Leitfaden für Gemeinden – Datenschutz

Das schweizerische Datenschutzrecht schützt die Persönlichkeit und die Grundrechte der Person, deren Daten bearbeitet werden.

Das Datenschutzrecht bezweckt den Schutz der Grundrechte und der Privatsphäre der Einzelnen vor Beeinträchtigungen, die sich aus der Bearbeitung von Personendaten durch den Staat, die Gemeinden oder Private, soweit sie öffentlich-rechtliche Aufgaben erfüllen, ergeben können (Art. 1 DSchG). Der Datenschutz schützt die Privatsphäre und löst den Interessenkonflikt zwischen dem Interesse des Einzelnen, die Kontrolle über seine persönlichen Daten zu behalten, und dem Interesse der Verwaltung an der Bearbeitung dieser Daten, um effizient arbeiten zu können.

Konkretes Beispiel

Der Sozialdienst (Verantwortlicher) führt eine Liste der Sozialhilfebezügerinnen und -bezüger, die insbesondere ihren Namen, ihre Adresse, Angaben über ihre berufliche Situation (z.B. Arbeitslosigkeit), Angaben zu ihrem Gesundheitszustand oder zu allfälligen Betreibungen enthält. Bei diesen Daten handelt es sich um Personendaten, bei Gesundheitsdaten oder Angaben über Betreibungen sogar um besonders schützenswerte Personendaten (Art. 4 Abs. 1 Bst. c Ziff. 2 und 6 DSchG).

Der Sozialdienst kann sich einen Teil der für die Erfüllung seiner Aufgabe erforderlichen Informationen direkt bei der Gemeinde und/oder bei der Einwohnerkontrolle der Gemeinde beschaffen. Anhand dieser Angaben stellt der Sozialdienst ein Dossier zuhanden der Sozialkommission zusammen, und diese entscheidet darüber, ob Sozialhilfe gewährt wird und in welcher Höhe.

Sowohl die Datenbeschaffung bei der Einwohnerkontrolle als auch die Führung der Liste der Personen, die Sozialhilfe erhalten, und auch die Zusammenstellung des Dossiers für die Sozialkommission gelten als Bearbeitung von Personendaten durch den Sozialdienst.

Das DSchG soll sicherstellen, dass nur befugte Personen diese Daten bearbeiten und einsehen können. Somit kann die Einwohnerkontrolle das Dossier des Sozialdienstes nicht einsehen.

Häufig gestellte Fragen

• Für wen gilt das kantonale Datenschutzgesetz?

  Umgesetzt werden müssen die oben angesprochenen Datenschutzgrundsätze von den Organen des Staates, der Gemeinden und der übrigen juristischen Personen des öffentlichen Rechts sowie von Privatpersonen und Organen privater Institutionen, soweit sie öffentlich-rechtliche Aufgaben erfüllen (Art. 2 Abs. 1 DSchG). Jedes öffentliche Organ ist für den Schutz der Daten, die es bearbeitet, verantwortlich (Art. 36-45 DSchG). Seine Aufgabe ist es insbesondere, dafür zu sorgen, dass die Bearbeitungstätigkeiten der ÖDSMB gemeldet werden (Art. 38 und 39 DSchG), aber auch zu gewährleisten, dass die betroffenen Personen ihr Recht auf Auskunft über ihre eigenen Daten ausüben können (Art. 27-35 DSchG).

  Das zuständige Organ ist verpflichtet, bei jeder Bearbeitung von Personendaten alle sich aus dem Gesetz ergebenden Datenschutzpflichten zu erfüllen. Diese allgemeine Verantwortlichkeitsvorschrift wird dadurch ergänzt, dass für jede Bearbeitungstätigkeit ein Verantwortlicher bezeichnet werden muss (s. Art. 38 Abs. 2 Bst. a DSchG).

• Was ist beim Bearbeiten von Daten zu beachten?

  Bei der Bearbeitung von Personendaten müssen die wichtigsten Datenschutzgrundsätze eingehalten werden (Art. 5-11 DSchG). Dabei geht es um das Vorhandensein einer gesetzlichen Grundlage (Art. 5 und 6 DSchG), die Zweckbindung (Art. 7 DSchG), die Verhältnismässigkeit (Art. 8 DSchG), die Richtigkeit (Art. 9 DSchG), die Aufbewahrungsfrist (Art. 10 DSchG) sowie die besondere Sorgfaltspflicht (Art. 11 DSchG). Bei bestimmten Formen der Bearbeitung, wie beim Beschaffen von Daten (Art. 12 und 13 DSchG) oder auch bei der Bekanntgabe von Daten (Art. 14-17 DSchG), müssen zusätzliche Bedingungen erfüllt werden (z.B. Informationspflicht beim Beschaffen der Daten). Auf diese Grundsätze wird im Folgenden der Reihe nach eingegangen.

  Gesetzliche Grundlage (Art. 5 DSchG)

  Das öffentliche Organ darf Personendaten nur dann bearbeiten, wenn es in einer gesetzlichen Bestimmung vorgesehen wird oder wenn die Erfüllung einer gesetzlichen Aufgabe dies erfordert (Art. 5 Abs. 1 DSchG). Für das Bearbeiten besonders schützenswerter Personendaten und für Profiling-Aktivitäten braucht es ein Gesetz im formellen Sinn.

  Zweckbindung (Art. 7 DSchG)

  Der Grundsatz von Treu und Glauben ist ein wesentliches Element der Transparenz und Vorhersehbarkeit der Datenbearbeitung, und die betroffene Person kann sich in ihrem Verhalten entsprechend danach richten.

  Der Grundsatz der Zweckbindung (Art. 7 DSchG) ist eng mit dem allgemeinen Grundsatz von Treu und Glauben verbunden.  Wenn eine Person einem öffentlichen Organ gegenüber Angaben über sich macht, so tut sie dies nicht uneingeschränkt, sondern zum Zweck der Datenbearbeitung durch dieses Organ.

  Anhand folgender Fragen lässt sich feststellen, ob der Grundsatz der Zweckbindung eingehalten wurde:

  • Wurde der Zweck und die Art der Verarbeitung vorab bekanntgegeben? Schliesst dies aus, dass Daten uneingeschränkt beschafft werden? 
  • Entspricht die erfolgte Datenbearbeitung noch dem ursprünglichen Zweck, für den die Daten beschafft wurden?

  Die betroffene Person kann einer Verwendung der Daten zu anderen Zwecken zustimmen (Art. 7 Abs. 2 in Verbindung mit Art. 6 DSchG).

  Verhältnismässigkeit (Art. 8 DSchG)

  Nach dem Grundsatz der Verhältnismässigkeit müssen die Daten und die Art ihrer Bearbeitung für den Zweck der Bearbeitung nötig und geeignet sein und dürfen nicht über das dafür erforderliche Mass hinausgehen; dabei soll so weit wie möglich Rücksicht auf die Persönlichkeit und die Grundrechte der betroffenen Person genommen werden. Der Grundsatz der Verhältnismässigkeit ist ein wesentliches Element des Datenschutzes und ist von der Phase der Datenbeschaffung bis zur Phase der Datenvernichtung beziehungsweise der Archivierung einzuhalten.

  Richtigkeit (Art. 9 DSchG)

  Das öffentliche Organ muss sich über die Richtigkeit der von ihm bearbeiteten Daten vergewissern und muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind.

• Wie kommt man an die Daten (Beschaffen von Daten, Art. 12 und 13 DSchG)?

  Der Verantwortliche informiert die betroffene Person angemessen über das Beschaffen von Personendaten. Werden die Personendaten direkt bei der betroffenen Person beschafft, muss ihr der Verantwortliche die Auskünfte nach Artikel 12 Abs. 2 DSchG erteilen. Werden Personendaten bei einem anderen Organ oder bei Dritten beschafft, so informiert der Verantwortliche die betroffene Person darüber sowie über die Art der beschafften Daten.

  In gewissen Fällen ist der Verantwortliche jedoch von der Informationspflicht entbunden (Art. 13 DSchG).

  Personendaten dürfen nur zu dem Zweck bearbeitet werden, für den sie beschafft wurden (Art. 7 DSchG).

  Grundsätzlich sollte man sich bei der Beschaffung von Personendaten insbesondere folgende Fragen stellen:

  • Gibt es gesetzliche Grundlagen, die die geplante Datenbeschaffung erlauben? Wenn nein, ist sie für die Erfüllung gesetzlicher Aufgaben erforderlich?
  • Handelt es sich um eine systematische Datenbeschaffung oder um eine Beschaffung in einem Einzelfall?
  • Bei wem werden die Daten beschafft (betroffene Person, anderes öffentliches Organ, Dritte usw.)?
  • Ist die betroffene Person darüber informiert, dass es sich um eine Datenbeschaffung handelt (ist ihr bewusst, dass Daten über sie erhoben werden)?
  • Wurde die betroffene Person über den Zweck der Datenbeschaffung informiert (kennt sie die Gründe dafür), über die Empfänger ihrer Daten, darüber, ob die Datenerhebung obligatorisch oder freiwillig ist?
• Worauf ist beim Bearbeiten von Personendaten zu achten (Bearbeiten, Beschaffen, Bekanntgabe, Art. 12-17 DSchG)?

  Nachdem die Personendaten beschafft worden sind, werden sie entsprechend dem ursprünglichen Zweck bearbeitet und verwendet. Manchmal kann dabei auch die Bekanntgabe von Daten an andere öffentliche Organe oder an Dritte in Frage kommen. Unter Bekanntgabe ist das Zugänglichmachen von Personendaten zu verstehen, z.B. indem die Einsichtnahme gewährt wird, die Daten weitergegeben oder verbreitet werden. Die Bekanntgabe von Personendaten umfasst also sowohl die aktive Verbreitung von Daten als auch den passiven Zugang zu den Daten (z. B. einem anderen öffentlichen Organ und/oder einem Dritten die Einsichtnahme in die Daten zu ermöglichen).

  Insbesondere anhand folgender Fragen lässt sich feststellen, ob ein ausreichender Datenschutz gewährleistet ist:

  • Handelt es sich um Personendaten oder um besonders schützenswerte Personendaten (erhöhte Sorgfaltspflicht erforderlich)?
  • Gibt es ausdrückliche gesetzliche Grundlagen, welche die geplante Datenbearbeitung erlauben? Was verlangen diese? Falls nein, ist die Datenbearbeitung für die Erfüllung einer gesetzlich klar definierten Aufgabe unerlässlich und birgt sie keine besonderen Risiken für die Grundrechte der betroffenen Personen?
  • Würden anonyme Daten ausreichen? Wenn ja, werden die Daten anonymisiert? Liegen sie schon in anonymisierter Form vor?
  • Wenn die Bearbeitung nicht im Gesetz vorgesehen ist, hat die betroffene Person ihre Einwilligung gegeben oder kann diese nach den Umständen vorausgesetzt werden? Wurde die Einwilligung frei und in Kenntnis der Sachlage erteilt? 

  Die Artikel 14-17 DSchG begründen an sich keine gesetzliche Grundlage, die die Bekanntgabe von Personendaten erlaubt; sie knüpfen lediglich die verschiedenen Formen der Bekanntgabe an zusätzliche Bedingungen, zu denen die allgemeinen Bedingungen nach den Artikeln 5-11 DSchG hinzukommen.

• In welchen Fällen dürfen Daten bekanntgegeben werden (Art. 14 ff. DSchG)?

  Der Gesetzgeber unterscheidet zwischen der systematischen Bekanntgabe (s. Punkt 1.1) und der Bekanntgabe im Einzelfall (s. Punkt 1.2).

  1.1. Systematische Bekanntgabe

  Die systematische Bekanntgabe von Daten ist zulässig, wenn ein Gesetz sie vorsieht (Art. 14 Abs. 1 DSchG), das heisst wenn die Bekanntgabe ausdrücklich in einer Gesetzesbestimmung vorgesehen ist.

  1.2. Bekanntgabe im Einzelfall

  Im Einzelfall ist die Bekanntgabe von Daten zulässig, wenn eine der folgenden drei Bedingungen erfüllt ist (Art. 14 Abs. 2 DSchG):

  • wenn das Bekanntgeben für die Erfüllung der gesetzlichen Aufgaben des Verantwortlichen oder der Datenempfängerin oder des Datenempfängers unerlässlich ist (Bst. a). Die gesetzliche Aufgabe muss definiert sein oder sich aus den gesetzlichen Bestimmungen ergeben. Das öffentliche Organ kann seine Aufgabe ohne die Angaben nicht ordnungsgemäss erfüllen;
  • wenn die betroffene Person in das Bekanntgeben eingewilligt hat (Bst. b);
  • wenn die private Person, welche die Daten anfordert, ein Interesse an der Bekanntgabe nachweisen kann, das dem Interesse der betroffenen Person an der Geheimhaltung der Daten vorgeht (Bst. c). Das öffentliche Organ muss eine Abwägung zwischen den Interessen der betroffenen Person und den Interessen der Person, die die Daten anfordert, vornehmen. Dabei ist nicht auszuschliessen, dass eine Bekanntgabe auch in Fällen möglich ist, in denen sich die betroffene Person dagegen ausgesprochen hat.
• Datenschutz, Amtsgeheimnis und Berufsgeheimnis

  Die Rechtmässigkeit der Bekanntgabe von Daten muss nachgewiesen werden, und zwar nicht nur hinsichtlich der Bedingungen nach Art. 14 DSchG und der allgemeinen Datenschutzgrundsätze, sondern auch im Hinblick darauf, ob es Einschränkungen für die Bekanntgabe gibt (Art. 16 DSchG). So wird die Bekanntgabe abgelehnt, eingeschränkt oder mit Auflagen verbunden, wenn ein überwiegendes öffentliches Interesse oder ein schutzwürdiges Interesse der betroffenen Person oder eines Dritten es gebietet (Bst. a) oder eine gesetzliche Geheimhaltungspflicht (z.B. Amts- oder Berufsgeheimnis) oder eine besondere Datenschutzbestimmung es erfordert (Bst. b).

  Der Zweck des Amtsgeheimnisses besteht darin zu verhindern, dass Angelegenheiten verbreitet werden, von denen ein Amtsträger einer öffentlichen Körperschaft (Staat, Gemeinde) in Ausübung seines Amtes Kenntnis erhält und die ihrer Natur und den Umständen nach oder gemäss besonderen Vorschriften geheim zu halten sind (z.B. wer bei der Gemeinde Sozialhilfe beantragt).

  Das Berufsgeheimnis verbietet es der Person, die daran gebunden ist (z.B. Arzt, Anwalt usw.), ein Geheimnis zu offenbaren, das ihr im Rahmen ihres Berufs anvertraut wurde oder von dem sie bei der Ausübung ihres Berufs Kenntnis erlangt hat.

  Das Amtsgeheimnis, das Berufsgeheimnis und der Datenschutz sind nicht unvereinbar: Wer einer dieser Geheimhaltungspflichten untersteht, kann auch verpflichtet sein, die Datenschutzgrundsätze einzuhalten. Die Verletzung des Amts- oder Berufsgeheimnisses haben strafrechtliche Folgen (Art. 320 und 321 des Schweizerischen Strafgesetzbuchs vom 21. Dezember 1937, StGB; SR 311.0).

• Was tun bei einer Anfrage aus dem Ausland?

  Die Bekanntgabe von Daten ins Ausland ist speziell in Artikel 15 DSchG geregelt, in dem zusätzliche Bedingungen dafür gestellt werden. Grundsätzlich ist sie zulässig, wenn in einem Entscheid des Bundesrats festgestellt wird, dass der Empfängerstaat oder das internationale Organ ein angemessenes Datenschutzniveau gewährleistet. 

  Liegt kein solcher Entscheid vor, so dürfen Personendaten unter den Voraussetzungen nach Artikel 15 Abs. 2 DSchG ins Ausland bekanntgegeben werden. Im Übrigen muss das öffentliche Organ vor der Bekanntgabe von Daten ins Ausland die ÖDSMB über die Garantien nach Absatz 2 Bst. a informieren (Art. 15 Abs. 3 DSchG).

  In Anhang 1 der eidgenössischen Verordnung über den Datenschutz vom 31. August 2022 (DSV; SR 235.11), die über die Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zugänglich ist, sind die Staaten aufgelistet, deren Gesetzgebung ein angemessenes Datenschutzniveau bietet.

  Die ÖDSMB hat auf ihrer Website ein Informationsblatt zur Datenübermittlung ins Ausland aufgeschaltet.

• Wie lange müssen/dürfen die Daten aufbewahrt werden?

  Nach den Grundsätzen des Datenschutzes dürfen Personendaten nur so lange aufbewahrt werden, wie es für den Zweck, für den sie beschafft und bearbeitet wurden, vertretbar ist.

  Sobald dieser Zweck erfüllt ist, müssen die Personendaten vernichtet, anonymisiert oder archiviert werden, sofern sie archivwürdig sind (Art. 10 Abs. 1 und 24 DSchG). Damit soll das Recht auf Vergessen gewährleistet werden. Allerdings stehen diesem Recht manchmal andere Interessen entgegen (Beweismittel, historische und wissenschaftliche Interessen), die bei der Interessenabwägung berücksichtigt werden müssen. Vorbehalten bleiben die kantonalen und kommunalen Bestimmungen über die Archivierung (Art. 10 Abs. 1 in fine und 23 DSchG).

• Können Privatpersonen Auskunft über ihre Daten verlangen (Auskunftsrecht, Art. 27 ff. DSchG)?

  Das Recht auf Auskunft über die eigenen Daten (Art. 27 ff. DSchG) ist für die betroffene Person das Pendant zum Recht des öffentlichen Organs, Personendaten zu bearbeiten. Es ist ein subjektives, höchstpersönliches Recht. Das heisst, dass urteilsfähige Minderjährige oder urteilsfähige Personen unter umfassender Beistandschaft dieses Recht ohne Einwilligung ihrer gesetzlichen Vertretung ausüben können. Ausserdem kann nach Artikel 27 Abs. 1 DSchG niemand im Voraus auf das Auskunftsrecht verzichten.

  Das Auskunftsrecht gilt für alle Personendaten der betroffenen Person, die das öffentliche Organ bearbeitet (Art. 27 DSchG). Stellt die betroffene Person dabei fest, dass widerrechtlich Daten über sie bearbeitet werden oder die Daten ungenau oder falsch sind, so kann sie beim öffentlichen Organ verschiedene Beseitigungs- und Unterlassungsansprüche geltend machen (Art. 33 DSchG). Wer ein schutzwürdiges Interesse hat, kann also namentlich verlangen, dass die widerrechtliche Bearbeitung von Personendaten unterlassen oder beendet wird, dass Daten berichtigt oder gelöscht werden oder ihre Bearbeitung vorübergehend untersagt wird (z.B. Änderung oder Bekanntgabe). Ausserdem kann die betroffene Person, die einen Schaden erleidet, weil die Bestimmungen des DSchG verletzt wurden, auch Schadenersatz- und Genugtuungsansprüche geltend machen (Art. 35 DSchG).

• Was ist bei einem Gesuch um Auskunft über die eigenen Daten zu tun?

  Das Auskunftsrechtsverfahren (Art. 28 DSchG) ist relativ einfach. Wer das Auskunftsrecht geltend macht, muss sich ausweisen. Die Gesuchstellenden müssen ihr Gesuch nicht begründen und können Auskunft über alle Datensammlungen verlangen, für die das öffentliche Organ verantwortlich ist. Lässt ein öffentliches Organ Daten durch einen Auftragsbearbeiter bearbeiten, so ist es ebenfalls verpflichtet, die Daten bekanntzugeben und die verlangten Auskünfte zu erteilen (Art. 27 Abs. 3 DSchG). Es ist allerdings darauf hinzuweisen, dass ein allgemeines Auskunftsgesuch, das an die gesamte Verwaltung gerichtet ist, nicht zulässig ist.

  In der Regel werden die verschiedenen Auskünfte schriftlich auf einem Schriftstück oder in elektronischer Form erteilt. Eine Einsichtnahme vor Ort ist denkbar, erfordert aber die Zustimmung des Verantwortlichen. Grundsätzlich ist das Verfahren kostenlos; es können jedoch Gebühren erhoben werden, wenn der Aufwand für die Gesuchsbearbeitung unverhältnismässig oder zu gross ist.

• Wann kann das Auskunftsrecht verweigert werden?

  Grundsätzlich muss der Verantwortliche das Recht auf Auskunft über die eigenen Daten gewähren. Allerdings kann er nach Artikel 29 Abs. 1 DSchG die Auskunft verweigern, einschränken oder aufschieben, wenn eine der folgenden Bedingungen erfüllt ist: es ist in einem Gesetz im formellen Sinn vorgesehen (Bst. a), ein überwiegendes öffentliches Interesse gebietet es (z.B. wenn ein laufendes Verfahren oder eine laufende Untersuchung beeinträchtigt werden könnte) oder das Auskunftsgesuch ist offensichtlich missbräuchlich (z.B. wenn ständig Gesuche gestellt werden) (Bst. c) Der Verantwortliche muss seinen Entscheid begründen, und dieser kann mit Beschwerde angefochten werden (Art. 34 Abs. 1 DSchG).

  Die Auskunft kann nur dann verweigert werden, wenn je nach Zweck der Bearbeitung keine weniger einschneidende Massnahme (z.B. Schwärzen gewisser Passagen) möglich ist. Auf der Website der ÖDSMB ist eine Kurzanleitung zum Schwärzen von Textstellen aufgeschaltet.

• Was, wenn das Gesetz nicht eingehalten wird?

  Die Aufsicht über den Datenschutz wird von der ÖDSMB ausgeübt (Art. 46 DSchG). Sie ist mit Interventionsbefugnissen ausgestattet. Bei einer Verletzung oder einer möglichen Verletzung der Datenschutzvorschriften:

  • gibt die oder der Öffentlichkeits- und Datenschutzbeauftragte Empfehlungen zuhanden öffentlicher Organe ab, die Personendaten bearbeiten (z.B. Aufforderung, von der Beschaffung, der Bekanntgabe abzusehen usw.) (Art. 54 Abs. 1 Bst. k und 57 DSchG);
  • gibt das öffentliche Organ oder das hierarchisch übergeordnete Organ innerhalb der von der oder dem Beauftragen gesetzten Frist eine Stellungnahme zur Folge ab, die es der Empfehlung leisten will (Art. 57 Abs. 3 DSchG). Eine fehlende Stellungnahme wird als Ablehnung der Empfehlung betrachtet;
  • kann die kantonale Öffentlichkeits-, Datenschutz- und Mediationskommission (die Kommission) bei Ablehnung der Empfehlung einen Entscheid fällen (z.B. verfügen, dass die ganze Bearbeitung oder ein Teil davon ausgesetzt, geändert oder eingestellt wird und dass alle Personendaten oder ein Teil davon gelöscht oder vernichtet werden) (Art. 57 Abs. 4 und 58 DSchG);
  • kann das öffentliche Organ den Entscheid der Kommission mit Beschwerde anfechten (Art. 59 Abs. 2 DSchG).

  Dieses System bietet einen wirksamen Schutz, selbst bei einer Verletzung der Datenschutzvorschriften, bei der nicht direkt die betroffene Person zu Schaden kommt.

• Gelten für die Einwohnerkontrolle besondere Bestimmungen?

  1.1 Beschaffen und Bearbeiten von Personendaten

  Nach Artikel 17 Abs. 1 DSchG richtet sich die Bekanntgabe von Personendaten, die bei der Einwohnerkontrolle eingetragen sind, nach dem Gesetz vom 23. Mai 1986 über die Einwohnerkontrolle (EKG; SGF 114.21.21). Laut Artikel 16 Abs. 1 EKG führt der Staat eine Informatikplattform (FriPers-Plattform) mit den in den Einwohnerregistern der Gemeinden erfassten Daten nach Artikel 4 EKG. Diese Plattform soll die Datenlieferung an die Berechtigten erleichtern. Sie erlaubt namentlich den Datenaustausch zwischen Gemeinden im Falle des Weg- oder Zuzugs von Personen, die Übermittlung an das Bundesamt für Statistik gemäss der Bundesgesetzgebung sowie an die ordnungsgemäss berechtigten Behörden und öffentlichen Verwaltungen (Art. 16 Abs. 2 EKG).

  In Artikel 6 des Bundesgesetzes vom 23. Juni 2006 über die Harmonisierung der Einwohnerregister und anderer amtlicher Personenregister (RHG, SR 431.02) ist der minimale Inhalt der Einwohnerregister festgelegt, wozu noch die in Artikel 4 Abs. 2 EKG aufgelisteten Daten kommen. Dies sind die Pflichtdaten, die die Gemeinde für jede neue Einwohnerin und jeden neuen Einwohner ins Einwohnerregister eintragen muss und die dann an die FriPers-Plattform übermittelt werden.

  Die Gemeinde kann weitere Informationen einholen, aber sie muss die betroffene Person entsprechend darüber informieren, dass Personendaten erhoben werden (Art. 12 Abs. 1 und 2 DSchG). Sie muss sie namentlich über den Verantwortlichen, den Zweck des Bearbeitens, die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen die Personendaten bekanntgegeben werden, informieren sowie darüber, ob das Beschaffen der Daten obligatorisch oder freiwillig ist. Das Beschaffen zusätzlicher Daten muss ausserdem zweckmässig und verhältnismässig sein.

  1.2 Bekanntgabe von Personendaten

  Bei Bekanntgabe von bei der Einwohnerkontrolle eingetragenen Daten unterscheidet das EKG zwischen der Mitteilung an Behörden und öffentliche Verwaltungen und der Bekanntgabe an Privatpersonen (Art. 16a-17a EKG). 

  1.2.1 Mitteilung an Behörden und öffentliche Verwaltungen (Art. 16a und 16b EKG)

  Die Einwohnerkontrolle muss ganz generell eine Reihe von Informationen an Behörden und öffentliche Verwaltungen weitergeben.

  Für die systematische Bekanntgabe von Daten, die bei der Einwohnerkontrolle eingetragen sind, muss ein Antrag auf Zugang zur Fripers-Plattform gestellt werden. Nach Artikel 16a Abs. 1 EKG können die öffentlichen Organe auf die Daten der FriPers-Plattform zugreifen, die sie zur Erfüllung ihrer gesetzlichen Aufgaben benötigen; für den Zugriff braucht es allerdings eine Bewilligung. die Art der Zugangsberechtigung hängt von der Art der Aufgaben des öffentlichen Organs ab, insbesondere ob diese einen regelmässigen oder punktuellen Zugriff auf die Daten erfordern. So kann nach Artikel 16a Abs. 2 EKG ein direkter Zugriff auf gewisse Daten der Informatikplattform mittels Abrufverfahren gewährt werden (Bst. a), ein indirekter über eine elektronische Anfrage an die Fripers-Plattform (Bst. b) oder auch ein indirekter über eine Anfrage an das Amt für Bevölkerung und Migration (BMA) für Daten über die Einwohnerinnen und Einwohner von mehreren Gemeinden (Bst. c).

  Die Vorsteherin oder der Vorsteher der Einwohnerkontrolle kann zudem im Einzelfall einer Behörde oder einer öffentlichen Verwaltung auf Anfrage hin die Daten mitteilen, die sie für die Erfüllung ihrer Aufgabe benötigt (Art. 16b Abs. 1 EKG). Das öffentliche Organ, das Auskunft über Einwohnerregisterdaten verlangt, muss grundsätzlich einen schriftlichen Antrag stellen und kurz erklären, inwiefern die von ihm verlangten Angaben für die Erfüllung seiner Aufgaben erforderlich sind.  Die Bekanntgabe von Personendaten muss in jedem Fall zweckmässig und verhältnismässig sein.

  1.2.2 Bekanntgabe an private Personen (Art. 17 und 17a EKG)

  In einigen Fällen können Daten, die bei der Einwohnerkontrolle eingetragen sind, auch privaten Personen bekanntgegeben werden. Dabei wird namentlich zwischen der Bekanntgabe im Einzelfall und der systematischen Bekanntgabe unterschieden.

  Zum Ersten kann die Vorsteherin oder der Vorsteher der Einwohnerkontrolle im Einzelfall einer privaten Person oder Organisation, die ein berechtigtes Interesse glaubhaft macht (z.B. ein Gläubiger, der die Adresse seines Schuldners ausfindig machen will), die folgenden abschliessend aufgezählten Personendaten bekanntgeben: Name, Vorname(n), Geschlecht, Geburtsdatum, Zivilstand, Beruf, Adresse und Ankunftsdatum sowie gegebenenfalls das Wegzugsdatum und den neuen Wohnort (Art. 17 Abs. 1 EKG). Da nach Gesetz für die Bekanntgabe der angeforderten Daten ein berechtigtes Interesse bestehen muss, kann ein Gesuch um Bekanntgabe nur stellen, wer sich auf ein solches Interesse berufen kann. Lässt sich der Gläubiger vertreten, so muss der Beauftragte eine ordnungsgemäss erteilte, vom Auftraggeber unterzeichnete Vollmacht vorweisen.

  Zum Zweiten kann der Gemeinderat nach Artikel 17 Abs. 2 EKG die Bekanntgabe der Namen, Vornamen, Geburtsdaten und Adressen von Personen, die durch ein allgemeines Kriterium definiert sind (z.B. eine Liste mit den Namen aller in der Gemeinde wohnhaften Personen, die 1985 geboren wurden), erlauben, wenn diese Daten für schützenswerte ideelle Zwecke (und nicht zu kommerziellen Zwecken) verwendet werden. Dabei handelt es sich um eine systematische Bekanntgabe von Daten, da sie eine Vielzahl von Personen betrifft.

  Zum Dritten kann die Einwohnerkontrolle einer Privatperson gemäss Artikel 26 DSchG für wissenschaftliche Forschungsprojekte Daten aus dem Einwohnerregister bekanntgeben. Mehr dazu und zu den (strengen) Voraussetzungen für die Umsetzung ist in den Richtlinien «Nicht medizinische Forschungsprojekte» auf der Website der ÖDSMB zu finden.

  Schliesslich müssen Personendaten auch dann übermittelt werden, wenn eine andere gesetzliche Bestimmung dies verlangt (z.B. gesetzliche Bestimmung über eine Amtshilfepflicht). Die Voraussetzungen dafür sind genauestens zu prüfen.

  In jedem Fall müssen bei der Bekanntgabe von Daten durch die Gemeinde die Grundsätze der Zweckbindung und der Verhältnismässigkeit eingehalten werden. Da die betreffenden Daten nur zu einem ganz bestimmten Zweck bekanntgegeben werden, dürfen sie nicht aufbewahrt und zu anderen Zwecken wiederverwendet werden. Es empfiehlt sich, eine schriftliche Bestätigung für die Vernichtung der Daten zu verlangen.

• Was, wenn die betroffene Person ihre Daten sperren lässt (Sperrecht, Art. 31 DSchG, Art. 18 EKG)?

  Das auch «Widerspruchsrecht» genannte Sperrrecht ist das Recht, das der betroffenen Person zusteht, gegen das Bekanntgeben bestimmter Personendaten durch den Verantwortlichen Einsprache einzulegen (Art. 31 Abs. 1 DSchG). Ein solches Recht ist auch in Art. 18 des Gesetzes über die Einwohnerkontrolle (EKG) für die Einwohnerregisterdaten verankert. Im Gegensatz zum DSchG kann nach dem EKG jedoch nur die Bekanntgabe der bei der Einwohnerkontrolle eingetragenen Daten gesperrt werden, und das Sperrrecht gilt nur gegenüber Privatpersonen, nicht aber gegenüber öffentlichen Organen. Es genügt, wenn die betroffene Person der Vorsteherin oder dem Vorsteher der Einwohnerkontrolle eine Erklärung für die Sperrung der Daten zukommen lässt (Art. 18 Abs. 1 EKG). Zur Ausübung dieses Rechts muss kein berechtigtes Interesse nachgewiesen oder glaubhaft gemacht werden. 

  Das Sperrrecht gilt allerdings nicht absolut. So dürfen Personendaten gemäss Artikel 31 Absatz 2 DSchG trotz Sperrrecht bekanntgegeben werden, wenn es gesetzlich vorgesehen ist (Bst. a), die Unterlassung der Mitteilung die Erfüllung der Aufgaben des öffentlichen Organs gefährden könnte (Bst. b) oder die Person, welche die Daten anfordert, eine Privatperson ist und keine rechtlichen Hindernisse für die Bekanntgabe existieren und die Gesuchstellerin oder der Gesuchsteller beweist, dass die betroffene Person sich wahrscheinlich der Bekanntgabe nur widersetzt, um sie oder ihn daran zu hindern, rechtliche Forderungen oder andere rechtmässige Interessen geltend zu machen (Bst. c). 

  Nach Artikel 18 Abs. 2 EKG ist die Bekanntgabe trotz Sperrung zulässig, wenn eine gesetzliche Bestimmung sie vorsieht (Bst. a) oder die Sperrung zur Folge hätte, dass der Gesuchsteller seine Rechtsansprüche nicht geltend machen oder andere berechtigte Interessen nicht wahrnehmen könnte (Bst. b) (z.B. ein Schuldner, der seine Daten sperren lässt, um einen Gläubiger an der Durchsetzung seiner Betreibungsrechte zu hindern, ein Elternteil, die oder der ihre Daten sperren lässt, um die Ausübung eines Besuchsrechts zu verhindern usw.). Bei einem Sperrrecht muss eine Interessenabwägung vorgenommen werden.

  Die Sperrung muss vorgängig beantragt worden sein, damit sich eine Person darauf berufen kann, und die Ausübung des Sperrrechts muss unkompliziert sein, damit sich die Bürgerinnen und Bürger nicht davon abschrecken lassen.

• Was bedeutet das DSchG für die Nutzung sozialer Medien?

  Für die Nutzung (Kommunikation und Veröffentlichung von Dokumenten) von sozialen Medien (z.B. Facebook, Instagram, usw.) durch öffentliche Organe gelten die Datenschutzvorschriften.

  Das öffentliche Organ ist allein für die Inhalte verantwortlich, die es auf der Plattform veröffentlicht. Daher muss es seinen Account aktiv verwalten und regelmässig auf Inhalte überprüfen, die die Persönlichkeit verletzen oder gegen die Rechtsordnung verstossen könnten. Ausserdem muss das öffentliche Organ die Rechtsgrundlagen für die Eröffnung des Accounts angeben.

• Was bedeutet das DSchG für die Datenauslagerung?

  Bei einem Outsourcing oder einer Auslagerung der Datenbearbeitung beauftragt das öffentliche Organ extern und gegen Bezahlung eine Privatfirma oder Privatpersonen mit Datenbearbeitungen oder Dienstleistungen in Zusammenhang damit. 

  Diese Auslagerung kann sich auf den technischen Aspekt der Bearbeitung beziehen, aber auch auf sonstige Aspekte der materiellen Bearbeitung von Personendaten (z.B. das Beschaffen von Daten). Das Gesetz räumt öffentlichen Organen die Möglichkeit ein, solche Aufträge zu erteilen. Allerdings muss die Einhaltung der Datenschutzvorschriften gewährleistet sein. So bleibt nach Artikel 19 Abs. 1 DSchG das öffentliche Organ, das eine Auslagerung vornimmt, für den Schutz der Personendaten, insbesondere für die Vertraulichkeit und die Dauerhaftigkeit ihrer Aufbewahrung und Nutzung verantwortlich. Es empfiehlt sich, eine spezifische Vertraulichkeitserklärung entsprechend den Anforderungen nach Artikel 18-21 DSchG vorzusehen. Es muss ein Vertrag abgeschlossen werden, der mindestens die Punkte nach Artikel 19 Absatz 1 Buchstabe b DSchG beinhaltet.

  Öffentliche Organe lagern die Bearbeitung ihrer Daten zunehmend aus. Dabei stellen sich viele Fragen: Weiss das auslagernde Organ, wo sich seine Daten befinden, ob Auftragsbearbeiter beteiligt sind und ob ein angemessener Schutz gewährleistet ist? Um die Datenbearbeitung auslagern zu dürfen, muss das öffentliche Organ die gesetzlichen Pflichten erfüllen und insbesondere alle geeigneten organisatorischen und technischen Massnahmen gegen jegliches unerlaubte Bearbeiten der Daten treffen. Ausserdem haftet es für die Risiken der Auslagerung, da es für die Daten verantwortlich bleibt.

• Was bedeutet das DSchG für die Videoüberwachung?

  Nach Artikel 25 DSchG sind die Datenschutzvorschriften für die Videoüberwachung in der einschlägigen Gesetzgebung verankert, das heisst im Gesetz über die Videoüberwachung vom 7. Dezember 2010 (VidG; SGF 17.3) und in der Verordnung über die Videoüberwachung vom 23. August 2011 (VidV; SGF 17.31).

  Die Videoüberwachung ist eine Datenbearbeitung, die der Einhaltung der Datenschutzvorschriften unterliegt (Art. 1 Abs. 1 VidG). Das VidG gilt für Videoüberwachungsanlagen mit oder ohne Datenaufzeichnung, die sich vollständig oder teilweise auf öffentlichem Grund befinden.

  Für eine Videoüberwachung braucht es:

  • Eine Bewilligung der Oberamtsperson, mit Stellungnahme der ÖDSMB, wenn es um eine Videoüberwachungsanlage mit Datenaufzeichnung geht (Art. 5 VidG);
  • eine vorgängige Benachrichtigung der Oberamtsperson und der oder des Öffentlichkeits- und Datenschutzbeauftragten, wenn es um eine Videoüberwachungsanlage ohne Datenaufzeichnung geht (Art. 7 VidG).

  Mehr zu den Videoüberwachungsanlagen und zum Bewilligungsverfahren ist auf der Website des Staates Freiburg zu finden.

• Auskunftsrecht zu den eigenen persönlichen Daten - Verfahren mit Schema

  Schema