Totalrevision des Kantonalen Datenschutzgesetzes des Kantons Graubünden

Ab dem 1. Januar 2026 tritt die Totalrevision des Kantonalen Datenschutzgesetzes des Kantons Graubünden in Kraft (folgend: nKDSG).

Das aktuelle Gesetz, das im Jahr 2002 erlassen wurde, wurde seither nur punktuell geändert. In den letzten zwanzig Jahren hat sich jedoch das Umfeld des Personendatenschutzes erheblich verändert. Die Senkung der Archivierungskosten und die Verbreitung des Internets haben die Beschaffung, Übermittlung und Aufbewahrung von Personendaten im Netzwerk in einem grösseren Umfang als in der Vergangenheit erleichtert. Gleichzeitig hat die grenzüberschreitende Dimension der Datenverarbeitung zunehmend an Bedeutung gewonnen.

Als Reaktion auf diese technologischen Veränderungen sind europäische Vorschriften, wie die DSGVO, sowie das Bundesgesetz über den Datenschutz (DSG) erlassen worden.

Diese Entwicklungen erforderten eine Anpassung des kantonalen Rechts, um auch die Übereinstimmung mit den europäischen Standards zu gewährleisten, zu deren Einhaltung sich die Schweiz verpflichtet hat. Die Änderung des KDSG ist umfassend.

Die Änderung des KDSG ist umfassend. Der Text wird erweitert von 13 auf 41 Artikel.

Die wichtigsten Änderungen

Das aktuelle Gesetz enthält zahlreiche Verweise auf das Bundesrecht (vgl. Art. 1 Abs. 4, Art. 2 Abs. 2/3, Art. 4 Abs. 2 und Art. 5 Abs. 3 KDSG). Diese Wahl der Gesetzgeber ermöglicht zwar eine schnelle Anpassung an das Bundesrecht, erschwert jedoch das Verständnis des Gesetzestextes. Mit der Revision werden die Verweise durch eine eigenständige Regelung ersetzt, ohne dass dies grundsätzlich strengere Anforderungen im Vergleich zur bisherigen Gesetzgebung zur Folge hat. Viele Bestimmungen des DSG werden nämlich unverändert in die neue kantonale Rechtsordnung übernommen.

Es sind einige Unterschiede in der verwendeten Terminologie zu vermerken, die jedoch den materiellen Inhalt des Gesetzes nicht ändern. Ein bedeutendes Beispiel ist der Begriff der „Persönlichkeitsprofile“ (vgl. Art. 3 Abs. 4 und Art. 8 Abs. 1 nKDSG), der dem Begriff „Profiling mit hohem Risiko“ aus dem DSG entspricht.

Ab 2026 müssen die kantonalen, regionalen und kommunalen öffentlichen Organe eine Reihe neuer Verpflichtungen einhalten, die bereits in der Bundesgesetzgebung vorgesehen sind. Zu den wichtigsten gehören:

• 5 nKDSG – Die Regierung wird Mindestanforderungen zu den Datensicherheitsstandards erlassen.
• 9 nKDSG – Wenn ein Verantwortlicher öffentlichen Organen einen externen Auftragsbearbeiter mit der Bearbeitung von Personendaten beauftragt, muss er die Datensicherheit gewährleiste;
• 19 nKDSG – Verpflichtung zur Erstellung einer Datenschutz-Folgenabschätzung (DSFA) für Datenbearbeitungen, die ein hohes Risiko für die Grundrechte der betroffenen Personen darstellen (vgl. Art. 22 DSG);
• 20 nKDSG – Bestimmte Initiativen der Bearbeitung von Personendaten, die ein hohes Risiko für die Grundrechte der betroffenen Personen mit sich bringen, müssen der Aufsichtsstelle (Kantonale Datenschutzbeauftragte) zur Vorabkonsultation vorgelegt werden (vgl. Art. 23 DSG);
• 21 nKDSG – Die Aufsichtsstelle (Kantonale Datenschutzbeauftragte) muss so schnell wie möglich über Verletzungen (Data Breach) informiert werden, die ein plausibles Risiko für die Daten der betroffenen Personen darstellen. In bestimmten Fällen müssen auch die betroffenen Personen informiert werden (vgl. Art. 24 DSG);
• 24 nKDSG – Der betroffene Person hat das Recht, innerhalb von 30 Tagen nach Anfrage eine Antwort zu erhalten, auch bezüglich der Herkunft der Daten und deren Aufbewahrung.

Im Gegensatz zum DSG, dass in den Artikeln 10 und 12 alle eidgenössischen öffentlichen Organe verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen und einen Datenschutzbeauftragten (DPO) zu ernennen, gilt diese Verpflichtung im Kanton Graubünden nur für die öffentlichen Stellen, die unter die Richtlinie der EU 2016/680 fallen, wie z.B. die Polizei, Staatsanwaltschaften usw. Es ist anzumerken, dass diese Regel nicht explizit aus den Artikeln 22 und 23 des neuen KDSG hervorgeht. Es werden lediglich die „von der Regierung bezeichneten öffentlichen Organe“ erwähnen. Derzeit existiert keine genaue Liste. In der entsprechenden Botschaft hat die Regierung des Kantons Graubünden jedoch klargestellt, dass diese zwei Verpflichtungen ausschliesslich auf öffentliche Organe im Schengen-Acquis angewendet werden.

Die neue Gesetzgebung behandelt auch ein häufig in der Praxis auftretendes Problem: die Bedingungen für die Installation von Kameras durch die Gemeinden. Das Recht der öffentlichen Organe zur Videoüberwachung des öffentlichen Raums wird in den Artikeln 14 und 15 des neuen Gesetzes geregelt.

Schliesslich wird mit der Revision die Rolle der kantonalen Aufsichtsstelle (Datenschutzbeauftragter) erheblich gestärkt: Zehn Artikel des Gesetzestextes widmen sich dieser Behörde (vgl. Art. 30-39 nKDSG). Die Unabhängigkeit des kantonalen Beauftragten wird durch die Wahl für eine vierjährige Amtszeit, die nur aus aussergewöhnlichen Gründen widerrufen werden kann, gestärkt (Art. 32 nKDSG). Die Befugnisse der Aufsichtsstelle werden ebenfalls erweitert. Sie erlangt die Befugnis, anfechtbare Entscheidungen zu erlassen, und nicht mehr nur Empfehlungen (Art. 37 nKDSG). Schliesslich wird der Beauftragte verpflichtet sein, einen jährlichen öffentlichen Bericht über seine Tätigkeiten zu erstellen (Art. 38 nKDSG).

Für weitere Informationen sind die folgenden öffentlich zugänglichen Dokumente zu beachten:

• Botschaft.
• Erläuternder Bericht.