#15 Datenschutz: Darauf müssen Gemeindeverwaltungen bei der Anschaffung von Softwarelösungen achten

Interview

Herr Buri, was muss eine Gemeinde aus datenschutzrechtlicher Sicht beachten, wenn sie zur Wahrnehmung ihrer Aufgaben eine spezifische Softwarelösung beschaffen oder einsetzen möchte, in welcher auch Personendaten bearbeitet werden sollen?

Das Datenschutzrecht enthält wichtige Grundsätze, die immer einzuhalten sind. Die wichtigsten sind die Gesetzmässigkeit, die Verhältnismässigkeit und die Datensicherheit: Gesetzmässigkeit bedeutet, dass für jede Bearbeitung von Personendaten eine gesetzliche Grundlage bestehen muss; äussert sich – was oft der Fall ist – das Gesetz oder Gemeindereglement nicht ausdrücklich zum Thema Datenbearbeitung, so muss es doch mindestens eine öffentliche Aufgabe regeln, zu deren Erfüllung die Personendaten bearbeitet werden müssen. Verhältnismässigkeit heisst, dass nur die notwendigen Angaben erfasst und weiterbearbeitet werden dürfen. Im eingangs geschilderten Beispiel benötigt die Gemeinde sicher die Personalien einer Ansprechperson pro Verein. Je nach Beitragsregelung muss sie auch die Anzahl der aktiven Mitglieder kennen, aber nicht die Namen und evtl. weitere Angaben der einzelnen Mitglieder. Bei Software ist zu beachten, dass oftmals auch die Nutzenden, hier das Gemeindepersonal, Datenspuren in technischen Protokollen (sog. Logs) hinterlassen. Kann dort festgestellt werden, wer wann was gemacht hat, sind auch dies Personendaten, die nur gespeichert und ausgewertet werden dürfen, wenn dies für den ordnungsgemässen Betrieb der Software notwendig ist. Mit Datensicherheit ist schliesslich gemeint, dass mittels geeigneter Massnahmen dafür gesorgt wird, dass die Daten nicht Unbefugten zugänglich werden (Vertraulichkeit), dass sie nicht verfälscht werden (Integrität) und dass sie auch tatsächlich zur Verfügung stehen, wenn sie benötigt werden (Verfügbarkeit).

Gibt es bestimmte Funktionen oder Eigenschaften der Software, auf welche man achten sollte? Was sind allfällige diesbezügliche Kriterien?

Grundsätzlich muss die Software so beschaffen sein, dass sie eine rechtmässige und sichere Bearbeitung der Daten erlaubt. Ist sie mit anderen Systemen oder dem Internet verbunden, müssen geeignete Mechanismen bestehen, damit die Applikation und darin gespeicherte Personendaten nicht von aussen angegriffen werden können. Je sensitiver die Daten sind, desto besser muss auch intern sichergestellt sein, dass nur jene Mitarbeitenden auf die Daten zugreifen können, welche sie zur Erfüllung ihrer Aufgaben tatsächlich benötigen (starke Authentifizierung, restriktive Berechtigungen, ev. Verschlüsselung der Daten). Weil Daten, welche nicht mehr benötigt werden, vernichtet werden müssen, muss technisch gewährleistet sein, dass die Software die Daten unwiederbringlich löschen kann. Geschieht dies nach Ablauf der Aufbewahrungsfrist nicht automatisch, muss eine Regelung bestehen, wer sich wann um die Vernichtung der Daten kümmert.

Gibt es Listen von empfohlenen oder bedenkenlosen Softwarelösungen für häufige spezifische Anwendungen?

Als unabhängige Aufsichtsbehörden empfehlen wir keine konkreten Produkte und führen deshalb auch keine Listen. Es wäre auch schwierig, eine Softwarelösung als «bedenkenlos» zu bezeichnen, weil es nie nur auf die Software als solche ankommt, sondern oftmals auch auf ihre Konfiguration und in jedem Fall auf die konkrete Nutzung durch die jeweilige Gemeinde.

An wen können sich die Gemeinden mit solchen und ähnlichen Fragen wenden?

Das hängt von der kantonalen Gesetzgebung ab: In wenigen Kantonen müssen die Gemeinden eigene Datenschutzbehörden haben (so in Bern), teils können sie eine solche haben oder die kantonale Aufsichtsstelle – zu deren Aufgaben auch die Beratung gehört – ist auch für die Gemeinden zuständig.

Bekanntlich ist am 1. September 2023 ein neues Datenschutzgesetz des Bundes in Kraft getreten. Hat dieses auch Auswirkungen auf die Gemeinden?

Das Datenschutzgesetz des Bundes (DSG) gilt für die Bearbeitung von Personendaten durch private Personen – dazu gehören auch alle privatrechtlich organisierten Unternehmen – und Bundesorgane. Für die öffentlichen Aufgaben der Gemeinden gilt nicht das DSG, sondern das jeweilige kantonale Datenschutzgesetz. Die oben erwähnten Grundsätze – Gesetzmässigkeit, Verhältnismässigkeit und Datensicherheit – sind auch in allen kantonalen Gesetzen verankert.