Die Berichterstattung der Datenschutzstelle hat sich zu wichtigen Feststellungen zu äussern.
Für das Berichtsjahr 2024 sind die folgenden vier Themen zu erwähnen:
In der Stadtverwaltung Zürich hat die Digitalisierung einen hohen Stellenwert. Diese schreitet weiter zügig voran. So gibt es kaum einen Verwaltungsbereich, in dem keine entsprechenden Vorhaben umgesetzt werden oder in Planung sind.
Die Digitalisierung bietet Möglichkeiten und Chancen, stellt die Verwaltung der Stadt Zürich und die Datenschutzstelle aber auch vor Herausforderungen. Der schnelle Wandel, angetrieben von neuen Technologien wie der Künstlichen Intelligenz (KI) oder der Cloud, die steigende Komplexität, sowie das hohe Tempo, in welchem Vorhaben umgesetzt werden sollen, fordern alle Beteiligten heraus.
Die Datenschutzstelle setzt sich gemäss ihrem gesetzlichen Auftrag dafür ein, dass Datenschutz in der digitalen Transformation standardmässig eingehalten wird. Dies setzt voraus, dass der Datenschutz bei der Auswahl und Ausgestaltung der jeweiligen Lösung als Priorität angesehen wird. Die Datenschutzstelle fördert diesbezügliche Prozesse, schult Beteiligte von Digitalisierungsprojekten im Bereich Datenschutz und kontrolliert solche Projekte, wenn die Datenbearbeitung zu erhöhten Risiken für die Grundrechte der Betroffenen führt.
Nur wenn der Datenschutz als integraler Bestandteil der digitalen Transformation beachtet wird, kann der Schutz der Grundrechte der Bürger*innen auch auf dem Weg zur digitalen Verwaltung gewahrt bleiben.
Die Datenschutzstelle anerkennt, dass KI ein wesentlicher Bestandteil der fortschreitenden Digitalisierung ist und voraussichtlich auch in der Stadtverwaltung immer präsenter werden wird.
Das Datenschutzrecht ist technikneutral ausgestaltet. KI ist entsprechend immer dann datenschutzrelevant, wenn mit der jeweiligen Anwendung Personendaten bearbeitet werden. Die dahinterstehende Technologie ist nicht massgebend, sondern der Kontext der Datenbearbeitung und die damit verbundenen Risiken für die betroffenen Personen.
KI stellt das Datenschutzrecht zwar vor Herausforderungen, völlig neu sind diese hingegen nicht. Es ist davon auszugehen, dass die datenschutzrechtlichen Herausforderungen von KI mit den Mitteln und Instrumenten des bestehenden Datenschutzrechts zu meistern sind. Jedoch müssen gewisse Anforderungen und Grundsätze im Kontext von KI akzentuierter gewichtet werden:
Legitimation Es stellt sich die Frage, gestützt auf welche Rechtsgrundlage Daten mittels KI bearbeitet werden. Dies gilt für jeden Einsatz von KI, auch bereits im Kontext sogenannter Trainingsdaten.
Zweckbindung: Der Grundsatz der Zweckbindung besagt, dass die Verwaltung Personendaten nur für den gesetzlich definierten Zweck bearbeiten darf. Bürger*innen müssen nicht damit rechnen, dass Daten, die sie der Verwaltung zwecks Erfüllung hoheitlicher Aufgaben überlassen, auch für das Training von KI-Systemen verwendet werden.
Transparenz: KI soll erkennbar, erklärbar und interpretierbar sein. Bürger*innen sollen verstehen können, wie die eingesetzte KI trainiert wurde, wie sie technisch funktioniert und wie sie wirkt.
Verantwortung: Die Verwaltungsstelle, die KI einsetzt, trägt die Verantwortung für die Wirkung der KI. Sie muss deshalb selbst Transparenz einfordern. Sie muss KI verstehen und erklären können.
Richtigkeit der Daten: Die bearbeiteten Informationen müssen richtig und vollständig sein. Diese Anforderung wird mit KI an Bedeutung gewinnen. Die Bearbeitung von unrichtigen (Personen-)Daten erhöht die Gefahr von Diskriminierung und stellt eine Persönlichkeitsverletzung dar.
Durchführung einer Datenschutz-Folgenabschätzung: Möchte ein öffentliches Organ KI einsetzen, besteht die Pflicht zur Risikobewertung für die beabsichtigte Bearbeitung von Personendaten. Je nachdem, wie hoch das Risiko für die betroffenen Personen ist, muss das Vorhaben zur Vorabkontrolle bei der Datenschutzstelle eingereicht werden.
Der Einsatz von KI erfordert besondere Vorsicht. Datenschutz, Datensicherheit aber auch ethische Verantwortung stehen dabei im Mittelpunkt. Die Datenschutzstelle möchte den Umgang mit KI in der Verwaltung mehr in den Fokus rücken und ist der Meinung, dass klare, verbindliche und zugängliche Richtlinien für die Verwaltung einen grossen Mehrwert schaffen können und müssen. Zudem ist es wichtig, die Verwaltungsmitarbeitenden für einen datenschutzkonformen und verantwortungsbewussten Umgang mit KI zu sensibilisieren.
Im Berichtsjahr waren Fragestellungen rund um den Einsatz von Cloud-Lösungen ein zentrales Thema; denn der Trend geht unaufhaltsam in diese Richtung. Gleichzeitig bestehen für öffentliche Verwaltungen, insbesondere was Cloud-Lösungen von Anbietern aus den USA betrifft, komplexe Herausforderungen und teilweise (noch) nicht hinreichende Lösungsansätze.
Die Nutzung von Cloud-Lösungen, die stets die Auslagerung einer Datenbearbeitung bedeutet, ist aus datenschutzrechtlicher Optik mit Risiken verbunden.
Diese bestehen insbesondere in den Bereichen der Vertragsausgestaltung, der Vertraulichkeit und der Verschlüsselung, aber auch der Kontrollrechte und -möglichkeiten.
Die zentrale (Vor-)Frage bei Cloud-Vorhaben ist die der rechtlichen Machbarkeit. Als Erstes gilt es zu überprüfen, ob bestimmte Personendaten überhaupt in die Cloud ausgelagert werden dürfen oder nicht. Bei dieser Frage handelt es sich nicht um eine Risikoanalyse, sondern um eine Rechtskonformitätsprüfung. Die Datenschutzstelle stellt dazu neu ein Formular für die Rechtsdienste zur Verfügung.
Jede Person hat das Recht auf Zugang zu den eigenen Personendaten, um zu überprüfen, welche Daten ein öffentliches Organ über sie bearbeitet. Das Jahr 2024 zeigte der Datenschutzstelle, dass in der Praxis bei der Geltendmachung dieses Rechts diverse Herausforderungen bestehen. Einerseits ist es für die Gesuchstellenden nicht immer einfach nachvollziehbar, an welches öffentliche Organ ein Gesuch gestellt werden kann. Andererseits ist zu wenig bekannt, welchen Inhalt ein solches Gesuch haben muss. Um diesem Problem Abhilfe zu schaffen, stellt die Datenschutzstelle auf der Webseite der Stadt Zürich neu Informationen sowie ein Gesuchsformular zur Verfügung.
Überdies bestehen auch in der Verwaltung Unsicherheiten in Bezug auf solche Zugangsgesuche: Was muss herausgegeben werden? In welcher Form? In welcher Frist? Die Datenschutzstelle unterstützt beratend bei der Umsetzung des Datenschutzrechts, verortet jedoch ebenso Schulungs- und Kontrollpotential in diesem Bereich.
Um den Herausforderungen zu begegnen und die Ressourcen zielgerichtet einzusetzen, hat die Datenschutzstelle im Jahr 2024 eine Strategie festgelegt, welche aus vier Schwerpunkten besteht. Alle verfolgen das Ziel, den Datenschutz in der Stadtverwaltung zu stärken und die Grundrechte der Bürger*innen zu wahren.
Der vorliegende Tätigkeitsbericht gliedert sich nach den vier Strategieschwerpunkten und illustriert beispielhaft die konkrete Arbeit in den jeweiligen Bereichen im Jahr 2024.
Sensibilisierung; Schulung; Befähigung: Nur wer die Grundsätze des Datenschutzrechts kennt, kann danach handeln. Die praktische Erfahrung zeigt, dass zahlreiche Datenschutzverletzungen direkt oder indirekt durch Unwissenheit und eine mangelnde Sensibilisierung der Mitarbeitenden verursacht werden. Allgemein muss konstatiert werden, dass in Sachen Datenschutz viele Unsicherheiten bestehen und Schulungen und Sensibilisierungsmassnahmen erforderlich sind.
Die Datenschutzstelle möchte diesen Schwerpunkt u.a. umsetzen, indem sie zielgruppengerechte Hilfsmittel für die Verwaltung aber auch für die Bürger*innen der Stadt Zürich zur Verfügung stellt sowie ihr Schulungsangebot ausbaut.
Aufsicht; Kontrolle: Die Datenschutzstelle ist innerhalb der Stadtverwaltung unabhängig. Mit ihrer Aufsichts- und Kontrollkompetenz über die Einhaltung des Datenschutzes verfügt sie über ein wichtiges Instrument zur Durchsetzung dieses Grundrechtes und möchte diesem Schwerpunkt in Zukunft mehr Gewicht verleihen.
Beratung: Für die Gewährleistung des Datenschutzes sind die Organe der Stadtverwaltung verantwortlich. Die Datenschutzstelle richtet ihre Beratungstätigkeit entsprechend darauf aus, dass sie die zuständigen Organe bestmöglich darin unterstützen kann, ihre Verantwortung für den Datenschutz wahrzunehmen.
Die Datenschutzstelle berät die städtische Verwaltung zu allen Fragen des Datenschutzrechts. Auch Privatpersonen werden durch die Datenschutzstelle beraten, sofern sich ihre Anliegen auf die Stadtverwaltung beziehen.
Prozesse; Zusammenarbeit: Die Datenschutzstelle verfügt, wie alle Behörden, über begrenzte Ressourcen. Es ist deshalb wichtig, dass sie Prozesse, städtische Kontrollmechanismen und Gremien nutzt, damit sie ihrem Anliegen, der Einhaltung des Datenschutzrechts, maximale Wirkung verleihen kann. Verbindliche, etablierte und wirkungsvolle Prozesse dienen der Berücksichtigung sowie der Umsetzung des Datenschutzes (ISDS-Prozess, Einholung der Stellungnahme der Datenschutzstelle im Gesetzgebungsprozess usw.).
Ziel dieses Strategieschwerpunkts ist es, das Datenschutzsystem in der Stadtverwaltung weiterzuentwickeln.