2000-057_3.htm
Landrat / Parlament || Inhalt der Vorlage 2000-057 vom 29. Februar 2000
Postulat 1996/036 vom 15. Februar 1996 betreffend Abschaffung des Datenschutzbeauftragten
Geschäfte des Landrats || Hinweise und Erklärungen
3. Aufgaben der Aufsicht
Was soll mit der von diesen Kodifizierungen verlangten Aufsicht erreicht werden? Die gesetzlichen Ausgestaltungen zeigen, dass nicht primär nur an eine nachträgliche, sanktionierende Kontrollstelle gedacht wurde - dafür steht auch der verlangte Rechtsschutz zur Verfügung in Form der verwaltungsinternen Aufsichtsanzeige- und Rekursverfahren, der Rechtspflege durch die Gerichtsinstanzen und die parlamentarische Oberaufsicht.
Gedacht wurde bei dieser Aufsicht vielmehr an eine unterstützende, im Vorfeld beratende und vermittelnde Instanz. Sie soll sicherstellen, dass die grundrechtlichen Interessen der Personen, über die Daten bearbeitet werden, im Handeln der datenbearbeitenden Behörden und Privaten thematisiert, vertreten und angemessen beachtet werden, auch wenn die Betroffenen selber nicht oder nicht ständig präsent sind. Das soll einerseits im Zusammenhang mit der konkreten Datenbearbeitung geschehen, anderseits aber auch - schadenverhindernd! - schon dann, wenn es noch nicht um die konkrete Datenbearbeitung geht, also z.B. in allen Phasen der Rechtsetzung. Dem entsprechend geht die Aufsichtsaufgabe (13) in zwei Richtungen: Einerseits Beratung und Information, anderseits Kontrolle und Überwachung (14) .
3.1 Information und Beratung
Information und Beratung richtet sich an die betroffenen Personen, die datenbearbeitenden und die politischen Behörden von Kanton und Gemeinden und an die Öffentlichkeit und betrifft die Rechtsetzung, Rechtsanwendung und Rechtsprechung. Im Einzelnen und mit Beispielen illustriert heisst das bezüglich der Adressaten, der Phasen der Rechtsanwendung und der Form der Unterstützung (weitere Beispiele finden sich im Anhang 1):
- Die betroffenen Personen sind über ihre Rechte, aber auch über die Aufgaben(erfüllung) und die damit einher gehenden Informationsbedürfnisse der Behörden zu informieren und in der Wahrnehmung ihrer Rechte zu beraten. Dem Zweck, das behördliche Datenbearbeiten für die betroffenen Personen transparent zu machen und ihnen die Wahrnehmung ihrer Rechte zu ermöglichen, dient ein Register der Datensammlungen.
Beispiele : Es müssen immer wieder Behörden darauf hingewiesen werden, dass sie den Personen, über die sie Daten bearbeiten, Auskunft über und Einsicht in diese Daten gewähren müssen. Anderseits müssen die betroffenen Personen auch immer wieder darüber aufgeklärt werden, welche Aufgaben beispielsweise Gemeinden, Amtsvormundschaften, Schulpflegen, das Kantonale Fürsorgeamt, die Steuerverwaltung, das Stipendienamt oder die Polizei zu erfüllen haben und welche Daten sie dazu zu Recht bearbeiten. Gerade auch dort, wo betroffene Personen ihren Anspruch auf Berichtigung unrichtiger Daten geltend machen, wenden sie sich häufig für Beratung an den Datenschutzbeauftragten.
So konnte beispielsweise einer Person, die seit der Beendigung ihres Arbeitsverhältnisses bei einer Kirchgemeinde mit dieser im Streit steht, zwar Einsicht in ihre Daten vermittelt werden. Ihre weitergehenden Ansprüche - insbesondere nach "Berichtigung" von Angaben, welche für die Begründung der Vertragsbeendigung entscheidend waren - gingen hingegen weit über persönlichkeitsrechtliche Aspekte hinaus und mussten deshalb auf die entsprechenden gerichtlichen Verfahren verwiesen werden.
Über das Ziel hinausschiessende Aktenbeizüge oder Einholung von Erkundigungen durch eine Fürsorgebehörde konnten vermieden werden; die Behörde konnte aber vor weitergehenden Beschwerden und Verdächtigungen der betroffenen Person in Schutz genommen werden.
- Die Behörden sind in ihrer Aufgabenerfüllung lösungsorientiert zu unterstützen, damit sie die datenschutzgesetzlichen Bestimmungen einhalten und ihre Aufgaben effizient erfüllen können. Dabei nützen theoretische Aussagen wenig, weil die Konfliktfelder häufig gerade in Bereichen von nicht aufeinander abgestimmten Rechtsgrundlagen und bei der Frage nach der Verhältnismässigkeit liegen, weshalb nur die präzise Auseinandersetzung mit Rechtsgrundlagen, Abläufen und Verfahren und die intensive Zusammenarbeit mit allen Beteiligten zu praxistauglichen Lösungen führen kann.
Beispiele : Die Komplexität der Rechtsgrundlagen, Abläufe und Verfahren kommt gut zum Ausdruck am Beispiel der Statistiken der beiden Basel und des Bundes im Bereich des Gesundheitswesens. Es bestehen unterschiedliche Rechtsgrundlagen des Bundesrechts wie auch des basellandschaftlichen und baselstädtischen Rechts; es bestehen unterschiedliche Informationsbedürfnisse nach Daten von unterschiedlicher Sensitivität (sehr sensitive Daten - präzise Diagnoseangaben nach ICD-10 und Behandlungsangaben - für die Medizinische Statistik des Bundesamtes für Statistik, stark individualisierende Angaben für die regionale Spitalstatistik); es besteht im Interesse der Datenqualität faktisch der Bedarf nach Plausibilisierung durch das Statistische Amt und die politische Auflage, dass die Spitäler die Daten nur einmal erfassen sollen. Der Datenschutzbeauftragte musste in der Folge in enger Zusammenarbeit mit dem Statistischen Amt des Kantons Basel-Landschaft und dem Sanitätsdepartement Basel-Stadt ein Datenschutzkonzept mit den nötigen rechtlichen, technischen und organisatorischen Massnahmen entwickeln und die Vereinbarung beider Basel über die Statistiken im Bereich des Gesundheitswesens ausarbeiten, die schliesslich von den Regierungsräten der beiden Kantone abgeschlossen worden ist.
Aus jüngster Zeit mag das Projekt "Häusliche Gewalt" erwähnt werden. Hier geht es darum, die Informationsbedürfnisse der Polizei, der Strafverfolgungsbehörden und allenfalls der Vormundschaftsbehörden abzudecken, damit diese ihre gesetzlichen Aufgaben effizient erfüllen können, ohne dass aus den unterhalb der Schwelle der Strafbarkeit anfallenden Verdachtsdaten neue "Fichen" mit einem erheblichen Persönlichkeitsverletzungspotenzial entstehen.
Verschiedene Amtsstellen (JPMD / Zivilrechtsabteilung 1, Statthalterämter, Motorfahrzeugkontrolle, VBS u.a.) verlangen von der Polizei unterschiedlich ausführliche Leumundsberichte, weil für bestimmte Stellen, Bewilligungen oder staatliche Akte (etwa für Stellen bei der Polizei oder der Armee, Bewilligungen zum Waffenerwerb, Ausstellung von Car-Führerscheinen, Einbürgerung) ein guter Leumund vorausgesetzt oder (etwa in Strafverfahren) der Leumund mitbestimmend ist. In diesem Zusammenhang werden immer mehr offene Fragen sichtbar: Über welche Vorgänge darf die Polizei berichten: Anzeige, Einvernahme, früher erstellte Leumundsberichte, Wissen "vom Hörensagen"? Wen darf die Polizei unter welchen Voraussetzungen - nur mit Zustimmung des Betroffenen? - dazu befragen: Nachbarn, Arbeitgeber(in), behandelnde Ärzt(inn)e(n), Einwohnerkontrolle, Steueramt, Vormundschaftsbehörde, Fürsorgebehörde, Sozialberatungsstellen, Blaues Kreuz? Genügen die Daten aus polizeilichen Dossiers oder aus dem "Informationssystem Polizeidaten", die häufig bloss einen Verdacht dokumentieren, nicht aber den Ausgang des - (jugend-)strafrechtlichen, vormundschaftlichen - Verfahrens? Müsste die Polizei Daten erhalten, die sie für die eigentlichen polizeilichen Aufgaben nicht benötigt, nur damit sie Leumundsberichte ausstellen kann? - Oder müsste das Verfahren zur Leumundsprüfung aufgabenorientiert neu konzipiert werden? Dabei geht es - auch unter datenschutzrechtlichem Blickwinkel - keineswegs darum zu verhindern, dass ein schlechter Leumund zum Ausdruck kommt. Im Gegenteil: Es geht darum, dafür zu sorgen, dass die richtigen Aspekte eines (guten) Leumunds erfragt werden (15) und zwar dort, wo die Antworten auf diese Fragen qualitativ genügend vorhanden sind (16) . Mit anderen Worten: Es geht um Qualitätssicherung. Der ganze Fragenkomplex muss in Zusammenarbeit mit den betroffenen Behörden gelöst werden.
- Die Unterstützung hat in der Phase der Rechtsetzung und der Projektierung (z.B. von Informatikvorhaben) einzusetzen, damit datenschutzverträgliche Lösungen entstehen, die Persönlichkeitsschutzinteressen der betroffenen Personen von Anfang an in die rechtsetzerischen Interessenabwägung einbezogen und darin angemessen berücksichtigt werden.
Beispiele : Beim kantonalen Einführungsgesetz zum Gleichstellungsgesetz des Bundes musste darauf aufmerksam gemacht werden, dass bestimmte gesetzliche Bekanntgabeermächtigungen erforderlich sind, damit später nicht im Anwendungsfall die Beweisführung des staatlichen Arbeitgebers unmöglich oder unzulässig wird.
Beim Polizeigesetz konnte in enger Zusammenarbeit mit dem Staatsarchiv eine Übergangslösung für die Archivierung von Personendaten ausgearbeitet werden, welche den Interessen der (historischen) Forschung und des kollektiven Gedächtnisses ebenso Rechnung trägt wie den Persönlichkeitsschutzinteressen der betroffenen Personen.
Das Staatsarchiv bereitet zur Zeit in intensiver Zusammenarbeit mit dem Datenschutzbeauftragten das - durch eine Motion initiierte - Archivierungsgesetz vor, das zwischen den erwähnten Interessen ausgewogen vermitteln soll.
Im Vernehmlassungsverfahren zur Revision des Volkszählungsgesetzes für das Jahr 2000 konnte eine Formulierung zu den datenschutzrechtlich relevanten Fragestellungen vorgeschlagen werden, welche sowohl den Interessen der Einwohnerkontrollbehörden als auch den der betroffenen Personen gerecht wird.
Bei der Volkszählung 2000 können die Gemeinden einen Grossteil ihrer Aufgaben auf ein privates Dienstleistungszentrum (DLZ) auslagern; es wird damit gerechnet, dass die Daten von rund 80% der Einwohner(innen) der Schweiz durch das DLZ bearbeitet werden. Die Verantwortung bleibt bei den Gemeinden, die Aufsicht bei den Kantonen. Durch die aktive Mitarbeit in der Arbeitsgruppe VZ 2000 der Datenschutzbeauftragten des Bundes und der Kantone konnte dazu beigetragen werden, in Form einer Art "Datenschutz-Revision" eine praktikable Form der interkantonal und mit dem Bund koordinierten Aufsicht über den riesigen Datenbearbeiter zu finden.
- Die Unterstützung muss in der Rechtsanwendung und in der Rechtsprechung erfolgen, damit die datenschutzrechtlichen Bestimmungen - aus dem Datenschutzgesetz oder aus den bereichsspezifischen Datenschutzbestimmungen (wie etwa spezifische Geheimnisbestimmungen, Bekanntgabeermächtigungen und -verpflichtungen o.ä.) - richtig umgesetzt werden und nicht regelmässig gegen aufgabenspezifische Interessen unterliegen.
Beispiele : Die meisten Anfragen - sie stammen zu rund 50-60% von Seiten kantonaler Behörden, zu gegen 30% von kommunalen Behörden und zu 10-20% von Privatpersonen - betreffen die Rechtsanwendung. Eine Palette von behandelten Fragen ist (nach datenschutzrechtlicher Thematik aufgeschlüsselt) im Anhang 1 dargestellt.
- Die Unterstützung erfolgt einerseits durch allgemeine oder behördenspezifisch aufbereitete Information , damit die Behörden für die Persönlichkeitsrechts-Relevanz ihres Handelns und für datenschutzrechtliche Problemstellungen sensibilisiert und über mögliche Lösungsansätze orientiert sind. Insbesondere für die politischen Behörden ist Information auch im Sinne eines Frühwarnsystems für sich abzeichnende persönlichkeitsrechtsbedrohende Entwicklungen oder eines Hinweisens auf datenschutzfreundliche Regelungs- oder Technikeinsatz-Möglichkeiten (sog. PET: privacy enhancing technologies) zu leisten.
Beispiele : Der Information und Sensibilisierung dienen im Rahmen des Weiterbildungsangebotes des Personalamtes durchgeführte "allgemeine" Weiterbildungsveranstaltungen. Auf bestimmte Themenbereiche zugeschnittene Information wird im Rahmen der dienststellen- oder gemeindeinternen Weiterbildung angeboten (in der Vergangenheit etwa für Vormundschafts- und Fürsorgebehörden, kommunale Geschäftsprüfungskommissionen, das Kantonale Laboratorium, das Schulinspektorat, das Statistische Amt, regelmässig für die Polizei, usw.).
Der Information und Sensibilisierung dient aber auch die von den Mitarbeiter(inne)n datenbearbeitender Behörden wegen ihrer Praxisnähe geschätzten Veröffentlichungen von datenschutzkonformen Lösungsansätzen, Mustervorlagen oder Checklisten in "datenschutz.konkret" oder im Intranet/ Internet oder Aktionen wie "Sicher ist sicher", die Informations- und Sensibilisierungsaktion für mehr Sicherheit am PC-Arbeitsplatz.
- Die Unterstützung erfolgt anderseits durch lösungsorientierte, praxisnahe Beratung im konkreten Fall, indem in enger Zusammenarbeit mit den involvierten Behörden datenschutzkonforme Lösungen erarbeitet werden oder - als Spezialfall der Beratung - im Konfliktfall zwischen Behörden und betroffenen Personen vermittelt wird.
Beispiele : Die meisten der im Anhang 1 dargestellten Themen wurden im Rahmen eine Beratung in enger Kooperation mit den involvierten Behörden bearbeitet.
Vermittlung war erforderlich, als ein ehemaliger Beamter in leitender Stellung Adressen aus seiner Amtstätigkeit dazu verwendet hatte, für seine neue Tätigkeit als Selbständigerwerbender zu werben. Zwischen den Privaten, die sich über die Verwendung ihrer Daten beschwert hatten, und der betroffenen Dienststelle konnte vermittelt werden: Der Dienststelle wurde empfohlen, Massnahmen im konkreten Fall und zur Vermeidung der Wiederholung zu treffen; die Privaten sahen von weiteren rechtlichen Schritten ab.
Vermittelt werden musste auch, als ein Vater im Zusammenhang mit einem Verfahren gegen seinen Sohn den Verdacht hegte, dass eine Behörde im Beschwerdeverfahren "schwarze Stellungnahmen" mit verleumderischem Inhalt abgegeben habe. Der Verdacht konnte durch die Intervention und Vermittlung entkräftet werden; rechtliche Schritte in diesem Zusammenhang unterblieben.
3.2 Kontrolle und Überwachung
Kontrolle und Überwachung heisst, dass überprüft werden soll, ob die datenschutzrechtlichen Bestimmungen eingehalten werden, auch ohne dass eine Behörde oder eine betroffene Person eine Intervention veranlassen.
- Einzelne Datenbearbeitungen oder die Einhaltung früher gemachter Auflagen können durch kurze Überprüfungen kontrolliert werden.
Beispiele : Bestimmte Online-Zugriffe auf Steuerdaten, z.B. für die Behandlung von Stipendiengesuchen oder Altersheimbeiträgen, werden in Log-Files aufgezeichnet. Stichprobenweise kann überprüft werden, ob die Zugriffe wirklich im Zusammenhang mit hängigen Verfahren erfolgt sind. In der "Arbeitskartei" im Informationssystem Polizeidaten werden vage Verdachtsdaten durch einen sehr eingeschränkten Kreis von Mitarbeiter(inne)n der Kriminalpolizei bearbeitet. Durch Reviews mit den Projektverantwortlichen wird regelmässig einerseits die Beachtung der Aufnahmekriterien und anderseits die Tauglichkeit und Angemessenheit der Kriterien überprüft. Stichprobenweise kann auch geprüft werden, ob die Einstellung einer LiveCam im Internet, die unter der (Mit-)Verantwortung einer Gemeindebehörde betrieben wird, noch den grundrechtlichen Auflagen entsprechen.
- Sollen ganze Dienststellen oder Gemeinden oder grössere Teile davon unter datenschutzrechtlichen Blickwinkel unter die Lupe genommen werden, sind aufwändigere Überprüfungen - im Sinne eines "Datenschutz-Reviews" - nötig. Solche Überprüfungen müssen aufgrund einer qualitativen oder quantitativen Priorisierung - nach Sensitivität der Datenbearbeitungen und/ oder nach dem Umfang der erfassten Personen - vorgenommen werden.
Beispiel : Zur Zeit wird in enger Zusammenarbeit mit der Dienststellenleitung die Fremdenpolizei genauer unter die Lupe genommen. Anlass dazu boten Feststellungen des Datenschutzbeauftragten aufgrund von Anfragen betroffener Personen, aber auch Vorfälle, welche die Dienststellenleitung bewogen haben, die Zusammenarbeit mit dem Datenschutzbeauftragten zu suchen. Und schliesslich hat auch der Ombudsman in einem bei ihm hängigen Fall die datenschutzrechtliche Abklärung bestimmter Abläufe verlangt. Konkret geht es um den ganzen Bereich von Prozessabläufen und Aktenmanagement unter Beachtung datenschutzrechtlicher Aspekte: Um die Aktenführung in Form von Familiendossiers, die Zusammenlegung von Dossiers (z.B. bei Heirat), Aufnahme von unaufgefordert eingereichten Unterlagen (z.B. Beschwerdeschriften des Ex-Ehemannes, Rechtsschriften aus dem Scheidungsverfahren), Übernahme ins neue Familiendossier, Zustellung der (gesamten) Akten an eine Arbeitsbewilligungsbehörde eines anderes Kantons im Zusammenhang mit einem Gesuch des (neuen) Ehemannes; Zulässigkeit der Bekanntgabe von Begründungen von ablehnenden Verfügungen (z.B. bei Nichterteilung einer Einreisebewilligung wegen einer Vorstrafe wegen Vergewaltigung an die Gemeindeverwaltung, den Polizeiposten und an Bundesbehörden); Angemessenheit von (althergebrachten) "Normverteilern"; Bekanntgabe der Ablehnung einer Einreisebewilligung (z.B. an einen einladenden Schweizer, wenn für dieselbe Ausländerin schon von anderen Schweizern Einladungen ergangen sind und die Einreisebewilligung dort wegen des Verdachtes, dass sie zur Eingehung einer (Schein-?)Ehe benützt werden soll, verweigert worden ist); usw.
Fussnoten:
14. Aus diesen beiden Produkten besteht denn auch die Produktegruppe "Datenschutz" (240009910 und 24000920) des Leistungsauftrages, den der Regierungsrat mit Beschluss vom 21. September 1999 dem Direktionssekretariat der Justiz-, Polizei- und Militärdirektion erteilt hat.
15. Was etwa macht den "guten Leumund" beim Einbürgerungsverfahren aus? Ist es dasselbe wie für die Erteilung eines Car-Führerscheins? Ist etwa eine aus den Akten zu entnehmende vormundschaftliche Massnahme vor zehn Jahren noch relevant? Ist die Zahlungsmoral - wie misst man die? - entscheidrelevant für die Erteilung einer Waffenerwerbsbewilligung?
16. Sind Verdachtsdaten (z.B. eine Einvernahme eines 19jährigen wegen des Verdachts der Beteiligung an einer Straftat - obwohl das Strafermittlungsverfahren mangels eines erfüllten Tatbestandes eingestellt worden ist) genügend? Oder braucht es - z.B. durch gerichtliche Überprüfung - erhärtete Daten? Wie lange "wirken" solche Vorgänge (z.B. ein unerlaubtes Töfflifahren als Jugendlicher im Einbürgerungsverfahren eines 30jährigen)?