Rechtsetzungsprojekte, die den Datenschutz betreffen und Vorhaben zur Bearbeitung von Personendaten, die zu einem hohen Risiko für die Grundrechte der betroffenen Personen führen, müssen der Fachstelle für Datenschutz zur Vorabkonsultation vorgelegt werden.
Projekte, welche rechtsetzenden Charakter haben (z.B. Gesetze, Verordnungen), müssen der zuständigen Fachstelle für Datenschutz zur Prüfung vorgelegt werden. Mit diesem Instrument soll sichergestellt werden, dass die verfassungs- und datenschutzrechtlichen Vorgaben berücksichtigt werden. Das Datenschutzgesetz sieht für die Bearbeitung von Vorabkonsultationen eine Frist von sechs Wochen (gemäss Botschaft "längstens zehn Wochen") vor. Die Frist läuft ab dem Zeitpunkt, an dem das Gesuch vollständig eingereicht worden ist. Die Vorabkonsultation schliesst mit einer schriftlichen Beurteilung zuhanden des verantwortlichen öffentlichen Organs ab. Die Fachstelle für Datenschutz kann dabei Empfehlungen aussprechen.
Wann ist eine Vorabkonsultation erforderlich?
Wenn eine Bearbeitung von Personendaten zu einem hohen Risiko für die Grundrechte der betroffenen Person führt. Stellt das öffentliche Organ aufgrund einer Datenschutz-Folgenabschätzung ein hohes Risiko einer Datenbearbeitung fest und kann das Risiko mit Massnahmen (beispielsweise technischer oder organisatorischer Natur) nicht reduzieren, muss es das Vorhaben der Fachstelle für Datenschutz zur Vorabkonsultation vorlegen. Ergreift es hingegen Massnahmen, die das Risiko vermeiden oder reduzieren und somit kein hohes Risiko mehr besteht, ist keine Vorabkonsultation erforderlich. In diesen Fällen führt die Fachstelle für Datenschutz keine Vorabkonsultation durch, steht aber gern beratend zur Verfügung.
Eine Vorabkonsultation kann auch dann erforderlich sein, wenn ein Bearbeitungsvorgang, welcher der FDS bereits zu einem früheren Zeitpunkt zur Vorabkonsultation vorgelegt wurde, wesentlich verändert wird, sodass damit neu ein hohes Risiko einhergeht oder es handelt sich um einen Bearbeitungsvorgang, welcher der FDS gemäss Liste vorgelegt werden muss.
Wer führt die Vorabkonsultation durch?
Die Unterlagen sind der zuständigen Fachstelle für Datenschutz einzureichen. Handelt es sich beim öffentlichen Organ um ein Organ, Behörde oder Dienststelle des Kantons oder selbständiger öffentlich-rechtlicher Anstalt des Kantons, sind die Unterlagen der kantonalen Fachstelle für Datenschutz einzureichen.
Handelt es sich beim öffentlichen Organ um ein Organ, eine Behörde oder eine Dienststelle einer Gemeinde, selbständigen öffentlich-rechtlichen Gemeindeunternehmen oder Gemeindeverband bzw. Zweckverband, sind die Unterlagen der zuständigen Gemeindefachstelle für Datenschutz einzureichen.
Was muss das öffentliche Organ tun?
Das öffentliche Organ reicht der zuständigen Fachstelle für Datenschutz folgende Unterlagen ein:
- Projektbeschrieb mit folgenden Angaben
- die für das Projekt verantwortliche Stelle
- Kreis der betroffenen Personen
- die datenbearbeitenden Stellen
- Art der Daten
- Zweck und Art der Datenbearbeitung
- Empfänger der Daten
- Darstellung der Rechtslage (Rechtsgrundlagenanalyse)
- Nennung der geltenden Rechtsgrundlagen
- ggfs. Angaben zu laufenden Gesetzgebungsprojekten
- weitere rechtliche Aspekte wie z.B. Aufbewahrungsfristen usw.
- Darstellung der Verhältnismässigkeit in Bezug auf den Zweck
- Nennung der geltenden Rechtsgrundlagen
- Bei Auftrags- bzw. Unterauftragsdatenbearbeitung: Vereinbarung(en)
- Schutzbedarfsanalyse inkl. Klassifizierung
- ISDS-Konzept mit folgenden Angaben:
- Systembeschrieb, verwendete Technologien und Schnittstellenbeschrieb (API) inkl. Beschrieb Datenfluss
- Rollen- und Berechtigungskonzept
- Löschkonzept
- Darstellung der festgestellten Risiken und deren Bewertung (brutto)
- Ausführungen zu den organisatorischen und technischen Massnahmen, wie die festgestellten Risiken beseitigt oder minimiert werden
- Feststellung und Bewertung der verbleibenden Restrisiken (netto)
- Weitere organisatorische und technische Massnahmen
Die Unterlagen sind in der Amtssprache einzureichen und idealerweise als Entwurf (ausser Projektbeschrieb und Rechtsgrundlagenanalyse), so dass noch Änderungen vorgenommen werden können. Das Formular Datenschutz-Folgenabschätzung kann dabei als Hilfsmittel verwendet werden. Je nach Vorhaben kann es auch vorkommen, dass mehrere Vorabkonsultationen nötig sind (z.B. von einzelnen Teilschritten). Wichtig ist in jedem Fall eine frühzeitige Information der Fachstelle über das geplante Vorhaben.
Was macht die Fachstelle für Datenschutz mit den Unterlagen?
Die zuständige Fachstelle für Datenschutz
- prüft die Unterlagen auf ihre Vollständigkeit,
- prüft die vorgesehene Bearbeitung,
- nimmt in einem schriftlichen Bericht Stellung und gibt zuhanden der verantwortlichen Stelle Empfehlungen ab. Dabei kann sie empfehlen, die beabsichtigte Bearbeitung zu ändern oder zu unterlassen.
Das Datenschutzgesetz sieht für die Bearbeitung von Vorabkonsultationen eine Frist von sechs Wochen (gemäss Botschaft "längstens zehn Wochen") vor. Die Frist läuft ab dem Zeitpunkt, an dem alle Unterlagen vollständig eingereicht worden sind. Die verantwortliche Stelle hat danach Zeit, zu den Empfehlungen eine schriftliche Stellungnahme zu erarbeiten. Nach Erhalt dieser Stellungnahme zeigt sich, ob das Projekt weiterverfolgt werden kann oder ob beim zuständigen Departement Massnahmen beantragt werden müssen.
Welche Bearbeitungsvorgänge müssen in jedem Fall der Fachstelle für Datenschutz vorgelegt werden?
- Auftragsdatenbearbeitung / Cloud: Umfangreiche Bearbeitung sensibler Personendaten in einem Land mit nicht angemessenem Datenschutzniveau {Beispiel: Bearbeitung in MS 365, wenn Verschlüsselung und Schlüsselmanagement nicht beim öffentlichen Organ liegen}
- Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche {Beispiel: Videoüberwachung}
- Systematische Verwendung biometrischer Daten zur Identifikation {Beispiele: Gesichtserkennungssoftware, Fingerabdruckscanning}
- Bearbeitung umfangreicher Bestände an Personendaten durch mehrere Organe verschiedener Behördenebenen mit Abgleichung, Zusammenführung und Verknüpfung von Datensätze {Beispiel: Personenregister}
- Bearbeitung von besonders schützenswerten Personendaten, Persönlichkeitsprofilen oder Profiling sowie durch eine Geheimhaltungspflicht geschützte Personendaten (z.B. Berufsgeheimnis, vertraglich ausdrücklich geschützte Personendaten) durch Einsatz von KI und KI-ähnlichen Systemen
Noch offene Fragen?
Fachstelle für Datenschutz Kanton St.Gallen
Regierungsgebäude
9001 St. Gallen