Frau Blonski, Sie unterstützen als Datenschutzbeauftragte des Kantons Zürich unter anderem die kantonale Verwaltung, Gemeinden und Schulen bei der Umsetzung von Datenschutz und Informationssicherheit. Wie gehen Sie und Ihr Team dabei vor?
Das kantonale Datenschutzgesetz sieht vor, dass sich die öffentlichen Organe an bestimmte Grundsätze – und alles, was damit verbunden ist – halten. Ein wichtiger Punkt ist dabei, dass sie immer selbst die Verantwortung dafür tragen. Das bedeutet, jede Gemeinde, jedes Spital oder jede Schule hat dafür zu sorgen, dass der Datenschutz eingehalten wird. Wir sind «nur» das Aufsichtsorgan und schauen, ob sie das gut umsetzen und die gesetzlichen Vorgaben einhalten – sowohl auf der juristischen als auch auf der technischen Ebene. Nebst dieser Funktion nehmen wir drei weitere Aufgaben wahr. Je rund ein Drittel unserer Arbeit umfasst die Kontrolle, die Beratung und die Information von öffentlichen Institutionen.

Gehen Sie aktiv auf die öffentlichen Institutionen zu oder wo und wie können sich diese informieren?
Für eine Beratung stehen wir gerne zur Verfügung. Wir sind per Telefon und per E-Mail via unser Kontaktformular gut erreichbar. Wir unterstützen bei konkreten Fragen sowohl in juristischer als auch in technischer Hinsicht. Unserem breiten Informationsauftrag werden wir gerecht, indem wir zahlreiche frei zugängliche Informationen wie Merkblätter, Leitfäden etc. zur Verfügung stellen, um die öffentliche Hand zu unterstützen. Das machen wir vor allem über unsere Website. Unser Ziel ist es, dass diese Informationen den öffentlichen Institutionen eine gute Arbeitsbasis bieten und sie mit dieser vieles selbst lösen können. Oft tauchen aber auch so wieder neue Fragen auf. Ist dies der Fall, helfen wir gerne weiter. Wir haben festgestellt, dass sich beispielsweise Gemeinden nach einer durch uns durchgeführten Kontrolle vermehrt über unserer Website informieren. Viele, die für das Thema sensibilisiert sind und unser Beratungs- und Informationsangebot kennen, nutzen dieses auch.  

Wo sehen Sie aktuell den grössten Handlungsbedarf bei Gemeinden und in Schulen?
In Institutionen, die relativ klein sind und in denen teilweise das technische und juristische Know-how fehlt, ist die Aus- und Weiterbildung ein grosses Thema. Datenschutz-Schulungen können in der Organisation selbst durchgeführt werden und dieses Wissen danach von den entsprechend ausgebildeten Personen teamintern weitergegeben werden. Im Rahmen unserer Informationstätigkeit hat die Aus- und Weiterbildung ebenfalls einen hohen Stellenwert und wir bieten Schulungen an. Wichtig ist aus unserer Sicht, dass in jeder Organisation mindestens eine Person weiss, was Datenschutz ist, wie dieser umgesetzt wird und dieses Wissen ins Team hineinträgt. Im Kanton Zürich ist das Gesetz über die Information und den Datenschutz (IDG) jetzt immerhin schon 30 Jahre in Kraft und wie alle anderen Gesetze verbindlich. Die öffentlichen Institutionen stehen in der Verantwortung, dieses selbst umzusetzen – und umso erstaunlicher ist es, wie wenig bekannt es ist. Viele haben Respekt vor der Umsetzung und eine gewisse Angst davor, es falsch zu machen.

In welchen Fällen empfehlen Sie eine Selbstdeklaration und wann und wie oft werden Audits durchgeführt?
Beides gehört zu unserer Kontrolltätigkeit. Diese beinhaltet «dreieinhalb» Arten von Kontrollen: Die Standardkontrolle, bei der wir mit einem standardisierten Fragenkatalog erfahren wollen, ob eine Datenschutz-Basis mit Konzepten, Leitlinien, Schulungen von Mitarbeitenden etc. vorhanden ist. Diese Kontrollen werden geplant durchgeführt. Dann gibt es vertiefte Kontrollen, bei denen wir einen Schwerpunkt in sensitiveren Bereichen setzen – etwa in Spitälern, bei der KESB, im Sozial- oder Schulbereich. Im ausgewählten Schwerpunktbereich kontrollieren wir jeweils gleich mehrere Organisationen unterschiedlicher Grösse, um einen Überblick zu erhalten, wie wir im Kanton Zürich aufgestellt sind. Nach diesen Kontrollen nehmen wir meist Kontakt mit übergeordneten Verbänden oder Organisationen auf, in denen mehrere der kontrollierten Institutionen angeschlossen sind und zeigen ihnen auf, welche «Haupt-Findings» wir hatten. Wir versuchen, die Zusammenarbeit über den Verband zu vertiefen und stellen den Organisationen via diesen auch Vorlagen zur Verfügung. Dann gibt es noch die Kontrolle «auf Anlass», wenn wir beispielsweise einen meldepflichtigen Vorfall feststellen. In solchen Fällen schauen wir uns vertieft diese spezifische Fragestellung an. 
Die «dreieinhalbste» Variante ist dann die Selbstdeklaration. Sie ist eigentlich eine «Light-Variante» der Standardkontrolle. Während unserer mittlerweile 30-jährigen Kontrolltätigkeit haben wir inzwischen alle 160 Zürcher Gemeinden mindestens einmal kontrolliert. Wir haben ausgewertet, dass eine fehlende Dokumentation die häufigste Datenschutz-Schwachstelle ist – vorab in kleineren Gemeinden. Sobald es zu personellen Austritten kommt, besteht die Gefahr, dass das komplette Know-how verloren geht. Das ist eine Herausforderung für die Gemeinden. Seit einigen Jahren bieten wir nun Vorlagen an, mit denen sie die Grunddokumentation sicherstellen können. Aktuell führen wir insgesamt pro Jahr rund 70 Kontrollen durch.

Hat sich die Selbstdeklaration seither bewährt? 
Wir können die Gemeinden damit langfristiger und nachhaltiger unterstützen. Wenn sie die Vorlagen nutzen, wird die Erarbeitung von Grundlagen erleichtert und die Gemeinden stellen gleichzeitig fest, wo noch allfällige Lücken bestehen. Nach der Selbstdeklaration sind es im Gegensatz zu den Audits meist nur noch wenige Punkte, bei denen wir die Gemeinde auffordern müssen, sich nochmals Gedanken dazu zu machen. Das System funktioniert sehr gut und wir überlegen uns, dieses auch auf weitere öffentliche Organe wie Schulen auszuweiten.

Wenn in Gemeinden das Know-how oder die personellen Ressourcen fehlen, kann auch eine externe Beratung helfen. Finden Sie das sinnvoll? 
Ja, das kann sicher sinnvoll sein. Wichtig ist hierbei jedoch, dass es eine externe Beratung ist, die sich auf die öffentliche Hand fokussiert und weiss, welche gesetzlichen Vorgaben für öffentliche Institutionen anwendbar sind und die Unterschiede zu jenen für private Unternehmen genau kennt. Die öffentliche Hand unterliegt dem Legalitätsprinzip und kann nur das machen, was im Gesetz steht – und beispielsweise nicht mit Einwilligungen arbeiten oder AGB’s erarbeiten. Solche Aspekte müssen zwingend berücksichtigt werden.

Was wäre Ihr grösster Wunsch bezüglich der Umsetzung von Datenschutz in öffentlichen Institutionen in den kommenden Jahren?
Unsere Vision ist, dass alle öffentlichen Organe im Kanton Zürich einen guten Datenschutz haben und diesen auch umsetzen. Ich wünsche mir, dass sich die Bevölkerung auf die Wahrung ihrer Grundrechte durch die öffentlichen Organe verlassen kann. Seitens der öffentlichen Institutionen, die Datenschutz als schwierig wahrnehmen und teilweise auch Respekt vor der Umsetzung haben, wäre es wünschenswert, dass sie Verständnis dafür haben, was Datenschutz bedeutet und auch eine gewisse Freude daran entwickeln.