Anwältin, Beraterin – Kontrolleurin

Allgemein / Im Gespräch / Politik

Ein rasanter technologischer Wandel bedeutet eine immer grössere Herausforderung für den Datenschutz. Im Gespräch mit Simon Muster erklärt die kantonale Datenschützerin Dominika Blonski, wie sie ihre Rolle versteht, was Datenschutz mit Demokratie zu tun hat – und ob sie trotz der grossen Sammlung von Gesundheitsdaten während der Pandemie gut geschlafen hat. 

 

Dr. Dominika Blonski ist seit dem 1. Mai 2020 im Amt. Zuvor arbeitete sie während sechs Jahren im Team des Datenschutzbeauftragten. Die promovierte Juristin ist zudem Mitglied des Büros von privatim, der Konferenz der schweizerischen Datenschutzbeauftragten.

 

Frau Blonski, auf wie vielen sozialen Medien sind Sie aktiv?

Dominika Blonski: Ich habe nur ein Profil, das ich für berufliche Zwecke verwende. Privat bin ich nicht auf den sozialen Medien unterwegs und nutze etwa die verschlüsselte Nachrichtenapp Threema anstatt WhatsApp. Datenschutz ist mir nicht nur im Beruf wichtig, sondern auch privat. 

 

Wie verstehen Sie Ihre Rolle als Datenschützerin?

Zum einen sehe ich mich als Anwältin der Bevölkerung, also als jene Institution, die für das Grundrecht der Bevölkerung auf Datenschutz gegenüber dem Staat einsteht. Weil unsere Unabhängigkeit grundlegend für unsere Arbeit ist, sind wir auch nicht Teil der Verwaltung, sondern dem Kantonsrat unterstellt. Wobei ich meine Rolle nicht als gegnerisch zur Verwaltung verstehe, denn meine zweite Rolle ist jene der Partnerin und Beraterin. Wir arbeiten eng mit der Verwaltung zusammen und zeigen Lösungen auf, wie der Datenschutz der Bevölkerung am besten gewahrt werden kann. 

 

Aber sind Sie mehr Anwältin oder mehr Beraterin?

Die beiden Rollen lassen sich gar nicht so einfach trennen. Die Beratungen sind ein grosser Teil unserer Arbeit, aber wir denken dabei von den Interessen der Bevölkerung her. Wir haben noch weitere Aufgaben, zum Beispiel sind wir für die Sensibilisierung und Information zu Datenschutzthemen verantwortlich. Und wir führen aufsichtsrechtliche Kontrollen durch. 

 

Sie sind also auch noch Kontrolleurin?

Genau, bei den Beratungen kommt die Verwaltung auf uns zu, bei den Kontrollen ist das umgekehrt. Wir erstellen dafür jeweils eine Kontrollplanung, in der wir festhalten, wen wir kontrollieren und was für Schwerpunkte wir setzen wollen. Grundsätzlich unterliegen uns alle Institutionen der öffentlichen Hand, aber auch gewisse private Institutionen unterliegen dem Gesetz über die Information und den Datenschutz (IDG), wenn sie mit dem Kanton eine Leistungsvereinbarung haben. Eine Kontrolle umfasst die Einsicht in alle Unterlagen, Gespräche mit den Verantwortlichen sowie eine Prüfung vor Ort, etwa, ob der Serverraum abgeschlossen ist oder nicht. 

 

Stossen Sie bei den betroffenen Institutionen auf viel Gegenliebe?

Das ist sehr unterschiedlich und ändert sich im Laufe des Prozesses. Bevor wir auf der Matte stehen, verschicken wir ein Begrüssungsschreiben, in dem wir unsere Kontrolle ankünden. Die erste Reaktion darauf ist meistens eine Schockstarre: Was wollen die hier kon­trollieren, wir haben doch nichts falsch gemacht! 

Als Erstes setzen wir uns dann mit den Verantwortlichen zusammen und klären auf, wie die Kontrolle ablaufen wird. Am Ende des Prozesses sind die kontrollieren Institutionen meistens froh und dankbar, dass ihnen aufgezeigt wird, wo Verbesserungsbedarf besteht. Und dann wechseln wir die Rolle, von der Kon­trolleurin zur Beraterin. 

 

Und wenn Sie auf eine renitente Verwaltung stossen?

Wie unsere Kontrollen aufgenommen werden, kommt sehr auf die Institution an: Kleine Gemeinden, die weniger Ressourcen haben, um selbst die Datenschutzgesetze zu prüfen und umzusetzen, sind dankbar für unsere Hilfe. Bei grösseren Institutionen gibt es zum Teil vorg efertigte Meinungen, wie man den Datenschutz umsetzen muss. Dort stossen wir manchmal auf Widerstand, aber im Endeffekt haben wir als Aufsichtsbehörde das letzte Wort. Mit dem 2020 revidierten IDG haben wir zudem eine Verfügungskompetenz erhalten, wir können also Massnahmen verfügen, wenn eine Institution sich weigert, den Datenschutz richtig umzusetzen. Bis jetzt mussten wir das noch nie machen, aber es ist gut und wichtig, dieses Instrument zu haben. 

 

Während der Pandemie hat die Verwaltung durch das Contact Tracing Gesundheitsdaten in völlig neuem Ausmass gesammelt. Haben Sie die letzten zwei Jahre gut geschlafen?

Ja, ich kann Sie beruhigen: Auch DatenschützerInnen schlafen gut (lacht). Aber natürlich hat uns die Frage beschäftigt, wie wir Gesundheits- und Datenschutz gemeinsam erreichen können. Die Gesundheitsdirektion, die für das Contact-Tracing verantwortlich ist, hat uns früh beigezogen. Es muss – wie immer – eine Grundrechtsprüfung in drei Schritten durchgeführt werden. Erstens: Gibt es eine rechtliche Grundlage für das Contact-Tracing? Der Staat braucht immer rechtliche Grundlagen, um irgendwelche Daten zu erheben und zu bearbeiten. Diese war durch das Epidemiengesetz und weitere Erlasse gegeben. 

Zweitens stellte sich die Frage des öffentlichen Interesses der Massnahme. Das war im Fall einer Pandemie relativ klar vorhanden. Die dritte Frage war dann die Verhältnismässigkeit. Und genau da lag der Knackpunkt: Hier musste immer neu überprüft werden, ob das Contact-Tracing und die Datensammlung geeignet ist, um Ansteckungen zu verhindern. Deshalb gab es beim Contact-Tracing auch Grenzen: Die Daten mussten nach zwei Wochen gelöscht werden, weil dann die infizierten Personen nicht mehr ansteckend waren. Diese Grenzen waren wichtig, denn die Datensammlungen haben auch Begehrlichkeiten geweckt, zum Beispiel bei der Polizei. 

 

Was für Begehrlichkeiten?

Es gab Fälle, in denen die Kantonspolizei die Kontaktdaten von Gästen der Restaurants haben wollte, weil ihnen diese bei der Aufklärung eines Verbrechens geholfen hätten. Das geht natürlich nicht einfach so. Bei einer Strafuntersuchung können auch Informationen genutzt werden, die in einem anderen Zusammenhang gesammelt wurden. Dafür gelten allerdings Einschränkungen. Eine umfassende Beweisausforschung ist nicht erlaubt. Gezielte Ermittlungen bei einem konkreten Tatverdacht sind erlaubt. Der Restaurantbesitzer muss also nur die Kontaktdaten mit einem nahen Bezug zur Straftat herausgeben, beispielsweise der männlichen Gäste, die zu einem bestimmten Zeitpunkt das Restaurant verliessen, falls diese Kriterien für die Ermittlungen relevant sind.

 

Die Polizei sammelt im allgemeinen Daten, wie wir letzte Woche wieder in der Zeitung lesen konnten. Wie ist das Verhältnis der Datenschützerin zur Polizei?

Unser Verhältnis ist gut. Es ist aber so, die Polizei hat breite Rechtsgrundlagen, die es ihr erlauben, auf viele Daten zuzugreifen. Doch meiner Erfahrung nach geht die Polizei vorsichtig mit dieser Kompetenz um. Und seit dem revidierten Datenschutzgesetz hat die Polizei einen internen Datenschutzberater, der sich mit Datenschutzfragen auseinandersetzt und in regelmässigem Kontakt mit uns steht. Dieser institutionalisierte Austausch hat die Beziehungen zur Polizei noch verbessert.

 

Sie haben jetzt viel über Rechtsgrundlagen und juristische Abklärungen gesprochen. Aber Datenschutz hat auch viel mit technologischem Wandel zu tun – künstliche Intelligenz, biome­trische Überwachung, verknüpfte Datenbanken. Haben Sie dieses Know-how überhaupt?

In meinem Team arbeiten sowohl Jurist­Innen wie InformatikerInnen. Und weil Datenschutz ein interdisziplinäres Themenfeld ist, frage ich jeweils bereits beim Vorstellungsgespräch, ob der oder die Kandidat­In bereit ist, mit der jeweils anderen Disziplin eng zusammenzuarbeiten und sich auch auf dem anderen Gebiet weiterzubilden: der Jurist in der Informatik und die Informatikerin im Recht. 

Aber auch so bleibt es eine Herausforderung, auf dem aktuellen Stand zu bleiben, denn die Technologie entwickelt sich rasant weiter. 

 

Sind Sie immer einen Schritt voraus oder ständig auf der Aufholjagd?

Im Vergleich zu anderen öffentlichen Institutionen sind wir der Zeit relativ weit vo­raus. Das gehört auch zu unserer Aufgabe: Wir müssen versuchen, Trends zu antizipieren. Denn: Unsere Datenschutzgesetze sind technologieneutral, sie sollten also auf alle Technologien angewendet werden. Wenn sich jetzt aber neue Technologien durchsetzen, wie etwa künstliche Intelligenz, müssen wir überprüfen, ob und wie die Technologien angewendet werden können. 

Hier hat der Staat viel weniger Spielraum als die Privatwirtschaft, wo Anbieter einfach via AGB die Zustimmung der UserInnen einholen können und dann machen, was sie wollen.

 

Gleichzeitig stellt sich schon die Frage: Wenn die Menschen so breitwillig ihre Daten an Private geben, warum dann die Daten vor dem Staat schützen?

Das ist eine gute Frage. Ich sehe da ein Paradox: Warum sind die Leute bereit, alle ihre Daten an Anbieter zu geben, die kaum rechtlich eingeschränkt sind und denen sie nicht vertrauen, aber beim Staat, bei dem jedes Detail juristisch geregelt ist, nicht? Ich habe noch keine Lösung dafür gefunden. Wichtig ist, dass der Staat das Vertrauen der Bevölkerung nicht aufs Spiel setzt, indem beispielsweise Lösungen eingesetzt werden, die den Datenschutz nicht gewährleisten. Und es braucht sicher noch viel Aufklärungsarbeit. Das ist auch eine unserer Aufgaben. Wir haben etwa zusammen mit der Pädagogischen Hochschule Zürich ein Lehrmittel – «Geheimnisse sind erlaubt» – für SchülerInnen entwickelt, das ihnen auf zugängliche und spielerische Art Datenschutzthemen näherbringen soll. 

 

In Ihrem Tätigkeitsbericht schreiben Sie auch, dass es ohne Datenschutz keine Demokratie gibt …

Demokratie funktioniert nur, wenn wir die Freiheitsrechte, die wir in diesem Land haben, auch ausleben können. Und das Datenschutzrecht ist ein Freiheitsrecht, weil jeder Mensch selbst entscheiden darf, wer was von seinen persönlichen Daten wissen soll. Das hängt auch mit anderen Freiheitsrechten zusammen, etwa mit dem Recht auf freie Meinungsäusserung. Deswegen gibt es beispielsweise das Stimmgeheimnis – damit niemand für sein Stimmverhalten sanktioniert werden kann. 

Der Datenschutz ist ein Recht, das im Hintergrund wirkt und andere Rechte überhaupt erst möglich macht. Wir haben in den letzten Jahren zum Beispiel gesehen, wie einfach Datensätze verwendet werden können, um das Abstimmungsverhalten zu beeinflussen. Es ist schön, wenn Einzelpersonen behaupten, sie hätten nichts zu verbergen und bräuchten deswegen keinen Datenschutz. Aber erstens ist das in den meisten Fällen nicht der Fall, und zweitens ist das auch gar nicht die Frage. Es geht vielmehr darum, ob wir als Gesellschaft in einem System leben wollen, das die Daten der BürgerInnen grundsätzlich schützt oder nicht. Das ist eine Frage, die über das Individuum hinaus geht. 

 

Spenden

Dieser Artikel, die Honorare und Löhne unserer MitarbeiterInnen, unsere IT-Infrastruktur, Recherchen und andere Investitionen kosten viel Geld. Unterstützen Sie die Arbeit des P.S mit einem Abo oder einer Spende – bequem via Twint oder Kreditkarte. Jetzt spenden!

Dieser Artikel, die Honorare und Löhne unserer MitarbeiterInnen, unsere IT-Infrastruktur, Recherchen und andere Investitionen kosten viel Geld. Unterstützen Sie die Arbeit des P.S mit einem Abo oder einer Spende – bequem via Twint oder Kreditkarte.

JETZT SPENDEN