Datenaustausch: Wenn Daten zwischen Behörden ausgetauscht werden
Passende Arbeitshilfen
Ausgangslage: Datenaustausch als Datenbearbeitung
Reflexartig könnte die Meinung bestehen, dass Behörden und Beamte einer Behörde Personendaten innerhalb des Bundes, innerhalb des gleichen Kantons bzw. innerhalb der gleichen Gemeinde ungehindert austauschen können, da man ja zum gleichen «Betrieb» gehört. Dem ist nicht so, da das Datenschutzrecht immer anwendbar ist, wenn jemand, insbesondere auch eine Behörde, Personendaten bearbeitet. Bei den Personendaten handelt es sich um alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 5 lit. a revDSG). Jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten stellt eine Datenbearbeitung dar (Art. 5 lit. d revDSG). Die Bekanntgabe im Speziellen umfasst das Übermitteln oder Zugänglichmachen von Personendaten (Art. 5 lit. e revDSG).
Schutz der Privatsphäre und Datenbearbeitung
Der Staat legt die Grundvoraussetzungen der Datenbearbeitung fest. Gemäss Art. 13 Abs. 2 BV hat jede Person Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten. Art. 36 BV bestimmt, unter welchen Voraussetzungen Grundrechte eingeschränkt werden können. Damit Grundrechte eingeschränkt werden können, bedarf es einer gesetzlichen Grundlage. Falls die Einschränkung schwerwiegend ist, muss die Einschränkung im Gesetz selbst vorgesehen werden (Art. 36 Abs. 1 BV). Ausserdem müssen die Einschränkungen von Grundrechten durch ein öffentliches Interesse oder durch den Schutz von Grundrechten Dritter gerechtfertigt (Art. 36 Abs. 2 BV) sowie verhältnismässig sein (Art. 36 Abs. 3 BV). Der Kerngehalt der Grundrechte ist zudem unantastbar (Art. 36 Abs. 4). Das Grundrecht darf somit nicht durch Einschränkungen ausgehöhlt werden, selbst wenn die sonstigen Bedingungen erfüllt sind.
Datenbearbeitungsgrundsätze
Da das Datenschutzrecht auch beim Datenaustausch unter Behörden zur Anwendung gelangt, gelten für diese auch die allgemeinen Bearbeitungsgrundsätze, welche teilweise auch Ausfluss der hiervor aufgeführten verfassungsmässigen Grundsätze sind (vgl. auch Art. 6 und Art 8 revDSG). Dies bedeutet, dass die Datenbearbeitung recht- bzw. im öffentlichen Recht gesetzmässig sein muss (Art. 6 Abs. 1 revDSG). Die Datenbearbeitung muss sich auf eine gesetzliche Grundlage stützen können. Bei der Bearbeitung besonders schützenswerten Personendaten ist eine formell-gesetzliche Grundlage notwendig. Sie muss weiter verhältnismässig, d.h. sie muss geeignet, erforderlich und zumutbar (verhältnismässig i.e.S.) sein und nach Treu und Glauben erfolgen (Art. 6 Abs. 2 revDSG). Die Daten dürfen nur zu dem Zweck bearbeitet werden, der durch das Gesetz vorgesehen ist und der für die betroffenen Person bei der Beschaffung erkennbar bzw. transparent war (Art. 6 Abs. 3 revDSG). Die Integrität bzw. Richtigkeit ist ein weiterer Datenbearbeitungsgrundsatz, welcher eingehalten werden muss (Art. 6 Abs. 5 revDSG) ebenso wie die Informationssicherheit (Art. 8 revDSG).
Datenbearbeitung von Bundesorganen im Allgemeinen
Für die Bearbeitung von Personendaten durch Bundesorgane ist Art. 34 revDSG (bisher Art. 17 DSG) massgebend. Art. 34 revDSG stipuliert, dass die Bundesorgane Personendaten nur bearbeiten dürfen, wenn dafür eine gesetzliche Grundlage besteht (Art. 34 Abs. 1 revDSG). Ein Gesetz im formellen Sinn ist erforderlich (Art. 34 Abs. 2 revDSG), wenn es sich um die Bearbeitung von besonders schützenswerten Personendaten (lit. a) oder um ein Profiling (lit. b) handelt, oder wenn der Bearbeitungszweck oder die Art und Weise der Datenbearbeitung zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person führen können (lit. c). Für die Bearbeitung von Personendaten nach Art. 34 Abs. 1 lit. a und b revDSG ist allerdings eine Grundlage im materiellen Sinn ausreichend (Art. 34 Abs. 3 revDSG), wenn die Bearbeitung für eine in einem Gesetz im formellen Sinn festgelegten Aufgabe unentbehrlich ist (lit. a) oder der Bearbeitungszweck für die Grundrechte der betroffenen Person keine besonderen Risiken darstellt (lit. b). Ohne die Absätze 1 bis 3 von Art. 34 revDSG einhalten zu müssen, dürfen Bundesorgane Daten bearbeiten (Art- 34 Abs. 4 revDSG), wenn der Bundesrat die Bearbeitung bewilligt hat, weil er die Rechte der betroffenen Personen für nicht gefährdet hält (lit. a) oder die betroffene Person im Einzelfall in die Bearbeitung eingewilligt oder ihre Personendaten allgemein zugänglich gemacht hat und eine Bearbeitung nicht ausdrücklich untersagt hat (lit. b) oder die Bearbeitung notwendig ist, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es nicht möglich ist, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen (lit. c).
Passende Produkt-Empfehlungen
Bekanntgabe von Personendaten durch Bundesorgane im Besonderen
Bundesorgane dürfen Personendaten nur bekanntgeben, wenn dafür eine gesetzliche Grundlage nach Art. 34 Abs. 1 bis 3 revDSG besteht (Art. 36 Abs. 1 revDSG). In Abweichung von Art. 36 Abs. 1 revDSG) können im Einzelfall Personendaten bekanntgegeben werden (Art. 36 Abs. 2), wenn, die Bekanntgabe der Daten für den Verantwortlichen oder für die Empfängerin zur Erfüllung einer gesetzlichen Aufgabe unentbehrlich ist (lit. a), die betroffene Person in die Bekanntgabe eingewilligt hat (lit. b), die Datenbekanntgabe der Daten notwendig ist, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen (lit. c), die betroffene Person ihre Daten allgemein zugänglich gemacht und eine Bekanntgabe nicht ausdrücklich untersagt hat (lit. d) oder die Empfängerin glaubhaft macht, dass die betroffene Person die Einwilligung verweigert oder Widerspruch gegen die Datenbekanntgabe eingelegt hat, um ihr die Durchsetzung von Rechtsansprüchen oder die Wahrnehmung anderer schutzwürdiger Interessen zu verwehren (lit. e).
Zusammenarbeitsbestimmungen und Amtshilfe
In Spezialgesetzen des Bundes befinden sich ebenfalls Bestimmungen, welche die Datenbearbeitung und vor allem die Datenbekanntgabe bzw. Zusammenarbeit mit anderen Behörden regeln, so z.B. das Bundesgesetz gegen die Schwarzarbeit (BGSA, SR 822.41) in Art. 11 und insbesondere Art. 12 BGSA, das Bundesgesetz über die Krankenversicherung (KVG, SR 832.10) in den Art. 84 ff. KVG), Bundesgesetz über die Invalidenversicherung (IVG, SR 831.20) in Art. 66a f. IVG, Bundesgesetz über die Unfallversicherung (UVG, SR 832.20) in den Art. 96 ff. UVG usw.
Exkurs Datenbekanntgabe in den Kantonen
Die kantonalen Datenschutzgesetzgebungen enthalten ebenfalls Bestimmungen, welche die Datenbearbeitung bzw. Datenbekanntgabe regeln. Zurzeit werden zahlreiche kantonale Datenschutzgesetzgebungen revidiert. Es ist davon auszugehen, dass das revDSG als Beispiel für eine mögliche Regelung beigezogen wird. Kantone, welche ihre entsprechenden Informations- und oder Datenschutzgesetze bereits angepasst haben, enthalten ähnliche Bestimmungen wie das revDSG.
Fazit zum Datenaustausch zwischen Behörden
Der Datenaustausch unter Behörden ist gesetzlich geregelt und liegt nicht in deren freien Ermessen. Die Behörde (A), welche Personendaten von einer anderen Behörde (B) verlangen will, muss sich die Frage stellen, ob sie diese Daten bearbeiten (erheben) kann. Sie muss prüfen, ob sie hierfür eine gesetzliche Grundlage hat und ob die Erhebung verhältnismässig ist. A muss weiter abklären, ob sie die Frage an B stellen darf, da sie mit der Frage an B dieser bekannt gibt, dass sie (A) Daten der betroffenen Person bearbeitet. Liegt hierfür eine gesetzliche Grundlage oder im Einzelfall eine Einwilligung vor und ist die Anfrage verhältnismässig oder gibt es Einschränkungen? Auf der Gegenseite muss B sich die Frage stellen, ob sie die gewünschten Daten zu Recht bearbeitet und sie hierfür eine gesetzliche Grundlage besitzt und ob die Datenbearbeitung verhältnismässig ist. Weiter muss B sich fragen, ob die gewünschten Daten A bekanntgegeben werden dürfen. Liegt hierfür eine gesetzliche Grundlage oder im Einzelfall eine Einwilligung der betroffenen Person vor, ist die Datenbekanntgabe verhältnismässig oder liegen Einschränkungen vor?