Die Digitalisierung der Verwaltung prägte auch das Jubiläumsjahr
Im Jahr 2025 feierte die Datenschutzbeauftragte sowohl das 30-jährige Bestehen der kantonalen Datenschutzgesetzgebung als auch jenes ihrer Behörde. Das Gesetz über die Information und den Datenschutz (IDG) ist am 1. Januar 1995 in Kraft getreten. 30 Jahre später hat der Kantonsrat eine Totalrevision des IDG vorgenommen. Das Öffentlichkeitsprinzip kommt neu in den Verantwortungsbereich der Datenschutzbeauftragten. Die Datenschutzbeauftragte beschäftigte sich auch im Jubiläumsjahr mit verschiedenen Projekten und Fragen rund um das Thema Digitalisierung bei öffentlichen Organen.
Im Rahmen des Jubiläumsjahres führte die Datenschutzbeauftragte verschiedene Aktivitäten durch. Am Jubiläumsanlass Ende Januar konnte die Datenschutzbeauftragte neben alt Bundesrat Moritz Leuenberger, Kantonsratspräsident Jürg Sulser und Regierungspräsidentin Natalie Rickli alt Regierungsrat Markus Notter sowie den ehemaligen Datenschutzbeauftragten Bruno Baeriswyl begrüssen, die am Podium, mit Referaten und Grussworten zum Gelingen des Anlasses beitrugen. Dr. Anna Jobin, Forscherin und Dozentin an der Universität Freiburg, brachte in ihrem Referat zum Thema «KI: Die neuen Herausforderungen für Politik und Gesellschaft» das Publikum zum Nachdenken. Umrahmt wurde der Anlass von der Stand-up-Comedian Reena Krishnaraja sowie der Moderatorin Elena Wagen. Auch der traditionelle SommerTalk der Datenschutzbeauftragten Anfang Juli stand mit einem unterhaltsamen Datenschutz-Quiz zwischen Dominika Blonski, Datenschutzbeauftragte, und ihrem Amtsvorgänger, Bruno Baeriswyl, im Zeichen des Jubiläums. Im November konnten Besuchende die Büroräumlichkeiten der Datenschutzbeauftragten kennenlernen und ihr Datenschutzwissen im Escape Room oder beim Pub-Quiz unter Beweis stellen. Ziel der Jubiläumsveranstaltungen war es, Verwaltungsmitarbeitenden, Behördenmitgliedern sowie politischen Vertreterinnen und Vertretern einen vertieften Einblick in das umfassende Tätigkeitsgebiet der Datenschutzbeauftragten zu gewähren.
Digitalisierung und Datenschutz sind kein Widerspruch
Als 1995 die Datenschutzgesetzgebung im Kanton Zürich in Kraft trat, steckte das Internet als Massenkommunikationsmittel noch in den Kinderschuhen. Heute gilt es als wichtiger Katalysator der digitalen Revolution. 30 Jahre später sind künstliche Intelligenz (KI), Chatbots und Clouds auch bei öffentlichen Organen im Einsatz. Gleichzeitig sind in dieser Zeit die Ansprüche an den Datenschutz wie auch die Sensibilisierung der Bevölkerung gewachsen. Digitalisierung und Datenschutz sind kein Widerspruch, im Gegenteil: Nur ein datenschutzkonformer Digitalisierungsprozess schafft das Vertrauen der Bevölkerung in die Verwaltung und deren Digitalisierungsvorhaben.
Die Digitalisierung der Verwaltung schreitet weiter voran, mehrere öffentliche Organe haben digitale Projekte bereits lanciert oder sind daran, diese umzusetzen. Die Datenschutzbeauftragte unterstützt die Organisationen bei der datenschutzkonformen Einführung und Umsetzung ihrer Digitalisierungsprojekte. Auslagerungen von Datenbearbeitungen bleiben für öffentliche Organe aktuell. Die Datenschutzbeauftragte hat 2025 mehrere Auslagerungsprojekte von Cloud-Lösungen, externen Plattformen und Softwareanbietern vorgelegt bekommen. Das IDG definiert den gesetzlichen Rahmen für die Auslagerung von Datenbearbeitungen. Vermehrt kommt bei öffentlichen Organen die KI zum Einsatz. Datenbearbeitungen durch KI-Lösungen fallen wie alle Datenbearbeitungen unter die datenschutzrechtlichen Bestimmungen des IDG. Bei KI-Lösungen kann es sich um eine Auslagerung handeln, womit insbesondere entsprechende Vorgaben umzusetzen sind.
Vorgehen beim Einsatz von M365 in Gemeinden
Webscans für öffentliche Organe
Immer mehr öffentliche Organe setzen Webapplikationen ein – ein Trend der sich weiter verstärken dürfte. In der Umsetzung arbeiten öffentliche Organe regelmässig mit externen Dienstleistenden zusammen. Eine eigene fachliche Sicherheitsbeurteilung kann für das öffentliche Organ eine grosse Herausforderung darstellen. Webapplikationen sind aus Sicherheitsgründen stets auf dem neuesten Stand zu halten. Ein sogenannter Webscan identifiziert veraltete Webapplikationen und offenbart Sicherheitslücken. Die Datenschutzbeauftragte führt bei öffentlichen Organen solche Webscans durch. Eine frühe Erkennung von Risiken erhöht die Sicherheit der Verwaltung und deren digitalen Angebote.
Wie Mitarbeitende Angriffe auf die Datensicherheit verhindern können
Bei Datenschutzverletzungen sind öffentliche Organe verpflichtet, entsprechende Vorfälle umgehend der Datenschutzbeauftragten zu melden. Verschiedene öffentliche Organe sowie deren Dienstleistende wurden im Berichtsjahr Opfer von Angriffen auf die Datensicherheit. Angreifenden geht es dabei oft darum, nach einem Angriff Geld von den Behörden zu erpressen, um beispielsweise eine Veröffentlichung der Daten zu verhindern. Die Datenschutzbeauftragte berät die betroffene Organisation bei der Bewältigung des Vorfalls. Je nach Situation fordert sie die Umsetzung zusätzlicher Massnahmen, um die Informationssicherheit des öffentlichen Organs zu erhöhen und gleichzeitig das Risiko künftiger Angriffe auf die Datensicherheit zu minimieren. Es gilt, sicherheitsrelevante Prozesse im Betriebsalltag einzubauen. Die öffentlichen Organe müssen die Mitarbeitenden entsprechend schulen und sensibilisieren, um mögliche Angriffsgefahren frühzeitig zu erkennen.
IDG für die Zukunft gerüstet
Der Kantonsrat hat dem neuen IDG im März 2026 zugestimmt. Es berücksichtigt die neuen technologischen Entwicklungen. Gleichzeitig sieht das Gesetz einen erweiterten Aufgabenbereich für die Datenschutzbeauftragte vor: Fragen rund um das Öffentlichkeitsprinzip sowie ein Schlichtungsverfahren bei Zugangsgesuchen sind künftig auch Teil des Aufgabengebietes der Datenschutzbeauftragten.
Totalrevision des Gesetzes über die Information und den Datenschutz