Kt. ZH: Total­re­vi­si­on des IDG verabschiedet

DE
DE EN FR

von

am

Branchen

Behörde

Gesetze

Themen

Der Kan­tons­rat des Kan­tons Zürich hat die Total­re­vi­si­on des IDG (des Geset­zes über die Infor­ma­ti­on und den Daten­schutz) am 23. März 2026 mit 153 zu 24 Stim­men verabschiedet:

Wir haben die aktu­el­le Fas­sung jeweils mit den Aus­zü­gen aus dem Antrag des Regie­rungs­rats zusammengestellt.

Das total­re­vi­dier­te Gesetz ist noch nicht in Kraft, und das Datum des Inkraft­tre­tens steht noch nicht fest, zuvor ist die Aus­füh­rungs­ver­ord­nung (IDV) aus­zu­ar­bei­ten. Zu rech­nen ist wohl mit einem Ter­min Mit­te 2027. Bis dahin gel­ten das heu­ti­ge IDG und die IDV weiter.

Hin­ter­grund

Das IDG des Kan­tons Zürich stammt aus dem Jahr 2007 und regelt sowohl den Daten­schutz als auch das Öffent­lich­keits­prin­zip. Der Regie­rungs­rat stiess 2020 die Total­re­vi­si­on an, gestützt auf eine Eva­lua­ti­on (2013−−2017), par­la­men­ta­ri­sche Vor­stös­se, euro­pa­recht­li­che Vor­ga­ben (Euro­­pa­rats-Kon­­ven­ti­on 108+, Schen­gen) und die Total­re­vi­si­on des DSG des Bun­des. Bereits 2019 hat­te eine Teil­re­vi­si­on die euro­pa­recht­li­chen Min­dest­an­for­de­run­gen umgesetzt.

Die Ver­nehm­las­sung begann am 28. Juni 2022. Am 5. Juli 2023 ver­ab­schie­de­te der Regie­rungs­rat die Vor­la­ge 5923. Gröss­ter Streit­punkt war in der Fol­ge ein vom Regie­rungs­rat vor­ge­schla­ge­ner Pas­sus ein Pas­sus, wonach Pro­to­kol­le nicht­öf­fent­li­cher Sit­zun­gen, bei der Exe­ku­ti­ve auch Anträ­ge, Mit­be­rich­te und Stel­lung­nah­men, gene­rell unter Ver­schluss blei­ben soll­ten. Die fol­gen­de Bera­tung änder­te die­sen Punkt auf Antrag der Kom­mis­si­on für Staat und Gemein­den (STGK).

Der Kan­tons­rat beriet die Vor­la­ge in meh­re­ren Sit­zun­gen (15. Sep­tem­ber und 24. Novem­ber 2025).

Wesent­li­che Neuerungen

  • Beauf­trag­te für Öffent­lich­keits­prin­zip und Daten­schutz: Die bis­he­ri­ge DSB erhält eine Dop­pel­funk­ti­on, sie berät Behör­den und Gemein­den nun auch zum Öffent­lich­keits­prin­zip und kann bei Strei­tig­kei­ten zum Infor­ma­ti­ons­zu­gang ein Schlich­tungs­ver­fah­ren durch­füh­ren. Das öffent­li­che Organ ist zur Teil­nah­me verpflichtet.
  • Aus­nah­men vom Infor­ma­ti­ons­zu­gang: Bei Geschäf­ten des Regie­rungs­ra­tes und der Gemein­de­vor­stän­de sind Anträ­ge, Mit­be­rich­te, Stel­lung­nah­men und Pro­to­kol­le vom Infor­ma­ti­ons­zu­gang aus­ge­nom­men. Gemein­den kön­nen die­se Aus­nah­men ein­schrän­ken oder für nicht anwend­bar erklären.
  • Open Govern­ment Data: Offe­ne Behör­den­da­ten sind Infor­ma­tio­nen, die ein öffent­li­ches Organ in maschi­nen­les­ba­rer Form frei zugäng­lich macht und die ohne Ein­schrän­kung nutz­bar sind. Öffent­li­che Orga­ne kön­nen sol­che Daten ver­öf­fent­li­chen; die Zen­tral­ver­wal­tung muss, sofern kein Gesetz oder kei­ne über­wie­gen­den öffent­li­chen oder pri­va­ten Inter­es­sen entgegenstehen.
  • KI-Regi­s­ter: Jedes öffent­li­che Organ muss ein öffent­lich zugäng­li­ches Ver­zeich­nis der von ihm ver­wen­de­ten algo­rith­mi­schen Ent­scheid­sys­te­me füh­ren, soweit die­se sich auf Grund­rech­te aus­wir­ken kön­nen – die Schwel­le ist bewusst tief ange­setzt, bereits die Mög­lich­keit einer Grund­rechts­ver­let­zung genügt. Der Begriff “algo­rith­mi­sche Ent­scheid­sys­te­me” erfasst bewusst sowohl regel­ba­sier­te als auch Machi­ne-Lear­­ning-Sys­te­­me. Die Min­dest­an­ga­ben sind vom Regie­rungs­rat in der Ver­ord­nung zu regeln.
  • Mit­tei­lungs­pflicht bei KI-gestüt­z­ter Bear­bei­tung: Bei der Beschaf­fung von Per­so­nen­da­ten muss das öffent­li­che Organ aktiv über die all­fäl­li­ge Ver­wen­dung algo­rith­mi­scher Ent­scheid­sys­te­me infor­mie­ren, und bei einem Aus­kunfts­ge­such müs­sen die Betrof­fe­nen infor­miert wer­den, wenn ihre Daten unter Ein­satz von KI bear­bei­tet wurden.
  • Grund­rechts­fol­gen­ab­schät­zung: Bei jedem Ein­satz algo­rith­mi­scher Sys­te­me ist eine grund­recht­li­che Fol­gen­ab­schät­zung (GRFA) durch­zu­füh­ren, die Grund­rechts­ri­si­ken erken­nen und redu­zie­ren soll. Die GRFA kommt ggf. zur DSFA dazu (kann aber auch zusam­men­ge­nom­men werden).
  • Pilot­ver­su­che: Öffent­li­che Orga­ne dür­fen beson­de­re Per­so­nen­da­ten im Rah­men von Pilot­ver­su­chen ohne for­mel­le Rechts­grund­la­ge bear­bei­ten, mit Geneh­mi­gung durch den Regie­rungs­rat (bei Gemein­den durch den Gemein­de­vor­stand) und für höch­stens fünf Jahre.
  • Ein­wil­li­gung: Öffent­li­che Orga­ne dür­fen Daten bear­bei­ten, wenn die betrof­fe­ne Per­son ein­wil­ligt, ana­log zu Art. 34 DSG. Für beson­de­re Per­so­nen­da­ten ist eine aus­drück­li­che Ein­wil­li­gung erforderlich.
  • Pro­fi­ling: Ein Pro­fi­ling (defi­niert als auto­ma­ti­sier­te Aus­wer­tun­gen von Infor­ma­tio­nen zur Ana­ly­se wesent­li­cher per­sön­li­cher Merk­ma­le oder Vor­her­sa­ge per­sön­li­cher Ent­wick­lun­gen) erfor­dert neu eine Grund­la­ge in einem for­mel­len Gesetz.
  • Ver­hält­nis­mäs­sig­keit: Die­ser Grund­satz wird nun neu in einem eige­nen Para­gra­phen geregelt.
  • Infor­ma­ti­ons­bear­bei­tung durch Drit­te: Die Auf­trags­bear­bei­tung wird etwas ver­schärft, wegen der zuneh­men­den Aus­la­ge­rung in die Cloud.