Stellungnahme zur Totalrevision des kantonalen Datenschutzgesetzes (KDSG)
Per E-Mitwirkung
Direktion für Inneres und Justiz
Münstergasse 2
Postfach
3000 Bern 8
Bern, 26. September 2023
Stellungnahme der demokratischen Juristinnen und Juristen Bern (djb) zur Totalrevision des kantonalen Datenschutzgesetzes KDSG
Sehr geehrte Frau Regierungsrätin, sehr geehrte Damen und Herren
Die demokratischen Juristinnen und Juristen Bern (djb) bedanken sich für die Möglichkeit, zur Totalrevision des kantonalen Datenschutzgesetzes (KDSG) Stellung nehmen zu können. In einem ersten Teil der Stellungnahme finden Sie unsere grundsätzliche Einschätzung, im zweiten Teil folgen Detailausführungen zu einzelnen Punkten der Gesetzesrevision.
Grundsätzliches
Mit der vorliegenden Revision passt der Kanton Bern seine Datenschutzgesetzgebung an die europäische und die eidgenössische Gesetzgebung an. Die djb begrüssen die Revision und die damit einhergehende Aufwertung des Datenschutzes grundsätzlich, insbesondere die Aktualisierung des Katalogs der besonders schützenswerten Personendaten und die Transparenzbestimmungen. Ebenfalls einleuchtend erscheint eine gewisse Zentralisierung der datenschutzrechtlichen Aufgaben, wo es von den Strukturen her sinnvoll ist. Die djb stellen sich hinsichtlich des Zwecks auf den Standpunkt, dass die Personen nicht nur vor missbräuchlicher Datenbearbeitung durch die Behörden geschützt werden sollen, sondern dass der Schutz der persönlichen
Daten ganz allgemein im Zentrum behördlichen Handelns stehen soll. Allerdings wird das Gesetz seinem Anspruch auf Schutz vor missbräuchlicher Datenbearbeitung durch die Behörden nur teilweise gerecht. So bedauern es die djb insbesondere, dass der Regierungsrat sämtliche Spielräume nutzen
will, welche das europäische Recht offenlässt. Insbesondere die Beschränkung der Registerführung erachten die djb im Hinblick auf eine transparente Datenbearbeitung kritisch.
Die djb schliessen sich ausserdem der Kritik des Datenschutzbeauftragten an und lehnen die Variante 2 zu Art. 15 Abs. 3 VE-KDSG klar ab. Die Variante 1 sieht bereits - in Übereinstimmung mit dem nationalen Datenschutzgesetz (DSG) - Ausnahmen für die Bekanntgabe von Daten ins Ausland vor. Die Variante 2 ist vielmehr eine “lex-Microsoft”, von der vor allem grossen internationale Konzerne profitieren auf Kosten der Grundrechte der Berner*innen.
Wesentlich ist es für die djb hervorzuheben, dass die Kantonsverfassung explizit verlangt, dass Personendaten nur bearbeitet werden dürfen "wenn eine gesetzliche Grundlage besteht und die Daten für die Erfüllung ihrer Aufgaben
geeignet und notwendig sind" (Art. 18 Abs. 2 KV), weshalb die Formulierung im KDSG bei Art. 4 VE-KDSG problematisch ist. Die Verfassungsgrundlage ist diesbezüglich klar kumulativ formuliert.
Unklar ist den djb zudem, was im Fall einer Aufdeckung von Regelverstössen durch die Datenschutzbehörde geschieht, wenn diese nicht kontrollierend und sanktionierend tätig sein soll. Die vorliegende Totalrevision sollte zudem als Chance genutzt werden, das Vertrauensverhältnis zu den Behörden zu stärken, indem für Privatpersonen eine laienfreundliche Anlaufstelle geschaffen wird. Die Aufgaben der Datenschutzbehörde sind daher so zu erweitern, dass diese nicht nur aufsichtsrechtlich tätig wird, sondern ebenso informierende und unterstützende Hilfeleistungen für Privatpersonen bietet analog Art. 58 Abs. 1 Bst. a und d DSG.
Zu den einzelnen Artikeln nehmen wir wie folgt Stellung:
Art. 1
Es ist grund- und menschenrechtlich anerkannt, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Im Zentrum steht dabei schon längst nicht mehr nur der Schutz vor missbräuchlicher Datenbearbeitung. Aufgrund der immer grösseren Datenmenge, der Digitalisierung und der Vernetzung sind Datenvermeidung und Datensparsamkeit sowie Datensicherheit zentrale Aspekte eines modernen
und grund- und menschenrechtlich konformen Datenschutzes - ganz nach der goldenen Regel: So viel wie nötig, so wenig wie möglich! In diesem Sinne ist der Zweck des Datenschutzgesetzes anzupassen.
Vorschlag:
Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen bei der Datenbearbeitung ihrer Personendaten durch Behörden.
Art. 4 Abs. 1
Gemäss Art. 18 Abs. 2 KV dürfen Behörden Personendaten nur bearbeiten, wenn eine gesetzliche Grundlage besteht und die Daten für die Erfüllung ihrer Aufgaben geeignet und notwendig sind. Grundlage und Schranke des
staatlichen Handelns ist das Recht. Jede staatliche Tätigkeit benötigt eine gesetzliche Grundlage. Aus dem Vortrag geht hervor, dass mit der Unterscheidung zwischen “Gesetz” in Art. 4 Abs. 1 Bst. a VE-KDSG und "gesetzliche Aufgabe” in Art. 4 Abs. 1 Bst. b VE-KDSG zwischen “unmittelbaren oder mittelbaren” gesetzlichen Grundlagen unterschieden wird. Diese unklare Unterscheidung ist abzulehnen. Die Frage nach der Normdichte und Normstufe
ist jeweils abhängig von der Schwere des Grundrechtseingriffes und stellt sich im besonderen Gesetzgebungsverfahren. Als querschnittgesetzt hat das VE-KDSG daher die verfassungsrechtlichen Bearbeitungsgrundsätze zu wiederholen. Die vorliegende “alternative” Formulierung ist daher durch eine
"kumulative" Formulierung zu ersetzen. Profiling wird durch mehr als nur die Erhebung von personenbezogenen Daten definiert. Es ist die Verwendung von
Daten, um bestimmte Aspekte im Zusammenhang mit dem Individuum zu bewerten. Der Zweck ist, das Verhalten des Individuums vorherzusagen und Entscheidungen darüber zu treffen. Es handelt sich damit um einen besonders
schweren Eingriff in den Schutz der Persönlichkeit. Der Vortrag verweist dafür auf ARt. 3 Ziff. 4 der EU-Richtlinien, demnach das Profiling als “besondere, gefährliche Art des Bearbeitens von Personendaten” bezeichnet wird.
Für das Profiling bedarf es unabhängig davon, ob es mit einem hohen Risiko verbunden ist oder nicht einer ausdrücklichen Einwilligung oder einem Gesetz im formellen Sinne.
Vorschlag Art. 4 Abs. 1:
Die verantwortliche Behörde darf Personendaten bearbeiten, wenn eine gesetzliche Grundlage besteht und die Daten für die Erfüllung ihrer Aufgaben geeignet und notwendig sind.
Art. 15 Abs. 3 Bst. d
Wie bereits einleitend erwähnt, ist die Variante 2 aus grund- und völkerrechtlicher Überlegung abzulehnen und daher zu streichen.
Art. 18 Abs. 2
Es ist nicht ersichtlich und dargetan, weshalb die Aufzählung im Gegensatz zum Bund, wann ein hohes Risiko besteht abschliessend formuliert sein soll. Insbesondere da an die Risikobeurteilung keine allzu hohen Anforderungen gestellt werden, ist im Zweifelsfall eher eine Datenschutzfolgenabschätzung durchzuführen. Ein abschliessender Katalog könnte den falschen Eindruck von fehlendem Risiko entstehen lassen.
Vorschlag:
Ein hohes Risiko ergibt sich namentlich, wenn [...]
Art. 21
Die Meldepflicht für Datensammlungen, die besonders schützenswerte Personendaten enthalten, ist dahingehend zu ergänzen, dass ebenfalls Datensammlungen zu melden sind, mit denen Profiling betrieben wird.
Art. 25
Es ist nicht ersichtlich und begründet, wieso für die Behörden eine gesetzliche Frist zur Meldung bei Verletzung der Datensicherheit besteht, während beauftragte Dritte nur “so rasch als möglich” die Verletzung zu melden haben. Wie der jüngste Hackerangriff auf den IT-Dienstleisters Xplain zeigt, haben die Behörden ein hohes Interesse daran, nicht nur so rasch als möglich, sondern unverzüglich über Verletzungen informiert zu sein. Auch wenn dies in der Praxis in den Verträgen zwischen den Behörden und Dritten genauer geregelt sein dürfte, wäre es doch empfehlenswert, eine Mindestvorgabe ins Gesetz festzuschreiben.
Art. 27 Abs. 1 Bst. c
Die Ausnahme der Mitteilung der Verletzung der Datensicherheit an die betroffene Person bei unverhältnismässigem Aufwand und an deren Stelle die öffentliche Bekanntmachung ist abzulehnen. Eine Publikation im kantonalen Amtsblatt oder auf der Internetseite kann den grund- und menschenrechtlichen
Anforderungen nicht genügen. Damit würde die Bringschuld der Behörden ins Gegenteil verkehrt. Ausserdem ist kaum ein Fall vorstellbar, bei dem die finanziellen Interessen der Behörde das Informationsinteresse der betroffenen
Personen überwiegen.
Art. 29 Abs. 3
Gemäss Art. 29 Abs. 3 VE-KDSG regelt der Regierungsrat die Modalitäten des Auskunftsrechts auf Verordnungsstufe. Wobei gemäss Vortrag es zulässig sei, in “Ausnahmefällen” die Auskunft durch Einsicht in die Personendaten an Ort und Stelle erfolgen könne. Dies ist abzulehnen. Der Bedarf einer solchen Einschränkung ist nicht ersichtlich und dargetan. Eine Einsichtnahme vor Ort kann für verschiedene Personengruppen eine überdurchschnittliche Einschränkung oder sogar ein unüberwindbares Hindernis darstellen. Daher ist im Gesetz festzuhalten, dass die Auskunft auf Verlangen schriftlich zu erteilen ist.
Vorschlag:
Die Auskunft wird in allgemeinverständlicher Form und auf Verlangen schriftlich erteilt. Der Regierungsrat regelt die weiteren Modalitäten der Auskunft durch Verordnung.
Art. 44 Abs. 1
Der Absatz ist so anzupassen, dass die Datenschutzbehörde bei einer Anzeige zu einem Tätigwerden verpflichtet ist.
Vorschlag:
Die Datenschutzbehörde kann von sich aus die Einhaltung der Datenschutzbestimmungen und der Datensicherheit bei Behörden und beauftragen Dritten überprüfen. Bei einer Anzeige ist die Datenschutzbehörde zum entsprechenden Tätigwerden verpflichtet.
Art. 45 Abs. 2
Gemäss Vortrag soll es weiterhin möglich sein, dass die Datenschutzbehörde nicht direkt verfügt, sondern zuerst Empfehlungen abgibt und die betroffene Behörde dazu Stellung nehmen kann. Da in diesen Fällen der Datenschutzbehörde keine Verfügungskompetenz zukommt, sollte die Begründungspflicht der Behörde an eine Frist gebunden werden.
Vorschlag:
Folgt die Behörde einer Empfehlung nicht, teilt sie dies der Datenschutzbehörde innerhalb der ihr gesetzten Frist unter Angaben der Gründe mit.
Art. 46 Abs. 3
Das eKDSG ist wie bisher für gewisse hängige Verfahren nicht anwendbar gemäss Art. 3 Abs. 3 eKDSG. Unklar ist jedoch, weshalb die kantonale Datenschutzbehörde gegenüber Gerichtsbehörden und den Staatsanwaltschaften keine Verwaltungsmassnahmen erlassen kann, wo das eKDSG zur Anwendung kommt, also nach Abschluss des Verfahrens. Nach Abschluss des Verfahrens dürfte vor allem die Datenaufbewahrung und die Auskunftserteilung an Beteiligte bzw. Dritte im Zentrum stehen. Es ist nicht ersichtlich, wieso diesbezüglich der Datenschutzbehörde keine Kompetenz zukommen soll, wenn sie eine erhebliche oder drohende erhebliche Verletzung von Datenschutzbestimmungen feststellt. Insofern im Vortrag auch nicht eine Verletzung der Gewaltenteilung geltend gemacht wird. Sollte der Regierungsrat an der Bestimmung festhalten, so wäre genauer darzulegen, inwiefern eine
Verfügungskompetenz der Datenschutzbehörde nach Abschluss der Verfahren eine Verletzung der Gewaltenteilung darstellt.
Art. 53 Abs. 2
Die Delegation der Ausnahmeregelung an den Regierungsrat für jene Fälle, bei denen die Auskunft kostenpflichtig ist, ist abzulehnen. Insbesondere ist abzulehnen, dass bei einem grossen Aufwand Kosten auf die gesuchstellende
Person übertragen werden können. Zwar gibt es ähnliche Regelungen im Öffentlichkeits- bzw. Informationsgesetz. Im Unterschied dazu handelt es sich hier aber um ein Auskunftsgesuch der betroffenen Person, die Auskunft über
die eigenen Daten verlangt. Dies kann unter keinen Umständen kostenpflichtig sein - unabhängig davon, wie gross die Datensammlung ist. Eine Kostenpflicht rechtfertigt sich einzig für missbräuchliche bzw. querulatorische Gesuche. Sollte der Regierungsrat an den Ausnahmen festhalten, so wären diese auf Gesetzesstufe zu regeln, da eine Kostenpflicht nicht nur eine Einschränkung des grund- und menschenrechtlichen Anspruchs darstellt, sondern mit einer solchen Regelung ebenfalls ein “chilling effect” einhergeht. Für die betroffene Person ist es nicht von vornherein ersichtlich, wie gross die Datensammlung ist oder mit welchem Aufwand das Ersuchen verbunden ist.
Wir danken für die Berücksichtigung unserer Stellungnahme und den entsprechenden Anträgen im Rahmen der weiteren politischen Diskussion und stehen bei Fragen gerne zur Verfügung.
Freundliche Grüsse
Selma Kuratle,
Geschäftsleiterin djb
Die Stellungnahme finden Sie hier als pdf.