KDSG & Co.: neue Gesetzeslandschaft

Im Jahr 2026 treten gleich mehrere Gesetze und Verordnungen in Kraft, die Datenschutz und -sicherheit betreffen:

• am 1. September: das totalrevidierte kantonale Datenschutzgesetz (KDSG),
• am 1. September: die kantonale Datenschutzverordnung (KDSV),
• am 1. November: das Gesetz über Informations- und Cybersicherheit (ICSG)
• am 1. November: die Verordnung über Informations- und Datensicherheit (IDSV) sowie
• ausführende Weisungen
  

Die genannten Daten entsprechen dem aktuellen Planungsstand. Verbindlich sind sie erst dann, wenn der Regierungsrat über die Inkraftsetzung beschlossen hat.

Auch wenn sich die Gesetzeslandschaft ändert, bleiben alle zentralen datenschutzrechtlichen Vorgaben und Pflichten weiterhin bestehen. Sie sind nun klarer geregelt und teils in andere Gesetze verschoben worden. Nach wie vor gilt das KDSG für sämtliche Kantons- und Gemeindebehörden sowie für Private, die öffentliche Aufgaben übernehmen (z. B. Spitäler oder besondere Volksschulen). Unverändert bleibt auch der Grundsatz: Jede Behörde, die zur Erfüllung ihrer gesetzlichen Aufgaben Personendaten bearbeitet oder bearbeiten lässt, ist für den Datenschutz selbst verantwortlich. Ausserdem trifft sie geeignete technische und organisatorische Massnahmen, um eine dem Risiko für die Betroffenen angemesse Datensicherheit zu gewährleisten.

Sie sind von der KDSG-Revision betroffen? Auf folgende Punkte möchten wir Sie besonders hinweisen:

• Die Datenschutzaufsichtsstelle (DSA) wird umbenannt in Datenschutzbehörde (DSB). Wir sind neu für fast alle Einwohner-, Kirch- und Burgergemeinden sowie für andere gemeinderechtliche Körperschaften zuständig. Nur die Einwohnergemeinden Bern, Thun, Köniz und Biel sowie Körperschaften und Verbände mit mindestens 25 000 EinwohnerInnen/Mitgliedern beauftragen weiterhin eine eigene Datenschutzaufsichtsstelle. Letzteres gilt auch für Landeskirchen und ihre regionalen Einheiten.
• Verletzungen der Datensicherheit, die ein hohes Risiko für die Betroffenen darstellen, müssen Sie uns (oder Ihrer zuständigen Stelle) melden – möglichst innert 72 Stunden seit Bekanntwerden des Vorfalls.
• Für jedes ICT-Mittel, zu dem keine aktuelle Schutzbedarfsanalyse und kein ISDS-Konzept existieren, müssen Sie binnen eines Jahres eine Schutzbedarfsanalyse vornehmen. Stellt sich im Rahmen dieser Analyse heraus, dass Sie ein ISDS-Konzept brauchen, müssen Sie dieses binnen zweier Jahre erstellen.
• Im Rahmen Ihrer Schutzbedarfsanalysen beurteilen Sie neu auch die besonderen Risiken für Ihre Schutzobjekte aus der Zusammenarbeit mit beauftragten Dritten (z. B. IT-Dienstleister) und Ihre Abhängigkeit daraus. Die Behandlung dieser Risiken beschreiben Sie in Ihren ISDS-Konzepten.

Für die Datensicherheit verweist das KDSG auf die Grundsätze des ICSG, das den Schutz von Informationen im öffentlichen Interesse regelt; deshalb sind auch die Vorgaben der IDSV und die dazugehörigen ausführenden Weisungen zu beachten. Aber: Nicht jede Bestimmung betrifft jede Behörde. Einige gelten nur für die sogenannten kantonalen Behörden: den Grossen Rat, die Datenschutzbehörde, die Finanzkontrolle, den Regierungsrat, die Kantonsverwaltung, die Gerichtsbehörden und die Staatsanwaltschaft (dabei handelt es sich vor allem um Vorschriften zur Sicherheitsorganisation des Kantons). Andere betreffen alle, die auch dem KDSG unterstehen – also auch Gemeinden und andere Träger öffentlicher Aufgaben. Welche Bestimmungen für Sie gelten, lässt sich nicht pauschal beantworten. Es hängt davon ab, ob sie nur dem KDSG, nur dem ICSG oder beiden Gesetzen unterstehen. Bitte konsultieren Sie die einzelnen Gesetze/Verordnungen und melden sich im Zweifel bei uns.