RRB Nr. 481/2011
Datenschutzbeauftragter, 16. Tätigkeitsbericht 2010, Kenntnisnahme
13. April 2011Deutsch5 min
Source zh.ch
Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich Sitzung vom 13. April 2011
481. Datenschutzbeauftragter (16. Tätigkeitsbericht 2010) Der Datenschutzbeauftragte hat dem Regierungsrat als Wahlorgan periodisch über Umfang und Schwerpunkte seiner Tätigkeit, über wichtige Feststellungen und Beurteilungen sowie über die Wirkung des Gesetzes über die Information und den Datenschutz vom 12. Februar 2007 (IDG, LS 170.4) Bericht zu erstatten (§ 30 Abs. 1 in Verbindung mit § 39 IDG). Der vorliegende 16. Tätigkeitsbericht ist der zweite nach Inkraft- treten des IDG. Er deckt den Zeitraum vom 1. Januar 2010 bis 31. De- zember 2010 ab und bietet einen Überblick über die nachfolgend dargestellten Tätigkeitsschwerpunkte des Datenschutzbeauftragten in seinem Aufgabengebiet (vgl. § 34 IDG).
Erwägungen
1. Unterstützung und Beratung öffentlicher Organe Im Rahmen seiner Aufgaben zur Unterstützung und Beratung öffentlicher Organe hat der Datenschutzbeauftragte während der Berichtsperiode schwerpunktmässig an verschiedenen Rechtsetzungs- projekten der kantonalen Verwaltung mitgewirkt (z. B. Kantonsrats- gesetz und Geschäftsreglement des Kantonsrats, Geoinformations- gesetz, Sozialhilfegesetz, Kinder- und Jugendhilfegesetz, verschiedene Gesetzgebungsprojekte im Bereich Gesundheit). Im Zusammenhang mit dem Erlass rechtlicher Bestimmungen über die Datenbearbeitung, insbesondere soweit besondere Personendaten im Sinne von § 3 IDG betroffen sind, weist der Datenschutzbeauftragte darauf hin, dass den entsprechenden Bestimmungen im Rahmen der Gesetzgebungsarbei- ten die nötige Aufmerksamkeit zu schenken sei, damit einerseits für die Bürgerinnen und Bürger und anderseits für die öffentlichen Angestell- ten in Kanton und Gemeinden die nötige Klarheit und Transparenz im Umgang mit Personendaten geschaffen werde. Darüber hinaus legt der Datenschutzbeauftragte in den Grundsätzen dar, welchen Inhalt ent- sprechende gesetzliche Bestimmungen über die Bearbeitung von be- sonderen Personendaten aufweisen müssen, um den Anforderungen an die hinreichende Bestimmtheit von grundrechtseinschränkenden Rechtsnormen zu genügen: Zu regeln seien zum einen die Verantwort- lichkeiten für bestimmte Datenbearbeitungen und die davon betrof- fenen Datenkategorien, zum andern die Zwecke, denen die Daten- bearbeitungen konkret dienten. Nur anhand dieser Eckpunkte lasse sich beurteilen, welche Datenbearbeitungen zur Erfüllung einer bestimmten
Aufgabe geeignet und erforderlich seien. Dagegen könnten allgemeine Generalklauseln über die Datenbearbeitungen den Anforderungen des Datenschutzes nicht genügen. Einen weiteren thematischen Schwerpunkt bei der Beratung öffent- licher Organe bildete im Berichtsjahr die Zusammenarbeit mit ver- schiedenen Gemeinden im Hinblick auf die datenschutzkonforme Regelung von Videoüberwachungen: Der Datenschutzbeauftragte empfiehlt den Gemeinden diesbezüglich den Erlass eines Reglements, das die Einzelheiten der Videoüberwachung festlegt, oder eine Rege- lung auf Gesetzesstufe. Als Hilfsmittel stellt er den Gemeinden einen Leitfaden und ein Musterreglement zur Verfügung.
2. Kontrolle und Überwachung Im Rahmen seiner Kontroll- und Überwachungstätigkeit hat der Datenschutzbeauftragte in der Berichtsperiode verschiedene Daten- bearbeitungen in Verwaltungsstellen vor allem im Hinblick auf die Informationssicherheit überprüft und beurteilt (Datenbearbeitung in Spitälern, in Bereichen des Strafvollzugs und bei der Kantonspolizei im Bereich Staatsschutz, Überprüfung der Vertraulichkeit der kantonalen E-Government-Plattform ZHservices). Bemängelt hat der Datenschutz- beauftragte in den untersuchten Bereichen schwergewichtig das Fehlen von Sicherheitsstrategien und Leitlinien, von Vorgaben an Dienst- leistende bei Auslagerungen, von Richtlinien für die Bereiche des Incident- und Problemmanagements sowie von Rollen- und Berechti- gungskonzepten. Empfehlungen im Sinne von § 36 IDG waren aber nicht erforderlich; die Hinweise und vorgeschlagenen Massnahmen des Datenschutzbeauftragten sollen den betroffenen Stellen aber ermögli- chen, ihre Sicherheitsstandards weiter zu verbessern.
3. Wirkungen des IDG Wie schon im letzten Tätigkeitsbericht weist der Datenschutzbeauf- tragte erneut darauf hin, dass eine umfassende Wirkungsanalyse des nunmehr seit gut zwei Jahren in Kraft stehenden IDG noch verfrüht sei. Gleichwohl geben aus seiner Sicht verschiedene Gesetzesbestimmungen in der Praxis zu Fragen Anlass, weshalb er konkrete Problemstellungen systematisch erfasst, um künftig den gesetzgeberischen Handlungs- bedarf besser beurteilen zu können. Jedoch empfiehlt der Datenschutz- beauftragte diesbezüglich, von isolierten Revisionen des IDG – wie sie seit Inkrafttreten des Gesetzes vereinzelt vorgenommen wurden – ab- zusehen und Anpassungen im Rahmen einer Gesamtbetrachtung vor- zunehmen.
4. Beratung von Privatpersonen Im Rahmen seiner Beratungstätigkeit für Private hat der Daten- schutzbeauftragte im Berichtsjahr zahlreiche telefonische Beratungen (rund 55% aller telefonischen Beratungen) durchgeführt und mehrere hundert Anfragen zu unterschiedlichsten Themen bearbeitet. Dabei bil- deten Anfragen zur Datenpublikation im Internet und deren Löschung einen Schwerpunkt. Zahlreiche weitere Anfragen hatten die Daten- erfassung im Zusammenhang mit der Registerharmonisierung zum Gegenstand.
5. Weitere Tätigkeiten Im Übrigen enthält der Tätigkeitsbericht 2010 zahlreiche ausgewählte Fallbeispiele zu verschiedenen datenschutzrechtlichen Problemstellun- gen, mit denen der Datenschutzbeauftragte im Berichtsjahr befasst war. Ferner informiert er auch über die Öffentlichkeitsarbeit des Daten- schutzbeauftragten und über die Aus- und Weiterbildungsveranstaltun- gen, an denen dieser während der Berichtsperiode mitgewirkt hat. Der Regierungsrat nimmt vom Tätigkeitsbericht des Datenschutz- beauftragten und den darin dargelegten Sachverhalten Kenntnis, ohne im Einzelnen zu dessen Einschätzungen Stellung zu nehmen. Der Tätig- keitsbericht wird gemäss § 39 IDG veröffentlicht und der Öffentlichkeit im Rahmen einer Medienkonferenz am 26. April 2011 zur Kenntnis ge- bracht.
Dispositiv
Auf Antrag der Direktion der Justiz und des Innern beschliesst der Regierungsrat
I. Vom Tätigkeitsbericht 2010 des Datenschutzbeauftragten wird Kenntnis genommen.
II. Mitteilung an die Geschäftsleitung des Kantonsrates, den Daten- schutzbeauftragten, die Mitglieder des Regierungsrates sowie an die Direktion der Justiz und des Innern.
Vor dem Regierungsrat Der Staatsschreiber:
Husi