Revidiertes Datenschutzgesetz im Kanton Uri, „Form over Substance“?

Das Urner Stimmvolk hat am 22. Oktober 2023 das revidierte kantonale Datenschutzgesetz deutlich gutgeheissen. Das Gesetz stärkt sowohl den Datenschutz als auch die Befugnisse der für den Datenschutz beauftragten Person. Gleichzeitig wurde der Beschäftigungsgrad von 20 auf 40 Prozent erhöht. Es ist jedoch fraglich, ob dies ausreicht, um das Gesetz umzusetzen.

Recht auf verantwortungsvollen Umgang mit Personendaten

Das kantonale Datenschutzgesetz (KDSG) regelt u.a. die Bearbeitung von Personendaten der Bürgerinnen und Bürger durch kantonale und kommunale Behörden. Das revidierte Gesetz soll einerseits die durch die technologische Entwicklung entstandenen Schwächen des Datenschutzes beheben und andererseits den gestiegenen rechtlichen und regulatorischen Anforderungen auf internationaler Ebene gerecht werden. Ziel ist insbesondere die Stärkung des Verantwortungsbewusstseins der Behörden im Umgang mit Personendaten. Themen wie Videoüberwachung, Einsatz von Drohnen, Datenbearbeitung durch Dritte, Cloud Outsourcing und Cybersicherheit stellen aus Datenschutzüberlegungen neue Herausforderungen dar. Nicht zu unterschätzen ist auch der europäische Druck durch die Gesetzesanpassungen der letzten Jahre. Insbesondere das Schengen-Assoziierungsabkommen verpflichtet auch die Kantone zur Verbesserung des Datenschutzes.

Stärkung des Datenschutzes

Das revidierte KDSG orientiert sich weitgehend am neuen Datenschutzgesetz des Bundes und übernimmt Regelungen im Bereich der Auftragsbearbeitung, Folgenabschätzung, Datensicherheit, Transparenz der Datenbearbeitung und Kontrollmöglichkeiten der betroffenen Bürgerinnen und Bürger. Weiter stärkt es die Stellung und die Befugnisse der beauftragten Person für Datenschutz. Diese wird neu vom Landrat gewählt, soll weisungsungebunden handeln und verbindliche Verfügungen erlassen können.  Obwohl das Pensum der Stelle von 20 auf 40 Prozent erhöht wurde, muss man sich fragen, ob dies angesichts der erhöhten Anforderungen im Bereich der Datensicherheit genügt, oder ob das Gesetz vorerst eine Absichtserklärung bleibt und somit das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung gefährdet.

Herausforderungen beim Vollzug

Gemäss revidiertem KDSG bestehen die Aufgaben der beauftragten Person für den Datenschutz in der Überwachung und Beratung zur Anwendung der Vorschriften, bzw. in der Vermittlung und Sensibilisierung von Beteiligten. Sie tut dies unter anderem mittels Stichprobenkontrollen bei Behörden, Überprüfung von geplanten Einrichtungen mit besonderen Risiken für den Datenschutz, und Erlass von Empfehlungen und Verfügungen zur Wahrung der Rechte der Betroffenen. Letztlich soll sie auch periodisch einen Rechenschaftsbericht ablegen. Der letzte verfügbare Tätigkeitsbericht im Kanton Uri datiert allerdings von 2015. Angesichts steigender Investitionen in digitale Projekte, der Zunahme von Cyberangriffen und einer gewissen Indifferenz der Behörden gegenüber dem Thema Datensicherheit, stellen die vorgenannten Aktivitäten einen äusserst anspruchsvollen und umfangreichen Aufgabenkatalog dar. Beispiele für Datenschutzverletzungen finden sich regelmässig in der Presse. Erinnert sei beispielsweise an den Ransomware Angriff auf das IT-Unternehmen Xplain im Mai dieses Jahres oder an den Hackerangriff auf das Basler Erziehungsdepartement vor einem Jahr, in dessen Folge heikle Daten einzelner Kantone sowie des Bundes im Darknet auftauchten.

Missachtung des Bürgerwillens?

Die Stimmberechtigten des Kanton Uri haben sich im Oktober klar für eine Stärkung des Datenschutzes ausgesprochen. Es ist jedoch meines Erachtens aufgrund der erwähnten Herausforderungen nicht möglich, dies mit einer Teilzeitstelle effektiv umzusetzen. Und ich wage zu behaupten, dass die Regierung den Volkswillen missachtet, indem sie nicht genügend Mittel für die Umsetzung des Gesetzes zur Verfügung stellt. Ein gangbarer und kosteneffizienter Weg aus diesem Dilemma könnte, wie im Gesetz vorgesehen, ein Konkordat mit anderen Kantonen sein (Beispiel: SZ, OW, NW). Aber vielleicht braucht es ja zuerst eine Datenpanne, damit entsprechende Massnahmen ergriffen werden.

Schlussfrage: Vertraust du den Behörden deines Wohnkantons, dass sie verantwortungsvoll mit deinen Daten umgehen?

 

Beitrag teilen

Markus Blattmann

Markus Blattmann ist Chief Risk Officer bei der im Kryptobereich tätigen AMINA Bank AG in Zug und bloggt aus dem Unterricht des CAS Data Privacy Officer.

Alle Beiträge ansehen von Markus Blattmann →

Schreibe einen Kommentar