Tä­tig­keits­be­richt

Die Datenschutzbeauftragte hat 2024 74 Kontrollen durchgeführt. Erstmals wurde damit der Indikator von 70 jährlichen Kontrollen übertroffen. Die Kontrolltätigkeit der Datenschutzbeauftragten konnte 2024 gegenüber dem Vorjahr (60 Kontrollen) gesteigert werden. Die prozentuale Umsetzung der Massnahmen zur Behebung von Mängeln durch öffentliche Organe nach einem Datenschutzreview beträgt (hohe) 93%. Erneut zeigte sich, dass durch Kontrollen teils erhebliche Mängel aufgedeckt werden. Kontrolliert wurden 2024 neben Spitex-Organisationen auch Schulen, Ämter, Direktionen und erstmals Kirchenorganisationen. Darüber hinaus wurden Gemeinden zur Selbstdeklaration eingeladen.

Die Datenschutzbeauftragte kontrollierte 2024 17 der insgesamt 71 Spitex-Organisationen mit kommunalen Leistungsaufträgen im Kanton Zürich. Da Spitex-Mitarbeitende meistens mobil unterwegs sind, sind aus datenschutzrechtlicher Sicht insbesondere die Absicherung der mobilen Geräte, regelmässige Updates sowie die Zwei-Faktor-Authentifizierung zentral. Die Kontrollen zeigten, dass dies in den wenigsten Fällen umgesetzt war. Auch fehlte bei den meisten kontrollierten Spitex-Organisationen ein umfassendes Sicherheits- und Datenschutzkonzept.

Unsichere mobile Geräte, fehlende Sicherheitsvorgaben und veraltete Betriebssysteme waren bei den Kontrollen bei Kirchgemeinden häufige Mängel. Die Datenschutzbeauftragte hat zusammen mit dem Synodalrat der katholischen Kirche des Kantons Zürich und der evangelisch-reformierten Landeskirche des Kantons Zürich eine unterstützende Zusammenarbeit lanciert, die den Kirchen die Umsetzung der festgehaltenen Massnahmen erleichtern soll. Dafür werden den Kirchgemeinden Vorlagen zur Verfügung gestellt, die sie bei der Behebung der Mängel unterstützen.

Für das Vertrauen der Bevölkerung in die Behörden ist eine sichere Datenbearbeitung essentiell. Die digitale Transformation bringt viele Erleichterungen und Vorteile mit sich und vereinfacht den Austausch der Bürgerinnen und Bürgern mit Behörden. Dies birgt jedoch auch neue und zusätzliche Risiken, die es zu erkennen und zu minieren gilt. Die Datenschutzbeauftragte Dominika Blonski sieht ihre Aufgabe im Rahmen der digitalen Transformation wie folgt: «Wir unterstützen die Behörden im Kanton Zürich in der datenschutzkonformen Umsetzung ihrer Digitalisierungsprojekte, damit die Bevölkerung weiterhin grosses Vertrauen in die öffentlichen Organe auf kantonaler und kommunaler Ebene hat.»

Verschiedene Spitäler haben der Datenschutzbeauftragten 2024 Applikationen vorgelegt, welche die Kommunikation mit den Patientinnen und Patienten vereinfachen sollen. Essentiell ist dabei der Schutz der Personendaten der Patientinnen bzw. der Patienten sowie die Wahrung des Berufsgeheimnisses der Ärztinnen und Ärzte. Der Einsatz solcher Applikationen von US-amerikanischen Anbietern ist zulässig, sofern sensitive Daten so verschlüsselt sind, dass für die Anbieter keine Möglichkeit besteht, Zugang zu den Daten zu erhalten. Einige Spitäler verzichten bewusst auf Cloud-Lösungen und prüfen Varianten, Patientinnen- und Patientendaten mit Applikationen ohne Cloud zu bearbeiten.

Der Datenschutzbeauftragten wurden 2024 erste Projekte zur künstlichen Intelligenz (KI) vorgelegt. Öffentliche Organe erstellten Konzepte zu Large Language Models (LLM). Möchten öffentliche Organe eine KI für die Erfüllung ihrer Aufgaben nutzen, sind dafür verschiedene datenschutzrechtliche Abklärungen zu treffen. So hat das öffentliche Organ zunächst zu bestimmen, für welche Aufgaben KI eingesetzt werden soll. Es hat weiter aufzuzeigen, was mit den Eingabetexten, also den Prompts, passiert, wenn Mitarbeitende diese an das LLM übermitteln: Werden sie für das Training der KI verwendet? Werden sie gelöscht? Wer hat Einsicht in die Personendaten, die das öffentliche Organ an das LLM übermittelt? Über welche Trainingsdaten verfügt das LLM? Diese Fragen haben die öffentlichen Organe abzuklären und entsprechend zu dokumentieren. Projekte zur Nutzung von KI sind der Datenschutzbeauftragten zur Vorabkontrolle vorzulegen. Dafür ist ihr die vollständige Dokumentation einzureichen.

Die digitale Revolution ist seit dem Erscheinen des ersten Tätigkeitsberichtes der Datenschutzbeauftragten Mitte der 1990er Jahre mit Produkten wie dem World Wide Web, den Smartphones oder der KI weiter vorangeschritten. Unabhängig des technologischen Wandels bleiben unsere Grundwerte bestehen, die auch in unserer Bundesverfassung festgehalten sind. Der Begriff «Grundrechte» hat im Rahmen der Digitalisierung nicht an seiner Bedeutung verloren. Das Gesetz über die Information und den Datenschutz des Kantons Zürich (IDG) stellt eine technologieneutrale Rahmengesetzgebung dar. Es hält die Rahmenbedingungen fest, wie Datenbearbeitungen – unabhängig der eingesetzten Technologie – stattfinden können und sollen. Die Datenschutzbeauftragte achtet darauf, dass die gesetzlichen Vorgaben eingehalten werden. Dafür führt sie als Aufsichtsorgan Kontrollen durch und überprüft, ob die Grundrechtseingriffe nach rechtsstaatlichen Vorgaben erfolgen.