Welche Zukunft für den Datenschutz im Kanton Zürich?
Mit dem Abschluss des Jahres 2024 erreicht die Datenschutzgesetzgebung ihr 30-jähriges Bestehen im Kanton Zürich.
Als das erste Zürcher Datenschutzgesetz am 1. Januar 1995 in Kraft getreten ist, sah die technologische Welt noch anders aus. Das Internet wurde erst gerade schrittweise für die Bevölkerung zugänglich, Computer kamen grossflächig in Büros auf und Textverarbeitungsprogramme wurden auch von privaten Anwenderinnen und Anwendern genutzt. Seither hat sich viel verändert und die Entwicklung schreitet weiter rasant voran. Heute geht kaum jemand ohne Smartphone aus dem Haus, wir kommunizieren über Social Media und lassen Texte durch die Künstliche Intelligenz verfassen. Sitzungen finden in Videocalls statt und Eingaben beim Bauamt, bei der Einbürgerungsbehörde oder bei der Polizei werden online vorgenommen. Die technologische Entwicklung war der Treiber, dass eine Datenschutzgesetzgebung überhaupt erlassen wurde, und sie bleibt weiterhin wegweisend für die Weiterentwicklung der datenschutzrechtlichen Überlegungen. Diese Dynamik war seit dem Inkrafttreten der Datenschutzgesetzgebung vorhanden und wird auch künftig dominieren und uns damit immer wieder vor neue Herausforderungen stellen.
Wir müssen uns überlegen, welchen Einfluss diese Technologie auf die Gesellschaft insgesamt, auf die Grundrechte der Bevölkerung und damit auch auf das Datenschutzgrundrecht hat.
Bei all der Dynamik: Verändert sich wirklich alles so dynamisch und rasant? Unsere Grundwerte, die sich aus der Bundesverfassung ergeben, sind konstant geblieben und an diesen richten wir uns bis heute aus. Wir sprechen hier von Grundlagen unseres Staates, wie Rechtsstaatlichkeit, Verhältnismässigkeit des staatlichen Handelns und – nicht zuletzt auch im Datenschutzbereich – von Grundrechten, die uns allen als Bevölkerung dieses Landes (und hier ganz spezifisch des Kantons Zürich) zustehen und ein gutes Miteinander ermöglichen.
Hoher Weiterbildungsbedarf zu Datenschutzthemen
Da stellt sich die Frage: Wie möchten wir also mit dieser Entwicklung umgehen – als Gesellschaft, als Gesetzgeber und auch als Aufsichtsbehörde? Mit jeder technologischen Entwicklung – sei das der E-Mail-Versand in den neunziger Jahren oder heute die Künstliche Intelligenz – müssen wir uns aktiv auseinandersetzen. Und uns überlegen, welchen Einfluss diese Technologie auf die Gesellschaft insgesamt, auf die Grundrechte der Bevölkerung und damit auch auf das Datenschutzgrundrecht hat. Wie können wir die Technologie datenschutzkonform nutzen? Welche Personendaten können wir damit bearbeiten? Welche technischen Schutzmassnahmen setzen wir dafür um? Wir müssen gemeinsam entscheiden, wie wir unsere Zukunft mitgestalten möchten. Denn diese Entwicklungen betreffen uns alle.
Digitale Langzeitarchivierung von Akten der öffentlichen Organe
Und spezifisch zum Datenschutz: Ist das Datenschutzrecht noch zeitgemäss? Kaum war das erste Gesetz da, kaum tritt eine Revision in Kraft, führen technologische oder gesellschaftliche Weiterentwicklungen dazu, dass das Gesetz schon bald überholt erscheint. Aber ist dem wirklich so? Das Datenschutzrecht stellt eine Rahmengesetzgebung dar. Das heisst, in den Datenschutzgesetzen sind die Rahmenbedingungen festgehalten, wie Datenbearbeitungen stattfinden können. Diese Vorgaben leiten sich aus der Bundesverfassung ab, die das Grundrecht auf Datenschutz festhält. Spezifische Regelungen zu den jeweiligen Fachbereichen wie Schulen, Gesundheitsbereich oder Polizei finden sich in den Sachgesetzen. Das Datenschutzrecht wurde bewusst technologieneutral formuliert, damit es auch auf neuere Entwicklungen anwendbar ist. Wenn wir also die bestehenden Datenschutzregelungen auf neue Technologien anwenden, haben wir einen soliden Rahmen. Das Datenschutzrecht musste sich auch bisher ständig an die dynamische, rasante Entwicklung anpassen – das gelingt gut. Erkennen wir als Gesellschaft Anpassungsbedarf, weil eine Technologie besondere Auswirkungen zeigt, lässt sich das mit Gesetzesrevisionen umsetzen. Dabei ist es wichtig, dass die Grundwerte der Bundesverfassung beigezogen werden und das staatliche Handeln, das sich auf die rechtlichen Grundlagen stützt, auf die Einhaltung der Grundwerte zu reflektieren. Denn wir schützen mit dem Datenschutz die Menschen in ihren Grundrechten und nicht die Daten.
Einführung neuer digitaler Hilfsmittel in Schulen
Damit kommt die Frage auf: Welche Zukunft für den Datenschutz im Kanton Zürich? Die Auseinandersetzung mit den kantonalen Datenschutzvorgaben im Gesetz über die Information und den Datenschutz (IDG) sowie in der Verordnung über die Information und den Datenschutz (IDV) und der Erlass von neuen Regelungen in diesen noch laufenden Revisionen sind zu begrüssen. So soll eine Beauftragte oder ein Beauftragter für das Öffentlichkeitsprinzip geschaffen werden, offene Behördendaten (OGD) geregelt werden, ein Verzeichnis der verwendeten algorithmischen Entscheidsysteme im Bereich der Künstlichen Intelligenz bestehen und eine Grundlage für Pilotversuche geschaffen werden. Die Vorlage enthält aber auch noch zu diskutierende Regelungen, wie die Ergänzung des publizierten Tätigkeitsberichts der Datenschutzbeauftragten mit Stellungnahmen von öffentlichen Organen oder bedeutende Einschränkungen des Öffentlichkeitsprinzips, indem gewisse Dokumente pauschal vom Zugangsrecht der Bevölkerung ausgeschlossen sein sollen. Auch sollte die Chance genutzt werden, ein Schlichtungsverfahren bei Streitfällen betreffend das Öffentlichkeitsprinzip vorzusehen – das wäre effizient und vertrauenswürdig für die beteiligten Personen.
Im Ergebnis lohnt es sich, Bewährtes beizubehalten und auf die dynamische und rasante Entwicklung anzuwenden, Notwendiges anzupassen, aber auch darauf zu achten, dass keine bürokratischen Hürden geschaffen werden. Wir leben in einer dynamischen Zeit, und das Datenschutzrecht ist ein äusserst dynamisches Gebiet. Für die Zukunft ist es wichtig, dass wir unsere Grundwerte und damit auch unsere Grundrechte nicht vergessen und uns darauf fokussieren. Es braucht die persönliche Freiheit für einen liberalen Rechtsstaat. Nur mit freier Meinungsbildung funktioniert unsere Demokratie. Das sind auch Instrumente gegen Manipulation, denn die Digitalisierung darf nicht zu einem Überwachungsstaat führen. Die Aufgabe der Datenschutzbeauftragten ist es dabei, Checks and Balances sicherzustellen. Die Verantwortung für die grundrechtskonforme Datenbearbeitung liegt bei den öffentlichen Organen, die sich an den öffentlich-rechtlichen Vorgaben ausrichten. Die Datenschutzbeauftragte schaut als Aufsichtsbehörde, dass die gesetzlichen Vorgaben verfassungskonform vollzogen werden, indem sie Kontrollen durchführt und überprüft, ob Grundrechtseingriffe nach rechtsstaatlichen Vorgaben erfolgen. Sie unterstützt die beaufsichtigten Organe auch präventiv dabei, indem sie diese informiert und berät.