Die Datenschutzbeauftragte ist eine unabhängige Aufsichtsbehörde. Unabhängig bedeutet, dass wir nicht in der kantonalen Verwaltung integriert sind, sondern dem Kantonsrat zugeordnet sind. Dieser ist auch Wahlorgan der Datenschutzbeauftragten. Die Aufgaben und damit die Tätigkeiten einer Datenschutzbeauftragten lassen sich in drei Teile einteilen: Wir informieren, beraten und kontrollieren.

Zum Informieren gehört die Sensibilisierung der Mitarbeitenden bei den öffentlichen Organen im Kanton Zürich aber auch der Bevölkerung, denn um deren Grundrecht auf Privatsphäre geht es bei unserer Tätigkeit. Dies machen wir mit Veranstaltungen – Seminaren, Datenschutz-Videowettbewerben oder Podiumsdiskussionen. Unser Hauptkommunikationsmittel ist unsere Webseite, aber bald werden wir unsere Social-Media-Aktivität ausbauen.

Bei der Beratung unterstützen wir die öffentlichen Organe bei juristischen oder technischen Fragen. D.h. wir beraten sie bei einem kurzen Gespräch am Telefon oder begleiten Projekte monate-, teilweise jahrelang. 

Mit der Kontrolle schliesslich überprüfen wir vor Ort die Einhaltung der Datenschutzvorgaben bei den öffentlichen Organen. Im Rahmen dieser Audits führen wir auch Interviews durch und halten unsere Ergebnisse zusammen mit umzusetzenden Massnahmen in einem Bericht fest. Das öffentliche Organ hat danach Zeit, die erforderlichen Massnahmen umzusetzen, und wir überprüfen nach Ablauf der Frist die Umsetzung. Bei all diesen Aufgaben arbeiten die Mitarbeitenden unseres Teams interdisziplinär zusammen. Das heisst, die Juristinnen und Juristen stehen in engem Austausch mit den Informatikerinnen und Informatikern.

Ein absoluter Klassiker bei den Meldevorfällen ist der Versand von Dokumenten wie Steuerveranlagungen, Rechnungen oder Operationsberichte an die falsche Person. In den meisten Fällen sind falsch hinterlegte Stammdaten die Ursache für einen solchen Falschversände. Wir prüfen bei Meldungen, welche Massnahmen ein öffentliches Organ ergreifen muss, damit künftig ähnliche Vorfälle verhindert werden können und beraten das öffentliche Organ. Für öffentliche Organe sieht das kantonale Datenschutzgesetz keine Bussen vor.

Das Arbeiten von unterwegs sowie im Homeoffice bringt tatsächlich gewisse Risiken mit sich. Diesen kann aber mit gewissen Massnahmen begegnet werden. So sind beispielsweise auf dem Laptop oder dem Smartphone geschäftliche von privaten Daten zu trennen, alle Updates sind auf den Geräten zu installieren, Passwörter dürfen nicht mit andern geteilt werden, geschäftliche Papierakten können nicht in der Altpapiersammlung entsorgt werden, bei der Kommunikation – sei das per Telefon oder per Videocall – ist darauf zu achten, dass Mitbewohnerinnen und Mitbewohner den Inhalt des Gesprächs nicht mithören können und der Bildschirm ist vor Einsichtnahmen zu schützen.

Bei der Nutzung von KI findet eine Datenbearbeitung statt, und zwar beim Training des Systems, bei der Eingabe von Prompts und es werden Daten über die Nutzenden gesammelt, sogenannte Randdaten. Auf all diese Datenbearbeitungen ist das Datenschutzrecht anwendbar. Entsprechend dürfen die Bearbeitungen nur unter Einhaltung der Datenschutzgrundsätze erfolgen. Soweit dies möglich ist, ist die Nutzung von KI datenschutzkonform. In den Fällen, in denen die KI aber weiter geht, indem sie beispielsweise Entscheide abnimmt und eine Steuerveranlagung eigenständig erstellt, stellt sich die Frage, ob die rechtlichen Grundlagen ausreichend sind. Es muss mindestens geregelt werden, dass der Einsatz von KI für die betroffenen Personen transparent sein muss und diese ein Recht haben, zu verlangen, dass die Entscheidung von einem Menschen überprüft wird.

Beim Einsatz von KI kommt hinzu, dass dabei meist Produkte von externen Dienstleistenden beigezogen werden, die zudem in der Cloud betrieben werden. In diesen Fällen findet datenschutzrechtlich eine Auslagerung – Outsourcing, Auftragsdatenbearbeitung – statt. Auch dafür sind die datenschutzrechtlichen Vorgaben einzuhalten, damit die Bearbeitung datenschutzkonform erfolgt. So ist beispielsweise zu berücksichtigen, dass bei US-amerikanischen Anbietern der amerikanische Staat gestützt auf den CLOUD Act auf die Daten zugreifen kann. Je nach Datenart, Geheimnispflichten oder sonstigen Klassifizierungen ist zu prüfen, ob eine solche Auslagerung zulässig ist. Da KI-Projekte in der Regel besondere Risiken mit sich bringen, ist vor der Umsetzung des Projekts eine Vorabkontrolle bei der Datenschutzbehörde durchzuführen. Die Datenschutzbeauftragte prüft dabei aus juristischer und technischer Sicht, ob die Vorgaben eingehalten sind und berät, wie das Projekt datenschutzkonform umgesetzt werden kann.

Wenn Private – z.B. Unternehmen – Daten erheben, machen sie das gestützt auf eine Einwilligung der betroffenen Personen. Bei der Nutzung von Social Media willigen diese also mit der Annahme der AGB in die verschiedenen Auswertungen ein. Im Privatrecht ist das so vorgesehen. Gesichtserkennung ist aber ein gutes Beispiel für den Verlust der Kontrolle über die eigenen Daten, da biometrische Daten unbemerkt erhoben werden können. Es stellt sich hier schon die Frage, ob die gesetzlichen Rahmenbedingungen dafür ausreichen. Denn der Gesetzgeber ist verpflichtet, Grundrechte in einem gewissen Sinne auch zwischen Privaten wirken zu lassen. Auch wenn öffentliche Organe Gesichtserkennung einsetzen, dürfen sie dies nur unter den Voraussetzungen tun, die ihnen die Verfassung gibt. So muss der Einsatz von Gesichtserkennung in einem Gesetz vorgesehen sein und er darf nur verhältnismässig erfolgen, d.h. es dürfen keine anderen milderen Mittel vorliegen, die den gleichen Zweck auch erreichen würden. Eine vollständige Videoüberwachung des Strassennetzes mit integrierter Gesichtserkennung wäre sicherlich nicht verhältnismässig.

Allem voran ist aber zuerst eine gesellschaftliche Diskussion in der Bevölkerung darüber zu führen, wie wir diese Thematik ausgestaltet haben möchten. Finden wir es ok, wenn wir vollständig gläsern sind oder sehen wir Grenzen? Diese Überlegungen fliessen dann in den Gesetzgebungsprozess ein. Es braucht aber vorab diese öffentliche Auseinandersetzung.

Die Ausbildung und Sensibilisierung von jungen Menschen zur Datenschutzthematik ist sicherlich ein zentraler Punkt. Wir haben dazu in einer Zusammenarbeit mit der Pädagogischen Hochschule Zürich  Lehrmittel für die drei Zyklen erarbeitet, die im Unterricht eingesetzt werden können.

Mit der Totalrevision des Datenschutzgesetzes des Kantons Zürich (IDG) soll das Öffentlichkeitsprinzip insofern gestärkt werden, dass eine Beauftragte oder ein Beauftragter für das Öffentlichkeitsprinzip eingeführt werden soll. Die Datenschutzbeauftragte soll mit dieser Aufgabe betraut werden. Gemeinden haben damit zukünftig auch eine Stelle, die sie zu Fragen des Öffentlichkeitsprinzips konsultieren können, was aktuell nicht der Fall ist. Es wird zudem eine Regelung zu offenen Behördendaten aufgenommen, um einem breiteren Publikum gewisse Daten zur Nutzung zur Verfügung zu stellen.

Öffentliche Organe sollen im Bereich der künstlichen Intelligenz verpflichtet werden, ein öffentlich zugängliches Verzeichnis zu führen, das die von ihm verwendeten algorithmischen Entscheidungssysteme auflistet. Zudem wird eine Grundlage geschaffen, um Pilotversuche zu ermöglichen. Unter strengen Voraussetzungen können damit vor dem Erlass einer Rechtsgrundlage mittels einer Verordnung besondere Personendaten im Rahmen eines Pilotversuchs bearbeitet werden.