Am 1. September 2026 soll das revidierte Datenschutzgesetz (KDSG) in Kraft treten. Die grösste Neuerung betrifft über 1000 Gemeinden und gemeinderechtliche Körperschaften im Kanton Bern: Sie haben künftig keine eigenen Aufsichtsstellen mehr, sondern fallen in die Zuständigkeit der kantonalen Datenschutzbehörde (DSB; bisher: DSA). Schon jetzt erreichen uns Fragen zur Übergangsphase. Wir haben sie zusammengetragen, ergänzt und beantwortet. Dieses FAQ ist vorübergehender Natur, bleibt mindestens bis Ende 2026 bestehen und wird bei Bedarf erweitert.
Ja. Wie das heutige KDSG gilt auch das totalrevidierte für alle gemeinderechtlichen Körperschaften. Nach Inkrafttreten des neuen KDSG fallen Körperschaften mit weniger als 25 000 Angehörigen/Mitgliedern in die Zuständigkeit der kantonalen DSB – also auch Burger- und Kirchgemeinden, Gemeindeverbände sowie Schwellenkorporationen. Gemeinden mit mehr als 25 000 Angehörigen beauftragen weiterhin eine eigene Datenschutzaufsichtsstelle (betrifft z. Zt. die Gemeinden Bern, Biel, Köniz und Thun).
Grundsätzlich sollten Sie jedes Reglement überprüfen, in dem die Datenschutzaufsicht geregelt ist. Bei manchen Gemeinden ist es das Organisationsreglement, andere haben ein eigenes Datenschutzreglement o. ä. Anpassungsbedarf besteht vor allem bei der Zuständigkeit. Ab Inkrafttreten des neuen KDSG ist die kantonale Datenschutzbehörde für alle gemeinderechtlichen Organe mit weniger als 25 000 Angehörigen zuständig. Betroffene Gemeinden sollten also jene Passagen aus ihren Reglementen streichen, in denen sie eine kommunale Datenschutzaufsicht (z. B. das Rechnungsprüfungsorgan) bezeichnen. Für diese Anpassung genügt ein Gemeinderatsbeschluss, weil der Gemeinde bei der Anpassung kein Regelungsspielraum offensteht.
Bis auf die Zuständigkeit ändert sich mit dem neuen KDSG nicht viel. Zur Sicherheit können Sie Ihr Reglement mit dem Gesetzentwurf (Referendumsvorlage) abgleichen. Eile besteht dabei nicht: Das übergeordnete Recht wird alte Bestimmungen in Ihrem Reglement automatisch übersteuern.
Nicht unbedingt. Seit der Revision des kantonalen Gesetzes über die Information und die Medienförderung per 2024 brauchen Gemeinden nicht mehr zwingend eine eigene Verordnung, um Personendaten im Internet veröffentlichen zu dürfen. Eine nach dem Muster des Amts für Gemeinden und Raumordnung (AGR) erlassene Internet-Verordnung ist aber ausführlicher und konkreter als das kantonale Recht und kann deshalb für die Praxis weiterhin hilfreich sein.
Nein. Die Regelungen für (Listen-)Auskünfte durch die Einwohnerkontrolle ändern sich nicht, sie werden nur in ein anderes Gesetz – das Gesetz über Niederlassung und Aufenthalt der Schweizerinnen und Schweizer – verschoben. Hintergrund: Das KDSG definiert die Grundsätze des Datenschutzes. Deren Anwendung wird in Spezial- oder Fachgesetzen und Verordnungen geregelt. Deshalb stellte Artikel 12 («Bearbeiten von Personendaten durch die Einwohnerkontrolle») einen Fremdkörper im KDSG dar, der nun entfernt und ausgelagert wurde.
Nein. Die Bestimmungen zum Register der Datensammlungen bleiben unverändert. Auch in Zukunft müssen sämtliche Sammlungen von Personendaten im Register erfasst werden. Auf diese Weise können Betroffene transparent in Erfahrung bringen, welche Behörde welche Art von Daten über sie bearbeitet und mit diesem Wissen bei Bedarf gezielt ein Auskunftsgesuch stellen. Auch gilt weiterhin, dass gemeinderechtliche und landeskirchliche Behörden ihre eigenen Register führen. Der Regierungsrats-Vorschlag, die Register auf sensible Personendaten zu beschränken, wurde von der Mehrheit der zuständigen Grossratskommission und vom Grossen Rat abgelehnt.
Das lässt sich nicht voraussagen. Fakt ist: Keine Gemeinde muss mit regelmässigen Kontrollbesuchen rechnen. Erstens sind die personellen Ressourcen der DSB beschränkt, zweitens hängt die Planung der Kontrollen von verschiedenen Faktoren ab (s. nächste Frage). Ausserdem stehen wir in Kontakt mit den Regierungsstatthalterämtern, die im Rahmen ihrer Kontrollbesuche Fragen zur Datensicherheit stellen.
Das kommt auf die Art der Kontrolle an. Bei Vorabkontrollen sind die Gemeinden selbst am Zug: Planen sie eine neue elektronische Personendatenbearbeitung, die Einführung einer neuen Software für eine solche oder eine Videoüberwachung, so müssen sie das Projekt bei der DSB zur Vorabkontrolle anmelden, wenn
- ohne geeignete Massnahmen ein hohes Risiko für die Betroffenen besteht (z. B. weil besonders schützenswerte Personendaten bearbeitet werden) oder
- mindestens 1000 Personen betroffen sind.
Wir empfehlen eine möglichst rasche Anmeldung, da der Vorabkontrollprozess mehrere Monate in Anspruch nehmen kann.
Audits – also die Kontrollen bereits in Betrieb stehender Software und laufender Datenbearbeitungen – plant die DSB bedarfs- und risikoorientiert. Zur Einordnung: Bis jetzt hat die DSB rund zehn Audits pro Jahr bei kantonalen Behörden und Spitälern durchgeführt. Viel mehr werden es auch dann nicht sein, wenn demnächst über 1000 kommunale Körperschaften in ihre Zuständigkeit fallen. Die Wahrscheinlichkeit, nicht von der DSB besucht zu werden, ist entsprechend hoch.
Ja. Das neue KDSG verlangt von sämtlichen Behörden, Datenschutzvorfälle bei der DSB zu melden. Datenschutzvorfälle können zum Beispiel falsch adressierte E-Mails, unrechtmässige Datenbearbeitungen oder Datenlecks sein, aber auch Einbrüche oder versehentlich im Zug/Café liegen gelassene Papierakten mit Personendaten. Wichtig: Bei der Meldung solcher Vorfälle geht es nicht darum, die Behörden zu sanktionieren. Vielmehr berät die DSB sie hinsichtlich zu ergreifender Massnahmen, um den Schaden zu begrenzen und weitere Vorfälle möglichst zu vermeiden.
Darüber hinaus müssen die Gemeinden der DSB ihre Entwürfe von Reglementen und Verordnungen, die den Datenschutz erheblich betreffen (z. B. weil sie eine Bearbeitung besonders schützenswerter Personendaten oder eine Videoüberwachung vorsehen), vorgängig zur Stellungnahme unterbreiten.
Nein. Es bleibt dabei: Für die Einhaltung der gesetzlichen Bestimmungen sind die datenbearbeitenden Behörden selbst verantwortlich – auch dann, wenn die DSB eine Vorabkontrolle durchgeführt hat. Die Vorabkontrollberichte der DSB sind rechtlich gesehen Beurteilungen/Empfehlungen und keine rechtskräftigen Bewilligungen. In Haftungsfällen können sie jedoch als Nachweis dafür dienen, dass die Behörde ihre Sorgfaltspflichten erfüllt und nicht fahrlässig gehandelt hat.
Grundsätzlich plant die DSB ihre Kontrolltätigkeiten nach Bedarf und Dringlichkeit. Weil das neue KDSG aber auch für uns eine grosse Umstellung bedeutet, freuen wir uns über jede Mithilfe. Wenn Sie sich für einen Kontrollbesuch interessieren, können Sie sich gerne melden. Wir nehmen Ihren Wunsch entgegen, können aber noch keine verbindlichen Zusagen machen.
Vorweg möchten wir uns für Ihre wertvollen Inputs bedanken. Diese helfen uns enorm bei der Planung unseres Informationsangebots. Wir versuchen, bis zum Inkrafttreten des neuen KDSG bereits erste Hilfsmittel zu erstellen und unsere Website bedarfsgerechter zu gestalten. Allerdings läuft das Tagesgeschäft weiter und dürfen wir erst ab September zusätzliches Personal einstellen. Haben Sie also bitte Nachsicht, falls Ihr Wunsch (noch) nicht berücksichtigt wurde. Auch werden wir eine Priorisierung vornehmen und uns auf die meistgenannten Wünsche konzentrieren müssen.
Bis zum Inkrafttreten des neuen KDSG: Ja. Der letzte Datenschutzbericht Ihrer kommunalen Aufsichtsstelle sollte den Zeitraum bis zum 31. August 2026 umfassen. Anschliessend ist die kantonale DSB für Sie zuständig, falls Sie weniger als 25 000 EinwohnerInnen/Mitglieder haben. Die DSB erstellt Ihnen nach Bedarf einen Tätigkeitsbericht – also in der Regel nicht.
Doch. Die genannten Ämter sind weiterhin bereit und befähigt, allgemeine Datenschutzfragen zu beantworten – vor allem, wenn diese in ihren Zuständigkeitsbereich fallen (Gemeinderecht).
Betroffene Bürgerinnen und Bürger können sich direkt an die DSB wenden.
Ist Ihre Frage nicht dabei oder noch nicht ganz beantwortet? Kontaktieren Sie uns!