Dominika Blonski arbeitet seit zehn Jahren in der Datenschutzbehörde des Kantons Zürich; seit vier Jahren leitet sie diese. Im Gespräch erzählt die Juristin, was sich in dieser Zeit verändert hat und warum immer wieder dieselben Datenschutzverstösse passieren. Zudem sagt Blonski, welchen Einfluss Künstliche Intelligenz auf den Datenschutz hat.
Im vergangenen Jahr fokussierte sich Ihre Behörde auf die Kontrolle von Alters- und Pflegeheimen, wie im aktuellen Tätigkeitsbericht nachzulesen war. Warum?
Wir sind für rund 3000 Institutionen im Kanton Zürich zuständig. Weil unsere Ressourcen niemals ausreichen, um alle zu kontrollieren, setzen wir Schwerpunkte auf Organisationen mit vielen sensitiven Daten und Betroffenen.
Und deshalb haben Sie sich 2023 Jahr für die Altersheime entscheiden?
Richtig. Und innerhalb des gewählten Bereichs kontrollieren wir möglichst unterschiedliche Institutionen, um ein gutes Gesamtbild zu erhalten. Nebst den Schwerpunktkontrollen führen wir darüber hinaus immer weitere Standardkontrollen durch, zum Beispiel bei den 160 Gemeinden des Kantons.
Bleiben wir bei den Altersheimen: Im Bericht äussern Sie scharfe Kritik und zeigen schwere Datenschutzverstösse auf. Wie waren die Reaktionen der Betroffenen? Sind diese dankbar für die Hinweise oder genervt, ob dem Mehraufwand, der auf sie zukommt?
Die Reaktionen aus den Altersheimen waren relativ klassisch: Zuerst waren sie geschockt, dann aber dankbar und froh, dass ihnen aufgezeigt wird, wo und wie sie nachbessern müssen.
Umsetzen müssen die Betroffenen die Massnahmen aber selbst, oder stellt die Datenschutzbehörde Ressourcen zur Verfügung?
Nein, das wird getrennt. Jede Institution ist selbst für die Einhaltung des Datenschutzes verantwortlich. Wir stehen aber beratend zur Seite und helfen zum Beispiel bei der Wahl der Verschlüsselungsmethode.
Sie geben aber lediglich "Empfehlungen" ab, wie es im Tätigkeitsbericht unter anderem heisst. Wie verbindlich sind diese?
Die Umsetzung unserer Massnahmen ist in den meisten Fällen ein Muss. Es gibt jedoch Abstufungen in puncto Dringlichkeit oder wenn es mehrere Varianten gibt, wie ein Problem angegangen werden kann.
Gibt es Nachkontrollen nach Ablauf der entsprechenden Fristen oder wird einfach darauf vertraut, dass die jeweiligen Behörden die Empfehlungen schon umgesetzt haben?
Die Behörden sind verpflichtet, uns über die Umsetzung der Massnahmen zu berichten. Wenn das nicht fristgerecht passiert, fragen wir nach.
Theoretisch können die Behörden in ihre Berichte reinschreiben, was sie wollen. Nochmal: Finden auch vor Ort Nachkontrollen statt?
Es kommt auf die Massnahme an. Je nachdem gehen wir durchaus nochmal vorbei.
Steht der Schwerpunkt für dieses Jahr schon fest? Welche Behörden dürfen sich über ihre Kontrollen freuen?
Dieses Jahr kontrollieren wir Kirchen und Spitex schwerpunktmässig.
Wie viele Ressourcen stehen Ihrer Behörde für diese Kontrollen zur Verfügung?
Wir haben 14,7 Vollzeitstellen, davon sind 9 Juristinnen und Juristen und 5 Informatikerinnen und Informatiker. Die Kontrollen führen vor allem Letztere durch, erstere sind primär für Beratungen da.
Wenn Sie an die Kontrollen der letzten Jahre zurückdenken: Sind die Findings beziehungsweise die Datenschutzmängel immer wieder dieselben oder gibts spürbare Veränderungen?
Eigentlich tauchen immer wieder dieselben Probleme auf, selbst wenn ich die heutige Situation mit dem Vor-Computer-Zeitalter und den Karteikarten vergleiche. Es sind die Basics und die einfachen Dinge, die häufig nicht umgesetzt sind.
Warum ist das so? Dringen Sie mit Ihren Awareness-Kampagnen nicht zu den Behörden durch?
Unsere Informationen sind nicht etwas, das zuerst gelesen wird. Deshalb braucht es viele verschiedene Arten, wie wir die Bevölkerung und die öffentlichen Organe sensibilisieren und informieren. Wir bieten Schulungen, Seminare und vieles mehr an und bauen jetzt auch entsprechende Auftritte auf Social Media auf.
Aber unter dem Strich ist Datenschutz halt einfach kein cooles Thema, mit dem man sich gerne beschäftigt. Es ist einfach ein Muss, sich damit auseinanderzusetzen.
Also ich und meine Mitarbeitenden finden es durchaus ein cooles Thema (lacht). Unsere Herausforderung ist es aber schon, das Thema so herüberzubringen, dass es nicht als juristisch-technisch wahrgenommen wird.
Auch wenn es locker-flockig erzählt wird, ist Datenschutz etwas, das Aufwand macht und kostet.
Das stimmt nicht. Es muss niemand Angst davor haben oder davon genervt sein. Datenschutz ist ein Grundrecht jedes einzelnen Menschen und es ist etwas Positives, wenn man sich als Behörde daran hält. Denn die Behörden müssen – und wollen – sich ja an die Grundrechte halten.
Wird die Relevanz des Datenschutzes oft nicht erst dann erkannt, wenn man selbst einen Vorfall zu beklagen hat?
Das ist richtig.
Ein relativ neues Thema, das im diesjährigen Bericht ebenfalls Erwähnung fand, ist Microsoft 365 und der rechtskonforme Einsatz in Behörden.
Grosse Unternehmen wie Microsoft oder AWS sind in den letzten Jahren aufgetaucht und sie sagen: Wir sind alternativlos und viele Verwaltungen glauben das. Dabei sind deren Produkte gar nicht alternativlos, beziehungsweise sollte bei der Beschaffung jeweils ganz genau geprüft werden, ob man für die Aufgabenerfüllung wirklich alle Funktionen benötigt, die diese Tools bieten. Dies Überlegungen haben im Rahmen der Verhältnismässigkeitsprüfung einzufliessen.
Dann gibt es aber auch noch den juristischen Aspekt…
Juristisch bedeutet die Nutzung von Software wie M365 eine Auslagerung der Datenbearbeitung. Um dies datenschutzkonform zu tun, muss je nach Konstellation sichergestellt sein, dass der Auftragnehmer keinen Zugriff auf die Daten hat. Das lässt sich zum Beispiel mit Datenverschlüsselung sicherstellen.
Andere Juristinnen und Juristen sagen aber: Das geht durchaus, weil das Risiko eines möglichen Datenverlusts gering ist.
Bei einer Datenbearbeitung – wie auch bei einer Auslagerung der Datenbearbeitung – ist zunächst juristisch zu prüfen, ob diese zulässig ist. Das gibt das Gesetz vor. Im Falle der Auslagerung bedeutet das, dass keine rechtliche Bestimmung wie beispielsweise eine Geheimhaltungsverpflichtung oder eine Klassifizierung der Daten der Auslagerung entgegenstehen darf. Bei diesen juristischen Überlegungen spielen Risiko oder Wahrscheinlichkeit keine Rolle, weil der Datenschutz ohne Verschlüsselung in jedem Fall gebrochen wird.
Aber was, wenn rechtlich nichts im Weg steht?
Dann müssen anhand einer Risikoabwägung – das heisst also im Rahmen des im Datenschutz immanenten risikobasierten Ansatzes – die angemessenen technischen und organisatorischen Massnahmen zum Schutz der Daten festgelegt werden. Auch das gibt das Gesetz vor. Bei der Risikoabwägung spielt die Art der Daten eine wichtige Rolle, ob es sich um "normale" oder besonders schützenswerte Personendaten handelt.
Microsoft bietet als Anbieter selbst Datenverschlüsselung an. Ist das zulässig, wenn man diese vom gleichen Provider selbst bezieht?
Ergeben die juristischen Überlegungen oder die Risikoabwägung, dass der Anbieter nicht auf die Daten zugreifen können darf, ist nur eine Verschlüsselung datenschutzkonform, bei der der Anbieter nicht selbstständig auf die Daten zugreifen kann. Entscheidend ist also, ob Anbieter selbstständig auf die Daten zugreifen können oder nicht.
Lässt sich das mit Anbietern wie Microsoft oder AWS vertraglich regeln, dass sie nicht zugreifen dürfen, selbst wenn sie es könnten?
Nein, weil der Cloud Act über diesen Verträgen steht.
Die Alternativlosigkeit von M365 sehe ich aber durchaus, wenn ich die Beschaffungen vieler Verwaltungen zwischen Genf und St. Margrethen anschaue. Ist die Verschlüsselung, die Sie einbringen, quasi eine Kompromisslösung, damit der Einsatz rechtskonform möglich ist?
Ja, das darf man "Kompromiss" nennen. Bei der Einhaltung des Datenschutzgesetzes gibt es hingegen keine Kompromisse. Verwaltungen sind vom Gesetz her verpflichtet, Alternativen zu prüfen und müssen sich überlegen, welche Lösung am besten passt.
Das neue Gesetz über digitale Basisdienste, das unter anderem den Einsatz von Cloud-Diensten regeln soll, wurde in der Vernehmlassung vonseiten der ICT-Branche kritisiert. Es sei ein faktisches Cloud-Verbot, hiess es unter anderem. Wie stehen Sie dazu?
Wir begrüssen das Gesetz ausdrücklich. Der Kontrollverlust, wenn man Microsoft 365 einsetzt, ist so gross, dass es einen rechtlichen Rahmen braucht. Diesen bringt das Gesetz.
Wie verhältnismässig ist das?
Sehr verhältnismässig und relevant. Die Grundlage für diese Regelung ist ein Rechtsgutachten, das auf den verfassungsrechtlichen Vorgaben hinsichtlich Datenschutz basiert.
Wie gehen Sie mit dem Vorwurf um, dass Sie zukunftsgerichtete Technologien verbieten und damit auch Innovationen verhindern?
Wir verhindern keine Innovationen. Datenschutz ist kein Bremser oder Verhinderer, sondern setzt Rahmenbedingungen, dass Technologie vertrauenswürdig und grundrechtskonform eingesetzt werden kann.
Sie haben vor zehn Jahren bei der Datenschutzbehörde in Zürich angefangen. Nebst der Cloud hat sich auch sonst viel verändert in dieser doch relativ kurzen Zeit.
Die Digitalisierung hat zu einer massiven Veränderung geführt, die sich beim Datenschutz insbesondere durch das Outsourcing vieler Dienstleistungen zeigt. Hinzu kommen eben die Cloud und neu auch Künstliche Intelligenz.
Aber die Grundsätze beim Datenschutz sind dieselben geblieben, oder nicht?
Genau, es sind dieselben Grundsätze, die auch bei neuen Technologien angewandt werden müssen. Oder müssten. Leider wird das immer noch viel zu wenig gemacht.
Also ist die Wahrnehmung des Themas Datenschutz nicht wirklich besser geworden in den letzten Jahren?
Doch, gerade in der Bevölkerung, aber auch bei Behörden, die Daten bearbeiten, ist die Awareness besser geworden. Es bleibt aber noch ein weiter Weg zu gehen.
Und plötzlich ist Künstliche Intelligenz da. Reicht der rechtliche Rahmen heute dafür aus oder braucht es Nachjustierungen?
Wenn das Gesetz angewandt wird, ist es mindestens eine gute Basis.
Sie sind bis im Jahr 2028 gewählt. Was haben Sie sich für die kommende Amtsperiode vorgenommen?
Die Sensibilisierung des Themas bleibt wichtig und soll weiter forciert werden. Weiter wünsche ich mir, dass Behörden bei ihren Digitalisierungsvorhaben nach dem Prinzip "Privacy by Design" vorgehen.
Um die Awareness zu steigern, benötigt es Kommunikation. Sie erwähnten Social Media. Wie stellen Sie sicher, dass Ihre Behörde selbst datenschutzkonform unterwegs ist?
Wir müssen dort präsent sein, wo unsere Zielgruppen sind. Wir planen einen Linkedin-Kanal und evaluieren Instagram und Facebook.
Kontrollieren Sie sich selbst? Oder wer kontrolliert Sie?
Das ist eine gute Frage. Wir haben tatsächlich schon darüber gesprochen, uns selbst zu kontrollieren, aber verschriftlicht haben wir das bis jetzt noch nie. Aber selbstverständlich halten wir uns ans Datenschutzgesetz und an die Massnahmen, die wir anderen vorgeben.
Ihr Vorgänger Bruno Baeriswyl hat den Job 25 Jahre gemacht. Wollen Sie das übertreffen?
Vom Alter her wäre es möglich. Mir gefällt das Thema sehr und ich mag die Tätigkeit als unabhängige Aufsichtsbehörde. Ich setze mich gerne für dieses bedeutende Grundrecht ein, denn es gibt noch viel zu tun. Bis ich pensioniert werde, dauert es aber noch rund 24 Jahre. Da kann sich noch vieles verändern.