Mit den Möglichkeiten der Digitalisierung steigen auch die Risiken für den Schutz und die Sicherheit von Personendaten. Diesem Umstand tragen die Neuerungen in der Konvention 108+ des Europarates sowie die Schengen-relevante EU-Richtlinie 2016/680 Rechnung.

Nur zwingende Änderungen vorgenommen

Der Kantonsrat verabschiedete im November 2019 das revidierte Gesetz über die Information und den Datenschutz. Der Vorschlag des Regierungsrats beschränkte sich auf die Umsetzung der zwingend nötigen Anforderungen. Mit Blick auf die laufende Digitalisierung der kantonalen Verwaltung ist für die nächsten Jahre eine vollständige Überarbeitung des Gesetzes vorgesehen. Anträge im Kantonsrat, die bereits heute weitere Anpassungen des IDG verlangten, wurden vom Regierungsrat für die neue Reform entgegengenommen. Das revidierte Gesetz enthält einige wichtige Bestimmungen, die einerseits klare Rahmenbedingungen für die öffentlichen Organe setzen und andererseits mehr Transparenz über die Datenbearbeitungen für die Bürgerinnen und Bürger bringen.

Mehr Verantwortung für die Datenbearbeiter

Öffentliche Organe werden durch das Gesetz verpflichtet, die Einhaltung der Datenschutzbestimmungen nachzuweisen. Sie müssen neue Projekte mit einer Risikoabwägung auf die Folgen für die Persönlichkeitsrechte der betroffenen Personen prüfen. Dafür wurde das Instrument der Datenschutzfolgenabschätzung geschaffen. Vorhaben mit besonderen Risiken sind wie bisher der Datenschutzbeauftragten zur Vorabkontrolle zu unterbreiten. Öffentliche Organe müssen mit Organisationsvorschriften sicherstellen, dass die Datenschutzbestimmungen eingehalten werden. Bei Datenschutzverletzungen beispielsweise bei einem Datenleck hat das öffentliche Organ die Datenschutzbeauftragte beizuziehen.

Griffigere Instrumente für die Datenschutzbeauftragte

Wie bisher kann die Datenschutzbeauftragte mit einer sogenannten Empfehlung von einer Verwaltungsstelle, einer Gemeinde, einer Schule oder einem anderen öffentlichen Organ die Umsetzung von Massnahmen beim Datenschutz und bei der Informationssicherheit verlangen. Das neue Gesetz gibt ihr zusätzlich die Möglichkeit, mit einer Verfügung die Ausführung der Massnahmen zu erzwingen. Diese Massnahmen können bis hin zur Löschung von Daten oder zur vollständigen Einstellung bestimmter Datenbearbeitungen reichen. Daten, die durch unkorrekte Handhabung in falsche Hände geraten, sind für immer öffentlich. Die Datenschutzbeauftragte kann deshalb auch vorsorgliche Massnahmen verfügen.