Zürcher Datenschutzbeauftragte verstärkt Kontrollen

Die Datenschutzbeauftragte des Kantons Zürich, Dominika Blonski, hat ihren Tätigkeitsbericht für das Jahr 2024 präsentiert. Demnach verstärkte sie ihre Kontrolltätigkeit im vergangenen Jahr weiter; mit 74 durchgeführten Kontrollen wurde der Indikator von 70 jährlichen Kontrollen übertroffen und im Vergleich zu 2023 (60 Kontrollen) gesteigert. Zudem beträgt die Umsetzung von Massnahmen nach einem Datenschutzreview bei öffentlichen Organen 93 Prozent.

Kontrollierte Organisationen und Mängel

Wie es weiter heisst, kontrollierte die Datenschutzbeauftragte 2024 neben Spitex-Organisationen auch Schulen, Ämter, Direktionen sowie erstmals Kirchenorganisationen. Gemeinden wurden zudem zur Selbstdeklaration eingeladen. 

Bei 17 von insgesamt 71 kontrollierten Spitex-Organisationen mit kommunalen Leistungsaufträgen habe die Datenschutzbeauftragte bei der Absicherung von mobilen Geräten, regelmässigen Updates sowie dem Einsatz von Zwei-Faktor-Authentifizierungen Mängel festgestellt. Auch fehlte bei den meisten kontrollierten Spitex-Organisationen ein umfassendes Sicherheits- und Datenschutzkonzept.

Kirchgemeinden seien ebenfalls durch unsichere mobile Geräte, fehlende Sicherheitsvorgaben und veraltete Betriebssysteme negativ aufgefallen. Um den Kirchen die Umsetzung der festgehaltenen Massnahmen zu erleichtern, arbeite die Datenschutzbeauftragte mit dem Synodalrat der katholischen Kirche des Kantons Zürich und der evangelisch-reformierten Landeskirche des Kantons Zürich zusammen. Dadurch sollen den Kirchgemeinden Vorlagen zur Verfügung gestellt werden, die sie bei der Behebung der Mängel unterstützen.

Dominika Blonski, Datenschutzbeauftragte des Kantons Zürich. (Source: MATTHIAS EBERLE)

Schutz von sensiblen Daten

Des Weiteren betont die Datenschutzbeauftragte, dass die datenschutzkonforme Umsetzung von Digitalisierungsprojekten zentral sei, um weiterhin Vertrauen in die öffentlichen Organe auf kantonaler und kommunaler Ebene sicherzustellen. Ein besonderer Fokus liege hierbei auf der sicheren Datenbearbeitung im Rahmen der digitalen Transformation.

Verschiedene Spitäler etwa legten der Datenschutzbeauftragten 2024 Applikationen vor, welche die Kommunikation mit den Patienten vereinfachen sollen. Der Einsatz solcher Applikationen von US-amerikanischen Anbietern sei laut dem Tätigkeitsbericht zulässig, sofern sensible Daten so verschlüsselt sind, dass sie für die Anbieter nicht zugänglich sind. Wie es weiter heisst, verzichten einige Spitäler daher bewusst auf Cloud-Lösungen und prüfen Varianten, Patientendaten mit Applikationen ohne Cloud zu bearbeiten.

Umgang mit KI

Der Datenschutzbeauftragten wurden 2024 erste KI-Projekte vorgelegt, wobei öffentliche Organe Konzepte zu LLMs erstellten. Für deren Nutzung seien verschiedene datenschutzrechtliche Abklärungen erforderlich, heisst es im Tätigkeitsbericht weiter. So müssen die Aufgaben, für die KI eingesetzt werden soll, klar definiert und die dafür eingesetzten Prompts dokumentiert werden. Also ob und wie die Daten für das Training der KI verwendet oder nach der Verarbeitung gelöscht werden, sowie wer Einsicht in die Personendaten hat, die das öffentliche Organ an das LLM übermittelt. Entsprechende Projekte unterliegen einer Vorabkontrolle durch die Datenschutzbeauftragte, wofür ihr die vollständige Dokumentation einzureichen ist.

Gesetzliche Grundlage

Die Datenschutzbeauftragte betont, dass das Gesetz über die Information und den Datenschutz des Kantons Zürich eine technologieneutrale Rahmengesetzgebung darstelle. Es halte die Rahmenbedingungen fest, wie Datenbearbeitungen stattfinden können und sollen. Die von ihr durchgeführten Kontrollen stellen demnach sicher, ob die Grundrechtseingriffe nach rechtsstaatlichen Vorgaben erfolgen.

Welche Grenzen laut dem eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im Bereich des Datenschutzes bei KI-Anwendungen bestehen, lesen Sie hier.