Datenschutz: Wann darf man die Türe öffnen?

Datenschutz: Wann darf man die Türe öffnen?

Gefäss: 
Teaserbild-Quelle: wavebreakmedia/Shutterstock
Wann die Türe öffnen?

Das Öffentlichkeitsprinzip fordert ein transparentes staatliches Handeln, mit dem Datenschutz wird hingegen die Geheimhaltung gefördert. Wie man beiden Rechtsparadigmen gleichzeitig gerecht werden kann, war Thema der Digma-Tagung zum Datenschutz. Die gute Nachricht: Es ist möglich.

Datentüre
Quelle: 
wavebreakmedia/Shutterstock

Welche Daten darf eine Gemeinde veröffentlichen? Das Öffentlichkeitsprinzip will die Türe zur Amtsstube öffnen, der Datenschutz will sie lieber schliessen.

Staatliches Handeln kann heute ganz schön kompliziert sein: Einerseits gilt in den meisten Kantonen das Öffentlichkeitsprinzip. Dokumente der öffentlichen Hand sollten, wenn  immer möglich, auch öffentlich zugänglich gemacht werden. Andererseits gilt es, dem Datenschutz gebührend Rechnung zu tragen – schliesslich verfügen staatliche Stellen über sensitive Bürgerdaten. Dieses Spannungsfeld bildete das Tagungsthema der 3. Digma-Tagung zum Datenschutz in Zürich.

«Datenschutz heisst Persönlichkeitsschutz und das Öffentlichkeitsprinzip dient dazu, Transparenz zu schaffen. Das sieht auf den ersten Blick tatsächlich nach Kollision aus», sagt Beat Rudin, Datenschutzbeauftragter des Kantons Basel-Stadt und Präsident von Privatim, der Konferenz der schweizerischen Datenschutzbeauftragten. Wenn man aber den «Meccano» dahinter verstanden habe, seien die beiden Gegensätze sehr wohl miteinander vereinbar. «Das Öffentlichkeitsprinzip will eine transparente Verwaltung, nicht gläserne Bürger», gibt Rudin grundsätzlich Entwarnung.

Das Problem: Sowohl Datenschutz wie auch Öffentlichkeitsprinzip werden in jedem Kanton anders geregelt (siehe auch «Von Kanton zu Kanton verschieden», Kommunalmagazin 4/2017). So gilt etwa im Kanton Luzern das Öffentlichkeitsprinzip nicht, das Parlament war dagegen. In den Kantonen Uri und Graubünden gilt es nur auf Stufe Kanton, aber nicht für Gemeinden. «Generell wird es aber in immer mehr Kantonen zumindest teilweise eingeführt», so Rudin. Die Datenschutzbestimmungen findet man in den jeweiligen kantonalen Datenschutzgesetzen – und die unterscheiden sich beträchtlich.

Oft stellt sich, besonders bei Anfragen von Journalisten, die sich auf das Öffentlichkeitsprinzip berufen, die Frage, wie viel Aufwand man betreiben muss, um die gewünschten Daten liefern zu können. «In den meisten Kantonen betrifft das Öffentlichkeitsprinzip nur Informationen, die auf der Verwaltung auch vorhanden sind. Wenn man diesenicht hat, muss man sie auch nicht auftreiben», sagt Rudin. Oft sei es zielführend, bei den Journalisten genau nachzufragen, was sie denn mit den Daten möchten und dann zu schauen, wie man mit dem vorhandenen Material helfen kann. «Auf stumm stellen ist selten eine gute Idee», warnt Rudin.

Das Öffentlichkeitsprinzip will eine transparente Verwaltung, nicht gläserne Bürger.

Beat Rudin
Beat Rudin, Datenschutzbeauftrager des Kantons Basel-Stadt

Sind Protokolle geheim?

Doch wie verhält es sich mit dem Öffentlichkeitsgesetz in der Praxis? In Steinhausen ZG stellte ein Bürger und Mitglied der Piratenpartei ein Gesuch auf Einsicht in alle Protokolle des Gemeinderats seit 2015. Konkret waren es 42 Sitzungen mit rund 200 Beschlüssen. Der Gemeinderat lehnte das Gesuch ab. Es sei nicht begründet, zu unspezifisch und führe zu einem übermässig hohen Aufwand. Der Gesuchsteller gelangte erst an den Regierungsrat, dann an das Verwaltungsgericht. Beide Instanzen stützten den Entscheid der Gemeinde.

Anders beurteilte das Bundesgericht den Fall: Ein solches Gesuch müsse nicht begründet werden, an das Erfordernis eines hinreichend genau formulierten Gesuches seien keine allzu hohen Anforderungen zu stellen und die Umsetzung des Öffentlichkeitsprinzips sei eine Vollzugsaufgabe der Gemeinde, solange der Geschäftsgang der Behörde dadurch nicht geradezu lahmgelegt werde.

Das Urteil schafft Rechtssicherheit, auch wenn es vielen Gemeinden nicht wirklich gefallen dürfte. Steinhausen musste die Protokolle rausrücken, schwärzte allerdings etliche Passagen ein und hielt einige Beschlüsse zurück. Auch dies gefiel dem Bürger nicht und er wandte sich erneut an den Regierungsrat. Dieser entschied im September, dass die Verweigerung der Einsicht in einzelne Beschlüsse und die Schwärzung ganzer Passagen mindestens so gut begründet sein muss, dass für eine mögliche Beschwerde gegen die Einschränkungen keine Mutmassungen angestellt werden müssen. Der Steinhauser Gemeinderat wird daher noch einmal entscheiden und die Begründung nachliefern müssen.

Outlook-Kalender ist Dokument

Ein fiktives Beispiel zeigt auf, wie weit das Öffentlichkeitsprinzip gehen kann: Ein Einwohner möchte wissen, an welchen Sitzungen mit welchen Personen die Gemeindepräsidentin teilnimmt. Darum verlangt er Einsicht in deren Outlook-Agenda, welche sowohl dienstliche als auch private Einträge enthält. Der Gemeinderat lehnt das Gesuch ab. Begründung: Die Outlook-Agenda sei kein öffentliches Dokument, sondern nur in digitaler Form vorhanden. Zudem sei die Agenda persönlich und enthielte auch schützenswerte Informationen über Drittpersonen, etwa Sitzungsteilnehmer.

Angelehnt an einen Fall aus dem Jahr 2014 wird die Begründung des Gemeinderats einer rechtlichen Überprüfung nicht standhalten. Damals musste die Outlook-Agenda des ehemaligen Rüstungschefs von Armasuisse einem Journalisten ausgehändigt werden. Ob die Daten in analoger oder digitaler Form vorliegen, ist unerheblich für die Frage, ob es sich um ein amtliches Dokument handelt. «Auch Einträge in Gever-Anwendungen oder GIS-Daten können amtliche Dokumente sein», gibt Marco Fey, Abteilungsleiter Recht und IT-Sicherheit beim Datenschutzbeauftragten des Kantons Zürich, zu bedenken.

Solange die Outlook-Agenda hauptsächlich der dienstlichen Tätigkeit und der Amtsleitung diene, ist diese ein amtliches Dokument – nicht zuletzt darum, weil sie auch als Instrument der Zusammenarbeit und als Führungsinstrument dient. «Die Cocktailparty am Samstagabend im Haus des Gemeindeschreibers darf man aber einschwärzen, auch wenn die Gemeindepräsidentin daran teilnahm, solange es ein privater Anlass war», so Fey. Auch Kalendereinträge, welche die freie Meinungs- oder Willensbildung der Verwaltung beeinträchtigen, Beziehungen zu anderen staatlichen Institutionen gefährden, die Privatsphäre Dritter verletzen oder Berufs-, Geschäfts-, oder Fabrikationsgeheimnisse gefährden, dürfen eingeschwärzt werden.

Keine Angst vor der DSGVO

Datenschutz ist kein starres Feld, sondern wird dynamisch weiterentwickelt. Im Frühling 2018 herrschte auch in der Schweiz allgemeiner Aufruhr wegen der neuen EU-Datenschutzgrundverordnung (DSGVO). «Da wird sehr viel Staub aufgewirbelt», sagt Bruno Baeriswyl, Datenschutzbeauftragter des Kantons Zürich. «Der DSGVO können die Schweizer Gemeinden aber relativ gelassen begegnen.»

Viel wichtiger sei die Aktualisierung der Europaratskonvention SEV 108, die auch in der Schweiz eingehalten werden müsse, da ansonsten die EU das Schweizer Datenschutzniveau nicht mehr als gleichwertig akzeptieren werde. Noch hat die Schweiz diese Konvention nicht unterzeichnet, wird es aber sicherlich bald tun. Das bedeutet Revisionsbedarf bei den kantonalen Datenschutzgesetzen, die dann auch für die Gemeinden relevant sind.

Die Konferenz der Kantonsregierungen (KDK) hat einen Leitfaden erarbeitet, der den Anpassungsbedarf für die Kantone benennt. «Weil die Kantone immer nach Bern schauen und sehen, dass es mit dem neuen Datenschutzgesetz auf Bundesebene sehr langsam vorwärts geht, warten viele Kantone noch zu. Was der Bund macht, hat aber für die Kantone in dieser Hinsicht rechtlich keine Relevanz», so Baeriswyl.

Die Gesetze hätten eigentlich bis August 2018 in Kraft gesetzt werden sollen. Doch erst die Kantone Aargau und Bern haben ihre Gesetze angepasst. Der Aargau regulär, Bern mittels Notverordnung. «Aargauer und Berner Gemeinden sind also für die Zukunft auf der sicheren Seite, wenn sie sich an die aktuellen Gesetze halten. Die Hälfte der Kantone hat aber noch gar nichts unternommen, um ihre Gesetze anzupassen.»

Gemeinden können aber laut Baeriswyl schon heute, unabhängig von kantonalen Gesetzen, etwas tun:

  • Verzeichnis der Verarbeitungstätigkeiten (früher: Register der Datensammlung): Eine Übersicht über die Datenverarbeitungen, Prozesse und Abläufe.
  • Datenschutzfolgenabschätzung: Benennung der Risiken einer Datenbearbeitung im Bezug auf die Persönlichkeitsrechte.
  • Nachweis über die Datenschutzkonformität der Prozesse
  • Konzept für den Umgang mit Datenschutzverletzungen: Eine Meldepflicht wird kommen.
  • Informationskonzept: Welche Daten werden wie wann veröffentlicht? Welche sind geheim? Der Bürger muss darüber informiert werden, was mit seinen Daten passiert.
  • Richtlinie für Informatik: Wie kann man datenschutzfreundliche Technologien wie Verschlüsselung einsetzen?
  • Archivierungskonzept: Aufbewahrungsfristen für Personendaten müssen definiert werden, wenn sie nicht schon gesetzlich fixiert sind.

Diese Grundprinzipien müssten früher oder später sowieso umgesetzt werden, so Baeriswyl. Wieso nicht einmal als Gemeinde zur Avantgarde gehören?

Digma-Tagung zum Datenschutz: 2. Durchführung

Wegen grossem Interesse wird die Digma-Tagung zum Datenschutz am 27. Februar 2019 im Berner Kursaal wiederholt.

Autoren

Patrick Aeschlimann
Chefredaktor Kommunalmagazin

Patrick Aeschlimann hat an der Universität Zürich Politikwissenschaft studiert und 2010 abgeschlossen. Seit November 2011 ist er als Redaktor beim Kommunalmagazin tätig, seit August 2016 ist er Chefredaktor. Er interessiert sich besonders für politische Themen, die digitale Transformation aller Lebensbereiche und gesellschaftliche Entwicklungen.