Die Grundsätze des Datenschutzes
- Die Grundsätze des Datenschutzes
-
Das IDG stellt Spielregeln für die rechtmässige Bearbeitung von Personendaten auf. Die nachfolgenden Grundsätze müssen allesamt eingehalten werden:
- Gesetzmässigkeit (Erfordernis der gesetzlichen Grundlage): Personendaten dürfen nur bearbeitet werden, wenn dafür eine gesetzliche Grundlage besteht. Eine gesetzliche Grundlage liegt vor, wenn:
- in einem Gesetz oder in einer Verordnung ausdrücklich festgelegt ist, dass bestimmte Personendaten bearbeitet werden dürfen oder müssen, oder
- in einem Gesetz oder in einer Verordnung eine Aufgabe umschrieben ist, zu deren Erfüllung es notwendig ist, bestimmte Personendaten zu bearbeiten (§ 8 Abs. 1 IDG).
Das Bearbeiten besonderer Personendaten verlangt eine hinreichend bestimmte Regelung in einem formellen (durch das Parlament beschlossenen) Gesetz (§ 8 Abs. 2 IDG), d.h. ein Reglement reicht nicht. Das Erfordernis der gesetzlichen Grundlage ist ein Ausfluss des Legalitätsprinzips, das für behördliches Handeln generell gilt. Die gesetzliche Bearbeitungsgrundlage im Schulbereich finden Sie grundsätzlich im VSG.
- Verhältnismässigkeit: Das Verhältnismässigkeitsprinzip gilt als Grundsatz der Rechtsstaatlichkeit für behördliches Handeln generell. Für das Bearbeiten von Personendaten verankert ihn das IDG nochmals ausdrücklich (§ 8 Abs. 1 IDG). Konkret müssen Sie sich bei jeder Datenbearbeitung insbesondere folgende Fragen stellen:
- Ist die Datenbearbeitung für die Erfüllung der gesetzlichen Aufgabe geeignet?
- Ist die Datenbearbeitung für die Erfüllung der gesetzlichen Aufgabe erforderlich, d.h., ist sie die mildeste Massnahme, mit der sich die gesetzliche Aufgabe erfüllen lässt?
- Zweckbindung: Personendaten in der Regel nur zu dem Zweck bearbeitet werden, zu dem sie erhoben worden sind (§ 9 Abs. 1 IDG) (vgl. Transparenz unten). In der Praxis bedeutet dies, dass jeweils klar sein muss, welche Personendaten zu welchem Zweck erhoben worden sind. Der Zweck muss in der gesetzlichen Grundlage verankert sein bzw. sich aus dieser ableiten lassen (vgl. Gesetzmässigkeit oben).
- Richtigkeit: Die Personendaten, die Sie bearbeiten, müssen richtig und vollständig sein (§ 7 Abs. 2 lit. b IDG). Richtig und vollständig sind Personendaten immer dann, wenn sie eine Tatsache oder einen Umstand, bezogen auf die betroffene Person und den Bearbeitungszweck, sachgerecht wiedergeben. Ob ein bestimmtes Personendatum richtig ist und wie weit diesbezüglich Ihre Vergewisserungspflicht geht, kann nicht allgemein, sondern nur im konkreten Anwendungsfall beantwortet werden.
- Transparenz gegenüber den betroffenen Personen: Sie müssen sicherstellen, dass sowohl die Beschaffung von Personendaten als auch der Zweck, für den sie beschafft werden, für die betroffenen Personen erkennbar sind (§ 12 Abs. 1 IDG) (vgl. Zweck oben). Bei der Beschaffung besonderer Personendaten sind die betroffenen Personen aktiv über den Zweck der Bearbeitung zu informieren (§ 12 Abs. 2 IDG). Transparenz schafft Vertrauen und soll die betroffenen Personen in die Lage versetzen, gegebenenfalls ihre Rechte wahrnehmen zu können. Hier setzen insbesondere sog. Datenschutzerklärungen an.
- Informationssicherheit: Sie müssen die Personendaten durch angemessene organisatorische und technische Massnahmen schützen (§ 7 Abs. 1 IDG). Die zu treffenden Massnahmen richten sich nach der Art der Information (z. B. Personendaten oder besondere Personendaten), nach Art und Zweck der Bearbeitung und nach dem jeweiligen Stand der Technik. § 7 Abs. 2 DIG definiert in nicht abschliessender Weise Schutzziele. Die Informatiksicherheitsverordnung enthält detaillierte Regelungen.
- Gesetzmässigkeit (Erfordernis der gesetzlichen Grundlage): Personendaten dürfen nur bearbeitet werden, wenn dafür eine gesetzliche Grundlage besteht. Eine gesetzliche Grundlage liegt vor, wenn: