Wir schätzen die bisherige Arbeit der Zuger Datenschutzstelle, welche sich auch mit geringen personellen und finanziellen Möglichkeiten für den Schutz von sensiblen Personendaten engagiert hat.

Allgemeines
Getrieben durch die gesetzgeberischen Tätigkeiten auf europäischer Ebene werden sowohl Anpassungen im Bundesrecht als auch des kantonalen Rechts nötig. Die im Kanton Zug als Teilrevision angestrebte Anpassung wird daher von uns im Grundsatz begrüsst.

Insbesondere die Anpassung an neue Begrifflichkeiten und die Erhöhung des Detaillierungsgrads der Bestimmungen sowie Präzisierungen sind nötig und gehen in die richtige Richtung.

Wir möchten insbesondere auch anmerken, dass der Datenaustausch nicht Halt vor Landesgrenzen macht. Deshalb sind entsprechende Harmonisierungsbemühungen im internationalen und insbesondere im europäischen Kontext weiter voranzutreiben.

Blockchain-Technologie
Die Berührungspunkte zwischen der Blockchain und dem Datenschutz sind aus unserer Sicht im vorliegenden Gesetzesentwurf völlig ausser Acht gelassen worden. Obwohl die auf einer öffentlichen Blockchain abgelegten Daten in der Regel verschlüsselt sind, können dennoch Personendaten anfallen, da mittels Verknüpfung weiterer Informationen eine Zuordnung zu einer natürlichen Person möglich wird. Somit vertragen sich die Transparenz, Nachvollziehbarkeit und die Unabänderbarkeit der auf der Blockchain dokumentierten Informationen schlecht mit den Grundprinzipien des Datenschutzes. Wie stellt sich der Kanton Zug die weitere Entwicklung öffentlicher Dienstleistungen im Internet vor? Welche Rolle spielen hier Blockchain-Anwendungen?

Wie will man sicherstellen, dass auch auf dezentral abgelegten Blockchain Datensätzen im Ausland der angestrebte Datenschutz sichergestellt wird?

Beispielsweise stellt sich folgende Problematik: Die Blockchain-Technologie zeichnet sich dadurch aus, dass Einträge zwar hinzugefügt, nicht aber nachträglich abgeändert oder entfernt werden können – zumindest nicht ohne Genehmigung anderer Nodes. Offen ist in diesem Zusammenhang, ob die betroffenen Personen auf eine Berichtigung und Löschung im Voraus rechtsgültig verzichten können oder ob diese Problematik ein Technologieverbot in gewissen Bereichen auslösen könnte?

Auf der anderen Seite sehen wir auch Chancen. In Zukunft könnte die Blockchain-Technologie beispielsweise eine technische Kontrolle des Zugriffs auf Personendaten ermöglichen. Jede betroffene Person hätte einen privaten Schlüssel, um Dritten Zugang zu ihren Daten zu gewähren und einen bestimmten Bearbeitungsumfang freizugeben.

Wir wünschen uns, dass in einem zukunftsfähigen Gesetz oder mindestens im Bericht und Antrag hierzu auch Aussagen gemacht werden. Nur so ist für den Gesetzgeber nachvollziehbar, ob auch an neue technologische Möglichkeiten in der Datenbearbeitung gedacht wurde.

Open Government Data
Schützenswerte Personendaten müssen geschützt sein – und dies mit allen möglichen zu Verfügung stehenden Mitteln. Alle Daten, die nicht schützenswert sind, sollen gleichzeitig von Dritten weiterverarbeitet und neu genutzt werden können. So erheben und sammeln Verwaltungen Daten jeglicher Art wie beispielsweise Statistik-, Geo-, Umwelt- oder Wetterdaten. Das neue Datenschutzgesetz soll daher so viel schützen, wie nötig – und gleichzeitig so viel Öffnung und Freiraum ermöglichen, wie möglich.

Zur Vorlage und den einzelnen Bestimmungen

  • 2 Abst. 1 Bst. A

Änderung wird begrüsst.

Personendaten sind sehr schützenswert – alle anderen Daten sind auf Öffnung hin zu prüfen und aus unserer Sicht nicht per se übermässig schützenswert.

  • 2 Abst. 1 Bst. B

Einverstanden

  • 2 Abst. 1 Bst. B1

Einverstanden

  • 2 Abs. 1 Bst. C

Wir schlagen vor, keine Beispiele zu nennen, da so die Wirkung einer abschliessenden Auflistung generiert wird. Das «Bearbeiten ist jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren.» Das ist abschliessend und sagt u.E. alles aus.

  • 5 Voraussetzungen für das Bearbeiten von Personendaten

Einverstanden mit den Änderungen

  • 5a Voraussetzungen für das Bearbeiten von Personendaten zu einem nicht personenbezogenen Zweck

Einverstanden

  • 5b Voraussetzungen für das Bekanntgeben von Personendaten

Nicht einverstanden: Es ist unklar, was mit den zu erfüllenden Voraussetzungen «gemäss §5 Abs. 1 und 2» gemeint ist. In Kombination mit §5 Abs. 1 erhält der Kanton die Möglichkeit, Personendaten, die eine Person allgemein zugänglich gemacht hat, ohne gesetzliche Grundlage (§5 Abs. 1 verschiedene nicht alle gleichzeitig zu erfüllenden Bedingungen auf) zu verbreitern und zu veröffentlichen. Dies widerspricht für uns dem Grundsatz, dass Personendaten soweit als möglich geschützt werden müssen und die Datenhoheit über die eigenen persönlichen Daten bei der jeweiligen Person liegt.

  • 5c und §5d

Einverstanden

  • 6 Auftragsdatenbearbeitung

Einverstanden

  • 7c Meldung von Datenschutzverletzungen

Selbstverständlich soll beispielsweise bei einem Fall, der mit Backups bei Datenverlust gelöst werden kann, keine Meldung erfolgen. Hier entsteht u.E. auch kein Risiko für die betroffenen Personen, das eingedämmt oder beseitigt werden müsste. Allerdings ist der Grund für den Datenverlust ausschlaggebend und in diesem Fall zu prüfen.

Bei einer Verletzung des DSG handelt es sich per se um eine Verletzung von personenbezogenen Daten, warum der Umgang und damit verbundenen Datenschutzverletzungen als sensibel einzustufen gilt. Solche Fälle sollten – sofern der Regelzustand nicht durch ein einfaches Einspielen eines Backups wiederhergestellt werden kann – immer gemeldet werden müssen.

Unseres Erachtens ist die Erläuterung im Bericht und Antrag der Regierung nicht 100%ig deckungsgleich mit der Formulierung im Gesetzestext.

  • 7d Weitere Pflichten

Die Formulierung «Unverhältnismässiger Aufwand» löst bei uns Fragezeichen aus. Eine Informationspflicht sollte in jedem Fall gelten. Wir könnten uns aber in Fällen von «unverhältnismässigem Aufwand» vorstellen, dass im Minimum Analog einer Informationskampagne zum Rückruf eines Produktes informiert werden muss. Eine allgemeine Informationspflicht soll in jedem Fall erhalten bleiben.

  • 9 Sperrung der Bekanntgabe, Abs 1

Sperrecht macht Sinn und wird ausdrücklich begrüsst.

  • 9 Abs. 2

Warum ist dies nur auf schriftlichem Wege möglich? Dies muss zukünftig beispielsweise auch via online Formular oder durch andere technische Lösung möglich sein.

  • 10a Grenzüberschreitende Datenbekanntgabe

Wie verhält es sich mit Datenbanken und z.Bsp. auch mit Cloud-Lösungen: Bleiben alle Daten konsequent in der Schweiz oder gibt es auch Datensätze, die im Ausland lagern? Und hier ebenso: Was ist mit Blockchain-Technologien? Sowohl heute gängige als auch mögliche zukünftige Technologien sind hier nicht abgebildet. Wir bitten um Klärung, allfällige Definition des Umgangs und Abbildung in diesem Paragraphen.

  • 11 Anonymisieren und Vernichten von Personendaten

Einverstanden – sehr wichtig.

  • 12 Verzeichnis der Bearbeitungstätigkeiten

Massnahme wird sehr begrüsst – Transparenz ist wichtig.

  • 13 Auskunftsrecht

Warum kann der Kanton Gesundheitsdaten einzelner Personen besitzen? Werden diese nur von Ärzten verarbeitet?

Gesundheitsdaten: Warum soll die Auskunft nur via Arzt erfolgen können?

  • 14 Einschränkung der Bekanntgabe an die betroffenen Personen, Abs. 1

Dies scheint ein relativ grosszügig formulierter § zur allgemeinen Einschränkung zu sein. Hier wünschen wir uns eine weniger breite Auslegungsmöglichkeit.

  • 17 Unentgeltlichkeit

Ist zu Begrüssen.

  • 18 Kantonale Datenschutzstelle

Änderung wird begrüsst.

  • 19a Aufgaben

Informationspflicht seitens der Datenbearbeitenden Organe soll beibehalten werden.

  • 19 Abs. 3

Macht nur Sinn, wenn Organe darüber informieren, was sie machen.

  • 20 Befugnisse

Die Datenschutzstelle soll gemäss Vorschlag des Regierungsrates nicht mehr in Datensammlungen an sich Einsicht nehmen dürfen. Dies ist abzulehnen. Sie muss auch weiterhin Zugriff haben auf Sammlungen, sonst kann Sie Kontrollfunktion nicht vollumfänglich wahrnehmen.

  • 20 3a

Was für Konsequenzen ergeben sich, falls sich jemand nicht an die Verordnung hält? Was für Strafmasse kennt das Verwaltungsgericht?

Wichtig ist die Möglichkeit, Datenbearbeitung zu untersagen. Das soll so explizit ins Gesetz.

Amtsblatt-Gesetz

Amtsblatt neu massgebend elektronisch – macht unseres Erachtens Sinn.

  • 7b

Daten einmal im Netz veröffentlicht, bleiben im Netz auffindbar. Artikel macht in dieser allgemeinen Form keinen Sinn. Wenn veröffentlicht, soll es auch auffindbar sein und bleiben, denn das Interesse an Publikation ist vorhanden. Mindestens sollen Daten offen zugänglich bleiben, wenn keine direkten Personendaten davon betroffenen sind.

  • 7c, Gebühren

Frage zu Abs. 2: Was sind zusätzliche Dienstleistungen?

Wir danken Ihnen für die Berücksichtigung unserer Anliegen in der weiteren Gesetzesarbeit. Ebenfalls danken wir, wenn die aufgeworfenen Fragen in der Überarbeitung des Bericht und Antrags des Regierungsrates entsprechend beantwortet und geklärt werden.

Freundliche Grüsse

Alternativen – die Grünen Zug

Andreas Hürlimann, Kantonsrat Steinhausen
Anastas Odermatt, Kantonsrat Steinhausen