Öffentliche Organe unterstehen dem IDG – aber nicht immer
Im Herbst 2023 trat das revidierte Bundesgesetz über den Datenschutz in Kraft. Die Datenschutzbeauftragte erhielt viele Anfragen zur Anwendbarkeit des DSG auf öffentliche Organe. Bei der Bearbeitung von Personendaten ist für die öffentlichen Organe das Gesetz über die Information und den Datenschutz massgebend.
Die Ausnahme für öffentliche Organe
Das DSG ist beispielsweise anwendbar, wenn ein öffentliches Organ am wirtschaftlichen Wettbewerb teilnimmt und dabei nicht hoheitlich handelt. Die Aufsicht bleibt aber bei der Datenschutzbeauftragten des Kantons Zürich und richtet sich nach dem IDG. Die Beurteilung, ob ein öffentliches Organ am wirtschaftlichen Wettbewerb teilnimmt, ist nicht immer einfach. Das öffentliche Organ muss in einer Gesamtbetrachtung beurteilen, ob
- mit der Leistung ein öffentliches Interesse verfolgt wird, oder eher ein Interesse, das auch private Personen verfolgen,
- die Tätigkeit überwiegend durch das Privatrecht bestimmt wird,
- für Personal und Finanzen die öffentlich-rechtlichen Bestimmungen gelten oder sich die Organisation nach den privatrechtlichen Bestimmungen richtet,
- das öffentliche Organ in einem Konkurrenzverhältnis zu anderen privaten Anbietern steht.
So kann es sein, dass eine Gemeinde ein Restaurant führt, das in Konkurrenz zu anderen Gastrobetrieben steht. Gleiches gilt für kantonale Spitäler, die ein Restaurant betreiben, das nicht nur für Mitarbeitende zugänglich ist. In beiden Fällen sind für die Personendatenbearbeitungen die Vorgaben des DSG sinngemäss anwendbar.
Die Pflichten öffentlicher Organe im wirtschaftlichen Wettbewerb
Öffentliche Organe, die am wirtschaftlichen Wettbewerb teilnehmen, haben Pflichten gegenüber der Datenschutzbeauftragten. Sie hat dazu ein Merkblatt publiziert. Das öffentliche Organ muss beispielsweise der Datenschutzbeauftragten die Kontaktdaten der Datenschutzberaterin oder des Datenschutzberaters mitteilen.
Vor einer Datenbekanntgabe ins Ausland hat das Organ die Datenschutzklauseln mitzuteilen, wenn die Bekanntgabe in ein Land ohne einen angemessenen Datenschutz erfolgt und der Datenschutz durch eine vertragliche Vereinbarung gewährleistet werden soll.
Wenn die Datenschutz-Folgenabschätzung einer geplanten Bearbeitung von Personendaten ergibt, dass sie trotz der vorgesehenen Massnahmen ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, ist das Projekt der Datenschutzbeauftragten zur Stellungnahme vorzulegen. Dieser Schritt ist nicht notwendig, wenn das öffentliche Organ seine Datenschutzberaterin oder seinen Datenschutzberater konsultiert hat.
Stellt das öffentliche Organ eine Verletzung der Datensicherheit fest, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, ist dies der Datenschutzbeauftragten so rasch als möglich zu melden.