RRB Nr. 203/2020
Gesetz über die Information und den Datenschutz, Revision, Auftrag
4 marzo 2020Tedesco12 min
Source zh.ch
Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich Sitzung vom 4. März 2020
203. Revision des Gesetzes über die Information und den Datenschutz (IDG); Konzept
A. Ausgangslage Das 2008 in Kraft getretene Gesetz über die Information und den Datenschutz (IDG; LS 170.4) bezweckt ein transparentes Handeln der öffentlichen Organe (Transparenz) sowie den Schutz der Grundrechte von Personen, über die öffentliche Organe Daten bearbeiten (Daten- schutz). In den Jahren 2013–2017 wurden in vier Forschungsprojekten zentrale Wirkungsbereiche des IDG evaluiert und insgesamt 17 Empfeh- lungen für eine Optimierung des IDG und seiner Umsetzung festgelegt. Zusätzlich wurden im Kantonsrat verschiedene Vorstösse eingereicht, die auf das Öffentlichkeitsprinzip oder den Datenschutz zielten. Mit der Verabschiedung der «Strategie Digitale Verwaltung 2018–2023» vom 25. April 2018 (RRB Nr. 390/2018) machte der Regierungsrat sodann Vorgaben zur Verwendung von Daten durch die Verwaltung mit dem Ziel, Behördendaten als strategische Ressource zu verstehen und zu nut- zen. Kernanliegen dieser Strategie ist, eine moderne Datennutzung zu ermöglichen, die es unter anderem zulässt, dass vorhandene Daten wie- derverwendet werden dürfen (und müssen). Gestützt auf die «Strategie Digitale Verwaltung» wurde ein Impulsprogramm erarbeitet, das ver- schiedene Projekte enthält, die digitale Prozesse und die Verwendung von Daten betreffen. Bereits im Rahmen der Vorlage 5471 betreffend An- passung des Gesetzes über die Information und den Datenschutz an die europäische Datenschutzreform wurde deshalb eine weitgreifende Re- vision des IDG ins Auge gefasst, im Hinblick auf die Dringlichkeit der Anpassungen an die geänderten europäischen Rechtsgrundlagen aber verschoben (vgl. RRB Nr. 740/2017 S. 4). Schliesslich zeigte sich im täg- lichen Umgang mit dem IDG in den Verwaltungen von Kanton und Ge- meinden Anpassungsbedarf bei verschiedenen Bestimmungen. Diese verschiedenen Anliegen sind im Rahmen der vorliegenden Revision zu prüfen und soweit tunlich umzusetzen.
B. Rahmenbedingungen Bei jeder Revision des IDG ist vorab dem Grundrechtscharakter des Datenschutzes (Art. 13 Abs. 2 Bundesverfassung [SR 101]) Rechnung zu tragen. Zudem müssen die Anforderungen des europäischen Rechts- raums berücksichtigt werden, sei es direkt oder mittelbar. Bei der Bearbeitung von (Personen-)Daten kommt der Digitalisierung eine wichtige Rolle zu. Mit zahlreichen Gesetzgebungs- und anderen Projekten auf unterschiedlichen föderalen Ebenen soll die Digitalisie- rung gefördert und die Bearbeitung von Personendaten hinsichtlich unter- schiedlicher Aspekte modernisiert werden. Hierzu zählt etwa die Schaf- fung der Bundesgesetze über das nationale System zur Abfrage von Ad- ressen natürlicher Personen (BBl 2019, 5742 [Vernehmlassungsvorlage]) und über elektronische Identifizierungsdienste (E-ID-Gesetz, BBl 2019, 6567), die Revision des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) sowie das Projekt der Konferenz der Kantonsregierungen mit dem Eidgenössischen Finanzdepartement zur Optimierung der bundes- staatlichen Steuerung und Koordination der digitalen Verwaltung. Diese laufenden Projekte sind bei der vorliegenden Revision zu berücksichtigen. Dabei ist noch nicht absehbar, ob bzw. in welcher Hinsicht aus diesen Vorhaben Anpassungsbedarf beim IDG entsteht. Die Entwicklungen sind jedoch zu verfolgen und regelmässig auf möglichen Anpassungs- bedarf, der mit der vorliegenden Revision verwirklicht werden kann, zu prüfen. Weiter sind auch die Schnittstellen zu den Projekten des kanto- nalen Impulsprogramms (etwa IP2.1 [rechtliche Grundlagen des elekt- ronischen Geschäftsverkehrs], IP3.1 [Data-Governance] und IP6.6 [ko- ordinierte Ausbreitung der verwaltungsinternen elektronischen Ge- schäftsabwicklung]) regelmässig zu prüfen und zu berücksichtigen. Nicht zuletzt, weil der Kantonsrat die Revision des IDG in der laufen- den Legislatur erwartet, kann eine umfassende Umsetzung einer moder- nen Datenstrategie nicht Teil des vorliegenden Projekts sein. Dies ist insbesondere deshalb der Fall, weil eine moderne Datenstrategie nicht nur die Bearbeitung von Personendaten betrifft, sondern auch technische Aspekte bei der Datenhaltung, dem Datenaustausch und dem Zugang zu Daten sowie das Organisationsrecht einschliesst. Insofern ist auf weitere Projekte innerhalb und ausserhalb des Impulsprogramms zur «Strate- gie Digitale Verwaltung» zu verweisen, die Teilaspekte einer modernen Datenstrategie verfolgen, so zum Beispiel die Arbeiten der Fachstelle Open Government Data. Dasselbe gilt insbesondere auch für die daten- schutzrechtlichen Bezüge aus der Umsetzung des «once only»-Prinzips, das schwerpunktmässig im Projekt IP3.1 bearbeitet wird.
C. Projektumfang
1. Allgemeine Bemerkungen Die einleitend genannte Evaluation mit vier Forschungsprojekten zeigte sowohl im Bereich des Öffentlichkeitsprinzips als auch im Bereich des Datenschutzes Anpassungsbedarf. Soweit Empfehlungen die Ressourcensituation der oder des Beauf- tragten für den Datenschutz – die oder der Beauftragte für den Daten- schutz führt nur so viele Kontrollen durch, dass die Mittel auch für Nach- kontrollen und die notwendige Unterstützung bei der Umsetzung ihrer bzw. seiner Hinweise genügen – betreffen, erscheint eine gesetzliche Regelung dieses Anliegens nicht sinnvoll. Denn einerseits werden die Mit- tel vom Kantonsrat im Rahmen des Budgets bewilligt und anderseits liegt die Zahl der von der oder dem Beauftragten für den Datenschutz durchgeführten Kontrollen in deren bzw. dessen Organisationshoheit. Gleiches gilt für die Optimierung der Information durch die oder den Beauftragten für den Datenschutz, weshalb eine gesetzliche Regelung auch dafür nicht geeignet erscheint. Diese Empfehlungen sind deshalb nicht in die vorliegende Revision aufzunehmen. Die übrigen Empfeh- lungen sind im Rahmen der vorliegenden Revision zu prüfen (nachfol- gend mit A gekennzeichnet). Dabei ist jedoch darauf hinzuweisen, dass das IDG an die europäische Datenschutzreform angepasst wurde (Vor- lage 5471). Mit dieser Gesetzesrevision, die am 25. November 2019 vom Kantonsrat beschlossen wurde und die am 1. Juni 2020 in Kraft treten wird (RRB Nr. 184/2020), werden verschiedene Forderungen aus dem Bereich des Datenschutzes, die in der Evaluation angesprochen wurden, bereits erfüllt: – Verpflichtung der öffentlichen Organe, aktiv über die Beschaffung und Weitergabe von Personendaten zu informieren, – Anpassung des Katalogs der besonderen Personendaten im IDG, – Einführung einer Verfügungskompetenz für die oder den Beauftrag- ten für den Datenschutz. In die vorliegende Revision sind sodann die vom Kantonsrat mittels parlamentarischer Vorstösse eingebrachten Änderungsvorschläge zu prü- fen. Zudem sind auch die von der Subkommission der Geschäftsleitung / Geschäftsprüfungskommission des Kantonsrates gestellten Anträge durch- gearbeitet worden, die der zuständigen Kommission im Verlaufe der Be- ratungen der Vorlage 5471 zugestellt, aber unter dem Hinweis auf die Dringlichkeit jener Vorlage nicht näher geprüft wurden (nachfolgend mit B gekennzeichnet). Im Weiteren hat sich verwaltungsintern in verschiedenen Bereichen Revisionsbedarf ergeben, der im Rahmen der vorliegenden Revision eben- falls geklärt werden soll (nachfolgend mit C gekennzeichnet).
Sollte sich während der Arbeiten zusätzlicher Revisionsbedarf erge- ben, etwa in Zusammenhang mit Projekten der «Strategie Digitale Ver- waltung», wird auch dieser zu prüfen und allenfalls umzusetzen sein.
2. Anpassung des IDG Die zu prüfenden Änderungen können in vier Themenbereiche geglie- dert werden: A. Anpassungen, die im Zusammenhang mit dem Öffentlichkeitsprinzip stehen:
1. Schaffung eines Organs zum Öffentlichkeitsprinzip (Öffentlichkeits- beauftragte oder -beauftragter) (A, B) Dabei sind verschiedene Ausgestaltungen bezüglich des Umfangs der Tätigkeit (Beratung, Vermittlungsfunktion bei strittigen Gesuchen zur Zugangsgewährung, Aufsicht) und der organisatorischen Einbin- dung (bei der oder dem Datenschutzbeauftragten, bei einer Stelle in der kantonalen Verwaltung) zu analysieren.
2. Grössere Verbindlichkeit der Verwaltung zur Publikation von offe- nen Behördendaten (Open Government Data, OGD) Für eine Umsetzung ist der Begriff zu klären. Bei einer Umsetzung wäre der Schutz von Personendaten vor Re-Identifizierung sicherzu- stellen und die Interessen der Gemeinden zu berücksichtigen (C)
3. Prüfung der rechtlichen Verankerung von Auflagen oder Bedingun- gen für die Gewährleistung des Informationszugangs (C) B. Anpassungen betreffend den Informationszugang bzw. die Mitteilung von Personendaten an andere öffentliche Organe:
1. Anpassungen bei der Bekanntgabe von Personendaten gemäss §§ 16 und 17 IDG (C) Dabei ist die Frage zu prüfen, ob die Bekanntgabe von Personenda ten an öffentliche Organe auch bei Vorliegen einer mittelbaren ge- setzlichen Grundlage unabhängig vom Einzelfall zulässig sein soll (ent- sprechend anderen kantonalen Gesetzen, z. B. § 21 Abs. 1 lit. b des Gesetzes über die Information und den Datenschutz des Kantons Basel-Stadt vom 9. Juni 2010).
2. Klärung des Anspruchs auf Informationszugang (§ 20 Abs. 1 und 2 IDG) (C) Eigene Daten sind in der Praxis häufig nicht einfach von Personen- daten Dritter zu trennen. Das Verfahren, insbesondere der Einbe- zug der Dritten, allfällige Anonymisierung und Vorgehen, falls keine Anonymisierung möglich ist, sollen geklärt werden.
3. Klärung des Verfahrens und des Umfangs der Geltung von § 26 Abs. 2 IDG (C) Die Zulässigkeit staatlicher Information auch bei Ablehnung durch die betroffenen Dritten unter Einbezug von Lehre und Rechtspre- chung (Urteile des Verwaltungsgerichts VB.2010.00025 und VB.2014. 00341; Kommentar VRG, § 8 Rz. 26). Dabei ist auch der Frage des Amtsgeheimnisses Beachtung zu schenken.
4. Umfang des Schutzes Dritter (§ 27 Abs. 2 IDG) (C) Es soll geprüft werden, ob des IDG durch eine Norm analog Art. 12 Abs. 3 des Bundesgesetzes vom 17. Dezember 2004 über das Öffent- lichkeitsprinzip der Verwaltung ergänzt werden soll. C. Anpassung bzw. Schaffung einzelner Gesetzesbestimmungen ohne Ein griff in Bedeutung und Struktur des IDG:
1. Einführung einer Pilotklausel (neue Bestimmung im Anschluss an § 3 IDG) (C)
2. Einfügen einer klaren Definition des IDG als Querschnittgesetz (C). Der Grundsatz, wonach spezialgesetzliche Regelungen denjenigen des IDG vorgehen, sollte verdeutlicht werden. Zudem ist zu prüfen, ob Schnittstellen zu anderen Gesetzen geklärt werden können (z. B. Archivgesetz [LS 170.6], Gesetz über die Gerichts- und Behörden- organisation im Zivil- und Strafprozess [GOG, LS 211.1] usw.).
3. Überprüfung der Verordnungskompetenz des Regierungsrates (§ 5 Abs. 4 IDG) (B, C) Die Verordnungskompetenz des Regierungsrates sollte auf Gemein- den und öffentliche Anstalten ausgedehnt werden, mindestens im Sinne einer Auffangnorm für das kantonale Verordnungsrecht, falls die Gemeinden nicht das gleiche Sicherheitsniveau garantieren können.
4. Klärung der Bedeutung der Verzeichnisse über die Informationsbe- stände mit Personendaten (§ 14 Abs. 4 IDG) (A) Es ist zu prüfen, ob die Verzeichnisse tatsächlich von Nutzen sind und ob Anpassungen der Rechtsgrundlage nötig sind oder die entspre- chende Norm aufgehoben werden soll.
5. Präzisierung der Rechtsgrundlagen gemäss § 8 Abs. 2 IDG mit neuer Übergangsfrist (A) Es ist zu prüfen, ob die Art und Weise, wie Daten gehalten und aus- getauscht werden (Data-Governance), gesetzlich geregelt werden muss. Diesbezüglich ist insbesondere die Regelung in § 44 des Gesetzes über die Organisation des Regierungsrates und der kantonalen Ver- waltung (OG RR, LS 172.1) zu beachten.
6. Schaffung von Regeln zur Videoüberwachung (C) Es ist zu prüfen, ob dieser Bereich durch eine generell-abstrakte Re- gelung im IDG geregelt werden kann.
7. Klärung verschiedener Verfahrensfragen (C) Geklärt werden sollten die Begriffe «hängige» Verfahren und «nicht rechtskräftig abgeschlossene» Verfahren (§§ 14 Abs. 3 und 20 Abs. 3 IDG) und auch das Akteneinsichtsrecht der Ombudsperson (§ 23 IDG in Verbindung mit § 92 Abs. 2 Verwaltungsrechtspflegegesetz [VRG, LS 175.2]).
8. Einführung einer umfassenden Verpflichtung zur Information der oder des Beauftragten für den Datenschutz über kantonale Gesetz- gebungsprojekte und Vernehmlassungsverfahren zu Bundesvorha- ben (A)
9. Neue Ausgestaltung der Kosten- und Gebührenregelung (§ 29 IDG) (A, B, C) In Umkehrung des bisherigen Systems soll die Kostenfreiheit für die Bearbeitung von Zugang zu Informationen eingeführt werden. Zu- sätzlich sind die Kosten/Gebühren zu klären. D. Eingriffe in die Gliederung (ohne wesentliche inhaltliche Anpassun gen):
1. Prüfung einer Trennung des Informationszugangsteils vom Daten- schutzteil Dies soll unter anderem dem Ziel dienen, Ausnahmen vom Öffentlich- keitsprinzip einfacher und klarer vornehmen zu können (vgl. vor allem § 2b Abs. 1 und 2 IDG/GOG, § 8 Abs. 1 Satz 2 VRG / § 2b Abs. 2 IDG, § 44 OG RR [allgemeine Datenkategorien], § 8 Archivgesetz) (C).
2. Klarere Ausgestaltung der (Aufsichts-)Funktion der oder des Beauf- tragten für den Datenschutz (C) Im Zuge der EU-Datenschutzreform musste § 2 IDG angepasst wer- den, da allgemeine Ausnahmen gestützt auf die EU-Datenschutzre- form nur noch von der Aufsicht möglich sind. Mittels einer neuen Gliederung können Ausnahmen (Kantonsrat, § 2a Abs. 2 IDG; Ge- richte, § 2b Abs. 3 IDG) von der Aufsicht einfacher und klarer gelöst werden.
3. Anpassungsbedarf der Direktionen gestützt auf die Datenschutz- Grundverordnung Öffentliche Organe, die am wirtschaftlichen Wettbewerb teilnehmen und dabei nicht hoheitlich handeln, sind vom Geltungsbereich des IDG ausgenommen. Auf das private Datenbearbeiten dieser öffentlichen Organe sind die Regeln des DSG anwendbar (§ 2c Abs. 2 IDG). Falls einzelne öffentliche Organe grenzüberschreitend tätig sind und allen- falls gestützt auf das Marktortprinzip zusätzlich auch die Grundsätze der Datenschutz-Grundverordnung auf sie anwendbar sind, ist zu prüfen, ob die entsprechenden spezialgesetzlichen Regelungen angepasst werden
müssen. Die Ermittlung dieses Anpassungsbedarfs ist Sache der zu- ständigen Direktionen (insbesondere Bildungsdirektion und Gesundheits- direktion). Falls Anpassungen nötig sind, können diese aber gestützt auf Vorarbeiten der jeweils zuständigen Direktion im Rahmen der vorlie- genden Gesetzesrevision erfolgen.
D. Ziel Mit der vorliegenden Revision sollen die vorne genannten Anliegen aus dem Kernbereich des IDG umgesetzt werden. Ziel ist es, bestehende Lü- cken zu schliessen und die Anwendung des IDG in Teilbereichen zu ver- bessern. Ob die Revision des IDG noch im Rahmen einer – wenn auch grösseren – Teilrevision durchgeführt werden kann oder ob eine Total- revision durchgeführt werden muss, ist zurzeit noch nicht abschätzbar. Dieser – letztlich formale – Entscheid ist insbesondere davon abhängig ob Änderungen, die Auswirkungen auf die Systematik haben, vorgenom- men werden (vgl. vorne Kapitel C.2. / Themenbereich D.).
E. Projektorganisation Für die Umsetzungsarbeiten erteilte die Generalsekretärin der Direk- tion der Justiz und des Innern am 30. Oktober 2019 einen Projektauftrag. Die Projektleitung ist im Generalsekretariat der Direktion der Justiz und des Innern angesiedelt. Vertretungen aller Direktionen und der Staats- kanzlei, des Verbandes der Gemeindepräsidenten des Kantons Zürich, der obersten kantonalen Gerichte und der oder des Datenschutzbeauf- tragten sind in der Projektsteuerung vertreten. Das Projektteam setzt sich aus Mitarbeitenden des Generalsekretariates, der Staatskanzlei (Ko- ordinationsstelle IDG) und der oder des Datenschutzbeauftragten des Kantons sowie dem Datenschutzbeauftragten der Stadt Zürich zusam- men. In Einzelfragen (insbesondere bei der Klärung von Schnittstellen zu anderen Gesetzen) werden zusätzlich Fachspezialistinnen und Fach- spezialisten der Direktionen (zu denken ist insbesondere an die Bil- dungs-, die Finanz-, die Gesundheits- und die Sicherheitsdirektion) so- wie der obersten kantonalen Gerichte, der Strafverfolgungsbehörden und des Staatsarchivs beigezogen werden.
F. Planung Im Verlaufe des Jahres 2020 soll eine Vernehmlassungsvorlage ausge- arbeitet werden. Diese soll – nach Einbezug der Projektsteuerung – dem Regierungsrat vorgelegt werden. Die Vernehmlassung soll 2021 durch- geführt werden und die Vorlage dem Regierungsrat Anfang 2022 unter- breitet werden.
Auf Antrag der Direktion der Justiz und des Innern beschliesst der Regierungsrat: I. Die Direktion der Justiz und des Innern wird beauftragt, dem Re- gierungsrat auf der Grundlage des vorliegenden Konzepts eine Gesetzes- vorlage zur Revision des Gesetzes über die Information und den Daten- schutz vorzulegen. II. Mitteilung an die Mitglieder des Regierungsrates sowie an die Direktion der Justiz und des Innern.
Vor dem Regierungsrat Die Staatsschreiberin:
Kathrin Arioli