Gesetz über die Information und den Datenschutz (IDG ZH)

Das totalrevidierte Gesetz über die Information und den Datenschutz des Kantons Zürich, einschliesslich von Auszügen des Antrags des Regierungsrats (Begründung).

Das neue IDG ist noch nicht in Kraft, derzeit gilt noch das heutige IDG.

ausklappen | einklappen

1. Abschnitt: Gemeinsame Bestimmungen

§ 1. Gegenstand und Zweck

1 Dieses Gesetz regelt den Umgang der öffentlichen Organe mit Informationen.

2 Es bezweckt,

a. das Handeln der öffentlichen Organe transparent zu gestalten und den Zugang zu Informationen zu gewährleisten, um die freie Meinungsbildung und die Wahrnehmung der demokratischen Rechte zu fördern sowie die Kontrolle des staatlichen Handelns zu erleichtern,

b. den Zugang zu offenen Behördendaten zu fördern,

c. die Grundrechte von Personen, deren Daten die öffentlichen Organe bearbeiten, zu schützen, insbesondere das Recht auf informationelle Selbstbestimmung.

Abs. 1: Die Bereiche Öffentlichkeitsprinzip und Datenschutz sollen weiterhin in einem einzigen Erlass geregelt werden, weshalb Gegenstand und Zweck des IDG mit der Revision nicht grundlegend geändert werden müssen und der Inhalt von § 1 Abs. 1 IDG in die neue Regelung überführt wird. Die Normen zum Öffentlichkeitsprinzip und zum Datenschutz werden im neuen Erlass zwar klar getrennt. Der «Umgang mit Informationen» umfasst aber weiterhin zwei Bereiche:
– Gewährleistung des Zugangs zu Informationen (Umsetzung des Öffentlichkeitsprinzips) und

– Schutz der Grundrechte von Personen im Umgang mit Informationen (Datenschutz).

Abs. 2 lit. a: § 1 Abs. 2 lit. a IDG wird übernommen, jedoch mit dem Zusatz «den Zugang zu Informationen zu gewährleisten» ergänzt. Damit wird Art. 17 KV in der Zweckbestimmung erkennbar umgesetzt.

Lit. b: Neu soll im IDG auch der Umgang mit offenen Behördendaten (Open Government Data, OGD) geregelt werden. Die Erweiterung der Zweckbestimmung rechtfertig sich insbesondere, weil durch die ausdrückliche Nennung von OGD das (seit der Einführung des IDG erweiterte bzw. verstärkte) Verständnis von Daten als Ressourcen zum Ausdruck gebracht wird. Der Regierungsrat hat in den Beschlüssen Nrn. 1362/2021 und 1331/2022 den Willen zur Bereitstellung von OGD denn auch ausdrücklich festgehalten.

OGD dienen vorab der Transparenz: Behörden, die nicht schützenswerte Daten als OGD bereitstellen, kommen ihrem Informationsauftrag angemessen nach und ermöglichen eine in maschinenlesbarer Form aufbereitete Informationsgrundlage. OGD könnten deshalb bei einer weiten Auslegung auch unter der bisherigen Zweckbestimmung subsumiert werden. Die freie Wiederverwendung der Daten durch Dritte ist jedoch ein zusätzlicher Aspekt, der eine Erweiterung der Zweckbestimmung rechtfertigt. Die Bestimmung verdeutlicht, dass die öffentlichen Organe Behördendaten nach Möglichkeit zur Verfügung stellen sollen und die Nutzung dieser Daten auch durch Private gefördert werden soll. Umgesetzt wird dieser Anspruch mit den neuen Bestimmungen zu den offenen Behördendaten (vgl. §§ 5 Abs. 5 und 15). Für die kantonale Verwaltung gilt überdies die neue Bestimmung in § 44b OG RR.

Lit. c übernimmt die bisherige lit. b mit einer sprachlichen Anpassung («deren» anstelle von «über welche»). Zudem wird das hauptsächlich betroffene Grundrecht, das Recht auf informationelle Selbstbestimmung, das Teil des Rechts auf Achtung des Privatlebens ist (vgl. BGE 144 I 126), aufgezählt.

Das nDSG beschränkt den Geltungsbereich auf natürliche Personen. Dies vorab, weil die datenschutzrechtlichen Bestimmungen der Europäischen Union und des Europarates für juristische Personen in der Regel keinen Schutz vorsehen. Der Schutz der juristischen Personen ist zwar primär durch Art. 28 ff. des Zivilgesetzbuchs vom 10. Dezember 1907 (SR 210; Persönlichkeitsverletzungen wie beispielsweise Rufschädigung), das Bundesgesetz vom 19. Dezember 1986 über den unlauteren Wettbewerb (SR 241), das Bundesgesetz vom 9. Oktober 1992 über das Urheberrecht und verwandte Schutzrechte (URG; SR 231.1) oder durch die Bestimmungen zum Schutz von Berufs‑, Geschäfts- und Fabrikationsgeheimnissen sowie Art. 13 BV auf Verfassungsebene gewährleistet. Mit der Aufhebung der Regelung zum Schutz von Daten juristischer Personen im nDSG wurden jedoch entsprechende Bestimmungen in das Regierungs- und Verwaltungsorganisationsgesetz vom 21. März 1997 (SR 172.010) eingefügt. Eine entsprechende Lösung bietet sich im kantonalen Recht nicht an, da kein einheitliches Regierungs- und Verwaltungsorganisationsgesetz für die beiden Staatsebenen Kanton und Gemeinden besteht. Zudem ist nicht einsehbar, weshalb der Schutz von Daten juristischer Personen zu ungerechtfertigten Erschwerungen führen und inwieweit dadurch der Wirtschaftsstandort Zürich geschwächt werden könnte, wie gelegentlich vorgebracht wird (vgl. die entsprechenden Bemerkungen von Julian Powell, Die Revision der kantonalen Datenschutzgesetze, in: Jusletter, 31. Mai 2021). Das IDG auferlegt den juristischen Personen keine Pflichten, da diese abschliessend vom DSG geregelt werden. Vielmehr verhilft das IDG juristischen Personen zu zusätzlichem Schutz, soweit öffentliche Organe ihre Personendaten bearbeiten. Der Geltungsbereich des IDG soll mit der vorliegenden Revision folglich unverändert den Schutz der Persönlichkeit von natürlichen wie juristischen Personen umfassen, auch wenn der Schutz von Daten juristischer Personen nur von geringer praktischer Bedeutung ist.

Geltungsbereich

§ 2. a. Grundsatz

1 Dieses Gesetz gilt für die öffentlichen Organe.

2 Soweit öffentliche Organe am wirtschaftlichen Wettbewerb teilnehmen und dabei privatrechtlich handeln, ist das Bundesgesetz vom 25. September 2020 über den Datenschutz sinngemäss anwendbar.

Das IDG regelt das Datenschutzrecht im Allgemeinen. Unter geltendem Recht besteht zwar gelegentlich Unsicherheit, wieweit die Regelungen des IDG bzw. diejenigen in Spezialgesetzen gelten. Der Grundsatz, dass das IDG ein Querschnittgesetz ist, ist jedoch unbestritten. Enthalten Spezialgesetze bereichsspezifisches Datenschutzrecht oder regeln sie den Informationszugang (z. B. §§ 3a ff. Volksschulgesetz vom 7. Februar 2005 [LS 412.100]), gehen die entsprechenden Regelungen denjenigen im IDG gestützt auf die allgemeinen Kollisionsregelungen vor (vgl. dazu Beat Rudin, Überholte Ausnahmen beim Geltungsbereich, digma 2016, 122 ff.). Zwar enthalten verschiedene kantonale Datenschutzgesetze entsprechende Kollisionsbestimmungen (vgl. etwa das Gesetz über die Information und den Datenschutz des Kantons BaselLandschaft vom 10. Februar 2011 und das Gesetz über die Information und den Datenschutz des Kantons Basel-Stadt vom 9. Juni 2010). Solche gesetzlichen Regelungen sind jedoch kaum geeignet, mehr Klarheit zu schaffen, als dies aufgrund der allgemein geltenden Kollisionsregelungen der Fall ist, muss doch gleichwohl für jeden einzelnen Anwendungsfall entschieden werden, wieweit die Regelungen des Spezialgesetzes die Regelungen des IDG derogieren. Von der Einführung einer entsprechenden Bestimmung ist damit abzusehen.
Festzuhalten ist sodann, dass es bei den in Spezialgesetzen bestehenden Regelungen, mit denen vom IDG abgewichen wird, wohl ausschliesslich um Regelungen handelt, die den Informationszugang betreffen. So wird auf kantonaler, aber auch auf kommunaler Ebene der Zugang zu Informationen, die den Meinungsbildungsprozess des öffentlichen Organs offenlegen würden, eingeschränkt. Entsprechende Ausnahmen lässt § 23 Abs. 2 lit. b IDG (neu: § 11) ausdrücklich zu. Als Beispiel ist etwa auf die Regelung des Kollegialitätsprinzips im Organisationsrecht der entsprechenden Behörden zu verweisen (vgl. § 11 OG RR in Verbindung mit § 23 IDG und § 2 Abs. 2 IDV, womit die Interessenabwägung vorweggenommen wird; vgl. auch Bemerkungen zu § 11 Abs. 2 lit. b und § 18 lit. a).

Ziel von § 2a Abs. 1 IDG ist es, die Einsichtsrechte des Kantonsrates und seiner Kommissionen für den Bereich der parlamentarischen Kontrolle durch die ständigen Aufsichtskommissionen zu regeln. Die parlamentarische Aufsichtstätigkeit über Regierung, Verwaltung und andere Träger öffentlicher Aufgaben sowie den Geschäftsgang der obersten kantonalen Gerichte soll erleichtert werden, und diesen Organen soll die Berufung auf das IDG im Bereich der Aufsichtstätigkeit des Kantonsrates nicht möglich sein. Mit § 111 Abs. 1 des Kantonsratsgesetzes vom 25. März 2019 (KRG; LS 171.1) wurde dazu eine ausreichende spezialgesetzliche Bestimmung geschaffen, die dem IDG vorgeht. Die Mitglieder des Regierungsrates, der obersten Gerichte, der Führungsgremien der selbstständigen Anstalten sowie die Angestellten des Kantons werden gemäss § 111 Abs. 1 KRG verpflichtet, den Aufsichtskommissionen des Kantonsrates Auskunft zu erteilen und Akten herauszugeben. Auf eine Bestimmung gemäss § 2a Abs. 1 IDG kann folglich verzichtet werden. Dass der Kantonsrat nicht der Aufsicht der oder des Beauftragten untersteht (§ 2a Abs. 2 IDG), wird bei den Aufgaben der oder des Beauftragten geregelt (4. Abschnitt, Titel C. § 50 Abs. 2).

Abs. 1 wird aus dem bisherigen Recht unverändert übernommen (§ 2 IDG). Grundsätzlich gilt das Gesetz für alle öffentlichen Organe. Für die öffentlichen Organe, die am wirtschaftlichen Wettbewerb teilnehmen (Abs. 2 und 3) und für die Gerichte (§ 4) werden – wie unter geltendem Recht – Ausnahmen festgelegt. Eine weitere Ausnahme ergibt sich überdies aus dem Vorrang des Verfahrensrechts (§ 3).

Der Vollständigkeit halber ist festzuhalten, dass das Gesetz auf öffentliche Register des Privatrechtsverkehrs, insbesondere das Handelsregister, nicht anwendbar ist. Die öffentlichen Register des Privatrechtsverkehrs, insbesondere der Zugang zu diesen Registern und die Rechte der betroffenen Personen, werden gemäss Art. 2 Abs. 4 nDSG durch die Bestimmungen der bundesrechtlichen Spezialgesetze geregelt. Enthalten diese keine Regelung, ist das nDSG anwendbar. Zu ergänzen bleibt, dass die Aufsicht über die kantonalen Registerbehörden von der oder dem Beauftragten für den Datenschutz wahrgenommen wird. Diese oder dieser wendet dabei – soweit das Registerrecht betroffen ist – das nDSG an.

Abs. 2 entspricht inhaltlich § 2c IDG, die Formulierung wurde aber angepasst. Sowohl die Bestimmungen zum Datenschutz als auch zum Öffentlichkeitsprinzip gelten für diese Organe nicht im Bereich, in dem sie am wirtschaftlichen Wettbewerb teilnehmen. Am wirtschaftlichen Wettbewerb nimmt ein öffentliches Organ dann teil, wenn es seine Leistungen auf dem Markt in Konkurrenz zu anderen Anbietenden anbietet und mit seinem Handeln Gewinn erzielen will. Zusätzlich muss das öffentliche Organ privatrechtlich handeln. Das heisst, dass die Vertragspartnerinnen und ‑partner im Abschluss eines Vertrages frei sein müssen und ihre Rechte und Pflichten sich nicht aus einer Verfügung oder einem verwaltungsrechtlichen Vertrag ergeben. Als Rechtsmittelinstanzen für Streitigkeiten kommen zudem lediglich die Zivilgerichte infrage. Nimmt ein öffentliches Organ mit privatrechtlichem Handeln am wirtschaftlichen Wettbewerb teil, wird es dabei nicht zur Privatperson. Bearbeitet es Personendaten, sind aber die Bestimmungen des nDSG für das Datenbearbeiten durch Private sinngemäss anwendbar (vgl. Beat Rudin, in Beat Rudin/Bruno Baeriswyl [Hrsg.], Praxiskommentar zum Informations- und Datenschutzgesetz des Kantons Basel-Stadt, 2014 [nachfolgend Praxiskommentar IDG BS], § 2 N. 12). Die bloss sinngemässe Anwendbarkeit erklärt sich damit, dass das Datenschutzrecht des Bundes nur auf Organe des Bundes und Private anwendbar ist. Diesen Anwendungsbereich kann der Kanton mit seinen Bestimmungen nicht erweitern, er kann sie jedoch als sinngemäss anwendbar erklären. Der zweite Satz von § 2c Abs. 2 IDG wurde in die Bestimmungen zu den Aufgaben der oder des Beauftragten im Bereich des Datenschutzes überführt (§ 50 Abs. 1). Diese Bestimmung legt fest, dass die oder der Beauftragte die öffentlichen Organe gemäss § 2 beaufsichtigt.

§ 3. b. Vorrang des Verfahrensrechts

Die Rechte der betroffenen Personen und die Einsichtsrechte Dritter richten sich ausschliesslich nach dem anwendbaren Verfahrensrecht bei:

a. Zivil- und Strafverfahren,

b. verwaltungsrechtlichen Gerichtsverfahren,

c. den übrigen verwaltungsrechtlichen Verfahren, die noch nicht rechtskräftig abgeschlossen sind.

Die Bestimmung entspricht inhaltlich § 2b IDG. Für den Informationszugang im Bereich der Zivil- und Strafverfahren soll die Geltung des IDG in Bezug auf die Rechte der betroffenen Personen sowie die Einsichtsrechte Dritter weiterhin ausgeschlossen werden. Neu wird jedoch an die Verfahren angeknüpft und nicht mehr an die betroffenen Behörden (Gerichte bzw. Strafverfolgungsbehörden gemäss § 86 Abs. 1 lit. b und c Gesetz über die Gerichts- und Behördenorganisation im Zivil- und Strafprozess vom 10. Mai 2010 [GOG; LS 211.1]). Damit sind nun im Bereich der Zivilverfahren auch die Schlichtungsverfahren und im Bereich der Strafverfahren auch die Ordnungsbussenverfahren umfasst (lit. a). Auch für vor Gerichten geführte Verwaltungsverfahren (d. h. vor Verwaltungsgericht und den ihm unterstellten Gerichten sowie dem Sozialversicherungsgericht) gilt ausschliesslich das anwendbare Verfahrensrecht (lit. b). Die entsprechenden Regelungen in den Spezialgesetzen sind abschliessend. Für Strafverfahren ist der Informationszugang in Art. 100 f. der Schweizerischen Strafprozessordnung vom 5. Oktober 2007 (Strafprozessordnung; SR 312.0) und in §§ 150 ff. GOG geregelt. Für Zivilverfahren findet sich die Regelung in § 131 GOG. Für das Verfahren vor Verwaltungsgericht und der ihm unterstellten Gerichte verweist § 8 Abs. 3 VRG betreffend die Information über Gerichtsverfahren und die Akteneinsicht Dritter auf die Verordnung des Plenarausschusses der Gerichte gemäss § 73 Abs. 1 lit. d GOG. Zudem verweist § 71 VRG auf § 131 GOG, womit grundsätzlich dieselbe Regelung gilt wie für Zivilverfahren. Für das Sozialversicherungsgericht findet sich die entsprechende Regelung in § 22 Abs. 2 des Gesetzes über das Sozialversicherungsgericht vom 7. März 1993 (LS 212.81). Als Einschränkung ist zu erwähnen, dass für die Einsicht in Urteile, Strafbefehle und Einstellungsverfügungen die verfassungsrechtlichen Vorgaben an die Öffentlichkeit der Rechtsprechung gelten (vgl. Entscheide des Verwaltungsgerichts VB.2010.00025 vom 19. Mai 2010 und VB.2018.00226 vom 15. November 2018). In diesem Zusammenhang ist jedoch zu ergänzen, dass es sich auch bei grundsätzlich öffentlich zugänglichen gerichtlichen Urteilen rechtfertigen kann, zum Schutz öffentlicher oder privater Geheimhaltungsinteressen die Urteile der Öffentlichkeit nur eingeschränkt, etwa unter Anonymisierung der Namen, zugänglich zu machen (vgl. BGE 141 I 201 E. 4.5.2 mit weiteren Verweisen). Diese Regelung im IDG soll Klarheit schaffen und eine – auch nur ergänzende – Anwendung des IDG für die Rechte der betroffenen Personen und die Einsichtsrechte Dritter ausschliessen. In Abweichung vom bisherigen § 2b IDG soll nicht mehr von «spezialgesetzlichen Bestimmungen», sondern vom «anwendbaren Verfahrensrecht» gesprochen werden. Festzuhalten ist, dass auch allfällige spezialgesetzliche Bestimmungen ausserhalb der eigentlichen Verfahrensgesetze (Schweizerische Zivilprozess- ordnung vom 19. Dezember 2008 [SR 272], Strafprozessordnung und VRG) unter den Begriff «anwendbares Verfahrensrecht» fallen (so etwa die Bestimmungen im GOG und in der Informations- und Akteneinsichtsverordnung der obersten kantonalen Gerichte vom 12. Juli 2021 [LS 211.15]). Im Unterschied zu der im nDSG verwendeten Formulierung wird jedoch die Bearbeitung der Personendaten nicht allgemein dem anwendbaren Verfahrensrecht unterstellt. Die Grundsätze des Datenschutzrechts (z. B. die Informationssicherheit) müssen neben dem Verfahrensrecht gelten. Dies gilt, weil das Verfahrensrecht (insbesondere die Strafprozessordnung, die Zivilprozessordnung und das VRG) gar keine entsprechenden Regelungen enthält. Mit den «Dritten» sind Personen gemeint, deren Personendaten im betreffenden Verfahren nicht bearbeitet werden, die aber etwa im Rahmen von Editionsbegehren Einsicht in Akten verlangen. Auch für diese Personen gilt ausschliesslich das anwendbare Verfahrensrecht.
Gestützt auf die Rückmeldungen im Vernehmlassungsverfahren wurde die Bestimmung um den Bereich der nicht rechtskräftig abgeschlossenen verwaltungsrechtlichen Verfahren ergänzt (bisher in § 20 Abs. 3 IDG geregelt). Darunter fallen sämtliche Verwaltungsverfahren, die auf den Erlass einer Verfügung zielen, sowie die verwaltungsrechtlichen Beschwerde- und Rekursverfahren, mithin alle nicht rechtskräftig abgeschlossenen Verwaltungsverfahren, die das VRG regelt (Alain Griffel, in: Alain Griffel [Hrsg.], Kommentar zum Verwaltungsrechtspflegegesetz des Kantons Zürich [VRG], 3. Aufl., Zürich/Basel/Genf 2014 [zit. Kommentar VRG], § 8 N. 7 und 23 ff.). Auch für den Bereich dieser Verwaltungsverfahren wird der Vorrang des Verfahrensrechts damit weiterhin ausdrücklich im IDG festgehalten. § 8 VRG regelt die Akteneinsicht für hängige Verfahren. Nur Personen, die durch eine Anordnung berührt sind oder ein schutzwürdiges Interesse an deren Aufhebung oder Änderung haben, dürfen in die Akten Einsicht nehmen. Für die Akteneinsicht ausserhalb förmlicher Verfahren oder nach Vorliegen einer rechtskräftigen Verfügung richtet sich das Akteneinsichtsrecht gemäss § 8 Satz 2 VRG demgegenüber nach dem IDG. Auch dies kann jedoch nur gelten, soweit kein Spezialgesetz den entsprechenden Sachverhalt regelt und kein Anspruch gestützt auf Art. 29 Abs. 2 BV (rechtliches Gehör) besteht (vgl. auch Alain Griffel, a.a.O., § 8 N. 7 und 23 ff. sowie vorn bei § 3).

Der Vollständigkeit halber ist darauf hinzuweisen, dass die bisherige Ausnahmebestimmung zur Aufsicht der oder des Beauftragten (§ 2b Abs. 3 IDG) im Abschnitt über die oder den Beauftragten für das Öffentlichkeitsprinzip und den Datenschutz (4. Abschnitt, C. Aufgaben im Bereich des Datenschutzes, § 50 Abs. 2) verankert wird. Ebenfalls ins neue Recht überführt wird die Regelung von § 14 Abs. 3 IDG, die festlegt, in welchen Fällen über nicht rechtskräftig abgeschlossene Verfahren informiert werden darf (§ 14 Abs. 2).

§ 4. c. Gerichte

Für die Gerichte gelten die Bestimmungen über das Öffentlichkeitsprinzip nur, soweit diese Verwaltungsaufgaben erfüllen.

Die Gerichte sollen von der Geltung des Öffentlichkeitsprinzips ausgenommen werden, wie dies gemäss § 2 Abs. 1 IDG in der bis am 31. Mai 2020 geltenden Fassung galt. Danach waren die Gerichte dem IDG nur insoweit unterstellt, als sie Verwaltungsaufgaben erfüllten (§ 2 Abs. 1 IDG in der Fassung vor dem 1. Juni 2020). Dies ist zulässig, da die Vorgaben der Richtlinie (EU) 2016/680 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr (EU-Richtlinie 2016/680) und des Übereinkommens SEV 108 für die Informationstätigkeit der öffentlichen Organe keine Geltung haben. Für die Gerichte kann der Geltungsbereich des Öffentlichkeitsprinzips deshalb (wieder) eingeschränkt werden. Anlässlich der Revision vom 25. November 2019 konnte dieses Anliegen aufgrund des Umstandes, dass das bisherige IDG keine Trennung zwischen Öffentlichkeitsprinzip und Datenschutz kannte, nicht verwirklicht werden. Ergänzend ist darauf hinzuweisen, dass auch das Bundesgesetz vom 17. Dezember 2004 über das Öffentlichkeitsprinzip der Verwaltung (BGÖ; SR 152.3) nicht für die Gerichte gilt.

§ 5. d. Kantonsrat

Für den Kantonsrat und seine Kommissionen gelten bei der Ausübung der parlamentarischen Kontrolle die Bestimmungen über das Öffentlichkeitsprinzip nicht.

§ 6. Begriffe

Die bisherigen Begriffsbestimmungen in § 3 IDG sollen weitgehend ins neue Gesetz überführt werden. Allerdings sind sie um eine Begriffsbestimmung zu offenen Behördendaten zu ergänzen (Abs. 5). Zu erwähnen ist, dass die Begriffe bereits bis anhin nicht völlig mit denjenigen des Bundesgesetzes über den Datenschutz übereinstimmten. Insbesondere spricht das IDG von «besonderen Personendaten» im Gegensatz zum nDSG, das den Begriff «besonders schützenswerte Personendaten» verwendet. Da die gesamte Rechtsordnung des Kantons Zürich auf der bisherigen Begriffsdefinition aufbaut, wäre eine Begriffsänderung mit erheblichem Aufwand verbunden. Da die Begriffswahl keine materiellen Konsequenzen hat und kein wesentlicher Gewinn durch eine Begriffsanpassung ersichtlich ist, wird auf eine solche verzichtet.

Abs. 1 wird unverändert aus dem bisherigen Recht übernommen. Lit. a: Zu erwähnen ist, dass diese Bestimmung gestützt auf die Verweisung in § 73 Abs. 4 des Gemeindegesetzes vom 20. April 2015 (GG; LS 131.1) auch auf die Verbandsgemeinden als Versammlungsorgan der Zweckverbände anwendbar ist.

1 Öffentliche Organe sind:

a. der Kantonsrat, die Gemeindeparlamente und die Gemeindeversammlungen,

b. Behörden und Verwaltungseinheiten des Kantons und der Gemeinden,

c. Organisationen und Personen des öffentlichen und privaten Rechts, soweit sie mit der Erfüllung öffentlicher Aufgaben betraut sind.

Lit. c: Unter die juristischen Personen des kantonalen und kommunalen öffentlichen Rechts fallen etwa folgende Körperschaften des öffentlichen Rechts des Kantons: Universität Zürich, Zürcher Fachhochschule bzw. die einzelnen Hochschulen, Elektrizitätswerke des Kantons Zürich und Gebäudeversicherung Kanton Zürich (vgl. Beat Rudin, in: Bruno Baeriswyl/Beat Rudin [Hrsg.], Praxiskommentar zum Informations- und Datenschutzgesetz des Kantons Zürich [IDG], Zürich 2012 [zit. Praxiskommentar IDG], § 3 N. 5).

2 Informationen sind alle Aufzeichnungen, welche die Erfüllung einer öffentlichen Aufgabe betreffen, unabhängig von der Darstellungsform und dem Informationsträger.

Abs. 2 entspricht dem bisherigen § 3 Abs. 2 Satz 1 IDG.

Unter Aufzeichnungen werden im Wesentlichen «Akten» im Sinne von § 3 des Archivgesetzes vom 24. September 1995 (LS 170.6) verstanden und somit alle schriftlichen, elektronischen und anderen Aufzeichnungen der öffentlichen Organe sowie ergänzende Unterlagen, insbesondere dazugehörige Verzeichnisse. Zusätzlich umfasst das IDG Informationen aber nicht erst dann, wenn sie dauerhaft verkörpert sind. Auch Informationen, die nur für eine sehr kurze Zeit «erfassbar» sind (wie z. B. blosses Monitoring bei Videoüberwachung), fallen unter das IDG. Allerdings ist zu letzteren Informationen der Zugang nicht möglich, da keine Speicherung vorhanden ist. Ob die Informationen gespeichert, d. h. verkörpert und entsprechend aufbewahrt werden müssen, bestimmt sich nach den Regeln einer angemessenen Informationsverwaltung (Nachvollziehbarkeit und Rechenschaftsfähigkeit).

Die bisher unter geltendem Recht in dieser Bestimmung geregelte Ausnahme für «nicht fertig gestellte Aufzeichnungen und Aufzeichnungen, die ausschliesslich zum persönlichen Gebrauch bestimmt sind» (§ 3 Abs. 2 Satz 2 IDG) wird neu in § 18 lit. c geregelt. Auch auf diese Aufzeichnungen müssen die Schutzprinzipien des IDG (z. B. die Informationssicherheit und die Zweckbindung) anwendbar sein, weshalb sie nicht allgemein vom Geltungsbereich ausgenommen werden sollen. Bei den nicht fertiggestellten Aufzeichnungen handelt es sich zudem sehr wohl um Informationen des öffentlichen Organs, diese sollen aber (einstweilen) vom Informationszugang ausgenommen werden (vgl. Beat Rudin, in: Praxiskommentar IDG, § 3 N. 9). Beide Arten der Aufzeichnungen werden deshalb neu in § 18 vom Informationszugang ausgenommen. Festzuhalten ist jedoch, dass die konkreten Auswirkungen gering sind. Auch künftig können Informationszugangsgesuche, die auf derartige Aufzeichnungen zielen, abgewiesen werden, ohne dass das öffentliche Organ eine Interessenabwägung gemäss § 11 vornehmen muss.

3 Personendaten sind Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen.

Abs. 3 wird unverändert aus dem geltenden Recht übernommen.

4 Als besondere Personendaten gelten:

a. Informationen, bei denen wegen ihrer Bedeutung, der Art ihrer Bearbeitung oder der Möglichkeit ihrer Verknüpfung mit anderen Informationen eine besondere Gefahr einer Persönlichkeitsverletzung besteht, wie Informationen über

1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten,

2. die Gesundheit, die Intimsphäre, die ethnische Herkunft oder genetische oder biometrische Daten,

3. Sozialhilfemassnahmen sowie Massnahmen des Kindes- und Erwachsenenschutzes,

4. verwaltungs- oder strafrechtliche Verfolgungen oder Sanktionen,

Der Ingress von Abs. 4 wird mit einer sprachlichen Anpassung aus dem geltenden Recht übernommen. Festzuhalten ist, dass es sich auch bei den in Abs. 4 umschriebenen «besonderen Personendaten» um Personendaten gemäss Abs. 3 handelt. Für diese besonderen Personendaten gelten in einzelnen Bereichen jedoch besondere Regeln. Ist dies der Fall, wird dies im Gesetzestext ausdrücklich festgehalten.

Die neue Formulierung drückt aus, dass neben lit. a, welche die gängige Definition von besonderen Personendaten umfasst, auch Profiling und die Erstellung von Persönlichkeitsprofilen (lit. b und c) denselben Schutz wie besondere Personendaten geniessen sollen. Im Unterschied zum nDSG werden Profiling und die Erstellung von Persönlichkeitsprofilen also bewusst nicht als separate Kategorien erfasst. Dies liegt insbesondere darin begründet, dass das IDG – im Gegensatz zum Datenschutzrecht des Bundes – nur für öffentliche Organe gilt. Zudem ermöglicht die gewählte Einordnung, dass nicht immer sämtliche drei Kategorien aufgeführt werden müssen. Festzuhalten ist zudem, dass die in der Vorlage verwendete Definition des Profiling im Wesentlichen Art. 5 Bst. g nDSG und damit dem Profiling mit hohem Risiko entspricht.

Lit. a enthält die gängige Definition der besonderen Personendaten und wird unverändert aus dem geltenden Recht übernommen.

Mit Bezug auf die gemäss Ziff. 1 geschützten Ansichten oder Tätigkeiten ist zu ergänzen, dass deren Schutz bereits durch den in Art. 8 Abs. 2 BV gewährleisteten Grundrechtsschutz sichergestellt ist. Massgebend muss sein, ob im jeweiligen Zusammenhang die «besondere Gefahr einer Persönlichkeitsverletzung» besteht. Die Bestimmung des IDG bietet demgegenüber keinen zusätzlichen Schutz und wäre grundsätzlich verzichtbar. Auf eine Weglassung von Ziff. 1 wird jedoch insbesondere mit Blick auf das nDSG verzichtet.

Ergänzend ist festzuhalten, dass bei Personen, die im öffentlichen Leben stehen, der Schutz ihrer Persönlichkeit eingeschränkt sein kann. Im Einzelfall ist mittels einer Interessenabwägung zu klären, ob eine Bearbeitung der entsprechenden Daten von im öffentlichen Leben stehenden Personen zulässig ist oder nicht (vgl. etwa BGE 127 III 481 S. 488 ff.).

Unter Daten betreffend die «Intimsphäre» fallen namentlich Daten zum Sexualleben oder zur sexuellen Orientierung. Zudem fallen dar- unter Informationen über die Geschlechtsidentität (z. B. Transidentität, nichtbinäre Identität) oder über Varianten der Geschlechtsentwicklung. Das im Personenstandsregister eingetragene Geschlecht stellt indessen kein besonderes Personendatum dar.

Unter «biometrischen Daten» (Ziff. 2) werden Personendaten verstanden, die zwingend mit einem spezifischen technischen Verfahren gewonnen werden, das die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person erlaubt (BBl 2017 6941). Als Beispiele können digitale Fingerabdrücke, Gesichtsbilder, Bilder der Iris oder Aufnahmen der Stimme genannt werden. Die Bearbeitung biometrischer Daten beschlägt das Recht auf informationelle Selbstbestimmung und untersteht damit dem Schutz von Art. 13 Abs. 2 BV. Damit wird für eine Bearbeitung entsprechender Daten bereits gestützt auf die Bundesverfassung vorausgesetzt, dass eine ausreichende Rechtsgrundlage besteht und der Eingriff in die Grundrechte durch ein hinreichendes öffentliches Interesse gerechtfertigt und verhältnismässig ist. Zudem darf der Eingriff den Kerngehalt des Grundrechts nicht berühren (Art. 36 BV). Dieser durch die Bundesverfassung im Grundsatz festgelegte Schutz wird durch die Datenschutzgesetze des Bundes und der Kantone ergänzend und durch die Bundesgerichtspraxis konkretisiert. Im Kanton Zürich gelten biometrische Daten bereits seit der Revision des IDG vom 25. November 2019 als besondere Personendaten (§ 3 Abs. 4 lit. a Ziff. 2 IDG). Dies wird auch in der Vorlage nicht geändert. Die Bearbeitung biometrischer Daten ist somit nur zulässig, wenn die strengen Voraussetzungen zur Bearbeitung besonderer Personendaten eingehalten werden. Die Anforderungen an die Bearbeitung biometrischer Daten im Kanton Zü- rich entsprechen damit denjenigen im revidierten Datenschutzgesetz des Bundes (vgl. auch § 25).

Für die Bearbeitung biometrischer Daten werden damit folgende Anforderungen gestellt:

Mit Bezug auf die Anforderungen an die Rechtsgrundlage zur Bearbeitung von besonderen Personendaten (§ 25) wird eine ausreichende Normdichte, mithin eine hinreichend bestimmte Grundlage in einem formellen Gesetz vorausgesetzt (§ 25 lit. a). Die Bearbeitung biometrischer Daten kann überdies auch, aber nur dann erfolgen, wenn sie für die Erfüllung einer in einem Gesetz festgelegten Aufgabe unentbehrlich ist, der Bearbeitungszweck für die Grundrechte der betroffenen Person keine besondere Gefahr mit sich bringt und die Datenbearbeitung überdies in einer Verordnung geregelt ist (§ 25 lit. b). Ein pauschaler Verweis auf die Gewährleistung der öffentlichen Sicherheit, den Schutz von Personen oder die polizeiliche Aufgabenerfüllung kann damit von vornherein nicht ausreichend sein für eine Bearbeitung biometrischer Daten. Die von einem Teil der Vernehmlassungsteilnehmenden geäusserten Befürchtung, die Verwendung von im öffentlichen Raum mit Überwachungskameras hergestellten biometrischen Daten könnten zu einer Einschränkung der Grundrechte (etwa der Versammlungsfreiheit) führen, ist damit unbegründet: Eine entsprechende Verwendung des Datenmaterials wäre mit einer Gefahr für die Grundrechte verbunden und würde gemäss der Formulierung von § 25 lit. b deshalb eine (formell-) gesetzliche Grundlage benötigen. Festzuhalten ist zudem, dass die allgemeine polizeiliche Generalklausel eine Überwachung mittels biometrischer Daten auch gestützt auf die Rechtsprechung des Bundesgerichts nicht rechtfertigt. Dieses hat in BGE 146 I 11 betreffend die Verwertbarkeit von polizeilichen Aufzeichnungen der automatischen Fahrzeugfahndung und Verkehrsüberwachung im Kanton Thurgau festgehalten, dass die Erfassung von Identifikationsdaten durch die kantonalen Behörden anhand von Kontrollschildern im Rahmen eines Verkehrsüberwachungssystems und die Verknüpfung dieser Daten mit anderen Datenbanken innerhalb weniger Sekunden einen Eingriff in die Grundrechte nach Art. 13 Abs. 2 BV darstellt. Das Bundesgericht erachtete im fraglichen Fall die gesetzliche Grundlage nicht als ausreichend. Diese vom Bundesgericht aufgestellten Anforderungen an die gesetzliche Grundlage müssten erst recht gelten, wenn die kantonalen Behörden auf ein Überwachungs- und Identifikationssystem mit Gesichtserkennung zurückgreifen würden. Im Kanton Zürich ist die audiovisuelle Überwachung durch die Polizei mit der Möglichkeit der Personenidentifikation zudem abschliessend in §§ 32b und 32c des Polizeigesetzes vom 23. April 2007 (PolG; LS 550.1) geregelt. Mit diesen Bestimmungen wird die Überwachung eng eingegrenzt. Eine von einem Teil der Vernehmlassungsteilnehmenden befürchtete polizeiliche Massen- überwachung mittels technischer Systeme ist nach diesen Bestimmungen unzulässig.

Zu ergänzen bleibt, dass der Grundsatz der Verhältnismässigkeit im Datenschutzrecht voraussetzt, dass möglichst wenige Personendaten anfallen sollen (§ 29 Abs. 3). Zudem gebietet das Zweckbindungsgebot, dass Daten nur zu dem Zweck bearbeitet werden, zu dem sie erhoben wurden (§ 26 Abs. 1, mit Ausnahmen einer Rechtsgrundlage oder Einwilligung). Bei jeder Datenbearbeitung muss der Bearbeitungszweck festgelegt und eingehalten werden. Der Einsatz maschineller Gesichtserkennung zur allgemeinen Gefahrenabwehr würde diese Anforderung untergraben, weshalb dieser auch gegen das Verhältnismässigkeitsprinzip verstossen würde.

Aus den vorstehenden Darlegungen ergibt sich, dass die öffentlichen Organe des Kantons die Gesichtserkennung zur Identifizierung im öffentlichen Raum nur dann einsetzen dürfen, wenn eine formell-gesetzliche Grundlage besteht, welche die Bearbeitung biometrischer Daten ausdrücklich regelt. Zusätzlich zu dieser Anforderung an die gesetzliche Grundlage muss die Bearbeitung biometrischer Daten – wie jeder Grundrechtseingriff – durch ein hinreichendes öffentliches Interesse gerechtfertigt und verhältnismässig sein. Sodann darf die Überwachung den Kerngehalt der betroffenen Grundrechte nicht berühren (Art. 36 BV). Aus rechtlicher Sicht ist ein ausdrückliches, durch den Gesetzgeber zu verankerndes Verbot für den staatlichen Einsatz von maschineller Gesichtserkennung, wie es in der Vernehmlassung zum Teil verlangt wurde, damit nicht notwendig (ebenso Nadja Braun Binder/Eliane Kunz/ Liliane Obrecht, Maschinelle Gesichtserkennung im öffentlichen Raum, in: sui generis 2022, Rz. 36). Zudem würde ein allgemeines Verbot auch nicht zu mehr Rechtssicherheit führen, da spezialgesetzliche Ausnahmen weiterhin möglich wären und aufgrund der allgemeinen Kollisionsregeln einem grundsätzlichen Verbot im IDG vorgehen würden.

Festzuhalten ist zudem, dass ein allgemeines Verbot auch der in der Datenschutzgesetzgebung angestrebten Technologieneutralität widersprechen würde. Innovationen sollen grundsätzlich ermöglicht werden, wobei damit verbundene Risiken beschränkt werden sollen. Dies wird vorliegend durch die erwähnten verfassungsrechtlichen und gesetzlichen Anforderungen erfüllt. Der Vollständigkeit halber ist zu ergänzen, dass die Bearbeitung biometrischer Daten durch Private abschliessend durch das Datenschutzgesetz des Bundes geregelt wird. Der Kanton ist deshalb zum Erlass gesetzlicher Bestimmungen für die Bearbeitung von biometrischen Daten durch Private auch dann nicht zuständig, wenn sie den öffentlichen Raum betreffen.

Ziff. 3 und 4 entsprechen geltendem Recht. In Ziff. 3 wird jedoch anstelle von «Massnahmen der sozialen Hilfe» neu von «Sozialhilfemassnahmen» gesprochen.

In Ziff. 4 wird anstelle von administrativen neu von verwaltungsrechtlichen Verfolgungen oder Sanktionen gesprochen. Dies entspricht § 44a Abs. 3 lit. b OG RR und wird in § 59 Abs. 2 lit. b des Gesundheitsgesetzes vom 2. April 2007 (LS 810.1) verwendet.

b. Zusammenstellungen von Informationen, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlauben (Persönlichkeitsprofil),

Mit Bezug auf lit. b ist zu erwähnen, dass weder das europäische Recht noch das nDSG einen besonderen Schutz des Persönlichkeitsprofils im Vergleich zu besonderen Personendaten kennen. Die EU-Richtlinie 2016/680 und das nDSG regeln das «Profiling» bzw. das «Profiling mit hohem Risiko», wobei es sich um eine besondere Bearbeitungsart handelt, die denselben Anforderungen genügen muss wie das Bearbeiten von besonderen Personendaten. Diese Anforderungen aus der EU-Richtlinie 2016/680 wurden bereits mit der Revision vom 25. November 2019 erfüllt (Abs. 4 lit. c). Der Begriff des Persönlichkeitsprofils kann jedoch ergänzend beibehalten werden (vgl. Julian Powell, Die Revision der kantonalen Datenschutzgesetze, in: Jusletter, 31. Mai 2021, und Beat Rudin, Anpassungsbedarf in den Kantonen, digma 2017, 58 ff.).

c. automatisierte Auswertungen von Informationen, um wesentliche persönliche Merkmale zu analysieren oder persönliche Entwicklungen vorherzusagen (Profiling).

Lit. c: Die hier verwendete Definition entspricht dem «Profiling mit hohem Risiko» gemäss Art. 5 Bst. g nDSG: Führt die automatisierte Bearbeitung von Personendaten dazu, dass wesentliche persönliche Entwicklungen analysiert oder persönliche Entwicklungen vorhergesagt werden können, rechtfertigt dies dieselbe Behandlung wie die Bearbeitung besonderer Personendaten. Die Analyse wesentlicher persönlicher Merkmale oder die Vorhersage von persönlichen Entwicklungen durch automatisierte Auswertungen entspricht der vom nDSG geregelten «automatisierten Bearbeitung …, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt» (Art. 5 Bst. g in Verbindung mit Bst. f nDSG).

5 Offene Behördendaten sind von einem öffentlichen Organ frei zugänglich gemachte Informationen in maschinenlesbarer Form, die ohne Einschränkung nutzbar sind.

Abs. 5: Mit offenen Behördendaten (auch Open Government Data, OGD) sollen staatliche Daten der Forschung, der Zivilgesellschaft und der Wirtschaft zum Schaffen von Mehrwert zugänglich gemacht werden und damit als Ressourcen dienen. Die Informationen müssen deshalb kostenfrei zugänglich sein und in maschinenlesbarer Form veröffentlicht werden.

Die Bedeutung von offenen Behördendaten wurde in den letzten Jahren sowohl national als auch international in Gesellschaft und Gesetzgebung erkannt. Eine Zurverfügungstellung von offenen Behördendaten liegt im Interesse von Transparenz und Effizienz, Demokratie und Partizipation und hat zudem wirtschaftlichen Nutzen für die Öffentlichkeit. Der Ausbau von offenen Behördendaten fördert darüber hinaus die Etablierung und Optimierung von datengetriebenen Prozessen innerhalb der Verwaltung. Der Regierungsrat hat in mehreren Beschlüssen Stellung bezogen und mit der Strategie Digitale Verwaltung, den Leitsätzen «gemeinsam digital unterwegs» und dem strategischen Ziel der Nutzung von Behördendaten als strategische Ressource Leitplanken gesetzt (vgl. RRB Nrn. 390/2018, 1362/2021 und 1331/2022). Als Querschnittgesetz, das den Umgang mit Informationen und dem Datenschutz regelt, eignet sich das IDG, um die Möglichkeit von OGD als Instrument der Information ausdrücklich festzuhalten und die Grundsätze zu regeln. Bei den Begriffen soll deshalb eine Definition eingefügt werden (§ 5 Abs. 5). Die Rechte und Pflichten der öffentlichen Organe im Zusammenhang mit OGD werden im Informationsteil sowie für die kantonale Verwaltung im OG RR geregelt (vgl. hinten § 15 sowie § 44b E‑OG RR).

Die Bedeutung offener Behördendaten ist auf allen Staatsebenen Thema. So hat die Stadt Zürich bereits Regelungen zu OGD erlassen. Seit dem 1. September 2021 gilt in der Stadt Zürich das Prinzip «open by default» (Reglement über offene Verwaltungsdaten, AS 170.410; stadtzuerich.ch/portal/de/index/politik_u_recht/amtliche_sammlung/inhaltsverzeichnis/1/170/410.html). Demnach muss die Verwaltung standardmässig bestehende Datensätze öffentlich zur freien Verfügung stellen, wenn sie keine schutzbedürftigen Inhalte enthalten. Auch auf Bundesebene sieht das von den eidgenössischen Räten am 17. März 2023 beschlossene Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (EMBAG) in Art. 10 das Prinzip «open by default» vor (BBl 2023 787). Schliesslich bestehen auch in Deutschland bereits Normen zu OGD, die ebenfalls die standardmässige Veröffentlichung von bestehenden Datensätzen vorsehen (§ 12a Gesetz zur Förderung der elektronischen Verwaltung; www.gesetze-im-internet.de/ egovg/ 12a.html).

Unter offenen Behördendaten werden Informationen verstanden, die frei zugänglich und ohne Nutzungsbeschränkung wiederverwendbar sind. Informationen, welche die Privatsphäre von natürlichen oder juristischen Personen berühren oder sicherheitskritisch sind, können deshalb von vornherein nicht als offene Behördendaten zur Verfügung gestellt werden.

Auch Drittrechte (wie Immaterialgüterrechte), welche die freie Wiederverwendung von Informationen beschränken, verhindern eine Ver- öffentlichung als OGD. Das Erfordernis der freien Verwendung schliesst aus, dass Daten, die etwa durch das Immaterialgüterrecht geschützt sind, publiziert werden. So können etwa Werke nach Art. 2 URG wie Fotos, nicht als offene Behördendaten publiziert werden, wenn sie dem Urheberrecht unterliegen. Im Auftrag des Staates gemachte Bilder sollen gemäss einer vom Bundesrat und vom Nationalrat unterstützten Motion jedoch freigegeben werden (vgl. Motion 21.4195 von Gerhard Andrey betreffend Freigabe von Bildern des Bundes auf dem Portal für Open Government Data). Müssen Quellenangaben gemacht werden, sind die Informationen nur mit Quellenangabe frei verwendbar.

Die Informationen müssen sodann in maschinenlesbarer Form ver- öffentlicht werden. Unter einer «maschinenlesbaren Form» wird ein Dateiformat verstanden, das eine einfache Weiterverwendung erlaubt. Die Maschinenlesbarkeit ist damit vom Stand der Technik abhängig und kann sich durchaus verändern. Allenfalls kann der Regierungsrat dazu Vollzugsbestimmungen erlassen. Die Aufbereitung in eine maschinenlesbare Form wird insbesondere bei Statistiken, Geschäftsberichten, Bilanzen, Rechnungen und dergleichem erfolgen müssen.

Festzuhalten ist, dass der Begriff der offenen Behördendaten vom Begriff der Informationsbestände, der in § 13 Abs. 2 verwendet wird, abzugrenzen ist. Der Begriff der Informationsbestände umfasst gemäss der Terminologie in § 6 IDV Ordnungssysteme und Datensammlungen. Diese Begriffsverwendung wird, auch in Anbetracht von § 44a E‑OG RR, im Rahmen der Anpassung der Verordnung zu überprüfen und allenfalls anzupassen sein. Gegenstand von offenen Behördendaten können demgegenüber aber weder «Datensammlungen» noch «Informati- onsbestände» sein, sondern nur deren Inhalt. Damit sind die Informationsbestände gemäss § 14 Abs. 4 IDG (bzw. § 13 Abs. 2 der Vorlage) eine Voraussetzung, damit Interessierte wissen, welche Informationen bei einer Behörde überhaupt vorhanden sind, und das öffentliche Organ weiss, welche davon als offene Behördendaten bereitzustellen sind.

6 Bearbeiten ist jeder Umgang mit Informationen wie das Beschaffen, Aufbewahren, zur Kenntnis nehmen, Verwenden, Verändern, Bekanntgeben oder Vernichten.

Abs. 6 soll weitgehend unverändert aus § 3 Abs. 5 IDG ins neue Recht übernommen werden. Anstelle von «umarbeiten» wird der gängigere Begriff «verändern» verwendet und zusätzlich wird auch die Kenntnisnahme ausdrücklich erwähnt. Ergänzend ist darauf hinzuweisen, dass die Weiterleitung von Informationen an das Archiv in § 9 geregelt ist. Die Bearbeitung durch das Archiv fällt sodann unter das Archivgesetz.

7 Bekanntgeben ist das Zugänglichmachen von Informationen wie das Einsichtgewähren, Weitergeben oder Veröffentlichen.

Abs. 7 entspricht dem bisherigen § 3 Abs. 6 IDG und soll unverändert ins neue Recht übernommen werden.

§ 7. Informationsverwaltung

1 Das öffentliche Organ gestaltet den Umgang mit Informationen so, dass es rasch, umfassend und sachlich informieren kann.

2 Es verwaltet seine Informationen so, dass sein Handeln nachvollziehbar ist und es darüber Rechenschaft ablegen kann.

3 Der Regierungsrat regelt den Vollzug für die kantonale Verwaltung in einer Verordnung. Diese gilt auch für die Gemeinden, soweit diese keine eigenen Regelungen erlassen.

§ 4 IDG soll unverändert übernommen werden. Mit dieser Bestimmung wird nur die Grundlage dafür gelegt, dass transparent informiert werden kann. Die öffentlichen Organe werden deshalb dazu verpflichtet, sich so zu organisieren, dass die aktive Information der Allgemeinheit sowie der Informationszugang und Auskünfte zu Personendaten schnell gewährt werden können. Aus der Einordnung der Bestimmung im 1. Abschnitt, Allgemeine Bestimmungen, geht hervor, dass alle öffentlichen Organe verpflichtet sind, transparent und nachvollziehbar zu handeln. Die Bestimmung gilt damit auch für die Gerichte, auf welche die Bestimmungen des 2. Abschnitts des Gesetzes, Öffentlichkeitsprinzip (§§ 13 ff.), nicht anwendbar sind.

Diese Bestimmung setzt neben Art. 17 KV auch einen Aspekt von Art. 49 KV um. Mit § 6 wird das Transparenzprinzip umgesetzt und die Grundlage dafür geschaffen, dass die öffentlichen Organe umfassend und sachlich informieren können. § 6 ist mithin eine notwendige Grundlage zur Umsetzung des Öffentlichkeitsprinzips, kann mit diesem aber nicht gleichgesetzt werden.

Der Anspruch jeder und jedes Einzelnen auf Zugang zu den Informationen ist in Art. 17 KV geregelt und wird in § 17 umgesetzt.

Abs. 2: Diese Bestimmung wird inhaltlich aus § 5 Abs. 1 Satz 1 des geltenden Rechts übernommen und gilt ebenfalls für alle öffentlichen Organe. Auch der Kantonsrat und die Gerichte sind zu einer entsprechenden Informationsverwaltung verpflichtet. Die Umsetzung für die einzelnen öffentlichen Organe erfolgt dabei in den Spezialgesetzen.

Abs. 3: Der Regierungsrat soll wie unter geltendem Recht (§ 5 Abs. 4 IDG) für die kantonale Verwaltung Ausführungsbestimmungen erlassen. Entsprechende Regelungen hat er in der Verordnung über die Informationsverwaltung und ‑sicherheit vom 3. September 2019 (IVSV; LS 170.8) erlassen. Da § 6 Abs. 1 Organisationsrecht beschlägt, fallen Ausführungsbestimmungen dazu in den Autonomiebereich der einzelnen Organe. Das geltende Recht beschränkt die Kompetenz des Regierungsrates zum Erlass von Ausführungsbestimmungen denn auch ausdrücklich auf die kantonale Verwaltung. Die Gemeinden im Kanton Zü- rich verfügen über einen grossen Autonomiebereich, der zu respektieren ist. Allerdings sind die Gemeinden unterschiedlich gross und verfügen über unterschiedliche personelle Mittel. Es erscheint deshalb als sinnvoll, dass die Regelungen des Kantons im Sinne einer Auffangbestimmung für alle Gemeinden gelten, die keine eigenen Regelungen erlassen. Dabei müssen allfällige Bestimmungen der Gemeinden einen Mindeststandard erfüllen und dürfen dem Sinn und Zweck des IDG nicht widersprechen. Sie müssen also mindestens sicherstellen, dass das Verwaltungshandeln nachvollziehbar und die Rechenschaftsfähigkeit gewährleistet ist. Würde eine Gemeindeverordnung den Anforderungen an eine nachvollziehbare Verwaltungsführung nicht genügen, könnte im Rahmen der Aufsicht über die Gemeinden eingegriffen werden. Ergänzend ist darauf hinzuweisen, dass die IVSV bereits heute von den Gemeinden weitgehend angewendet wird.

§ 8. Regelung der Zuständigkeit

Bearbeiten mehrere öffentliche Organe einen gemeinsamen Informationsbestand, regeln sie die Zuständigkeiten.

Der zweite Satz von § 5 Abs. 1 IDG wird zur Verbesserung der Übersichtlichkeit und zur Verdeutlichung der Notwendigkeit der entsprechenden Regelungen in einen eigenen Paragrafen überführt. Die Regelung zielt auf organisatorische und technische Zuständigkeiten, weshalb nicht mehr von «Verantwortlichkeit», sondern neu von «Zuständigkeit» gesprochen wird. Die öffentlichen Organe sollen sich über die Aufgaben, die sie zu erfüllen haben, absprechen: So sollen sie regeln, welches öffentliche Organ die Schutzziele überwacht. Soweit möglich sollten sie auch regeln, welches Organ Informationsgesuche bearbeitet.

§ 9. Aufbewahrung und Archivierung

1 Benötigt das öffentliche Organ Informationen für sein Verwaltungshandeln nicht mehr, bewahrt es diese während zehn Jahren auf. Besondere gesetzliche Bestimmungen bleiben vorbehalten.

2 Nach Ablauf der Aufbewahrungsfrist bietet das öffentliche Organ die Informationen dem zuständigen Archiv an. Es vernichtet:

a. Informationen, die vom Archiv nicht übernommen werden,

b. alle Kopien der vom Archiv übernommenen Informationen.

§ 5 Abs. 2 IDG regelt die Aufbewahrungsfrist. Diese dient dazu, dass das öffentliche Organ die Nachvollziehbarkeit und Rechenschaftsfä- higkeit auch nach Aktenschluss sicherstellen können. Die Aufbewahrungsfrist beträgt, vorbehältlich einer abweichenden Regelung in einem Spezialgesetz, zehn Jahre. Auch das Archivgesetz enthält eine entsprechende Regelung (vgl. § 8 Abs.1 Archivgesetz: «Die öffentlichen Organe bieten ihre Akten in der Regel innerhalb von zehn Jahren ab dem Zeitpunkt, ab dem sie diese nicht mehr benötigen, dem zuständigen Archiv zur Übernahme an.»). Diese Doppelspurigkeit ist nicht sinnvoll. Die Aktenaufbewahrung und die Aktenanbietung an das zuständige Archiv sind – zusammen mit der allfälligen Vernichtung – die letzten Handlungen eines öffentlichen Organs im Rahmen seines Verwaltungshandelns und fallen damit unter den Geltungsbereich des IDG. Die Regelung ist deshalb im IDG zu belassen und der Bezug zwischen den Gesetzen soll über eine Verweisung im Archivgesetz hergestellt werden (vgl. entsprechende Änderung des Archivgesetzes im Anhang, Änderung des Archivgesetzes).

Abs. 1: In Übereinstimmung mit dem geltenden Recht (§ 5 Abs. 2 IDG) soll eine grundsätzliche Aufbewahrungsfrist von zehn Jahren gelten. Sind abweichende Aufbewahrungsfristen notwendig, sind diese in den entsprechenden Spezialgesetzen zu regeln. Werden die Informationen nicht mehr benötigt, erfolgt die Aufbewahrung in einer sogenannten Zwischenablage. Dies ist notwendig, da das öffentliche Organ für eine gewisse Zeit Rechenschaft ablegen können muss. Eine sofortige Aktenvernichtung würde dies verunmöglichen. Ergänzend ist festzuhalten, dass die Verwaltung auch über Informationen verfügt, die es für sein Handeln andauernd braucht (etwa Gutachten über bestimmte Fragen des Verwaltungshandelns). Diese Informationen kann es andauernd bei sich aufbewahren.

Abs. 2: Nach Ablauf der Aufbewahrungsfrist werden Informationen dem zuständigen Archiv angeboten und vernichtet. Während das IDG von «Informationen» spricht, verwendet das Archivrecht den Begriff

«Akten» und definiert diese in § 3 des Archivgesetzes als «schriftliche, elektronische und andere Aufzeichnungen der öffentlichen Organe sowie ergänzende Unterlagen, insbesondere dazugehörige Verzeichnisse». Mit Bezug auf die Aufbewahrung sind die Begriffe jedoch deckungsgleich. Im Sinne einer einheitlichen Begriffsverwendung im IDG ist der Begriff «Informationen» beizubehalten.

Mit Bezug auf die Anbietepflicht ist festzuhalten, dass nicht fertiggestellte Aufzeichnungen gemäss § 18 lit. c nur dann dem Archiv anzubieten sind, wenn sie gar nie fertiggestellt werden und ein Dossier dennoch geschlossen wird. Wird eine Aufzeichnung jedoch fertiggestellt, ist die fertiggestellte Fassung zu archivieren, da nur diese in die Akten aufgenommen werden muss. Dies entspricht der heutigen Praxis.

Zu ergänzen ist, dass das öffentliche Organ die Informationen vernichten muss, die es in seinen Dossiers führt. Daraus folgt, dass es als OGD oder anderweitig öffentlich zur Verfügung gestellte Informationen nicht vernichten muss.

Lit. a: Die öffentlichen Organe müssen sämtliche Daten, die nicht archiviert werden, vernichten.

Lit. b: Vernichtet werden müssen auch sämtliche Kopien von archivierten Informationen. Dies gilt insbesondere auch für elektronische Akten und Sicherungskopien. Bei elektronischen Systemen kann dies mittels einer entsprechenden Systemarchitektur automatisiert werden.

§ 10. Informationsbearbeitung durch Dritte

1 Das öffentliche Organ kann das Bearbeiten von Informationen Dritten übertragen, wenn keine rechtliche Bestimmung oder vertragliche Vereinbarung entgegensteht.

2 Es bleibt für den Umgang mit Informationen nach diesem Gesetz verantwortlich. Es stellt insbesondere sicher, dass die Dritten

a. die Informationssicherheit angemessen gewährleisten,

b. Informationen nur so bearbeiten, wie es das öffentliche Organ selbst tun darf,

c. die Bearbeitung erst nach Bewilligung durch das öffentliche Organ an weitere Dritte übertragen.

Die Bestimmung gilt für sämtliche Informationen, also auch für Personendaten, und ist deshalb in den Allgemeinen Teil aufzunehmen. Abs. 2 soll in Anlehnung an die Regelung in Art. 9 nDSG ergänzt werden.

Abs. 1: § 6 Abs. 1 IDG soll unverändert ins neue Recht übernommen werden.

Abs. 2: Aufgrund der zunehmenden Auslagerung behördlicher Datenbearbeitung (insbesondere auch in die Cloud) ist es gerechtfertigt, hier strengere und vor allem klarere Voraussetzungen zu verlangen. Zu betonen ist, dass es sich hier – etwa in Abgrenzung zu § 7 – um eine Verantwortung des öffentlichen Organs handelt und nicht um eine blosse Zuständigkeit.

Lit. a entspricht im Wesentlichen Art. 9 Abs. 2 nDSG, wobei entsprechend der Terminologie des IDG der Begriff der Informationssicherheit verwendet wird.

Lit. b übernimmt Art. 9 Abs. 1 Bst. a nDSG. Mit dieser Bestimmung wird gleichzeitig sichergestellt, dass die Dritten, denen Aufgaben übertragen werden, einer Gesetzgebung unterstehen müssen, die einen dem Schutz des IDG gleichwertigen Datenschutz sicherstellt. Für die grenz- überschreitende Datenbekanntgabe ist ergänzend auf § 36 zu verweisen.

Mit lit. c wird sichergestellt, dass Unteraufträge nur mit Zustimmung des verantwortlichen öffentlichen Organs vergeben werden (vgl. Art. 9 Abs. 3 nDSG). Die Form, in der die Zustimmung erteilt werden muss, kann dabei auf Verordnungsstufe geregelt werden. Bereits heute verlangt § 25 IDV Schriftlichkeit, soweit die Informationsbearbeitung durch Dritte nicht gesetzlich geregelt ist.

§ 11. Informationssicherheit

1 Das öffentliche Organ schützt Informationen durch angemessene organisatorische und technische Massnahmen.

2 Die Massnahmen richten sich nach den folgenden Schutzzielen:

a. Informationen können von Unberechtigten nicht zur Kenntnis genommen werden.

b. Informationen sind richtig und vollständig.

c. Informationen sind bei Bedarf vorhanden.

d. Informationsbearbeitungen können einer Person zugerechnet werden.

e. Veränderungen von Informationen sind erkennbar und nachvollziehbar.

3 Das öffentliche Organ berücksichtigt bei den zu treffenden Massnahmen insbesondere die Art der Information, das Risiko, das die Informationsbearbeitung für die betroffenen Personen mit sich bringt, und den Stand der Technik.

4 Es überprüft die Massnahmen regelmässig.

§ 7 Abs. 1 und 2 IDG können unverändert ins neue Recht übernommen werden. Sie entsprechen inhaltlich Art. 7 Abs. 1 nDSG.

Die bisherigen Schutzziele werden mit geringen Anpassungen der Formulierungen übernommen.

Abs. 3: Mit der neuen Formulierung von Abs. 3 soll der risikobasierte Ansatz, der in Art. 7 und 8 nDSG zum Ausdruck gebracht wird, im IDG übernommen werden. Massgebend für die Massnahmen muss sein, welches Risiko die betreffende Datenbearbeitung für die Persönlichkeit und die Grundrechte der betroffenen Personen hat. Dieser Grundsatz muss in allgemeiner Weise gelten, weshalb die Bestimmung in den allgemeinen Teil des IDG aufzunehmen ist. Der Grundsatz des Datenschutzes durch datenschutzfreundliche Voreinstellungen («privacy by default»; Art. 7 Abs. 3 nDSG) betrifft nur Personendaten und wird bei den Bestimmungen zum Datenschutz geregelt (§ 30 Abs. 3).

Abs. 4: Eine wirkungsvolle Informationssicherheit setzt auch eine regelmässige Kontrolle der Einhaltung der Schutzziele voraus. Eine entsprechende Bestimmung wird von der Studie KI für den Bereich der automatisierten Auswertungen denn auch ausdrücklich verlangt. Selbstredend muss dies aber allgemein gelten.

Zu ergänzen bleibt, dass der Regierungsrat im Rahmen seiner Vollzugskompetenz gemäss Art. 67 Abs. 2 KV ausführende Vorschriften dazu erlassen kann.

§ 12. Interessenabwägung bei der Bekanntgabe von Informationen

1 Bevor das öffentliche Organ eine Information bekannt gibt, prüft es, ob der Bekanntgabe eine rechtliche Bestimmung oder ein überwiegendes öffentliches oder privates Interesse entgegensteht.

2 Ein öffentliches Interesse liegt insbesondere vor, wenn die Bekanntgabe der Information

a. die Wirkung von Untersuchungs‑, Sicherheits- oder Aufsichtsmassnahmen gefährdet,

b. Vertragsverhandlungen gefährdet,

c. den Meinungsbildungsprozess eines öffentlichen Organs beeinträchtigt,

d. die Beziehungen unter den Gemeinden, zwischen Gemeinden und Kanton, zu einem anderen Kanton, zum Bund oder zum Ausland beeinträchtigt,

e. die zielkonforme Durchführung konkreter behördlicher Massnahmen beeinträchtigt.

3 Ein privates Interesse liegt insbesondere vor, wenn die Bekanntgabe der Information die Privatsphäre Dritter beeinträchtigt.

Die Bestimmung nimmt die Regelung von § 23 Abs. 1 IDG auf. Das öffentliche Organ ist danach verpflichtet, vor jeder Bekanntgabe einer Information zu prüfen, ob es die Bekanntgabe nicht verweigern muss, weil der Bekanntgabe eine rechtliche Bestimmung oder ein überwiegendes öffentliches oder privates Interesse entgegensteht. § 11 gilt grundsätzlich – wie bereits heute § 23 IDG – für jede Bekanntgabe von Informationen. Aufgrund dieser allgemeinen Bedeutung drängt sich eine Regelung bei den Allgemeinen Bestimmungen auf. Lediglich in Ausnahmefällen wird die Interessenabwägung bereits im Gesetz vorgenommen und die Bekanntgabe von Informationen bereits von Gesetzes wegen ausgeschlossen (vgl. § 18).

Im Sinne einer verhältnismässigen Anwendung dieses Grundsatzes kann gestützt auf die Interessenabwägung eine Bekanntgabe von Informationen auch teilweise verweigert oder aufgeschoben werden. Diese Möglichkeiten sind in § 23 Abs. 1 lit. a ausdrücklich aufgeführt. Die Gründe für die Verweigerung einer Bekanntgabe sind den Personen, die Einsicht verlangen, bekannt zu geben. Dies kann formlos erfolgen. Nur wenn die Person, die Einsicht verlangt, mit der Verweigerung der Bekanntgabe nicht einverstanden ist, werden die Gründe in der Verfügung dargelegt (vgl. hinten § 23).

Abs. 2 entspricht § 23 Abs. 2 IDG, wobei die bisherige lit. b um das öffentliche Interesse am Schutz des Kollegialitätsprinzips ergänzt werden soll. Die übrigen Literae entsprechen unverändert geltendem Recht. Festzuhalten ist, dass die Aufzählung nicht abschliessend ist, weshalb auch weitere öffentliche Interessen einer Bekanntgabe von Informationen entgegenstehen können. Zu ergänzen ist überdies, dass die aufgezählten öffentlichen Interessen eher konkret und eng gefasst sind. Auf die Aufzählung abstrakter, sehr weit gefasster öffentlicher Interessen wie etwa «friedliches Zusammenleben» oder «öffentliche Sicherheit» wurde bereits im geltenden Recht verzichtet. Entsprechende Interessen können einer Bekanntgabe von Informationen selbstverständlich auch entgegenstehen. Sie sind jedoch so abstrakt, dass das entsprechende Interesse in jedem Einzelfall genauer umschrieben werden muss, weshalb eine entsprechende Erweiterung der Aufzählung kein Gewinn wäre.

Festzuhalten ist, dass eine Bekanntgabe von Informationen nicht mit der Begründung verweigert werden kann, die Information sei nicht aussagekräftig oder eine Herausgabe nicht zweckmässig. Der Informationsanspruch ist allgemeiner und umfassender Natur, und es ist nicht Sache des öffentlichen Organs, zu beurteilen, ob die Information zweckmässig ist oder nicht. Falls aber Informationen bekannt gegeben werden, die zu falschen Schlüssen führen könnten, kann das öffentliche Organ bei der Veröffentlichung darauf hinweisen bzw. die Informationen in einen Kontext setzen.

Die Formulierung von lit. b (bisher § 23 Abs. 2 lit. a IDG) wird vereinfacht. Massgebend muss sein, dass Vertragsverhandlungen gefährdet werden und nicht, dass «Positionen in Vertragsverhandlungen betroffen» sind.

Lit. c: Die Bekanntgabe einer Information soll nicht mehr nur dann eingeschränkt werden können, wenn eine Bekanntgabe den Meinungsbildungsprozess des Organs beeinträchtigen würde (vgl. Bruno Baeriswyl, in: Praxiskommentar IDG, § 23 N. 16 f.). In die Interessenabwägung sollen neu ausdrücklich auch Überlegungen zum Schutz des Kollegialitätsprinzips einbezogen werden können. Die Bekanntgabe von Informationen, die für die interne Meinungsbildung eines Kollegialorgans relevant sind, soll dabei zum Schutz des Kollegialitätsprinzips auch nach Abschluss des Meinungsbildungsprozesses verweigert werden können. Dies kann sich etwa aufdrängen, wenn die Bekanntgabe einer Information die Haltung einzelner Mitglieder des Kollegialorgans in einer Art offenlegen würde, welche die künftige Zusammenarbeit im Kollegium oder die künftige freie Meinungsäusserung erschweren oder beeinträchtigen würde. In § 18 lit. a wird für einen Teilbereich (Beschlüsse des Regierungsrates und der Gemeindevorstände) die Interessenabwägung bereits im Gesetz vorgenommen, weshalb in jenen Fällen keine Interessenabwägung mehr vorzunehmen ist. Festzuhalten ist, dass die Bekanntgabe der Information dabei nicht zwingend vom Organ ausgehen muss, dessen Kollegialitätsprinzip geschützt werden soll. Vielmehr kann auch ein öffentliches Organ, das an der kollegialen Willensbildung beteiligt war, die Bekanntgabe unter Anrufung des Kollegialitätsprinzips verweigern (so etwa eine Direktion des Regierungsrates betreffend die Willensbildung einer interkantonalen Konferenz).

Lit. d wird um den Zusatz «zwischen Gemeinden und Kanton» ergänzt. Auch die Beziehung zwischen den Gemeinden und dem Kanton soll durch die Bekanntgabe von Informationen nicht beeinträchtigt werden können.

Abs. 3: Mit dieser Bestimmung wird betont, dass im Rahmen der Interessenabwägung der Anspruch Dritter auf eine unversehrte Persönlichkeit und damit deren Privatsphäre zu berücksichtigen ist. Unterliegt eine Person einem Berufsgeheimnis, ist eine Bekanntgabe dann möglich, wenn eine Entbindung vom Berufsgeheimnis (durch die zuständige Behörde oder die betroffene Person) erteilt wurde oder eine gesetzliche Grundlage die Bekanntgabe erlaubt. Zu erwähnen bleibt, dass unter die Privatsphäre von juristischen Personen die Geschäfts- und Fabrikationsgeheimnisse fallen. Eine ausdrückliche Ergänzung dieser besonderen Interessen ist deshalb nicht notwendig.

§ 13. Einwilligung

Eine Einwilligung setzt voraus, dass

a. das öffentliche Organ die betroffene Person angemessen informiert hat,

b. die betroffene Person sie freiwillig erteilt,

c. sie sich auf eine hinreichend bestimmte Datenbearbeitung bezieht.

Von verschiedenen Vernehmlassungsteilnehmenden wurde die Einführung der Möglichkeit zur Einwilligung in eine Datenbearbeitung und damit die Angleichung an das Datenschutzgesetz des Bundes verlangt. Die Vorlage wird deshalb um entsprechende Bestimmungen ergänzt (vgl. im Einzelnen §§ 24 lit. c und 25 lit. c). Die Anforderungen an die Einwilligung, die auch in § 20 (Einbezug betroffener Dritter), § 26 (Zweckbindung) und § 35 (Berechtigung zur Bekanntgabe) erwähnt wird, werden unter den allgemeinen Bestimmungen geregelt. Dies drängt sich insbesondere deshalb auf, weil die Einwilligung auch im Rahmen des Einbezugs betroffener Dritter im Abschnitt zum Öffentlichkeitsprinzip von Bedeutung ist.

Lit. a: Voraussetzung für eine Einwilligung muss sein, dass der betroffenen Person bewusst ist, welche Auswirkungen die Einwilligung zur Folge hat und welche Ziele mit der Datenbearbeitung verfolgt werden. Die betroffene Person muss also im konkreten Fall über alle Informationen verfügen, die erforderlich sind, damit sie eine freie Entscheidung treffen kann.

Lit. b: Conditio sine qua non jeder Einwilligung ist die Freiwilligkeit. Kennzeichnend für jede Einwilligung muss somit sein, dass die Inanspruchnahme einer fraglichen staatlichen Handlung und die damit verbundene Bearbeitung von Personendaten in der Disposition der betroffenen Person liegt und nicht gegen deren Interessen erfolgt (vgl. Philip Glass, Die rechtsstaatliche Bearbeitung von Personendaten in der Schweiz, Diss. Basel 2016, S. 228). Grundsätzlich ist die Einwilligung wohl auch widerrufbar (vgl. BGE 136 III 401 E. 5.2.2 mit Verweisen). Dieser Widerruf kann aber wohl nur Auswirkungen für die Zukunft haben und kann zudem, analog zu Art. 404 Abs. 2 OR, zu einer Schadenersatzpflicht der oder des Widerrufenden führen.

Lit. c: Die Einwilligung kann nur für eine bestimmte Art der Datenbearbeitung erfolgen. Eine allgemeine Einwilligung zur Bearbeitung sämtlicher Personendaten in einem umfassenden Verwaltungsbereich einzuholen, ist damit ausgeschlossen.

2. Abschnitt: Öffentlichkeitsprinzip

Der Abschnitt zum Öffentlichkeitsprinzip umfasst die Informationstätigkeit von Amtes wegen (§§ 13 ff.), mit der unter anderem das in Art. 49 KV festgehaltene Transparenzprinzip umgesetzt wird. In diesem Abschnitt wird neu das Recht der öffentlichen Organe zur Veröffentlichung von Informationen als offene Behördendaten ausdrücklich geregelt (§ 15). Schliesslich enthält der Abschnitt die Bekanntgabe von Informationen auf Gesuch (§§ 17 ff.), mit der Art. 17 KV umgesetzt wird.

A. Informationstätigkeit von Amtes wegen

Vorbemerkungen zu §§ 13 ff.

Da neu Bestimmungen zu offenen Behördendaten ins Gesetz eingefügt werden, werden für eine bessere Gliederung aus dem bisherigen § 14 IDG mehrere Paragrafen gebildet. In einem ersten Paragrafen wird geregelt, welche allgemeinen Informationen zu Verwaltungsstruktur, Informationsbeständen und besonderen Bearbeitungsarten (automatisierte Entscheidsysteme) zur Verfügung gestellt werden müssen. § 13 dient der Transparenz der öffentlichen Verwaltung (bisher § 14 Abs. 2 und 4 IDG). Er wird neu mit einer Bestimmung zu algorithmischen Entscheidsystemen ergänzt, für die ebenfalls ein öffentliches Verzeichnis zu schaffen ist. In einem zweiten Paragrafen (§ 14) wird die Informationspflicht über die Tätigkeiten des öffentlichen Organs geregelt und gleichzeitig festgehalten, unter welchen Umständen auch über nicht rechtskräftig abgeschlossene Verfahren informiert werden darf. Diese Bestimmungen entsprechen § 14 Abs. 1 und 3 IDG.

§ 14. Allgemeine Informationen

1 Das öffentliche Organ stellt Informationen über seinen Aufbau, die Zuständigkeiten und Kontaktmöglichkeiten zur Verfügung.

2 Es führt ein öffentlich zugängliches Verzeichnis seiner Informationsbestände und über deren Zwecke. Es kennzeichnet Informationsbestände, die Personendaten enthalten.

3 Es führt ein öffentlich zugängliches Verzeichnis der von ihm verwendeten algorithmischen Entscheidsysteme, die sich auf die Grundrechte von Personen auswirken können. Der Regierungsrat regelt die Einzelheiten für alle öffentlichen Organe in einer Verordnung.

Gestützt auf das Konzept sollte geprüft werden, ob § 14 Abs. 2 und 4 IDG beizubehalten sind. Bei der Beurteilung dieser Frage ist auch die neue Regelung des Bundes in Betracht zu ziehen. Gemäss Art. 12 nDSG müssen die Bundesorgane weiterhin ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Dem Erläuternden Bericht ist dazu Folgendes zu entnehmen: «Die Pflicht des Bundesorgans, eine Datenbearbeitungstä- tigkeit zu melden, entspricht im Wesentlichen seiner Pflicht, eine Datensammlung anzumelden. Es handelt sich um eine terminologische Anpassung infolge der Aufhebung des Begriffs der ‹Datensammlung› (Art. 3 Bst. g nDSG) in der vorliegenden Revision. Die neue Terminologie entspricht auch jener in Artikel 24 der Richtlinie (EU) 2016/680 und in Artikel 30 der Verordnung (EU) 2016/679.» Die Verwendung der Terminologie des nDSG im IDG erweist sich als nicht geeignet, da im IDG neben der Bearbeitung von Personendaten auch der Informationszugang geregelt wird. Wie bis anhin soll deshalb ein Verzeichnis aller Informationsbestände verlangt werden. Diejenigen Informationsbestände, die Personendaten enthalten, sind dabei besonders zu kennzeichnen.

Abs. 1: Aus Gründen der Transparenz ist jedes öffentliche Organ verpflichtet, Informationen über seinen Aufbau und seine Aufgaben zur Verfügung zu stellen. Die Rechtsunterworfenen erhalten so die Möglichkeit, sich einen groben Überblick über den Aufbau des öffentlichen Organs zu verschaffen. Sie werden zudem darüber informiert, wo innerhalb eines öffentlichen Organs Informationen erhältlich gemacht werden können. Dabei muss nicht zwingend eine bestimmte «Ansprechperson» oder «Stelle» angegeben werden. Vielmehr drängt es sich häufig auf, aus Gründen des Schutzes der Mitarbeitenden auf deren Nennung in bestimmten Zusammenhängen zu verzichten. Mit der gewählten Formulierung wird dem öffentlichen Organ der notwendige Ermessensspielraum gewährt.

Abs. 2: Der Begriff Informationsbestände umfasst gemäss der in § 6 IDV verwendeten Terminologie Ordnungssysteme und Datensammlungen. Ein Ordnungssystem ist eine zumeist hierarchische, aufgabenorientierte Struktur, die für alle vorkommenden Geschäftsfälle eine geeignete Ablageposition zur Verfügung stellt (vgl. ABl 2019-09-13). Es erlaubt

– eine zielgerichtete, strukturierte Suche,

– die genaue Zuordnung von Informationen zum jeweiligen Dossier (keine Mehrfachablagen),

– die einfache Bewirtschaftung von Metadaten,

– die langfristige Erhaltung des Entstehungs- und Verwendungszusammenhangs von Informationen,

– die einheitliche Verwaltung unterschiedlicher Informationsträger.

Die Verwendung des Begriffs Informationsbestände in § 6 IDV und die darin festgelegten Anforderungen an den Inhalt der Verzeichnisse werden, auch in Anbetracht von § 44a E‑OG RR, Art. 12 nDSG sowie Art. 24 der Richtlinie (EU) 2016/680 und Art. 30 der Verordnung (EU) 2016/679, im Rahmen der Revision der Verordnung zu überprüfen und allenfalls anzupassen sein. So sieht der für die Schweiz massgebliche Art. 24 der Richtlinie (EU) 2016/680 einige Angaben vor, die in § 6 IDV nicht ausdrücklich genannt werden. Dies sind unter anderem Angaben über Kategorien betroffener Daten, die Verwendung von Profiling, die Rechtsgrundlage der Datenbearbeitung, die Löschung von Daten sowie Angaben über eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit.

Der Nutzen der Verzeichnisse wurde im Rahmen der Evaluation des IDG wie erwähnt angezweifelt. Diese Kritik gründete jedoch vorab auf Aussagen von Verwaltungsangehörigen, während die Öffentlichkeit, die ein Interesse an einer Einsicht in diese Verzeichnisse haben kann, nicht in die Evaluation einbezogen wurde. Festzuhalten ist, dass ein Verzeichnis der Informationsbestände keine Einzelheiten enthalten muss und dessen Erstellung für das öffentliche Organ deshalb auch nicht mit übermässigem Aufwand verbunden ist. Allerdings sind für die Herstellung der bezweckten Transparenz bestimmte, in der Verordnung genauer zu umschreibende Angaben nötig. Zudem ist die Pflege des Verzeichnisses, d. h. dessen laufende Nachführung, für die öffentlichen Organe durchaus mit einem gewissen Aufwand verbunden. Den interessierten Personen erleichtert ein entsprechendes Verzeichnis indessen den Informati- onszugang bzw. es macht diesen erst möglich. Eine Beibehaltung der Bestimmung erscheint damit als gerechtfertigt.

Zu ergänzen bleibt, dass mit § 44a E‑OG RR eine Regelung geschaffen wird, wonach die kantonale Verwaltung einen gemeinsamen Datenkatalog führt. Der Regierungsrat hat dazu sodann festgelegt, dass die digitale Transformation der kantonalen Verwaltung über die fünf strategischen Initiativen gesteuert werden solle. Er hat dazu Ambitionen formuliert und Handlungsfelder festgelegt. Ein Handlungsfeld im Rahmen der strategischen Initiative Daten befasst sich dabei mit dem Metadatenkatalog und Register für automatisierte Entscheidsysteme (RRB Nr. 1331/2022, S. 11, Handlungsfeld 4). Der Metadatenkatalog bildet dabei die Grundlage für die Mehrfachnutzung von Stammdaten und die Harmonisierung der Referenzdaten. Er ermöglicht insbesondere einen Überblick der Datenlandschaft und trägt zudem zur Verbesserung der Transparenz und der Effizienz bei, fördert behördenübergreifende Zusammenarbeit und erhöht die Qualität der Leistungen (a. a. O.). Wird ein solcher Datenkatalog geführt, erfüllt dieser mit Bezug strukturiert vorliegender Informationsbestände die Anforderungen an die verlangten Verzeichnisse der Informationsbestände. Zusätzliche Verzeichnisse müssen deshalb von der kantonalen Verwaltung nur noch für die Ordnungssysteme geführt werden.

Mit algorithmischen Entscheidsystemen (AES) werden Informationen analysiert und Lösungen für bestimmte Probleme oder Bereiche entwickelt und vorgeschlagen (vgl. Deutsches Institut für Menschenrechte, Algorithmische Entscheidungssysteme, Menschenrechtliche Vorgaben und Entwicklungen auf internationaler Ebene; institut-fuer-menschenrechte.de/fileadmin/Redaktion/Publikationen/Information/Information_Algorithmische_Entscheidungssysteme.pdf). Dabei können Algorithmen eine unterschiedliche Rolle einnehmen, indem sie die menschliche Entscheidung in unterschiedlicher Weise unterstützen oder prägen. Eine besonders ausgeprägte Variante sind automatisierte Einzelentscheide, bei denen – ohne menschliches Mitwirken – Entscheide generiert werden (auch: algorithmendeterminierte Entscheidungen, a. a. O.). Letzteres würde eine Grundlage im Verfahrensrecht benötigen, ist doch das geltende Verwaltungsverfahrensrecht darauf ausgerichtet, dass Verwaltungsbehörden, also Menschen, handeln (vgl. etwa § 4 VRG). Es ist jedoch darauf hinzuweisen, dass nicht alle Entscheide, die mithilfe von oder durch einen Algorithmus getroffen werden, einen Einfluss auf die Grundrechte von Personen haben (z. B. die Automatisierung eines Prozessschrittes oder die automatisierte Auswertung von Klimadaten).

Das IDG verfolgt neben dem Schutz der Grundrechte von Personen, deren Daten bearbeitet werden, auch den Zweck, durch Transparenz die freie Meinungsbildung und die Wahrnehmung der demokratischen Rechte zu fördern sowie die Kontrolle staatlichen Handelns zu erleichtern (§ 1 Abs. 2 lit. a und c). Entsprechend besteht ein erhebliches Interesse an einer Offenlegung der Verwendung von algorithmischen Entscheidsystemen, die einen Einfluss auf die Grundrechte haben können. Dies gilt unabhängig davon, ob es sich um komplexe Systeme, die mit Mustererkennung arbeiten, handelt oder um einfache Systeme, die nach festen Regeln ohne Entscheidungsspielraum handeln. AES können sich insbesondere dann auf die Grundrechte auswirken, wenn Personendaten oder auch anonymisierte Personendaten mittels AES ausgewertet oder bei der Bearbeitung von Personendaten AES verwendet werden (z. B. Verwendung von AES für die Auswertung von Bewerbungsdossiers). So werden auch in der Forschung, der Planung oder der Statistik regelmässig grosse Mengen von Personendaten bearbeitet. Zwar ist es nicht Ziel dieser Bearbeitung, Aussagen über einzelne Personen zu ermöglichen. Vielmehr sollen die Auswertungen und Ergebnisse keine entsprechenden Aussagen zulassen. Das Risiko von Persönlichkeitsverletzungen wird dabei als klein(er) erachtet, weshalb besondere Regeln gelten (vgl. § 26 Abs. 2). Doch besteht bei solchen Bearbeitungen mittels AES ein besonderes Diskriminierungsrisiko. Von grosser Bedeutung ist dabei die Datenbasis (Problem der sogenannten Bias in den Daten). So können bestimmte AES, die auf Trainingsdaten beruhen, welche die aktuelle Gesellschaft abbilden, bereits bestehende Verhaltensweisen oder Muster in der Gesellschaft mitlernen. Ist die Datenbasis entsprechend unzureichend (z. B. unvollständig oder veraltet), kann dies zu diskriminierenden oder anderweitig verzerrten Ergebnissen führen (vgl. Studie KI, S. 40 f., mit Beispielen und weiteren Risiken). Dem Diskriminierungsschutz ist entsprechend grosses Gewicht beizumessen, wobei insbesondere die Funktionsweise und die Datenbasis des Algorithmus in Betracht zu ziehen sind (vgl. dazu etwa den Tätigkeitsbericht der Datenschutzstelle der Stadt Zürich 2020 zum Algorithmus betreffend die Durchmischung an den öffentlichen Schulen; www.gemeinderat-zuerich.ch/dokumente/5f630e4cd50648f99dc94a3480e4f53e-332?filename= 2021_0197). Aus diesen Erwägungen geht hervor, dass der Grundrechtsschutz in diesem Zusammenhang weit zu interpretieren ist und er über das Recht auf informationelle Selbstbestimmung und auf Zugang zu Informationen gemäss Art. 17 KV hinausgeht. Neben dem Diskriminierungsschutz ist etwa an die Meinungsfreiheit, die politischen Rechte oder die Verfahrensgrundrechte zu denken. Zu ergänzen bleibt, dass bereits die Möglichkeit eines AES, die Grundrechte zu verletzen, ausreichen soll: Im Hinblick auf die angestrebte Transparenz und die Zweckverfolgung des IDG ist die Schwelle tief anzusetzen.

Auch die Studie KI verweist auf die Notwendigkeit einer Liste von AES zur Gewährleistung der Transparenz. Diese Notwendigkeit besteht bei sämtlichen öffentlichen Organen, weshalb eine Regelung im OG RR, wie sie in der Vernehmlassungsvorlage vorgeschlagen wurde und die nur für die kantonale Verwaltung Gültigkeit hätte, als ungenügend erscheint. Festzuhalten ist, dass innerhalb der kantonalen Verwaltung die Koordinationsstelle IDG eine Vernetzungs- und Überwachungsfunktion übernehmen kann. Innerhalb der Direktionen werden die Datenschutzberaterinnen und ‑berater dafür zuständig sein, dass dieser Bestimmung auch nachgelebt wird (vgl. § 44c E‑OG RR).

Der Regierungsrat soll beauftragt werden, für sämtliche öffentlichen Organe Ausführungsbestimmungen zu erlassen. In der Verordnung geregelt werden soll insbesondere, dass die Datenbasis und die Funktionsweise der AES bekannt gegeben werden müssen. Dies erscheint als notwendig, da das verwendete Datenmaterial unzureichend sein kann (etwa falsch, unvollständig oder veraltet), was zu einer Verzerrung der Ergebnisse führen kann. Die Unabhängigkeit der Gerichte wird durch diese Bestimmung nicht betroffen, da rein formale Kriterien geregelt werden sollen.

Zu ergänzen ist, dass die Kenntnis vom Einsatz von AES ohne Grundrechtsbezug zwar ebenfalls von Interesse sein kann. Eine entsprechende Regelung müsste aber – wo erwünscht – ausserhalb des IDG in den entsprechenden Spezialerlassen erfolgen.

§ 15. Informationen über Tätigkeiten

1 Das öffentliche Organ informiert von sich aus über seine Tätigkeiten von allgemeinem Interesse.

2 Über nicht rechtskräftig abgeschlossene Verfahren darf es nur informieren, wenn dies zur Berichtigung oder Vermeidung falscher Informationen notwendig ist oder in einem besonders schweren oder Aufsehen erregenden Fall die unverzügliche Information angezeigt ist.

Abs. 1 des bisherigen § 14 IDG soll unverändert beibehalten werden. Die öffentlichen Organe sollen von sich aus aktiv informieren. Allerdings handelt es sich dabei um eine blosse Obliegenheit des öffentlichen Organs. Ein individueller, einklagbarer Rechtsanspruch wird mit der Bestimmung nicht begründet (vgl. Marco Fey, in: Praxiskommentar IDG, § 14 N. 5).

In Abs. 2 wird die Regelung von § 14 Abs. 3 IDG übernommen. Der Begriff «hängige» Verfahren wird dabei durch den Begriff der «nicht rechtskräftig abgeschlossenen» Verfahren ersetzt. Eine Angelegenheit als solche bleibt rechtshängig, solange der angefochtene Entscheid nicht rechtskräftig geworden ist (Ruth Herzog/Michel Daum [Hrsg.], Kommentar zum Gesetz über die Verwaltungsrechtspflege im Kanton Bern, 2. Aufl., Bern 2020, Art. 16 N. 7; vgl. BGE 127 II 215 E. 2). Die Formulierung «nicht rechtskräftig abgeschlossen» ist aussagekräftiger als der Begriff «hängige» Verfahren, weshalb künftig in dieser Bestimmung – wie in § 3 – von «nicht rechtskräftig abgeschlossenen Verfahren» gesprochen wird.

§ 14 Abs. 2 legt fest, dass über nicht rechtskräftig abgeschlossene Verfahren grundsätzlich nicht informiert wird. Ist eine Information zur Richtigstellung von Falschinformationen unumgänglich oder handelt es sich um einen besonders schweren oder Aufsehen erregenden Fall, der eine unverzügliche Information notwendig macht, ist eine Information ausnahmsweise zulässig. Ob dies der Fall ist, muss das öffentliche Organ, das die Information bekannt geben will, gestützt auf eine Interessenabwägung gemäss § 11 entscheiden. Abzuwägen ist dabei insbesondere die Privatsphäre betroffener Dritter (so etwa, wenn bei bestehendem Korruptionsverdacht über ein laufendes personalrechtliches Verfahren informiert werden muss). Der Schutz des Vertrauens in die Behörden kann dabei im Einzelfall höher zu gewichten sein als der Schutz der Privatsphäre der betreffenden Mitarbeiterin oder des betreffenden Mitarbeiters. Mit der Verwendung des Verbes «dürfen» wird dabei ausdrücklich darauf hingewiesen, dass es sich um eine Ermächtigung des Organs handelt und nicht um eine Verpflichtung.

Bei der Bekanntgabe entsprechender Informationen ist regelmässig auch das Amtsgeheimnis von Bedeutung (vgl. Art. 320 Schweizerisches Strafgesetzbuch [StGB; SR 311.0]). Unter den Anwendungsbereich von Art. 320 StGB fallen sämtliche Tatsachen, die weder offenkundig noch allgemein zugänglich sind und bezüglich deren die Geheimnisträgerin oder der Geheimnisträger nicht nur ein berechtigtes Interesse, sondern auch den ausdrücklich oder stillschweigend bekundeten Willen zur Geheimhaltung hat (BGE 142 IV 67). Tatsachen, die der Geheimhaltung unterliegen, dürfen grundsätzlich nicht veröffentlicht werden. Tathandlung gemäss Art. 320 StGB ist ein unerlaubtes Offenbaren von Geheimwissen an unbefugte Dritte (vgl. Bernhard Isenring, in: Andreas Donatsch [Hrsg.], StGB/JStG Kommentar, 21. Aufl., Zürich 2022, Art. 320 StGB N. 15). Gemäss Art. 320 StGB ist deshalb eine schriftliche Entbindung vom Amtsgeheimnis notwendig, um eine Veröffentlichung zu rechtfertigen. Allerdings kommen gemäss Stefan Trechsel/Hans Vest auch weitere Rechtfertigungsgründe infrage (Stefan Trechsel/Mark Pieth [Hrsg.], Schweizerisches Strafgesetzbuch, Praxiskommentar, 4. Aufl., Zürich 2021, Art. 320 N. 13). Dies muss vorliegend die Wahrnehmung berechtigter Interessen sein (BGE 94 IV 70). Bei überwiegenden öffentlichen Interessen an der Richtigstellung von Falschinformationen ist eine Information zulässig, wobei im Zweifelsfalle eine Entbindung vom Amtsgeheimnis eingeholt werden soll.

§ 16. Offene Behördendaten

1 Die öffentlichen Organe können Informationen, die strukturiert und elektronisch gespeichert sind, als offene Behördendaten veröffentlichen, wenn keine rechtliche Bestimmung und kein überwiegendes öffentliches oder privates Interesse entgegenstehen.

2 Der Regierungsrat fördert die Veröffentlichung von offenen Behördendaten durch die öffentlichen Organe und bezeichnet die zuständige Stelle.

Bei den Begriffsdefinitionen in § 5 werden in Abs. 5 neu offene Behördendaten aufgeführt. Die Einzelheiten sollen in der vorliegenden Bestimmung sowie für die kantonale Verwaltung in § 44b E‑OG RR geregelt werden.

Das heutige Verständnis einer transparenten Verwaltungstätigkeit geht von einer möglichst weitgehenden Veröffentlichungspflicht aus. Durch eine aktivere Informationspolitik der Behörden kann die Zahl der Informationszugangsgesuche verringert werden: Bei einer aktiven Informationspolitik werden Anfragen der Rechtsunterworfenen häufig gar nicht erst notwendig, was die Verwaltungseffizienz steigert und Ressourcen spArt. Letztlich entscheidet das datenhaltende öffentliche Organ, ob sich Informationen zur Veröffentlichung als offene Behördendaten eignen oder nicht. Eine proaktive Veröffentlichung schafft einen Vertrauensgewinn und steigert das Ansehen der Verwaltung gegen innen und aussen. Mit § 15 sollen die öffentlichen Organe ausdrücklich zur Veröffentlichung entsprechender Daten ermächtigt werden. Festzuhalten ist, dass verschiedene Gemeinwesen bereits heute weitergehen: So haben der Bund und auch die Stadt Zürich das Prinzip «open by default» eingeführt. Auch die öffentlichen Organe der kantonalen Verwaltung sollen verpflichtet werden, geeignete Daten zu veröffentlichen (§ 44b E‑OG RR).

Abs. 1: In dieser Bestimmung wird ausdrücklich festgehalten, dass die öffentlichen Organe berechtigt sind, Informationen als offene Behördendaten zur Verfügung zu stellen. Diese Regelung liegt im Sinne des Legalitätsprinzips. Welche Informationen als OGD zur Verfügung gestellt werden dürfen, ergibt sich aus der Definition in § 5 Abs. 5.

Bevor Informationen der Öffentlichkeit einschränkungslos zur Verfügung gestellt werden, ist zu prüfen, ob nicht eine Bestimmung in einem Gesetz oder einer Verordnung gegen die Veröffentlichung spricht. Legt die Spezialgesetzgebung fest, dass Daten vom öffentlichen Organ nicht frei verwendet oder weitergegeben werden bzw. von Dritten nicht frei verwendet werden dürfen, ist eine Publikation als offene Behördendaten ausgeschlossen. Zu denken ist dabei insbesondere an Bestimmungen zum Schutz vor Bekanntgabe von Personendaten (§ 35). Personendaten und besondere Personendaten können folglich nicht unter die zu veröffentlichenden Informationen fallen. Zudem ist immer eine Interessenabwägung vorzunehmen: Nur wenn diese nicht gegen die Veröffentlichung spricht, dürfen die Informationen zur Verfügung gestellt werden.

Als offene Behördendaten können nur Informationen veröffentlich werden, die elektronisch gespeichert sind und zudem strukturiert vorliegen. Zur Verfügung gestellt werden sollen danach Informationen, die in Tabellen, Listen oder Datenbanken vorhanden sind, beispielsweise Kennzahlen von Geschäftsberichten, die bereits im PDF-Format publiziert werden. Nicht als OGD zu veröffentlichen sind demgegenüber einzelne Textdokumente im Word-Format. Von Dritten gewünschte Zusammenstellungen oder Datensätze, die nicht vorhanden sind und von öffentlichen Organen mit zusätzlichem Aufwand zusammengestellt werden müssten, sind nicht zu veröffentlichen.

Abs. 2: Der Regierungsrat soll die Veröffentlichung entsprechender Daten bei allen öffentlichen Organen fördern. Zu diesem Zweck soll eine Stelle der kantonalen Verwaltung damit beauftragt werden, die öffentlichen Organe zu beraten und insbesondere Leitfäden und andere Hilfsmittel zur Verfügung zu stellen. Bereits heute bestehen die «Fach- und Koordinationsstelle OGD» und der Fachausschuss «Open Government Data», die im Auftrag des Regierungsrates tätig sind.

§ 17. Medien

1 Das öffentliche Organ nimmt bei seiner Informationstätigkeit nach Möglichkeit Rücksicht auf die Bedürfnisse der Medien.

2 Es kann die Akkreditierung von Medienschaffenden vorsehen.

Diese Bestimmung wird unverändert aus § 15 IDG übernommen.

B. Bekanntgabe auf Gesuch

§ 18. Grundsatz

1 Jede Person hat Anspruch auf Zugang zu den bei einem öffentlichen Organ vorhandenen Informationen.

2 Sind Informationen bereits öffentlich und stehen sie auf angemessene Weise zur Verfügung, gibt das öffentliche Organ die Fundstelle an.

3 Auf querulatorische oder missbräuchliche Gesuche wird nicht eingetreten.

Jede Bekanntgabe von Informationen setzt die Vornahme einer Interessenabwägung voraus. Dieser Grundsatz ist deshalb bei den allgemeinen Bestimmungen geregelt (§ 11). Auch im Übrigen soll die Bekanntgabe von Informationen wie unter geltendem Recht für den Zugang zu eigenen Personendaten und Informationen weitgehend übereinstimmend geregelt werden. Im Datenschutzteil wird deshalb zum Teil auf die Regelung im Abschnitt über das Öffentlichkeitsprinzip verwiesen und die entsprechenden Bestimmungen für sinngemäss anwendbar erklärt (vgl. hinten § 38 Abs. 5). Um die bestehenden Unterschiede klarer zum Ausdruck zu bringen, wird für den Zugang zu den eigenen Personendaten künftig der Begriff des «Auskunftsrechts» (wieder) eingeführt. Das dient der Verständlichkeit und hilft, Missverständnissen vorzubeugen. Zudem verwendet der Kanton Zürich damit dieselbe Terminologie wie der Bund (Art. 25 nDSG).

Ferner ist darauf hinzuweisen, dass die Bestimmung in § 20 Abs. 3 IDG («In nicht rechtskräftig abgeschlossenen Verwaltungs- und Verwaltungsjustizverfahren richtet sich das Recht auf Zugang zu Information nach dem massgeblichen Verfahrensrecht.») in § 3 eingefügt wurde. Wobei dieser Grundsatz letztlich wohl nichts anderes aussagt, als was nach den allgemeinen Kollisionsregeln ohnehin gelten würde, gehen doch Regelungen in Spezialgesetzen dem IDG vor.

Abs. 1: § 20 Abs. 1 IDG setzt Art. 17 KV auf Gesetzesebene um. Die Bestimmung ist deshalb weitgehend unverändert ins neue Recht zu überführen. Der Anspruch auf Informationszugang darf weder vom Nachweis eines schutzwürdigen Interesses abhängig gemacht werden, noch darf eine Begründung verlangt werden, etwa wozu die Information verwendet werden soll. Der Anspruch ist deshalb grundsätzlich voraussetzungslos und besteht damit im Grundsatz auch, wenn blosse Neugier Anlass für das Informationszugangsgesuch ist. Allerdings kann der Informationszugang unter Umständen eingeschränkt werden (vgl. Abs. 2 und § 18). Falls in gewissen Verwaltungsbereichen eine eingeschränkte Bekanntgabe als angezeigt erscheint, kann der Zugang zudem im entsprechenden Spezialgesetz entsprechend beschränkt werden.

Abs. 2: Auch § 25 Abs. 2 IDG soll inhaltlich weitgehend ins geltende Recht übernommen werden. Der Informationszugang besteht zwar grundsätzlich ohne Interessennachweis. Eine Abweichung von diesem grundsätzlich voraussetzungslosen Informationszugang soll nach der vorliegenden Bestimmung ausnahmsweise jedoch dann möglich sein, wenn die Gewährung des Informationszugangs mit sehr grossem Aufwand verbunden ist. Entgegen der bisherigen Regelung soll für das Erfordernis der Glaubhaftmachung eines schutzwürdigen Interesses lediglich der vom öffentlichen Organ zu betreibende Aufwand massgebend sein. Dieser soll in einem ersten Schritt nicht gegenüber dem konkreten Interesse der gesuchstellenden Person abgewogen werden, da der Anspruch auf Informationszugang grundsätzlich voraussetzungslos besteht. Das öffentliche Organ wird dazu die für die Bearbeitung des Gesuchs einzusetzenden personellen Mittel abschätzen müssen. Ist für die Bearbeitung des Gesuchs – insbesondere im Verhältnis zu den zur Verfügung stehenden personellen Mittel – ein sehr grosser Aufwand zu treiben, kann der Informationszugang von der Glaubhaftmachung eines schutzwürdigen Interesses abhängig gemacht werden. Im Unterschied zur Vernehmlassungsvorlage wird also nicht der Nachweis, sondern nur die Glaubhaftmachung eines schutzwürdigen Interesses verlangt. Das Interesse, das geltend gemacht werden muss, kann dabei auch ein öffentliches Interesse sein, mithin ein Interesse, das nicht nur der gesuchstellenden Person zusteht. Dieses muss jedoch über den blossen Informationsanspruch hinausgehen. Anschliessend ist das glaubhaft gemachte Interesse gegen das Interesse an einer effizient funktionierenden Verwaltung, die keinen übermässigen Aufwand treiben soll, abzuwägen. Mit der vorliegenden Bestimmung soll damit namentlich auch sogenannten «enzyklopädischen Auskunftsbegehren», die einen sehr grossen Aufwand für die Verwaltung verursachen, begegnet werden können (vgl. dazu auch Beat Rudin, Kein «enzyklopädischer Informationszugang», in digma 2019, S. 32 ff., S. 34). Zu ergänzen bleibt, dass der Rechtsmissbrauch immer eine Schranke für Informationsgesuche bildet, wobei die Anforderungen an eine Verweigerung des Informationszugangs gestützt auf Rechtsmissbrauch sehr hoch sind. Dieser bildet auch die Schranke bei Personen, die immer wieder neue Gesuche um Informationszugang stellen.

Abs. 3: Die Bestimmung entspricht inhaltlich weitgehend § 25 Abs. 1 IDG. Der Zugang zur Information wird durch Mitteilung der Fundstelle gewährt. Festzuhalten ist, dass eine Information bereits «angemessen» zur Verfügung stehen muss. So reicht z. B. eine Medienmitteilung nicht aus, da damit die dahinterstehende Information noch nicht öffentlich ist.

Da in diesen Fällen keine Gesuchprüfung nötig sein soll, wird die Bestimmung systematisch anders eingeordnet als im geltenden Recht. Die Frage, ob eine formelle Verfügung zu erlassen ist, beantwortet sich nach § 23.

§ 19. Ausnahmen

1 Vom Informationszugang ausgenommen sind:

a. bei Geschäften des Regierungsrates und der Gemeindevorstände die Anträge, Mitberichte, Stellungnahmen und Protokolle,

b. Aufzeichnungen, die nicht fertiggestellt oder ausschliesslich zum persönlichen Gebrauch bestimmt sind.

2 Die Gemeinden können die Ausnahmen einschränken oder für nicht anwendbar erklären.

Bei den Ausnahmen vom Informationszugang gemäss § 18 kann der Informationszugang verweigert werden, ohne dass das öffentliche Organ eine Interessenabwägung durchführen muss. Damit werden diese Informationen jedoch nicht allgemein von der Geltung des IDG ausgenommen. Insbesondere die Schutzprinzipien des IDG (z. B. Informationssicherheit) sind auch auf diese Art der Informationen anwendbar. Rein zum privaten Gebrauch verwendete Aufzeichnungen werden jedoch nicht im Geschäft abgelegt und damit auch nicht archiviert.

Lit. a: Diese Bestimmung ist im Grundsatz bereits heute in § 2 Abs. 2 IDV für die Geschäfte des Regierungsrates als Ausführungsbestimmung zu § 23 IDG enthalten. Die Regelung in § 2 Abs. 2 IDV soll neu formellgesetzlich geregelt und auf die Exekutivorgane der Gemeinden erweitert werden. Mit der Bestimmung soll das Kollegialitätsprinzip der Exekutiv- organe des Kantons und der Gemeinden geschützt werden können, ohne dass eine Einzelfallprüfung vorgenommen werden muss. Festzuhalten ist, dass sich der Schutz nicht auf die Anträge, Mitberichte und Stellungnahmen der Mitglieder des Regierungsrates und der Gemeindevorstände beschränkt, sondern auch Unterlagen von deren Mitarbeitenden umfasst. Zudem werden auch die Protokolle vom Informationszugang ausgenommen. Der Meinungsbildungsprozess dieser Kollegialorgane ist damit auch nach einer allfälligen Beschlussfassung noch geschützt. Das öffentliche Organ kann aber nach einem allfälligen Beschluss gestützt auf eine Interessenabwägung festlegen, dass der Öffentlichkeit bestimmte Unterlagen zur Verfügung gestellt werden. Ergänzend ist festzuhalten, dass die Gemeinden, als Folge der Gemeindeautonomie, in ihren Erlassen weitergehende Ausnahmen vom Informationszugang festlegen können.

Lit. b: Mit Bezug auf andere öffentliche Organe sollen die Protokolle nicht öffentlicher Sitzungen vom Informationszugang ausgenommen werden, ohne dass eine Interessenprüfung notwendig ist. Ergän- zend ist festzuhalten, dass auch diese Organe ihre Meinungsbildung noch weitergehend vom Informationszugang ausnehmen können. Dies muss jedoch – falls sie nicht über eine spezialgesetzliche Grundlage verfügen – im Einzelfall gestützt auf eine Interessenabwägung gemäss § 11 Abs. 2 lit. b erfolgen. Eine Ausnahme besteht lediglich für die Organe von Zweckverbänden: Für diese sind die Bestimmungen über die Gemeinden sinngemäss anwendbar, soweit sie mit den Besonderheiten des Zweckverbands vereinbar sind (§ 73 Abs. 4 GG). Dies ist vorliegend zu bejahen.

Lit. c: Diese Regelung war bisher in § 3 Abs. 2 IDG in der Begriffsdefinition von Informationen enthalten. Da es sich bei nicht fertiggestellten Aufzeichnungen und Aufzeichnungen zum persönlichen Gebrauch aber um eine gesetzlich geregelte Einschränkung des Informationszugangs handelt und nicht um einen Teilbereich des Begriffs, ist die entsprechende Regelung neu bei der Bekanntgabe von Informationen aufzuführen (vgl. Beat Rudin, in: Praxiskommentar IDG, § 3 N. 10). Die Ausnahmen sollen dem öffentlichen Organ ermöglichen, die Projekte und Arbeiten mit der nötigen Freiheit zu entwickeln. Sie helfen aber auch, Risiken auszuschliessen, die sich durch die Veröffentlichung von Dokumenten mit provisorischem Charakter ergeben können.

Die in der Vernehmlassung geäusserte Besorgnis, die Verwaltung würde – um eine Herausgabe von Dokumenten zu verhindern – diese gar nie fertigstellen, erscheint unbegründet, ist die Verwaltung doch verpflichtet, rechtmässig, effizient, kooperativ und bürgerfreundlich zu handeln (vgl. Art. 70 Abs. 2 KV). Zudem steht gegen die wiederholte Abweisung unter Hinweis darauf, die Aufzeichnungen seien noch nicht fertiggestellt, der Rechtsverweigerungsrekurs oder die Rechtsverweigerungsbeschwerde zur Verfügung. Sodann kann nicht leichthin angenommen werden, ein Dokument sei im Entwurfsstadium. Allerdings ist der Begriff der «Aufzeichnungen, die nicht fertig gestellt sind» ein unbestimmter Rechtsbegriff, der mit einem Wertungsspielraum verbunden ist (vgl. Beat Rudin, in: Praxiskommentar IDG BS, § 25 N. 32). Wie unter bisherigem Recht wird für die Abgrenzung zwischen Vorentwurf und fertiggestellter Aufzeichnung auf die Unterzeichnung oder Genehmigung durch die dazu berechtigte Amtsperson abzustellen sein, aber auch etwa auf die Übermittlung an ein anderes öffentliches Organ oder eine aussenstehende Person.

Mit Aufzeichnungen «zum persönlichen Gebrauch» sind Arbeitsunterlagen gemeint, die Mitarbeitende als persönliche Arbeitsmittel für sich selbst erstellen und die nicht archiviert werden. Unter diese Ausnahmeregelung fallen persönliche Arbeitshilfen wie Notizhefte, die zur rationellen Erledigung der Arbeit eingesetzt werden (vgl. BGE 142 II 324 S. 331ff.; BVR 1992 S. 80 E. 4c, 2008 S. 49 E. 4.3), oder auch der Ausdruck eines Aktenstücks, auf dem eine Mitarbeiterin Notizen für eine mündliche Besprechung angefügt hat. Ob eine bestimmte Kommunikationsform (etwa Chatverläufe auf Mobiltelefonen) unter diese Art der Aufzeichnungen fällt, ist im Einzelfall zu entscheiden.

§ 20. Gesuch

1 Gesuche auf Zugang zu einer Information können formlos gestellt werden. Die Information, zu der Zugang verlangt wird, ist hinreichend genau zu bezeichnen.

2 Ist die Bearbeitung mit erheblichem Aufwand verbunden, sind Dritte einzubeziehen oder muss verfügt werden, verlangt das öffentliche Organ ein schriftliches Gesuch.

Abs. 1: § 24 Abs. 1 IDG hält fest, dass ein schriftliches Gesuch stellen muss, wer Zugang zu Informationen gemäss § 20 Abs. 1 IDG (Zugang zu den bei einem öffentlichen Organ vorhandenen Informationen) will. Diese Formulierung könnte darauf schliessen lassen, dass das Erfordernis der Schriftlichkeit nur für den Informationszugang gelten soll und nicht auch für das die eigenen Personendaten betreffende Auskunftsrecht. Dabei gilt die Schriftlichkeit gemäss der Regelung in der Verordnung grundsätzlich auch für das Auskunftsrecht (vgl. § 16 Abs. 1 IDV). Die Form des Gesuchs ist deshalb zu klären und für beide Zugangsarten im Gesetz zu regeln.

Die Anforderungen, die an das schriftliche Gesuch auf Informationszugang gestellt werden, sind im geltenden Recht in § 8 IDV geregelt. Hohe Anforderungen an die Schriftlichkeit werden bereits heute nicht gestellt und ein schriftliches Gesuch kann per Post, E‑Mail oder Fax gestellt werden. Wird der elektronische Weg gewählt, müssen unter Umständen je nach Inhalt der ersuchten Information qualifizierte Anforderungen an die Identifizierung der oder des Gesuchstellenden gestellt werden. Die öffentlichen Organe können zudem die elektronische Abwicklung fördern, etwa indem sie auf ihrer Webseite ein standardisiertes elektronisches Gesuchsformular zur Verfügung stellen (ABl 2008, 916 ff., 928).

Neu sollen Gesuche um Informationszugang grundsätzlich formlos gestellt werden können, so etwa auch telefonisch, da der Informationszugang möglichst niederschwellig sein soll. Dabei ermöglichen formlose, insbesondere etwa telefonische Anfragen vorab allgemeine Auskünfte zur Tätigkeit der öffentlichen Organe (vgl. dazu § 7 IDV). Sobald Vorkehrungen gemäss Abs. 2 zu treffen sind, muss ein schriftliches Gesuch eingereicht werden.

Die Gesuche müssen sich in Übereinstimmung mit der herrschenden Lehre und Rechtsprechung (vgl. Beat Rudin, in: digma 2019, S. 32 ff.) auf einen Einzelfall beziehen, wobei die Information, zu der Zugang verlangt wird, hinreichend genau zu bezeichnen ist. Ein Anspruch, sich mit einem Informationszugangsgesuch einen allgemeinen Überblick über die staatliche Tätigkeit zu verschaffen, mithin ein Anspruch auf einen «enzyklopädischen Informationszugang», besteht demzufolge nicht.

Wie unter geltendem Recht wird auf die Bezeichnung einer zentralen Funktion einer oder eines Informationsbeauftragten innerhalb der Verwaltung verzichtet. Aufgabe und Verantwortung sollen möglichst dezentral denjenigen Stellen zukommen, welche die informationsrelevanten Sachverhalte selbst setzen und durch ihre materielle Aufgabenzuständigkeit und Sachnähe auch die sich in diesem Zusammenhang stellenden Fragen am besten erläutern können. Sind mehrere öffentlichen Organe von einer Anfrage betroffen, sprechen sie sich von Amtes wegen darüber ab, welches Organ die Informationstätigkeit ausübt.

Abs. 2: Sobald Gesuche nicht ohne Weiteres beantwortet werden können, verlangt das öffentliche Organ ein schriftliches Gesuch, das den Anforderungen des VRG genügt. Dies ist etwa dann der Fall, wenn Dritte in die Gesuchbeantwortung einzubeziehen sind (§ 20) und eine Interessenabwägung vorzunehmen ist oder andere Abklärungen nötig sind. Ein schriftliches Gesuch ist ebenfalls notwendig, wenn die Bearbeitung des Gesuchs mit besonderem Aufwand verbunden ist und damit Kostenfolgen nach sich zieht (§ 22) oder das öffentliche Organ aus anderen Gründen eine Verfügung erlassen muss (§ 23). Dies ist gerechtfertigt, weil die Verwaltungsbehörde einen grösseren Aufwand nur dann betreiben soll, wenn Klarheit über die Identität der Person besteht, welche die Informationen verlangt. Zudem ist sicherzustellen, dass eine allfällige Verfügung der gesuchstellenden Person auch rechtsgültig zugestellt werden kann. Ist die gesuchstellende Person nicht bereit, ein entsprechendes schriftliches Gesuch zu stellen, deutet dies darauf hin, dass kein ernsthaftes Interesse an der Erlangung der Information besteht. Eine missbräuchliche Geltendmachung des Informationszugangsrechts kann so ebenfalls eingeschränkt werden. Letztlich entscheidet die Verwaltungsbehörde, ob sie ein formelles schriftliches Gesuch verlangen muss.

§ 21. Einbezug betroffener Dritter

1 Beabsichtigt das öffentliche Organ, Zugang zu Informationen zu gewähren, die Personendaten enthalten, sind diese soweit nötig zu anonymisieren oder zu entfernen. Ist dies nicht möglich, gibt es den betroffenen Dritten Gelegenheit zur Stellungnahme innert angemessener Frist.

2 Es gewährt den Informationszugang, wenn

a. die betroffenen Dritten einwilligen oder

b. das Interesse am Informationszugang die von den betroffenen Dritten geltend gemachten Interessen überwiegt.

Vorab ist darauf hinzuweisen, dass der Informationszugang – soweit Personendaten (und damit auch besondere Personendaten) betroffen sind – in einem Spannungsverhältnis zur Bekanntgabe von Personendaten steht. Gemäss § 35 ist die Bekanntgabe von Personendaten und besonderen Personendaten zulässig bei Vorliegen einer hinreichenden Rechtsgrundlage. Eine solche Grundlage ist auch der verfassungsmässig garantierte Informationsanspruch (Art. 17 KV), der in §§ 17 ff. konkretisiert wird.

Abs. 1 entspricht im Wesentlichen § 26 Abs. 1 IDG. Neu wird jedoch ausdrücklich erwähnt, dass bei einer vorgängigen Anonymisierung oder Entfernung der Personendaten ein Einbezug der Dritten nicht erfolgen muss. Anonymisierung bedeutet, dass der Personenbezug der Daten irreversibel entfernt wird. Die Informationen können danach nicht mehr oder nur noch mit einem unverhältnismässigen Aufwand einer Person zugeordnet werden. Die Anonymisierung ist so vorzunehmen, dass sie nicht mehr oder nur noch mit unverhältnismässig grossem Aufwand rückgängig gemacht werden kann. Konkrete Anforderungen an die An- onymisierung sollen nicht gesetzlich festgelegt werden, vielmehr sind die Anforderungen vom jeweiligen Stand der Technik abhängig. Kann eine Reidentifizierung nicht verhindert werden, müssen die betroffenen Dritten einbezogen werden. Festzuhalten ist, dass die Mitarbeitenden der öffentlichen Organe nicht als «Dritte» gelten, die formell angehört werden müssen. Dieser Einbezug kann formlos erfolgen. Auch eine Meinungsäusserung, die mündlich oder per E‑Mail erfolgt, kann verwendet werden, vorausgesetzt, sie ist dokumentiert.

Bei jedem Informationszugangsgesuch muss das öffentliche Organ eine Interessenabwägung vornehmen (§ 11). Dabei ist zu prüfen, ob die Informationen, zu denen Zugang verlangt wird, vertrauliche Daten oder Personendaten enthalten, sodass der Zugang allenfalls ganz verweigert oder zumindest eingeschränkt werden muss. Nicht massgebend sein kann, ob die Informationen «als vertraulich klassifiziert» sind (vgl. § 26 Abs. 1 IDG). Wesentlich ist vielmehr, ob die Informationen im Zeitpunkt eines spezifischen Gesuchs Anspruch auf Vertraulichkeit haben und damit des Schutzes bedürfen. Ob dies der Fall ist, ist im Rahmen der Gesuchsbearbeitung mittels der Interessenabwägung (§ 11) zu prüfen. Ergänzend ist darauf hinzuweisen, dass nicht alle grundsätzlich vertraulichen Informationen und nicht alle Personendaten der Gewährung des Informationszugangs ohne Weiteres entgegenstehen. Kommt das öffentliche Organ gestützt auf die Interessenabwägung zum Schluss, dass die gewünschte Information vertraulich ist oder Personendaten enthält, die des Schutzes bedürfen, entfernt es die vertraulichen Daten soweit nötig oder anonymisiert Personendaten. Dieser letztere Grundsatz, der bereits heute bisweilen gelebte Praxis ist, wird analog zur Regelung in Art. 9 BGÖ ausdrücklich im Gesetz verankert. In diesem Zusammenhang ist festzuhalten, dass, wer im Rahmen einer Funktion beim öffentlichen Organ tätig ist, nicht im selben Masse Schutz seiner Privatsphäre verlangen kann wie eine Privatperson, wenn seine Personendaten in Informationen enthalten sind (vgl. Urteil des Verwaltungsgerichts VB.2012.00510 vom 4. September 2013, E. 3.7). Dabei ist aber wohl lediglich die für eine Information verantwortlich zeichnende Person namentlich aufzuführen. Die Nennung von Namen anderer Beteiligter, die beim Zustandekommen dieser Information ebenfalls mitgewirkt haben, kann sich demgegenüber als unverhältnismässig erweisen, womit die entsprechenden Personendaten zu anonymisieren oder zu entfernen sind. Zudem hat das öffentliche Organ als Arbeitgeber seine Fürsorgepflicht wahrzunehmen. Entsprechend haben Mitarbeitende Anspruch auf einen angemessenen Schutz, der je nach hierarchischer Stellung variiert. Wird eine Mitarbeiterin oder ein Mitarbeiter durch die Bekanntgabe seiner Personendaten gefährdet, muss dies im Rahmen der Interessenabwägung berücksichtigt werden.

Zu ergänzen ist, dass das IDG auch juristische Personen schützt. Berufs- und Geschäftsgeheimnisse werden im Rahmen der Privatsphäre von juristischen Personen geschützt und sind bei den juristischen Personen unter «Personendaten» zu subsumieren.

Aus der geltenden Formulierung in § 26 Abs. 2 IDG könnte geschlossen werden, dass eine Bekanntgabe bei Personendaten gestützt auf eine Interessenabwägung erfolgen kann, bei besonderen Personendaten demgegenüber immer verweigert werden muss, wenn keine ausdrückliche Zustimmung erteilt wird und die betroffenen Dritten sozusagen ein «Vetorecht» haben («Betrifft das Gesuch besondere Personendaten, lehnt das öffentliche Organ das Gesuch ab, wenn die betroffenen Dritten dem Zugang nicht ausdrücklich zustimmen.»). Gemäss Lehre und Rechtsprechung muss eine Information bei Ablehnung durch die betroffenen Dritten gestützt auf eine Interessenabwägung auch möglich sein, wenn die Information besondere Personendaten betrifft (Urteile des Verwaltungsgerichts VB.2010.00025 vom 19. Mai 2010 und VB.2014.00341 vom 19. März 2015; Alain Griffel, in: Kommentar VRG, § 8 N. 26 mit weiteren Hinweisen; Urs Thönen, in: Praxiskommentar IDG, § 26 N. 19). Dies entspricht auch der Regelung in Art. 6 der Verordnung vom 24. Mai 2006 über das Öffentlichkeitsprinzip der Verwaltung (SR 152.31), wonach eine Interessenabwägung auch in solchen Fällen möglich ist. Die Formulierung der Bestimmung wird deshalb angepasst. In Abs. 2 wird deshalb für sämtliche Personendaten (worunter auch besondere Personendaten fallen) festgehalten, dass ein Informationszugang gestützt auf eine Interessenabwägung auch ohne Zustimmung bzw. bei ausdrücklichem Widerspruch der betroffenen Personen gewährt werden kann (lit. b), sofern das Interesse am Informationszugang die konkret vorgebrachten widerstreitenden Interessen von Drittpersonen überwiegt. Sprechen überwiegende öffentliche Interessen gegen die Gewährung des Informationszugangs, ist der Zugang ebenfalls zu verweigern. Ein Einbezug der Dritten erübrigt sich in diesem Fall.

Lit. a: Stimmen die betroffenen Dritten dem Informationsgesuch zu, ist der Zugang grundsätzlich zu gewähren. Für die Anforderungen an die Einwilligung gilt § 12.

Lit. b: Vorab ist festzuhalten, dass es sich beim vorliegenden Interesse am Informationszugang um das generell-abstrakte Interesse der Öffentlichkeit am Informationszugang handelt und nicht um das allfällige Interesse der gesuchstellenden Person an einem bestimmten Informationszugang. Es ist in diesem Zusammenhang deshalb nur zu prüfen, ob private Interessen Dritter dieses abstrakte Interesse am Informationszugang überwiegen. Der blosse Verweis darauf, es seien besondere Personendaten betroffen, reicht dabei nicht aus. Sind besondere Personendaten betroffen, ist dies im Rahmen der Interessenabwägung aber entsprechend zu würdigen.

Kommt das öffentliche Organ zum Schluss, dass es den Informati- onszugang nicht gewähren kann oder dass dieser entgegen dem Willen der Dritten gewährt werden soll, erlässt es eine Verfügung (vgl. § 23).

Die Gewährung des Informationszugangs unter Auflagen und Bedingungen wird – entgegen dem Wunsch verschiedener Vernehmlassungsteilnehmender – nicht vorgesehen. Eine derartige Bestimmung stünde immer dann im Widerspruch zu Art. 17 KV, wenn ein Informationszugang, der gestützt auf die Interessenabwägung grundsätzlich gutgeheissen werden müsste, mittels Bedingungen oder Auflagen eingeschränkt würde (vgl. Urteil des Bundesgerichts 1C_33/2016 vom 17. November 2016, E. 5.5). Gemäss bundesgerichtlicher Rechtsprechung ist die Gewährung des Informationszugangs unter Auflagen denn auch nur dann zulässig, wenn kein Rechtsanspruch auf Zugang zu einem Dokument besteht, weil der Zugang zur Information nach Vornahme der Interessenabwägung verweigert werden muss. In einem solchen Fall kann das öffentliche Organ frei darüber befinden, ob und gegebenenfalls in welcher Weise ein Informationszugang trotzdem verantwortet werden kann (vgl. Urteil des Bundesgerichts 1C_33/2016 vom 17. November 2016, E. 5.6 unter Verweis auf Bruno Baeriswyl, in: Praxiskommentar IDG, § 23 N. 5 ff.). Nur in solchen Fällen kann der Informationszugang auch unter Auflagen oder Bedingungen erfolgen. Diese bedürfen nicht zwingend einer ausdrücklichen gesetzlichen Grundlage, sondern ihre Zulässigkeit kann sich auch unmittelbar aus dem Gesetzeszweck und dem damit zusammenhängenden öffentlichen Interesse ergeben (BGE 138 V 310 E. 5.2 S. 317 f.; 131 I 166 E. 4.4 S. 175; je mit Hinweisen). Wird in diesen Fällen der Informationszugang unter Auflagen gewährt, ist allerdings zu berücksichtigen, dass über die Verwendung einer bekannt gegebenen Information keine Kontrolle besteht: Ist eine Information an eine – wenn auch eingeschränkte – Öffentlichkeit gelangt, hat das öffentliche Organ keine Möglichkeit mehr, deren Weitergabe bzw. Nichtweitergabe zu kontrollieren. Eine Androhung gemäss Art. 292 StGB (Ungehorsam gegen amtliche Verfügungen) kann dabei in dem meisten Fällen wohl keinen ausreichenden Schutz bieten.

§ 22. Fristen

1 Das öffentliche Organ gewährt innert 30 Tagen seit dem Eingang des Gesuchs den Informationszugang oder erlässt innert derselben Frist eine summarische Stellungnahme.

2 Kann das öffentliche Organ die Frist nicht einhalten, teilt es vor deren Ablauf der gesuchstellenden Person unter Angabe der Gründe mit, wann ein Entscheid über das Gesuch oder eine summarische Stellungnahme vorliegen wird.

Abs. 1: Art. 12 Abs. 3 DSGVO sieht vor, dass die Verantwortlichen die Rechte der betroffenen Personen gemäss Art. 15 – 22 DSGVO innert einem Monat zu erfüllen haben, wobei eine Verlängerung um zwei Monate möglich ist. Art. 15 – 22 DSGVO regeln das Auskunftsrecht, das Recht auf Berichtigung und Löschung usw. der betroffenen Person. Für den Informationszugang ist diese Bestimmung zwar nicht massgebend. Eine analoge Regelung drängt sich jedoch auch für die Gewährung des Informationszugangs auf. Es gilt zwar der allgemeine Grundsatz des Verwaltungsrechts (vgl. auch § 4a VRG), dass innert angemessener Frist gehandelt werden muss, womit eine ausdrückliche Regelung nicht unbedingt nötig wäre. Doch soll die bereits im geltenden Recht verankerte Frist gemäss § 28 IDG im Sinne einer Ordnungsfrist – auch in Übereinstimmung mit dem EU-Recht – beibehalten werden.

Abs. 2 ist eine Folge davon, dass es sich bei der einzuhaltenden Frist lediglich um eine Ordnungsfrist handelt. Diese soll grundsätzlich eingehalten werden. Ist dies nicht möglich (was gerade bei umfangreicheren Abklärungen oder beim Einbezug von Drittpersonen häufig der Fall sein wird), ist der gesuchstellenden Person mitzuteilen, weshalb die Beantwortung verspätet erfolgt und wann mit der Antwort gerechnet werden kann.

§ 23. Summarische Stellungnahme

1 Das öffentliche Organ informiert die am Verfahren beteiligten Personen mit einer summarisch begründeten Stellungnahme, wenn es den Zugang zur gewünschten Information

a. verweigern, einschränken oder aufschieben will,

b. gegen den Willen betroffener Dritter gewähren will.

2 Die am Verfahren beteiligten Personen können innert 20 Tagen bei der oder dem Beauftragten für das Öffentlichkeitsprinzip (Beauftragte oder Beauftragter) eine Schlichtung oder beim öffentlichen Organ eine Verfügung verlangen.

3 Verlangt keine der am Verfahren beteiligten Personen eine Schlichtung oder eine Verfügung, gewährt das öffentliche Organ den Zugang zur verlangten Information entsprechend seiner Stellungnahme.

4 Der Regierungsrat regelt die Einzelheiten des Verfahrens in einer Verordnung.

§ 24. Schlichtungsverfahren

1 Die oder der Beauftragte schlichtet auf Gesuch

a. einer Person, deren Gesuch um Zugang zu Informationen verweigert, eingeschränkt oder aufgeschoben werden soll,

b. einer Person, die als Dritte gemäss § 21 Abs. 1 angehört wurde, wenn der Informationszugang gegen ihren Willen gewährt werden soll.

2 Das Schlichtungsgesuch ist schriftlich zu stellen.

3 Das öffentliche Organ ist verpflichtet, am Schlichtungsverfahren teilzunehmen. Die am Verfahren beteiligten Personen können auf eine Teilnahme verzichten.

§ 25. Ergebnis des Schlichtungsverfahrens

1 Einigen sich die am Verfahren beteiligten Personen und das öffentliche Organ, ist das Schlichtungsverfahren abgeschlossen.

2 Verzichtet eine am Verfahren beteiligte Person auf eine Teilnahme am Schlichtungsverfahren oder kommt keine Einigung zustande, gibt die oder der Beauftragte eine schriftliche Empfehlung ab.

3 Die am Verfahren beteiligten Personen können innert 30 Tagen nach Erhalt der Empfehlung beim öffentlichen Organ eine Verfügung verlangen.

4 Verlangt keine dieser Personen eine Verfügung und ist das öffentliche Organ mit der Empfehlung einverstanden, gewährt es den Informationszugang entsprechend der Empfehlung.

§ 26. Kosten

1 Der Zugang zu Informationen ist in der Regel kostenlos. Vorbehalten bleiben gesetzliche Bestimmungen für Informationen, die sich für besondere wirtschaftliche Nutzungen eignen.

2 Das zuständige öffentliche Organ kann der gesuchstellenden Person Kosten auferlegen, wenn die Bearbeitung des Gesuchs mit erheblichem Aufwand verbunden ist und dieser in keinem vertretbaren Verhältnis zum öffentlichen Interesse steht.

3 Es weist die gesuchstellende Person auf die voraussichtliche Höhe der Kosten hin.

Abs. 1: Mit Beschluss vom 15. November 2021 hat der Kantonsrat die grundsätzliche Kostenlosigkeit von Informationszugangsgesuchen beschlossen (ABl 2020-12-18). Nach der geltenden Bestimmung ist eine Kostenauflage möglich, wenn «die Bearbeitung des Gesuchs mit erheblichen Kosten verbunden (ist) und … der Aufwand des öffentlichen Organs in keinem vertretbaren Verhältnis zum öffentlichen Interesse (steht)». Diese Bestimmung ist seit dem 1. Oktober 2022 in Kraft. Der Grundsatz der Kostenlosigkeit wird in die Vorlage übernommen, wenn auch mit einer etwas angepassten Formulierung. Wie bereits ausgeführt, soll in Anbetracht des Umstandes, dass ein Anspruch auf den Informationszugang besteht, ohne dass ein Interesse geltend gemacht werden muss, das über den blossen Informationsanspruch hinaus geht, eine Kostenpflicht allein vom (sehr grossen) Bearbeitungsaufwand abhängen (vgl. § 17 Abs. 2). Der bis zum 1. Oktober 2022 in § 29 Abs. 2 lit. b IDG festgehaltene Grundsatz, dass der Zugang zu den eigenen Personendaten (Auskunftsrecht, § 38) immer kostenlos sein soll, wird neu im Datenschutzteil geregelt (vgl. § 38 Abs. 3).

Gemäss § 29 Abs. 3 IDG kann für Informationen, die sich für eine gewerbliche Nutzung eignen, ein Entgelt erhoben werden, das sich nach dem Marktwert richtet. Bei diesem Entgelt handelt es sich nicht um eine Gebühr. Vielmehr soll der Marktwert der Information abgegolten werden, wobei es im Ermessen der datenliefernden Behörde steht, ob ein Entgelt verlangt wird. Gemäss der Weisung zum IDG ist zusätzlich zur Regelung in § 29 Abs. 4 IDG eine Grundlage in einem formellen Gesetz notwendig, damit überhaupt ein Entgelt erhoben werden kann (ABl 2005-11-25, S. 1321; ebenso Urs Thönen, in: Praxiskommentar IDG, § 29 N. 30 f.). Neu wird deshalb im Gesetz ausdrücklich festgehalten, dass für wirtschaftliche Nutzungen in Spezialgesetzen abweichende Regelungen zulässig sind. So wird insbesondere auch den Gemeinden ermöglicht, entsprechende Regelungen zu treffen. Dabei wird der etwas engere Begriff «gewerblich» durch den Begriff «wirtschaftlich» ersetzt.

Abs. 2: Vorab ist darauf hinzuweisen, dass die Auferlegung von Kosten für die Ausübung eines Grundrechts grundsätzlich zulässig ist. So ist dies etwa bei der Ausübung der Rechtsweggarantie unbestritten (vgl. Giovanni Biaggini, in: Isabelle Häner/Markus Rüssli/Evi Schwarzenbach [Hrsg.], Kommentar zur Zürcher Kantonsverfassung [zit. KV-Kommentar], Art. 17 N. 17). Bereits die Regelung, die vor der vom Kantonsrat am 15. November 2021 beschlossenen Formulierung von § 26 IDG galt, hielt damit vor Art. 17 KV stand. Künftig soll für eine Kostenauflage lediglich vorausgesetzt werden, dass das Auffinden der gewünschten Information und die Prüfung des Informationszugangs sowie die Aufbereitung der Informationen mit sehr grossem Aufwand verbunden sind. Die Einschätzung, ob der Aufwand sehr gross ist, ist eine Ermessensfrage, die nicht anhand von objektiven Kriterien festgelegt werden kann. Entgegen der bisherigen Regelung soll lediglich der vom öffentlichen Organ zu betreibende Aufwand massgebend sein. Ein überwiegendes öffentliches Interesse am Informationszugang soll nicht mehr geltend gemacht werden müssen. Mit dieser Lösung wird Übereinstimmung mit der Regelung des Bundes hergestellt und auch der Widerspruch aufgelöst, dass ein Informationszugang einerseits grundsätzlich voraussetzungslos gefordert werden kann, anderseits aber – für die Kostenfreiheit – vom Nachweis eines bestimmten Interesses abhängig gemacht wird. In der Praxis dürfte es zudem schwierig sein, das öffentliche Interesse zu definieren, welches zu einem kostenfreien Zugang berechtigt. Festzuhalten ist, dass mit der vorgesehenen Regelung über die vom Kantonsrat am 15. November 2021 beschlossene Änderung von § 29 IDG hinausgegangen wird, mit der neben dem Aufwand des öffentlichen Organs auch das öffentliche Interesse am Zugang zur Information gewertet werden darf. Abs. 3: Verursacht die Bearbeitung des Informationszugangsgesuchs beim zuständigen Organ einen sehr grossen Aufwand und will dieses der gesuchstellenden Person die Kosten in Rechnung stellen, hat das öffentliche Organ auf die voraussichtliche Höhe der Kosten hinzuweisen. Auf die Möglichkeit, einen Kostenvorschuss zu verlangen, soll – entsprechend der vom Kantonsrat am 15. November 2021 beschlossene Änderung von § 29 IDG – verzichtet werden.

§ 27. Verfügung

Das öffentliche Organ erlässt eine Verfügung, wenn

a. eine am Verfahren beteiligte Person dies nach Zustellung der summarischen Stellungnahme oder nach Erhalt einer Empfehlung verlangt,

b. es in Abweichung von der Empfehlung der oder des Beauftragten den Zugang zur Information verweigert, einschränkt, aufschiebt oder gegen den Willen betroffener Dritter gewährt,

c. es den Zugang zur Information mit einer Kostenauflage verbindet.

Einleitend ist festzuhalten, dass Verfügungen gemäss § 10a lit. b und c VRG auch unbegründet erlassen werden können, wenn den Verfahrensbeteiligten angezeigt wird, dass sie innert zehn Tagen seit der Mitteilung schriftlich eine Begründung verlangen können, oder die Möglichkeit einer Einsprache gewährt wird. Mit diesem Vorgehen kann Aufwand vermieden werden, ohne dass die Parteirechte eingeschränkt werden. Dies gilt insbesondere, weil es keine Kostenfolgen nach sich zieht, wenn eine Begründung verlangt wird.

Diese Bestimmung entspricht inhaltlich § 27 IDG und soll mittels Verweisung auch für das Auskunftsrecht gelten (vgl. § 38 Abs. 5). Festzuhalten ist, dass sich der Erlass der Verfügung nach dem VRG richtet.

Es besteht deshalb auch die Möglichkeit, eine Verfügung unter Gewährung einer Einsprachemöglichkeit oder der Möglichkeit, nachträglich eine Begründung zu verlangen, vorab unbegründet zu erlassen.

Lit. a: Wird der Informationszugang verweigert, nicht vollumfänglich gewährt oder aufgeschoben, muss das öffentliche Organ eine entsprechende Verfügung erlassen, damit die Rechtmässigkeit der Verweigerung, Einschränkung oder Aufschiebung durch die Rechtsmittelinstanz und auch gerichtlich überprüft werden kann. Festzuhalten ist, dass nicht jede Anonymisierung eine Einschränkung des Zugangsrechts bedeuten muss. Dies ist nur dann der Fall, wenn sich das Informationszugangsgesuch ausdrücklich auf die anonymisierten Personendaten bezieht. Ist nicht klar, ob sich das Informationszugangsgesuch auf die Personendaten bezieht, kann dies durch Rücksprache mit der Gesuchstellerin oder dem Gesuchsteller formlos geklärt werden.

Lit. b: Betrifft das Informationszugangsgesuch (auch) Personendaten, was etwa auch der Fall ist, wenn Personendaten Dritter nicht direkt verlangt werden, aber im Zusammenhang mit der ersuchten Information stehen und nicht entfernt oder anonymisiert werden können (vgl. § 38 Abs. 4 und 5; vgl. auch § 20), und soll der Informationszugang gestützt auf eine Interessenabwägung entgegen dem Willen der betroffenen Dritten gewährt werden, muss das öffentliche Organ ebenfalls eine Verfügung erlassen. Die betroffenen Dritten haben so die Möglichkeit, die Interessenabwägung durch die übergeordnete Behörde und allenfalls auch noch durch die Gerichte überprüfen zu lassen. Festzuhalten ist, dass eine Ergänzung mit einer Norm analog Art. 12 Abs. 3 BGÖ, wonach der Zugang zur Information erst nach Eintritt der Rechtskraft erfolgt, als unnötig erachtet wird. Dies ist eine Folge der aufschiebenden Wirkung von Rechtsmitteln und damit selbstverständlich.

Lit. c: Kostenauflagen müssen immer mittels Verfügung erfolgen. Dies ist der Vollständigkeit halber ausdrücklich in § 23 aufzunehmen (vgl. § 27 IDG).

3. Abschnitt: Datenschutz

A. Grundsätze im Umgang mit Personendaten

Vorbemerkungen zu §§ 24 f.

Gesetze sind gemäss neuerer Lehre generell-abstrakte Normen, die im besonderen Verfahren der Gesetzgebung erlassen worden sind, wogegen Verordnungen Erlasse auf einer Stufe unterhalb des Gesetzes sind. Auf eine Unterscheidung zwischen Gesetzen im formellen oder materiellen Sinn solle verzichtet werden, da dies nicht mehr der Terminologie der Bundesverfassung entspreche (Ulrich Häfelin/Georg Müller/Felix Uhlmann, Allgemeines Verwaltungsrecht, 8. Aufl., Zürich 2020, N. 62 ff.). Diese neuere Terminologie wird auch in Art. 38 KV verwendet. Danach werden «alle wichtigen Rechtsätze des kantonalen Rechts […] in der Form des Gesetzes erlassen». Auch das Kantonsratsgesetz verwendet für Gesetze im formellen Sinn ausschliesslich den Begriff «Gesetz» (§ 76 Abs. 1 KRG). Damit ist die in der Lehre verwendete Begriffsbezeichnung auch im Kanton Zürich eingeführt und kann so verwendet werden. Der Begriff «Gesetz» soll ausschliesslich für Gesetze im Sinne von Art. 38 KV verwendet werden und den Begriff des Gesetzes im formellen Sinn ablösen. Bei der Bearbeitung von besonderen Personendaten soll deshalb eine Grundlage in einem Gesetz und nicht mehr in einem formellen Gesetz gefordert werden. Bei der Bearbeitung der übrigen Personendaten soll zudem eine Grundlage in einer Verordnung genügen. Genügt eine Verordnung als Grundlage, wird dies aus Transparenzgründen ausdrücklich erwähnt. Festzuhalten ist, dass unter Ver- ordnungen generell-abstrakte Regelungen fallen, die Rechtssätze von untergeordneter Wichtigkeit, insbesondere zum Vollzug von Gesetzen, enthalten (vgl. Art. 38 Abs. 2 KV).

§ 28. Personendaten

Das öffentliche Organ darf Personendaten bearbeiten, wenn

a. dafür eine Grundlage in einem Gesetz oder einer Verordnung besteht,

b. dies zur Erfüllung einer in einem Gesetz oder einer Verordnung festgelegten Aufgabe notwendig ist oder

c. dies zur Erfüllung einer in einem Gesetz oder einer Verordnung festgelegten Aufgabe geeignet ist und die betroffene Person im Einzelfall einwilligt.

Die Bestimmung regelt, wie bis anhin § 8 Abs. 1 IDG, wann ein öffentliches Organ Personendaten bearbeiten darf. In diesem Zusammenhang ist nochmals darauf hinzuweisen, dass die Umsetzung des Prinzips «once only» nicht im Rahmen der Revision des IDG erfolgen kann (vgl. vorn, A.). Mit Bezug auf die Bearbeitung von Personendaten durch die kantonale Verwaltung ist auf § 44 Abs. 3 OG RR hinzuweisen, wonach «alle Stellen der kantonalen Verwaltung [zu den Personendaten] Zugang [haben], soweit sie diese zur Erfüllung ihrer Aufgaben brauchen». Diese Bestimmung stimmt auch mit § 23 des Gesetzes über das Meldewesen und die Einwohnerregister vom 11. Mai 2015 (LS 142.1) überein, wonach die Behörden und die Verwaltung des Kantons Daten elektronisch aus der Kantonalen Einwohnerdatenplattform abrufen und sich Datenänderungen melden lassen können, soweit es für die Erfüllung ihrer gesetzlichen Aufgaben nötig ist.

Lit. a: Die Bearbeitung von Personendaten ist immer dann zulässig, wenn ein Gesetz oder eine Verordnung das öffentliche Organ dazu ermächtigt oder verpflichtet. Dies ist bereits heute durch § 8 Abs. 1 IDG abgedeckt. Die Aufteilung in zwei Literae verdeutlicht aber, dass eine ausdrückliche Ermächtigung oder Verpflichtung eben nicht Voraussetzung für die Zulässigkeit der Datenbearbeitung ist.

Lit. b: Die Bestimmung legt fest, dass es für die Zulässigkeit der Bearbeitung von Personendaten durch die öffentlichen Organe ausreicht, wenn die Aufgaben, zu deren Erfüllung eine Bearbeitung von Personendaten notwendig ist, in einem Gesetz oder einer Verordnung geregelt ist. Nicht ausdrücklich erwähnt werden muss, dass die Datenbearbeitung für die Aufgabenerfüllung geeignet sein muss. Aus dem Grundsatz der Verhältnismässigkeit folgt, dass eine staatliche Handlung zur Erreichung des angestrebten Ziels immer geeignet sein muss, um überhaupt zulässig zu sein. Dies ergibt sich aus Art. 5 Abs. 2 BV, wonach jedes staatliche Handeln im öffentlichen Interesse liegen und verhältnismässig sein muss. Da der Grundsatz der Verhältnismässigkeit im IDG neu zudem in einer eigenen Bestimmung normiert wird (§ 27), erübrigt es sich, in der vorliegenden Bestimmung auch noch darauf hinzuweisen, dass die Datenbearbeitung geeignet sein muss. Der Begriff «notwendig» umfasst dabei die Kriterien der «Geeignetheit» und der «Erforderlichkeit». In den zürcherischen Gesetzen wird denn auch «notwendig» bzw. «geeignet und erforderlich» bedeutungsgleich verwendet (vgl. etwa § 26 Abs. 3 Straf- und Justizvollzugsgesetz vom 19. Juni 2006 [LS 331] oder § 6 Gesetz über das Schlichtungsverfahren für Streitigkeiten nach Gleichstellungsgesetz in öffentlich-rechtlichen Arbeitsverhältnissen vom 10. Mai 2010 [LS 177.12]).

Zu ergänzen bleibt, dass darauf verzichtet wird, im Gesetz den Fall zu regeln, wonach das öffentliche Organ die Daten bearbeiten darf, falls die betroffene Person ihre Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (vgl. für die Bundesorgane Art. 34 Abs. 4 Bst. b nDSG). Da eine Datenbearbeitung ohnehin nur infrage kommen kann, wenn sie der Aufgabenerfüllung des öffentlichen Organs dient und für die Aufgabe wiederum eine Rechtsgrundlage zwingend ist, sind die in Art. 34 Abs. 4 Bst. b nDSG geregelten Fälle bereits durch § 23 lit. b abgedeckt.

Lit. c: Auch das bisherige Recht kennt die Einwilligung bereits, wenn auch beschränkt auf den Sonderfall der Bekanntgabe von Personendaten (§§ 16 Abs. 1 lit. b und 17 Abs. 1 lit. b IDG). Eine entsprechende Einwilligung ist auch mit dem Grundrechtsschutz vereinbar (Art. 13 Abs. 2 BV; vgl. BGE 138 I 331 E. 6 mit Verweisen). So sieht denn auch das nDSG die Möglichkeit der Einwilligung für die Datenbearbeitung durch Bundesorgane vor (Art. 6 Abs. 6 in Verbindung mit Art. 34 Abs. 4 Bst. b nDSG). Insbesondere im Zusammenhang mit der Digitalisierung ist die Einwilligung von Bedeutung. Sind etwa für eine behördliche Dienstleistung Daten eines Registers (z. B. Strafregister) oder Steuerdaten notwendig (z. B. im Rahmen eines Einbürgerungsverfahren), könnte deren Einholung und Bearbeitung durch die Behörde mittels Einwilligung ermöglicht werden. Dies ist für die betroffene Person mit bedeutend weniger Aufwand verbunden und kann auch zu Aufwandeinsparungen der Verwaltung führen. Ein solcher direkter Beizug bestimmter Daten kann damit auch der Datensparsamkeit dienen, da gezielt nur wesentliche Daten, und nicht ganze Datensätze (etwa die gesamte Steuererklärung) beigezogen und bearbeitet werden müssen. Künftig soll auch die Möglichkeit zur Bearbeitung von Personendaten mittels Einwilligung deshalb allgemein möglich und nicht mehr auf den Sonderfall der Bekanntgabe von Personendaten beschränkt sein. Dies wurde von verschiedenen Vernehmlassungsteilnehmenden vorab in Angleichung an das Datenschutzgesetz des Bundes gefordert.

Für eine staatliche Aufgabe ist immer eine Rechtsgrundlage nötig. Diese kann immer dann auch Grundlage für die Bearbeitung von Personendaten sein, wenn die Bearbeitung von Personendaten für die Aufgabenerfüllung notwendig ist (vgl. § 24 lit. b) bzw. wenn die Bearbeitung von besonderen Personendaten für die Aufgabenerfüllung unentbehrlich ist und zusätzlich die Anforderungen gemäss § 25 lit. a und b erfüllt sind. Geht die gewünschte Bearbeitung der Personendaten jedoch über das zur Aufgabenerfüllung Notwendige bzw. Unentbehrliche hinaus, kann die Aufgabenbestimmung als gesetzliche Grundlage für diese Bearbeitung der Personendaten nicht ausreichen. Mit der vorliegenden Bestimmung soll für solche Fälle die Datenbearbeitung gestützt auf eine Einwilligung der Betroffenen ermöglicht werden. Voraussetzung für eine entsprechende Einwilligung ist dabei, dass die Datenbearbeitung im Zusammenhang mit der Erfüllung einer staatlichen Aufgabe erfolgt, auch wenn die Bearbeitung dazu nicht unumgänglich ist. Mit einer Einwilligung kann dabei gegenüber den Betroffenen Klarheit über die Art der Verwendung ihrer Daten geschaffen werden: Ist aus einer Rechtsgrundlage die Art der notwendigen Datenbearbeitung nicht klar ersichtlich, kann sich das öffentliche Organ vom Rechtsunterworfenen eine entsprechende Einwilligung erteilen lassen. Die Bestimmung dient damit auch den Rechtsunterworfenen.

In Übereinstimmung mit der bundesgerichtlichen Rechtsprechung soll die Einwilligung nur im Einzelfall zulässig sein. Ein Formerfordernis wird bei der Bearbeitung von Personendaten (nicht: besonderen Personendaten) in Übereinstimmung mit Art. 6 nDSG nicht gefordert. Die Einwilligung ist also insbesondere auch konkludent möglich (vgl. Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21. Dezember 2016, S. 47). Für die grundsätzlichen Anforderungen an die Einwilligung vgl. § 12).

§ 29. Besondere Personendaten

Das öffentliche Organ darf besondere Personendaten bearbeiten, wenn

a.dafür eine hinreichend bestimmte Grundlage in einem Gesetz besteht,

b. dies zur Erfüllung einer in einem Gesetz festgelegten Aufgabe unentbehrlich ist, falls

1. der Bearbeitungszweck für die Grundrechte der betroffenen Person keine besondere Gefahr birgt und

2. die Datenbearbeitung in einer Verordnung geregelt ist,

c. dies zur Erfüllung einer in einem Gesetz festgelegten Aufgabe geeignet ist und die betroffene Person im Einzelfall ausdrücklich einwilligt.

Die Bestimmung entspricht inhaltlich weitgehend geltendem Recht und regelt das datenschutzrechtliche Legalitätsprinzip mit Bezug auf die besonderen Personendaten, das bisher in § 8 Abs. 2 IDG enthalten war. Auch künftig ist als Berechtigung für die Bearbeitung von besonderen Personendaten eine Grundlage in einem (formellen) Gesetz nötig, wobei in Anpassung an die Terminologie in den neueren Gesetzen nur noch der Begriff «Gesetz» verwendet wird.

Der Schutz der Privatsphäre und der Schutz vor Missbrauch von (besonderen) Personendaten ist ein hohes Gut. Dabei steht der Schutz der Privatsphäre auf derselben Stufe mit den anderen Grundrechten. Das heisst, dem Datenschutz kommt in dem Sinne keine besondere Geltung zu, dass eine – im Vergleich zu Beschränkungen anderer Grundrechte – umfassendere oder detailliertere Reglung der Daten- und Informati- onsbearbeitung auf Gesetzesstufe notwendig wäre. Bessere Transparenz und besserer Datenschutz bei gleichzeitig effizienter und effektiver Erfüllung der Behörden- und Verwaltungstätigkeit wird durch umfassende und detaillierte Regelungen auf Gesetzesstufe zudem weitgehend verfehlt. Eine solche führt vielmehr zu mangelnder Flexibilität des Verwaltungshandelns und zu häufigem Anpassungsbedarf der Gesetze, weil gerade im Bereich der Datenbearbeitung regelmässig neue (und berechtigte) Bedürfnisse entstehen. Zudem ist die Wahl der Mittel nicht selten erst anhand der Konkretisierung im Einzelfall möglich. Grundsätzlich ist die Bearbeitung besonderer Personendaten als schwerer Eingriffe in Grundrechte zu bewerten, weshalb aus dem (formellen) Gesetz klar hervorgehen muss, dass das öffentliche Organ die besonderen Personendaten zur Erfüllung seiner Aufgaben bearbeiten darf (BGE 144 I 126 E. 5.1, BGE 139 I 280 E. 5.1; je mit Hinweisen). Neben der ausdrücklichen Regelung der Bearbeitung besonderer Personendaten in einem Gesetz (lit. a) soll – unter strengen Anforderungen – auch die Festlegung einer Aufgabe, zu deren Erfüllung die Bearbeitung besonderer Personendaten unentbehrlich ist, eine genügende gesetzliche Grundlage für die Bearbeitung besonderer Personendaten bilden (lit. b). Gestützt auf die Vernehmlassungseingaben wurde Abs. 2 gegenüber der Vernehmlassungsvorlage noch konkreter gefasst und der Regelungsgehalt von Art. 34 Abs. 2 Bst. a und b nDSG übernommen.

Lit. a: Der Begriff der «hinreichend bestimmten Grundlage» ist auslegungsbedürftig. Dazu ist festzuhalten, dass eine gewisse Offenheit der Normierung auch hier – wie in anderen grundrechtsrelevanten Bereichen des Verwaltungshandelns – den berechtigten Zweck erfüllt, den Verwaltungseinheiten angemessene Ermessensspielräume zu gewähren und flexibles Handeln zu ermöglichen. Gesetzliche Bestimmungen müssen deshalb nicht alle Datenkategorien, jeden einzelnen Datenbearbeitungszweck, jede zur Datenbearbeitung ermächtigte Behörde oder Stelle und jede erdenkliche Art und Weise der Datenbearbeitung regeln. Dies würde zu einer enorm hohen Regelungsdichte führen, in der kaum ein anderer Bereich des Verwaltungshandelns gesetzlich geregelt ist, selbst dann nicht, wenn er – wie der Datenschutz – grundrechtsrelevant ist. Die Regelung auf Gesetzesstufe darf sich folglich auf die Grundsätze beschränken. Dabei muss die Regelung nicht zwingend in einem einzigen Gesetz erfolgen. Vielfach können auch die Organisationserlasse einzelner Behörden in die Beurteilung, ob eine Rechtsgrundlage hinreichend bestimmt ist, einbezogen werden. Für die kantonale Verwaltung ist in diesem Zusammenhang darauf hinzuweisen, dass § 44 OG RR eine allgemeine gesetzliche Grundlage für die Bearbeitung von Personendaten, einschliesslich besonderer Personendaten, enthält. Diese erwähnt auch die möglichen Bearbeitungszwecke. Diese Norm – verbunden mit der Aufgabenumschreibung in den jeweiligen Sachgesetzen und allfälligen anderen organisationsrechtlichen Erlassen – bildet in der Regel eine hinreichend bestimmte gesetzliche Grundlage für die Bearbeitung von (besonderen) Personendaten innerhalb eines bestimmten Aufgaben- und Zuständigkeitsbereichs (z. B. Strafverfolgung, Justizvollzug). Dies gilt auch, wenn in bestimmten Phasen der Aufgabenerfüllung verschiedene Organe mit der Bearbeitung von Personendaten betraut sind (neben den zur Aufgabenerfüllung befugten Organen auch Aufsichts- organe, administratives Personal, selbst verwaltungsexterne Dritte, sofern sie in die gesetzlich vorgesehene staatliche Aufgabenerfüllung eingebunden sind, z. B. Gutachterinnen und Gutachter im Rahmen eines Verwaltungsverfahrens).

Einzelheiten der Datenbearbeitung können auf Verordnungsstufe geregelt werden. Dies ist im vorliegenden Bereich insbesondere deshalb notwendig, weil häufig technische Einzelheiten in einem schnell ändernden Bereich zu regeln sind. Vor allem die detaillierte Normierung von Kategorien verwendeter (besonderer) Personendaten in einem bestimmten Aufgabenbereich auf Gesetzesstufe erscheint als wenig sinnvoll und nicht stufengerecht. Häufig ergeben sich die Kategorien bearbeiteter Personendaten ohne Weiteres aus dem Zweck einer bestimmten Datenbearbeitung, ohne dass es dazu einer separaten Regelung bedarf. Wo dies nicht der Fall ist, empfiehlt sich eine Regulierung auf Verordnungsstufe, wobei ins Sachgesetz selbst eine Delegationsnorm aufzunehmen ist. Regelungen bezüglich Massnahmen der technischen und organisatorischen Informationssicherheit (etwa Verschlüsselung, Backup, Protokollierung, Zugriffskonzepte, Regelung der Aktenablage) sind – soweit sie zusätzlich zu bereits vorhandenen Vorgaben bereichsspezifisch überhaupt noch erforderlich sind – grundsätzlich auf Verordnungsstufe zu erlassen. In der Regel ist dafür der Regierungsrat bereits gestützt auf seine Kompetenz zum Erlass von Vollzugsverordnungen (Art. 38 Abs. 3 und 67 Abs. 2 KV) zuständig. Die Delegation von Regelungsbefugnissen an Stellen unterhalb des Regierungsrates, namentlich an eine Direktion oder ein Amt, sind aber aufgrund des Verbots der Subdelegation grundsätzlich im Gesetz selbst vorzusehen.

Lit. b: Neben der ausdrücklichen Regelung der Berechtigung zur Bearbeitung besonderer Personendaten soll im Gesetz neu ausdrücklich festgehalten werden, dass die Bearbeitung besonderer Personendaten auch dann zulässig ist, wenn das Gesetz die Aufgabe regelt, zu deren Erfüllung die Bearbeitung der besonderen Personendaten unentbehrlich ist. Dazu muss auf Gesetzesebene die Natur der Aufgaben, welche die Bearbeitung von Personendaten erfordern, ausreichend konkretisiert sein. Zusätzlich müssen die Regelungen zur Datenbearbeitung auf Ver- ordnungsstufe festgelegt werden (Ziff. 2). Die Regelung setzt den verfassungsmässigen Grundsatz um, dass nur wichtige Rechtssätze im Gesetz geregelt werden sollen (Art. 38 Abs. 1 KV). Festzuhalten ist dabei, dass die bundesgerichtliche Rechtsprechung zu den Anforderungen an die gesetzliche Grundlage umfangreich ist (vgl. 146 I 11 E. 3 mit Verweisen). Die Zulässigkeit der Bearbeitung der besonderen Personendaten muss sich aus einer gesetzlichen Grundlage klar ergeben. Die Bearbeitung von besonderen Personendaten setzt mit dieser Anforderung einen direkten Bezug zur gesetzlich umschriebenen Aufgabe voraus. Sie ist damit nur zulässig, wenn die betroffenen Personen für die Erfüllung der gesetzlich umschriebenen Aufgaben mit der entsprechenden Bearbeitung der besonderen Personendaten rechnen müssen (vgl. BGE 122 I 360 ff. E. 5).

Daten- und Informationsflüsse sind eng verknüpft mit der staatlichen Aufgabenerfüllung und den organisationsrechtlichen Zuständigkeitsvorschriften. Sind die zu erfüllenden Aufgaben und die entsprechenden Zuständigkeiten im Gesetz genügend konkret geregelt, sodass mit der Bearbeitung besonderer Personendaten gerechnet werden muss und die Daten- und Informationsflüsse transparent sind, erübrigt es sich, auf Gesetzesstufe zusätzliche Zweckfestlegungen und Zuständigkeitsvorschriften in die Bestimmungen über die Datenbearbeitung aufzunehmen. Vielmehr ist eine Delegationsnorm auf Gesetzesstufe und die Regelung der Datenbearbeitung auf Verordnungsstufe ausreichend. Dies entspricht auch den Anforderungen, die grundsätzlich an die Delegation von Rechtsetzungsbefugnissen gestellt werden. Art. 38 Abs. 1 KV schreibt für «wichtige Rechtssätze» die Form des Gesetzes vor. Ob Rechtssätze wichtig sind, ist anhand von Kriterien festzulegen. Neben der Schwere des Eingriffs in die Rechtsstellung der Adressatinnen und Adressaten der Norm ist insbesondere die Grundsätzlichkeit von Bedeutung: Das Gesetz soll Grundsatzentscheidungen über die grossen Linien der Politik festlegen und die Details dem Verordnungsgeber überlassen (vgl. Christian Schuhmacher, in: KV-Kommentar, Art. 38 N. 12 und 15). Das Bundesgericht hat hinsichtlich der Delegation von Rechtsetzungszuständigkeiten die bundesverfassungsrechtlichen Anforderungen an die erforderliche gesetzliche Grundlage in einer reichen Praxis umschrieben (vgl. etwa BGE 128 I 327 E. 4). Die Möglichkeit einer Delegation wird im Allgemeinen anerkannt, wenn sie in einem Gesetz enthalten ist, nicht durch das kantonale Recht ausgeschlossen wird, sich auf ein bestimmtes Gebiet beschränkt und das Gesetz die Grundzüge der Regelung selbst enthält, soweit die Stellung der Rechtsunterworfenen schwerwiegend berührt wird (BGE 128 I 113 E. 3c S. 122, 118 Ia 245 E. 3b S. 247 f., 305 E. 2b S. 310 f.; je mit Hinweisen). Diese Grundsätze an die Delegation von Rechtsetzungskompetenzen gelten auch nach kantonalem Verfassungsrecht (Christian Schuhmacher, a. a. O., N. 40). Wenn davon auszugehen ist, dass die Bearbeitung von besonderen Personendaten die Rechtsstellung der Rechtsunterworfenen in der Regel schwerwiegend berührt, bedeutet dies, dass die Grundzüge der zu erfüllenden Aufgabe im Gesetz umschrieben werden müssen und das Gesetz eine Delegationsnorm mit Bezug auf die Aufgabenerfüllung – und damit auch die Datenbearbeitung – enthält. Dies wird in lit. b neu ausdrücklich festgehalten.

Wollen die öffentlichen Organe besondere Personendaten bearbeiten, mit deren Bearbeitung die Rechtsunterworfenen gestützt auf die im Gesetz festgelegte Aufgabe nicht rechnen müssen, ist folglich eine ausdrückliche Grundlage im Gesetz zu schaffen. Wird also durch Bearbeitung von besonderen Personendaten ein bestimmter Aufgabenbereich (und damit die Zweckgebundenheit der Datenbearbeitung) durchbrochen – etwa indem ein Verwaltungsorgan einem anderen Verwaltungsorgan mit einer anderen Aufgabenzuständigkeit Personendaten bekannt gibt (Überwindung von Aufgaben- und Zuständigkeitsgrenzen) – bedarf eine Datenbekanntgabe bzw. ein Datenbezug einer (formell-)gesetzlichen Grundlage. Dazu können folgende Beispiele aufgeführt werden:

– Die Aufrechterhaltung der öffentlichen Sicherheit und Ordnung, die Unterstützung der Behörden bei der Durchsetzung der Rechtsordnung, vorbeugende Massnahmen zur Erhöhung der Verkehrssicherheit sowie die Verfolgung der Verstösse gegen das Verkehrsrecht genügt nicht als hinreichende Grundlage für die Verwertbarkeit von polizeilichen Aufzeichnungen der automatischen Fahrzeugfahndung und Verkehrsüberwachung (BGE 146 I 11 E. 3). Das Bundesgericht wies in diesem Zusammenhang darauf hin, dass sich der Verwendungszweck der gesammelten Daten aus der gesetzlichen Grundlage ergeben müsse.

– Es erfolgen regelmässige Datenbekanntgaben und Datenbezüge (Melderechte und Meldepflichten) an Verwaltungsorgane mit einem anderen Aufgaben- und Zuständigkeitsbereich. Diese Datenbekanntgaben und ‑bezüge sind zu unterscheiden von Datenbekanntgaben von besonderen Personendaten im Rahmen der Amtshilfe, die durch § 35 Abs. 3 lit. b erfasst wird, im Einzelfall erfolgen und keiner weiteren Regelung in Sachgesetzen bedürfen.

– Eine Datenbekanntgabe erfolgt durch ein öffentliches Organ in einem Bereich, der einem Berufsgeheimnis gemäss Art. 321 StGB oder einem anderen, spezialgesetzlich normierten Geheimnis (z.B. Steuergeheimnis, Sozialhilfegeheimnis, Kindes- und Erwachsenenschutzgeheimnis) untersteht. Damit in diesen Fällen die bekannt gebenden Behörden und Organe (Geheimnisträger) ihre Geheimnisvorschriften nicht durch zweckfremde Bekanntgabe verletzen, braucht es eine gesetzliche Grundlage als Rechtfertigungsgrund (etwa im Sinne von Art. 14 StGB). Nicht von Bedeutung in dieser Beziehung ist das Amtsgeheimnis gemäss Art. 320 StGB.

Ziff. 1: In der Vernehmlassung wurde verschiedentlich Kritik an der geplanten Regelung geäussert. Dieser wurde in dem Sinne Folge geleistet, indem als zusätzliches Kriterium eingefügt wurde, dass der Bearbeitungszweck für die Grundrechte der betroffenen Person keine besondere Gefahr bergen darf. Die Regelung entspricht damit Art. 34 Abs. 3 nDSG. Aus der bundesgerichtlichen Rechtsprechung ergibt sich, dass die Anforderungen an die Normstufe und die Normdichte umso höher sind, je gewichtiger der Grundrechtseingriff ist (BGE 141 I 201 E. 4). Dieser letzte Grundsatz wird mit lit. a ausdrücklich ins IDG überführt. Zu ergänzen bleibt zudem, dass für den Einsatz intelligenter Datenbearbeitungstechnologien, insbesondere zu Überwachungszwecken, gemäss Rechtsprechung des Bundesgerichts hohe Anforderungen an die gesetzlichen Grundlagen gestellt werden (vgl. BGE 146 I 11). Mit der neu formulierten Bestimmung wird insbesondere sichergestellt, dass der Einsatz von biometrischen Erkennungssystemen, die gemäss § 5 Abs. 4 lit. a Ziff. 2 als Bearbeitung besonderer Personendaten gelten, nur möglich ist, wenn dies eine (formell-)gesetzliche Grundlage ausdrücklich erlaubt. Damit ist dem Anliegen der Motionärinnen der Motion KRNr. 329/2022 betreffend Grundrechte und Privatsphäre im öffentlichen Raum schützen Genüge getan: Ist der Einsatz von biometrischen Erkennungssystemen nicht ausdrücklich gesetzlich vorgesehen, ist er untersagt.

Ziff. 2: Durch das Erfordernis der Regelung der Datenbearbeitung in einer Verordnung wird Transparenz über die Art der Datenbearbeitungen geschaffen und überdies sichergestellt, dass eine Anfechtung der generell-abstrakten Regelung möglich ist.

Lit. c: Vorab kann auf die Ausführungen zu § 24 lit. c verwiesen werden. Allerdings dürfen besondere Personendaten nur dann gestützt auf eine Einwilligung bearbeitet werden, wenn sie der Erfüllung einer Aufgabe dient, die in einem (formellen) Gesetz festgelegt ist. Zudem wird bei der Einwilligung in die Bearbeitung besonderer Personendaten eine ausdrückliche Einwilligung vorausgesetzt. Diese Formulierung steht in Übereinstimmung mit Art. 6 Abs. 6 und 7 nDSG und erfüllt auch die Anforderungen des Übereinkommens SEV 108 (Art. 5 Abs. 2). Auch die Verordnung (EU) 2016/679 (Datenschutzgrundverordnung, DSVO; Art. 4 Ziff. 11 und Art. 6 Ziff. 1 Bst. a) wählt eine ähnliche Formulierung. Die Unterscheidung zwischen Personendaten und besonderen Personendaten entspricht dabei auch der Unterscheidung, wie sie unter geltendem Recht für die Bekanntgabe in §§ 16 Abs. 1 lit. a und 17 Abs. 1 lit. a IDG gemacht wird.

Die Anforderungen an die Einwilligung sind für alle Personendaten einheitlich in § 12 geregelt.

§ 30. Zweckbindung

1 Das öffentliche Organ darf Personendaten nur zu dem Zweck bearbeiten, zu dem sie erhoben worden sind. Die Bearbeitung zu einem anderen Zweck ist zulässig, wenn es eine Rechtsgrundlage gemäss §§ 28 f. erlaubt oder die betroffene Person im Einzelfall einwilligt.

2 Zu einem nicht personenbezogenen Zweck darf das öffentliche Organ Personendaten bearbeiten, wenn diese anonymisiert oder gelöscht werden, sobald und soweit es der Bearbeitungszweck erlaubt, und die Ergebnisse nur so veröffentlicht werden, dass die betroffenen Personen nicht bestimmbar sind.

Abs. 1: Die Bestimmung entspricht inhaltlich weitgehend § 9 Abs. 1 IDG und Art. 6 Abs. 3 nDSG. Zweckbindung bedeutet, dass die Personendaten nur zu dem Zweck bearbeitet werden, gestützt auf den sie beschafft wurden. Dies ist eine Folge davon, dass die Datenbearbeitung nur gestützt auf eine rechtliche Grundlage erfolgen darf, wobei sich die Anforderungen an die rechtliche Grundlage für Personendaten (§ 24) und besondere Personendaten (§ 25) unterscheiden. Der Umstand, dass Personendaten von einer Vielzahl von Behörden immer wieder neu erfasst werden müssen, führt zu einem vermeidbaren Verwaltungsaufwand. Die Richtlinie (EU) 2016/680 lässt eine Beschränkung der strikten Zweckbindung auf besondere Personendaten nicht zu, weshalb für jede weitergehende Bearbeitung von Personendaten dieselben Anforderungen an die rechtliche Grundlage gestellt werden wie für die Bearbeitung zu dem Zweck, zu dem die Daten erhoben wurden. Die Bearbeitung zu einem anderen Zweck ist nur zulässig, wenn eine rechtliche Grundlage oder eine Einwilligung nach §§ 24 f. es erlaubt.

Zulässig ist eine Bearbeitung zu einem anderen Zweck, wenn die betroffene Person eingewilligt hat. Für die Einwilligung gelten die Anforderungen gemäss §§ 24 lit. c und 25 lit. c sowie von § 12. Die Einwilligung kann somit nicht pauschal und von vornherein eingeholt werden, sondern sie ist nur im Einzelfall zulässig. Der Vollständigkeit halber ist darauf hinzuweisen, dass eine umfassende Umsetzung des Prinzips «once only» nicht mit vorliegender Revision des IDG, sondern im Rahmen der strategischen Initiative Daten ganzheitlich angegangen werden wird (RRB Nr. 1331/2022; vgl. auch vorn, A.). Für die kantonale Verwaltung ist jedoch auch in diesem Zusammenhang auf § 44 Abs. 3 OG RR zu verweisen, der – in Zusammenhang mit der Rechtsgrundlage für die Aufgabenerfüllung – eine ausreichende gesetzliche Grundlage für die Bearbeitung von (einfachen) Personendaten zu einem anderen Zweck darstellt.

Abs. 2 entspricht im Wesentlichen § 9 Abs. 2 IDG. Ergänzend eingeführt wird zunächst der Hinweis, dass die Anonymisierung erfolgen muss, sobald es der Bearbeitungszeck erlaubt. Diese Formulierung entspricht weitgehend Art. 31 Abs. 2 Bst. e Ziff. 1 nDSG. Neu in die gesetzliche Regelung eingefügt wird zudem «soweit». Mit dieser Ergänzung erhält die Anonymisierungsvorschrift neben der zeitlichen auch eine inhaltliche Komponente und entspricht damit dem Wortlaut von § 9 des Statistikgesetzes vom 11. Mai 2015 (StatG, LS 431.1). Mit der Bestimmung wird damit sichergestellt, dass aus den veröffentlichten Ergebnissen keine Rückschlüsse auf die betroffenen Personen möglich sind.

Die Bekanntgabe von Personendaten für nicht personenbezogene Zwecke ist in § 37 wie im geltenden Recht (§ 18 IDG) ausdrücklich geregelt.

§ 31. Verhältnismässigkeit

Öffentliche Organe dürfen Personendaten bearbeiten, soweit dies zur Erfüllung ihrer Aufgaben geeignet und erforderlich sowie für die betroffene Person zumutbar ist.

Der Grundsatz der Verhältnismässigkeit ergibt sich aus der Bundesverfassung und gilt für jegliches Verwaltungshandeln. Allerdings ist seine ausdrückliche Erwähnung im IDG von besonderem Gewicht. In der Praxis ist das Mass der Bearbeitung von Personendaten von grosser Bedeutung. Bereits bisher war der Grundsatz in § 8 Abs. 1 IDG, der für die Bearbeitung von Personendaten darauf verweist, diese müsse zur Aufgabenerfüllung «geeignet und erforderlich» sein, implizit enthalten. Im Gegensatz zum geltenden IDG soll der Grundsatz in einen eigenen Paragrafen überführt und von der Anforderung an die Rechtsgrundlage getrennt werden. Festzuhalten ist, dass eine Bearbeitung von Personendaten von vornherein nur zulässig ist, wenn die Bearbeitung überhaupt zur Erfüllung der öffentlichen Aufgabe erforderlich ist und die Bearbeitungsart auch dazu geeignet erscheint. Zudem muss die Bearbeitung in angemessener Form erfolgen. Dies äussert sich etwa im Umfang der Beschaffung von Personendaten und in der Dauer der zulässigen Speicherung von beschafften Personendaten. Schliesslich muss die Bearbeitung für die betroffene Person zumutbar sein (vgl. etwa BGE 149 II 1 E. 2.6, BGE 137 I 327 E. 5.4).

Nicht als notwendig erscheint die Erwähnung des Grundsatzes von Treu und Glauben, wie er z. B. in Art. 6 Abs. 2 nDSG und in verschiedenen kantonalen Datenschutzgesetzen zu finden ist. Es ist kaum möglich, diesem Grundsatz in Zusammenhang mit der Bearbeitung von Personendaten klare Konturen zu geben und daraus klare Forderungen an die Datenbearbeitenden abzuleiten. Oft wird unter den Grundsatz von Treu und Glauben auch pauschal die Forderung nach Transparenz subsumiert, was angesichts der Pflicht zur Information über die Beschaffung von Personendaten nach § 31 (§ 12 IDG) keinen normativen Mehrwert bringt.

Pilotversuche

§ 32. a. Grundsatz

1 Der Regierungsrat kann die Bearbeitung von besonderen Personendaten vor dem Erlass einer Rechtsgrundlage gemäss § 29 als Pilotversuche durch Verordnung bewilligen, wenn

a. die Aufgaben, aufgrund derer die Bearbeitung erfolgen soll, in einem Gesetz geregelt sind,

b. ausreichende Massnahmen getroffen werden, um Eingriffe in die Grundrechte der betroffenen Personen zu begrenzen, und

c. für die praktische Umsetzung der Datenbearbeitung, insbesondere aus technischen Gründen, ein Pilotversuch unentbehrlich ist.

2 Pilotversuche sind für längstens fünf Jahre zulässig.

3 Für Gemeinden gilt diese Bestimmung sinngemäss. An die Stelle des Regierungsrates tritt der Gemeindevorstand.

Abs. 1: Die Regelung lehnt sich an die Bestimmung im revidierten nDSG an. Der Regierungsrat soll mittels Verordnung die Bearbeitung von besonderen Personendaten vor Erlass einer Rechtsgrundlage gemäss § 25 im Rahmen von Pilotversuchen bewilligen können. Dies kann etwa dann der Fall sein, wenn aufgrund der besonderen Gefahr für die Grundrechte der betroffenen Personen eine hinreichend bestimmte Grundlage für die Bearbeitung der besonderen Personendaten in einem Gesetz notwendig wäre (§ 25 lit. a, vgl. hinten zu lit. a). Eine Datenbearbeitung im Rahmen eines Pilotversuchs kann zudem bewilligt werden, wenn die Bearbeitung der besonderen Personendaten zwar im Rahmen einer gesetzlich geregelten Aufgabe erfolgen soll und sie keine besondere Gefahr für die Grundrechte der betroffenen Personen darstellt (vgl. § 24 lit. a), die Datenbearbeitung aber für die Aufgabe nicht «unentbehrlich» ist (§ 25 lit. b). Zu denken ist zudem an den Fall, bei dem die Voraussetzungen gemäss § 25 lit. a zwar gegeben sind, die Datenbearbeitung aber noch nicht in einer Verordnung geregelt ist (§ 25 lit. b Ziff. 2). Auch in solchen Fällen kann sich eine Bearbeitung der Personendaten im Rahmen eines Pilotversuchs gestützt auf §§ 28 f. anbieten, da mitunter noch nicht abgeschätzt werden kann, wie die Datenbearbeitung auf Verordnungsstufe gemäss § 25 lit. b Ziff. 2 (auch längerfristig) zu regeln ist.

Die Bearbeitung besonderer Personendaten im Rahmen von Pilotversuchen soll nur zulässig sein, wenn die Aufgaben, welche die fragliche Bearbeitung erfordern, ihrerseits in einem Gesetz geregelt sind (lit. a). Zudem sollen überdies ausreichende Massnahmen zur Verhinderung von Persönlichkeitsverletzungen getroffen werden, damit die Eingriffe in die Grundrechte der betroffenen Personen möglichst begrenzt werden (lit. b). Schliesslich muss die Testphase für die praktische Umsetzung der Datenbearbeitung notwendig sein (lit. c). Diese Voraussetzungen gelten kumulativ.

Lit. a: Die Aufgabe ist im Gesetz zwar geregelt, aber allgemeiner gefasst, als dies in den Grundlagen gemäss § 25 verlangt wird. Dies kann etwa bei polizeilichen Aufgaben der Fall sein: So ist der Einsatz von mobilen Kameras, die Polizistinnen und Polizisten bei Polizeieinsätzen auf sich tragen und mit denen Filmmaterial gespeichert wird, von § 3 PolG nicht gedeckt, da deren Einsatz zur Erfüllung der gesetzlichen Aufgaben nicht als unentbehrlich erscheint (§ 52 Abs. 2 PolG; vgl. § 25 lit. b). Es kann sich deshalb als sinnvoll erweisen, vor der Schaffung einer besonderen gesetzlichen Grundlage in einem Pilotprojekt zu testen, ob die Ergebnisse den Einsatz der Kameras rechtfertigen.

Lit. b: Zu beachten sind in diesem Zusammenhang sämtliche Grundrechte und nicht bloss das Recht auf informationelle Selbstbestimmung. Lit. c: Pilotversuche sind nur dann zulässig, wenn Testphasen notwendig sind. Diese können sich insbesondere aus technischen Gründen aufdrängen.

Abs. 2: Die Beschränkung der Pilotversuche auf fünf Jahre hat zur Folge, dass spätestens fünf Jahre nach Beginn des Pilotversuchs eine Rechtsgrundlage gemäss § 25 in Kraft gesetzt sein muss. Eine Verlängerung der Pilotversuche ist nicht vorgesehen, weshalb die öffentlichen Organe den Rechtsetzungsprozess rechtzeitig in Angriff nehmen müssen: Treten die entsprechenden Regeln nicht vor Ablauf der Fünfjahresfrist in Kraft, darf der Pilotversuch nicht mehr weitergeführt werden. Eine ausdrückliche Regelung dieser Selbstverständlichkeit im Gesetz ist nicht nötig.

Abs. 3: Für den Einsatz biometrischen Erkennungssysteme im öffentlichen Raum sollen Pilotversuche grundsätzlich unzulässig sein. Daraus folgt, dass für den Einsatz dieser Mittel immer eine Rechtsgrundlage gemäss § 25 vorliegen muss. Dies setzt teilweise auch die Motion KRNr. 329/2022 betreffend Grundrechte und Privatsphäre im öffentlichen Raum schützen um.

Abs. 4: Auch die Gemeinden sollen Pilotversuche gestützt auf die Grundlage im IDG durchführen können. Zuständig ist der Gemeindevorstand. Festzuhalten ist, dass die Bestimmung keine Kompetenzen für die Leitungsorgane anderer öffentlicher Organe, etwa von öffentlichen Anstalten, begründet. Entsprechende Pilotversuche müssten vom Regierungsrat mittels Verordnung angeordnet werden. Sollen einem öffentlichen Organ Pilotversuche durch die eigenen Leitungsorgane ermöglicht werden, müsste dies im entsprechenden Spezialgesetz des öffentlichen Organs geregelt werden.

§ 33. b. Verfahren und Evaluation

1 Vor dem Erlass der Verordnung wird eine Stellungnahme der oder des Beauftragten eingeholt.

2 Jeder Pilotversuch wird evaluiert. Das zuständige öffentliche Organ legt den Evaluationsbericht spätestens drei Jahre nach der Aufnahme des Pilotversuchs dem Regierungsrat vor.

Vorab ist festzuhalten, dass die Verweisung betreffend die Gemeinden in § 28 Abs. 4 als allgemeine Bestimmung auch für § 29 gilt.

Abs. 1: Zur Regelung in der Verordnung ist vorgängig eine Stellungnahme der oder des Beauftragten einzuholen. Die Umsetzung des Pilotversuchs, d. h. die tatsächliche Datenbearbeitung, unterliegt – wie alle übrigen Datenbearbeitungen mit besonderen Risiken – der Vorabkontrolle.

Abs. 2: Bei Pilotversuchen ist eine Evaluation unverzichtbar, da diese die Grundlage für den Entscheid über eine definitive Einführung bieten muss. Die Evaluation muss in der Regel mit dem Beginn der Versuchsphase begonnen werden. Da eine Rechtsgrundlage gemäss § 25 innert fünf Jahren geschaffen werden muss, muss die Evaluation in der Regel spätestens zwei Jahre vor Ablauf dieser Frist von fünf Jahren abgeschlossen sein, um den fristgerechten Erlass der Rechtsgrundlage zu ermöglichen.

B. Besondere Pflichten im Umgang mit Personendaten

§ 34. Datenschutz durch Organisation, Technikgestaltung und datenschutzfreundliche Voreinstellungen

1 Das öffentliche Organ stellt die Einhaltung der Datenschutzbestimmungen insbesondere durch Organisationsvorschriften sicher.

2 Es gestaltet die Datenbearbeitung technisch und organisatorisch so, dass die Datenschutzbestimmungen eingehalten werden.

3 Es stellt durch geeignete Voreinstellungen sicher, dass die Bearbeitung der Personendaten auf das für den Bearbeitungszweck nötige Mass beschränkt ist.

4 Es kann seine Organisation, seine Technikgestaltung und seine Voreinstellungen durch eine unabhängige und anerkannte Stelle prüfen und bewerten lassen.

Nicht in das neue Recht übernommen wird § 11 IDG. Diese Bestimmung (insbesondere auch Abs. 2) bezog sich auf sogenannte Randdaten, d. h. bei der Bearbeitung anfallende Daten, die für das Funktionieren des Systems notwendig sind (vgl. Bruno Baeriswyl, in: Praxiskommentar IDG, § 11 N. 1). Stattdessen werden neu die Grundsätze «privacy by design», d. h. des Datenschutzes durch Technikgestaltung (Abs. 2), und «privacy by default», d. h. des Datenschutzes durch datenschutzfreundliche Voreinstellungen (Abs. 3), im Gesetz ausdrücklich aufgeführt. Es handelt sich dabei um im europäischen Datenschutzrecht etablierte Grundsätze. Mit der Einführung im IDG werden die Anforderungen von Art. 20 der Richtlinie (EU) 2016/680 erfüllt. Sowohl die Datenschutz-Grundverordnung der EU (Art. 25 DSGVO) als auch der Bund im revidierten nDSG (Art. 7 nDSG) kennen entsprechende Bestimmungen. Mit der vorliegenden Bestimmung wird § 10, der die Informationssicherheit regelt und für die Bearbeitung sämtlicher Informationen Geltung hat, für den Bereich des Datenschutzes spezifisch ergänzt.

Abs. 1: Diese Bestimmung wird unverändert von § 13 Abs. 1 IDG ins neue Recht überführt. Gemäss Art. 4 und 8 der Richtlinie (EU) 2016/680 muss in den Datenschutzvorschriften die Forderung nach der Nachweisbarkeit der Einhaltung der Datenschutzbestimmungen enthalten sein. Festzuhalten ist, dass dieser Nachweis insbesondere durch den Erlass geeigneter Organisationsvorschriften, Informationssicherheitsrichtlinien und Zugriffskonzepte erbracht werden soll. Die Prozesse und Abläufe der öffentlichen Organe müssen so geregelt sein, dass die Datenschutzbestimmungen eingehalten werden. Die Anforderungen an die Umsetzung (z. B. Detaillierungsgrad der Zugriffskonzepte) sollen dabei dem Risiko entsprechen, das mit einer Bearbeitung der betroffenen Personendaten verbunden ist. Die Anforderungen werden bei gewöhnlichen Personendaten weniger weit gehen als bei besonderen Personendaten. Festzuhalten ist, dass keine Verpflichtung der öffentlichen Organe besteht, zertifizierte Datenmanagementsysteme einzuführen.

Zusätzliche Aufwendungen sollten für die Umsetzung dieser Anforderungen kaum ins Gewicht fallen, da der Erlass von Organisationsvorschriften, Informationssicherheitsrichtlinien und Zugriffskonzepten bereits heute üblich ist.

Abs. 2 regelt den Grundsatz «privacy by design». Er verlangt vom öffentlichen Organ, die Datenbearbeitung schon ab der Planung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden können. Während Abs. 1 allgemeine Organisationsvorschriften der öffentlichen Organe wie Informationssicherheitsrichtlinien oder Zugriffskonzepte (z. B. in Bezug auf die Geschäftsverwaltungssysteme) regelt, betrifft Abs. 2 die Gestaltung konkreter Datenbearbeitungen, also die technische und organisatorische Gestaltung der jeweiligen Bearbeitungsprozesse. Nach dem Grundsatz des Datenschutzes durch Technikgestaltung sollen technische und organisatorische Massnahmen für eine Datenbearbeitung schon von Beginn weg festgelegt und umgesetzt werden.

Eine besondere Rolle kommt dabei den technischen Vorkehrungen zu. Datenschutzfreundliche Technologien sind unabdingbar für die praktische Umsetzung der Datenschutzvorschriften. Die immer grösseren

Datenmengen können nur in Übereinstimmung mit den Datenschutzregeln bearbeitet werden, wenn entsprechende technische Vorkehrungen getroffen werden. Mittels Technik kann etwa dafür gesorgt werden, dass nicht der Aufbewahrungs- und Anbietepflicht an das Archiv unterstehende Daten (z. B. Randdaten) in regelmässigen Abständen gelöscht oder standardmässig anonymisiert oder pseudonymisiert werden. Aufgrund des Verhältnismässigkeitsprinzips sind bestimmte Informationen, die aufgrund des Zeitablaufs ihre Bedeutung verlieren, zu löschen. Die Anbietepflicht an das Archiv bedeutet nicht, dass alle einmal ins Dossier abgelegten Informationen darin bleiben müssen, auch wenn sie überholt sind. Der Grundsatz der Verhältnismässigkeit ist vielmehr auch bei der Anbietepflicht zu beachten. Die Datenbearbeitung soll zudem bereits von Beginn weg so angelegt werden, dass nicht mehr und nicht andere Daten erhoben und bearbeitet werden, als vom Bearbeitungszweck gedeckt sind (Datenminimierung; vgl. auch Botschaft zum Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941, 7029).

Abs. 3 regelt den Grundsatz «privacy by default». Mittels geeigneter Voreinstellungen muss das öffentliche Organ dafür sorgen, dass grundsätzlich nur diejenigen Daten bearbeitet werden, die für den jeweiligen Verwendungszweck erforderlich sind. Bei Voreinstellungen handelt es sich um jene Einstellungen, insbesondere von Software, die standardmässig zur Anwendung kommen, d. h., falls keine abweichende Eingabe durch die Nutzerin oder den Nutzer erfolgt. Der Grundsatz des Datenschutzes durch datenschutzfreundliche Voreinstellungen spielt bei den öffentlichen Organen allerdings nur eine untergeordnete Rolle, da die Datenbearbeitung durch öffentliche Organe weniger auf der Einwilligung der betroffenen Person beruht als auf gesetzlichen Pflichten. Der mit diesem Grundsatz verfolgte Regelungszweck der Datenminimierung ist jedoch auch bei der Technikgestaltung gemäss Abs. 2 zu berücksichtigen.

Abs. 4: Die entsprechende Regelung findet sich in § 13 Abs. 2 IDG. Weiterhin soll die Möglichkeit bestehen, die Organisation (Abläufe, Prozesse), die verwendete Technik und die gewählten Voreinstellungen durch eine unabhängige, externe Stelle prüfen zu lassen. Eine Pflicht zur Prüfung durch eine unabhängige Stelle soll demgegenüber nicht eingeführt werden. Eine derartige «Zertifizierung» erscheint im öffentlichen Bereich, in dem gesetzliche Vorgaben zwingend umzusetzen sind, nicht als notwendig. Die Einhaltung der entsprechenden Vorgaben wird denn auch durch die Aufsichts- und Kontrollmittel der oder des Beauftragten für den Datenschutz sichergestellt. In Einzelfällen kann sich eine externe Prüfung aber durchaus als hilfreich erweisen.

§ 35. Information über die Beschaffung

1 Das öffentliche Organ informiert die betroffenen Personen über die Beschaffung von Personendaten. Dies gilt auch für die Beschaffung bei Dritten.

2 Die Information enthält Angaben über

a. das zuständige öffentliche Organ,

b. die beschafften Personendaten oder deren Kategorien,

c. die Rechtsgrundlage und den Zweck der Bearbeitung,

d. die Datenempfängerinnen und ‑empfänger oder die Kategorien der Datenempfängerinnen und ‑empfänger, falls die Personendaten Dritten bekannt gegeben werden,

e. die Rechte der betroffenen Person,

f. die allfällige Verwendung algorithmischer Entscheidsysteme bei der Beschaffung.

3 Die Informationspflicht entfällt, wenn

a. die betroffene Person bereits über die Angaben gemäss Abs. 2 verfügt,

b. die Beschaffung der Personendaten gesetzlich vorgesehen ist,

c. die Information nicht möglich ist oder einen sehr grossen Aufwand erfordern würde,

d. eine rechtliche Bestimmung oder ein überwiegendes öffentliches oder privates Interesse der Information entgegensteht.

§ 12 IDG wurde anlässlich der Revision vom 25. November 2019 gemäss Vorgaben der EU-Richtlinie 2016/680 angepasst (vgl. Leitfaden 5.2 und 5.3) und soll unverändert übernommen werden. Festzuhalten ist, dass gemäss Abs. 3 lit. b die Informationspflicht immer dann entfällt, wenn die Beschaffung der Personendaten gesetzlich vorgesehen ist. Da dies der Regelfall ist, ist die praktische Relevanz der Bestimmung gering. Eine gewisse Bedeutung hat die Bestimmung beim Einsatz von Videokameras. Die Bestimmung verpflichtet die Aufzeichnenden, einen entsprechenden Hinweis anzubringen, auch wenn keine Daten gespeichert werden.

Im Zusammenhang mit der neu eingeführten Möglichkeit zur Einwilligung in eine Datenbearbeitung (§ 12) bekommt die Norm allerdings grössere Bedeutung. Eine vorgängige «angemessene» Information über die geplante Datenbearbeitung ist denn auch Voraussetzung, damit die Einwilligung rechtsgültig erteilt werden kann. So verlangt § 12, dass der betroffenen Person bewusst ist, welche Auswirkungen die Einwilligung zur Folge hat und welche Ziele mit der Datenbearbeitung verfolgt werden. Eine Einwilligung kann nur in Kenntnis der konkreten Umstände abgegeben werden. Zudem ist der betroffenen Person immer mitzuteilen, dass die Einwilligung widerrufen werden kann. Sollen gestützt auf eine Einwilligung Personendaten beschafft werden, zieht dies eine Informationspflicht über die Beschaffung gemäss § 31 Abs. 1 nach sich.

Auch in Fällen von allgemeiner Amtshilfe ist eine Information angezeigt (vgl. hinten zu Abs. 3). Bei der allgemeinen Amtshilfe erfolgt die Information zwar gestützt auf eine gesetzliche Regelung, sie ist für die betroffenen Personen aber nicht erkennbar.

Zu ergänzen ist sodann, dass die Art und Weise, wie die Information erfolgen soll, nicht festgelegt ist. Die öffentlichen Organe können dazu auch moderne Technologien nutzen (etwa QR-Codes), sofern davon ausgegangen werden kann, dass die betroffenen Personen über die entsprechenden Hilfsmittel verfügen, um die Information zur Kenntnis nehmen zu können.

Abs. 3 lit. b: Eine Bekanntgabe von Personendaten entfällt, wenn eine spezialgesetzliche Bestimmung die Bekanntgabe vorsieht (vgl. etwa § 47c Sozialhilfegesetz vom 14. Juni 1981 [LS 851.1]). Demgegenüber entbindet eine Bekanntgabe gestützt auf die allgemeine Amtshilfe gemäss § 35 Abs. 3 lit. b nicht von der Informationspflicht.

Abs. 3 lit. c: Massgebend soll der Aufwand der Verwaltungsstelle für die Information der betroffenen Personen sein. Dieser muss sehr gross sein, damit eine Information nicht notwendig ist. Gemessen wird dies an den vorhandenen personellen Mitteln. Eine Interessenabwägung wird nicht vorausgesetzt, da die Interessen der betroffenen Personen allenfalls nicht bekannt sind und wohl auch nicht in Erfahrung gebracht werden können.

Anzupassen ist die Verweisung in Abs. 3 lit. d: Bisher lautete § 12 Abs. 3 lit. d IDG «in den Fällen gemäss § 23» und bezog sich auf eine Verweigerung der Bekanntgabe gestützt auf eine Interessenabwägung. Die Anpassung von § 23 IDG (neu: Interessenabwägung bei der Bekanntgabe von Informationen in § 11) zieht auch Anpassungsbedarf bei der vorliegende Bestimmung nach sich: Bei den in der bisherigen Formulierung genannten «Fällen» handelt es sich um Informationen, die gestützt auf eine Interessenabwägung nicht zulässig sind.

§ 36. Grundrechtliche Folgenabschätzung

Das öffentliche Organ bewertet bei einer beabsichtigten Verwendung von algorithmischen Entscheidsystemen deren Risiken für die Grundrechte der betroffenen Personen.

§ 37. Datenschutzfolgenabschätzung und Vorabkontrolle

1 Das öffentliche Organ erstellt eine Datenschutzfolgenabschätzung, wenn eine beabsichtigte Bearbeitung von Personendaten voraussichtlich ein hohes Risiko für die Grundrechte der betroffenen Personen zur Folge hat.

2 Es unterbreitet eine beabsichtigte Bearbeitung von Personendaten mit einem hohen Risiko für die Grundrechte der betroffenen Personen der oder dem Beauftragten zur Vorabkontrolle.

§ 10 IDG wird unverändert aus dem geltenden Recht übernommen. Ergänzend ist darauf hinzuweisen, dass das öffentliche Organ bei der Planung von Datenbearbeitungen im Rahmen seiner Rechtsgrundlagenanalyse die Risiken für sämtliche Grundrechte in Betracht ziehen muss, so auch den Diskriminierungsschutz, der im Zusammenhang mit dem Einsatz von algorithmischen Entscheidsystemen von besonderer Bedeutung ist. Dieser umfassende Grundrechtsschutz ist demgegenüber nicht Zweck des IDG. Entsprechend kann auch der Diskriminierungsschutz nicht Gegenstand der Vorabkontrolle sein.

Datenschutzverletzungen

§ 38. a. Meldung an die Beauftragte oder den Beauftragten

1 Das zuständige öffentliche Organ meldet der oder dem Beauftragten unverzüglich die unbefugte Bearbeitung von Personendaten oder die Verletzung der Datensicherheit, wenn die Grundrechte der betroffenen Person gefährdet sind.

2 Eine Verletzung der Datensicherheit liegt vor, wenn Personendaten

a. verloren gehen,

b. unbeabsichtigt oder widerrechtlich gelöscht, vernichtet oder verändert werden,

c. Unbefugten bekannt gegeben oder zugänglich gemacht werden,

d. von Unbefugten zur Kenntnis genommen werden.

3 Die Meldung enthält mindestens Angaben über die unbefugte Bearbeitung oder die Art der Verletzung der Datensicherheit und deren Folgen sowie über die ergriffenen oder vorgesehenen Massnahmen.

Abs. 1: § 12a IDG wurde mit der Revision vom 25. November 2019 im Zuge der Anpassung an die Vorgaben der EU-Richtlinie 2016/680 eingefügt (vgl. Leitfaden 6.4). Meldepflichtig gemäss Richtlinie ist dabei nicht jede Verletzung der Datensicherheit. Nicht meldepflichtig sind Vorfälle, die voraussichtlich zu keinem Risiko für die Grundrechte der betroffenen Personen führen (Art. 30 Abs. 1; vgl. Julian Powell, Die Revision der kantonalen Datenschutzgesetze, in: Jusletter, 31. Mai 2021, S. 9). Der Bund definiert in Art. 5 Bst. h nDSG den Begriff der Datensicherheit als «eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden». In Art. 24 Abs. 1 nDSG wird sodann festgelegt, dass eine Verletzung der Datensicherheit gemeldet werden muss, wenn sie «voraussichtlich zu einem grossen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt». Meldepflichtig ist das zuständige Organ, wobei sich die Zuständigkeit aus dem Organisationsrecht ergibt.

Wie im geltenden Recht sollen im Kanton Zürich auch unbefugte Bearbeitungen von Personendaten gemeldet werden müssen. Dabei ist darauf hinzuweisen, dass das zürcherische Recht in diesem Punkt über die Anforderungen der EU-Richtlinie und auch diejenigen des nDSG hinausgeht. Auch die unbefugte Bearbeitung muss ein grosses Risiko für die Grundrechte der betroffenen Person enthalten, um der Meldepflicht zu unterliegen. Als Beispiele für unbefugte Datenbearbeitungen können die Einholung von Angaben bei den Einwohnerinnen und Einwohnern ohne Rechtsgrundlage oder eine Erhebung nicht erforderlicher sensibler Daten mittels Formular- oder Gesuchsvorlagen durch eine Verwaltungsstelle gelten.

§ 12a IDG setzt eine Gefährdung der Grundrechte voraus. Neu soll in Anlehnung an Art. 24 Abs. 1 nDSG ein «grosses Risiko für die Grundrechte» massgebend sein. Da grundsätzlich jede unbefugte Datenbearbeitung ein Risiko für die Grundrechte birgt, rechtfertigt es sich – wie der Bund – nur bei grossen Risiken eine Meldepflicht vorzusehen. Massgebend für die Beurteilung des Risikos sind dabei die möglichen negativen Folgen für die betroffene Person, welche die Verletzung der Datensicherheit oder der unbefugten Datenbearbeitung haben kann. Dabei sind negative Folgen unterschiedlicher Art denkbar. Zu denken ist etwa an einen finanziellen Schaden, gesellschaftliche Nachteile (z. B. Rufschädigung), wirtschaftliche Nachteile (finanzielle Einbussen) oder Diskriminierung (vgl. David Rosenthal, Die Tücken spontaner Datenschutzbeurteilungen und was sich dagegen tun lässt, in: Jusletter, 28. Februar 2022, S. 4 f.).

Abs. 2: In dieser Bestimmung wird ausgeführt, wann eine Verletzung der Datensicherheit vorliegt, wobei die aufgeführten Tatbestände keiner weiteren Erläuterungen bedürfen. Die Bestimmung entspricht inhaltlich Art. 5 Bst. h nDSG.

Zu lit. d ist zu ergänzen, dass diese Bestimmung insbesondere die Kenntnisnahme durch Hackerinnen und Hacker abdeckt.

Abs. 3 regelt den Inhalt der Meldung. Diese Bestimmung stimmt inhaltlich in Bezug auf die Verletzung der Datensicherheit mit Art. 24 Abs. 2 nDSG überein und wird hier neu eingefügt. Die Meldung muss über die Art der unbefugten Datenbearbeitung (etwa die Löschung von Daten) oder der Verletzung der Datensicherheit (etwa die Veröffentlichung von besonderen Personendaten ohne entsprechende Rechtsgrundlage) Auskunft geben und auch die getroffenen bzw. vorgesehenen Massnahmen auflisten.

§ 39. b. Information der betroffenen Person

1 Das öffentliche Organ informiert die betroffene Person über Verletzungen der Datensicherheit, wenn dies zu deren Schutz notwendig ist oder die oder der Beauftragte es verlangt.

2 Die Information enthält die Angaben der Meldung gemäss § 38 Abs. 3.

3 Das öffentliche Organ kann die Information der betroffenen Person ganz oder teilweise einschränken oder darauf verzichten, wenn

a. der Information eine rechtliche Bestimmung oder ein überwiegendes öffentliches oder privates Interesse entgegensteht,

b. die Information nicht möglich ist oder einen sehr grossen Aufwand erfordern würde,

c. die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist.

Abs. 1: Im Gegensatz zum Recht der EU ist die Meldepflicht im Kanton Zürich weiter gefasst, indem nicht nur Sicherheitsvorfälle meldepflichtig sind, sondern auch unbefugte Datenbearbeitungen, die zu einem grossen Risiko für die Grundrechte der betroffenen Personen führen können. Die Informationspflicht gegenüber der betroffenen Person dient dabei – entsprechend den Vorgaben in Art. 30 und 31 der Richtlinie (EU) 2016/680 – vorab der Schadenbegrenzung. Die betroffenen Personen sollen informiert werden, wenn dies zu ihrem Schutz notwendig ist, insbesondere, wenn sie durch eigene Vorkehrungen drohenden Schaden abwenden oder einschränken können (z. B. durch eine Änderung eines Passwortes). Zusätzlich kann die oder der Beauftragte für den Datenschutz bei Verletzungen der Datensicherheit im Rahmen ihrer bzw. seiner Aufsichts- und Kontrollbefugnisse eine Information der betroffenen Person oder der Öffentlichkeit verlangen (§§ 50 ff.). Dies kommt aber wohl nur dann infrage, wenn das öffentliche Organ sein Ermessen nicht pflichtgemäss ausübt.

Abs. 2: Die Meldung muss grundsätzlich dieselben Elemente enthalten, wie die Meldung an die oder den Beauftragten, kann aber eingeschränkt werden (Abs. 3).

Abs. 3: § 12a Abs. 3 IDG wird übernommen, jedoch entsprechend den Anforderungen in Art. 31 der Richtlinie (EU) 2016/680 und der Regelung in Art. 24 Abs. 5 nDSG erweitert.

Lit. b entspricht weitgehend Art. 24 Abs. 5 Bst. b nDSG. Nicht übernommen wird der Fall, dass eine Information unmöglich ist. Diese Selbstverständlichkeit ist gesetzlich nicht zu regeln.

Lit. c entspricht Art. 24 Abs. 5 Bst. c nDSG. Festzuhalten ist, dass die Bekanntmachung angemessen sein muss. Die blosse Möglichkeit, dass sich betroffene Personen informieren können, ist dabei nicht ausreichend.

C. Bekanntgabe von Personendaten

Vorbemerkungen

Für die Bekanntgabe von Personendaten als Sonderfall der Bearbeitung von Personendaten gelten, wie im geltenden Recht, besondere Regelungen. Die bisherigen Bestimmungen in §§ 16 f. IDG werden neu ge- ordnet, sodass der Unterschied zwischen einer Bekanntgabe von Personendaten und einer Bekanntgabe von besonderen Personendaten klarer und einfacher verständlich wird.

Ein öffentliches Organ muss bei jeder Datenbekanntgabe eine Interessenabwägung vornehmen und prüfen, ob entgegenstehende Interessen bzw. entgegenstehende gesetzliche Bestimmungen vorhanden sind, die gegen eine Bekanntgabe der Personendaten sprechen (§ 11; § 23 IDG). Dies ist grundsätzlich auch dann der Fall, wenn die Datenbekanntgabe gestützt auf eine entsprechende Rechtsgrundlage erfolgt (Abs. 1). In diesen Fällen ist die Prüfung jedoch naturgemäss eingeschränkt, da die Spezialgesetzgebung, welche die Datenbekanntgabe regelt, bereits eine erste Interessenabwägung vorgenommen hat.

Die Bekanntgabe für nicht personenbezogene Zwecke ist separat geregelt. Für solche Bekanntgaben gelten herabgesetzte Anforderungen (vgl. § 37).

§ 40. Berechtigung

1 Das öffentliche Organ darf Personendaten bekannt geben, wenn dafür eine Grundlage in einem Gesetz oder einer Verordnung besteht.

2 Es darf besondere Personendaten bekannt geben, wenn dafür eine hinreichend bestimmte Grundlage in einem Gesetz besteht.

3 Im Einzelfall darf es Personendaten und besondere Personendaten ausserdem bekannt geben, wenn

a. die betroffene Person eingewilligt hat,

b. ein anderes öffentliches Organ oder ein Organ eines anderen Kantons oder des Bundes dies verlangt und nachweist, dass es zur Bearbeitung berechtigt ist,

c. dies zur Abwendung einer drohenden Gefahr

1. für Leib und Leben unentbehrlich ist oder

2. für andere hochrangige Rechtsgüter notwendig und der betroffenen Person zumutbar ist.

Wie gemäss geltendem Recht darf die Bekanntgabe von Personendaten nur erfolgen, wenn eine entsprechende Grundlage in einem Gesetz oder einer Verordnung (bisher § 16 Abs. 1 lit. a IDG: «rechtliche Bestimmung») besteht. Die Anforderung für eine Bekanntgabe der Personendaten ist damit strenger als bei deren Bearbeitung, die gemäss § 24 lit. b auch dann zulässig ist, wenn dies zur Erfüllung einer in einem Gesetz oder einer Verordnung festgelegten Aufgabe notwendig ist. Dies rechtfertigt sich insbesondere, da die Bekanntgabe an andere öffentliche Organe amtshilfeweise erfolgen kann (vgl. Abs. 3 lit. b) und für die Bekanntgabe für nicht personenbezogene Zwecke ebenfalls herabgesetzte Anforderungen gelten (vgl. § 37).

Für die kantonale Verwaltung ist in diesem Zusammenhang auf § 44 Abs. 3 OG RR hinzuweisen, wonach alle Stellen der kantonalen Verwaltung zu «Personendaten […] Zugang [haben], soweit sie diese zur Erfüllung ihrer Aufgaben brauchen». Innerhalb der kantonalen Verwaltung sind Personendaten somit bekannt zu geben, soweit die Aufgabe, zu deren Erfüllung sie benötigt werden, über eine Rechtsgrundlage in einem Gesetz oder einer Verordnung verfügt. Die amtshilfeweise Bekanntgabe von Personendaten an andere öffentliche Organe wird sodann in Abs. 3 lit. b geregelt.

Abs. 2: Voraussetzung für die Bekanntgabe von besonderen Personendaten ist, wie unter geltendem Recht, eine hinreichend bestimmte Grundlage in einem Gesetz (im formellen Sinn). Die Anforderung ist damit bei der Bekanntgabe besonderer Personendaten strenger als bei deren Bearbeitung, die unter gewissen Voraussetzungen auch zulässig ist, wenn es zur Erfüllung einer in einem Gesetz festgelegten Aufgabe unentbehrlich ist (vgl. § 25 lit. b).

Abs. 3: In den Literae dieses Absatzes werden gewisse Sonderfälle aufgezählt, in denen eine Bekanntgabe von Personendaten einschliesslich besonderer Personendaten im Einzelfall zulässig ist.

Lit. a entspricht geltendem Recht (§§ 16 Abs. 1 lit. b und 17 Abs. 1 lit. b IDG). Für die Einwilligung ist auf die neue Bestimmung in § 12 zu verweisen. Indem dort für die besonderen Personendaten eine ausdrückliche Einwilligung verlangt wird, entspricht die Bestimmung inhaltlich geltendem Recht.

Lit. b regelt die allgemeine Amtshilfe, soweit diese Personendaten betrifft. Vorauszuschicken ist, dass die Einholung von Auskünften meist zwingend mit sich bringt, dass der angefragten Stelle Personendaten bekannt gegeben werden müssen, damit diese überhaupt eine Auskunft erteilen kann. Diese Art der Datenbekanntgabe ist – als Voraussetzung für die Datenbeschaffung auf dem Weg der Amtshilfe – grundsätzlich zulässig und vor allem eine Frage der Verhältnismässigkeit.

Gestützt auf die mehrheitlich kritischen Rückmeldungen in der Vernehmlassung soll unter dem Titel der Amtshilfe wie unter geltendem Recht die Bekanntgabe sämtlicher Personendaten nur im Einzelfall erfolgen. Die Berechtigung zur Bearbeitung der Personendaten setzt eine Rechtsgrundlage gemäss §§ 24 f. voraus. Ist eine regelmässige Bekanntgabe nötig, d.h., soll die Amtshilfe losgelöst von Einzelfällen erfolgen, ist das öffentliche Organ gehalten, eine entsprechende Rechtsgrundlage zu schaffen.

Nach der geltenden Regelung der Amtshilfe stellt sich sodann regelmässig die Frage, inwieweit das bekannt gebende Organ für die Prüfung der Voraussetzung gemäss §§ 16 Abs. 2 und 17 Abs. 2 IDG verantwortlich ist, also, ob das ersuchende Organ diese Personendaten «zur Erfüllung seiner gesetzlichen Aufgaben benötigt». Dabei stellt sich auch die Frage, ob das bekannt gebende Organ überhaupt in der Lage ist, eine solche Prüfung vorzunehmen. Künftig soll sich die Amtshilfebestimmung deshalb klarer an der Berechtigung des anfragenden Organs zur Datenbearbeitung ausrichten. Vom anfragenden Organ wird dabei verlangt, dass es seine Legitimation zur Datenbearbeitung sowie deren Zweck und Verhältnismässigkeit nachweist. Dies war bereits nach geltendem Recht die Regel, aber im Gesetz nicht ausdrücklich festgehalten. Die Anforderungen an die Rechtsgrundlage bestimmen sich nach §§ 24 f. (§ 8 IDG). Dieser Nachweis der Berechtigung mit dem Ersuchen um Amtshilfe führt sowohl zu einer klareren Regelung in Bezug auf die Verantwortung der beteiligten Organe als auch zur Kongruenz zwischen der Legitimation für die Bekanntgabe von Personendaten gemäss § 35 mit der Legitimation für die Bearbeitung von Personendaten gemäss §§ 24 f.

Zu berücksichtigen bei der Bekanntgabe ist die Verpflichtung zur Information über die Beschaffung gemäss § 31 (bisher § 12 IDG). Das Organ, das die Daten im Rahmen der allgemeinen Amtshilfe beschafft, ist zur Information über die Beschaffung verpflichtet. Diese Informationspflicht entfällt bei Datenbekanntgaben nach Abs. 1 und 2, d. h., wenn eine ausreichende spezialgesetzliche Rechtsgrundlage besteht. Es liegt damit auch im Interesse der öffentlichen Organe, präzise Rechtsgrundlagen für die Datenbeschaffung zu schaffen, da damit die Informationspflicht entfällt.

Lit. c: Auch diese Bestimmung entspricht geltendem Recht (§§ 16 Abs. 1 lit. c und 17 Abs. 1 lit. c IDG). Die Datenbekanntgabe muss gemäss dem ersten Teil dieser Bestimmung unentbehrlich dafür sein, eine Gefahr für Leib und Leben abzuwenden. Stehen deshalb andere Mittel zur Gefahrenabwehr zur Verfügung, sind diese zu wählen. Ergänzend ist festzuhalten, dass unter den Schutz «anderer wesentlicher Rechtsgü- ter» im zweiten Teil der Bestimmung auch die Information der Öffentlichkeit fällt, soweit diese zum Schutz des Vertrauens in den Staat notwendig ist. Es kommt vor, dass die staatlichen Organe mit Vorwürfen konfrontiert sind, deren Entkräftung notwendig ist, damit das Vertrauen in die Funktionsfähigkeit des Staates nicht untergraben wird. Unter bestimmten Voraussetzungen muss dabei auch die Bekanntgabe von Personendaten möglich sein, und zwar unabhängig vom Einverständnis der betroffenen Person. Selbstverständlich muss in einem solchen Fall das öffentliche Interesse an der Information das Interesse am Schutz der Privatsphäre der betroffenen Person überwiegen. Dabei muss die Interessenabwägung im Hinblick auf die bekannt zu gebenden Daten erfolgen: Je grösser die Gefahr einer Persönlichkeitsverletzung ist, umso gewichtiger muss das öffentliche Interesse sein. Insbesondere im Rahmen der Richtigstellung von Falschinformationen ist es aber unter Umständen unumgänglich, dass Personendaten oder sogar besondere Personendaten bekannt gegeben werden müssen. Zu denken ist etwa an eine Information über abgeschlossene Administrativuntersuchungen. Die Ergebnisse einer solchen Untersuchung und auch die gegenüber den Betroffenen unternommenen Massnahmen müssen kommuniziert werden dürfen. Dabei ist eine Anonymisierung mitunter nicht möglich.

§ 41. Grenzüberschreitende Bekanntgabe

Das öffentliche Organ darf Personendaten an Empfängerinnen und Empfänger, die dem Übereinkommen vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten nicht unterstehen, bekannt geben, wenn

a. eine gesetzliche Grundlage dies erlaubt und dies dem Schutz der Interessen der betroffenen Person oder überwiegenden öffentlichen Interessen dient,

b. im Empfängerstaat ein angemessener Schutz für die Datenbearbeitung gewährleistet ist oder

c. es mit den Empfängerinnen und Empfängern angemessene Sicherheitsvorkehrungen vereinbart hat.

Diese Bestimmung wird bis auf eine Änderung in lit. a unverändert aus dem geltenden Recht (§ 19 IDG) übernommen. Nach geltendem Recht ist die Bekanntgabe von Personendaten an Empfängerinnen und Empfänger erlaubt, die dem Übereinkommen SEV 108 nicht unterstehen, wenn im Empfängerstaat ein angemessener Schutz für die Daten- übermittlung gewährleistet ist. Der angemessene Schutz im Empfängerstaat muss nicht nur die Datenübermittlung als Vorgang abdecken, sondern auch den Schutz der übermittelten Daten gewährleisten, weshalb eine entsprechende Anpassung vorgeschlagen wird. Auch Personendaten juristischer Personen dürfen ins Ausland übermittelt werden, wenn die Empfängerinnen und Empfänger dem Übereinkommen SEV 108 unterstehen. Dies gilt, obwohl das Übereinkommen SEV 108 keinen Schutz für Personendaten juristischer Personen enthält. Zu begründen ist dies damit, dass einerseits bestimmte Anforderungen an die Datenbearbeitung, die mit dem Übereinkommen garantiert werden, für alle Arten der Datenbearbeitung gelten. Anderseits darf davon ausgegangen werden, dass diese Staaten allgemein Gewähr bieten für rechtsstaatliches Handeln sowie für den Schutz der Rechte juristischer Personen wie Persönlichkeitsrechte, Urheberrechte sowie der Berufs‑, Geschäfts- und Fabrikationsgeheimnisse.

Lit. a: Eine Bekanntgabe darf ausnahmsweise auch in Länder ohne entsprechendes Schutzniveau erfolgen, wenn eine gesetzliche Grundlage dies erlaubt und dies entweder den Interessen der betroffenen Person dient oder im überwiegenden öffentlichen Interesse liegt.

Lit. b: Soll die Datenbekanntgabe in Länder mit angemessenem Datenschutzniveau erfolgen, ist keine ausdrückliche gesetzliche Grundlage und Interessenabwägung gemäss lit. a erforderlich.

Lit. c: Eine Bekanntgabe in Länder ohne entsprechendes Schutzniveau ist zudem möglich, wenn vertraglich das Notwendige vorgekehrt wird.

§ 42. Nicht personenbezogene Zwecke

Das öffentliche Organ kann Personendaten zur Bearbeitung für nicht personenbezogene Zwecke bekannt geben, wenn

a. keine rechtliche Bestimmung es ausschliesst,

b. die Personendaten anonymisiert oder gelöscht werden, sobald und soweit es der Bearbeitungszweck erlaubt,

c. die Ergebnisse nur so veröffentlicht werden, dass die betroffenen Personen nicht bestimmbar sind.

Abs. 1: Forschung, Statistik und Planung erfordern eine Vielzahl von Informationen, die häufig personenbezogen sind. Ziel sind jedoch Auswertungen bzw. Aussagen, die von den einzelnen Personen losgelöst und oft von allgemeinem öffentlichem Interesse für Gesellschaft, Wirtschaft und Politik sind. So ermöglicht eine gute Datenlage (z. B. Statistiken) unter anderem besser informierte Entscheidungen der Politik und Verwaltung, fördert Innovation und Transparenz. Die Bedeutung von Daten hat im Zuge der digitalen Transformation stark an Bedeutung gewonnen und deren Potenzial wird heute allgemein anerkannt. Aufgrund dieser unterschiedlichen Zweckverfolgung und der damit einhergehend geringeren Risiken für die Grundrechte betroffener Personen unterliegen Datenbearbeitungen für nicht personenbezogene Zwecke Erleichterungen. Dies gilt unter der Voraussetzung, dass die Daten anonymisiert werden und die Ergebnisse nur so veröffentlicht werden, dass die betroffenen Personen nicht bestimmbar sind (vgl. § 26 Abs. 2). Entsprechende Erleichterungen sind auch für die Bekanntgabe von personenbezogenen Daten angezeigt. Damit die für die Forschung, Statistik und Planung notwendigen Datengrundlagen überhaupt geschaffen werden können, ist vielfach eine Verknüpfung der Daten verschiedener Stellen notwendig. Entsprechend sollen öffentliche Organe Personendaten für nicht personenbezogene Zwecke – anders als gestützt auf § 35 – grundsätzlich bekannt geben, sofern die Voraussetzungen gemäss Abs. 2 zum Schutz der Grundrechte der betroffenen Personen erfüllt sind und keine rechtliche Bestimmung eine solche Datenbekanntgabe ausschliesst.

Lit. a: Soll eine Datenbekanntgabe auch für nicht personenbezogene Zwecke ausgeschlossen werden, kann dies spezialgesetzlich geregelt werden.

Lit. b und c: Ergänzt wird wie in § 26 Abs. 2, dass die Anonymisierung zu erfolgen hat, sobald und soweit es der Bearbeitungszweck erlaubt (vgl. auch die Bemerkungen zu § 26 mit der Verweisung auf § 9 StatG). Festzuhalten ist, dass Anonymisierung bedeutet, dass sämtliche Rohdaten anonymisiert sind und ein Personenbezug gestützt auf sämtliche vorhandene Daten nicht mehr möglich ist (vgl. vorn zu § 20). Im Vergleich zur bisherigen Fassung in § 18 Abs. 2 IDG wird der Hinweis weggelassen, dass «die ursprünglichen Personendaten nach der Auswertung vernichtet werden» müssen. Durch die Anonymisierung sind die «ursprünglichen» Daten bzw. die Rohdaten gar nicht mehr vorhanden. Eine Vernichtung der Rohdaten ist damit nicht mehr möglich. Zu ergänzen ist, dass die Datenempfängerinnen und ‑empfänger nicht befugt sind, die Rohdaten zu kopieren.

D. Rechte betroffener Personen

Auskunftsrecht

§ 43. a. Grundsatz

1 Jede Person hat Anspruch auf Auskunft über die Personendaten, die ein öffentliches Organ über sie bearbeitet. Das öffentliche Organ weist insbesondere die Verwendung algorithmischer Entscheidsysteme aus.

2 Vom Anspruch auf Auskunft ausgenommen sind Aufzeichnungen, die nicht fertiggestellt oder ausschliesslich zum persönlichen Gebrauch bestimmt sind.

3 Die Auskunft über die eigenen Personendaten ist kostenlos.

Die Auskunft über eigene Personendaten unterscheidet sich vom Informationszugang. Sie wird deshalb unter der Marginalie «Auskunftsrecht» im 3. Abschnitt über den Datenschutz geregelt.

Abs. 1 hält den Anspruch jeder Person auf Auskunft zu ihren Personendaten, die von einem öffentlichen Organ über sie bearbeitet werden, fest. Das Gesuch ist bei dem Organ zu stellen, das die Daten bearbeitet. Das Auskunftsrecht umfasst alle Informationen, die bei einem bestimmten öffentlichen Organ über die Person, die Auskunft verlangt, vorhanden sind. Zudem hat die betroffene Person Anspruch auf Auskunft über die Rechtsgrundlage und den Zweck der Datenbearbeitung. Weiter ist ihr darüber Auskunft zu erteilen, welche Organe an der Datenbearbeitung beteiligt sind und welche Stellen die entsprechenden Informationen regelmässig erhalten. Gegenüber dem geltenden Recht wurde ergänzt, dass gegenüber der Auskunft verlangenden Person auszuweisen ist, wenn die Personendaten mittels algorithmischer Entscheidsysteme bearbeitet werden. Damit soll dem berechtigten Bedürfnis nach Transparenz in Bezug auf den Einsatz entsprechender Systeme nachgekommen werden.

Abs. 2: Im Gegensatz zum Informationszugangsrecht ist beim Auskunftsrecht eine Identifikation der gesuchstellenden Person unerlässlich. Die Form, in der sich die Person ausweist, kann dabei auf verschiedene Arten erfolgen. Wesentlich ist jedoch, dass die Identifikation nachprüfbar ist, kann doch nur so sichergestellt werden, dass die Herausgabe der Personendaten nicht an Unberechtigte erfolgt.

Denkbar ist dabei etwa auch, dass die Identifikation gegenüber einer zentralen Stelle mittels eines sogenannten Bürgerkontos erfolgt (so etwa in der Stadt Zürich «Mein Konto» oder im Kanton Zürich künftig «Zürikonto»).

Abs. 3: Wie unter bisherigem Recht soll die Auskunft über eigene Personendaten kostenlos sein.

Abs. 4: Gestützt auf die herrschende Lehre (vgl. Urs Thönen, in: Praxiskommentar IDG, § 26 N. 18) sollen betroffene Dritte nicht zwingend angehört werden müssen. Werden in einem Dossier Personendaten mehrerer Personen bearbeitet, sind die Daten den einzelnen Personen zuzuordnen. Der Inhalt von Dokumenten, die Dritte betreffen und nicht als eigene Personendaten der Auskunft verlangenden Partei zu qualifizieren sind, sind vom Zugang auszuschliessen oder der Inhalt ist teilweise zu anonymisieren. Sagen Personendaten auch etwas über Dritte aus (z. B. Daten im Rahmen eines Kindesschutzverfahrens), ist eine Interessenabwägung vorzunehmen (Beat Rudin, in: Praxiskommentar IDG, § 20 N. 26 ff.). Das öffentliche Organ entscheidet dabei gestützt auf diese Interessenabwägung, ob die Einholung einer Stellungnahme im Einzelfall notwendig ist. Erachtet das öffentliche Organ die Einholung einer Stellungnahme zur Vornahme der Interessenabwägung als notwendig, ist dazu kein formelles Verfahren nötig. Die Einholung einer Stellungnahme bedeutet damit (anders als beim Informationszugang) keinen formellen Einbezug ins Verfahren. § 20 ist deshalb lediglich sinngemäss anwendbar.

Der Zugang zu den eigenen Personendaten wird in einigen wesentlichen Punkten anders geregelt als der Informationszugang. Im Gegensatz zum Informationszugangsrecht darf das Auskunftsrecht auch bei einem sehr grossen Aufwand grundsätzlich nicht von der Glaubhaftmachung eines schutzwürdigen Interesses der gesuchstellenden Person abhängig gemacht werden. Der Zugang zu eigenen Personendaten soll in dieser Beziehung einen höheren Schutz geniessen als der Informationszugang. § 17 Abs. 2 ist auf das Auskunftsrecht deshalb nicht anwendbar. Bei missbräuchlicher Ausübung des Auskunftsrechts besteht jedoch kein Anspruch auf Schutz und das öffentliche Organ kann die Herausgabe der Daten gestützt auf das Verbot des Rechtsmissbrauchs verweigern. Die Anforderungen an den Nachweis des Rechtsmissbrauchs sind dabei allerdings streng.

Sinngemäss gelten dieselben Regelungen betreffend nicht fertiggestellte Aufzeichnungen (§ 18 lit. c) sowie die Verfahrensbestimmungen betreffend die Fristen (§ 21) und die Verfügung im Fall einer Verweigerung, Einschränkung oder Aufschiebung der Auskunft (§ 23 lit. a). Nicht anwendbar sind die Bestimmungen zu den Kosten (§ 22), da für Auskunftsgesuche die Sonderregelung in Abs. 3 gilt. Festzuhalten ist, dass beim Auskunftsrecht Dritte nicht gemäss § 20 einbezogen werden (vgl. vorn zu Abs. 4). Dies gilt auch unter geltendem Recht lediglich beim Gesuch um Informationszugang, auch wenn dies aus der gesetzlichen Regelung nicht klar ersichtlich war (§ 26 IDG). So wird in § 20 IDG unter der Marginalie «Informationszugang» der Zugang zu eigenen Personendaten und zu Informationen geregelt und bei der Regelung des Verfahrens unter dem Titel «Verfahren auf Zugang zu Informationen» (§§ 24 ff. IDG) wird nicht differenziert.

§ 44. b. Verfahren

1 Wer Auskunft verlangt, hat sich gegenüber dem zuständigen öffentlichen Organ zu identifizieren.

2 Betreffen eigene Personendaten auch Informationen über Dritte, kann das öffentliche Organ von diesen eine Stellungnahme einholen. Wird eine Stellungnahme eingeholt, ist § 21 Abs. 2 sinngemäss anwendbar.

3 Das öffentliche Organ gewährt die Auskunft innert 30 Tagen seit dem Eingang des Gesuchs. Kann es diese Frist nicht einhalten, teilt es vor deren Ablauf der gesuchstellenden Person unter Angabe der Gründe mit, wann ein Entscheid über das Gesuch vorliegen wird.

4 Wenn es die Auskunft verweigert, einschränkt oder aufschiebt, erlässt es eine Verfügung.

§ 45. Schutz eigener Personendaten

1 Die betroffene Person kann vom öffentlichen Organ verlangen, dass es

a. unrichtige Personendaten berichtigt oder vernichtet,

b. das widerrechtliche Bearbeiten von Personendaten unterlässt,

c. die Folgen des widerrechtlichen Bearbeitens beseitigt,

d. die Widerrechtlichkeit des Bearbeitens feststellt.

2 Wird die Berichtigung oder Vernichtung von Personendaten verlangt und kann weder deren Richtigkeit noch Unrichtigkeit festgestellt werden, bringt das öffentliche Organ den Vermerk an, dass die Richtigkeit bestritten ist, und schränkt die Bearbeitung ein.

Diese Bestimmung wird unverändert aus dem geltenden Recht (§ 21 IDG) übernommen.

§ 46. Sperren von Personendaten

1 Die betroffene Person kann die Bekanntgabe ihrer Personendaten an Private sperren lassen, wenn das öffentliche Organ aufgrund eines Gesetzes oder einer Verordnung Personendaten voraussetzungslos bekannt geben kann.

2 Das öffentliche Organ gibt Personendaten trotz Sperrung bekannt, wenn die Sperrung die gesuchstellende Person an der Verfolgung eigener Rechte gegenüber der betroffenen Person hindert.

Diese Bestimmung entspricht geltendem Recht (§ 22 IDG). Dabei wird die Terminologie in Anlehnung an die Regelung in § 34 (Berechtigung zur Bekanntgabe) angepasst (Gesetz oder Verordnung anstelle von «spezialgesetzliche Bestimmung»). Eine voraussetzungslose Bekanntgabe an Dritte aufgrund einer Verordnung ist bei besonderen Personendaten allerdings nicht denkbar. Zudem kennt auch das geltende Recht entsprechende spezialgesetzliche Bekanntgaben nur in vereinzelten Ausnahmefällen (vgl. etwa §§ 122 und 171a Steuergesetz vom 8. Juni 1997 [LS 631.1]).

Das Verfahren, in dem eine Sperrung erfolgt, richtet sich dabei nach den allgemeinen Bestimmungen des Verwaltungsrechts und muss nicht zusätzlich geregelt werden.

4. Abschnitt: Beauftragte oder Beauftragter für das Öffentlichkeitsprinzip und den Datenschutz

Vorbemerkungen

Die Kantonsrätinnen Judith Anna Stofer und Silvia Rigoni, Zürich, reichten am 21. Januar 2019 eine Motion zur Einführung einer oder eines Öffentlichkeitsbeauftragten ein (KR-Nr. 23/2019). Diese oder dieser sollte gemäss Text der Motion

– für alle Fragen rund um das Öffentlichkeitsprinzip zuständig sein,

– die Anwendung der massgeblichen Vorschriften überwachen und die Behörden bei deren Anwendung beraten,

– Privaten Auskunft über ihre Rechte erteilen,

– Anzeigen und Eingaben von betroffenen Personen behandeln,

– Stellung nehmen zu Gesetzesentwürfen, die für das Öffentlichkeitsprinzip erheblich sind,

– im Konfliktfall zwischen Behörden und Privaten vermitteln.

Mit der Vorlage soll eine Beauftragte oder ein Beauftragter für das Öffentlichkeitprinzip eingeführt werden. Der von den Motionärinnen aufgeführte Aufgabenkatalog einer oder eines Öffentlichkeitsbeauftragten ist indessen sehr weit gefasst. Insbesondere die Zuständigkeit für «alle Fragen rund um das Öffentlichkeitsprinzip» ist sehr offen. In Bezug auf die geforderte Aufgabe der Behandlung von Anzeigen und Eingaben ist zudem zu erwähnen, dass jedes öffentliche Organ verpflichtet ist, Anzeigen und Eingaben von betroffenen Personen zu behandeln. Dies folgt bereits aus Lehre und Rechtsprechung zur Aufsichtsbeschwerde (vgl. Martin Bertschi, in: Kommentar VRG, Vorbemerkungen zu §§ 19 – 28a, N. 61 ff.). Angesichts dieser Rechtslage wurde anlässlich der Revision des IDG vom 25. November 2019 denn auch auf eine entsprechende Regelung bei den Aufgaben der oder des Beauftragten für den Datenschutz verzichtet. Auch im Bereich des Öffentlichkeitsprinzips ist deshalb auf eine entsprechende Aufgabenbestimmung zu verzichten.

Zudem soll auf die Einführung eines förmlichen Schlichtungsverfahrens verzichtet werden. Zwar kennen der Bund und verschiedene Kantone (so etwa der Kanton Solothurn) neben der Information und Unterstützung von Privaten ein förmliches Schlichtungsverfahren. Im Rahmen der Ausarbeitung der Vernehmlassungsvorlage wurde die Einführung eines solchen Verfahrens denn auch geprüft. Letztlich wurden entsprechende Bestimmungen aber verworfen. Förmliche Schlichtungsverfahren verzögern den Informationszugang regelmässig und der Kanton Aargau hat eine entsprechende Regelung wieder aufgehoben. Da der Anspruch auf Informationszugang auf dem Rechtsmittelweg durchgesetzt werden kann, erscheint ein weiteres förmliches Verfahren nicht als notwendig. Zusätzlich ist in Erwägung zu ziehen, dass Parteien, die ein Unterliegen befürchten, ein Schlichtungsverfahren dazu benutzen können, die Beantwortung eines Informationszugangsbegehrens zu verzögern. Auf eine entsprechende Bestimmung soll deshalb verzichtet werden. Festzuhalten ist allerdings, dass die oder der Beauftragte auf informelle Weise zwischen den Parteien bei einem streitigen Informationszugangsgesuch vermitteln kann und soll (vgl. § 48 lit. d). Dabei steht ihr oder ihm ein grosses Ermessen zu.

Die Einführung einer oder eines Beauftragten für den Bereich des Öffentlichkeitsprinzips wird – auch wenn die Aufgaben im Bereich des Öffentlichkeitsprinzips und im Bereich des Datenschutzes durch dieselbe Beauftragte oder denselben Beauftragten ausgeübt werden sollen (siehe hinten § 41 Abs. 1) – mit gewissen Mehrkosten verbunden sein. Es ist damit zu rechnen, dass bei der oder dem Beauftragten mindestens zwei Vollzeitstellen für die Erfüllung dieser Aufgabe geschaffen werden müssen.

Im Sinne einer klareren Gliederung sollen das Organisationsrecht (Titel A.) und die Aufgabenbestimmungen (Titel B. und C.) getrennt werden.

A. Organisation

§ 47. Wahl und Stellung

1 Der Kantonsrat wählt eine Beauftragte oder einen Beauftragten für das Öffentlichkeitsprinzip und den Datenschutz (Beauftragte oder Beauftragter) auf eine Amtsdauer von vier Jahren.

2 Er kann die Beauftragte oder den Beauftragten bei schwerwiegenden Amtspflichtverletzungen oder bei fachlichem Ungenügen auf Antrag seiner Geschäftsleitung vor Ablauf der Amtsdauer abwählen. Für diesen Beschluss ist eine Mehrheit von zwei Dritteln der Mitglieder des Kantonsrates erforderlich.

3 Die oder der Beauftragte ist administrativ der Geschäftsleitung des Kantonsrates zugeordnet.

Abs. 1: Diese Bestimmung wird aus dem geltenden Recht übernommen (§ 30 IDG) und um die neue Funktion des oder der Beauftragten für das Öffentlichkeitsprinzip ergänzt. Es wird damit festgelegt, dass die oder der Beauftragte für den Datenschutz neu auch die Funktion einer bzw. eines Öffentlichkeitsbeauftragten erfüllen soll. Die Zusammenfassung beider Aufgaben bei einer Stelle schafft Synergien, sind doch Fragen des Informationszugangs häufig mit Datenschutzfragen verbunden. Zudem besteht bei der Beauftragten für den Datenschutz bereits eine grosse Kompetenz in Fragen des Informationszugangs, da bereits bis anhin entsprechende Anfragen beantwortet wurden.

Abs. 2: Die Formulierung entspricht der vom Kantonsrat am 12. Dezember 2022 beschlossenen Fassung (ABl 2022-12-16) und soll unver- ändert ins neue Recht übernommen werden.

Abs. 3: Die administrative Stellung wird aus § 30 Abs. 3 Satz 2 IDG weitgehend unverändert übernommen. Gestützt auf den neuen Abs. 2 wird jedoch eine grammatikalische Anpassung nötig. Die Unabhängigkeit wird in einem separaten § 42 geregelt.

§ 48. Unabhängigkeit und Schweigepflicht

1 Die oder der Beauftragte ist unabhängig.

2 Die oder der Beauftragte und ihre bzw. seine Mitarbeitenden sind in Bezug auf Informationen, die sie bei ihrer Tätigkeit zur Kenntnis nehmen, zur gleichen Verschwiegenheit verpflichtet wie das bearbeitende öffentliche Organ.

Abs. 1 entspricht § 30 Abs. 3 Satz 1 IDG. Aufgrund ihrer Bedeutung wird die Bestimmung in einen eigenen Paragrafen verschoben. Die Unabhängigkeit der oder des Beauftragten ist dabei umfassend zu verstehen und mit der Unabhängigkeit der Gerichte vergleichbar. Sie hat zur Folge, dass andere Institutionen des Staates inhaltlich nicht auf die Aus- übung der Tätigkeit der oder des Beauftragten einwirken dürfen, dass sie oder er keinen Weisungen unterliegt und mit ausreichenden Mitteln ausgestattet werden muss.

Abs. 2: Diese Bestimmung wird mit einer geringfügigen sprachlichen Anpassung aus dem geltenden Recht übernommen (§ 38 IDG).

§ 49. Beauftragte in Gemeinden und Organisationen

1 Die Gemeinden und die Organisationen gemäss § 6 Abs. 1 lit. c können eigene Beauftragte bestellen. Sie können für die Aufgaben im Bereich des Öffentlichkeitsprinzips und des Datenschutzes verschiedene Personen bestellen.

2 Sie regeln Wahl und Organisation und stellen sicher, dass die Beauftragten über die notwendigen fachlichen Voraussetzungen verfügen und in der Ausübung ihrer Aufgaben und Befugnisse unabhängig sind. Die oder der kantonale Beauftragte übt die übergeordnete Aufsicht aus.

3 Gemeinden mit mindestens 50 000 Einwohnerinnen und Einwohnern bezeichnen eine Beauftragte oder einen Beauftragten für den Datenschutz.

Abs. 1: Diese Bestimmung wird weitgehend aus dem geltenden Recht übernommen (§ 33 IDG). Eine Anpassung erfolgt, da das IDG neu auch für den Bereich des Öffentlichkeitsprinzips eine Beauftragte oder einen Beauftragten vorsieht.

Die Gemeinden und die Organisationen gemäss § 5 Abs. 1 lit. c können eigene Beauftragte einsetzen, sind aber nicht dazu verpflichtet (Ausnahme gemäss Abs. 3). Es steht ihnen auch frei, nur für einen Bereich (Datenschutz oder Öffentlichkeitsprinzip) eine Beauftragte oder einen Beauftragten zu bestellen. Als Folge der Gemeindeautonomie steht es den Gemeinden überdies frei, für die Aufgaben im Bereich des Öffentlichkeitsprinzips und des Datenschutzes unterschiedliche Personen zu bestellen.

Abs. 2: Diese Bestimmung entspricht inhaltlich dem geltenden Recht. Der Begriff «Oberaufsicht» wird jedoch ersetzt durch den Begriff «übergeordnete Aufsicht», da «Oberaufsicht» für die parlamentarische Oberaufsicht des Kantonsrates reserviert ist. In anderen Gesetzen wird «Aufsicht» und «übergeordnete Aufsicht» verwendet (vgl. z. B. § 27 Selbstbestimmungsgesetz vom 28. Februar 2022 [SLBG; OS 78, 81], in Kraft ab 1. Januar 2024).

Abs. 3: Künftig sollen alle Gemeinden, welche die Schwelle von 50000 Einwohnerinnen und Einwohnern überschreiten, kraft Gesetz verpflichtet sein, eine oder einen Beauftragten für den Datenschutz zu bezeichnen. Ein entsprechender Beschluss des Regierungsrates soll nicht mehr nötig sein. Die Bestimmung dient einerseits der Entlastung der oder des kantonalen Beauftragten, anderseits kann davon ausgegangen werden, dass ab dieser Einwohnerzahl eine Datenschutzstelle – mindestens mit einem Teilpensum – ausgelastet werden kann. In den Städten Zürich und Winterthur, den einzigen Städten des Kantons Zürich, die mehr als 50000 Einwohnerinnen und Einwohner haben, sind die Datenschutzbeauftragten etabliert. Die nächstgrösste Gemeinde, Uster, hatte im Jahr 2022 35723 Einwohnerinnen und Einwohner.

Da die Aufgaben im Bereich des Datenschutzes erheblich umfangreicher sind als diejenigen im Bereich des Öffentlichkeitsprinzips, ist im letzteren Bereich auch nicht damit zu rechnen, dass die Wahrnehmung dieser Aufgaben zu einer Überlastung führen wird. Eine Verpflichtung grosser Gemeinden, auch eine oder einen Beauftragten für das Öffentlichkeitsprinzip zu bezeichnen, kann deshalb unterbleiben.

§ 50. Lohn und Personal

1 Der Lohn der oder des Beauftragten entspricht dem Höchstbetrag der Lohnklasse 27 der kantonalen Angestellten.

2 Das Personalrecht des Kantons findet auf die Beauftragte oder den Beauftragten und ihr bzw. sein Personal Anwendung. Die Bestimmungen dieses Gesetzes bleiben vorbehalten.

3 Die oder der Beauftragte ist für die Anstellungen und Beförderungen ihres bzw. seines Personals im Rahmen des vom Kantonsrat genehmigten Budgets zuständig.

Abs. 1: Diese Bestimmung wird unter Berücksichtigung der Änderung vom 12. Dezember 2022 aus § 30 Abs. 2 IDG übernommen (ABl 2022-12-16). Ob die Einreihung in diese Lohnklasse auch in Anbetracht der neuen Aufgabe im Bereich des Öffentlichkeitsprinzips als angemessen erscheint, ist vom Kantonsrat zu entscheiden.

Die Übergangsbestimmung gemäss der Änderung vom 12. Dezember 2022, die regelt, dass die Änderung erst nach Ablauf der allenfalls laufenden Amtsdauer der oder des Beauftragten für den Datenschutz in Kraft tritt, muss dabei nicht übernommen werden, da die Wiederwahl der Beauftragten auf Ende April 2024 erfolgen wird. Bis zu diesem Zeitpunkt ist nicht mit einer Inkraftsetzung des vorliegenden Gesetzes zu rechnen.

Abs. 2 und 3: Diese Bestimmungen werden unverändert aus dem geltenden Recht übernommen (§ 31 IDG).

§ 51. Rechtsschutz

1 Gegen Anordnungen der oder des Beauftragten in personalrechtlichen oder administrativen Belangen kann bei der Verwaltungsdelegation des Kantonsrates Rekurs erhoben werden.

2 Die Schweigepflicht gemäss § 48 Abs. 2 gilt auch für die Rechtsmittelinstanzen.

3 Im Übrigen richtet sich der Rechtsschutz nach dem Verwaltungsrechtspflegegesetz vom 24. Mai 1959.

§ 39a IDG wird übernommen. Entsprechend der Terminologie im Kantonsratsgesetz wird nur noch von der «Verwaltungsdelegation des Kantonsrates» gesprochen (§ 16 Abs. 1 lit. c und § 24 KRG). Dieselbe Begriffsanpassung wird auch im VRG und im Finanzkontrollgesetz vom 30. Oktober 2000 (LS 614) vorgenommen.

§ 52. Haushaltführung, Controlling und Rechnungslegung

1 Die oder der Beauftragte ist dem Gesetz über Controlling und Rechnungslegung vom 9. Januar 2006 (CRG) und den dazugehörigen Ausführungserlassen des Regierungsrates unterstellt.

2 Sie oder er ist bezüglich Ausgabenkompetenzen dem Regierungsrat gleichgestellt. §§ 19 – 25 CRG gelten sinngemäss.

3 Die oder der Beauftragte führt eine eigene Rechnung. Sie oder er unterbreitet dem Kantonsrat jährlich eine Übersicht über die Entwicklung der Leistungen und Finanzen, einen Budgetentwurf sowie die Rechnung.

Diese Bestimmung wird mit einer geringfügigen Anpassung der Formulierung aus dem geltenden Recht übernommen (§ 32 IDG). Mit der Umformulierung «und den dazugehörigen Ausführungserlassen» wird klargestellt, dass es sich um die Ausführungserlasse zum Gesetz über Controlling und Rechnungslegung vom 9. Januar 2006 (LS 611) handelt.

§ 53. Berichterstattung

1 Die oder der Beauftragte berichtet jährlich über Umfang und Schwerpunkte der Tätigkeiten, über wichtige Feststellungen oder Beurteilungen sowie über die Wirkung des Gesetzes.

2 Der Bericht wird dem Kantonsrat zur Genehmigung vorgelegt und veröffentlicht.

Abs. 1: Die Pflicht zur Berichterstattung sowie deren Umfang und Inhalt wird aus dem geltenden Recht übernommen (§ 39 IDG).

Abs. 2: Neu soll das öffentliche Organ, das von Empfehlungen oder Beurteilungen der oder des Beauftragten betroffen ist, von der oder dem Beauftragten vor der Veröffentlichung des Berichts zur Stellungnahme eingeladen werden. Das öffentliche Organ kann in seiner Stellungnahme insbesondere ausführen, welche Massnahmen geplant, eingeleitet oder bereits getroffen wurden. Die Stellungnahme des öffentlichen Organs ist dem Bericht der oder des Beauftragten anzufügen.

Abs. 3: Bereits heute genehmigt der Kantonsrat den Bericht der oder des Beauftragten. Neu wird dies im Gesetz ausdrücklich festgehalten. Geltendem Recht entspricht auch die Veröffentlichung des Berichts. Da die Bestimmung keine Anwendung auf die Gemeinden findet, wird das Wahlorgan durch «Kantonsrat» ersetzt. Die Gemeinden, die eine oder einen Beauftragten bezeichnen, regeln dessen Wahl und Stellung selbstständig (§ 43). Dazu gehört auch die Berichterstattung. Dabei steht es den Gemeinden frei, die Bestimmungen dieses Gesetzes für sinngemäss anwendbar zu erklären. Die Berichterstattung wird neu jährlich verlangt (anstatt «periodisch»). Dies entspricht der geltenden Übung.

B. Aufgaben im Bereich des Öffentlichkeitsprinzips

Vorbemerkungen

Die Tätigkeit der oder des Beauftragten für das Öffentlichkeitsprinzip und den Datenschutz soll künftig je in einem eigenen Titel geregelt werden (B. Aufgaben im Bereich des Öffentlichkeitsprinzips, § 48; und C. Aufgaben im Bereich des Datenschutzes, §§ 49 ff.; bisher §§ 34 ff. IDG). Die Aufsichtsaufgaben, die bereits unter geltendem Recht bestanden, sollen zudem deutlicher als solche bezeichnet werden. Die umfassenden Kontrollbefugnisse der oder des Beauftragten im Bereich des Datenschutzes berechtigen sie oder ihn dazu, bei öffentlichen Organen und beauftragten Dritten gemäss § 9 ungeachtet einer allfälligen Geheimhaltungspflicht Auskunft über das Bearbeiten von Daten einzuholen, Einsicht in die Daten zu nehmen und sich Bearbeitungen vorführen zu lassen, soweit es für ihre oder seine Tätigkeit notwendig ist (§ 50). Eine derart weitgehende Aufsichtspflicht erweist sich im Bereich des Öffentlichkeitsprinzips nicht als notwendig (vgl. anschliessend zu § 48).

§ 54

Die oder der Beauftragte

a. unterstützt und berät die öffentlichen Organe bei Fragen des Informationszugangs,

b. berät Privatpersonen über ihre Rechte,

c. überwacht den allgemeinen Umgang der öffentlichen Organe mit dem Informationszugang,

d. führt Schlichtungsverfahren zwischen betroffenen Personen und öffentlichen Organen bei Streitigkeiten betreffend den Informationszugang,

e. informiert die Öffentlichkeit über das Öffentlichkeitsprinzip,

f. nimmt Stellung zu Gesetzen und Verordnungen, die das Öffentlichkeitsprinzip betreffen.

Die Aufgaben der oder des Beauftragten im Bereich des Öffentlichkeitsprinzips orientieren sich an den Aufgaben der oder des Beauftragten im Bereich des Datenschutzes. Im Bereich des Öffentlichkeitsprinzips stehen allerdings niederschwellige Beratungsaufgaben im Vordergrund. Eigentliche Aufsichtsinstrumente oder Einwirkungsbefugnisse, wie sie im Bereich des Datenschutzes vorgesehen sind, eignen sich nicht für die Anwendung im Bereich des Öffentlichkeitsprinzips. Dies gründet vorab darin, dass im Bereich des Öffentlichkeitsprinzips der Zugang zu konkreten Informationen im Einzelfall im Vordergrund steht, zu dessen Durchsetzung das verwaltungsrechtliche Verfahren zur Verfügung steht. Allgemeine Prinzipien, deren Einhaltung geprüft werden muss (wie z.B.die Informationssicherheit), stehen hier nicht im Vordergrund. Der oder dem Beauftragten steht im Bereich des Öffentlichkeitsprinzips deshalb nur (aber immerhin) die Überwachung des allgemeinen Umgangs mit dem Informationszugang zu (lit. c). Insbesondere besteht auch kein Bedürfnis, dass die oder der Beauftragte Verfügungen erlassen kann, steht doch den Personen, die von den öffentlichen Organen Informationen verlangen, ein Rechtsmittel gegen ablehnende Verfü- gungen zu. Allenfalls kann die oder der Beauftragte aufsichtsrechtlich vorgehen, d. h., sie oder er kann bei der übergeordneten Behörde eine Aufsichtsbeschwerde einreichen.

Lit. a: Die oder der Beauftragte soll die öffentlichen Organe für die Anliegen des Informationszugangs sensibilisieren und sie bei der Bearbeitung von Einzelfällen beratend unterstützen. Im Rahmen der Beratung gibt die oder der Beauftragte auch Empfehlungen zum Informationszugang ab. In diesem Zusammenhang können auch Weiterbildungen angeboten werden. Dies entspricht § 34 lit. a IDG und im neuen Recht § 49 lit. a für den Bereich des Datenschutzes.

Stellt die oder der Beauftragte Unregelmässigkeiten oder auch nur Verbesserungspotenzial in diesem Bereich fest, kann sie oder er dies dem öffentlichen Organ mitteilen und andere Vorgehensweisen anregen.

Lit. b: Neben der Unterstützung und Beratung der öffentlichen Organe (lit. a) sollen sich auch Private bei der oder dem Beauftragten zu einem konkreten Informationszugangsgesuch beraten lassen können. In streitigen Informationszugangsgesuchen sollen sie auch eine Stellungnahme von der oder dem Beauftragten einholen können. Nach geltendem IDG ist keine Stelle für die Beratung von Privaten und Gemeinden vorgesehen: Weder der Koordinationsstelle IDG (vgl. § 28 IDV) noch der oder dem Beauftragten für den Datenschutz ist diese Aufgabe übertragen. Die Aufgabe entspricht der heutigen Beratung im Bereich Datenschutz (§ 34 lit. b IDG) und wird von der Beauftragten für den Datenschutz bereits heute wahrgenommen.

Lit. c: Bei der Überwachung gemäss lit. c handelt es sich um eine niederschwellige Überwachung des allgemeinen Umgangs der öffentlichen Organe mit dem Informationszugangsrecht. Das Öffentlichkeitsprinzip besteht einerseits aus der aktiven Information durch die öffentlichen Organe und anderseits aus dem individuellen Recht auf Zugang zu Informationen. Die Überwachung soll dabei auf den Umgang mit dem Informationszugangsrecht, das sich auf Art. 17 KV stützt, beschränkt werden. Demgegenüber eignet sich die aktive Information der öffentlichen Organe nicht für eine Überwachung durch die oder den Beauftragten. Eine Beurteilung der Informationstätigkeit der öffentlichen Organe würde eine Überwachung der Tätigkeit der öffentlichen Organe voraussetzen, die von der oder dem Beauftragten angesichts des Umfangs kaum geleistet werden könnte und angesichts der politischen Komponente auch nicht Sache der oder des Beauftragten sein kann.

Zum allgemeinen Umgang der öffentlichen Organe mit dem Informationszugang kann die oder der Beauftragte für das Öffentlichkeitsprinzip Empfehlungen abgeben. Sie oder er wird im Rahmen der Überwachung jedoch nicht in Einzelfälle eingreifen oder materiell dazu Stellung nehmen. Einzelfälle werden im Rahmen des konkreten Verwaltungsverfahrens abgehandelt. Vorbehalten bleibt die Vermittlung gemäss lit. d.

Lit. d: Die Vermittlung entspricht nicht einem formellen Schlichtungsverfahren (vgl. vorn, Vorbemerkungen). Das Vermittlungsverfahren soll – wie dies bereits heute im Bereich des Datenschutzes der Fall ist – ein formloses Verfahren sein (§ 34 lit. d IDG, § 49 lit. d). Eine formelle Regelung des Verfahrens erscheint nicht als notwendig. Grundsätzlich kann eine Person oder ein öffentliches Organ in jeder Frage, die in den Zuständigkeitsbereich der oder des Öffentlichkeitsbeauftragten fällt, eine Vermittlung verlangen. Die Person oder das Organ kann dabei auch formlos an die oder den Beauftragten gelangen. Die Fälle, in denen ein Vermittlungsgesuch gestellt werden kann, müssen somit nicht besonders aufgeführt werden. Festzuhalten ist, dass eine laufende Vermittlung als Begründung für die Nichteinhaltung der Ordnungsfrist gemäss § 21 ausreicht.

Würde demgegenüber ein formelles Schlichtungsverfahren eingeführt, müsste vorerst entschieden werden, in welchem Zeitpunkt ein solches stattfinden soll. Sinnvoll scheint ein Schlichtungsverfahren lediglich dann, wenn das öffentliche Organ dem Informationszugangsgesuch nicht oder nur teilweise stattgeben will. Um eine entsprechende Einschätzung vornehmen zu können, muss das öffentliche Organ aber wohl sämtliche Abklärungen treffen. Zudem muss es der betroffenen Person die Gründe für seinen Entscheid mitteilen (nur dann kann diese Person darüber entscheiden, ob sie die Zugangsverweigerung akzeptieren will oder nicht). Im Geschäftsjahr 2021 führte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte 149 Verfahren (edoeb.admin.ch/dam/edoeb/de/ Dokumente/deredoeb/29_Taetigkeitsbericht_2021-2022_DE.pdf). Von diesen konnten 44% einvernehmlich geregelt werden. Aus dem Bericht geht jedoch auch hervor, dass die Zielgrösse der Erledigung innert 30 Tagen nicht erreicht werden konnte und das Verfahren erhebliche Mittel beansprucht. In der kantonalen Verwaltung wurden 2022 212 formelle Gesuche um Informationszugang gestützt auf das IDG eingereicht (2021: 237; 2020: 231). In 109 Fällen (2021: 140; 2020: 126) wurde der Zugang vollständig und in 27 Fällen (2021: 27; 2020: 15) teilweise gewährt. Abgewiesen wurden 48 Gesuche (2021: 59; 2020: 75). 26 Fälle wurden anderweitig geregelt (2021: 23; 2020: 12; siehe Statistik der IDG-Gesuche, welche die kantonale Verwaltung betreffen: zh.ch/de/politik-staat/kanton/kantonale-verwaltung/oeffentlichkeitsprinzip.html). Beim Verwaltungsgericht gingen 2021 14 und 2020 15 Beschwerden im Bereich des Informationszugangs ein (vgl. Rechenschaftsberichte 2021 und 2020 des Verwaltungsgerichts). Die kantonale Verwaltung lehnt demnach lediglich rund 20% der Gesuche vollständig ab. Rund 10% dieser Entscheide werden an das Verwaltungsgericht weitergezogen. Eine erhebliche Entlastung des Verwaltungsgerichts, wie dies als Ziel in der Vernehmlassung geltend gemacht wurde, könnte mit einem Schlichtungsverfahren deshalb kaum erreicht werden. Anderseits würde das Vermittlungsverfahren für die Beauftragte oder den Beauftragten und die kantonale Verwaltung einen erheblichen Mehraufwand bedeuten: Die oder der Beauftragte müsste die Verfahren führen, und die Verwaltung müsste die (teilweise) abgewiesenen Gesuche bzw. die Gesuche, welche entgegen dem Begehren der betroffenen Dritten gewährt werden sollen, zuerst summarisch begründen und danach zusätzlich noch (begründet) verfü- gen. Vermittlungsverfahren wären im Kanton Zürich 2022 in rund 75 Fällen denkbar gewesen (2021: 85; 2020: 90), wobei noch Verfahren der übrigen öffentlichen Organe hinzukämen. Die oder der Beauftragte würde zur Führung der Schlichtungsverfahren, bei denen unter Umständen mündliche Verhandlungen geführt werden müssen, erhebliche zusätzliche Mittel benötigen. Es kann heute kaum abgeschätzt werden wie hoch die dafür notwendigen Kosten wären. Auszugehen ist jedoch von rund zwei Vollzeitstellen (Fr. 350 000 jährlich).

Lit. e: Neben der Beratung der öffentlichen Organe fällt auch die allgemeine Information der Öffentlichkeit zu Fragen des Öffentlichkeitsprinzips, insbesondere des Informationszugangs, in den Aufgabenbereich der oder des Beauftragten. Dazu können Informationen auf der Internetseite, Merkblätter oder allenfalls auch die Zurverfügungstellung von Formularen für den Informationszugang gehören. Diese Aufgabe entspricht § 34 lit. e IDG bzw. nach neuem Recht § 49 lit. e für den Bereich des Datenschutzes.

Lit. f: Im Gegensatz zum Datenschutzbereich soll die oder der Beauftragte im Bereich des Öffentlichkeitsprinzips nur zu Rechtsgrundlagen, mithin Gesetzen und Verordnungen, Stellung nehmen. Nicht erwähnt werden die «Vorhaben», da diese – insbesondere im Bereich der Digitalisierung – vorwiegend den Datenschutz und kaum den Zugang zu Informationen im Einzelfall betreffen. Lit. f beschränkt sich deshalb im Wesentlichen auf neu zu erlassende Gesetze und Verordnungen. In Einzelfällen ist aber auch eine Beurteilung von bestehenden Rechtsgrundlagen denkbar, etwa wenn solche einen Mangel aufweisen.

C. Aufgaben im Bereich des Datenschutzes

§ 55. Allgemeine Aufgaben

Die oder der Beauftragte

a. unterstützt und berät die öffentlichen Organe bei Fragen des Datenschutzes,

b. berät Privatpersonen über ihre Rechte,

c. überwacht die Anwendung der rechtlichen Bestimmungen über den Datenschutz,

d. vermittelt zwischen betroffenen Personen und öffentlichen Organen bei Streitigkeiten betreffend den Datenschutz,

e. informiert die Öffentlichkeit über den Datenschutz,

f. nimmt Stellung zu Gesetzen und Verordnungen sowie Vorhaben, die den Datenschutz betreffen,

g. bietet Aus- und Weiterbildungen zu Fragen des Datenschutzes an.

Diese Bestimmung wird unverändert aus § 34 IDG übernommen. Lit. c: die Überwachung der Anwendung der rechtlichen Bestimmungen umfasst auch Verwaltungsverordnungen und ist deshalb weiter gefasst als lit. f.

Lit. f: Im Rahmen der Evaluation wurde der Wunsch geäussert, dass die oder der Beauftragte über alle Gesetzgebungsprojekte und Vernehmlassungsverfahren zu Bundesvorhaben informiert wird. Diese Forderung geht zu weit. Es kann nicht Aufgabe der kantonalen Verwaltung sein, die oder den Beauftragten über sämtliche Vorhaben des Bundes zu informieren. Dies gilt insbesondere auch, weil die entsprechenden Informationen leicht erhältlich sind (etwa mit dem Abonnieren von Newsletter des Bundes). Gestützt auf lit. f ist jedoch ein Einbezug bei Bundesvorlagen immer dann nötig, wenn die Vorlage einen Bezug zum Datenschutz aufweist. Mit § 48 lit. f soll zudem eine entsprechende Norm für den Bereich des Öffentlichkeitsprinzips geschaffen werden. Bei entsprechenden Vernehmlassungen des Bundes ist die oder der Beauftragte folglich weiterhin einzubeziehen. Die mit der Erarbeitung der Vernehmlassung befasste Direktion muss die oder den Beauftragten – wie die Direktionen und die Staatskanzlei (vgl. § 39 Verordnung über die Organisation des Regierungsrates und die kantonale Verwaltung von 18. Juli 2007 [LS 172.11]) – zum Mitbericht einladen. Der Einbezug der oder des Beauftragten bei Vernehmlassungsverfahren zu kantonalen Vorlagen mit einem Bezug zum Datenschutz ist gestützt auf § 49 lit. f ebenfalls zwingend und in allgemeinerer Form auch in § 15 der Rechtsetzungsverordnung vom 29. November 2000 (LS 172.16) geregelt. Damit ist der Einbezug der oder des Beauftragten sichergestellt. Der Vollständigkeit halber ist festzuhalten, dass die Vorlage, wie das geltende Recht, eine Verpflichtung zur Datenschutzfolgenabschätzung und zur Vorabkontrolle enthält (§ 32; § 10 IDG). Dass auch tatsächlich entsprechend vorgegangen wird, wird zudem dadurch sichergestellt, dass kantonale Rechtsetzungsprojekte nach der Projektmanagementmethode «Hermes» durchgeführt werden und im Rahmen dieses Prozesses bereits früh eine Datenschutzfolgenabschätzung durchzuführen ist. Für Projekte, in denen datenschutzrechtlich relevante Fragen zu beurteilen sind und die der oder dem Beauftragten nicht bereits im Rahmen einer Vorabkontrolle vorgelegt werden müssen, wird diese oder dieser im Vernehmlassungsverfahren einbezogen. Der Einbezug der oder des Beauftragten ist damit bereits nach geltendem Recht ausreichend sichergestellt und eine Änderung der Bestimmung erscheint nicht als notwendig.

Aufsicht

§ 56. a. im Allgemeinen

1 Die oder der Beauftragte beaufsichtigt die Bearbeitung von Personendaten durch die öffentlichen Organe, auch wenn diese am wirtschaftlichen Wettbewerb teilnehmen und dabei privatrechtlich handeln.

2 Gegenüber dem Kantonsrat und den Gerichten hat die oder der Beauftragte keine Aufsichtsbefugnisse.

Abs. 1: Die oder der Beauftragte ist ausdrücklich als Aufsichtsbehörde zu etablieren. Ihr bzw. ihm kommt diese Funktion bereits nach geltendem Recht zu, insbesondere als Folge der Rechtsänderungen im Zuge der Anpassung an die europäischen Rechtsgrundlagen vom 25. November 2019. Ausdrücklich festzuhalten ist, dass die oder der Beauftragte auch die Aufsicht gemäss § 2 Abs. 2 ausübt, also soweit öffentliche Organe am wirtschaftlichen Wettbewerb teilnehmen und dabei privatrechtlich handeln. In diesen Fällen wendet sie oder er jedoch das Bundesgesetz über den Datenschutz an. Dies wurde bereits anlässlich der Revision vom 25. November 2019 so festgelegt.

Der oder dem Beauftragten sollen auch künftig keine Aufsichtsbefugnisse gegenüber dem Kantonsrat und den Gerichten zustehen. Inhaltlich entspricht diese Regelung geltendem Recht, das in verschiedenen Bestimmungen geregelte Befugnisse von der Aufsicht gegenüber dem Kantonsrat und den Gerichten ausnimmt (§§ 2a Abs. 2 und 2b Abs. 3 in Verbindung mit §§ 10 Abs. 2, 12a Abs. 1 und 2, 34 lit. c, d und f sowie 35 – 36a IDG).

Aus der Systematik folgt, dass die Ausnahme für jegliche Aufsichtstätigkeit gilt, also auch für die Kontrollbefugnisse (§ 51), die Empfehlungen (§ 52) und die Verwaltungsmassnahmen (§ 53).

§ 57. b. Kontrollbefugnisse

1 Die oder der Beauftragte kann bei öffentlichen Organen und bei Dritten gemäss § 10 Auskunft über das Bearbeiten von Daten einholen, Einsicht in die Daten nehmen und sich Bearbeitungen vorführen lassen.

2 Die öffentlichen Organe und die Dritten wirken an der Feststellung des Sachverhaltes mit.

3 Geheimhaltungspflichten gelten gegenüber der oder dem Beauftragten nicht.

Diese Bestimmung wird inhaltlich unverändert aus dem geltenden Recht übernommen (§ 35 IDG). Zur besseren Verständlichkeit wird der Vorbehalt der Geheimhaltungspflicht jedoch in einem eigenen Absatz verschoben (Abs. 3).

§ 58. c. Empfehlungen

1 Stellt die oder der Beauftragte eine Verletzung von rechtlichen Bestimmungen über den Datenschutz fest, empfiehlt sie bzw. er dem öffentlichen Organ, welche Massnahmen zu ergreifen sind.

2 Folgt das öffentliche Organ einer Empfehlung nicht, teilt es dies der oder dem Beauftragten unter Angabe der Gründe mit.

Diese Bestimmung wird weitestgehend unverändert aus dem geltenden Recht übernommen (§ 36 IDG). Klargestellt wird gegenüber dem bisherigen Recht, dass es sich um «rechtliche» Bestimmungen handelt.

§ 59. d. Verwaltungsmassnahmen

1 Folgt das öffentliche Organ bei einer erheblichen Verletzung von rechtlichen Bestimmungen über den Datenschutz einer Empfehlung nicht, kann die oder der Beauftragte verfügen, dass

a. die Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und

b. die Personendaten ganz oder teilweise gelöscht oder vernichtet werden.

2 Das öffentliche Organ kann Verfügungen der oder des Beauftragten mit Beschwerde beim Verwaltungsgericht anfechten. Parteien sind die oder der Beauftragte und das betroffene öffentliche Organ.

Abs. 1 und 2 dieser Bestimmung werden weitestgehend unverändert aus dem geltenden Recht übernommen (§ 36a IDG). Ergänzt wird zur Vereinheitlichung «rechtlich» vor Bestimmungen.

§ 60. Zusammenarbeit

Die oder der Beauftragte arbeitet mit den Organen der Gemeinden, der anderen Kantone, des Bundes und des Auslandes, welche die gleichen Aufgaben erfüllen, zusammen.

Diese Bestimmung wird aus dem geltenden Recht übernommen (§ 37 IDG), allerdings soll die Zusammenarbeit der oder des Beauftragten nicht mehr auf die Kontrollaufgabe beschränkt werden. Zudem wird ausdrücklich erwähnt, dass die Zusammenarbeit auch mit den Organen der Gemeinden erfolgen soll.

5. Abschnitt: Schlussbestimmungen

§ 61. Strafbestimmung

1 Wer als Dritte oder Dritter gemäss § 10 ohne ausdrückliche Ermächtigung des auftraggebenden öffentlichen Organs Personendaten für sich oder andere verwendet oder anderen bekannt gibt, wird mit Busse bestraft.

2 Die Untersuchung und Beurteilung von Widerhandlungen obliegt den Statthalterämtern.

Abs. 1: Diese Bestimmung wird inhaltlich unverändert aus dem geltenden Recht übernommen (§ 40 IDG). Festzuhalten ist, dass mit der als Nebenänderung zum Bundesgesetz vom 18. Dezember 2020 über die Informationssicherheit beim Bund (SR 128) beschlossenen Änderung von Art. 320 StGB neu auch Hilfspersonen gemäss Art. 320 StGB bestraft werden können. Diese Bestimmung deckt den bisher in § 40 IDG geregelten Sachverhalt folglich nicht völlig ab: § 55 stellt auch die Verwendung der Personendaten für sich selbst oder andere unter Strafe, wogegen Art. 320 StGB lediglich die «Offenbarung» unter Strafe stellt. Da die Bestimmung zudem noch nicht in Kraft ist, ist § 40 IDG im bisherigen Umfang beizubehalten. Tritt die geänderte Fassung von Art. 320 StGB vor dem vorliegenden Gesetz in Kraft, könnte der Passus «oder anderen bekannt gibt» allerdings aus dem Gesetzestext entfernt werden.

Abs. 2 legt fest, dass für die Untersuchung und Beurteilung von Widerhandlugen die Statthalterämter zuständig sind. Damit wird eine Übertragung der Zuständigkeit auf Gemeindebehörden ausgeschlossen (vgl. § 89 Abs. 2 GOG).

§ 62. Aufhebung und Änderung des bisherigen Rechts

1 Das Gesetz über die Information und den Datenschutz vom 12. Februar 2007 wird aufgehoben.

2 Das bisherige Recht wird gemäss Anhang geändert.

—

II. Dieses Gesetz untersteht dem fakultativen Referendum.

III. Im Falle eines Referendums wird der Beleuchtende Bericht vom Regierungsrat verfasst. Die Minderheitsmeinung des Kantonsrates wird von seiner Geschäftsleitung verfasst.

IV. Es wird zur Kenntnis genommen, dass die Motion KR-Nr. 23/2019 betreffend das Öffentlichkeitsprinzip stärken erledigt ist.

V. Das Postulat KR-Nr. 9/2022 betreffend Transparenz über den Einsatz von künstlicher Intelligenz in der Verwaltung wird als erledigt abgeschrieben.

Da eine Totalrevision erfolgt, ist das bisherige Gesetz aufzuheben.

Die Änderung des bisherigen Rechts erfolgt im Anhang.

Zürich, 15. Januar 2026

Anhang

- 1. Gemeindegesetz vom 20. April 2015 (LS 131.1)

Die Verweisungen auf das IDG sind anzupassen.

§ 8 muss gestützt auf die andere Umschreibung der Interessenabwä- gung in § 11 anders formuliert werden.

- 2. Gesetz über das Meldewesen und die Einwohnerregister vom 11. Mai 2015 (LS 142.1)

Die Änderung enthält lediglich Anpassungen von Verweisungen. Da es sich in § 25 Abs. 1 lediglich um besondere Personendaten handeln kann, ist die Verweisung genauer zu fassen (§ 23 Abs. 4 lit. a).

- 3. Haftungsgesetz vom 14. September 1969 (LS 170.1)

Die Änderung enthält lediglich Anpassungen von Verweisungen.

- 4. Publikationsgesetz vom 30. November 2015 (LS 170.5)

Die Änderung enthält lediglich Anpassungen von Verweisungen.

- 5. Archivgesetz vom 24. September 1995 (LS 170.6)

1Vorbemerkung

Verschiedentlich wurde geäussert, in § 11a Abs. 1 lit. e des Archivgesetzes fehle der Hinweis, dass eine Interessenabwägung notwendig sei. Eine entsprechende Ergänzung ist verzichtbar, da die Pflicht zur Interessenabwägung bereits im geltenden Wortlaut enthalten ist, wenn auch mit einer etwas anderen Wortwahl als im IDG: Die Interessen müssen «besonders» schützenswert sein. Dies bedeutet nichts anderes, als dass sie «schützenswerter» als diejenigen der betroffenen Person sein müssen. Um dies entscheiden zu können, ist eine Interessenabwägung zwingend, weshalb sich eine Ergänzung erübrigt.

§ 8. Aktenübernahme durch die Archive

Die Anbietungspflicht wird neu abschliessend in § 8 E‑IDG geregelt.

§ 10. Aktenzugang

Neben der Anpassung der Verweisung (Verzicht auf das Datum bei der Verweisung auf das IDG) wird die Verweisung auf die übrigen Bestimmungen (gemeint sind diejenigen des Archivgesetzes) deutlicher gefasst.

- 6. Kantonsratsgesetz vom 25. März 2019 (LS 171.1)

Die Änderungen enthalten lediglich Anpassungen von Verweisungen und Begriffen. Diese Änderungen können mit einer allgemeinen Anweisung erfolgen.

- 7. Gesetz über die Organisation des Regierungsrates und der kantonalen Verwaltung vom 6. Juni 2005 (LS 172.1)

§ 44a. Datenkatalog Vorbemerkungen

Ein gemeinsamer Datenkatalog enthält Metadaten (z. B. Titel, Beschreibung, Thema, Bearbeitungszweck, rechtliche Grundlage oder Zugriffsberechtigung). Aus ihm wird unter anderem ersichtlich, welche Informationsbestände innerhalb der kantonalen Verwaltung geführt werden, wer dafür verantwortlich ist, auf welche gesetzlichen Grundlagen sich die einzelnen Informationsbestände stützen und wer darauf zugriffsberechtigt ist. Der Datenkatalog umfasst offene Daten (OGD), geteilte Daten (Daten, auf die gestützt auf eine Rechtsgrundlage Zugriffsberechtigungen anderer Stellen bestehen) und geschlossene Daten (Daten, die nur der Stelle zur Verfügung stehen, die sie bearbeitet). Damit bietet der Datenkatalog die Grundlage für die Mehrfachnutzung von Daten und die Harmonisierung der Referenzdaten. Der Datenkatalog ist für die Digitalisierung von grosser Bedeutung, da er die Ermittlung der inhaltlich adäquaten, aktuellen Datenquelle ermöglicht. Ein richtiger und sorgfältiger Umgang der einzelnen öffentlichen Organe mit Daten ist zudem nur denkbar, wenn diese eine Übersicht über die von ihnen bearbeiteten Daten haben. Die Führung eines gemeinsamen Datenkatalogs dient auch diesem Zweck (vgl. auch RRB Nrn. 1362/2021 und 1331/2022).

Zudem dient ein gemeinsamer Datenkatalog der Transparenz: Die Bevölkerung kann sich anhand des Datenkatalogs einen Überblick verschaffen, welche Informationen zur freien Nutzung vorhanden sind und bei welchen Stellen ihre Daten bearbeitet werden. Der Katalog dient der Bevölkerung also auch bei der Verwirklichung des Zugangs zu den eigenen Personendaten sowie beim Informationszugang. Zudem ist der Datenkatalog von Vorteil für die Ausübung von Amtshilfe bzw. den Datenaustausch innerhalb der Verwaltung und erleichtert überdies die Führung des Verzeichnisses der Informationsbestände gemäss § 13 Abs. 2 E‑IDG sowie die Abschätzung möglicher Gefahren bei der Datenbearbeitung.

Die Verwendung des Begriffs «Informationsbestände» ist, wie bei den Erläuterungen zu § 13 Abs. 2 E‑IDG ausgeführt, im Rahmen der Anpassung der Verordnung zu überprüfen und allenfalls anzupassen.

Die kantonale Verwaltung wird zur Führung eines gemeinsamen Datenkatalogs über alle strukturiert vorliegenden Informationsbestände verpflichtet. Alle «strukturierten Informationsbestände» liegen heute elektronisch vor.

Aus dem Datenkatalog soll zudem ersichtlich sein, in welchen Informationsbeständen Personendaten bearbeitet werden (z. B. Name, Vorname, Zivilstand). Nicht aus dem Datenkatalog ersichtlich sind dabei die Daten einzelner Personen (z. B. Muster, Felix, verheiratet). Der Datenkatalog enthält nur die Beschreibungen (Metadaten) der strukturiert vorliegenden Informationsbestände.

Die konkreten Anforderungen an den Datenkatalog wie ein Mindeststandard der Metadaten, Aktualisierungsrythmus usw. müssen festgelegt werden. Diese Anforderungen gesetzlich festzuhalten, ist nicht praktikabel, weshalb die Aufgabe dem Regierungsrat zu übertragen ist.

§ 44b. Offene Behördendaten

Abs. 1: Im Gegensatz zu den übrigen öffentlichen Organen soll die kantonale Verwaltung zur Veröffentlichung von offenen Behördendaten verpflichtet sein. Wie in § 15 Abs. 1 E‑IDG festgelegt, setzt dies voraus, dass die Informationen elektronisch gespeichert sind. Eine Verpflichtung zur besonderen elektronischen Erfassung und zur Erstellung neuer Datensätze besteht folglich nicht. Die kantonale Verwaltung ist – wie beim Informationszugangsrecht (§ 20 Abs. 1 IDG; § 17 Abs. 1 E‑IDG) – auch nicht verpflichtet, bestimmte Informationen, die sie möglicherweise in Erfahrung bringen oder ermitteln kann, auch als offene Behördendaten zu veröffentlichen. Vielmehr wird die kantonale Verwaltung «nur» dazu verpflichtet, bestehende geeignete Informationen als offene Behördendaten zu veröffentlichen. Dabei sind nicht sämtliche elektronisch gespeicherten Informationen für eine Publikation als offene Behördendaten geeignet. So umfasst die Bereitstellung von offenen Behördendaten insbesondere keine Veröffentlichung von Dossiers oder einzelner darin enthaltener Dokumente. Vielmehr sollen Listen, Tabellen oder Datenbanken, die im Rahmen des gesetzlich umschriebenen Auftrags eines öffentlichen Organs ohnehin erstellt werden, bereits elektronisch gespeichert sind und in geordneten Sammlungen strukturiert vorliegen, in einer maschinenlesbaren Form veröffentlicht werden (vgl. zu § 5 Abs. 5 E‑IDG).

Abs. 2: Der Regierungsrat soll für eine einheitliche und praktikable Handhabung Kriterien für die Veröffentlichung regeln. Dabei ist zu berücksichtigen, dass sich vorhandene Datensätze in Bezug auf Qualität, Aktualität und erwartetem Interesse mitunter stark unterscheiden. Nicht jeder Datensatz ist für die Öffentlichkeit von gleichem Interesse. Nach den vorgegebenen Kriterien kann die Veröffentlichung auch priorisiert werden mit der Möglichkeit, tief priorisierte Datensätze nur auf Anfrage hin zu veröffentlichen. Dabei kann, entsprechend der Regelung in Art. 10 EMBAG, eine Veröffentlichung unterbleiben, wenn diese in Anbetracht der notwendigen sachlichen und personellen Mittel als unverhältnismässig erscheint.

Der Regierungsrat kann sodann festlegen, inwieweit Datensätze mit schutzwürdigem Inhalt aufbereitet werden müssen, damit sie als OGD veröffentlicht werden können. Zu denken ist etwa an die Anonymisierung von Personendaten, die Zusammenfassung von Informationen (Aggregation) oder das Weglassen von Inhalten. Der Regierungsrat muss bei der Festlegung der Kriterien insbesondere das Verhältnis zwischen dem Aufwand für die Veröffentlichung und dem Nutzen der Informationen für Gesellschaft, Umwelt und Wirtschaft berücksichtigen. Sowohl die Stadt Zürich (vgl. Art. 11 Reglement über offene Verwaltungsdaten) als auch der Bund (vgl. Art. 10 EMBAG) kennen entsprechende Regelungen.

Kriterien sind auch festzulegen für die Veröffentlichung von bereits vor Inkrafttreten dieser Bestimmung vorhandenen Informationen. Zum Teil kann deren nachträgliche Bereitstellung als offene Behördendaten durchaus sinnvoll sein. Angesichts der Menge an vorhandenen Informationen kann eine Bereitstellung jedoch nicht für sämtliche bereits vor Inkrafttreten vorhandenen Informationen erfolgen, würde dies doch zu einem übermässigen Verwaltungsaufwand führen. Da die Veröffentlichung gewisse Anforderungen an die Verwaltungsstellen stellt und allenfalls Schulungsaufwand nötig ist, wird für die Erfassung bereits vorhandener Informationen, soweit diese die vom Regierungsrat festzulegenden Kriterien erfüllen, eine Übergangsfrist von fünf Jahren für die Veröffentlichung festgelegt (vgl. Übergangsbestimmung). Damit ausreichend Zeit für die Vorbereitung zur Verfügung steht, muss die Verordnung bei der Inkraftsetzung bereits vorliegen. Um die Inkraftsetzung des Erlasses nicht unnötig zu verzögern, könnte diese Bestimmung allenfalls später in Kraft gesetzt werden.

Nicht geregelt werden müssen die technischen Anforderungen. Diese bestimmten sich weitgehend nach dem jeweiligen Stand der Technik.

Die Bereitstellung von offenen Behördendaten in maschinenlesbarer Form ist von den zuständigen Verwaltungsstellen im Rahmen ihrer normalen Aufgabenerfüllung zu leisten. Zu berücksichtigen ist dabei auch, dass der dafür notwendige Aufwand dadurch kompensiert wird, dass die wiederholte Bereitstellung bei erneuten Anfragen und die Beratung bei einfachen Anfragen entfällt. Zudem rechtfertigt sich ein allenfalls etwas grösserer Aufwand durch die vereinfachte Zugänglichkeit, die auch für die Verwaltungsstellen von Vorteil ist. Sodann werden bereits heute für Verwaltungsmitarbeitende unentgeltliche Schulungen von der Fach- und Koordinationsstelle OGD angeboten.

Durchgesetzt werden kann die Verpflichtung zur Veröffentlichung von offenen Behördendaten grundsätzlich mit einem Gesuch um Informationszugang. Dieses kann – wenn die Informationen die an OGD gestellten Anforderungen erfüllen (§ 5 Abs. 5 E‑IDG) – mit dem Ersuchen um Veröffentlichung in maschinenlesbarer Form verbunden werden.

§ 44c. Datenschutzberatung

Mit der Änderung vom 25. November 2019 (Vorlage 5471) wurden das IDG und weitere Gesetze an die Richtlinie (EU) 2016/680 angepasst. Dabei wurden im Bereich der Strafverfolgung und des Strafvollzugs Datenschutzberatende eingesetzt. Deren Aufgabe ist die Beratung und Unterstützung von Mitarbeitenden der entsprechenden Verwaltungseinheiten bei der Bearbeitung von Personendaten und insbesondere auch die Vornahme von Datenschutzvorabklärungen für die Verwaltungseinheiten. Zudem sollen die Datenschutzberatenden als Schnittstelle zu der oder dem Beauftragten wirken. Im Verlaufe der Beratung der Vorlage 5471 stellte eine von Geschäftsleitung und Geschäftsprüfungskommission des Kantonsrates gebildete Subkommission den Antrag, es seien auch in den Direktionen des Regierungsrates und der Staatskanzlei Datenschutzberatende zu bestellen. Dieses Anliegen wurde von der zuständigen Kommission des Kantonsrates aus zeitlichen Gründen nicht aufgenommen, weshalb es im Rahmen dieser Vorlage bearbeitet wird.

Da das Anliegen auf die Organisation der kantonalen Verwaltung zielt, ist es nicht im IDG umzusetzen, sondern wird mit einer Änderung des Gesetzes über die Organisation des Regierungsrates und der kantonalen Verwaltung verwirklicht. Darüber hinaus sollen die Datenschutzberatenden insbesondere auch die Führung der Verzeichnisse gemäss § 13 Abs. 2 und 3 E‑IDG überwachen. Den Direktionen steht es frei, die für die Datenschutzberatung zuständigen Personen auch mit Aufgaben im Bereich des Öffentlichkeitsprinzips zu betrauen. Eine Verpflichtung der Direktionen, eine zentrale Ansprechperson für den Bereich des Öffentlichkeitsprinzips zu bezeichnen, besteht bereits heute und soll entsprechend weitergeführt werden (vgl. § 28 Abs. 3 IDV).

Lit. a: Die Aufgaben sind analog den Aufgaben der Datenschutzberatenden bei den Strafverfolgungs- und Strafvollzugsbehörden geregelt.

Lit. b: Ein wichtiger Teil der Aufgaben ist die Unterstützung der Verwaltungseinheiten bei der Vornahme von Datenschutzfolgenabschätzungen in den Direktionen und der Staatskanzlei: Die Datenschutzfolgenabschätzungen sollen primär von den zuständigen Verwaltungseinheiten erstellt werden, die mit den einschlägigen Rechtsgrundlagen sowie den Prozessen der jeweiligen Verwaltungseinheit betraut sind. Die für die Datenschutzberatung zuständige Person soll sie dabei aber unterstützen.

Lit. c: Die Datenschutzberatenden sollen die Schnittstelle zu der oder dem Beauftragten für den Datenschutz sein und mit dieser bzw. diesem einen Austausch über datenschutzrechtliche Anliegen führen.

Übergangsbestimmung

Der kantonalen Verwaltung soll zur Publikation ihrer offenen Behördendaten eine Frist von fünf Jahren zur Verfügung stehen. Da für die Regelung der OGD eine Verordnung des Regierungsrates notwendig sein wird, kann zusätzlich zu dieser Bestimmung eine gestaffelte Inkraftsetzung vorgesehen werden. § 44b könnte demnach erst nach Vorliegen der Verordnung in Kraft gesetzt werden.

Die Übergangsfrist ist insbesondere nötig, soweit bereits vorhandene Informationen, gemäss der vom Regierungsrat in der Verordnung festgelegten Kriterien, als OGD bereitgestellt werden sollen.

- 8. Verwaltungsrechtspflegegesetz vom 24. Mai 1959 (LS 175.2)

In § 19b ist eine Begriffsanpassung vorzunehmen.
In lit. g (zum Begriff der Verwaltungsdelegation vgl. Bemerkungen zu § 45 E‑IDG) sowie in den Ziff. 1, 2 und 4 werden die Bezeichnungen angepasst.

Vorbemerkungen

Zur Frage der Aktenherausgabe an die Ombudsperson äusserten die Ombudsperson und der damalige Beauftragte für den Datenschutz – gestützt auf einen konkreten Einzelfall – unterschiedliche Rechtsauffassungen. Die Ombudsperson stellte sich auf den Standpunkt, von ihr verlangte Akten müssten ohne zusätzliche Interessenabwägung gemäss § 23 IDG herausgegeben werden, da gesetzliche Spezialbestimmungen die Anwendung der allgemeineren Bestimmungen des IDG über die Herausgabe von Informationen (auch wenn sie Personendaten enthalten) ausschlössen. Diese Auffassung vertreten im Wesentlichen auch Tobias Jaag/Markus Rüssli, Ombudsverfahren und Datenschutz, in: SJZ 112/2016, S. 89 ff. Demgegenüber stellte sich der damalige Beauftragte für den Datenschutz auf den Standpunkt, jede Bekanntgabe von Personendaten, auch wenn sie gestützt auf §§ 16 Abs. 1 lit. a oder 17 Abs. 1 lit. a IDG erfolge, stehe unter dem Vorbehalt, dass bei einem überwiegenden öffentlichen oder privaten Interesse oder einer entgegenstehenden gesetzlichen Bestimmung keine oder eine eingeschränkte Bekanntgabe erfolge (§ 23 IDG). Ein öffentliches Organ müsse deshalb bei jeder Datenbekanntgabe eine Interessenabwägung vornehmen und prüfen, ob entgegenstehende Interessen vorhanden seien.

§ 92. b. Erhebungen

Bei § 92 Abs. 2 handelt es sich um eine gesetzliche Grundlage gemäss §§ 16 Abs. 1 lit. a und 17 Abs. 1 lit. a IDG (bzw. § 35 Abs. 1 E‑IDG). Daraus folgt, dass die eingeforderten Akten grundsätzlich herauszugeben sind. Allerdings muss auch beim Aktenbeizug durch die Ombudsperson immer eine (eingeschränkte) Abwägung zwischen den infrage stehenden öffentlichen Interessen an der Klärung eines Falles und allenfalls entgegenstehenden überwiegenden öffentlichen oder privaten Interessen stattfinden (vgl. vorn, Vorbemerkungen zu § 35 E‑IDG). Angesichts des gesetzlichen Entscheides in § 92 Abs. 2, dass die Ombudsperson Anspruch auf Herausgabe der Akten hat, können dabei nur äusserst schwerwiegende Interessen eine Herausgabe verhindern. Sollte in einem Anwendungsfall eine Aktenherausgabe verweigert werden, steht der Ombudsperson zudem der Weg der Aufsichtsbeschwerde offen: Sie kann sich bei der vorgesetzten Behörde über die Verweigerung der Aktenherausgabe zur Wehr setzen. Damit ist auch sichergestellt, dass die um Herausgabe ersuchte Behörde die Aufgabenerfüllung der Ombudsperson nicht zu Unrecht vereitelt. Eine Klärung bzw. Anpassung der Gesetzesbestimmung drängt sich damit nicht auf. Festzuhalten ist auch, dass lediglich ein Fall bekannt ist, in dem ein Konflikt um Herausgabe der Akten zu einer Aufsichtsbeschwerde der Ombudsperson führte. Dabei wurde die Vorlage einer Vielzahl von Personaldossiers von am Ombudsverfahren nicht beteiligten Personen verlangt. Zudem wurde die Aktenvorlage nicht allgemein verweigert, sondern es wurde Aufklärung darüber verlangt, inwiefern die Akten Dritter für das konkrete Ombudsverfahren massgebend seien, damit die Akten in beschränktem Ausmass zugänglich gemacht werden könnten. Dieser Sonderfall eignet sich nicht als Grundlage für eine Gesetzesanpassung. Zudem würde ein Ausschluss einer Anwendung von § 11 E‑IDG (bzw. § 23 IDG) nichts daran ändern, dass auch das Handeln der Ombudsperson verhältnismässig sein muss und die ersuchte Verwaltungsstelle eine unangemessene Aktenherausgabe verweigern kann, wenn dies einmal nicht der Fall wäre. Festzuhalten ist sodann, dass auch die Verweisung auf § 92 Abs. 4, die festlegt, dass die Ombudsperson «gegenüber Dritten und gegenüber dem Beschwerdeführer in gleichem Mass zur Geheimhaltung verpflichtet» ist wie die betreffenden Behörden, nicht zum Schluss führen kann, eine Interessenabwägung sei ausgeschlossen. Alle Behörden, denen im Rahmen der Amtshilfe Akten herausgegeben werden müssen, unterstehen dem Amtsgeheimnis und auch in diesen Fällen muss die Behörde, welche die Akten herausgibt, eine Interessenabwägung vornehmen.

Eine Klärung der Rechtsfrage im Gesetz drängt sich deshalb – entgegen dem Auftrag im Konzept – nicht auf.

Abs. 2: Wie vorn ausgeführt, hat die Ombudsperson in bei ihr hängigen Verfahren grundsätzlich auch dann Anspruch auf die Herausgabe der Akten, wenn diese Personendaten Dritter enthalten. Die Behörde kann der Ombudsperson die Akteneinsicht gestützt auf überwiegende öffentliche Interessen oder Rechte betroffener Dritter gemäss § 11 E‑IDG (§ 23 IDG) deshalb nur in Ausnahmefällen verweigern. Die Anwendbarkeit des IDG muss dabei nicht ausgeschlossen werden, da § 92 Abs. 2 ja gerade eine gesetzliche Grundlage gemäss § 35 Abs. 1 und 2 E‑IDG (§§ 16 Abs. 1 lit. a und 17 Abs. 1 lit. a IDG) enthält. Die Regelungen sind in diesem Sinne aufeinander abgestimmt. Ergänzt werden kann in § 92 Abs. 2 jedoch, dass eine Berufung auf das Amtsgeheimnis nicht zur Verweigerung der Aktenherausgabe dienen kann. Zudem kann der zweite Satz der Bestimmung weggelassen werden: Bestimmungen des Bundesrechts gehen kantonalem Recht ohnehin immer vor. Dies war bereits beim Erlass der Bestimmung 1977 (in Kraft seit 1. September 1978) der Fall und die Weisung des Regierungsrates enthält auch lediglich diesen Satz ohne weitere Ergänzungen (vgl. ABl 1975, 980). Der zweite Satz der geltenden Fassung hat deshalb keine Bedeutung und kann aufgehoben werden.

Sollte – entgegen der heutigen Rechtslage – die Behörde, die um Aktenherausgebe ersucht wird, ohne eine Interessenabwägung gemäss § 11 E‑IDG (§ 23 IDG) zur Herausgabe verpflichtet werden, müsste dies ausdrücklich im Gesetzestext ergänzt werden. Eine entsprechende Regelung könnte dabei wie folgt formuliert werden:

2 Die Behörden, mit denen sich die Ombudsperson in einem bestimmten Fall befasst, sind ihr zur Auskunft und zur Vorlage der Akten verpflichtet. Die Aktenherausgabe darf nicht unter Berufung auf das Amtsgeheimnis oder auf § 11 des Gesetzes über die Information und den Datenschutz verweigert werden.

Festzuhalten ist jedoch, dass auch eine derartige Regelung gestützt auf das allgemein geltende Verhältnismässigkeitsgebot eine gewisse Verhältnismässigkeitsprüfung der ersuchten Behörde zulässt, etwa mit Bezug auf den Umfang der der Ombudsperson vorzulegenden Akten.

- 9. Personalgesetz vom 27. September 1998 (LS 177.10)

- 11. Straf- und Justizvollzugsgesetz vom 19. Juni 2006 (LS 331)

- 12. Mittelschulgesetz vom 13. Juni 1999 (LS 413.21)

- 13. Einführungsgesetz zum Berufsbildungsgesetz vom 14. Januar 2008 (LS 413.31)

- 14. Fachhochschulgesetz vom 2. April 2007 (LS 414.10)

- 15. Universitätsgesetz vom 15. März 1998 (LS 415.11)

- 16. Polizeigesetz vom 23. April 2007 (LS 550.1)

- 17. Finanzkontrollgesetz vom 30. Oktober 2000 (LS 614)

- 18. Kantonales Geoinformationsgesetz vom 24. Oktober 2011 (LS 704.1)

- 19. Kinder- und Jugendhilfegesetz vom 14. März 2011 (LS 852.1)

- 20. Kinder- und Jugendheimgesetz vom 27. November 2017 (LS 852.2)

1. Abschnitt: Gemein­sa­me Bestimmungen

§ 1. Gegen­stand und Zweck

Gel­tungs­be­reich

§ 2. a. Grundsatz

§ 3. b. Vor­rang des Verfahrensrechts

§ 4. c. Gerichte

§ 5. d. Kantonsrat

§ 6. Begriffe

§ 7. Informationsverwaltung

§ 8. Rege­lung der Zuständigkeit

§ 9. Auf­be­wah­rung und Archivierung

§ 10. Infor­ma­ti­ons­be­ar­bei­tung durch Dritte

§ 11. Informationssicherheit

§ 12. Inter­es­sen­ab­wä­gung bei der Bekannt­ga­be von Informationen

§ 13. Einwilligung

2. Abschnitt: Öffentlichkeitsprinzip

A. Infor­ma­ti­ons­tä­tig­keit von Amtes wegen

§ 14. All­ge­mei­ne Informationen

§ 15. Infor­ma­tio­nen über Tätigkeiten

§ 16. Offe­ne Behördendaten

§ 17. Medien

B. Bekannt­ga­be auf Gesuch

§ 18. Grundsatz

§ 19. Ausnahmen

§ 20. Gesuch

§ 21. Ein­be­zug betrof­fe­ner Dritter

§ 22. Fristen

§ 23. Sum­ma­ri­sche Stellungnahme