Datenschutz Aufsichtsstelle über den Datenschutz der Stadt Burgdorf. Bericht vom der Geschäftsprüfungskommission

Transkript

1 Datenschutz 2012 Aufsichtsstelle über den Datenschutz der Stadt Burgdorf Datenschutz 2012 Bericht vom der Geschäftsprüfungskommission

2

3 Zur Datenschutzaufsicht in der Stadt Burgdorf Gemäss Art. 33 Abs. 1 des kantonalen Datenschutzgesetzes (KDSG) 1 bezeichnet jede Gemeinde im Kanton Bern eine Aufsichtsstelle für den Datenschutz. Diese steht unter der Oberaufsicht der kantonalen Datenschutzaufsichtsstelle. Die Stadt Burgdorf hat durch Reglemente die Geschäftsprüfungskommission des Stadtrats (GPK) mit der Wahrnehmung dieser Aufgabe beauftragt (vgl. Art. 18 Abs. 2 Kommissionsreglement 2 und Art. 10 Datenschutzreglement 3 ). Die Datenschutzaufsicht ist eine eigenständige, im Wesentlichen vom kantonalen Recht geregelte Aufgabe der GPK. Diese hat die Datenschutzaufsichtsprozesse in ihrem GPK-Handbuch festgelegt. 4 Darüber hinaus prüft die GPK im Rahmen ihrer jährlichen Verwaltungskontrolle bei einer der Direktionen der Stadtverwaltung auch den Datenschutz. Auf einzelne besondere Aufgaben der Aufsichtsstelle für Datenschutz wird nachfolgend in den entsprechenden Kapiteln hingewiesen. Für ihre Datenschutzaufgaben (z.b. den Beizug externer Fachpersonen) verfügt die GPK über ein eigenes Budget. Die GPK informiert den Stadtrat jährlich über ihre Tätigkeit als Aufsichtsstelle für Datenschutz (Art. 34 Abs. 1 Bst. m KDSG; Art. 14 Abs. 2 DSR). Dazu dient der vorliegende Bericht, der im Internet veröffentlicht wird. Register der Datensammlungen Jede Gemeinde im Kanton Bern muss ein öffentlich zugängliches, im Internet publiziertes Register der Datensammlungen führen, welches darüber Auskunft gibt, welche Sammlungen von Personendaten (IT-Datenbanken, Register, Adresslisten, Dossiers, etc.) in der Stadtverwaltung vorhanden sind (Art. 18 KDSG). Das Register enthält für jede Datensammlung die Angaben über die Rechtsgrundlage, die verantwortlichen Behörden, den Zweck und die Mittel der Bearbeitung, Art und Umfang der bearbeiteten Personendaten, die Personendaten, die andern Behörden oder privaten Personen regelmässig bekanntgegeben werden sowie die Empfänger und die ordentliche Aufbewahrungszeit der Personendaten. Verantwortlich dafür, dass ein aktuelles Register der Datensammlungen besteht, ist die Aufsichtsstelle (Art. 18 Abs. 1 KDSG), zuständig für den Aufbau und Betrieb des Registers ist aber die Stadtverwaltung (Art. 4 DSR). Obwohl diese Vorschrift im kantonalen Recht seit dem 1. Januar 1988 in Kraft ist, hat die Stadt Burgdorf bis heute kein aktuelles Register der Datensammlungen. Die GPK hat diesen Umstand bereits im Jahr 2007 gerügt. Das Projekt zum Aufbau des Registers wurde dann aber zuerst wegen der Teilrevision des kantonalen Datenschutzrechts, dann wegen der Totalrevision des Datenschutzreglements der Stadt Burgdorf verschoben. Der Gemeinderat und die GPK haben nun Ende Mai 2011 gemeinsam beschlossen, dass das Register der Datensammlungen spätestens am 30. Juni 2012 aufgeschaltet sein muss. Dieser Termin konnte nicht eingehalten werden. Ende 2012 liegen nun aber von allen Direktionen Entwürfe ihres jeweiligen Teils des Registers vor, welche mit dem Sekretariat der GPK bereinigt wurden. Einer Aufschaltung des Registers der Datensammlungen per 1. Januar 2013 sollte somit nichts mehr im Weg stehen Datenschutzgesetz (KDSG) vom 19. Februar 1986 (BSG ). Kommissionsreglement vom 1. Februar Datenschutzreglement (DSR) vom 20. September Siehe Handbuch der Geschäftsprüfungskommission Version 1.0 vom 25. November 2010, Anhang II: Beschreibung der Kernprozesse, Kernprozesse e.1-e

4 Anfragen aus der Stadtverwaltung Das Sekretariat der GPK war im Berichtsjahr mehrmals mit Anfragen aus der Verwaltung befasst. Die überwiegende Anzahl der Anfragen betraf dabei Aspekte der neuen Technologien. Drei dieser Anfragen sind besonders erwähnenswert, weil sie sich mit beliebten Datenaustauschplattformen befassten: Dropbox: Das Sekretariat der GPK kam zu folgendem Schluss: Wenn es sich bei den Dateien, die in Dropbox abgelegt werden sollen, um Dateien handelt, die zum Bestand der amtlichen Daten bzw. Akten der Stadt Burgdorf oder einer anderen Gemeinde gehören, dann ist eine Verwendung von Dropbox höchst problematisch und sollte unterlassen werden. Wenn es sich bei den Datensätzen um Daten handelt, welche im Rahmen eines Projekts die mit der Ausführung des Projekts befasste Unternehmung auch Mitarbeitenden der Stadt Burgdorf zur Verfügung stellen will, dann ist die Verwendung von Dropbox nicht ausgeschlossen, sie erfolgt dann aber in der Verantwortlichkeit der beauftragten externen Unternehmung. Es wird auf die ausführliche Stellungnahme im Anhang 1 verwiesen. Cloud Computing (Cloud Storage): Während des Berichtjahrs erhielt das Sekretariat der GPK verschiedentlich aus der Burgdorfer Stadtverwaltung Anfragen, ob und unter welchen Voraussetzungen für Mitarbeitende der Stadtverwaltung in ihrer dienstlichen Tätigkeit Cloud Storage zulässig wäre. Der GPK-Sekretär vertrat die Auffassung, dass für öffentliche Verwaltungen in der Schweiz Cloud Storage dann zulässig ist, wenn (kumulativ) der Anbieter der Cloud mit seinen Servern in der Schweiz stationiert ist und die Übermittlung und Speicherung der Dokumente in (kryptographisch) verschlüsselter Form erfolgt. Es war ihm aber nicht gelungen, solchen Anbieter zu finden. Am ehesten schien ihm das Angebot von WULA zulässig. Er richtete deshalb eine Anfrage an die Datenschutzaufsichtsstelle des Kantons Bern. Diese äusserte sich in ihrer Antwort zur Frage der datenschutzrechtlichen Anforderungen an einen Cloud Anbieter und zur Datenübermittlung ins Ausland allgemein sowie zum Angebot von WULA im Besonderen. Sie führte abschliessend folgendes aus: "Beim heutigen Stand der Technik ist es nicht möglich einen Anbieter zu empfehlen, der alle Anforderungen zweifelsfrei erfüllt. Auch WULA kann bei den genannten Defiziten nach der Fraunhofer Studie für die öffentliche Verwaltung nicht ohne weiteres und ohne weitere Abklärungen empfohlen werden." Es wird auf die im Anhang 2 auszugsweise wiedergegebene Antwort verwiesen. WhatsApp: Die Anfrage bezüglich WhatsApp wurde direkt an die Datenschutzaufsichtsstelle des Kantons Bern gerichtet, welche nach Rücksprache mit dem Büro des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten antwortete dass die "Verwendung (und bereits die Installation) von WhatsApp auf einem zu dienstlichen Zwecken eingesetzten Handy mit dem bernischen Datenschutzrecht (insbesondere mit Art 14a KDSG) wie vom betroffenen Jugendarbeiter vermutet nicht vereinbar ist." Vorabkontrollen im IT-Bereich (Art. 17 KDSG) Beabsichtigt eine Behörde, Personendaten einer grösseren Anzahl von Personen elektronisch zu bearbeiten, unterbreitet sie die beabsichtigte Datenbearbeitung vor deren Beginn der Aufsichtsstelle zur Stellungnahme, wenn zweifelhaft ist, ob eine genügende Rechtsgrundlage besteht, besonders schützenswerte Personendaten bearbeitet werden, eine besondere Geheimhaltungspflicht besteht oder technische Mittel 2...

5 mit besonderen Risiken für die Rechte und Freiheiten der betroffenen Personen eingesetzt werden (Art. 17a KDSG). Die GPK hat im Berichtsjahr keine Vorabkontrolle durchgeführt. Aufsichtsrechtliche Verfahren Bei der GPK gingen im Berichtsjahr keine aufsichtsrechtlichen Anzeigen (Beschwerden) von Bürgerinnen und Bürgern betreffend den Datenschutz ein. Verfahren betreffend Videoüberwachung Wenn der Gemeinderat eine Videoüberwachung im öffentlichen Raum beabsichtigt, muss er das Zustimmungsgesuch, das er an die Kantonspolizei stellt, auch der Aufsichtsstelle zur Stellungnahme zukommen lassen (Art. 8 Abs. 1 DSR). Im Berichtsjahr wurde die GPK nicht mit einem förmlichen Zustimmungsgesuch zur Videoüberwachung befasst. Die Stadtverwaltung wurde aber von einer privaten Liegenschaftsverwaltung hinsichtlich der Videoüberwachung eines lauben-artigen gedeckten Vorplatzes angefragt. Der Sekretär der GPK kam auf Anfrage der Präsidialabteilung zum Schluss, dass hier die Überwachung bzw. Mit-Überwachung von öffentlichem Raum vorgesehen ist und dass eine solche Überwachung nur durch die Polizei mittels einer bewilligten Anlage zulässig wäre. Der Rechtsdienst der von der Stadtverwaltung angefragten Kantonspolizei kam im Wesentlichen zum gleichen Schluss. Da die Situation mit den Laubengängen in der Berner Altstadt vergleichbar war, wurden von der Datenschutzaufsichtsstelle der Stadt Bern, geeignete Beispiele beigezogen. Letztlich fand auf Anregung der GPK eine Begehung vorort statt, an welcher neben einer Vertretung der privaten Liegenschaftsverwaltung, der Kantonspolizei und der Einwohner- und Sicherheitsdirektion (ESiD) auch der Präsident und der Sekretär der GPK teilnahmen. Dank der guten Behördenzusammenarbeit konnten die Fragen auf diese Weise unkompliziert vorort geklärt werden. Es konnte festgehalten werden, dass es beim gedeckten Vorplatz einen Teilbereich gibt, den die Liegenschaftsverwaltung privat mit Video überwachen kann, dass demgegenüber jener Teil, der als Laubengang den Durchgang von Passantinnen und Passanten dient, privat nicht überwacht werden darf. Eine Überwachung dieses Teils durch eine bewilligte Videokamera der Gemeinde kommt nicht in Frage, da die gesetzlichen Voraussetzungen dazu nicht erfüllt sind. An der Besprechung wurde auch klar, dass Videoüberwachung zum Schutz vor Vandalentum kein Allerweltsmittel ist und dass es wirksamer sein kann, das bestehende gerichtliche Verbot durchzusetzen oder Massnahmen von "community policing" anzuwenden. Verfahren betreffend die Entbindung vom Amtsgeheimnis Für die Entbindung vom Amtsgeheimnis ist gemäss Art. 15 DSR zuständig: - der Gemeinderat für seine Mitglieder und für das Personal der Stadtverwaltung; - der Gemeinderat für Mitglieder von Kommissionen, mit Ausnahme von stadträtlichen Kommissionen; - die Geschäftsprüfungskommission für ihre Mitglieder, ihre Sekretärin bzw. ihren Sekretär sowie die Mitglieder stadträtlicher Kommissionen. Die GPK wurde im Berichtsjahr nicht mit einem Gesuch um Entbindung vom Amtsgeheimnis befasst....3

6 Besonderes aus dem Berichtsjahr A. Datenschutzausbildung der Stadtverwaltung Auf Wunsch des Gemeinderats führte der Sekretär der GPK im Berichtsjahr eine umfassende Datenschutzausbildung mit der Stadtverwaltung durch. Diese umfasste einerseits ein Modul der Grundausbildung von rund drei Stunden, welches dreimal durchgeführt wurde, und andererseits direktionsspezifische Vertiefungen von je zwei Stunden. An der Grundausbildung nahmen insgesamt rund 80 Personen teil. Direktionsspezifische Ausbildungen wurden mit allen Direktionen ausser der Präsidialdirektion (PraD) durchgeführt. An allen Ausbildungsveranstaltungen nahm auch der Leiter der zentralen Informatikdienste teil, welcher in der Stadt Burgdorf für den technischen Datenschutz zuständig ist. B. Handbuch "Informationsaustausch unter Behörden" des Kantons Anfangs November 2012 hat die Justiz-, Gemeinde- und Kirchendirektion des Kantons Bern ein Handbuch "Informationsaustausch unter Behörden" öffentlich vorgestellt, welches unter Mitarbeit zweier verwaltungsexterner Juristen erarbeitet wurde und den Behörden bzw. Verwaltungen des Kantons und der Gemeinden eine Hilfestellung hinsichtlich der Fragen der Zulässigkeit des Informationsaustausches (Datenschutz, besondere Geheimhaltungspflichten, Öffentlichkeitsprinzip) in schwierigen Situationen bieten soll. Die GPK begrüsste es grundsätzlich, dass der Kanton ein solches Hilfsmittel zur Verfügung stellt, und erachtete das neue Handbuch in grossen Teilen auch als nützliches Instrument. Sie sah sich aber gleichzeitig auch veranlasst, auf einige erhebliche Schwachstellen des Handbuchs hinzuweisen, es wird auf den Anhang 3 verwiesen. Anhänge: 1 Auskunft des GPK-Sekretariats i.s. Dropbox 2 Auszüge aus der Antwort der kantonalen Datenschutzaufsichtsstelle zum Thema Cloud Storage 3 Stellungnahme der GPK zum Handbuch "Informationsaustausch unter Behörden" Geht an: - die Mitglieder des Stadtrats (zur Information); - die Präsidialabteilung zur Veröffentlichung im Internet; - die Datenschutzaufsichtsstelle des Kantons Bern 4...

7 Anhänge Anhang 1: Auskunft des GPK-Sekretariats i.s. Dropbox "Ich danke Ihnen für Ihre Anfrage, zu der ich wie folgt Stellung nehmen kann: Dropbox ist m.e. eine sehr problematische Anwendung, insbesondere aus der Sicht des Datenschutzes und des Datenschutzrechts. Die Server von Dropbox befinden sich in den U.S.A. Auf die dort gespeicherten Daten findet somit die U.S. Gesetzgebung Anwendung, insbesondere auch der Patriot s Act und der Home Security Act. Mithin kann einmal grundsätzlich festgehalten werden, dass die Dropbox vor den amerikanischen Geheimdiensten nicht sicher ist. Datenschutzrechtlich handelt es sich beim Abspeichern von Dateien in Dropbox um eine Bekanntgabe von Daten ins Ausland. Diese ist grundsätzlich nicht oder nur unter bestimmten Umständen zulässig. Die U.S.A. gelten datenschutzrechtlich in der Schweiz als unsicheres Land, weil die U.S. Gesetzgebung keinen vergleichbaren Datenschutz vorsieht. Damit ein Datenaustausch problemlos ist, müsste ein U.S. Unternehmen gemäss den U.S.-Swiss Safe Harbor Framework zertifiziert sein. Die Dropbox Inc. Ist in der Liste dieser Firmen eingetragen (hinsichtlich On-line-data ). Allerdings wurde das U.S.-Swiss Safe Harbor Framework zur Vereinfachung und zur besseren Sicherheit des Personendatenaustausches zwischen Unternehmen in der Schweiz und in den U.S.A. aufgebaut und nicht hinsichtlich des Datentransfers von öffentlich-rechtlichen Körperschaften im Rahmen der Erfüllung ihrer öffentlichen Aufgaben. M.E. muss die Frage differenziert beantwortet werden. Wenn es sich bei den Dateien, die in Dropbox abgelegt werden sollen, um Dateien handelt, die zum Bestand der amtlichen Daten bzw. Akten der Stadt Burgdorf oder einer anderen Gemeinde gehören, dann ist eine Verwendung von Dropbox m.e. höchst problematisch und sollte unterlassen werden. Wenn es sich bei den Datensätzen um Daten handelt, welche im Rahmen eines Projekts die mit der Ausführung des Projekts befasste Unternehmung auch Mitarbeitenden der Stadt Burgdorf zur Verfügung stellen will, dann ist die Verwendung von Dropbox m.e. nicht ausgeschlossen, sie erfolgt dann aber in der Verantwortlichkeit der beauftragten externen Unternehmung. Den Schutz der auf Dropbox abgelegten Daten kann man erhöhen, wenn man diese verschlüsselt auf Dropbox ablegt und zwar mit einer Verschlüsselung, die man vor der Ablage in Dropbox mit einem eigenen/anderen Verschlüsselungsinstrument vorgenommen hat. Gemäss eigenen Informationen kann Dropbox Datensätze, die sie nicht selber verschlüsselt hat, nicht entschlüsselt den Behörden zur Verfügung stellen."

8 Anhang 2: Auszüge aus der Antwort der kantonalen Datenschutzaufsichtsstelle zum Thema Cloud Storage "KDSG Anforderungen an einen Cloud Anbieter Bei einer Auslagerung der Datenspeicherung bleibt der Datenherr vollumfänglich verantwortlich für die Bearbeitung personenbezogener Daten. Der Cloud-Anbieter selber untersteht nach Art. 16 KDSG den gleichen Anforderungen wie der Datenherr. Die Gewährleistung der datenschutzrechtlichen Anforderungen muss vom Datenherrn vertraglich vereinbart und mit geeigneten technischen und organisatorischen Massnahmen gesichert werden. Insbesondere muss die Datensicherheit, der Schutz vor Verlust und Missbrauch sowie Vertraulichkeit und Integrität in jedem Stadium einer Datenbearbeitung gewährleistet sein. Daten müssen ausserdem jederzeit verfügbar sein, z.b. für Auskunftsbegehren, Berichtigungen und Löschungen. Ebenso muss ihre sichere und umfassende Portabilität und Interoperabilität gewährleistet sein. Der Datenherr muss jederzeit Aufbewahrungs-, Beweis- und Geheimhaltungspflichten nachkommen können. Und es müssen Garantien zum Schutz vor einer unerlaubten Bekanntgabe von Daten ins Ausland vereinbart und abgesichert werden (vgl. Art. 14a KDSG), bzw. es muss der Schutz vor einem unerlaubten Zugriff anderer Länder und Gerichte sicher gestellt werden. Bei einer Cloudauslagerung wäre nach kantonalem Datenschutzrecht regelmässig eine Vorabkontrolle nach Art. 17a KDSG durchzuführen (Art. 17a Abs. 1 Buchst. d KDSG i.v.m. Art. 7 DSV). Bei der Vorabkontrolle wären u.a. technische und organisatorische Sicherheiten, die rechtliche Einbindung des Cloudanbieters und mögliche Datenbekanntgaben ins Ausland zu prüfen." "Datenbekanntgabe ins Ausland Eine Datenübermittlung auf Server im Ausland beurteilt sich folglich nach Art. 14a KDSG. Daten dürfen nach Art. 14a Abs. 1 KDSG nur dann ins Ausland bekannt gegeben werden, wenn die vergleichbare Gesetzgebung im Ausland ein angemessenes, d.h. vergleichbares Schutzniveau aufweist. Gemäss Staatenliste des EDÖB (abrufbar unter: letztmals aktualisiert am 5. September 2012) gelten Deutschland und Frankreich als Staaten mit einem angemessenen Schutzniveau für Personendaten. Eine Bekanntgabe von Daten in diese Länder ist grundsätzlich keine "schwerwiegende Gefährdung" im Sinne des KDSG. Damit sind aber noch nicht alle Fragen geklärt. Auch in diesem Fall bleibt weiter zu prüfen, ob die übermittelten Daten beim Server im Ausland umfassend gesichert und jederzeit verfügbar sind und ob jeglicher fremde Zugriff unmöglich ist. Der Auftraggeber wird mit dem Cloud-Anbieter vertraglich umfassende Datenschutzgarantien vereinbaren und absichern müssen und zwar unter Einbezug aller Subunternehmer. Vgl. dazu die die Anforderungsdokumentation des EDÖB, die sinngemäss für die Anwendung des KDSG herangezogen werden kann, abrufbar unter: (Art. 14a KDSG hat weitgehend den gleichen Wortlaut wie Art. 6 Bundesgesetz über Datenschutz (DSG; abrufbar unter: Abweichung: Art. 6 DSG enthält zusätzlich den Bst. f). Abs. 3 von Art. 14a KDSG verlangt eine rechtzeitige Information der Aufsichtsstelle."

9 Anhang 3: Stellungnahme der GPK zum Handbuch "Informationsaustausch unter Behörden" Anfangs November 2012 hat die Justiz-, Gemeinde- und Kirchendirektion des Kantons Bern ein Handbuch "Informationsaustausch unter Behörden" öffentlich vorgestellt, welches unter Mitarbeit zweier verwaltungsexterner Juristen erarbeitet wurde und den Behörden bzw. Verwaltungen des Kantons und der Gemeinden eine Hilfestellung hinsichtlich der Fragen der Zulässigkeit des Informationsaustausches (Datenschutz, besondere Geheimhaltungspflichten, Öffentlichkeitsprinzip) in schwierigen Situationen bieten soll. Die Geschäftsprüfungskommission begrüsst es grundsätzlich, dass der Kanton ein solches Hilfsmittel zur Verfügung stellt, und erachtet das neue Handbuch in grossen Teilen auch als nützliches Instrument. Bei der genaueren Betrachtung musste die Geschäftsprüfungskommission allerdings im Handbuch Schwachstellen feststellen. Sie sieht es als ihre Aufgabe als Aufsichtsstelle für den Datenschutz an, den Gemeinderat und die Stadtverwaltung über die wesentlichen Schwachstellen nachfolgend zu informieren. Schwachstelle "Kein Erfordernis einer sachgesetzlichen Grundlage" Im Teil B.2 findet sich die Ziffer 2.2 (S. 24 f.) mit dem höchst problematischen Titel "Kein Erfordernis einer sachgesetzlichen Grundlage für den Informationsaustausch unter Behörden". Nach weitgehend richtigen Hinweisen auf die bundesgerichtliche Rechtspraxis findet sich auf Seite 25 die folgende Aussage: "Für die Zulässigkeit der Weitergabe von Informationen unter Behörden auf Anfrage reicht es damit aus, wenn die gesetzliche Aufgabe einer Behörde klar definiert ist." diese Aussage bzw. Anleitung ist schlichtweg falsch. Weil es sich um das verfassungsmässigen Recht auf Datenschutz handelt, muss grundsätzlich jeder Eingriff in dieses Grundrecht und damit jeder Austausch von Personendaten auf einer gesetzlichen Grundlage beruhen (Art. 36 Abs. 1 der Bundesverfassung). Damit nun nicht zwingend in jeder Fachgesetzgebung für alle möglichen Fälle von Datenaustausch unter Behörden eine ausdrückliche Rechtsgrundlage geschaffen werden muss, enthält Art. 5 des kantonalen Datenschutzgesetzes (KDSG) eine generalklauselartige Ermächtigung, die dann als gesetzliche Grundlage genügt. Demnach dürfen Personendaten bearbeitet werden, wenn (kumulativ) das Bearbeiten einer gesetzlichen Aufgabe dient (Art. 5 Abs. 1 KDSG), die Personendaten und die Art des Bearbeitens für die Erfüllung der gesetzlichen Aufgabe geeignet und notwendig sind (Art. 5 Abs. 3 KDSG) und die Zweckbindung gewahrt bleibt (Art. 5 Abs. 2 und 4 KDSG). Zudem werden das Amtsgeheimnis sowie besondere Geheimhaltungsvorschriften ausdrücklich vorbehalten (Art. 5 Abs. 5 KDSG). Dies geht auch aus dem auf Seite 25 des Handbuchs zitierten Bundesgerichtsurteil klar hervor. Die Voraussetzungen dieser allgemeinen Bestimmungen des KDSG sind nach dem Willen des Gesetzgebers auch bei der Anwendung von Art. 10 KDSG, d.h. bei der Datenbekanntgabe an Behörden zu berücksichtigen (vgl. Vortrag zum KDSG, S. 4). Demnach darf eine Bearbeitung von Personendaten ohne ausdrückliche gesetzliche Grundlage dann erfolgen, wenn sie für eine in einem Gesetz klar umschriebene öffentliche Aufgabe notwendig bzw. unentbehrlich ist. Schwachstelle Polizeibegriff Für verschiedene Ausführungen und Empfehlungen im Handbuch ist der Polizeibegriff gemäss Art. 50 Abs. 1 des Polizeigesetzes (PolG) von zentraler Bedeutung. Das Handbuch geht von einem sehr weiten Polizeibegriff aus, wonach "als 'Polizeiorgane des Kantons und der Gemeinden' sämtliche kantonalen und kommunalen Stellen zu gelten haben, die Aufgaben gemäss Art. 10a PolG wahrnehmen" (Buchli/Friederich, Memorandum Informationsaustausch unter Behörden vom , S. 15). Demnach greift das Amtsgeheimnis im Informationsaustausch unter diesen Stellen nicht und es wird von einem weitgehend freien Informationsaustausch unter diesen Stellen ausgegangen. Dieser weite Polizeibegriff kann weder aus den Materialien des Polizei-...7

10 gesetzes noch sonstwie abgeleitet werden. Die Autoren des Handbuchs führen denn selber aus, es sei kaum anzunehmen, "dass die mit diesen Aufgaben befassten Stellen selbst Art. 50 PolG in diesem weiten Sinn verstehen" (Buchli/Friederich, a.a.o., S. 15). Angesichts dieser Erkenntnisse ist es geradezu unverantwortlich, in einem Handbuch für die Verwaltung von einem ungesicherten, zu weiten Polizeibegriff auszugehen. Die Liste der zur Polizei im Sinne von Art. 50 PolG gehörenden Behörden auf Seite 66 des Handbuchs ist somit zu weit bzw. zu undifferenziert. Die für die Bewilligung der Nutzung des öffentlichen Grundes zuständige kommunale Behörde, kommunale Polizeiinspektorate, die Gewerbepolizei sowie die Migrationsdienste beziehungsweise Fremdenpolizeibehörden gehören nicht generell sondern allenfalls nur in bestimmten Funktionen zum Polizeibegriff gemäss Art. 50 PolG. Das Zweckbindungsgebot des Datenschutzrechts als Ausfluss des verfassungsmässigen Rechts auf Schutz vor Missbrauch der Personendaten wird durch Art. 50 PolG in diesem Sinne nicht einfach aufgehoben. Schwachstelle "Verpflichtung, Personendaten weiterzugeben" In den abschliessenden Empfehlungen des Handbuchs (E.1, Ziff. 1.1, S. 139) findet sich der folgende Satz. "Nach dem KDSG besteht hingegen grundsätzlich eine Verpflichtung, Personendaten weiterzugeben, wenn...". Diese Aussage ist grundlegend falsch. Es kann aus dem KDSG in keiner Weise d.h. weder aus dem Wortlaut, noch aus den Materialien noch aus der Rechtsvergleichung mit anderen Datenschutzgesetzgebungen abgeleitet werden, es bestehe eine Verpflichtung zum Datenaustausch unter Behörden. Eine Ausnahme bildet lediglich die Bekanntgabe von Daten aus dem Einwohnerregister gemäss Art. 10 KDSG. Die Geschäftsprüfungskommission weist zudem darauf hin, dass die Ausführungen im Handbuch für Datenschutzaufsichtsbehörden und für Justizbehörden (z.b. Regierungsstatthalteramt, Verwaltungsgericht) nicht bindend sind. Der Hinweis in einem Strafverfahren, man habe das Handbuch angewendet, schützt zudem wohl kaum vor einer Verurteilung wegen Verletzung des Amtsgeheimnisses. Im Rahmen der Vorbereitung der direktionsspezifischen Datenschutzausbildungen hat das Sekretariat der Geschäftsprüfungskommission auch einzelne Teile des Handbuchs vertieft geprüft. Im positiven Sinne kann diesbezüglich festgehalten werden, dass das Kapitel D.4, Jugendschutz, S. 109 ff. Ziff , ohne Fallbeispiel (Ziff. 4.6), das Fallbeispiel 7, S. 89 ff., das Fallbeispiel 9, S. 96 ff. sowie das Fallbeispiel 10, S. 99 ff. in Ordnung sind und nützliche Hinweise geben