Datenschutz: Darauf müssen Gemeinden achten
Die Gemeinde Dänikon (ZH) sucht nach einem geeigneten Tool zur Datenerhebung für die Beitragszahlungen an ihre Dorfvereine. Sie fragt sich, was sie dabei zu beachten hat, um das Datenschutzrecht einzuhalten. Sieht das neue Datenschutzrecht allenfalls spezifische neue Pflichten vor?
Das Datenschutzrecht enthält wichtige Grundsätze, die immer einzuhalten sind. Die wichtigsten sind die Gesetzmässigkeit, die Verhältnismässigkeit und die Datensicherheit.
Gesetzmässigkeit bedeutet, dass für jede Bearbeitung von Personendaten eine gesetzliche Grundlage bestehen muss. Äussert sich – was oft der Fall ist – das Gesetz oder Gemeindereglement nicht ausdrücklich zum Thema Datenbearbeitung, so muss es doch mindestens eine öffentliche Aufgabe regeln, zu deren Erfüllung die Personendaten bearbeitet werden müssen.
Verhältnismässigkeit heisst, dass nur die notwendigen Angaben erfasst und weiterbearbeitet werden dürfen. Die Gemeinde Dänikon (ZH) beispielsweise benötigt die Personalien einer Ansprechperson pro Verein und die Anzahl der aktiven Mitglieder, aber nicht die Namen oder weitere Angaben der einzelnen Mitglieder. Auch das Gemeindepersonal kann Datenspuren in technischen Protokollen hinterlassen, sogenannte Logs. Kann dort festgestellt werden, wer wann was gemacht hat, sind auch dies Personendaten, die nur gespeichert und ausgewertet werden dürfen, wenn dies für den ordnungsgemässen Betrieb der Software notwendig ist.
Mit Datensicherheit ist schliesslich gemeint, dass dafür gesorgt wird, dass die Daten nicht Unbefugten zugänglich werden (Vertraulichkeit), dass sie nicht verfälscht werden (Integrität) und dass sie auch tatsächlich zur Verfügung stehen, wenn sie benötigt werden (Verfügbarkeit).
Grundsätzlich muss Software, die Gemeinden verwenden, so beschaffen sein, dass sie eine rechtmässige und sichere Bearbeitung der Daten erlaubt. Ist sie mit anderen Systemen oder dem Internet verbunden, müssen geeignete Mechanismen bestehen, damit die Applikation und darin gespeicherte Personendaten nicht von aussen angegriffen werden können. Je sensitiver die Daten sind, desto besser muss auch intern sichergestellt sein, dass nur jene Mitarbeitenden auf die Daten zugreifen können, die sie zur Erfüllung ihrer Aufgaben tatsächlich benötigen (starke Authentifizierung, restriktive Berechtigungen, evtl. sogar Verschlüsselung der Daten). Weil Daten, die nicht mehr benötigt werden, vernichtet werden müssen, muss technisch gewährleistet sein, dass die Software die Daten unwiederbringlich löschen kann. Geschieht dies nach Ablauf der Aufbewahrungsfrist nicht automatisch, muss eine Regelung bestehen, wer in der Verwaltung sich wann um die Vernichtung der Daten kümmert.
Neues Datenschutzgesetz des Bundes?
Am 1. September 2023 ist das neue Datenschutzgesetz des Bundes in Kraft getreten. Es hat keine Auswirkungen auf die Gemeinden. Für die öffentlichen Aufgaben der Gemeinden gilt das jeweilige kantonale Datenschutzgesetz. Die Grundsätze Gesetzmässigkeit, Verhältnismässigkeit und Datensicherheit sind in allen kantonalen Gesetzen verankert. An wen sich Gemeinden mit Fragen zum Datenschutz wenden können, hängt von der kantonalen Gesetzgebung ab: In wenigen Kantonen müssen die Gemeinden eigene Datenschutzbehörden haben (zum Beispiel in Bern). Andernorts ist die kantonale Aufsichtsstelle auch für die Gemeinden zuständig.
Der Digital-Ratgeber
Kaum eine Gemeinde kommt heute ums Thema Digitalisierung herum. Während manche schon weit fortgeschritten sind, stehen andere noch ganz am Anfang. Welche Frage zur Digitalisierung und zu E-Government beschäftigt Ihre Gemeinde? Schreiben Sie uns, und mit etwas Glück wird Ihre Frage in unserer Rubrik aufgenommen und von kompetenten Expertinnen und Experten beantwortet.
Erfassen Sie Ihre Frage direkt hier, oder nehmen Sie Kontakt mit uns auf: info@chgemeinden.ch