Zwar noch nicht in Kraft, aber bereits beschlossen: Die Änderungen des Informations- und Datenschutzgesetzes Basel-Stadt. Welche Auswirkungen werden sie für Sie als Bürger*innen haben – eine Stärkung Ihrer (Grund-) Rechte oder Beibehaltung des gegenwärtigen Zustandes?
Verstärkter Grundrechtsschutz
Das Informations- und Datenschutzgesetzes Basel-Stadt (IDG) gelangt u.a. dann zur Anwendung, wenn kantonale oder kommunale Behörden bei der Erfüllung ihrer gesetzlichen Aufgaben Personendaten bearbeiten. Die vom Gesetzgeber beschlossenen, aber noch nicht in Kraft getretenen Änderungen des IDG stärken die Grundrechte der Bürger*innen massvoll.
Wesentliche inhaltliche Neuerungen sind die Verpflichtung der verantwortlichen öffentlichen Organe zur Meldung von Datenschutzverletzungen an den Datenschutzbeauftragten, ihre erweiterten Informationspflichten sowie die Einführung von Datenschutzberater*innen. Die Melde- und Informationspflichten tragen zu einer erhöhten Transparenz bei der Bearbeitung von Personendaten bei. Dies stärkt auch die Kontrollmöglichkeiten. Die Bezeichnung von Datenschutzberater*innen verleiht dem Datenschutz ein stärkeres Gewicht und sichert das datenschutzrechtliche Know-how. All dies trägt letztlich zu einer Stärkung der der Grundrechte der Bürger*innen bei.
Zahlreiche weitere Änderungen haben inhaltlich weniger grosse Auswirkungen, da sich die damit verbundenen Rechte und Pflichten bereits aus den allgemeinen Verfassungs- und Datenschutzgrundsätzen wie z.B. Rechtmässigkeit der Datenbearbeitung, Datensparsamkeit oder Zweckbindung ableiten liessen. Ihre gesetzliche Verankerung trägt aber zu mehr Rechtssicherheit und erhöhter Verbindlichkeit bei. Auch dies führt im Ergebnis zu einer Stärkung des Grundrechtsschutzes.
Zu den wichtigsten Neuerungen:
Kantonale und kommunale Organe müssen neu Datenschutzverletzungen ohne unangemessene Verzögerung dem Datenschutzbeauftragten melden. Was heisst dies? Müssen wirklich alle Datenschutzverletzungen gemeldet werden? Nein, nur wenn sie voraussichtlich zu einem hohen Risiko für die Grundrechte der betroffenen Person führen. Als Datenschutzverletzungen gelten nach dem Informations- und Datenschutzgesetz
- die unwiederbringliche Vernichtung von Personendaten,
- der unwiederbringliche Verlust von Personendaten,
- die unbeabsichtigte oder unrechtmässige Veränderung oder Offenbarung von Personendaten oder
- der unbefugte Zugang zu Personendaten
durch eine Verletzung der Informationssicherheit. Im Einzelnen gehören zur Meldung insbesondere die Beschreibung der Art der Verletzung, ihre voraussichtlichen Folgen für die betroffene(n) Person(en) sowie die ergriffenen und geplanten Massnahmen. Der Datenschutzbeauftragt prüft in erster Linie Rechtzeitigkeit und Angemessenheit der Massnahmen. Dies insbesondere auch mit Blick auf die Information der betroffenen Personen.
Neu müssen kantonale und kommunale Organe die betroffenen Personen grundsätzlich über jede Beschaffung von Personendaten aktiv informieren. Die Information muss insbesondere das verantwortliche öffentliche Organ einschliesslich Kontaktdaten, die bearbeiteten Daten oder Kategorien der Daten, die Rechtsgrundlage und den Zweck des Datenbearbeitens, allfällige Datenempfangende und die Rechte der betroffenen Personen beinhalten. Ausnahmen und Einschränkungen sind möglich, z.B., wenn aus einer gesetzlichen Grundlage genügend bestimmt hervorgeht, welche Personendaten zu welchem Zweck bearbeitet werden.
Die Departemente der kantonalen Verwaltung und die Einwohner- und Bürgergemeinden müssen eine Datenschutzberater*in bezeichnen. Zudem erhält der Regierungsrat die Kompetenz, weitere Stellen zu benennen, die eine Datenschutzberater*in einzusetzen haben. Dabei berücksichtigt er Art und Menge der bearbeiteten Daten. In Betracht gezogen werden könnte in diesem Zusammenhang zum Beispiel die Sozialhilfe Basel-Stadt. Die Aufgaben der Datenberater*innen umfassen die Beratung und Unterstützung bei der Bearbeitung von Personendaten, die Unterstützung bei der Vornahme von Datenschutz-Folgenabschätzungen und die Zusammenarbeit mit dem Datenschutzbeauftragten.
Hintergrund der Revision
Anstoss für die Revision des Informations- und Datenschutzgesetzes des Kantons Basel-Stadt (IDG) gaben Änderungen im europäischen Datenschutzrecht u.a. aufgrund des Technologiewandels, welcher neben Chancen auch neue Risiken bei der Bearbeitung von Personendaten mit sich bringt.