18.6.2024 - Online-Zugriffe auf Personendaten können zu einer besonders schwerwiegenden Beeinträchtigung der Grundrechte der Betroffenen führen. Bundesorgane müssen diese Zugriffe deshalb rechtzeitig nach Massgabe des Bundesgesetzes über den Datenschutz planen und gegenüber der Politik begründen. In einem neuen Merkblatt zeigt der EDÖB, wie dies zu erfolgen hat.
Neues Merkblatt zur Planung und Begründung von Online-Zugriffen
Die Gesetzgeber von Bund und Kantonen weisen die Behörden ihres eigenen Gemeinwesens in zahlreichen Erlassen an, anderen Behörden des gleichen oder von anderen Gemeinwesen nach dem Prinzip der Selbstbedienung Personendaten online bekannt zu geben.
Planung
Da Online-Zugriffe zu einer besonders schwerwiegenden Beeinträchtigung der Grundrechte der betroffenen Person führen können, müssen Bundesorgane entsprechende Zugriffe planen und dabei rechtzeitig die Anforderungen des Bundesgesetzes über den Datenschutz (DSG) beachten:
- Das Legalitätsprinzip verlangt eine hinreichende Bestimmtheit der gesetzlichen Regelungen, die je nach Sensibilität der Daten auf Stufe des formellen Gesetzes oder der Verordnung vorzunehmen sind;
- Aus den Rechtsgrundlagen muss hervorgehen, dass der Zugriff der fremden Behörde unter Beachtung des Verhältnismässigkeitsgrundsatzes auf ausgewählte Datenkategorien begrenzt wird, die für die Unterstützung hinreichend bestimmter Bearbeitungszwecke der fremden Behörde relevant sind.
- In quantitativer Hinsicht muss aufgrund eines Mengengerüstes nachgewiesen werden, dass die Gewährung eines Online-Zugangs geeignet und nötig ist. Dies ist der Fall, wenn jede der zu unterstützenden Aufgaben einer anderen Behörde ohne Gewährung des Online-Zugangs zu einer Häufung von manuellen oder teilautomatisierten Amtshilfegesuchen mit ähnlichen oder gleich lautenden Begründungen führt.
- Bei bedeutenden Vorhaben, die angesichts des grossen Umfangs und der hohen Intensität der Online-Datenteilung sowie der besonders schützenswerten Natur der geteilten Daten potenziell schwer in die Grundrechte, Persönlichkeit und Rechtsschutzinteressen zahlreicher Personen eingreifen, ist eine Datenschutz-Folgenabschätzung zu erstellen.
Begründung
Gegenüber den politischen Genehmigungsbehörden müssen die Bundesorgane mit hinreichender Begründungstiefe ausweisen, dass die vorgenannten Anforderungen des Datenschutzgesetzes erfüllt sind. Begründungen, die Online-Zugriffe mit dem blossen Hinweis auf eine zeitgemässe Digitalisierung der Verwaltung zu rechtfertigen suchen, erweisen sich datenschutzrechtlich als ungenügend.
Letzte Änderung 18.06.2024