Selbst wenn das neue eidgenössische Datenschutzgesetz dereinst kommt, bleibt ein Problem weiterhin ungelöst: Es fehlen gesetzliche Vorgaben und Aufsicht im interkantonalen Bereich. Im Sinne der Rechtssicherheit muss dies möglichst rasch korrigiert werden.
Interkantonale Behörden
In der föderalen Schweiz liegt die Verantwortung für Erlass und Vollzug von Gesetzen in vielen Politikbereichen in kantonaler Hoheit. Das tatsächliche Leben hält sich aber nicht an diese Kantonsgrenzen: ein Berner kann in Zürich zu schnell fahren oder ein Lernender aus dem Kanton Zug kann seine Lehre im Kanton Aargau absolvieren.
Andererseits ist es in Zeiten klammer Kantonsfinanzen unumgänglich, dass Kräfte zusammengelegt werden: Zum Beispiel werden Informationsmaterialen für Lehrberufe für alle Kantone gemeinsam erstellt, die Berufe unterscheiden sich nicht zwischen Kantonen. Für diese Abstimmung und Zusammenarbeit gibt es «interkantonale Konferenzen» wie die Gesundheitsdirektorenkonferenz GDK oder die Erziehungsdirektorenkonferenz EDK. Diese bestehen in der Regel aus den Regierungsräten, haben aber oft noch Geschäftsstellen, Unterkonferenzen für Teilbereiche oder Fachagenturen, welche Dienstleistungen zu Handen der Kantone erbringen.
Wo sind interkantonale Behörden vom Datenschutz betroffen?
Alle Behörden, auch interkantonale, benötigen für ihre Tätigkeit einen gesetzlichen Auftrag oder einen Leistungsauftrag. Sie sind somit an gesetzliche Vorgaben bezüglich Datenschutz gebunden. Aber welche Vorgaben?
Genau hier gibt es heute ein Problem. Da es keine Gesetze gibt, die ihren Geltungsbereich interkantonal haben, müssen alle 26 kantonalen Gesetze berücksichtigt werden! Was fast unmöglich klingt, ist in aller Regel kein Problem, da sich die Grundsätze zwischen den kantonalen Gesetzen kaum unterscheiden. Der Schlüssel ist hier lediglich, dass dokumentiert wird, auf welche Gesetze sich die Behörde stützt und welche Massnahmen getroffen wurden, um dem Datenschutz Genüge zu tun; falls dies seriös gemacht wird, ist kaum davon auszugehen, dass Strafen drohen.
Aber: Wer könnte gegenüber einer interkantonalen Behörde überhaupt Strafen aussprechen? Hier ist wohl nur denkbar, dass eine natürliche Person bei einem Gericht Klage einreicht, da die jeweiligen eidgenössischen und kantonalen Aufsichtsbehörden keine Aufsicht haben über interkantonale Stellen. Ein kantonaler DSB kann bei einer Dienstleistung, welche eine kantonale Behörde seines Kantons per Leistungsauftrag an eine interkantonale Organisation auslagert, immer nur seine eigene Behörde auditieren. Selbstverständlich wird diese dann wiederum Informationen beim interkantonalen Leistungserbringer einfordern und insistieren, dass die rechtlichen Vorgaben eingehalten werden. Aber dies immer nur indirekt, eine direkte Aufsicht der interkantonalen Stelle existiert nicht.
Fliegen unter dem Radar!?
Um zur Eingangsfrage zurückzukehren: Heute fliegen die interkantonalen Stellen tatsächlich unter dem Radar, was den Datenschutz anbelangt. Es gibt keine eindeutigen gesetzlichen Vorgaben und keine definierte Aufsicht, d.h. es fühlt sich kein kantonaler Datenschutzbeauftragter zuständig für Tätigkeiten im interkantonalen Umfeld; solange nicht die Kantone als Auftraggeber ihre Anforderungen definieren, herrscht für die interkantonalen Stellen eine unklare Situation. Diese dürfte oft dazu führen, dass dem Datenschutz nicht die nötige Aufmerksamkeit geschenkt wird. Wohl ist der Datenschutz in diesen Organisationen ein Thema – nur ist angesichts der unklaren Rechtslage die Versuchung gross, beim Datenschutz zu sparen.
Rasch eine übergeordnete Lösung anstreben!
Im Sinne der Rechtssicherheit für die Bürgerinnen und Bürger, deren Daten bearbeitet werden, wie auch für die interkantonalen Organisationen und deren Mitarbeitende, und im Lichte der immer grösseren Vernetzung, welche dazu führt, dass immer mehr (Personen)daten ausgetauscht werden, ist es unumgänglich, dass die rechtliche Situation im interkantonalen Umfeld rasch und übergeordnet für alle Politikbereiche besser geregelt wird.