinnen und Bürgern. date; siehe dazu auch Ziff. 4)
2.1 Kantonale und Hinzu kamen zwei kommunale Vorlagen, zu de-
nen sich die Datenschutzstelle ebenfalls geäus-
kommunale Vorlagen
sert hat.
Die Datenschutzstelle wird oft schon frühzeitig 2.1 Bundesvorlagen
über anstehende kantonale Gesetzgebungs-
arbeiten mit Datenschutzbezug informiert. Na- Die Datenschutzstelle wurde zu acht Bundesvor-
mentlich berät und unterstützt die Datenschutz- lagen zum Mitbericht eingeladen (2019: 16). Die
stelle bei Vorhaben mit hoher Datenschutzrelevanz Datenschutzbeauftragte hat sich aus Ressour-
oft auch schon vor dem internen Mitberichtsver- cengründen nur zu einer der Vorlagen inhaltlich
fahren. Im Berichtsjahr lag die Anzahl der kantona- geäussert (Teilrevision Strassenverkehrsrecht
len Vorlagen, in welche die Datenschutzstelle betreffend automatisiertes Fahren); dort, wo
involviert wurde, im Vergleich zum Vorjahr deutlich eine datenschutzrechtliche Stellungnahme von
höher (18; 2019: 8). privatim (der Konferenz der schweizerischen Da-
tenschutzbeauftragten) erarbeitet wurde, hat
Im Berichtsjahr abgeschlossen werden konnte die Datenschutzstelle diese der jeweiligen Di-
die Revision der Datenschutzgesetzgebung: Das rektion weitergeleitet.
Datenschutzgesetz (DSG) ist am 1. September
2020 in Kraft getreten; die Revision der Daten-
sicherheitsverordnung (DSV) konnte ebenfalls
noch im Dezember verabschiedet werden und
ist inzwischen als Verordnung über die Informa-
tionssicherheit von Personendaten (VIP) in Kraft
getreten.
Im Berichtsjahr war die Datenschutzstelle zu-
dem in verschiedene Koordinationssitzungen
und Besprechungen mit Blick auf eine allfällige
Ablösung der Online-Verordnung involviert (sie-
he dazu auch Ziff. 3.1).11
3. Spezialgesetzliche Aufgaben
Die Aufgaben und Kompetenzen der Daten- Verschiedene Gründe veranlassten die Daten-
schutzstelle ergeben sich grundsätzlich aus schutzstelle, sich aktiv darum zu bemühen, dass
dem Datenschutzgesetz. Der Datenschutzstelle der angekündigte Gesetzgebungsprozess auch
kommen aufgrund der beiden folgenden kanto- möglichst bald angestossen wird. Einerseits
nalen Erlasse allerdings Rollen zu, die ihre Tätig- wurden im Rahmen des Projekts PARIS weiter-
keit wesentlich beeinflussen. hin Ressourcen der Datenschutzstelle für die
Migrationen von Online-Zugriffen auf das neue
3.1 Verordnung über das kantonale Personenregister beansprucht. Ande-
rerseits gingen bei der Datenschutzstelle auch
Bewilligungsverfahren für den
im vergangenen Jahr wiederum Anfragen zu On-
elektronischen Datenaustausch line-Zugriffen von gemeindlichen Verwaltungs-
(Online-Verordnung) stellen ein, die identische oder gleich gelagerte
Aufgaben wahrnehmen (bspw. Notariate, Betrei-
Die Verordnung über das Bewilligungsverfahren bungsämter, Sozialdienste). Zudem stellte sich
für den elektronischen Datenaustausch (Online- nach Bekanntwerden der anstehenden Abschaf-
Verordnung; BGS 157.22) regelt «den elektroni- fung des Online-Abfrage-Tools in der Fachan-
schen Zugriff auf Personendaten im Abrufver- wendung zur Führung der Einwohnerregister die
fahren (Online-Zugriff)». Sie wurde gestützt auf Frage, ob und wie die bisherigen Online-Zugriffe
§ 7 Abs. 2 DSG erlassen und ist am 28. Juni allenfalls auf das kantonale Personenregister
2008 in Kraft getreten. überführt werden könnten.
Die Bewilligungsverfahren sind für alle Involvier- Die Datenschutzstelle hat deshalb eine grund-
ten – insbesondere auch für die Datenschutz- sätzliche Abklärung des Bedarfs an Online-Zu-
stelle – mit grossem Aufwand verbunden. Dies griffen vorgeschlagen und dazu einen Entwurf
liegt an der erforderlichen einzelfallweisen Dar- für eine Umfrage bei den kantonalen und ge-
legung und Überprüfung der Aufgaben der Orga- meindlichen Organen erstellt. Die Direktion des
ne, der Zweckbindung und Verhältnismässigkeit Innern nahm in der Folge bei den Gemeinden
sowie der Informationssicherheit von Online-Zu- eine entsprechende Bedarfsanalyse an die
griffen. Hinzu kommt, dass sich aufgrund der Hand, die im Berichtsjahr allerdings noch nicht
unterschiedlichen Zuständigkeiten für die Bewil- abgeschlossen werden konnte.
ligungen rechtsungleiche Entscheide nicht ver-
meiden lassen – so bspw. bei den Anträgen um Die Datenschutzbeauftragte begrüsst die eingelei-
Online-Zugriff auf alle elf Einwohnerregister der teten Schritte zur Schaffung von gesetzlichen
Einwohnergemeinden, wo am Ende der Verfah- Grundlagen, weil diese die notwendige Transpa-
ren elf gemeinderätliche Entscheide vorliegen. renz und Rechtssicherheit herstellen und zur
Entlastung aller in den Online-Gesuchs-Verfahren
Im Berichtsjahr wurde die Online-Verordnung Involvierten – insbesondere zur dringend erforder-
nach ausgiebiger Diskussion im Rahmen der lichen Entlastung der Datenschutzstelle – beitra-
DSG-Revision letztlich zwar nicht aufgehoben, gen. Deshalb wird die Datenschutzstelle im ange-
sie soll aber nach dem Willen des Kantonsrats stossenen Gesetzgebungsprozess auch weiterhin
nur noch als Übergangslösung bis zur Schaffung unterstützend zur Verfügung stehen.
gesetzlicher Grundlagen für Online-Zugriffe bei-
behalten werden.3. Spezialgesetzliche Aufgaben 12
3.2 Gesetz über die Videoüber- Liste Vorabkonsultation
Aufgrund des mit Videoüberwachungen einher-
wachung im öffentlichen und
gehenden hohen Risikos für die Grundrechte
im öffentlich zugänglichen Raum der betroffenen Personen waren Videoüberwa-
chungen der Datenschutzstelle bisher zur Vorab-
Im Kanton Zug ist die Fachstelle Videoüberwa- kontrolle (neu: Vorabkonsultation) vorzulegen.
chung der Zuger Polizei (FaVü) primäre Anlauf- Gemäss revidiertem DSG hat die Datenschutz-
stelle im Bereich Videoüberwachung. Sie stellt stelle neu eine Liste derjenigen Bearbeitungsvor-
ein Musterformular für Gesuche betreffend Vi- gänge zu führen, die der Datenschutzstelle zur
deoüberwachung und weitere Informationen zur Vorabkonsultation zu unterbreiten sind (§ 19a
Verfügung. Der Datenschutzstelle kommen auf- Abs. 3 DSG). Entsprechend werden Videoüber-
grund der Video- und Datenschutzgesetzgebung wachungen auf dieser Liste geführt (Link zur Lis-
die folgenden beiden Aufgaben zu: te siehe unter Ziff. 1.2).
– Stellungnahme bei Gesuchen um Bewilligun- Datenschutz-Folgenabschätzung
gen und Zudem galt es, die Anforderungen der Bewilli-
– Veröffentlichung von Entscheiden (siehe dazu gungsgesuche (gemäss Videogesetzgebung) und
Tätigkeitsbericht 2019, S. 12 f.). die (neuen) datenschutzseitigen Anforderungen
(Datenschutz-Folgenabschätzung, Vorabkonsul-
Im Berichtsjahr lud die Datenschutzstelle die in tation) zu koordinieren. Die Datenschutzstelle hat
das Bewilligungsverfahren involvierten Stellen für die Ergänzung des Gesuchformulars mit den
der Sicherheitsdirektion und der Zuger Polizei zu entsprechenden datenschutzrechtlichen Anforde-
einem Austausch ein. Anlass waren u.a. die Opti- rungen Vorschläge gemacht und stellt für die Da-
mierung des Standardablaufs für Bewilligungs- tenschutz-Folgenabschätzung eine Vorlage als
gesuche, anstehende Erneuerungen von bestehen- Hilfsmittel zur Verfügung.
den Bewilligungen (siehe nachfolgend), pendente
Gesuche sowie verschiedene Auslegungs-/Ab- Dadurch soll einerseits die Hilfestellung für die
grenzungsfragen. Ebenfalls thematisiert wurden Gesuchsteller verbessert werden, andererseits
die Auswirkungen des revidierten Datenschutzge- sollen aber auch die für die Beurteilung erforder-
setzes auf Videoüberwachungen. lichen Informationen präziser abgeholt werden.
Damit sollen Rückfragen minimiert und eine effi-
Verlängerungen von Bewilligungen zientere Prüfung der Gesuche ermöglicht werden.
Bewilligungen für Videoüberwachungen sind auf
maximal fünf Jahre befristet. Im Berichtsjahr lie-
fen u.a. verschiedene Videoüberwachungen der
Stadt Zug aus (Feuerwehr/Werkhof, Fussball-,
Leichtathletikstadion, Betreibungsamt). Die Er-
neuerungen bestehender Videoüberwachungen
wurden prioritär behandelt.
Die Datenschutzstelle hat betreffend das Gesuch-
formular für Videoüberwachungen u.a. Anregun-
gen für dessen Verwendung für Verlängerungen
gemacht.13 4. Kontrollen Es gehört zu den gesetzlichen Aufgaben der Datenschutzstelle, dass sie die Einhaltung der Datenschutzvorschriften in rechtlicher, techni- scher und organisatorischer Hinsicht überwacht und dazu auch Kontrollen bei den verantwort- lichen Organen durchführen kann. Die Datenschutzstelle konnte ihr Know-how im ICT-Bereich im Berichtsjahr mit einem zu- sätzlichen Mitarbeiter ICT im Umfang eines 50%-Pensums ausbauen. Dadurch verfügt die Datenschutzstelle nun auch intern über das für die Durchführung von Kontrollen und Audits not- wendige Know-how. Dies ist allerdings nur eine der Aufgaben des neuen Mitarbeiters. Im Be- richtsjahr lag der Schwerpunkt des neuen Mit- arbeiters auf der Beratung zu verschiedenen IT- und Digitalisierungsprojekten. Follow-up-Prozess der Schengen-Evaluierung Ende 2020 wurde die Datenschutzstelle um eine Aktualisierung ihrer Stellungnahme betreffend die vom Rat der EU im Jahr 2019 veröffentlichten Empfehlungen aus der Schengen-Evaluierung gebeten https://data.consilium.europa.eu/doc/docu- ment/ST-7281-2019-INIT/de/pdf; (siehe dazu auch Tätigkeitsbericht 2019, S. 14). Die Datenschutzstelle hat darauf hingewiesen, dass Empfehlung 4 nicht erfüllt ist («die Durchset- zungsbefugnisse der kantonalen Datenschutz- behörden stärken, indem ihnen das Recht verlie- hen wird, direkt rechtsverbindliche Entscheidun- gen zu treffen»): Das per 1. September 2020 in Kraft getretene revidierte DSG sieht keine Verfü- gungskompetenz der Datenschutzstelle vor. Eine Verbesserung konnte betreffend die der Da- tenschutzstelle zur Verfügung stehenden Ressour- cen erreicht werden (Empfehlung 19): Nachdem die für das Berichtsjahr beantragte zusätzliche 50%-Stelle für einen Mitarbeiter ICT (bei Strei- chung des bisherigen Budgets für den Beizug Ex- terner) Ende 2019 genehmigt worden war, konnte die Stelle per 1. März 2020 besetzt werden.
14 5. Schulung und Öffentlichkeitsarbeit Workshop DSG – Einwohnerkontrollen Im Hinblick auf das Inkrafttreten des revidierten DSG hat die Datenschutzstelle zusammen mit den Leiterinnen und Leitern der Einwohnerkont- rollen einen Workshop durchgeführt. Dieser be- fasste sich mit den für die Einwohnerkontrollen relevanten Neuerungen per 1. September 2020. Schulungen Verwaltungsinterne Schulungen, an denen die Datenschutzbeauftragte regelmässig teilnimmt, wurden im Berichtsjahr zunächst verschoben und schliesslich abgesagt. Website Die Datenschutzstelle hat im Berichtsjahr ihre Website fortlaufend überarbeitet. Dabei handelt es sich um einzelne Seiten und Themen, die über- arbeitet oder neu aufbereitet wurden. Anlass dazu bot u.a. das per 1. September 2020 in Kraft getretene neue Datenschutzgesetz.
15
6. Zusammenarbeit mit anderen
Datenschutzstellen
Privatim Eidgenössischer Datenschutz- und
Die Datenschutzstelle des Kantons Zug ist Mit- Öffentlichkeitsbeauftragter (EDÖB)
glied von privatim, der Konferenz der schweizeri- Die Zusammenarbeit der kantonalen Daten-
schen Datenschutzbeauftragten www.privatim.ch. schutzbeauftragten mit dem Eidgenössischen
Privatim gehören die Datenschutzbehörden aller Datenschutz- und Öffentlichkeitsbeauftragten
26 Kantone und von acht Städten an sowie der EDÖB; www.edoeb.admin.ch ist im Rahmen des
Eidgenössische Datenschutz- und Öffentlichkeits- Schengen-Assoziierungsabkommens gesetzlich
beauftragte (EDÖB) und die Datenschutzbeauf- vorgeschrieben. Danach sind die Aufsichtsstellen
tragte des Fürstentums Liechtenstein. Privatim verpflichtet, bei der Beaufsichtigung der Daten-
hat im Berichtsjahr das 20-jährige Bestehen «gefei- bearbeitungen, die im Rahmen des Assoziie-
ert» – letztlich leider ohne Feier bzw. (Jubiläums-) rungsabkommens erfolgen, aktiv zusammenzu-
Konferenz. arbeiten. Die Zusammenarbeit erfolgt über die
«Koordinationsgruppe der schweizerischen Daten-
Für die Datenschutzstelle ist der Austausch mit schutzbehörden im Rahmen der Umsetzung des
anderen Datenschutzbeauftragten über kantons- Schengen-Assoziierungsabkommens». Im Be-
übergreifende Themen sehr wichtig und von richtsjahr wurden die kantonalen Datenschutz-
grossem Nutzen. U.a. ermöglicht er, sich einen beauftragten auf schriftlichem Weg informiert.
Überblick über Stand sowie Art und Weise der
Umsetzung gleicher oder ähnlicher Vorhaben
durch die Organe anderer Kantone zu verschaf-
fen. Der Austausch erfolgt einerseits im Rahmen
von Arbeitsgruppen (Polizei und Migration, Digi-
tale Verwaltung, IT), andererseits aber auch in
Form des Ad-hoc-Austausches zu einzelnen The-
men (im Berichtsjahr bspw. zu E-Umzug).
Mit dem neu eingetretenen IT-Fachspezialist ist
die Datenschutzstelle auch in der Arbeitsgruppe
IT vertreten, welche u.a. die Ausschreibung für
eine nationale Lösung für elektronische Fussfes-
seln (Electronic Monitoring) begleitete.
Zusammenarbeit der Zentralschweizer
Datenschutzbeauftragten
Bereits 2019 haben die Datenschutzbeauftragten
der Kantone Luzern, Schwyz, Obwalden, Nidwal-
den, Uri und Zug ihre Zusammenarbeit verstärkt.
Ein Austausch und eine Abstimmung ergeben
sich einerseits aufgrund bestehender Konkordate
(Polizei- und Psychiatrie-Konkordat) sowie weite-
rer gemeinsamer Themen (z.B. Krebsregister).
Letztlich ist aber jeweils dem rechtlichen, organi-
satorischen und technischen Hintergrund und
Umfeld des jeweiligen Kantons Rechnung zu tra-
gen (z.B. Aufbewahrung und Archivierung von Pa-
tientendaten).16
7. Personal und Statistik
Personal Statistik
Dank der Ende November 2019 bewilligten 50%- Der Schwerpunkt der Tätigkeit der Datenschutz-
Stelle für einen/eine Mitarbeiter/in ICT konnte stelle liegt wie in den Vorjahren auf der Beratung
die Datenschutzstelle ihre Stellenprozente im und Aufsicht. Dabei ist eine weitere Zunahme
Berichtsjahr erhöhen. Die Datenschutzstelle (+8 %) in diesem Bereich zu verzeichnen (55,5 %;
verfügt seit 1. März 2020 über 210 Stellenpro- 2019: 47,5 %). Die Beratung und Aufsicht der
zente, verteilt auf die Datenschutzbeauftragte kantonalen Verwaltung ist auf 43 % gestiegen
(80 %), ihre Stellvertreterin (80 %) und den neu- (2019: 34,5 %); auf gleichem Niveau bewegen
en Mitarbeiter ICT (50 %). sich Beratung und Aufsicht der Gemeinden (11,5 %;
2019: 10 %) sowie die Beratung von Privaten (2 %;
2019: 3 %).
Demgegenüber ist der Aufwand in der Gesetzge-
bung im Berichtsjahr stark gesunken (auf 12 %;
2019: 27 %). Dies ist u.a. darin begründet, dass
der Gesetzgebungsprozess zur Revision des Da-
tenschutzgesetzes (DSG) und der Datensicher-
heitsverordnung (DSV) bzw. der Verordnung
über die Informationssicherheit von Personen-
daten (VIP) im Berichtsjahr abgeschlossen wer-
den konnte (siehe Ziff. 2).
Zusammenarbeit mit anderen
Datenschutzbehörden Register der Datensammlungen
0,5 %
Diverses/Interna
3,5 %
8%
Spezialgesetzliche Aufgaben
9%
Beratung und Aufsicht
Schulung und 11,5 % 55,5 %
Öffentlichkeitsarbeit
Gesetzgebung und 12 %
Vernehmlassungen7. Personal und Statistik 17
Die im Berichtsjahr für die spezialgesetzlichen Das «Register der Datensammlungen» wurde
Aufgaben (gemäss Online-Verordnung und Vi- mit dem Inkrafttreten des revidierten Daten-
deoüberwachungsgesetz; siehe Ziff. 3) aufge- schutzgesetzes aufgehoben und wird seit dem
wendeten Ressourcen haben sich im Berichts- 1. September 2020 nicht mehr aktualisiert. Neu
jahr auf dem Niveau des Vorjahres bewegt (9 %; gilt die Verpflichtung, ein Verzeichnis der Be-
2019: 7 %). arbeitungstätigkeiten zu führen und zu veröf-
fentlichen, nur noch für die Justiz- und Strafver-
Für das Berichtsjahr wird kein Aufwand für die folgungs-/Strafvollzugsbehörden. Die Daten-
Kontrolltätigkeit ausgewiesen (da unter 0,5 %). schutzstelle hat die verantwortlichen Organe
Es fand keine Kontrolle statt. Noch ausstehend informiert, dass das Register während einer
ist die Nachkontrolle des Audits der Printing- Übergangsfrist noch aufgeschaltet bleibt, damit
Lösung aus dem Vorjahr. die Informationen von den verantwortlichen Or-
ganen allenfalls noch übernommen werden kön-
Der Aufwand im Bereich Schulung und Öffent- nen. Anschliessend wird das Register auf der
lichkeitsarbeit ist im Vergleich zum Vorjahr ge- Website der Datenschutzstelle abgeschaltet. Für
stiegen (+7.5 %) und bewegt sich damit wieder die Datenschutzstelle werden mit dem Wegfall
auf dem Niveau von 2018 (11 %). Ins Berichtsjahr der Registerführung Ressourcen frei, wenn auch
fielen neben der Erstellung des Tätigkeitsbe- in sehr geringem Masse.
richts auch die Erstellung zusätzlicher Informa-
tionen und verschiedener Hilfsmittel sowie die
(teilweise) Überarbeitung der Website.
Die unter Diverses/Interna verbuchten Aufwen-
dungen sind leicht gesunken (8 %, 2019: 10 %). Da-
runter fallen alle internen Arbeiten, die nicht den
anderen Aufgaben zugeordnet werden können:
Budget/Rechnungswesen, Personal, Aufwendun-
gen für Administratives, eigene Weiterbildung,
Archivierung usw.18
© 2021 Kanton Zug Herausgeberin Gestaltung Datenschutzbeauftragte des Kantons Zug Christen Visuelle Kommunikation, Zug Regierungsgebäude am Postplatz Postfach Bezug 6301 Zug Der Tätigkeitsbericht 2020 ist online unter T 041 728 31 87 www.datenschutz-zug.ch abrufbar.
Sie können auch lesen
