Wenn ein öffentliches Organ ein «Vorhaben zur Bearbeitung von Personendaten» plant, muss es von Beginn an auch an den Datenschutz denken. Ein Vorhaben zur Bearbeitung von Personendaten meint das systematische Bearbeiten von Personendaten, wie z.B. das Anlegen und Verwalten einer Datenbank mit Personendaten, die Einführung von Cloudangeboten, Nutzung von Transkriptionssoftware um Protokolle zu verschriftlichen etc. Der Begriff «Vorhaben» ist dabei weit zu verstehen und umfasst sowohl geplante Datenbearbeitungen im gesamten Projektmanagementzyklus – von der Idee bis zum eigentlichen Projekt – als auch Datenbearbeitungen, die ausserhalb eines Projekts geplant werden. Der Begriff «Vorhaben» umfasst aber auch Anpassungen in bestehenden Anwendungen, welche zu Änderungen in der Bearbeitung von Personendaten führen (z.B. «Major Releases», also Anpassungen, die den Umfang und die Art der Bearbeitung von Personendaten wesentlich verändern).

Mit der Schwellwertanalyse (SWA) klärt das öffentliche Organ in einem ersten Schritt, ob das geplante Vorhaben zu einem hohen Risiko für die Grundrechte der betroffenen Personen führen kann. Ein hohes Risiko für die Grundrechte der betroffenen Personen ist beispielsweise gegeben, wenn besondere Personendaten bearbeitet werden, Profiling erfolgt, bei Outsourcing an Dritte in einen Staat ohne angemessenen Datenschutz, bei Einsatz von künstlicher Intelligenz, bei automatisierten Einzelentscheidungen etc.

Wenn gemäss der SWA ein hohes Risiko gegeben ist, muss das öffentliche Organ eine Datenschutz-Folgenabschätzung (DSFA) durchführen (§ 12a IDG). Mit einer DSFA wird geprüft, ob für eine geplante Datenbearbeitung genügende Rechtsgrundlagen bestehen. Zudem dient die DSFA als Analyse, die datenschutzrelevanten Risiken zu eruieren, zu bewerten und in der Folge die notwendigen technischen, organisatorischen und/oder rechtlichen Schutzmassnahmen festzulegen, mit denen die datenschutzrelevanten Risiken vermieden oder auf ein tragbares Mass reduziert werden.

Öffentliche Organe müssen der Datenschutzbeauftragten «Vorhaben zur Bearbeitung von Personendaten», bei denen gemäss der durchgeführten Datenschutz-Folgenabschätzung (DSFA) ein hohes Risiko für die Grundrechte der betroffenen Personen besteht, zur Vorabkonsultation (§ 13 Abs. 1 lit. b IDG) vorlegen.

Der Datenschutzbeauftragten müssen für die Vorabkonsultation alle für die DSFA erstellten Dokumente eingereicht werden, im Wesentlichen:

1. Informationssicherheits- und Datenschutzkonzept (ISDS-Konzept)  
2. Datenschutz-Folgenabschätzung 
3. Rechtsgrundlagenanalyse

Wenn ein öffentliches Organ im Rahmen seiner Aufgabenerfüllung Daten durch eine dritte Person (Auftragsdatenbearbeiter:in) bearbeiten lässt, z.B. Outsourcing in die Cloud, bleibt es dennoch datenschutzrechtlich verantwortlich für die Datenbearbeitung (§ 7 Abs. 2 IDG). Das öffentliche Organ muss sicherstellen, dass die Auftragsdatenbearbeiter:in die Daten nur so bearbeitet, wie es das öffentliche Organ selbst tun dürfte (§ 7 Abs. 1 lit. b IDG). Dazu muss das öffentliche Organ einen entsprechenden Auftragsdatenbearbeitungsvertrag mit der Auftragsdatenbearbeiter:in abschliessen.

Die öffentlichen Organe müssen Datenschutzverletzungen nach § 16a IDG der Datenschutzbeauftragten melden, wenn ein Risiko für die Grundrechte der vom Vorfall betroffenen Personen besteht. Ein solches Risiko liegt insbesondere vor, wenn den betroffenen Personen Folgen wie Diskriminierung, Stigmatisierung, Verlust des Arbeitsplatzes, Identitätsdiebstahl oder -betrug, Offenbarung eines Geheimnisses, Lebensgefährdung, unbefugte Aufhebung einer Pseudonymisierung, finanzieller Schaden, gesellschaftliche Nachteile, Rufschädigung, wirtschaftliche Nachteile, Existenzgefährdung oder Blossstellung drohen.

Nebst den Vorschriften über den Datenschutz enthält das IDG auch Bestimmungen, welche das in der Kantonsverfassung verbriefte Öffentlichkeitsprinzip (§ 75 KV) konkretisieren. Das Öffentlichkeitsprinzip vermittelt einen Anspruch auf Zugang zu amtlichen Informationen, das nur durch überwiegende (Geheimhaltungs-) Interessen oder entgegenstehende rechtliche Bestimmungen eingeschränkt werden kann.

Im IDG werden zwei Teilaspekte des Öffentlichkeitsprinzips geregelt. Die Informationstätigkeit von Amtes wegen (§ 20 IDG) und das Informationszugangsrecht, das jeder Person - ohne weitere Geltendmachung von Interessen - zusteht (§ 25 IDG).

§ 20 IDG verpflichtet die öffentlichen Organe zum (pro-)aktiven Informieren. Die öffentlichen Organe sollen die Öffentlichkeit von sich aus, von Amtes wegen, über ihre Tätigkeiten und Angelegenheiten von allgemeinem Interesse informieren. Dabei muss die öffentliche Verwaltung rasch, umfassend und sachlich informieren. Die Informationstätigkeit von Amtes wegen kann mittels Medienarbeit, amtlichen Publikationen, aber auch über das Internet und andere Foren der Informationsvermittlung erfolgen.

Das öffentliche Organ muss Gesuche um Informationszugang nach § 25 IDG im Einzelfall prüfen, insbesondere ob einem Zugang allenfalls überwiegende (Geheimhaltungs-) Interessen oder rechtliche Bestimmungen entgegenstehen. Die detaillierte Checkliste hilft Ihnen, die Prüfung durchzuführen.