Kanton Basel-Landschaft - Datenschutz BL News

Häufig gestellte Fragen (FAQ) zur datenschutzrechtlichen Kontrolle

> Übersicht Datenschutz || Übersicht News || Stichwortregister

Sie resp. Ihre Organisation (kantonale oder kommunale Stelle, private Organisation mit öffentlichem Leistungsauftrag) haben ein Schreiben der Datenschutzbeauftragten BL erhalten, in welchem eine datenschutzrechtliche Kontrolle angekündigt wird. Möglicherweise stellen sich Ihnen im Zusammenhang mit diesem Schreiben einige Fragen. Einige dieser Fragen haben wir zusammengestellt und hoffen, Ihnen mit den entsprechenden Antworten weiterhelfen zu können.

Darf die Aufsichtsstelle Datenschutz BL bei meiner Organisation eine Kontrolle durchführen?
Die Aufsichtsstelle Datenschutz BL hat den gesetzlichen Auftrag, die Anwendung der Bestimmungen über den Datenschutz zu kontrollieren. Die Kontrolle gehört zu den Kernaufgaben der Aufsichtsstelle (§ 24 lit. a DSG BL). Aus dem Geltungsbereich des Datenschutzgesetzes ergibt sich sodann, dass das Bearbeiten von Personendaten durch Behörden unter den Kontrollbereich der Aufsichtsstelle fällt. Behörden sind alle kantonalen Behörden gemäss Kantonsverfassung und Verwaltungsverfahrensgesetz sowie die Organe der Körperschaften und Anstalten des kantonalen öffentlichen Rechts, die Behörden und die Organe der Einwohner- und Bürgergemeinden gemäss Gemeindegesetz sowie die Organe der Körperschaften und Anstalten des kommunalen öffentlichen Rechts. Ebenfalls unter die Aufsicht fallen Private, soweit sie mit der Erfüllung öffentlicher Aufgaben betraut sind (§§ 1, 2 und 3 DSG BL).

Fällt Ihre Organisation unter eine der vorerwähnten Definitionen und bearbeitet sie Personendaten, so ist die Aufsichtsstelle Datenschutz berechtigt und verpflichtet, eine datenschutzrechtliche Kontrolle durchzuführen.

Bin ich zur Zusammenarbeit mit der Aufsichtsstelle verpflichtet?
Die Behörden sind verpflichtet, die Aufsichtsstelle bei der Erfüllung ihrer Aufgaben zu unterstützen (§ 25 Abs. 2 DSG). Da die Kontrolle der Anwendung der datenschutzrechtlichen Bestimmungen zu den Aufgaben der Aufsichtsstelle gehört, sind Sie als Vertreter der kontrollierten Organisation verpflichtet, die Aufsichtsstelle zu unterstützen.

Wer hat entschieden, dass meine Organisation kontrolliert wird?
Die Aufsichtsstelle Datenschutz kontrolliert nach einem durch sie autonom aufzustellenden Prüfprogramm die Anwendung der datenschutzrechtlichen Bestimmungen (§ 24 lit. a DSG BL).

Aufgrund der gesetzlichen Bestimmung und der Unabhängigkeit der Aufsichtsstelle ergibt sich, dass die Aufsichtsstelle eigenständig bestimmt, welche Organisationen einer Kontrolle unterzogen werden. Sie tut dies, indem sie intern eine Aufstellung der Einheiten vornimmt, die im Laufe eines Jahres kontrolliert werden. Welche Organisation auf die Liste genommen wird, hängt von unterschiedlichen Kriterien (Risiken der Datenbearbeitung, Hinweise, gesetzliche Vorgaben) ab. Die jeweils kontrollierte Organisation wird über die Gründe informiert.

Ich will wissen, wer sonst noch kontrolliert wird. Gibt mir die Aufsichtsstelle Auskunft darüber?
Nein. Für die jeweils kontrollierte Stelle ist es unerheblich, welche weiteren Institutionen einer datenschutzrechtlichen Kontrolle unterzogen werden. Wenn Sie sich über die Kontrolltätigkeit der Aufsichtsstelle informieren wollen, können Sie dies im Tätigkeitsbericht der Aufsichtsstelle tun.

Kann ich mich gegen eine datenschutzrechtliche Kontrolle wehren?
Nein. Da es sich bei der datenschutzrechtlichen Kontrolle um eine vom Gesetzgeber vorgesehen Aufgabe handelt, können Sie sich nicht wehren.

Was nutzt mir eine Kontrolle?
Eine datenschutzkonforme Bearbeitung von Personendaten vermittelt Sicherheit im Umgang mit Personendaten und stärkt das Vertrauen in die Verwaltung. Ein allfälliges Datenleck kann zu einem Imageschaden führen und haftungsrechtliche Fragen nach sich ziehen. Zudem kann anlässlich einer Kontrolle möglicherweise Potential für Vereinfachungen in der Datenbearbeitung und -aufbewahrung aufgezeigt werden.

Der Zeitpunkt der Kontrolle passt mir nicht. Was kann ich tun?
Die Aufsichtsstelle nimmt - soweit es die Erfüllung ihres Auftrages es zulässt - bei der Festlegung der Termine Rücksicht auf Ihre Agenda. Sie spricht die Termine mit Ihnen ab. Im Sinne einer effizienten Durchführung der Kontrolle empfiehlt es sich, eine einmal begonnene Kontrolle zügig durchzuführen. Es macht keinen Sinn, zwischen der Ankündigung der Kontrolle bis zum Vorliegen des Berichtes eine lange Zeitspanne verstreichen zu lassen, sollen doch die am Schluss der Kontrolle allenfalls vorliegenden Empfehlungen einen Konnex zu den anfänglich gemachten Feststellungen haben.

Es empfiehlt sich, bei der Jahresplanung in Betracht zu ziehen, dass auf Ihre Organisation eine datenschutzrechtliche Kontrolle zukommen kann.

Weshalb werden Kontrollaufträge auch an Private vergeben?
Die Aufsichtsstelle verfügt nicht über die personellen Ressourcen um alle geplanten Kontrollen selber durchzuführen. Zudem sind je nach geprüftem Fachbereich spezielle Kenntnisse gefordert, über die die Aufsichtsstelle nicht verfügt. Sie ist daher auf den Beizug von spezialisierten externen Unternehmen angewiesen.

Wer trägt die Kosten einer Kontrolle?
Die Datenschutzbeauftragte stellt im Rahmen der ordentlichen Budgetierung einen Betrag für Aufträge an externe Unternehmen ein. Das Budget wird dem Landrat zur Genehmigung vorgelegt.

Was steht im Zentrum der Kontrolle?
Eine Aufgabe der Aufsichtsstelle ist es, den datenschutzrechtlichen Vorgaben bei der Bearbeitung von Personendaten Achtung zu verschaffen. Darauf konzentriert sich die Kontrolle. Es geht nicht primär darum, einzelne Datenbearbeiter zur Verantwortung zu ziehen sondern darum, dem Schutz des Grundrechtes der informationellen Selbstbestimmung des Einzelnen Nachachtung zu verschaffen.

22. Februar 2011