Die Verwaltung von Personendaten durch Gemeinden
Im Jahr 2025 wandten sich vermehrt Gemeinden an die Datenschutzbeauftragte mit der Frage, ob und in welcher Form die Zugriffskonzepte von Geschäftsverwaltungssystemen so ausgestaltet werden können, dass eine abteilungsübergreifende Einsicht in die Geschäfte ermöglicht wird.
Öffentliche Organe des Kantons Zürich und die Gemeinden haben beim Umgang mit Informationen die Vorgaben des Gesetzes über die Information und den Datenschutz (IDG) zu achten. Im Kontext der Ausgestaltung von internen Zugriffsberechtigungen ist die Bestimmung zur Informationssicherheit sowie der Grundsatz der Verhältnismässigkeit hervorzuheben.
Die Informationen eines öffentlichen Organs sind durch angemessene technische und organisatorische Massnahmen zu schützen, insbesondere gegen unbefugte Zugriffe. Hierbei ist insbesondere darauf zu achten, dass die Informationen nicht Unberechtigten zur Kenntnis gelangen. Die Vertraulichkeit ist dabei auch innerhalb eines öffentlichen Organs zu gewährleisten. Der Zugriff auf Personendaten in den einzelnen Bereichen (Abteilungen, Ämter, Fachstellen etc.) der Gemeinde ist deswegen auf diejenigen Mitarbeitenden zu beschränken, die sie zur Erfüllung ihrer Aufgaben benötigen. Das Schutzziel der Vertraulichkeit wird insbesondere durch die Definition und Vergabe von restriktiven Berechtigungen erreicht.
Aus dem Grundsatz der Verhältnismässigkeit lässt sich ableiten, dass Mitarbeitende nur auf diejenigen Informationen Zugriff erhalten, welche für ihre eigene Aufgabenerfüllung notwendig sind. Der Zugriff auf Systeme und Anwendungen erfolgt somit nur nach vordefinierten Rollen und Berechtigungen. Die Berechtigungen werden nach dem Need-to-know-Prinzip vergeben: Die Gemeinden haben sicherzustellen, dass jede Mitarbeiterin und jeder Mitarbeiter nur jene Zugriffsrechte erhält, die für ihre oder seine Funktion und Tätigkeit erforderlich sind. Ein offenes Zugriffskonzept einzuführen, in dem die Mitarbeitenden abteilungsübergreifend Zugänge hätten, ist somit nicht mit den datenschutzrechtlichen Vorgaben vereinbar.
Der Zugriff auf Personendaten in den einzelnen Bereichen (Abteilungen, Ämter, Fachstellen etc.) der Gemeinde ist deswegen auf diejenigen Mitarbeitenden zu beschränken, die sie zur Erfüllung ihrer Aufgaben benötigen.
Da die Pflicht zur Vertraulichkeit innerhalb eines öffentlichen Organs und zwischen den einzelnen Bereichen gilt, muss sie erst recht zwischen verschiedenen öffentlichen Institutionen bestehen. Dies betrifft auch die Lösungen für das Personalwesen. Ist eine strikte Trennung der Personendaten zwischen verschiedenen Institutionen nicht möglich, sind nach dem Need-to-know-Prinzip einzelne Mitarbeitende zu bezeichnen, die für ihre Aufgabenerfüllung zwingend auf den Zugriff angewiesen sind. Die Zahl der berechtigten Personen ist auf das absolut notwendige Minimum zu begrenzen. Die Berechtigten sind in einer internen Weisung als solche zu bezeichnen. Diese Mitarbeitenden sind dahingehend zu schulen, dass sie immer nur die ihren Aufgabenbereich betreffenden Daten abrufen.
Die organisatorische Beschränkung von Einsichtsrechten durch die manuelle Vergabe von Zugriffsberechtigungen an einzelne Mitarbeitende stellt jedoch eine Notlösung dar. Sobald technisch möglich, beispielsweise durch neue und beschränkte Berechtigungsprofile, ist eine strikte Trennung vorzunehmen und auf ein systematisches Rollenkonzept umzustellen.