Obwohl das Datenschutzrecht in den letzten Jahren ein fast schon omnipräsentes Thema in den Medien aber auch am Arbeitsplatz geworden ist, ist dennoch für viele Menschen schwierig zu verorten, worum es beim Datenschutzrecht eigentlich geht und wann es beachtet werden muss. Im Folgenden soll eine kurze Einführung aufzeigen, wann das Datenschutzrecht zur Anwendung kommt und was es beinhaltet:
Datenschutz ist ein Grundrecht. Es ist sowohl in Art. 13 der Bundesverfassung als auch in Art. 8 der Europäischen Menschenrechtskonvention verankert. Schränkt der Staat ein Grundrecht ein, braucht er dafür immer eine gesetzliche Grundlage, ein öffentliches Interesse und die Beachtung der Verhältnismässigkeit.
Das Gesetz über die Information und den Datenschutz des Kantons Zürich (IDG) konkretisiert dieses Grundrecht und regelt den Umgang der öffentlichen Organe mit Informationen. Es hält unter anderem die allgemeinen Grundsätze fest, die beim Bearbeiten von Personendaten zu beachten sind.
Dazu zählen die folgenden Grundsätze:
Jede Tätigkeit der Verwaltung muss sich auf ein Gesetz abstützen können. Dies gilt auch für die Bearbeitung von Personendaten: Das Datenschutzrecht verlangt, dass die Verwaltung über eine genügende Berechtigung für die Datenbearbeitung verfügt. Ob und zu welchem Zweck die Stadtverwaltung Informationen über die Stadtbevölkerung bearbeiten darf, ergibt sich aus den gesetzlichen Grundlagen der jeweiligen Verwaltungsbereiche, also beispielsweise aus der Polizei-, Sozialhilfe-, Gesundheits- oder Schulgesetzgebung.
Die Verwaltung darf Personendaten nur zu dem Zweck bearbeiten, zu dem sie sie erheben durfte. Jede Verwendung von Personendaten zu anderen Zwecken muss wiederum durch eine rechtliche Bestimmung oder durch eine Einwilligung gerechtfertigt sein.
«Nicht mehr als notwendig»: Dieser allgemeine Grundsatz der Verhältnismässigkeit ist bei der Bearbeitung von Personendaten besonders zentral. Er gilt nicht nur in Bezug auf den Umfang der Daten (Datensparsamkeit), sondern ist beispielsweise auch für die Festlegung der Löschfristen und Zugriffsrechte massgebend.
Die Verwaltung muss Personendaten vertraulich behandeln und sicherstellen, dass sie richtig und verfügbar sind. Sie hat die Informationen durch geeignete Technologien (wie Verschlüsselung) und organisatorische Massnahmen zu schützen. Welche Massnahmen konkret verlangt sind, ist abhängig von der Sensitivität der Daten, dem Verwendungszweck und dem Stand der Technik. Der Stadtrat hat für die Stadtverwaltung die technischen und organisatorischen Vorgaben im «Handbuch für Informationssicherheit der Stadt Zürich» definiert. Dieses Handbuch ist für alle städtischen Verwaltungsstellen verbindlich und bei allen Informationsbearbeitungen und ICT-Systemen zu beachten. Sämtliche Vorhaben und Projekte, die eine Bearbeitung von Informationen beinhalten, sind im Rahmen des ISDS-Prozesses (ISDS = Informationssicherheit/Datenschutz) der städtischen Fachstelle Informationssicherheit – und bei erhöhter Datenschutzrelevanz auch der Datenschutzstelle – zur Prüfung vorzulegen.
Datenbearbeitungen der Verwaltung dürfen keine «Blackboxes» sein. Sie müssen erkennbar, nachvollziehbar und verständlich sein. Das bedeutet, dass die Stadtverwaltung insbesondere über sensitive Datenbearbeitungen zielgruppengerecht informieren und allenfalls Organisationsvorschriften erlassen muss.
Das Datenschutzrecht kommt immer dann zur Anwendung, wenn die Stadtverwaltung Personendaten bearbeitet. Alle Informationen oder Angaben, die sich auf Personen beziehen oder sich Personen zuordnen lassen, stellen Personendaten dar. Dabei spielt es keine Rolle, in welcher Form diese Daten vorhanden sind (Wort, Bild, Ton) oder mit welcher Technik sie bearbeitet werden (analog oder digital). Die meisten Informationen, die in der Stadtverwaltung bearbeitet werden, sind Personendaten. Das Datenschutzrecht ist deshalb für die gesamte Stadtverwaltung relevant.
Datenschutzgesetze werden in der Schweiz vom Bund, den Kantonen und zum Teil auch von den Gemeinden erlassen. Für die Stadtverwaltung ist in erster Linie das Datenschutzrecht des Kantons Zürich massgebend, konkret das Gesetz über die Information und den Datenschutz (IDG) und die dazugehörende Verordnung (IDV). Die Stadt Zürich kennt zusätzlich eine eigene Datenschutzverordnung (DSV). Diese Verordnung ist vor allem für die Videoüberwachung durch städtische Verwaltungsstellen und den Datenbezug aus dem städtischen Einwohnerregister massgebend.