Umsetzung Schengen/Dublin in den Kantonen: Datenschutz Wegleitung
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Dr. Beat Rudin
Advokat, Lehrbeauftragter an der Universität Basel
Umsetzung Schengen/Dublin in den Kantonen: Datenschutz
Wegleitung
erstellt im Auftrag der Konferenz der Kantonsregierungen
Amthausgasse 3, Postfach 444, 3000 Bern 7
Basel, 15. März 2006
Dr. Beat Rudin
28a
Advokat, Lehrbeauftragter an der Universität Basel
c/o Stiftung für Datenschutz und Informationssicherheit
Kirschgartenstrasse 7, Postfach, CH-4010 Basel
Tel. +41 (61) 270 1770, Fax +41 (61) 270 1771
e-Mail beat.rudin@privacy-security.ch oder beat.rudin@unibas.chUmsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 2 / 24
Umsetzung Schengen/Dublin in den Kantonen: Datenschutz
Wegleitung
Übersicht
Teil 1 Checkliste (6 Seiten) S. 4
Teil 2 Erläuterungen zur Checkliste (13 Seiten) S. 10
Teil 3 Anhang zu den Erläuterungen der Checkliste (betreffend Gewährleistung der völligen Unabhängigkeit des S. 23
Datenschutz-Kontrollorgans: institutionell und personell) (2 Seiten)
Abkürzungen und Links
DSG Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG), SR 235 1
http://www.admin.ch/ch/d/sr/c235_1.html
revidiertes DSG Revision des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG)
Botschaft vom 19. Februar 2003, in; BBl 2003 2101 ff.
http://www.admin.ch/ch/d/ff/2003/2101.pdf
Stand der parlamentarischen Beratung am 15. März 2006:
Nationalrat: Beratung vom 6. Oktober 2005, AB 2005 N 1436 ff.,
http://www.parlament.ch/ab/frameset/d/n/4709/208233/d_n_4709_208233_208237.htm
Ständerat: Beratung vom 14. Dezember 2005, AB 2005 S 1152 ff.
http://www.parlament.ch/ab/frameset/d/s/4710/213068/d_s_4710_213068_213203.htm
Nationalrat: Beratung (Differenzbereinigung) vom 9. März 2006, AB 2006 N ff. [noch nicht formatiert]:
http://www.parlament.ch/ab/frameset/d/n/4711/216273/d_n_4711_216273_216365.htm
ER-Konv 108 Übereinkommen (des Europarates) vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung perso-
nenbezogener Daten (SEV Nr. 108) (Europarats-Konvention 108), SR 0.235.1
http://www.admin.ch/ch/d/sr/c0_235_1.html
http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=108&CM=8&DF=23/02/2006&CL=GER
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 3 / 24
ZP zur ER-Konv 108 Zusatzprotokoll (des Europarates) vom 8. November 2001 zum Übereinkommen (des Europarates vom 28. Januar 1981) zum
Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SEV Nr. 108) bezüglich Aufsichtsbehör-
den und grenzüberschreitende Datenübermittlung (SEV Nr. 181) (Zusatzprotokoll zur Europarats-Konvention 108), abgedruckt in:
BBl 2003 2167 ff.
http://www.admin.ch/ch/d/ff/2003/2167.pdf
http://www.conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=181&CM=8&DF=09/12/2005&CL=GER
EU-DSRL Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EU-Datenschutzrichtlinie), Amtsblatt Nr. L 281 vom
23/11/1995 S. 0031-0050
http://europa.eu.int/eur-lex/lex/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:DE:HTML
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 4 / 24
Umsetzung Schengen/Dublin in den Kantonen: Datenschutz
Wegleitung: Checkliste
Erläute-
Thema Umschreibung erfüllt/nicht erfüllt Handlungsbedarf
rungen
1 Rechtsform: Gesetz
1 Rechtsform Besteht im Kanton eine (formell-)gesetzliche Regelung zum erfüllt 1
Datenschutz? nicht erfüllt gesetzliche Regelung schaffen,
welche die folgenden inhaltlichen
Anforderungen (Ziff. 2-7) erfüllt
2 Geltungsbereich des Gesetzes
2.1 Geltungsbereich Gilt diese gesetzliche Regelung für alle Datenbearbeitungen erfüllt (= Geltungsbereich so um- 2.1
durch kantonale und kommunale Organe mit höchstens den schrieben sowie Ziff. 2.2–2.5 alle er-
folgenden Ausnahmen (Ziff. 2.2-2.5): füllt und keine weiteren Ausnahmen
vorgesehen)
nicht erfüllt (= Geltungsbereich nicht Geltungsbereich entsprechend
so umschrieben oder nicht alle regeln
Ziff. 2.2–2.5 erfüllt oder weiteren
Ausnahmen vorgesehen)
2.2 Ausnahmen vom Gel- Ausnahme für privatrechtlich handelnde öffentliche Organe erfüllt (= Ausnahme nicht weiter 2.2
tungsbereich gehend umschrieben)
nicht erfüllt (= Ausnahme weiter Ausnahme beschränken
gehend umschrieben)
2.3 Ausnahme für hängige Verfahren der Zivil- und Strafrechts- erfüllt (= Ausnahme nicht weiter 2.3
pflege gehend umschrieben)
nicht erfüllt (= Ausnahme weiter Ausnahme beschränken
gehend umschrieben)
2.4 Ausnahme für hängige Verfahren der Verfassungs- und erfüllt (= Ausnahme nicht weiter 2.4
Verwaltungsgerichtsbarkeit (nicht aber: in erstinstanzlichen gehend umschrieben)
Verwaltungsverfahren und verwaltungsinternen Rekursver- nicht erfüllt (= Ausnahme weiter Ausnahme beschränken
fahren) gehend umschrieben)
2.5 Ausnahme für höchstpersönliche Arbeitsmittel (Agenda, erfüllt (= Ausnahme nicht weiterge- 2.5
Kontakte) hend umschrieben)
nicht erfüllt (= Ausnahme weiter Ausnahme beschränken
gehend umschrieben)
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 5 / 24
Erläute-
Thema Umschreibung erfüllt/nicht erfüllt Handlungsbedarf
rungen
3 Grundsätze des Bearbeitens
3.1 Rechtmässigkeit Ist im Gesetz festgelegt, dass jedes Bearbeiten von Perso- erfüllt 3.1
nendaten rechtmässig sein muss? nicht erfüllt einfügen ins Gesetz
3.2 Treu und Glauben Ist im Gesetz festgelegt, dass jedes Bearbeiten von Perso- erfüllt 3.2
nendaten nach Treu und Glauben zu erfolgen hat? nicht erfüllt einfügen ins Gesetz
3.3 Zweckbindung Ist im Gesetz festgelegt, dass bei jedem Bearbeiten von erfüllt 3.3
Personendaten die Zweckbindung beachtet werden muss? nicht erfüllt einfügen ins Gesetz
3.4 Verhältnismässigkeit Ist im Gesetz festgelegt, dass jedes Bearbeiten von Perso- erfüllt 3.4
nendaten verhältnismässig sein muss? (inkl. zeitliche Be- nicht erfüllt einfügen ins Gesetz
grenzung der Aufbewahrung)
3.5 Richtigkeit (und Voll- Ist im Gesetz festgelegt, dass die Personendaten richtig erfüllt 3.5
ständigkeit) (und, soweit es der Zweck des Bearbeitens verlangt, voll- nicht erfüllt einfügen ins Gesetz
ständig) sein müssen?
3.6 Datensicherheit (Infor- Ist im Gesetz festgelegt, dass Personendaten durch techni- erfüllt Detailregelung auf Verordnungs- 3.6
mationssicherheit) sche und organisatorische Massnahmen gegen unbefugtes stufe
Bearbeiten zu schützen sind? nicht erfüllt einfügen ins Gesetz sowie Detail-
regelung auf Verordnungsstufe
3.7 Geeigneter Schutz für Ist im Gesetz festgelegt, dass für besonders schützenswerte erfüllt 3.7
besonders schützens- (besondere, sensitive) Personendaten ein geeigneter nicht erfüllt prüfen, auf welche Art der be-
werte Daten Schutz gewährleistet ist? sondere Schutz gewährleistet
werden soll
(Begriffsbestimmung) Voraussetzung: Ist im Gesetz der Begriff der besonders erfüllt
schützenswerten (besonderen, sensitiven) Daten definiert? nicht erfüllt Begriffsdefinition ins Gesetz
aufnehmen
4 Rechte der betroffenen Personen
4.1 Transparenz über Da- Ist im Gesetz für Transparenz über Datenbearbeitungen/ erfüllt evtl. Detailregelung auf Verord- 4.1
tenbearbeitungen/ Datensammlungen gesorgt im Sinne der in den Erläuterun- nungsstufe
Datensammlungen gen beschriebenen Varianten? nicht erfüllt eine der Varianten einfügen ins
Gesetz
4.2 Recht auf Auskunft, ob Ist im Gesetz festgelegt, dass jede Person das Recht hat, erfüllt evtl. Detailregelung auf Verord- 4.2
und welche Daten über Auskunft zu erhalten, ob und wenn ja, welche Daten über nungsstufe (z.B. Identifizierungs-
einen bearbeitet wer- sie von einem öffentlichen Organ in einer bestimmten Da- pflicht der gesuchstellenden Per-
den tensammlung bearbeitet werden? son)
nicht erfüllt einfügen ins Gesetz
4.3 (Kosten) Ist im Gesetz festgelegt, dass die Auskunft kostenlos (min- erfüllt evtl. Detailregelung auf Verord- 4.3
destens bei Vollzug von Bundesrecht), mindestens aber nungsstufe (z.B. Ausnahmen von
ohne «übermässige Kosten» (also nicht bei normalem der Kostenlosigkeit, falls im Ge-
Aufwand wie für das Hervorsuchen des Dossiers, einfaches setz vorbehalten)
Kopieren usw.) zu erteilen ist? nicht erfüllt einfügen ins Gesetz
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 6 / 24
Erläute-
Thema Umschreibung erfüllt/nicht erfüllt Handlungsbedarf
rungen
4.4 Ausnahmen vom Recht Ist im Gesetz festgelegt, dass die Auskunft höchstens ein- erfüllt (= keine weiter gehenden 4.4
auf Auskunft geschränkt (verweigert, eingeschränkt oder aufgeschoben) Ausnahmen vorgesehen)
werden darf, wenn es ein Gesetz vorsieht oder wenn es nicht erfüllt (= weiter gehende Aus- Ausnahmen beschränken
erforderlich ist zum Schutz überwiegender öffentlicher nahmen vorgesehen)
Interessen, zum Schutz überwiegender privater Interessen
Dritter oder zum Schutz der betroffenen Person?
4.5 Anspruch auf Berichti- Ist im Gesetz festgelegt, dass die betroffenen Person ver- erfüllt 4.5
gung unrichtiger Daten langen kann, dass unrichtige Daten berichtigt werden? nicht erfüllt einfügen ins Gesetz
(Beweislast) Ist im Gesetz festgelegt, dass das öffentliche Organ die erfüllt
Beweislast für die Richtigkeit der Daten zu tragen hat? nicht erfüllt einfügen ins Gesetz
(Unmöglichkeit des Ist im Gesetz festgelegt, dass dort, wo von der Natur der erfüllt
Beweises) Daten her (z.B. bei Werturteilen) weder die Richtigkeit noch nicht erfüllt einfügen ins Gesetz
die Unrichtigkeit beweisen werden können, die betroffene
Person die Aufnahme eines Bestreitungsvermerkes (einer
Gegendarstellung) verlangen kann?
4.6 Anspruch auf Unerlas- Ist im Gesetz festgelegt, dass die betroffene Person bei erfüllt 4.6
sung, Beseitigung und Vorliegen eines schutzwürdigen Interesses vom verantwort- nicht erfüllt einfügen ins Gesetz
Feststellung lichen Organ die Unterlassung einer widerrechtlichen Da-
tenbearbeitung (z.B. durch Löschung, Sperre der Bekannt-
gabe), die Beseitigung der Folgen einer widerrechtlichen
Bearbeitung (z.B. durch Mitteilung an Datenempfänger,
Veröffentlichung, Schadenersatz, Genugtuung) und die
Feststellung der Widerrechtlichkeit einer Bearbeitung ver-
langen kann?
4.7 Anspruch auf Sperrung Ist im Gesetz festgelegt, dass die betroffene Person, die ein erfüllt 4.7 und 4.8
schutzwürdiges Interesse glaubhaft macht, vom verantwort- nicht erfüllt einfügen ins Gesetz
lichen Organ) verlangen kann, dass sie (es) die Bekanntga-
be von bestimmten Personendaten sperrt?
5 Spezielle Regelungen
5.1 Automatisierte Einzel- (Ist im Gesetz eine Informationspflicht bei automatisierten (Differenzbereinigung abwarten) 5.1
entscheidungen Einzelentscheidungen im Sinne des Art. 7b des revidierten
DSG [ist noch Gegenstand der parlamentarischen Diffe-
renzbereinigung] festgelegt?)
5.2 Vorabkontrolle Ist im Gesetz festgelegt, dass für Bearbeitungen von Perso- erfüllt 5.2
nendaten, die (aufgrund der Art der Bearbeitung oder der zu nicht erfüllt einfügen ins Gesetz
bearbeitenden Daten) besondere Risiken für die Rechte und
Freiheit der betroffenen Personen mit sich bringen können,
vor ihrem Beginn durch das Kontrollorgan geprüft werden
müssen?
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 7 / 24
Erläute-
Thema Umschreibung erfüllt/nicht erfüllt Handlungsbedarf
rungen
5.3 Regeln für das Bearbei- Ist im Gesetz festgehalten, dass die Personendaten nur zu erfüllt 5.3
ten von Personendaten nicht personenbezogenen Zwecken (Statistik, Planung,
nicht erfüllt einfügen ins Gesetz
zu nicht personenbe- Forschung) bearbeitet werden dürfen, wenn sichergestellt
zogenen Zwecken ist, dass sie anonymisiert werden, sobald es der Zweck des
Bearbeitens zulässt, und die Resultate nur so veröffentlicht
werden, dass es unmöglich ist, auf die betroffenen Perso-
nen zurück zu schliessen?
5.4 Register der Datenbe- Ist im Gesetz festgelegt, dass alle Datensammlungen der erfüllt evtl. Detailregelung auf Verord- 5.4
arbeitungen / Daten- öffentlichen Organe in einem zentralen öffentlichen Register nungsstufe
sammlungen oder in einem von mehreren dezentralen öffentlichen Regis- nicht erfüllt einfügen ins Gesetz
tern angemeldet werden müssen (samt Angaben minimal
über die Rechtsgrundlage, den Zweck und die Mittel der
Bearbeitung, die Art und Herkunft der bearbeiteten Perso-
nendaten sowie die an der Datensammlung beteiligten
Stellen und die regelmässigen Datenempfänger)?
5.5 Grenzüberschreitender Ist im Gesetz festgeschrieben, dass eine Datenbekanntgabe erfüllt 5.5
Datenverkehr ins Ausland nur unter den Voraussetzungen, wie sie Art. 2
nicht erfüllt einfügen ins Gesetz
ZP zur ER-Konv 108 (und Art. 6 des revidierten DSG) um-
schreibt, zulässig ist?
6 Rechtsbehelfe, Haftung, Sanktionen
6.1 Rechtsbehelfe Ist in einem Gesetz festgelegt, dass die von einer Bearbei- erfüllt 6.1
(Rechtsweggarantie) tung von Personendaten betroffenen Personen bei einer nicht erfüllt entsprechende gesetzliche Re-
dadurch erfolgenden Verletzung ihrer Rechte mit einem gelung schaffen
Rechtsmittel an eine gerichtliche Instanz gelangen können?
6.2 Haftung Ist in einem Gesetz festgelegt, dass jede Person, der wegen erfüllt 6.2
einer widerrechtlichen Bearbeitung ihrer Personendaten ein nicht erfüllt einfügen ins Gesetz
Schaden entsteht, Anspruch auf Schadenersatz hat?
6.3 Sanktionen Sind im Gesetz Sanktionen festgelegt, die bei Verstössen erfüllt 6.3
gegen das Datenschutzgesetz anzuwenden sind? nicht erfüllt entsprechende Sanktionen in ein
Gesetz einfügen
7 Kontrollorgan
7.1 Kontrollorgan (Daten- Ist im Gesetz festgelegt, dass ein Kontrollorgan (mit den erfüllt 7.1
schutzbeauftragte(r)) Aufgaben nach Ziff. 7.2, den Befugnissen nach Ziff. 7.3, den nicht erfüllt einfügen ins Gesetz
Pflichten nach Ziff. 7.4, einer Sicherstellung der Unabhän-
gigkeit nach Ziff. 7.5-7.6 und der Wirksamkeit der Kontrolle
nach Ziff. 7.7) zu schaffen ist?
7.2 Aufgaben Ist im Gesetz festgelegt, dass das Kontrollorgan (der/die erfüllt (= wenn alle Ziff. 7.2a-7.2c 7.2
Datenschutzbeauftragte) mindestens die folgenden Aufga- erfüllt sind)
ben zu erfüllen hat: nicht erfüllt (= wenn nicht alle fehlende Aufgabe(n) ins Gesetz
Ziff. 7.2a-7.2c erfüllt sind) einfügen
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 8 / 24
Erläute-
Thema Umschreibung erfüllt/nicht erfüllt Handlungsbedarf
rungen
7.2a (Kontrolle) Kontrolle erfüllt 7.2a
nicht erfüllt ins Gesetz einfügen
7.2b (Beratung) Beratung (insb. in der Rechtsetzung) erfüllt 7.2b
nicht erfüllt ins Gesetz einfügen
7.2c (evtl. weitere) Evtl. weitere Aufgaben, z.B. Vermittlung zwischen betroffe- erfüllt (= wenn keine oder mindestens 7.2c
nen Personen und öffentlichen Organen, aber keine, welche keine die Unabhängigkeit gefährden-
zu einer Gefährdung der Unabhängigkeit der Kontrolle de weiteren Aufträge erteilt werden)
führen können nicht erfüllt (= wenn die Unabhängig- die Unabhängigkeit gefährdende
keit gefährdende weitere Aufträge er- weitere Aufträge aus dem Gesetz
teilt werden) streichen
7.3 Befugnisse Ist im Gesetz festgelegt, dass das Kontrollorgan (der/die erfüllt (= wenn alle Ziff. 7.3a-7.3c 7.3
Datenschutzbeauftragte) mindestens die folgenden Befug- erfüllt sind)
nisse besitzt: nicht erfüllt (= wenn nicht alle fehlende Befugnis(se) ins Gesetz
Ziff. 7.3a-7.3c erfüllt sind) einfügen
7.3a (Untersuchung) Umfassende Untersuchungsbefugnisse: die Befugnis, un- erfüllt 7.3a
geachtet allfälliger Geheimhaltungspflichten Ermittlungen
durchzuführen, alle für die Erfüllung des Kontrollauftrages
erforderlichen Informationen über Datenbearbeitungen
nicht erfüllt ins Gesetz einfügen
einzuholen, Einsicht in alle Unterlagen zu nehmen, Besich-
tigungen durchzuführen und sich Bearbeitungen vorführen
zu lassen
7.3b (Einwirkung) Wirksame Einwirkungsbefugnisse: wie die Befugnis zur erfüllt 7.3b
Vorabkontrolle (oben Ziffer 5.2) inkl. zur geeigneten Veröf- nicht erfüllt ins Gesetz einfügen
fentlichung der Stellungnahmen, zur Anordnung der Sper-
rung, Löschung oder Vernichtung von Daten oder des vor-
läufigen oder endgültigen Verbots einer Datenbearbeitung,
zur Verwarnung oder Ermahnung der Verantwortlichen oder
die Befassung des Parlaments oder anderer politischen
Institutionen
7.3c (Klage, Anzeige) Klage-/Anzeigebefugnis: das Recht, bei gerichtlichen In- erfüllt 7.3c
stanzen Klage zu erheben oder eine Anzeige einzureichen nicht erfüllt ins Gesetz einfügen
bei Verstössen gegen das Datenschutzgesetz
7.4 Pflichten Sind im Gesetz die folgenden Pflichten des Kontrollorgans erfüllt (= wenn alle Ziff. 7.4a-7.4d 7.4
(des/der Datenschutzbeauftragten) ausdrücklich festgelegt? erfüllt sind)
nicht erfüllt (= wenn nicht alle fehlende Pflicht(en) ins Gesetz
Ziff. 7.4a-7.4d erfüllt sind) einfügen
7.4a (Behandlung von Einga- Behandlung von Eingaben: die Pflicht, Beschwerden von erfüllt 7.4a
ben) Personen in Bezug auf den Schutz ihrer Rechte und grund- nicht erfüllt ins Gesetz einfügen
legenden Freiheiten hinsichtlich der Bearbeitung von Perso-
nendaten anzuhören und zu behandeln
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 9 / 24
Erläute-
Thema Umschreibung erfüllt/nicht erfüllt Handlungsbedarf
rungen
7.4b (Amtshilfe) Amtshilfe: Pflicht, zur Erfüllung ihrer Kontrollaufgaben mit erfüllt 7.4b
den Kontrollorganen (Datenschutzbeauftragten) der ande- nicht erfüllt ins Gesetz einfügen
ren Kantone, des Bundes und des Auslandes zusammen-
zuarbeiten
7.4c (Geheimhaltungspflicht) Berufsgeheimnis: die Pflicht, dieselben Geheimhaltungsbe- erfüllt 7.4c
stimmungen einzuhalten wie die öffentlichen Organe, wel- nicht erfüllt ins Gesetz einfügen
che Personendaten bearbeiten, und zwar auch über die
Beendigung der Funktion hinaus
7.4d (Berichterstattung) Berichterstattung: die Pflicht, einerseits dem Wahlorgan erfüllt 7.4d
gegenüber Rechenschaft abzulegen über die Tätigkeit, das nicht erfüllt ins Gesetz einfügen
finanzielle Gebaren usw., und anderseits das Wahlorgan
und die Öffentlichkeit periodisch über die Resultate der
(Kontroll-)Tätigkeit zu informieren, also über wichtige Fest-
stellungen und Beurteilungen sowie über die Wirkung der
Datenschutzbestimmungen (Erfolge und Defizite im Daten-
schutzbereich).
7.5 Sicherstellung der Ist im Gesetz ausdrücklich festgehalten, dass das Kontroll- erfüllt 7.5
Unabhängigkeit organ ihre Aufgabe in völliger Unabhängigkeit wahrnimmt? nicht erfüllt ins Gesetz einfügen
7.6 (institutionelle Garantien Sind im Gesetz die nötigen institutionellen Garantien dafür erfüllt (= eine der Varianten A-C 7.6
für die völlige Unabhän- vorgesehen, dass das Kontrollorgan (der/die Datenschutz- gemäss Anhang zu den Erläuterun-
gigkeit) beauftragte) seine Kontrollaufgabe in völliger Unabhängig- gen ist umgesetzt)
keit wahrnehmen kann? nicht erfüllt (= keine der Varianten A- eine der Varianten im kantonalen
C gemäss Anhang zu den Erläute- recht umsetzen
rungen ist umgesetzt)
7.7 Sicherstellung einer Ist durch die Einräumung der erforderlichen Befugnisse im erfüllt 7.7
effektiven Kontrolle Gesetz (oben Ziff. 7.3), durch die Zuteilung der erforderli- nicht erfüllt eine effektive aktive Kontrolle
chen personellen und finanziellen Ressourcen und durch sicherstellen durch Einräumung
die Voraussetzung hoher fachlicher Kompetenz des Kon- der erforderlichen Befugnisse,
trollorgans (bzw. seiner Leitung) eine effektive aktive Kon- Zuteilung der erforderlichen Res-
trolle sichergestellt? sourcen und Voraussetzung ho-
her fachlicher Kompetenz
7.8 Anfechtbarkeit von Ist im Gesetz dafür gesorgt, dass Entscheidungen des erfüllt 7.8
Entscheidungen des Kontrollorgans in dem Masse, in dem ihnen verbindliche nicht erfüllt ins Gesetz einfügen
Kontrollorgans Wirkung zukommt, einer gerichtlichen Kontrolle unterworfen
sind?
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 10 / 24
Umsetzung Schengen/Dublin in den Kantonen: Datenschutz
Wegleitung: Erläuterungen zur Checkliste
Thema Rechtsgrundlage Umschreibung Mögliche Lösungen Erfüllt, wenn …
1 Rechtsform: Gesetz
Rechtsform Art. 37 Abs. 1 DSG (beim Voll- Jeder Kanton muss selber für die nötigen Datenschutzre- Datenschutzgesetz, Informations- und … ein kantonales Daten-
zug von Bundesrecht) gelungen sorgen, da dem Bund mangels einer verfas- Datenschutzgesetz, Datenschutz-Kapitel schutzgesetz (Informati-
Art. 4 Ziff. 1 ER-Konv 108 sungsrechtlichen Kompetenz keine Regelungsbefugnis für im Staatsverwaltungsgesetz (das alle ons- und Datenschutzge-
Art. 32 EU-DSRL das Datenbearbeiten durch kantonale und kommunale folgenden inhaltlichen Anforderungen setz o.ä.) oder in einem
Organe zukommt. erfüllt) anderen formellen Gesetz
Aus Gründen der Rechtssicherheit ist eine Regelung auf ein Datenschutz-Kapitel
(formell-)gesetzlicher Stufe erforderlich. existiert, das die inhaltli-
chen Anforderungen
gemäss Ziff. 2-7 erfüllt
2 Geltungsbereich des Gesetzes
2.1 Geltungsbereich Analog Art. 2 Abs. 1 DSG Die gesetzliche Regelung muss für alle Datenbearbeitun- «gilt für jedes Bearbeiten von Personen- … der Geltungsbereich
Art. 3 ER-Konv 108 gen durch kantonale und kommunale Organe gelten mit daten durch (kantonale und kommunale) entsprechend umschrie-
Art. 3 f. EU-DSRL höchstens den folgenden Ausnahmen (Ziff. 2.2-2.5): öffentliche (Organe), unabhängig von den ben ist und keine weiteren
angewandten Mitteln und Verfahren» als die in Ziff. 2.2–2.5
umschriebenen Ausnah-
men vorgesehen sind
(nur automatisierte Art. 3 ER-Konv 108 Es ist unzulässig, den Geltungsbereich auf das automati-
Datenbearbeitun- Erklärung der Schweiz: Art. 2 sierte Bearbeiten von Personendaten einzuschränken, da
gen?) Bst. a des Bundesbeschlusses die Schweiz bei der Ratifizierung der ER-Konv 108 eine
vom 5. Juni 1997 (AS 2002 Erklärung i.S.v. Art. 3 Ziff. 2 Bst. a ER-Konv 108 abgege-
2845, http://www.admin.ch/ch/ ben hat.
d/as/2002/2845.pdf)
2.2 Ausnahmen vom Analog Art. 23 Abs. 1 DSG Es ist zulässig, eine Ausnahme für privatrechtlich han- «keine Anwendung, wenn ein öffentliches … die Ausnahme nicht
Geltungsbereich delnde öffentliche Organe vorzusehen. In einem solchen Organ am wirtschaftlichen Wettbewerb weiter gehend umschrie-
Falle gelangt das Bundesdatenschutzgesetz zur Anwen- teilnimmt und dabei nicht hoheitlich han- ben ist
dung. delt»
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 11 / 24
Thema Rechtsgrundlage Umschreibung Mögliche Lösungen Erfüllt, wenn …
2.3 Analog Art. 2 Abs. 2 Bst. c DSG Es ist zulässig, eine Ausnahme für hängige Verfahren der «keine Anwendung in hängigen Verfahren … die Ausnahme nicht
Zivil- und Strafrechtspflege vorzusehen, wenn die dadurch der Zivil- und Strafrechtspflege» weiter gehend umschrie-
zur Anwendung gelangende (Zivil- oder Straf-)Prozessord- ben ist
nung ihrerseits die nötigen Regelungen (insb. zur Beschaf-
fung und Bekanntgabe von Personendaten sowie zu den
Rechten der betroffenen Personen und zur Aufsicht) ent-
hält (siehe z.B. Art. 93 ff. des Entwurfs für eine Schweize-
rische Strafprozessordnung, BBl 2006 1389,
http://www.admin.ch/ch/d/ff/2006/1389.pdf)
2.4 Analog Art. 2 Abs. 2 Bst. c DSG Es ist zulässig, eine Ausnahme für hängige Verfahren der «keine Anwendung in hängigen Verfahren … die Ausnahme nicht
Verfassungs- und Verwaltungsgerichtsbarkeit vorzusehen, der Verfassungs- und Verwaltungsge- weiter gehend umschrie-
wenn die dadurch zur Anwendung gelangende Prozess- richtsbarkeit» ben ist
ordnung die nötigen Regelungen (insb. zur Beschaffung
und Bekanntgabe von Personendaten sowie zu den Rech-
ten der betroffenen Personen und zur Aufsicht) enthält
(vgl. den Hinweis oben Ziff. 2.3). Auf keinen Fall kann das
erstinstanzliche Verwaltungsverfahren aus dem Geltungs-
bereich ausgenommen werden; auch das verwaltungsin-
ternen Rekursverfahren (Rekursinstanz Department/
Direktion oder Exekutive) rechtfertigt eine Ausnahme nicht.
2.5 Analog Art. 2 Abs. 2 Bst. a DSG Es ist zulässig, eine Ausnahme für höchstpersönliche «keine Anwendung, wenn eine Person … die Ausnahme nicht
Art. 3 Abs. 2 Spiegelstrich 2 Arbeitsmittel (Agenda, Kontakte) vorzusehen. Ein persön- Personendaten bearbeitet, um aus- weiter gehend umschrie-
EU-DSRL) liches Arbeitsmittel ist es aber nicht, wenn die Stellvertre- schliesslich für sich selbst über ein per- ben ist
terin, der Nachfolger oder die Chefin im Falle der Abwe- sönliches Arbeitsmittel zu verfügen»
senheit oder nach einer Beendigung des Arbeitsverhält-
nisses die Daten verwendet.
3 Grundsätze des Bearbeitens
3.1 Rechtmässigkeit Art. 4 Abs. 1 DSG (via Art. 37 Das Bearbeiten von Personendaten muss rechtmässig z.B. «rechtmässig», «gesetzmässig», … das Erfordernis der
Abs. 1 DSG beim Vollzug von sein. Bezüglich des behördlichen Datenbearbeitens heisst «wenn dafür eine (ausdrückliche) gesetz- Rechtmässigkeit (Ge-
Bundesrecht) das insbesondere, dass Daten nur gestützt auf eine liche Grundlage besteht oder dies zur setzmässigkeit) entspre-
Art. 5 Bst. a ER-Konv 108 Rechtsgrundlage bearbeitet werden dürfen. Eine solche Erfüllung einer gesetzlichen Aufgabe chend im Gesetz festge-
Art. 6 Abs. 1 Bst. a EU-DSRL Rechtsgrundlage kann als ausdrückliche Verpflichtung erforderlich ist» schrieben ist
oder Ermächtigung zu einer bestimmten Datenbearbeitung
vorliegen oder als gesetzliche Aufgabe, zu deren Erfüllung
bestimmte Datenbearbeitungen erforderlich sind.
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 12 / 24
Thema Rechtsgrundlage Umschreibung Mögliche Lösungen Erfüllt, wenn …
3.2 Treu und Glauben Art. 4 Abs. 2 DSG (via Art. 37 Das Bearbeiten von Personendaten muss nach Treu und «hat nach Treu und Glauben zu erfolgen» … das Erfordernis der
Abs. 1 DSG beim Vollzug von Glauben erfolgen. Ausfluss dieses Grundsatzes ist insb. Minimalvariante: «Personendaten sind Bearbeitung nach Treu
Bundesrecht), insb. aber auch das Verbot der verdeckten Datenerhebung. Deshalb ist wenn immer möglich bei der betroffenen und Glauben, mindestens
Art. 4 Abs. 4 des revidierten minimal festzuschreiben, dass Personendaten wenn im- Person zu erheben (beschaffen)» und aber die Pflicht, Perso-
DSG («Die Beschaffung von mer möglich bei der betroffenen Person zu erheben sind «die Erhebung (Beschaffung) von Perso- nendaten bei der betroffe-
Personendaten und insbeson- und dass die Erhebung (Beschaffung) und der Zweck der nendaten und insbesondere der Zweck nen Person zu erheben,
dere der Zweck ihrer Bearbei- Bearbeitung für die betroffene Person erkennbar sein ihrer Bearbeitung müssen muss für die und das Erfordernis der
tung müssen für die betroffene müssen. betroffene Person erkennbar sein» Erkennbarkeit von Erhe-
Person erkennbar sein») bung und Bearbeitungs-
Art. 5 Bst. a ER-Konv 108 zweck im Gesetz festge-
Art. 6 Abs. 1 Bst. a EU-DSRL schrieben sind
3.3 Zweckbindung Art. 4 Abs. 3 DSG (via Art. 37 Die Zweckbindung (oder das Zweckänderungsverbot) ist «Personendaten dürfen nur zu dem … das Erfordernis der
Abs. 1 DSG beim Vollzug von eines der Kernelemente des Datenschutzrechts. Perso- Zweck bearbeitet werden, der bei der Zweckbindung entspre-
Bundesrecht) nendaten dürfen nur zu dem Zweck bearbeitet werden, der Beschaffung angegeben wurde, aus den chend im Gesetz festge-
Art. 5 Bst. b ER-Konv 108 bei der Beschaffung angegeben wurde, aus den Umstän- Umständen ersichtlich oder gesetzlich schrieben ist
Art. 6 Abs. 1 Bst. b EU-DSRL den ersichtlich oder gesetzlich vorgesehen ist, wobei im vorgesehen ist», «dürfen nur für festge-
öffentlich-rechtlichen Bereich die Zweckbestimmung durch legte (eindeutige) und rechtmässige
das Gesetz im Vordergrund steht. Zwecke bearbeitet werden»
3.4 Verhältnismässig- Art. 4 Abs. 2 DSG (via Art. 37 Das Bearbeiten von Personendaten muss – wie jedes «müssen zur Erreichung des Zwecks, zu … das Erfordernis der
keit Abs. 1 DSG beim Vollzug von behördliche Handeln – verhältnismässig sein. Die bear- dem sie bearbeitet werden, geeignet und Verhältnismässigkeit (inkl.
Bundesrecht) beiteten Daten müssen zur Zweckerreichung geeignet erforderlich sein und dürfen nicht länger der zeitlichen Begren-
Art. 5 Bst. c ER-Konv 108 sein; die Datenbearbeitung muss das mildeste Mittel sein, bearbeitet werden, als es zur Zweckerrei- zung) entsprechend im
(«müssen dafür erheblich sein mit welchem der Zweck erreicht werden kann, und Zweck chung erforderlich ist», «dürfen bearbeitet Gesetz festgeschrieben ist
und dürfen nicht darüber hi- (Aufgabe) und Eingriff in die informationelle Selbstbestim- werden, soweit und solange sie für die
nausgehen») und Art. 5 Bst. e mung (Datenbearbeitung) müssen in einem vernünftigen Zweckerreichung geeignet und erforder-
ER-Konv (zeitlich: «nicht länger Verhältnis zueinander stehen (Verhältnismässigkeit i.e.S.). lich sind», «dürfen bearbeitet werden,
identifiziert werden kann, als es Sehr wichtig ist auch die zeitliche Begrenzung der Aufbe- soweit sie für die Zweckerreichung geeig-
die Zwecke […] erfordern» wahrung von Personendaten: Wenn sie zur Aufgabenerfül- net und erforderlich sind, und müssen
Art. 6 Abs. 1 Bst. c EU-DSRL lung nicht mehr erforderlich sind, sind sie – vorbehältlich vernichtet (oder anonymisiert) werden,
(«dafür erheblich sind und nicht gesetzlicher Archivierungsregelungen – zu vernichten sobald sie zur Aufgabenerfüllung nicht
darüber hinausgehen») und (oder zu anonymisieren, so dass kein Rückschluss mehr mehr erforderlich sind»
Art. 6 Abs. 1 Bst. e EU-DSRL auf die betroffene Person möglich ist).
(«nicht länger, als es … erfor-
derlich ist») (zeitlich)
3.5 Richtigkeit (und Art. 5 Abs. 1 DSG (Vergewisse- Personendaten, die von öffentlichen Organen bearbeitet «müssen richtig sein», «müssen richtig … das Erfordernis der
Vollständigkeit) rungspflicht) (via Art. 37 Abs. 1 werden, müssen richtig sein; erstens weil es das Recht auf und, soweit es der Zweck des Bearbei- Richtigkeit (und Vollstän-
DSG beim Vollzug von Bundes- informationelle Selbstbestimmung es gebietet, und zwei- tens verlangt, vollständig sein»; «wer digkeit) in einer der er-
recht) tens, weil die Bearbeitung unrichtiger Daten zur behördli- Personendaten bearbeitet, hat sich über wähnten Formen im Ge-
Art. 5 Bst. d ER-Konv 108 chen Aufgabenerfüllung nicht verhältnismässig sein kann. deren Richtigkeit zu vergewissern» setz festgeschrieben ist
Art. 6 Abs. d EU-DSRL Dementsprechend sollte das Erfordernis der Richtigkeit Minimalvariante: Berichtigungsanspruch
(und Vollständigkeit, soweit es der Bearbeitungszweck der betroffenen Personen (siehe unten
verlangt) im Gesetz verankert sein, entweder als Grund- Ziff. 4.5)
satz der Richtigkeit (und Vollständigkeit) oder als Pflicht
der Datenbearbeiter, sich über die Richtigkeit zu vergewis-
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 13 / 24
Thema Rechtsgrundlage Umschreibung Mögliche Lösungen Erfüllt, wenn …
sern oder minimal als Berichtigungsanspruch der betroffe-
nen Person.
3.6 Datensicherheit Art. 7 DSG (via Art. 37 Abs. 1 Personendaten müssen durch technische und organisato- «müssen durch angemessene technische … das Erfordernis der
(Informationssi- DSG beim Vollzug von Bundes- rische Massnahmen gegen unbefugtes Bearbeiten (gegen und organisatorische Massnahmen gegen Informationssicherheit
cherheit) recht) die zufällige oder unbefugte Zerstörung, gegen zufälligen unbefugte Bearbeiten geschützt werden», entsprechend im Gesetz
Art. 7 ER-Konv 108 Verlust sowie unbefugten Zugang, unbefugte Veränderung «sorgt für ihren Schutz vor Verlust, Ent- festgeschrieben ist
Art. 17 EU-DSRL oder unbefugtes Bekanntgeben) geschützt sein. Besser wendung, unbefugter Bearbeitung und
als der überholte Begriff der Datensicherheit (oder gar der Kenntnisnahme»
Datensicherung) sollte der Begriff Informationssicherheit
verwendet werden.
3.7 Geeigneter Schutz Art. 3 Bst. c DSG i.V. insb. mit Die Bearbeitung von Personendaten, die besonders per- «dürfen nur bearbeitet werden, wenn ein … die Bearbeitung be-
für besonders Art. 17 Abs. 2, 18 Abs. 2, 19 sönlichkeitsnahe sind und ein grosses Stigmatisierungs- (formelles) Gesetz es ausdrücklich vor- sonders schützenswerter
schützenswerte Abs. 1 und 35 DSG (via Art. 37 und Diskriminierungspotenzial besitzen (sog. besonders sieht, wenn es für eine in einem (formel- (sensitiver, besonderer)
Daten Abs. 1 DSG beim Vollzug von schützenswerte, sensitive oder besondere Personenda- len) Gesetz klar umschriebene Aufgabe Personendaten an qualifi-
Bundesrecht) ten), verlangt nach einem qualifizierten Schutz. Üblicher- unentbehrlich ist oder wenn die betroffene zierte Voraussetzungen
Art. 6 ER-Konv 108 («besonde- weise wird eine formell-gesetzliche Grundlage verlangt Person im Einzelfall ausdrücklich einge- geknüpft wird
re Arten von Daten») oder es werden an die Erforderlichkeit zur Erfüllung einer willigt hat oder ihre Daten allgemein
Art. 8 EU-DSRL («besondere Aufgabe höhere Anforderungen gestellt. Wenn – im Ein- zugänglich gemacht hat oder ihre Zu-
Kategorien personenbezogener zelfall – die Einwilligung der betroffenen Person als Recht- stimmung unzweifelhaft vorausgesetzt
Daten») fertigungsgrund dienen soll, muss es sich um einen «in- werden darf»
formed consent» handeln (Zustimmung in Kenntnis der
Sachlage, freiwillig und ohne [offene oder versteckte]
Androhung von Nachteile im Verweigerungsfall).
(Begriffsbestim- Art. 3 Bst. c DSG Voraussetzung für den qualifizierten Schutz besonders «besonders schützenswerte (besondere) … der Begriff der beson-
mung) Art. 6 ER-Konv 108 schützenswerter (sensitiver, besonderer) Daten ist eine Personendaten: 1. die religiösen, weltan- ders schützenswerten
Art. 8 Abs. 1 EU-DSRL Begriffsdefinition. Zu den üblicherweise verwendeten schaulichen, politischen und gewerk- (sensitiven, besonderen)
Begriffselementen siehe schaftlichen Ansichten oder Tätigkeiten; Personendaten überein-
2. die Gesundheit, die Intimsphäre (der stimmend mit den Beg-
persönliche Geheimbereich) oder die riffsbestimmungen des
Rassenzugehörigkeit; 3. Massnahmen übergeordneten Rechts
der sozialen Hilfe; 4. (administrative oder) definiert wird
strafrechtliche Verfolgungen und Sanktio-
nen»
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 14 / 24
Thema Rechtsgrundlage Umschreibung Mögliche Lösungen Erfüllt, wenn …
4 Rechte der betroffenen Personen
4.1 Transparenz über Art. 4 Abs. 4 des revidierten Transparenz bezüglich der Bearbeitung von Personenda- «Jede Person hat das Recht, Auskunft … der Transparenzan-
Datenbearbeitun- DSG (via Art. 37 Abs. 1 DSG ten ist eines der Kernanliegen des Datenschutzrechts. Das über das Vorhandensein einer Daten- spruch in einer der be-
gen/ Datensamm- beim Vollzug von Bundesrecht) Transparenzgebot besteht einerseits aus dem allgemeinen sammlung, ihre Hauptzwecke sowie das schriebenen Lösungen im
lungen Art. 8 Bst. a ER-Konv 108 Recht zu wissen, welche Datenbearbeitungen erfolgen verantwortliche öffentliche Organ zu Gesetz festgeschrieben ist
Art. 10, 11 und 21 EU-DSRL oder welche Datensammlungen bestehen (samt den erhalten»
wichtigsten Angaben dazu: Hauptzwecke, verantwortliches oder
Organ), anderseits aus dem Informationsanspruch der von «Der Inhaber der Datensammlung ist
einer behördlichen Datenbearbeitung betroffenen Person verpflichtet, die betroffene Person über
(bzw. der Informationspflicht des Datenbearbeiters) über die Beschaffung von Personendaten
die sie betreffenden Daten (unten Ziff. 4.2). Als Minimalva- (mindestens: von besonders schützens-
riante erscheint die Erkennbarkeit der von Datenerhebung werten Personendaten oder Persönlich-
und Bearbeitungszweck für die betroffene Person (oben keitsprofilen) zu informieren; diese Infor-
Ziff. 3.2) zusammen mit der Registrierpflicht für Daten- mationspflicht gilt auch dann, wenn die
sammlungen in einem öffentlichen Register (oder in ein Daten bei Dritten beschafft.» (evtl. mit den
Register mit einem ausdrücklichen Einsichtsrecht für jede Ausnahmen gemäss Art. 7a des revidier-
Person) (unten Ziff. 5.4). ten DSG: siehe AB 2005 N 1442 ff., AB
2005 S 1157 ff
Minimalvariante: «Die Erhebung (Be-
schaffung) von Personendaten und ins-
besondere der Zweck ihrer Bearbeitung
müssen für die betroffene Person erkenn-
bar sein»
und
Registrierpflicht für Datensammlungen in
einem öffentlichen Register (unten
Ziff. 5.4)
4.2 Recht auf Aus- Art. 8 DSG (via Art. 37 Abs. 1 Das Recht jeder Person, Auskunft zu erhalten, ob und «Jede Person erhält auf Verlangen in … das Recht auf Auskunft
kunft, ob und DSG beim Vollzug von Bundes- wenn ja, welche Daten über sie von einem öffentlichen allgemein verständlicher Form Auskunft (und Einsicht) entspre-
welche Daten über recht) Organ in einer bestimmten Datensammlung bearbeitet darüber, ob und wenn ja welche Daten chend im Gesetz festge-
einen bearbeitet Art. 8 Bst. b ER-Konv 108 werden, und zwar unabhängig davon, ob das öffentliche über sie in einer bestimmten Datensamm- schrieben ist
werden Art. 12 Abs. a EU-DSRL Organ die Daten selber bearbeitet oder bearbeiten lässt, lung bearbeitet werden. Die Auskunft
ist einer der Kernpunkte des Datenschutzrechts. Es ist der erfolgt in der Regel schriftlich, in Form
Ausgangspunkt für die weiteren Rechte und Ansprüche eines Ausdrucks oder einer Fotokopie.
der betroffenen Person. Zu regeln sind neben dem An- Jede Person erhält auf Verlangen Einsicht
spruch auch bestimmte Modalitäten (Initiierung durch ein in ihre Daten.»
Begehren der betroffenen Person, Form der Auskunftertei-
lung). Es ist – zur Vereinfachung des Verfahrens – zuläs-
sig vorzusehen, dass auf Begehren der betroffenen Per-
son auch direkt Einsicht in die relevanten Daten gewährt
werden kann.
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 15 / 24
Thema Rechtsgrundlage Umschreibung Mögliche Lösungen Erfüllt, wenn …
4.3 (Kosten) Art. 8 Abs. 5 DSG (via Art. 37 Das Recht auf Auskunft (und Einsicht) ist einer der wich- «die Auskunft erfolgt kostenlos» (evtl. … im Gesetz festgehalten
Abs. 1 DSG beim Vollzug von tigsten Ausflüsse des verfassungsrechtlichen Persönlich- Vorbehalt von Ausnahmen) wird, dass die Auskunft
Bundesrecht) keitsschutzes. Es darf nicht durch eine übermässige Kos- kostenlos zu erteilen ist
Art. 8 Bst. b ER-Konv 108 tenbeteiligung der betroffenen Person erschwert oder gar (evtl. mit Ausnahmen,
(«ohne übermässige Kosten») vereitelt werden. Es ist deshalb im Gesetz festzuhalten, wenn etwa das Gesuch
Art. 12 Bst. a EU-DSRL («ohne dass die Auskunft kostenlos (mindestens bei Vollzug von einen besonders grossen
übermässige Kosten») Bundesrecht), mindestens aber ohne «übermässige Kos- Verwaltungsaufwand
ten» (also nicht bei normalem Aufwand wie für das Her- verursacht oder wenn
vorsuchen des Dossiers, einfaches Kopieren usw.) zu innert einer kurzen Frist
erteilen ist. [z.B. innert eines Jahres]
ohne schutzwürdiges
Interesse erneut ein Ge-
such gestellt wird)
4.4 Ausnahmen vom Art. 9 und 10 DSG (via Art. 37 Die Auskunfterteilung (Einsichtgewährung) darf nicht ohne «darf nur eingeschränkt, verweigert oder … die Zulässigkeit der
Recht auf Aus- Abs. 1 DSG beim Vollzug von weiteres eingeschränkt (verweigert, eingeschränkt oder aufgeschoben werden, soweit es wegen Einschränkungen des
kunft Bundesrecht) aufgeschoben) werden. Es ist im Gesetz festzulegen, dass überwiegender öffentlicher Interessen Rechts auf Auskunft (und
Art. 9 Abs. 2 ER-Konv 108 die Auskunft höchstens eingeschränkt werden darf, wenn oder überwiegender Interessen einer Einsicht) nur in den be-
Art. 13 EU-DSRL und soweit es ein Gesetz vorsieht oder wenn es erforder- Drittperson erforderlich ist; kann die Aus- schriebenen engen Gren-
lich ist zum Schutz überwiegender öffentlicher Interessen kunft zu einer schwerwiegenden Belas- zen im Gesetz festge-
(z.B. damit die Strafverfolgung nicht vereitelt wird), zum tung der betroffenen Person führen, so schrieben wird.
Schutz überwiegender privater Interessen Dritter (z.B. zum kann der Inhaber der Datensammlung die
Schutz weiterer betroffener Personen) oder zum Schutz Auskunft einer von der betroffenen Per-
der betroffenen Person. Der letzte Anwendungsfall (zum son bezeichneten Vertrauensperson
Selbstschutz der betroffenen Person) darf nur sehr restrik- erteilen»
tiv vorgesehen werden; allenfalls sind besondere Verfah-
ren vorzusehen, mit welchen dem Schutzbedürfnis ent-
sprochen werden kann, ohne dass die Auskunfterteilung
verweigert wird.
4.5 Anspruch auf Art. 5 Abs. 2 DSG (via Art. 37 Personendaten, die von öffentlichen Organen bearbeitet «jede betroffene Person kann verlangen, … der Berichtigungsan-
Berichtigung Abs. 1 DSG beim Vollzug von werden, müssen richtig sein (siehe vorne Ziff. 3.5). Die dass unrichtige Daten berichtigt werden» spruch der betroffenen
unrichtiger Daten Bundesrecht) betroffene Person hat Anspruch auf die Berichtigung Person entsprechend
Art.8 Bst. c ER-Konv 108 unrichtiger Daten. (inkl. der Regelung der
Art. 12 Abs. a (und Bst. c Nach- Beweislast und der Mög-
bericht) EU-DSRL lichkeit von Bestreitungs-
vermerken bei Werturtei-
len [siehe nächste Felder])
im Gesetz festgeschrie-
ben ist.
(Beweislast) Grundsätzlich trägt das öffentliche Organ die Beweislast «bestreitet das öffentliche Organ die … die Beweislast primär
für die Richtigkeit der Daten, nicht die betroffene Person Unrichtigkeit, so hat es die Richtigkeit zu dem öffentlichen Organ
diejenige für die Unrichtigkeit. Eine Ausnahme kann vor- beweisen» auferlegt wird
gesehen werden für den Fall, dass der Beweis der betrof-
fenen Person ohne weiteres zugemutet werden kann.
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 16 / 24
Thema Rechtsgrundlage Umschreibung Mögliche Lösungen Erfüllt, wenn …
(Werturteile) Unter Umständen kann (z.B. bei Werturteilen) von der «kann aufgrund der Natur der Daten … im Gesetz festgehalten
Natur der Daten her weder die Richtigkeit noch die Unrich- weder die Richtigkeit noch die Unrichtig- ist, dass dort, wo aufgrund
tigkeit bewiesen werden (gemeint ist hier nicht das Schei- keit von Personendaten bewiesen wer- der Natur der Daten we-
tern des Beweises durch das öffentliche Organ, sondern den, insbesondere bei Werturteilen, so der die Richtigkeit noch
die Unmöglichkeit des Beweises aufgrund der Natur der kann die betroffene Person die Aufnahme die Unrichtigkeit bewiesen
Daten). Wenn die betroffene Person die Richtigkeit be- eines Bestreitungsvermerks (einer Ge- werden kann, die betrof-
streitet, ist im Gesetz festzulegen, dass sie verlangen gendarstellung) verlangen» fene Person die Aufnah-
kann, dass ein Bestreitungsvermerk (eine Gegendarstel- me eines Bestreitungs-
lung) aufgenommen wird, so dass er bei jener künftigen vermerks verlangen kann.
Bearbeitung zur Kenntnis genommen wird.
4.6 Anspruch auf Art. 25 Abs. 1-3 DSG (via Werden Daten unrechtmässig bearbeitet, kann die betrof- «jede betroffene Person kann vom ver- … der Anspruch der
Unerlassung, Art. 37 Abs. 1 DSG beim Voll- fene Person verschiedene Ansprüche geltend machen: die antwortlichen Organ verlangen, dass betroffenen Person auf
Beseitigung und zug von Bundesrecht) Unterlassung der widerrechtlichen Datenbearbeitung (z.B. a. ein widerrechtliches Bearbeiten von Unterlassung der wider-
Feststellung Art. 8 Bst. c ER-Konv 108 durch Löschung, Sperre der Bekanntgabe), die Beseiti- Personendaten unterlassen wird, b. die rechtlichen Bearbeitung,
Art. 12 Bst. b EU-DSRL gung der Folgen der widerrechtlichen Bearbeitung (z.B. Folgen eines widerrechtlichen Bearbei- auf Beseitigung der Fol-
durch Mitteilung an Datenempfänger, Veröffentlichung, tens beseitigt werden, c. die Widerrecht- gen einer widerrechtlichen
Schadenersatz, Genugtuung) und die Feststellung der lichkeit einer Bearbeitung festgestellt Bearbeitung und auf
Widerrechtlichkeit der Bearbeitung. Allenfalls kann ein wird» Feststellung der Wider-
Feststellungsanspruch an das Vorliegen eines schutzwür- rechtlichkeit einer Bear-
digen Interesses geknüpft werden; bei den anderen An- beitung im Gesetz fest-
sprüchen muss die Gefahr einer weiteren Bearbeitung gehalten ist.
oder Weiterbearbeitung zur Begründung genügen.
4.7 Anspruch auf Art. 20 DSG (via Art. 37 Abs. 1 Die von behördlicher Datenbearbeitung betroffene Person «die betroffene Person(, die ein schutz- … das Recht auf Sper-
Sperrung DSG beim Vollzug von Bundes- kann vom verantwortlichen Organ verlangen, dass es die würdiges Interesse glaubhaft macht,) rung mit höchstens den
recht) Bekanntgabe von bestimmten Personendaten sperrt. Das kann vom verantwortlichen Organ verlan- erwähnten Durchbre-
Art. 12 Bst. b EU-DSRL (bei Recht ist voraussetzungslos zu gewähren oder darf höchs- gen, dass es die Bekanntgabe von be- chungsmöglichkeiten im
nicht-richtlinienkonformer Bear- tens von der Glaubhaftmachung eines schutzwürdigen stimmten Personendaten sperrt», «die Gesetz festgehalten ist.
beitung) Interesses abhängig gemacht werden. Das Gesetz hat Sperrung darf durchbrochen werden,
auch festzulegen, unter welchen Voraussetzungen die wenn a. ein Gesetz die Bekanntgabe
Sperrung durchbrochen werden darf (z.B. wenn ein Ge- vorschreibt oder b. durch die Sperrung die
setz die Bekanntgabe vorschreibt oder wenn durch die Erfüllung der gesetzlichen Aufgabe des
Sperrung die Erfüllung der gesetzlichen Aufgabe des verantwortlichen Organs verunmöglicht
verantwortlichen Organs verunmöglicht wird). wird»
4.8 Widerspruchs- Art. 14 Abs. 1 Bst. a EU-DSRL Die von einer behördlichen Datenbearbeitung betroffene Sperrrecht (oben Ziff. 4.7) … ein Recht auf Sperrung
recht? Person kann aus überwiegenden, schutzwürdigen, sich (oben Ziff. 4.7) im Gesetz
aus ihrer besonderen Situation ergebenden Gründen festgehalten ist.
Widerspruch gegen eine bestimmte Datenbearbeitung
einlegen, die sich auf die Wahrnehmung öffentlicher Auf-
gaben oder auf berechtigte Interessen stützt, ohne dass
jedoch eine Einwilligung, eine vertragliche Grundlage oder
eine rechtliche Verpflichtung vorliegen oder lebenswichtige
Interessen zur Debatte stehen (Art. 14 Abs. 1 Bst. a i.V.m.
Art. 7 Bst. a-d EU-DSRL). für behördliches Datenbear-
beiten ist nach schweizerischem Verständnis eine gesetz-
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 17 / 24
Thema Rechtsgrundlage Umschreibung Mögliche Lösungen Erfüllt, wenn …
liche Grundlage (mindestens für die Aufgabe, zu deren
Erfüllung Personendaten bearbeitet werden) erforderlich,
so dass ein Widerspruchsrecht in diesem Kontext m.E.
nicht systemkonform erscheint bzw. dort, wo es mögli-
cherweise Sinn macht (bei der Bekanntgabe an Dritte),
durch ein Sperrrecht (oben Ziff. 4.7) die nötige Wirkung
erreicht wird
5 Spezielle Regelungen
5.1 Automatisierte Art. 7b des revidierten DSG (via Art. 7b des revidierten DSG sieht wie Art. 15 EU-DSRL (Resultat der Differenzbereinigung abwar-
Einzelentschei- Art. 37 Abs. 1 DSG beim Voll- bestimmte Rechtsfolgen (eine Informationspflicht) vor, ten)
dungen zug von Bundesrecht) geht aber weniger weit als die EU-DSRL, indem die Zuläs-
Art. 15 EU-DSRL sigkeit solcher automatisierter Bearbeitungen nicht an
Garantien zur Wahrung der berechtigten Interessen der
betroffenen Personen geknüpft werden). Der Art. 7b
revDSG ist aber noch Gegenstand der parlamentarischen
Differenzbereinigung.
5.2 Vorabkontrolle (Art. 31 Abs. 1 Bst. b DSG [via Wenn Bearbeitungen von Personendaten aufgrund der Art «Wenn eine Bearbeitung von Personen- … die Pflicht zur Vorab-
Art. 37 Abs. 1 DSG beim Voll- der Bearbeitung oder der zu bearbeitenden Daten beson- daten (aufgrund der Art der Bearbeitung kontrolle von Datenbear-
zug von Bundesrecht] – aber dere Risiken für die Rechte und Freiheit der betroffenen oder der zu bearbeitenden Daten) geeig- beitungen, welche beson-
nicht gleich verpflichtend wie Personen mit sich bringen können, müssen sie vor ihrem net ist, besondere Risiken für die Rechte dere Risiken für die Rech-
EU-DSRL) Beginn durch das Kontrollorgan mindestens geprüft (evtl. und Freiheit der betroffenen Personen mit te und Freiheit der betrof-
Art. 20 EU-DSRL genehmigt) werden. Kriterien für die Beurteilung der Risi- sich zu bringen, muss diese Bearbeitung fenen Personen mit sich
ken sind etwa die Zahl der erfassten Personen, die Zahl vorab durch das Kontrollorgan geprüft bringen können im Gesetz
der beteiligten öffentlichen Organe, die Sensitivität der (genehmigt) werden.» festgehalten ist
Daten usw. Objekt der Vorabkontrolle können v.a. Projekte
für IT-Systeme, für Datenbanken, Register usw. sein.
5.3 Regeln für das Art. 22 DSG (via Art. 37 Abs. 1 Personendaten können zu nicht personenbezogenen Siehe z.B. § 12 DSG-BL oder § 12 DSG- … im Gesetz sicherge-
Bearbeiten von DSG beim Vollzug von Bundes- Zwecken bearbeitet werden, wenn zwar Daten über be- ZH. stellt ist, dass die Perso-
Personendaten zu recht) stimmte oder bestimmbare Personen bearbeitet werden, nendaten, sobald es der
nicht personenbe- Art. 9 Ziff. 3 ER-Konv 108 aber die Person als solche nicht im Fokus steht, sondern nicht personenbezogene
zogenen Zwecken Art. 6 Abs. 1 Bst. b und e und Statistik, Planung oder Forschung (z.T. auch «wissen- Zweck des Bearbeitens es
Art. 11 Abs. 2 EU-DSRL schaftliche Zwecke» genannt). Es ist zulässig, solche zulässt, anonymisiert
Bearbeitungen zu privilegieren (z.B. vom Vorliegen einer werden und die Resultate
spezifischen gesetzlichen Grundlage für die Bearbeitung nur so veröffentlicht wer-
oder Bekanntgabe zu befreien), wenn sichergestellt wird, den, dass es unmöglich
dass die Daten anonymisiert werden, sobald es der Bear- ist, auf die betroffenen
beitungszweck zulässt und die Ergebnisse so veröffentlicht Personen zurück zu
werden, dass es unmöglich ist, auf die betroffenen Perso- schliessen.
nen zurück zu schliessen. Es ist u.U. sinnvoll, für die
Bekanntgabe von Personendaten an Empfänger ausser-
halb der Verwaltung zusätzliche Auflagen vorzusehen
(Garantien, Weitergabeverbot, Verstärkung mit Konventio-
[Dr. Beat Rudin / 15.03.2006]Umsetzung Schengen/Dublin in den Kantonen: Wegleitung Datenschutz 18 / 24
Thema Rechtsgrundlage Umschreibung Mögliche Lösungen Erfüllt, wenn …
nalstrafe u.ä.)
5.4 Register der Da- Art. 11 DSG bzw. Art. 11a des Die Datensammlungen der öffentlichen Organe müssen in Pflicht der verantwortlichen öffentlichen … alle Datensammlungen
tenbearbeitungen revidierten DSG (via Art. 37 einem öffentlichen Register (oder mehreren öffentlichen Organe oder übergeordneter Organisati- in einem zentralen öffent-
/ Datensammlun- Abs. 1 DSG beim Vollzug von Registern) angemeldet werden (samt Angaben minimal onseinheiten (Direktionen, Departemente) lichen Register oder in
gen Bundesrecht) über die Rechtsgrundlage, den Zweck und die Mittel der oder der Körperschaften (Gemeinden), einem von mehreren
Art. 8 Bst. a ER-Konv 108 Bearbeitung, die Art und Herkunft der bearbeiteten Perso- ein öffentliches Register der in ihrem dezentralen öffentlichen
Art. 18 f. und 21 EU-DSRL nendaten sowie die an der Datensammlung beteiligten Verantwortungsbereich angelegten Da- Registern angemeldet
Stellen und die regelmässigen Datenempfänger). Be- tensammlungen zu führen oder ihre Da- werden müssen.
zweckt wird mit dieser Registrierung erstens eine Transpa- tensammlungen in einem zentralen öffent-
renz für die betroffenen Personen (wo werden welche lichen Register der Datensammlungen
Personendaten bearbeitet) als Grundlage für die Geltend- anzumelden (mitsamt Angaben minimal
machung ihrer Rechte, zweitens ein Bewusstmachen der über die Rechtsgrundlage, den Zweck
bearbeitenden öffentlichen Organe, die sich auf die und die Mittel der Bearbeitung, die Art
Rechtsgrundlage für ihr Datenbearbeiten besinnen müs- und Herkunft der bearbeiteten Personen-
sen, und drittens ist das Register eine Grundlage für die daten sowie die an der Datensammlung
Kontrolltätigkeit des Kontrollorgans. Ausnahmen sind beteiligten Stellen und die regelmässigen
zulässig für Datensammlungen, die a. nur kurzfristig ver- Datenempfänger)
wendet werden, b. rechtmässig veröffentlicht sind, c. nur
Kopien oder Bearbeitungsmittel sind oder d. ausschliess-
lich persönliche Arbeitsmittel sind.
5.5 Grenzüberschrei- Art. 6 des revidierten DSG (via Für den Fall des grenzüberschreitenden Datenverkehrs ist Festschreiben der Voraussetzungen nach … im Gesetz festge-
tender Datenver- Art. 37 Abs. 1 DSG beim Voll- im Gesetz festzuhalten, dass die grenzüberschreitende Art. 2 ZP zur ER-Konv 108 im Gesetz schrieben ist, dass eine
kehr zug von Bundesrecht) Übermittlung von Personendaten an Empfänger, für wel- Datenbekanntgabe ins
Art. 12 ER-Konv 108 und Art. 2 che die ER-Konv 108 nicht gilt, – zusätzlich zu den allge- Ausland nur unter den
ZP zur ER-Konv 108 meinen Bekanntgabevoraussetzungen – nur dann zulässig Voraussetzungen, wie sie
Art. 25 f. EU-DSRL ist, wenn beim Empfänger an adäquates Datenschutzni- Art. 2 ZP zur ER-
veau sichergestellt ist (i.S.v. Art. 2 Ziff. 2 ZP zur ER- Konv 108 umschreibt,
Konv 108). zulässig ist
6 Rechtsbehelfe, Haftung, Sanktionen
6.1 Rechtsbehelfe Art. 8 und 10 ER-Konv 108 Die von einer Bearbeitung ihrer Daten betroffenen Perso- (im Zusammenhang mit den Rechten und … im Resultat erreicht
(Rechtsweggaran- Art. 22 EU-DSRL nen müssen bei einer dadurch erfolgenden Verletzung Ansprüchen der betroffenen Personen wird, dass die betroffene
tie) ihrer Rechte mit einem Rechtsmittel an eine gerichtliche [oben Ziff. 4.2-4.7) «Entspricht ein öffent- Person (allenfalls nach
Instanz gelangen können – allenfalls nach dem verwal- liches Organ einem Begehren aufgrund Ausschöpfung des verwal-
tungsinternen Beschwerdeverfahren. dieses Gesetzes nicht, erlässt es eine tungsinternen Beschwer-
begründete Verfügung» daraus folgen- deweges) mit einem
(zur Anfechtbarkeit von Entscheidungen des Kontrollor- de Anfechtbarkeit aufgrund z.B. des Rechtsmittel an eine
gans siehe unten Ziff. 7.8) Verwaltungsverfahrensgesetzes oder der gerichtliche Instanz ge-
Verwaltungsprozessordnung langen kann.
[Dr. Beat Rudin / 15.03.2006]Sie können auch lesen
