2006-187

Am 21. April 2005 überwies der Landrat das folgende Postulat der SVP Fraktion an den Regierungsrat mit folgendem [ Wortlaut ].

1. Einleitende Bemerkungen


1996 wurde erstmals ein parlamentarischer Vorstoss eingereicht, der sich mit der Frage der Notwendigkeit eines oder einer Datenschutzbeauftragten befasste. Der Regierungsrat zeigte in seiner Postulatsantwort vom 29. Februar 2000 ( 2000-057 ) die Notwendigkeit der oder des Datenschutzbeauftragten auf. Der Landrat behandelte die Vorlage am 18. Mai 2000 und beschloss einstimmig die Abschreibung des Postulats. Zentrale Aussagen der damaligen Vorlage haben auch heute noch Geltung.




2. Was ist Datenschutz?


Datenschutz bedeutet den Schutz personenbezogener Daten vor Missbrauch, d.h. er schützt die Persönlichkeit und die Grundrechte der Personen, über welche Daten bearbeitet werden. Dahinter steht die Idee, dass jeder Mensch grundsätzlich selbst entscheiden darf, ob und unter welchen Umständen er seine persönlichen Daten zugänglich machen will (Recht auf informationelle Selbstbestimmung).


Datenschutz als Teilaspekt der persönlichen Freiheit ist ein zentraler Wert jeder liberalen Gesellschaft und ist Grundvoraussetzung für jedes selbstverantwortliche Handeln. Aus diesem Grund anerkennen sowohl die Bundesverfassung als auch die Kantonsverfassung ausdrücklich ein Grundrecht auf Datenschutz, das der staatlichen Bearbeitung von Personendaten auch Grenzen setzt. Effizienzsteigerungsdruck in Staat und Wirtschaft, der Kampf gegen Terrorismus und Gewalt sowie die erweiterten technologischen Möglichkeiten haben in den vergangenen Jahren die Gefahr erhöht, dass diese Grenzen zu Lasten des Persönlichkeitsschutzes verschoben werden. Dies liegt u.a. daran, dass sich Werte wie Persönlichkeitsschutz schlecht quantifizieren lassen und oft als Luxusgrundrecht oder Hindernis auf dem Weg zur technisch erreichbaren Effizienz empfunden werden. Datenschutz bewegt sich auch im Kanton Basel-Landschaft im Spannungsfeld von effizienter staatlicher Aufgabenerfüllung auf der einen Seite und dem verfassungsrechtlichen Schutz der Personen, über die Daten bearbeitet werden, auf der anderen Seite.




3. Das rechtliche Konzept des Datenschutzes


Damit die Entwicklungen im oben beschriebenen Spannungsfeld nicht einseitig zu Lasten der Persönlichkeitsrechte der Menschen gehen, muss nicht zuletzt im Interesse des demokratischen Rechtsstaats ein Ausgleich gesucht werden. Will man technologische Entwicklungen wie z.B. Biometrie, DNA-Profile, Datenpool, Videotechnologie, Internet im Interesse einer effizienten Verwaltung nutzen, so muss auf der anderen Seite gewährleistet werden können, dass mit den bearbeiteten Daten kein Missbrauch betrieben werden kann. Zu diesem Zweck sieht das Datenschutzkonzept im kontinentaleuropäischen Rechtsraum staatliche Datenschutzregeln vor, die den Persönlichkeitsschutz und das Recht auf informationelle Selbstbestimmung durch folgende Elemente eines Minimalstandards sicherstellen sollen:


Dieser Minimalstandard findet in den europäischen Kodifizierungen durchgehend seinen Niederschlag: Von der Europarats-Konvention 108 über das Datenschutzrecht der Europäischen Union, das Datenschutzgesetz des Bundes bis hin zu den kantonalen Datenschutzgesetzen.




3.1. Anwendbares Datenschutzrecht


3.1.1. Kantonales Datenschutzrecht


Die Kantonsverfassung des Kantons Basel-Landschaft anerkennt seit 1984 in Artikel 6 Absatz 2 Buchstabe g ausdrücklich ein Grundrecht auf Datenschutz. In Umsetzung dieser Verfassungsnorm wurde 1991 das kantonale Datenschutzgesetz geschaffen, das sich am oben erwähnten kontinentaleuropäischen Datenschutzkonzept orientiert. Es findet Anwendung auf die kantonalen, kommunalen und kirchlichen Behörden des Kantons und weist der Datenschutzbehörde vorwiegend Beratungs- und Kontrollaufgaben zu.




3.1.2. Datenschutzrecht des Bundes


Das Grundrecht auf Schutz der Privatsphäre ist in Artikel 13 der Bundesverfassung vom 18. April 1999 verankert. Es umfasst neben der Achtung des Privat- und Familienlebens, der Wohnung sowie des Brief-, Post- und Fernmeldeverkehrs auch den Anspruch auf Schutz vor Missbrauch persönlicher Daten (Datenschutz). Der Bund besitzt jedoch keine verfassungsrechtliche Datenschutzkompetenz im Bereich der Kantone. Aus diesem Grund ist der Geltungsbereich des Bundesdatenschutzgesetzes (EDSG) auf Datenbearbeitungen durch Bundesorgane und Private beschränkt. Einzig beim Vollzug von Bundesrecht durch die Kantone stellt Art. 37 Absatz 1 EDSG eine Minimalgarantie auf, indem dort, wo keine (in formeller und materieller Hinsicht genügenden) kantonalen Datenschutzbestimmungen bestehen, bestimmte materielle Bestimmungen des Bundesgesetzes zur Anwendung kommen. Wegen der fehlenden Verfassungskompetenz des Bundes ist auch die Aufsicht des Eidgenössischen Datenschutzbeauftragten (EDSB) beschränkt auf Datenbearbeitungen durch Bundesorgane und Private. Der EDSB ist somit nicht für Datenbearbeitungen durch kantonale (und kommunale) Behörden zuständig und hat auch keine «Oberaufsicht» über die kantonalen Datenschutzaufsichtsstellen. Daraus folgt, dass für die Datenbearbeitungen durch kantonale (und kommunale) Behörden die Kantone selber das erforderliche Datenschutzrecht zu schaffen haben und somit eine den Anforderungen genügende Datenschutzaufsicht sicherstellen müssen (so ausdrücklich in Art. 37 Abs.2 EDSG).




3.1.3. Datenschutzrecht Europas


Heute lässt sich eine Welt ohne grenzüberschreitenden Datenverkehr kaum mehr vorstellen. Auf kantonaler Ebene werden insbesondere Daten von Strafverfolgungsbehörden über die Grenzen ausgetauscht. Aber auch die enge Zusammenarbeit im Bereich der Gesundheitsversorgung im Dreiländereck führt zum Austausch recht sensibler Patientendaten. Die Schweiz und ihre Kantone sind Teil des internationalen Datennetzes und müssen schon allein aus diesem Grund gewisse internationale datenschutzrechtliche Anforderungen erfüllen. So hat die Schweiz das Übereinkommen 108 des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten aus dem Jahre 1981 (Europarats-Konvention 108) ratifiziert. Im Rahmen der Revision des Bundesdatenschutzgesetzes wurde am 24. März 2006 auch das Zusatzprotokoll zur Europarats-Konvention 108 vom 8. November 1981 durch die Eidgenössischen Räte ratifiziert. Das Zusatzprotokoll verpflichtet jeden Vertragsstaat, eine oder mehrere unabhängige Aufsichtsbehörden vorzusehen.


Ferner werden im Rahmen der Umsetzung der Bilateralen Verträge II, insbesondere der Abkommen von Schengen und Dublin, auch einige Normen des Datenschutzrechts der EU in Bund und Kantonen zur Anwendung kommen. Diese Abkommen berühren u.a. die grenzüberschreitende Bearbeitung von Daten im polizeilichen Bereich, im Bereich des Ausländer- und Asylrechts sowie des Waffenrechts. Sie sehen vor, dass die EU der Schweiz den Zugriff auf äusserst wirkungsvolle Informationssysteme wie das Schengen Informationssystem (SIS) gewähren wird. Mit dem SIS erhalten die Polizei- und Justizbehörden ein sehr mächtiges, wirkungsvolles Instrument. Sie haben für ihre Aufgabenerfüllung Zugriff auf eine Datenbank mit mehreren Millionen Einträgen und können nach der vollständigen Einbindung der neuen EU-Mitglieder ihre Ausschreibungen von Personen oder Sachen mit einem Schlag in einem europäischen Fahndungsraum von 27 Schengen-Staaten und etwa 450 Millionen Einwohnern und Einwohnerinnen verbreiten. Im Bewusstsein, dass solche Systeme auch schwerwiegende Eingriffe in die Persönlichkeitsrechte der betroffenen Personen (v.a. Täter, Verdächtige, Opfer, Zeugen) bedeuten, enthalten die Bilateralen Verträge auch entsprechende Datenschutzregeln, die im Bund und in den Kantonen umgesetzt werden müssen.




4. Evaluation des kantonalen Datenschutzgesetztes


Das Datenschutzgesetz des Kantons Basel-Landschaft wurde 1992 in Kraft gesetzt und die darin enthaltenen datenschutzrechtlichen Grundsätze haben auch heute noch Geltung. Gleichzeitig muss aber festgestellt werden, dass das Datenschutzgesetz den heutigen Realitäten einer Informationsgesellschaft kaum mehr gerecht wird. Insbesondere die technologische Entwicklung, die zunehmende Vernetzung von Datenbanken sowie der vielfältige Datenaustausch mit Behörden im In- und Ausland machen eine Revision des Datenschutzgesetzes notwendig.




4.1. Revisionsbedarf aufgrund der technologischen Entwicklungen


Die gesetzlich definierten Aufgabengebiete der Datenschutzbehörden haben sich in den vergangenen Jahren kaum geändert. Sie haben nach wie vor eine beratende und eine kontrollierende Funktion. Die Realitäten der Arbeitswelt haben sich hingegen markant gewandelt. So gab es bei der Einführung der Datenschutzgesetze noch Gemeinden und Abteilungen, die ausschliesslich mit Schreibmaschine und Papierakten arbeiteten und keine EDV-Anlage hatten. Heute dagegen sind der Computer und andere technische Errungenschaften wie Handy, RFID (Radio Frequente Identifikatoren), Videokameras, Biometrie etc. allgegenwärtig. Datenbearbeitung geschieht folglich meist dezentral und vernetzt, sei dies kantonsintern oder -extern. Die Verbindung grosser Datenbanken zu eigentlichen Datenpools ist ebenso selbstverständlich geworden wie mobile Arbeitsplätze oder die Überwachung von Menschen mittels neuer Technologien. Auch im Kanton Basel-Landschaft sind Projekte wie das Geografische Informationssystem, das Electronic Monitoring und die geplante zentrale Einwohnerdatenbank KANADA auf den Einsatz neuer Technologien angewiesen.


Das Datenschutzgesetz, das aus den 90er Jahren des letzten Jahrhunderts stammt, wird diesen Realitäten kaum mehr gerecht. Soll unter den geänderten Rahmenbedingungen das Grundrecht auf informationelle Selbstbestimmung gewahrt werden, muss das Datenschutzgesetz entsprechend angepasst werden. Mit Blick auf die immer effizienteren technologischen Arbeitsmittel und die damit verbundenen Vernetzungsmöglichkeiten sollte insbesondere die Aufnahme folgender Punkte in ein revidiertes Datenschutzgesetz geprüft werden:




4.2. Revisionsbedarf aufgrund der grenzüberschreitenden Zusammenarbeit


Auch die bilateralen Verträge stellen einige Anforderungen an das Datenschutzrecht von Bund und Kanton. Dabei stehen die Abkommen von Schengen/Dublin im Vordergrund. Die Umsetzung dieser in der Volksabstimmung vom 5. Juni 2005 angenommenen Verträge erfolgt teils durch den Bund, teils auch durch die Kantone. Die Konferenz der Kantonsregierungen hat eine Wegleitung erarbeiten lassen, die den Kantonen die Umsetzung der Abkommen von Schengen und Dublin erleichtern soll. Die darin enthaltene Checkliste zeigt, dass das Datenschutzgesetz des Kantons Basel-Landschaft zwar viele Vorgaben erfüllt, dass es aber in einigen wesentlichen Punkten angepasst werden muss. Daraus ergibt sich für unseren Kanton Basel-Landschaft folgender Revisionsbedarf:


Es ist vorgesehen, die Abkommen von Schengen und Dublin spätestens 2008 in Kraft zu setzen. Zuvor werden die Kantone ihre Datenschutzgesetze entsprechend anpassen müssen. Aufgrund der Anforderungen an das kantonale Gesetzgebungsverfahren wird eine Totalrevision des Datenschutzgesetzes auf diesen Zeitpunkt nicht realisiert werden können. Es ist deshalb vorgesehen, in einem ersten Schritt die aufgrund von Schengen/Dublin zwingend erforderlichen Anpassungen vorzunehmen. In einem zweiten Schritt sollen dann die anderen Revisionspunkte umgesetzt werden.




5. Zu einzelnen Argumenten in der Postulatsbegründung


Die Postulanten vertreten sinngemäss die Auffassung, dass auf kantonaler Ebene die Massnahmen für Datenschutz und Datensicherheit massiv verstärkt worden seien. Dies habe zu Folge, dass auf kantonaler Ebene ein reger Aktivismus der Datenschutzbeauftragten festgestellt werden könne, ohne dass bisher schwerwiegende Fälle von Datenmissbrauch bekannt geworden wären. Die Postulanten gehen deshalb davon aus, dass die Sensibilität betreffend Datenschutz heute allgemein vorhanden sei und es keiner kantonalen Regelungen bedürfe. Ferner gehen die Postulanten davon aus, dass die datenschutzrechtlichen Vorgaben generell eingehalten würden und die Notwendigkeit einer kantonalen Fachstelle deshalb in Frage zu stellen sei.




5.1. „Sensibilität ist allgemein vorhanden"


Der Regierungsrat stimmt der Aussage grundsätzlich zu, dass die Sensibilität betreffend Datenschutz heute vorhanden ist. Insbesondere auf Führungsebene ist man sich der Thematik bewusst. Gerade deshalb treten aber zunehmend mehr Behörden an die Datenschutzbeauftragte heran, um sich bei konkreten Fragen oder Unklarheiten in dieser komplexen Rechtsmaterie fachlich beraten zu lassen. Die Sensibilität für das Thema allein bedeutet also nicht, dass die datenschutzrechtlichen Fragen von den Mitarbeitenden immer erkannt und ohne weiteres eingehalten werden.




5.2. „Es sind keine schwerwiegenden Fälle der Nichtbeachtung der einschlägigen Gesetzgebung bekannt"


Werden schutzwürdige Interessen einer betroffenen Person offensichtlich gefährdet oder verletzt, weil z.B. eine Datenbearbeitung ohne gesetzliche Grundlage erfolgt oder unverhältnismässig ist, so fordert die Aufsichtsstelle die verantwortliche Behörde oder deren vorgesetzte Behörden auf, unverzüglich die erforderlichen Massnahmen zu ergreifen (§ 25 Abs. 3 DSG). Diese Praxis hat sich in der Vergangenheit durchaus bewährt. Sie soll aber nicht darüber hinwegtäuschen, dass die Datenschutzbehörde mit ordentlichen 1,5 Stellen nicht alle Datenbearbeitungen des Kantons und der Gemeinden auf ihre Rechtmässigkeit überprüfen kann. Im Rahmen der vorhandenen Ressourcen ist die Datenschutzbehörde aber aktiv (nicht aktivistisch) in Projekten involviert, schreibt Vernehmlassungen und Berichte und sensibilisiert die Behörden durch regelmässige Referate und Publikationen. So kann sie dem Entstehen „schwerwiegender Fälle" zumindest teilweise präventiv entgegentreten.




5.3. Annahme: „Die Regulierungen auf eidgenössischer Ebene sind völlig ausreichend"


Mit Schreiben vom 27. September 2005 hat der Eidgenössische Datenschutzbeauftragte (EDSB) auf Anfrage des Kantons Basel-Landschaft zum Postulat wie folgt Stellung genommen:


„Gemäss Bundesverfassung kann der Bund den Datenschutz nur für den privaten Bereich und die Bundesorgane regeln. Für den Datenschutz im kantonalen öffentlichen Bereich bleiben die Kantone aufgrund ihrer verfassungsrechtlich garantierten Organisationsautonomie selbst zuständig. Nach kantonalem Verfassungs- und Gesetzesrecht entscheidet sich auch, wie die kantonale Datenschutzordnung für die kommunalen Verwaltungen gelten soll. Der Bund hingegen kann für kantonale oder kommunale Verwaltungen nur bereichsspezifische Datenschutzvorschriften erlassen, soweit ihm eine Gesetzgebungskompetenz in der Sache selbst zusteht und der Vollzug den Kantonen übertragen wird. Er hat dabei jedoch auf das kantonale Organisationsrecht Rücksicht zu nehmen (Bundesblatt=BBl 1988 II 425f.). Mit Artikel 37 DSG [der EDSB verwendet die Abkürzung DSG für das Eidgenössische Datenschutzgesetz, EDSG] hat das Parlament eine Spezialvorschrift für die Kantone eingeführt, welche vorsieht, dass soweit keine kantonalen Datenschutzvorschriften bestehen, für das Bearbeiten von Personendaten durch kantonale Organe beim Vollzug von Bundesrecht gewisse Bestimmungen des Bundesgesetzes gelten. Die Kantone müssen zusätzlich ein Kontrollorgan bestimmen, welches für die Einhaltung des Datenschutzes sorgt, wenn sie Personendaten beim Vollzug von Bundesrecht bearbeiten. Somit hat der EDSB keine Aufsichtskompetenz über die kantonale Datenbearbeitung, die beim Vollzug von Bundesrecht erfolgt….".


"Darüber hinaus hat die Schweiz auch das Übereinkommen 108 des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981 ratifiziert. Sie wird demnächst auch das Zusatzprotokoll vom 8. November 1981 bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung ratifizieren. Das Protokoll verpflichtet jeden Vertragsstaat, eine oder mehrere unabhängige Aufsichtsbehörden vorzusehen….".


"Für einen föderalistischen Staat wie der Schweiz bedeutet dies, dass nicht nur der Bund, sondern auch die Kantone die Verpflichtungen des Übereinkommens und des Zusatzprotokolls erfüllen müssen. Die Kantone sind demnach verpflichtet, eigene angemessene Datenschutzbestimmungen zu erlassen und mindestens eine unabhängige Datenschutzbehörde vorzusehen (s. auch BBl 1997 723 und 2002 2148 f)."


Die Ausführungen des EDSB sind unmissverständlich. Die Kantone müssen sowohl eigene kantonale Datenschutzbestimmungen als auch eine unabhängige Datenschutzbehörde haben. Die von den Postulanten geäusserte Idee der Kompetenzzuteilung an den Bund scheitert am Bundesrecht, welches kantonale Kontrollorgane für den Datenschutz verlangt.




5.3.1. Zusammenarbeit mit anderen kantonalen Datenschutzbehörden


Wie beschrieben, verfügt der Bund nicht über die notwendige verfassungsmässige Kompetenz, um den Datenschutz der Kantone in deren eigenem Zuständigkeitsbereich zu regeln. Dies schliesst indessen nicht aus, dass einzelne Kantone zwecks Effizienzsteigerung prüfen, ob eine engere interkantonale Zusammenarbeit möglich ist. Die Regierungen der Kantone Basel-Landschaft und Basel-Stadt haben beschlossen, die Möglichkeit einer Datenschutzaufsicht beider Basel zu prüfen. Ein entsprechendes partnerschaftliches Projekt wurde 2005 an die Hand genommen. Die Modalitäten der Zusammenarbeit sind in einem Staatsvertrag, welcher der Genehmigung durch die beiden Kantonsparlamente unterliegt, zu regeln. Dieser Entwurf für einen Staatsvertrag wird voraussichtlich im Verlaufe von 2006 zur Vernehmlassung unterbreitet werden.




6. Zusammenfassung


Die Kantone sind gestützt auf internationales Recht und auf Bundesrecht verpflichtet, den Datenschutz in ihrem Kanton zu regeln und unabhängige Kontrollbehörden einzurichten. Der Kanton Basel-Landschaft ist dieser Pflicht 1992 mit Inkraftsetzung des Datenschutzgesetzes und der Einsetzung eines Datenschutzbeauftragten nachgekommen. Seither hat sich der Verwaltungsalltag allerdings markant geändert. So werden heute viel mehr Daten mit immer weniger Aufwand bearbeitet und es sind Technologien im Einsatz, die es bei der Schaffung des Datenschutzgesetzes nicht einmal ansatzweise gab. Auch der Datentransfer mit Behörden im In- und Ausland hat zugenommen und gehört heute zum Alltag jeder effizient arbeitenden Behörde. Mit dieser Entwicklung kann das Datenschutzgesetz nicht mehr Schritt halten. Eine Revision drängt sich auf. Der Regierungsrat beabsichtigt, das Datenschutzgesetz in einem ersten Schritt an die Vorgaben der Abkommen von Schengen/Dublin anzupassen, um so einen nutzbringenden Datenaustausch mit dem europäischen Ausland (insbesondere: Beteiligung am Schengener Informationssystem) zu ermöglichen. Eine umfassendere Revision, die die technologischen Entwicklungen mitberücksichtigt, soll danach ebenfalls innert nützlicher Frist an die Hand genommen werden.


In einer digitalisierten Welt stellt die Wahrung der Grundrechte hohe Anforderungen an jeden Rechtsstaat. Die persönliche Freiheit und die informationelle Selbstbestimmung der Bürgerinnen und Bürger zu wahren ist eine wichtige und herausfordernde Aufgabe. Die Datenschutzbeauftragte wird folglich auch in Zukunft eine zentrale und notwendige Anlauf- und Fachstelle für die Verwaltung und die Bevölkerung bleiben.




7. Antrag


Mit dem vorliegenden Bericht hat der Regierungsrat auftragsgemäss das Postulat geprüft und dem Landrat über seine Abklärungen berichtet.


Der Regierungsrat beantragt dem Landrat, das Postulat 2004/315 der SVP Fraktion als erfüllt abzuschreiben.




Liestal, den 18. Juli 2006


Im Namen des Regierungsrats:
die Vizepräsidentin: Pegoraro
der Landschreiber: Mundschin


Back to Top