I.
Die Technik hält Einzug in den Verwaltungsalltag ^
Lehnen Sie sich doch einmal in Ihrem Bürostuhl zurück und versuchen Sie sich vorzustellen, wie ihr Verwaltungsalltag ohne technische Hilfsmittel aussehen würde. Um nur ein paar Szenarien aufzuzeigen: Anstelle des PCs hätten Sie eine Schreibmaschine – zwar aus heutiger Sicht nicht sonderlich praktisch, aber immerhin müssten Sie Ihre Briefe nicht von Hand schreiben. Anrufbeantworter und Anzeige verpasster Anrufe auf dem Telefon? Kann ein Anruf nicht entgegen genommen werden, muss eben ein weiteres Mal angerufen werden. Datenbank der aktuellen Geschäfte? Karteikarten, Papierakten, Internet-Recherche bzw. internetbasierte Archive? Alles auf Papier, in Lexika, die von Menschenhand und -auge durchsucht werden müssen. Online-Kalender mit Übersicht über alle Teammitglieder und deren Termine? Ein Anschlagsbrett im Gang des Büros gibt ebenso Auskunft über An- und Abwesenheiten. Und schliesslich: Erreichbarkeit rund um die Uhr, Zugriff auf die laufenden Geschäfte und Abrufen der eingegangenen Mails via Smartphone und entsprechenden Apps? Von wegen – was während der Arbeitszeit nicht erledigt werden konnte, muss entweder in Papierform nach Hause mitgenommen werden, oder wartet eben bis zum nächsten Tag.
Aber nicht nur im Büro übernimmt die Technik das Steuer. So greifen beispielsweise auch Blaulichtorganisationen immer mehr auf neue technische Errungenschaften zurück: Von der Abschnittsgeschwindigkeitskontrolle1, Drohnen2 und eigenen Kommunikations-Apps3 über Apps, welche die Gesundheitsdaten eines Patienten auf dessen Handy verwalten und im Notfall zugänglich machen4: Wir nutzen bei der Erfüllung unserer Verwaltungsaufgaben je länger je mehr technisch hochentwickelte Geräte und können uns den Verwaltungsalltag ohne diese «Gadgets» schon fast nicht mehr vorstellen – obwohl die Zeit vor der technischen Revolution noch nicht allzu weit zurück liegt.
Die Technik galoppiert bereits heute forsch voran – und dabei stehen wir, will man den Entwicklern glauben5, erst am Anfang dieser Entwicklung. Die technischen Hilfsmittel werden immer gewiefter, intelligenter, können uns immer mehr Aufgaben abnehmen, ermöglichen uns immer mehr. Was früher selbstverständlich von Menschen erledigt wurde, wird heute von Applikationen übernommen – sei dies das Durchsuchen der Geschäftsablage oder das Bestellen des Kaffeenachschubs (intelligente Kaffeemaschinen in Grossraumbüros lösen heutzutage Kapsel-Bestellungen beim Händler aus).
II.
Flickwerk rechtlicher Rahmen ^
1.1.
Datenschutzrecht ^
Datenschutzrechtliche Vorgaben sind von einer Verwaltungseinheit immer dann zu befolgen, wenn zur Erfüllung der jeweiligen Aufgabe Personendaten, d.h. Informationen, die die Identifikation einer konkreten Person erlauben, bearbeitet werden müssen. Für öffentliche Organe der Kantone gelten dabei die Regeln der jeweiligen kantonalen (Informations- und) Datenschutzgesetze, für Bundesorgane das Datenschutzgesetz des Bundes (DSG)8.
1.2.
Informationssicherheit ^
Auch das Datenschutzgesetz des Bundes verlangt, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden (Art. 7 DSG)26. Die Art. 8 bis 10 sowie 20 und 21 der Verordnung zum Bundesgesetz über den Datenschutz (VDSG)27 konkretisieren die zum Schutz der Informationen vorzukehrenden Massnahmen. Insbesondere sind die Systeme zu schützen gegen unbefugte oder zufällige Vernichtung, zufälligen Verlust, technische Fehler, Fälschung, Diebstahl oder widerrechtliche Verwendung, unbefugtes Ändern, Kopieren, Zugreifen und andere unbefugte Bearbeitungen (Art. 8 Abs. 1 VDSG). Das verantwortliche Bundesorgan muss ein Bearbeitungsreglement erstellen für automatisierte Datensammlungen, die (alternativ) a) besonders schützenswerte Daten oder Persönlichkeitsprofile beinhalten, b) durch mehrere Bundesorgane benutzt werden, c) Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen zugänglich gemacht werden; oder d) mit anderen Datensammlungen verknüpft sind (Art. 21 Abs. 1 lit. a–d VDSG).
Für den Einsatz neuer Technologien bzw. neuer technischer Hilfsmittel sind diese Vorgaben insofern essentiell, als dass sie die Risiken, die durch die neuen Technologien für die bearbeiteten Personendaten zu minimieren suchen, und die jeweiligen Amtsstellen bzw. unter Umständen gar ganze Departemente29 anhalten, Informationssicherheitskonzepte zu erstellen und die Verantwortung für den Einsatz der neuen Technologien zu übernehmen. Damit soll zumindest der teilweise noch immer sehr naiv anmutende Umgang mit neuen Technologien in geordnete Bahnen gelenkt werden: Nur weil beispielsweise Google Analytics ausgesprochen praktisch erscheint, um das Besucherverhalten auf kantonalen Webseiten zu beobachten und den eigenen Webauftritt entsprechend zu optimieren, nur weil es deutlich einfacher ist, die Anmeldung von neuen Bürgerinnen und Bürgern via sog. Online-Schalter abzuwickeln, heisst dies nicht, dass damit nicht auch grosse Risiken für die Persönlichkeitsrechte der betroffenen Personen verbunden sind.
2.
Sachrecht ^
Während das formelle Datenschutzrecht die Grundsätze des Datenbearbeitens festhält, ist dem sog. materiellen Datenschutzrecht, d.h. dem jeweiligen Sachrecht, zu entnehmen, zur Erfüllung welcher Aufgaben Personendaten von wem bearbeitet werden dürfen – und allenfalls auch, mit welchen Mitteln dies geschehen soll. Ein paar Beispiele: Die Sozialhilfe findet im Sozialhilfegesetz, welche Daten bei wem erhoben werden dürfen, um den tatsächlichen Sozialhilfebedarf einer Gesuchstellerin zu berechnen, wem diese Informationen weitergegeben werden können etc. Das kantonale Archiv gründet seine Tätigkeit auf das jeweilige Archivgesetz, welches beispielsweise Schutzfristen und Zugangsmodalitäten nennt. Die Aufgaben der Kantonspolizei sind im jeweiligen kantonalen Polizeigesetz enthalten, die Aufgaben der Schulbehörden und Lehrkräfte im kantonalen Schulgesetz, die Zuständigkeiten und die daraus resultierenden Datenbearbeitungsvorgänge der kantonalen IV-Stellen im IV-Gesetz des Bundes, usw.
Ob, und wenn ja welche, technischen Hilfsmittel zur jeweiligen Aufgabenerfüllung beigezogen werden dürfen, und insbesondere auch wie sich dieser Einsatz zu gestalten hat, wird dabei aber nur sporadisch geregelt – auch das Sachrecht ist heute (noch) weitestgehend technikneutral formuliert. Für das Open System Invaliden-Versicherung (OSIV), d.h. die Geschäftskontrolle der Sozialhilfebehörden finden sich beispielsweise keine expliziten Rechtsgrundlagen, vielmehr wird der Einsatz dieses Systems als «zur Aufgabenerfüllung» erforderlich betrachtet und damit unter die entsprechenden Aufgabennormen der Sozialhilfe subsumiert; gleiches gilt für die Datenbanken der Schulen zur Schüler(innen)verwaltung, wobei diese Datenbanken je länger je mehr auch Informationen von schulaffilierten Diensten wie insbesondere der Schulsozialarbeit, dem Schulpsychologischen Dienst oder den Heilpädagogischen Diensten enthalten – und dabei längst nicht mehr reine Administrativdatenbanken sind. Und in den Archivgesetzen wiederum finden sich keine Bestimmungen darüber, ob der Zugang zu den Archivalien in analoger oder gar in digitaler Form gewährt werden kann. Dagegen werden die jeweiligen Informationssysteme, welche den Polizeibehörden zur Verfügung stehen, im Bundesgesetz über die polizeilichen Informationssysteme (BPI) reglementiert.
III.
Schöne neue Verwaltungswelt ^
Nicht nur die öffentliche Verwaltung erhofft sich von der technischen Revolution eine Vereinfachung von Arbeitsabläufen, auch die Erwartungshaltung der Bürgerinnen und Bürger verändert sich: Formulare sollen möglichst online abgerufen werden können, archivierte Unterlagen möglichst ebenfalls ohne einen Gang ins Staatsarchiv eingesehen werden, und da elektronische Zeitungen den klassischen Print-Ausgaben mittlerweile den Rang abgelaufen haben30, soll bitteschön auch das Amtsblatt online publiziert werden.
1.1.
Vom Anschlag zum Amtsblatt zur Online-Edition ^
1.2.
Öffentlichkeit damals und heute: Herausforderungen ^
1.3.
Regelungsbedarf und -möglichkeiten ^
Sowohl die Rechtsprechung des EuGH wie auch die Bemühungen der Europäischen Union haben die Problematik, dass das Internet nie vergisst, aufgenommen36: Mit dem «Recht auf Vergessen» soll eben dieser Neustart, die Resozialisierung ermöglicht werden. Ob dieses Recht auf Vergessen aber nicht ein blosses Lippenbekenntnis bleibt, ja in Anbetracht der de facto Unmöglichkeit der Löschung von Internet-Einträgen bleiben muss, ist derzeit umstritten37. Und was bereits für den privatrechtlichen Bereich problematisch erscheint, wird in öffentlich-rechtlichen Belangen umso komplexer: Hat der Staat nicht gar eine gewisse Verantwortung, ursprünglich öffentliche Informationen nach einer gewissen Zeit zumindest nicht mehr ganz so einfach zugänglich zu machen? Darf der Staat in Anbetracht des Internet-Grundsatzes «einmal öffentlich, immer öffentlich» überhaupt Personendaten online zugänglich machen, im vollen Bewusstsein, dass es sich dabei um Daten mit besonderem Stigmatisierungsrisiko handelt?
Die aktuellen gesetzlichen Grundlagen zur Veröffentlichung von beispielsweise Betreibungsurkunden oder Strafurteilen gehen auf diese Problematik nicht ein: Art. 35 Bundesgesetz über Schuldbetreibung und Konkurs (SchKG) sieht schlicht vor: «Die öffentlichen Bekanntmachungen erfolgen im Schweizerischen Handelsamtsblatt und im betreffenden kantonalen Amtsblatt.» Ähnlich kurz angebunden ist auch Art. 88 Strafprozessordnung (StPO):
«1 Die Zustellung erfolgt durch Veröffentlichung in dem durch den Bund oder den Kanton bezeichneten Amtsblatt, wenn:
a. der Aufenthaltsort der Adressatin oder des Adressaten unbekannt ist und trotz zumutbarer Nachforschungen nicht ermittelt werden kann;
b. eine Zustellung unmöglich ist oder mit ausserordentlichen Umtrieben verbunden wäre;
c. eine Partei oder ihr Rechtsbeistand mit Wohnsitz, gewöhnlichem Aufenthaltsort oder Sitz im Ausland kein Zustellungsdomizil in der Schweiz bezeichnet hat.
(...)
3 Von Endentscheiden wird nur das Dispositiv veröffentlicht.»
- Der Kanton Basel-Stadt verfügt derzeit noch39 über keine Bestimmungen, die eine Online-Publikation des Amtsblatts vorsehen würden, gleiches gilt beispielsweise für die Kantone Graubünden, Jura oder Uri – obschon das Amtsblatt dieser drei Kantone online und ohne Restriktionen, wie beispielsweise der Pflicht zur Eröffnung eines Benutzerkontos, abgerufen werden kann.
- Hingegen verfügt der Kanton Basel-Landschaft zwar nicht über eine formell-gesetzliche Grundlage für die Online-Publikation des Amtsblattes (sondern nur über eine formell-gesetzliche Grundlage für die Papier-Version), hält aber in seiner Verordnung über das Internet-Amtsblatt40 fest, welche Informationen für wie lange im Internet zugänglich gemacht werden sollen. So sieht § 1 Abs. 2 lit. d der besagten Verordnung beispielsweise eine Verweildauer von 6 Monaten für Publikationen der Betreibungs- und Konkursämter vor. Die Veröffentlichung von Urteilsdispositiven im Internet-Amtsblatt scheint nicht vorgesehen zu sein.
- Der Kanton Zug wiederum, um einen anderen Lösungsansatz zu nennen, sieht im Publikationsgesetz41 sowohl die Papier- wie auch die Online-Publikation des Amtsblattes vor, und delegiert dabei die Festlegung der Fristen für die Zugänglichkeit an den Regierungsrat.
- Als dritte Variante sehen die Kantone Fribourg42 und Tessin43 zwar ebenfalls eine Papier- und eine Online-Publikation vor, legen dabei aber keinerlei Fristen für die Veröffentlichung im Internet fest.
- Der Kanton Glarus, um die letzte Variante aufzuzeigen, sieht Folgendes vor: «Das Amtsblatt wird im Internet veröffentlicht; der Zugang ist unentgeltlich. Es erscheint zudem in gedruckter Form und kann in der Staatskanzlei eingesehen werden.»44
Dass das Bewusstsein für diesen Anspruch besteht, ist grundsätzlich erfreulich. Realistischerweise muss sich das für die Veröffentlichung des Amtsblattes im Internet verantwortliche Organ aber auch eingestehen, dass auch eine nur vorübergehende Publikation de facto dazu führen kann, dass der besagte Eintrag noch Jahre nach der Löschung abgerufen werden kann, wenn Seiten gespiegelt, Informationen übertragen oder PDF-Files in andere Webseiten übernommen wurden. Dies soll jedoch nicht bedeuten, dass auf die Festlegung einer Veröffentlichungsdauer verzichtet werden kann, oder dass – das andere Extrem – gänzlich auf die Online-Publikation des Amtsblattes verzichtet werden muss. Letzteres wäre schlicht nicht mehr zeitgemäss, ersteres würde von mangelndem Verantwortungsbewusstsein zeugen. Die im vollen Bewusstsein der Internet-Problematik erfolgende Festlegung einer spezifischen Verweildauer von Amtsblatt-Publikationen, die Personendaten enthalten, ist aus datenschutzrechtlicher Sicht durchaus angezeigt: Zum einen, um das Prinzip der Verhältnismässigkeit (wenigstens im Ansatz und aus Sicht der öffentlichen Verwaltung) zu wahren und zum anderen, um immerhin gewisse Hürden für die Wiederauffindung einzelner ehemals im Amtsblatt erwähnter Personen zu setzen.
Damit wird deutlich: Eine aus rechtstaatlicher Sicht perfekte Lösung kann nicht gefunden werden, wenn amtliche Informationen im Internet veröffentlicht werden sollen. Umso wichtiger ist es daher, dass klare Vorgaben gemacht und Anstrengungen unternommen werden, damit der staatlichen Verantwortlichkeit bei der Publikation von Personendaten im Amtsblatt nachgekommen und das Risiko von Persönlichkeitsverletzungen zumindest von staatlicher Seite so weit als möglich minimiert werden kann.
2.
Das digitale Archiv ^
Ein Blick in die Archivgesetze und die dazugehörigen Verordnungen zeigt: Derzeit wird von primär papierbasierten Archiven ausgegangen, welche vor Ort eingesehen werden können. Selbstverständlich verfügen die Archive über digitale Kataloge, welche die Recherche nach den gewünschten Dokumenten vereinfachen. In der Regel ist es aber noch nicht möglich, die jeweiligen Dokumente direkt am heimischen PC einzusehen. Dies soll sich aber in naher Zukunft ändern. So verfolgen beispielsweise die Kantone Basel-Stadt und St. Gallen derzeit das Projekt «digitalAccess2Archives»45: In den vergangenen Jahren lag der Fokus der Archive primär im Bereich der Digitalisierung der Archivalien – d.h. in der Digitalisierung ursprünglich analogen Archivgutes, der Zurverfügungstellung digitaler Daten bzw. der Sicherung dieser Daten für die weitere Zukunft sowie der Erstellung von Konzepten für die Verwaltung und Erstellung digitaler Akten bereits im Verwaltungsalltag. «DigitalAccess2Archives» dreht sich nun um den Zugang zu den digitalen Archivalien, kurz, um den digitalen Lesesaal. Und damit nicht genug: Auch die sich langsam entwickelnden eGovernment-Services, Open Government Data und Big Data sollen in diesem Projekt ebenso berücksichtigt werden wie Social Media Services46.
a)
Schutz vor unberechtigten Zugriffen ^
b)
Unbefugte Veränderung ^
c)
Unbefugte Löschung/Vernichtung von Daten ^
So banal es sich auch anhören mag: Die Archive müssen darum besorgt sein, dass archivierte digitale Akten nicht unbefugter Weise vernichtet werden. Das Risiko, dass Papierdossiers von Nutzerinnen oder Nutzern vernichtet werden, dürfte vergleichsweise klein sein, da die Dokumente die Archivräumlichkeiten üblicherweise nicht verlassen und nur unter Aufsicht eingesehen werden dürfen. Werden jedoch digitale Archivalien zur Verfügung gestellt, so muss zwingend mittels entsprechender Sicherheitsvorkehrungen (Schutz der Server, Schreib-/Löschschutz der Dokumente, genaues Login der Nutzerbewegungen etc.) dafür gesorgt werden, dass keine findigen vermeintlichen Archivnutzerinnen oder -nutzer die Dossiers – sei dies aus Jux, sei dies, um gewisse Ereignisse vergessen zu machen – löschen können. Ähnlich wie im Falle der unbefugten Veränderung enthalten die Archivgesetze derzeit zwar die Pflicht der Archivare, das Archivgut vor unbefugter Vernichtung zu schützen – mit den digitalen Archiven wird dieser Auftrag jedoch eine neue Dimension erhalten.
2.2.
Handlungsbedarf ^
Allein diese drei Themenkomplexe zeigen, dass der Handlungs- bzw. Diskussionsbedarf mit zunehmender Digitalisierung der Archive wächst und dringlicher wird. Diskussionsbedarf besteht dabei jedoch nicht nur zwischen Archivverantwortlichen und Informatikspezialistinnen und -spezialisten, wobei es gilt, eine gemeinsame Sprache zu finden, Risikoanalysen zu erstellen und basierend auf diesen Einschätzungen Lösungen zu entwickeln, die die archivierten Daten angemessen schützen und gleichzeitig die Balance zwischen den Interessen der Archive, der Betroffenen und der Nutzerinnen oder Nutzer zu wahren. Es muss auch eine rechtliche Beurteilung der digitalen Archive erfolgen, denn es erschiene kurzsichtig, die bestehenden Archivgesetze angesichts der neuen Möglichkeiten und Risiken nicht zu aktualisieren und in ihrer von einer analogen Gesellschaft und Verwaltung ausgehenden Konzeption zu belassen.
3.1.
Technische Möglichkeiten ^
Die Erfassung von Nummernschildern ist keine neue Entwicklung: Während bei den seit 1950er Jahren48 vorgenommenen Geschwindigkeitsmessungen mit statischen Radargeräten («Blitzer») die Nummernschilder der Verkehrssünderinnen und -sünder fotografiert und dann von Mitarbeiterinnen und Mitarbeitern im Büro mit den jeweiligen Datenbanken abgeglichen werden, werden die Nummernschilder bei den sogenannten Abschnittsgeschwindigkeitskontrollen von einem Scanner zu Beginn und am Ende eines bestimmten Streckenabschnitts eingelesen, bei vorschriftsgemässer Geschwindigkeit innerhalb des jeweiligen Abschnitts automatisch wieder gelöscht oder bei zu hohem Tempo gespeichert und zur Auswertung an die zuständige Polizeibehörde übermittelt.
Ebenso werden im Ausland seit längerem49 sogenannte statische «CatchKen» Bildanalysesysteme insbesondere bei der Fahndung nach gesuchten Fahrzeugen, der Ermittlung gestohlener Fahrzeuge oder der Ermittlung von nicht versicherten Fahrzeugen eingesetzt. Wesentliches Merkmal dieser statischen «CatchKen»-Systeme ist, dass sie an einem bestimmten Ort für einen gewissen Zeitraum fix installiert werden – also beispielsweise entlang einer Hauptstrasse, welche an eine Landesgrenze führt – und dass die Nummern vor Ort direkt mit einer auf einem Laptop hinterlegten Datenbank bzw. einem Datenbankauszug offline abgeglichen werden. Wird ein nicht versichertes oder gestohlenes Fahrzeug identifiziert, so besteht für die diensthabenden Polizistinnen und Polizisten die Möglichkeit, die Verfolgung aufzunehmen.
Der technische Fortschritt erlaubt es nun, «CatchKen» mobil einzusetzen und die jeweiligen Datenbanken sogar online abzurufen. Die in den Polizeifahrzeugen installierten Systeme lassen sich entweder bei einem konkreten Verdacht einschalten oder aber vollautomatisch, mit dem Drehen des Zündschlüssels, in Betrieb nehmen50.
a)
Genügende gesetzliche Grundlage? ^
Es gehört zweifelsohne zu den polizeilichen Aufgaben, säumige Fahrzeugsteuerzahlerinnen und -zahler aufzuspüren und nach gestohlenen Fahrzeugen und flüchtigen Personen zu fahnden. Gestützt auf Art. 5 i.V.m. Art. 36 BV müssen diese Aufgaben aber in einer genügend bestimmten gesetzlichen Grundlage festgehalten sein51. So weist denn auch die Verordnung des Bundes vom 28. März 2007 über die Kontrolle des Strassenverkehrs52 die Zuständigkeit für die Kontrollen des öffentlichen Verkehrs den kantonalen Polizeibehörden zu, wobei die kantonalen Polizeibehörden den jeweiligen modus operandi festzulegen haben. Ein Blick in die kantonalen Polizeigesetze und -verordnungen bringt diesbezüglich aber Ernüchterung: So findet sich im Kanton Basel-Stadt wohl eine allgemeine Umschreibung der polizeilichen Aufgaben im Polizeigesetz, aber nirgendwo eine konkrete Bestimmung zur Verkehrsüberwachung oder Fahrzeugfahndung. Gleiches gilt, um nur ein paar zu nennen, beispielsweise auch für die Kantone Bern, Zürich und Graubünden, sowie für die Kantone Fribourg und Tessin.
Mit viel gutem juristischen Willen und unter Berücksichtigung der eher geringen Schwere des Eingriffs in die Persönlichkeitsrechte der betroffenen Personen kann der nicht-automatisierte Abgleich von Listen säumiger Fahrzeugsteuerzahlerinnen und -zahler wohl unter die SKV-Bestimmungen sowie die allgemeinen Aufgabenumschreibungen in den kantonalen Polizeigesetzen subsumiert und die gesetzliche Grundlage damit als gegeben betrachtet werden: Zum einen kann bei einem von Menschen vorgenommenen Abgleich keinesfalls von einer flächendeckenden Kontrolle ausgegangen werden. Vielmehr handelt es sich bei dieser Form der «Fahndung» um Stichprobenkontrollen oder mehr oder weniger gezieltes Suchen, womit die übrigen geparkten Fahrzeuge bzw. deren Halterinnen und Halter nicht unter einen Generalverdacht fallen, nicht automatisch mit der jeweiligen Datenbank abgeglichen und damit auch nicht (je nach Einstellung des Systems auch nur für Sekundenbruchteile) in einem Informatiksystem gespeichert werden (sondern wohl in begrenztem Rahmen im Gedächtnis der Polizistin oder des Polizisten).
Sobald aber flächendeckend automatisierte Abgleiche vorgenommen werden sollen, dürften angesichts der damit verbundenen deutlich grösseren Schwere des Grundrechtseingriffs die aktuell bestehenden gesetzlichen Grundlagen nicht mehr ausreichend sein, auch wenn die SKV den Einsatz technischer Hilfsmittel grundsätzlich erlaubt. So hat denn auch der Kanton Basel-Landschaft per 15. Juni 2014 eine Bestimmung in Kraft gesetzt, welche die automatische Fahrzeugfahndung und Verkehrsüberwachung regelt:
«1 Die Polizei Basel-Landschaft kann Kontrollschilder von Fahrzeugen automatisiert erfassen und mit Datenbanken abgleichen.
2 Der automatisierte Abgleich ist zulässig:
a. mit polizeilichen Personen- und Sachfahndungsregistern;
b. mit durch die Polizei Basel-Landschaft erstellten Listen von Kontrollschildern von Fahrzeugen, deren Halterinnen oder Halter der Führerausweis entzogen oder verweigert worden ist;
c. mit konkreten Fahndungsaufträgen der Polizei Basel-Landschaft.
3 Die automatisch erfassten Daten werden wie folgt gelöscht:
a. sofort in den Fällen ohne Übereinstimmung mit einer Datenbank;
b. im Falle einer Übereinstimmung mit einer Datenbank gemäss den Bestimmungen des betreffenden Verwaltungs- oder Strafverfahrens.»53
b)
Informationssicherheit ^
Wenn die automatische Nummernschilderkennung so konfiguriert ist, dass sie bereits mit dem Starten des Motors des Polizeifahrzeugs in Betrieb genommen wird, stellt sich die Frage, wie sichergestellt werden kann, dass tatsächlich nur jene Polizistinnen und Polizisten das mit «CatchKen» ausgestattete Fahrzeug nutzen, die dies zu ihrer Aufgabenerfüllung tun dürfen. Aus Kostengründen werden wohl ohnehin nicht sämtliche Polizeifahrzeuge mit einer derart konfigurierten automatischen Nummernschilderkennung ausgestattet werden – gleichwohl muss mittels interner Reglemente und klarer Dienstanweisungen sichergestellt werden, dass die automatische Nummernschilderkennung tatsächlich nur zur Aufgabenerfüllung und nicht «beiläufig» von anderen als den zuständigen Polizistinnen und Polizisten im Rahmen derer Aufgabenerfüllung eingesetzt wird: So erschiene es beispielsweise problematisch, wenn eine Mitarbeiterin des Sozialdienstes der Polizei ein mit CatchKen ausgestattetes Fahrzeug nutzt, um zu einem Beratungsgespräch mit einem Opfer häuslicher Gewalt zu fahren, und unterwegs säumige Fahrzeugsteuerzahlerinnen und -zahler registrieren würde.
Muss die Nummernschilderkennung erst aktiv in Betrieb genommen werden, so ist sicherzustellen, dass dies wiederum nicht von «jedermann» getan werden kann. Idealerweise wird die Inbetriebnahme nur mittels Eingabe eines persönlichen Passworts (und nicht etwa eines Dienstgruppen-Passworts!) ermöglicht, so dass nachvollzogen werden kann, wer zu welchem Zeitpunkt mit dem Fahrzeug unterwegs war. Entsprechend sind auch Log-Files zu erstellen, wobei darauf zu achten ist, dass in den Logs tatsächlich nur die erforderlichen Daten zur Kontrolle der Mitarbeiterinnen und Mitarbeiter, nicht aber beispielsweise die abgeglichenen Autonummern verzeichnet werden – letzteres würde einer unzulässigen Aufbewahrung der nicht weiter erforderlichen Daten derjenigen Fahrzeughalterinnen und -halter, die ihre Steuern bezahlt haben etc., gleichkommen.
3.3.
Handlungsbedarf ^
Bereits heute gründet der Abgleich von Nummernschildern mit Listen säumiger Fahrzeugsteuerzahlerinnen und -zahler auf eher dünnen bzw. «zusammengeflickten» gesetzlichen Grundlagen, welche den betroffenen Personen ein ausgesprochen geringes Mass an Rechtssicherheit zu vermitteln mögen. Der Einsatz digitaler Nummernschilderkennungssysteme wird von den Polizeibehörden bzw. vom Gesetzgeber daher weitreichende Regelungsarbeiten erfordern: Zum einen muss der automatische Nummernschildabgleich nach der hier vertretenen Auffassung zwingend in einem Gesetz im formellen Sinne explizit geregelt werden, da der mit dem automatischen Abgleich einhergehende Grundrechtseingriff als deutlich schwerer zu beurteilen ist als im Falle der bisherigen Abgleiche «von Auge» durch die Polizistinnen und Polizisten beim Gang durch’s Quartier. Gleichzeitig bietet die Regelung im Gesetz die Möglichkeit, gewisse Rahmenbedingungen wie beispielsweise die Aufbewahrungsdauer der gescannten Nummernschilder oder die Update-Modalitäten festzulegen. Und schliesslich kann im Gesetz auch der Auftrag zur Ausarbeitung des zwingend erforderlichen Informationssicherheitskonzepts erteilt werden. Dieses Informationssicherheitskonzept muss von den verantwortlichen Stellen innerhalb der jeweiligen Kantonspolizei gemeinsam mit den kantonalen Informationssicherheits-Spezialisten und der oder dem Datenschutzbeauftragten erarbeitet werden.
1.
Rechtlicher Handlungsbedarf? ^
2.
Neue Technologien, neue Ansätze: IT-Governance und gelebte Verantwortung ^
Aktualisierte formell-gesetzliche Grundlagen können dem Verwaltungsalltag lediglich Leitplanken vorgeben, innerhalb derer die jeweiligen Aufgaben zu erfüllen und die neuen technischen Hilfsmittel zu nutzen sind. Es braucht jedoch weitaus mehr, denn eine gesamtkantonale Strategie zur Nutzung von IT-Mitteln und ohne dienststellenbezogene detailliertere Vorgaben (beispielsweise in Verordnungen, internen Richtlinien oder Weisungen), Organisations- und Informationssicherheitskonzepte bleibt der Raum zwischen diesen Leitplanken leer, und die Wahrung der Persönlichkeitsrechte der betroffenen Personen kann nicht sichergestellt werden. Gefordert sind damit nicht nur die Vertreterinnen und Vertreter der Legislative, sondern insbesondere die Departementsleitungen bezüglich der Gesamtverantwortung und -mentalität innerhalb des Kantons sowie die jeweiligen Dienststellen- oder Abteilungsleiterinnen und -leiter, was die konkrete Ausgestaltung der Organisation ihrer Einheiten angeht. Auf der Ebene der Departementsleitungen ist das Stichwort hierbei unzweifelhaft «IT-Governance»54, während es für die Dienstellen- und Abteilungsleitungen «gelebte Verantwortlichkeit» ist:
V.
Fazit ^
Dr. iur. Sandra Husi-Stämpfli, LL.M. ist stellvertretende Datenschutzbeauftragte des Kantons Basel-Stadt.
- 1 http://www.astra.admin.ch/00638/?lang=de&msg-id=43400 (alle Internetquellen zuletzt besucht am 31. Juli 2015).
- 2 http://www.srf.ch/news/schweiz/noch-luft-nach-oben-nur-drei-polizeikorps-setzen-auf-drohnen.
- 3 http://www.netzwoche.ch/de-CH/News/2015/04/30/Abraxas-erhaelt-Zuschlag-fuer-Polizei-Whatsapp.aspx.
- 4 http://www.express.de/digital/20-notfall-apps-so-wird-das-iphone-zum-lebensretter,2492,7507694.html.
- 5 http://www.verivox.de/nachrichten/vernetzter-alltag-immer-mehr-intelligente-geraete-104267.aspx.
- 6 Es würde den Rahmen dieses Beitrags sprengen, wenn auch der Einzug der intelligenten Geräte in unseren privaten Alltag diskutiert würde: In diesem Themenbereich bearbeiten Private Personendaten, entsprechend andere rechtliche Vorgaben gilt es zu beachten. Zu den Herausforderungen, welche sich mit dem Einsatz intelligenter Haushaltsgeräte für die informationelle Selbstbestimmung ergeben, siehe Sandra Husi-Stämpfli, Wenn der Backofen mit dem Staubsauger kommuniziert…, in: Jusletter IT 11. Dezember 2014.
- 7 Schulgesetz des Kantons Basel-Stadt vom 4. April 1929, SG 410.100.
- 8 Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1)
- 9 Siehe dazu ausführlich Beat Rudin, Verfassungswidrige Anwendbarkeit des Bundesdatenschutzgesetzes, SJZ 2009, 1 ff., krit. zum Begriff Thomas Gächter/Philipp Egli, Informationsaustausch im Umfeld der Sozialhilfe, in: Jusletter 6. September 2010, 43.
- 10 Z.B. Art. 4, 5 und 7 DSG, §§ 9 und 12 des Gesetzes des Kantons Zürich vom 12. Februar 2007 über die Information und den Datenschutz (LS 170.4, im Folgenden zitiert als IDG-ZH), §§ 9, 11, 12, 15 und 16 des baselstädtischen Gesetzes vom 9. Juni 2010 über die Information und den Datenschutz (SG 153.260, im Folgenden zitiert als IDG-BS).
- 11 Z.B. Art. 16 DSG; § 6 IDG-BS; Art. 6 des Schaffhauser Gesetzes vom 7. März 1994 über den Schutz von Personendaten (SHR 174.100).
- 12 Z.B. Art. 17 DSG, § 8 IDG-ZH, § 9 IDG-BS.
- 13 Z.B. Art. 19 DSG, § 16 IDG-ZH, § 21 IDG-BS.
- 14 Z.B. Art. 17 Abs. 2 und Art. 19 Abs. 1 DSG; § 8 Abs. 2 und § 17 IDG-ZH; § 9 Abs. 2 und § 21 Abs. 2 IDG-BS; § 9 Abs. 2 und § 19 des basellandschaftlichen Gesetzes vom 10. Februar 2011 über die Information und den Datenschutz (SG 162, im Folgenden: IDG-BL).
- 15 Z.B. Art. 6 DSG; § 19 IDG-ZH; § 23 IDG-BS; Art. 39 des Genfer loi du 5 octobre 2001 sur l’information du public, l’accès aux documents et la protection des données personnelles (RSG A2 08)
- 16 Z.B. Art. 22 DSG; § 9 Abs. 2 und § 18 IDG-ZH; § 10 und § 22 IDG-BS; Art. 7 des St. Galler Datenschutzgesetzes vom 20. Januar 2009 (SG 142.1).
- 17 Z.B. Art. 10a DSG; § 6 IDG-ZH; § 7 IDG-BS oder auch § 17 des Solothurner Informations- und Datenschutzgesetzes vom 21. Februar 2001 (InfoDG, SG 114.1).
- 18 Z.B. § 10 IDG-ZH; § 13 IDG-BS, oder aber § 12 IDG-BL, nicht jedoch der Bund.
- 19 Z.B. Art. 8 DSG; § 20 Abs. 2 IDG-ZH; § 26 IDG-BS, samt den Voraussetzungen für die Einschränkung dieses Rechts, z.B. Art. 9 und Art. 10 DSG; § 23 IDG-ZH; § 29 IDG-BS.
- 20 Z.B. Art. 25 Abs. 1 und 3 DSG; § 21 IDG-ZH; § 27 IDG-BS; § 26 ff. InfoDG oder aber Art. 22 ff. des Tessiner legge del 9 marzo 1987 sulla protezione dei dati personali (RL 1.6.1.1).
- 21 Z.B. Art. 26 ff. DSG; § 30 ff. IDG-ZH; § 37 ff. IDG-BS oder § 18 des Zuger Datenschutzgesetzes vom 28. September 2000 (SG 157.1).
- 22 § 7 IDG/ZH.
- 23 § 7 des Luzerner Gesetzes vom 2. Juli 1990 über den Schutz von Personendaten (SRL 38).
- 24 Art. 11 des Urner Gesetzes vom 20. Februar 1994 über den Schutz von Personendaten (RB 2.2511), wobei der Wortlaut sehr knapp gehalten ist.
- 25 Art. 10 des Waadtländer loi du 11 septembre 2007 sur la protection des données personnelles (RSV 172.65) mit ebenfalls sehr knappem Wortlaut.
- 26 Vgl. dazu David Rosenthal/Yvonne Jöhri, Handkommentar zum Datenschutzgesetz, Zürich 2008, Art. 7 N 2 ff.; Astrid Epiney, in: Eva Maria Belser/Astrid Epiney/Bernhard Waldmann (Hrsg.), Datenschutzrecht, Bern 2011, § 9 Rz. 50 ff.; Philippe Meier, Protection des données, Bern 2010, Rz. 780 ff.; Christa Stamm-Pfister, Art. 7 Rz. 7 ff., in: Urs Maurer-Lambrou/Gabor P. Blechta (Hrsg.), Basler Kommentar zum Datenschutzgesetz, 3. Auflage, Basel 2014 (im Folgenden zitiert als BSK-DSG-AutorIn); zum kantonalen Recht: Bruno Baeriswyl, § 8 N 9ff., in: Beat Rudin/Bruno Baeriswyl (Hrsg.), Praxiskommentar zum Informations- und Datenschutzgesetz des Kantons Basel-Stadt, Zürich 2014 (im Folgenden zitiert als PK-IDG/BS-AutorIn); Bruno Baeriswyl, § 7 N 7 ff., in: Bruno Baeriswyl/Beat Rudin (Hrsg.), Praxiskommentar zum Informations- und Datenschutzgesetz des Kantons Zürich, Zürich 2012 (im Folgenden zitiert als PK-IDG/ZH-AutorIn)
- 27 Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11).
- 28 Dazu Rosenthal/Jöhri (Fn 26), Art. 7 Rz. 22 ff.; Epiney, in: Belser/Epiney/Waldmann (Fn 26), § 9 Rz. 57; Meier (Fn 26), Rz. 815 ff.; BSK-DSG-Stamm, Art. 7 Rz. 53.
- 29 Zur Verantwortung siehe in diesem Beitrag IV, Ziff. 2.
- 30 Siehe dazu nur https://blog.opendatacity.de/der-zerfall-der-printmedien/> oder aber http://www.welt.de/welt_print/article3557695/Das-grosse-Zeitungssterben.html.
- 31 Siehe dazu exemplarisch die baselstädtische Verordnung vom 3.Januar 1984 betreffend Publikation, Wirksamkeit und Aufhebung allgemeinverbindlicher Erlasse (Publikationsverordnung; SG 151.300) oder aber die Glarner Publikationsverordnung vom 12. August 2014 (GS I D/24/2).
- 32 Vgl. beispielsweise § 1 des baselstädtischen Gesetzes vom 27. April 1911 betreffend die Einführung des Schweizerischen Zivilgesetzbuches (SG 211.100) sowie Art. 10 des Jurassischen loi du 9 novembre 1978 sur les publications officielles (RSJU 170.51).
- 33 Art. 35 des Bundesgesetzes vom 11. April 1889 über Schuldbetreibung und Konkurs (SchKG, SR 281.1).
- 34 Art. 88 der Schweizerischen Strafprozessordnung vom 5. Oktober 2007 (StPO, SR 312.0) i.V.m. bspw. § 26 des baselstädtischen Gesetzes vom 13. Oktober 2010 über die Einführung der Schweizerischen Strafprozessordnung (SG 257.100).
- 35 Siehe dazu Francis Nordmann, Art. 35 N 1, in: Adrian Staehelin/Thomas Bauer/Daniel Staehelin (Hrsg), Kommentar zum Bundesgesetz über Schuldbetreibung und Konkurs, 2. Auflage, 2010 Basel oder aber Sararard Arquint, Art. 88 N 1 ff., in: Marcel Alexander Niggli/Marianne Heer/Hans Wiprächtiger, Basler Kommentar zur Schweizerischen Strafprozessordnung und zur Jugendstrafprozessordnung, 2. Auflage, 2014 Basel.
- 36 Wenn auch «nur» im privatrechtlichen Bereich, so in der EU-Datenschutzgrundverordnung (siehe dazu die Zusammenfassung des Verhandlungsführers des Europäischen Parlaments Jan Philipp Albrecht auf https://www.janalbrecht.eu/fileadmin/material/Dokumente/Datenschutzreform_Stand_der_Dinge_10_Punkte_110615.pdf) und im Entscheid EuGH, Rs. C-131/12, ECLI:EU:C:2014:317 (Google Spain SL und Google Inc. gegen Agencia Española de Protección de Datos (AEPD) und Mario Costeja González).
- 37 Vgl. dazu zum in Fn 37 genannten Urteil die kritischen Schlussanträge des Generalanwalts Niilo Jääskinen vom 25. Juni 2013, ECLI:EU:C:2013:424 sowie die Kritik von Daniel Hürlimann, Das Google-Urteil des EuGH und die Entfernungspflicht von Suchmaschinen nach schweizerischem Recht, sui-generis, 30. August 2014, abrufbar unter http://sui-generis.ch/1#note-34.
- 38 Art. 122 bzw. Art. 123 der Schweizerischen Bundesverfassung vom 18. April 1999 (BV, SR 101).
- 39 Ein Entwurf für ein Publikationsgesetz befand sich zum Zeitpunkt der Abgabe dieses Artikels in der kantonsinternen Vernehmlassung.
- 40 Basellandschaftliche Verordnung vom 26. Juni 2007 über das Internet-Amtsblatt (SGS 106.12).
- 41 § 6 Abs. 3 des Zuger Gesetzes vom 29. Januar 1981über die Veröffentlichung der Gesetze und das Amtsblatt (BGS 152.3).
- 42 Art. 1 der Freiburger Verordnung vom 21. Dezember 2010 über das Amtsblatt (RFS 124.21).
- 43 Art. 4 des Tessiner regolamento del 15 aprile 2015 sulle pubblicazioni ufficiali (RL 1.7.3.1.1).
- 44 Art. 8 des Glarner Publikationsgesetzes vom 4. Mai 2014 (GS I D/24/1).
- 45 http://www.staatsarchiv.sg.ch/home/auds/18/_jcr_content/Par/downloadlist_3/DownloadListPar/download_0.ocFile/Praesentation%20Kansy%20Luethi.pdf.
- 46 Machbarkeitsstudie «Projekt Digital Access 2 Archives», dem Datenschutzbeauftragten des Kantons Basel-Stadt im Rahmen der Projektberatung vorgelegt.
- 47 So beispielsweise die Formulierung in § 6 des baselstädtischen Gesetzes vom 11. September 1996 über das Archivwesen (SG 153.600), ähnlich aber auch die Wortwahl des § 13 des Zürcher Archivgesetzes vom 24. September 1995 (LS 170.6): «Die Archive unterhalten die Akten sorgfältig, fachgerecht und reproduzierbar, sie sichern sie gegen Verderb und Verlust und führen über sie ausführliche Verzeichnisse.»
- 48 https://de.wikipedia.org/wiki/Geschwindigkeits%C3%BCberwachung.
- 49 Erster Einsatz Mitte der 90er Jahre des letzten Jahrhunderts, siehe dazu http://www.vidit-systems.de/index.php/kennzeichenerkennungssysteme/catch-ken-mobile-und-stationaere-kennzeichenerkennungssysteme.
- 50 http://www.vidit-systems.de/index.php/kennzeichenerkennungssysteme/catch-ken-on-kennzeichenerfassung-aus-dem-fahrenden-fahrzeug; http://www.bredar.ch/index.php/de/catch-ken.
- 51 Rechtssätze müssen folglich ein voraussehbares, berechenbares und rechtsgleiches Verwaltungshandeln sicherstellen und daher ein hinreichen- des und angemessenes Mass an Bestimmtheit aufweisen (statt vieler BGE 130 I 1, E. 3.1).
- 52 Strassenverkehrskontrollverordnung, SKV, SR 741.013.
- 53 Basellandschaftliches Polizeigesetz vom 28. November 1996, SGS 700.
- 54 Dieser Abschnitt stammt im Wesentlichen aus dem Tätigkeitsbericht des Jahres 2014 des Datenschutzbeauftragten des Kantons Basel-Stadt, abrufbar unter http://www.dsb.bs.ch/dam/dsb/download/publikationen/taetigkeitsberichte/2014_taetigkeitsbericht/TB-DSB2014.pdf.
- 55 ISO/IEC 38500:2008 Corporate governance of information technology.
- 56 Vgl. dazu nur Art. 16 DSG, § 6 IDG/BS, Art. 17 des Freiburger Gesetzes vom 25. November 1994 über den Datenschutz (RSF 17.1) oder aber Art. 11 des Jurassischen loi du 15 mai 1986 sur la protection des données à caractère personnel (RSJU 170.41).