Tätigkeitsbericht
Tätigkeitsbericht 2025: Jubiläumsjahr im Zeichen der digitalen Verwaltung
2025 feierte die Datenschutzbeauftragte das 30-jährige Bestehen der kantonalen Datenschutzgesetzgebung und damit auch ihrer Behörde. Die vom Kantonsrat beschlossene Totalrevision des Gesetzes über die Information und den Datenschutz (IDG) sieht für die Datenschutzbeauftragte zusätzliche Aufgaben als Beauftragte für das Öffentlichkeitsprinzip vor. Die Digitalisierung der Verwaltung konkretisierte sich 2025 weiter. Verschiedene öffentliche Organe haben der Datenschutzbeauftragten Digitalisierungsprojekte vorgelegt, darunter auch zahlreiche Auslagerungen von Datenbearbeitungen. Die Datenschutzbeauftragte unterstützt öffentliche Organe bei der datenschutzkonformen Umsetzung ihrer Digitalisierungsprojekte.
Digitalisierung und Datenschutz dürfen kein Widerspruch sein
Die Digitalisierung der Verwaltung schreitet weiter voran und beschäftigte die Datenschutzbeauftragte auch im Jubiläumsjahr. Zu ihren Aufgaben zählt die Beratung öffentlicher Organe zur datenschutzkonformen Realisierung ihrer Digitalisierungsprojekte. Mehrere öffentliche Organe haben der Datenschutzbeauftragten unterschiedliche digitale Projekte vorgelegt. Darunter befanden sich auch Auslagerungen von Datenbearbeitungen in Cloud-Lösungen, auf externe Plattformen sowie die Nutzung von Dienstleistungen von Softwareanbietern. Das IDG definiert den gesetzlichen Rahmen für solche Auslagerungen. Erfolgt die Datenbearbeitung durch eine KI-Lösung, kann auch eine Auslagerung einer Datenbearbeitung vorliegen, hier ist ebenfalls das IDG anwendbar. Im Rahmen ihrer Kontrollfunktion führte die Datenschutzbeauftragte 2025 die erste Kontrolle bei einer KI-Applikation durch. Dabei handelte es sich um einen Chatbot, der Fragen der Bevölkerung automatisch beantwortet. Digitalisierung und Datenschutz dürfen nicht im Widerspruch zueinander stehen: «Im Gegenteil: Nur ein datenschutzkonformer Digitalisierungsprozess schafft das Vertrauen der Bevölkerung in die Verwaltung und deren Digitalisierungsvorhaben.», sagt Dominika Blonski, Datenschutzbeauftragte des Kantons Zürich.
Mitarbeitendenschulungen reduzieren Risiko von Angriffen auf Datensicherheit
Ereignet sich eine Datenschutzverletzung, sind öffentliche Organe verpflichtet, diese der Datenschutzbeauftragten zu melden. 2025 gab es mehrere Meldungen über erfolgreich durchgeführte digitale Angriffe von Dritten auf öffentliche Organe oder deren Partner. Zahlreiche Angriffe erfolgten via Ransomware. Dabei geht es den Angreifenden in der Regel darum, mittels gestohlener beziehungsweise verschlüsselter Daten Geld von den öffentlichen Organen zu erpressen, um beispielsweise die Veröffentlichung dieser Daten zu verhindern. Zunehmend werden auch betroffene Personen direkt mit den entwendeten Daten erpresst. Die Datenschutzbeauftragte berät das betroffene öffentliche Organ bei der Bewältigung eines solchen Vorfalls. Sie verlangt je nach Situation von der angegriffenen Organisation die Umsetzung zusätzlicher Massnahmen. Ziel ist die Erhöhung der Informationssicherheit, um das Sicherheitsrisiko einer künftigen Datenschutzverletzung zu reduzieren. Gezielte Massnahmen, die Schulung der Mitarbeitenden sowie deren Sensibilisierung auf die Erkennung solcher Angriffe vermindern das Risiko eines Angriffs auf die Datenschutzsicherheit.
Kantonsrat verabschiedet neues IDG
Im März 2026 hat der Kantonsrat dem neuen IDG zugestimmt. Mit dem neuen IDG wird das Aufgabengebiet der Datenschutzbeauftragten erweitert: Neben ihrer Funktion im Bereich des Datenschutzes ist sie künftig auch Beauftragte für das Öffentlichkeitsprinzip. Der Kanton Zürich folgt damit der bewährten Praxis auf Bundesebene und bei anderen Kantonen, diese beiden Funktionen in einer Behörde zusammenzuführen. Dazu meint Dominika Blonski: «Das neue IDG sorgt dafür, dass die Privatsphäre der Bevölkerung wie auch der grundrechtliche Anspruch auf Öffentlichkeit der Verwaltung gewährleistet bleibt.»
