Privatrechtliche Argumentationen gehören nicht in den öffentlichen Sektor
Jede Bearbeitung von Personendaten ist ein Eingriff in die Persönlichkeitsrechte der Betroffenen, besonders das Grundrecht auf informationelle Selbstbestimmung. Öffentliche Organe bearbeiten Personendaten von Einwohnerinnen und Einwohnern im Rahmen ihrer öffentlichen Aufgabe gemäss ihrem gesetzlichen Auftrag. Entsprechend halten sich öffentliche Organe an die verfassungsmässigen Prinzipien bei Grundrechtseingriffen.
Das Legalitätsprinzip bestimmt, dass Personendaten nur dann bearbeitet werden dürfen, wenn dies in einer rechtlichen Grundlage vorgesehen ist. Zudem verlangt die Bundesverfassung, dass die Datenbearbeitung im öffentlichen Interesse liegt und dass sie für die Aufgabenerfüllung geeignet, erforderlich und damit verhältnismässig ist.
In diesem Umfeld besteht für Einwilligungen kein Raum. Ein öffentliches Spital kann die Behandlung von Patientinnen und Patienten nicht davon abhängig machen, dass diese dazu einwilligen, ihre Patientendokumentation in einer Cloud zu speichern, die nicht datenschutzkonform ist. Die Gesundheitsversorgung muss für alle gewährleistet sein.
Auch die Berechnung von tiefen Risiken hilft nicht, wenn es um die Anwendung einer ausländischen Bestimmung geht, mit der völkerrechtliche Verfahrensgrundsätze umgangen werden sollen. Beispielsweise verpflichtet der US CLOUD Act US-amerikanische Unternehmen dazu, den Behörden Zugriff auf ihre Kundendaten zu geben, auch wenn diese ausserhalb des Landes gespeichert sind. Aber Grundrechte können nicht ausgehebelt werden, indem die Rechtsverletzung zu einer Compliance-Frage erklärt wird.
Für öffentliche Organe gelten die verfassungsmässigen Vorgaben, die nicht durch die Privatautonomie des Privatrechts ersetzt werden können. Trotzdem schleichen sich privatrechtliche Argumentationen immer mehr in den öffentlichen Bereich ein – dort gehören sie nicht hin.
Die digitale Transformation schreitet voran
Öffentliche Organe wollen Cloud-Lösungen einsetzen und später soll die Künstliche Intelligenz (KI) als Unterstützung beigezogen werden. In beiden Fällen handelt es sich um eine Auslagerung der Datenbearbeitung durch das öffentliche Organ. Bei beiden finden Datenbearbeitungen statt, bei denen die datenschutzrechtlichen Vorgaben Anwendung finden. Der gesetzliche Rahmen für Auslagerungen ist klar definiert.
Die Datenschutzbeauftragte unterstützt die öffentlichen Organe bei der Erreichung der Digitalisierungsziele effizient und wirksam. Sie hat im Berichtsjahr für die öffentlichen Organe weiter präzisiert, was die rechtlichen Vorgaben für konkrete Fallkonstellationen bedeuten. Der Verhältnismässigkeitsgrundsatz verpflichtet die öffentlichen Organe, Alternativen zu prüfen für die Produkte, die für die Aufgabenerfüllung beigezogen werden sollen. Das Datenschutzrecht ist eine wertvolle Leitplanke auf dem Weg zur digitalen Transformation.
Dabei ist die Datenschutzbeauftragte früh einzubeziehen, denn bei Projekten der digitalen Transformation erreichen die Datenbearbeitungen neue Dimensionen.
Datenschutz und Informationssicherheit sind keine neue Herausforderung
Im September 2023 trat das totalrevidierte Datenschutzgesetz des Bundes (DSG) in Kraft. Die Datenschutzbeauftragte erhielt zahlreiche Anfragen von öffentlichen Organen im Kanton Zürich. Sie wollten wissen, was sie für die Umsetzung des neuen Gesetzes zu unternehmen haben. Die Datenschutzbeauftragte klärte unter anderem in Aus- und Weiterbildungsveranstaltungen sowie mit einem Merkblatt über die Anwendbarkeit der verschiedenen Datenschutzgesetze auf.
Das Datenschutzgesetz des Bundes gilt für Bundesorgane und Private. Für öffentliche Organe der Kantone gilt das jeweilige kantonale Datenschutzgesetz. Nur in Spezialfällen fallen öffentliche Organe im Kanton unter die Bestimmungen des DSGs. Umgekehrt kann das kantonale Datenschutzrecht allerdings auch für Private gelten.
Die Anfragen zeigten aber auf, dass das Datenschutzrecht noch wenig bekannt ist. Dies, obwohl es seit bald 30 Jahren in Kraft ist. Auch die steigende Anzahl der Meldungen von Datenschutzvorfällen zeigt, dass noch grosser Nachholbedarf besteht bei der Umsetzung von datenschutzrechtlichen Vorgaben sowie von Massnahmen im Bereich der Informationssicherheit.
Öffentliche Organe unterstehen dem IDG – aber nicht immer
Private unterstehen dem DSG – aber nicht immer ausschliesslich
Kontrollen als wirksames Instrument
Eine der Hauptaufgaben der Datenschutzbeauftragten ist die Durchführung von Kontrollen bei öffentlichen Organen. Sie überprüft dabei, ob die datenschutzrechtlichen und technischen Vorgaben eingehalten werden. Im Jahr 2023 wurden erstmals 60 Kontrollen durchgeführt. Neben den Datenschutzreviews mit Selbstdeklaration bei Gemeinden hat die Datenschutzbeauftragte Schwerpunkte im Gesundheits- und Bildungsbereich gesetzt. Die Kontrollen stellen ein wirksames Instrument dar.
Die Datenschutzbeauftragte stellt bei Kontrollen Mängel fest und unterstützt die kontrollierten öffentlichen Organe bei der Umsetzung von erforderlichen Massnahmen. So können der Datenschutz und die Informationssicherheit bei öffentlichen Organen im Kanton Zürich wirksam verbessert werden.
Die Bevölkerung muss vertrauen können
Das Vertrauen der Bevölkerung ist für die Aufgabenerfüllung der öffentlichen Organe essenziell. Die Cyberangriffe machen auch vor der staatlichen Infrastruktur nicht halt. Auch die Nachrichten über misslungene IT-Projekte stellen das Vertrauen in Frage. Die digitale Transformation birgt grosse Chancen. Gleichzeitig wächst jedoch die Komplexität, was neue, zusätzliche Risiken mit sich bringt.
Die Bevölkerung muss gerade in diesem Umfeld der rasanten Entwicklungen auf die grundrechtskonforme Umsetzung des Datenschutzes durch die öffentlichen Organe vertrauen können. Die Vorgaben sind rechtlich, aber auch technisch umzusetzen. Dabei ist die Datenschutzbeauftragte früh einzubeziehen, denn bei Projekten der digitalen Transformation erreichen die Datenbearbeitungen neue Dimensionen. Das Datenschutzrecht ist hier eine grosse Hilfe, damit die digitale Transformation auch nachhaltig gelingt.