Fordert man Dominika Blonski auf, ihre Aufgabe als kantonale Datenschützerin in einem Satz festzuhalten, sagt die 39-Jährige: «Ich sehe mich als Anwältin der Bevölkerung und setze mich für das Grundrecht auf Datenschutz gegenüber dem Staat ein.» Dabei geht die Juristin, die seit 2020 die Datenbearbeitungen der kantonalen Verwaltung, der Gemeinden und der öffentlichen Einrichtungen wie Spitäler oder Universitäten in Zürich beaufsichtigt, eigene Wege. Eine ihrer ersten Amtshandlungen war, den Kommunikationsbereich auszubauen. Dieser sei «für die Sichtbarkeit des Themas Datenschutz in der Bevölkerung» zuständig.
Vor allem seit der Pandemie ist das Thema laut Blonski auch in der breiten Bevölkerung angekommen. «Die Leute müssen für die Problematik sensibilisiert werden, damit sie ihre Rechte selbständig wahrnehmen können, und sie sollten wissen, dass es eine Stelle gibt, die sich für ihr Recht auf Privatsphäre und Datenschutz einsetzt.»
Keine unangemeldeten Kontrollen
Dominika Blonski weiss auch aus persönlicher Erfahrung, wie wichtig gute Kommunikation ist: So hat sie sich vor ihrer Wahl zur Datenschutzbeauftragten erfolgreich von einer PR-Agentur beraten lassen. Die parteilose Juristin setzte sich im Kantonsrat gegen Claudius Ettlinger, den heutigen Datenschutzbeauftragten der SBB, knapp mit 89 zu 80 Stimmen durch.
Eine grosse Aufgabe der Datenschutzbeauftragten besteht in der Beratung und Kontrolle der öffentlichen Institutionen. Blonski nennt bewusst zuerst die Beratung. Kontrollen mache sie schon auch, bekräftigt sie, «jedoch meistens nach Voranmeldung.» Und was ist mit überraschenden Besuchen? «Die sind möglich, mir geht es aber nicht um den Überraschungseffekt.» Die Juristin versteht ihre Arbeit vielmehr als ein «partnerschaftliches Zusammenarbeiten mit den Behörden».
Eine Kontrollinstanz, die mit den zu Kontrollierenden «partnerschaftlich zusammenarbeitet»? Der Zürcher Rechtsanwalt Martin Steiger sieht in der fehlenden Unabhängigkeit ein Problem: Er ortet die Datenschutzbeauftragte «irgendwie doch als Teil der Verwaltung». Blonski wehrt sich vehement gegen diese Sichtweise: «In meiner Arbeit habe ich immer die Perspektive der Bevölkerung vor Augen – nicht die der Verwaltung!» Diese Perspektive bewirke, dass sie zum Beispiel kleinere Verwaltungen in den Gemeinden, die weder über genügend Know-how noch Infrastruktur verfügen würden, «sehr stark berate und unterstütze». «Damit ist meinem Auftrag, die Privatsphäre der Bürger zu schützen, am besten und effektivsten gedient.» Die Behörden würden letzten Endes ja selbst die Verantwortung zur Einhaltung des Datenschutzes tragen. «Wenn ich sie dabei unterstützen kann, dies noch besser wahrzunehmen, dann ist das der richtige Weg.»
Diese Strategie muss die Juristin verfolgt haben, als sie kürzlich die kantonale Verwaltung zum Thema Microsoft-Cloud beriet. Gemeinsam mit ihrem Team von sechs Juristen und vier Informatikern sei sie beim Cloud-Projekt beratend involviert gewesen. So hätten sie in den Verträgen mit der US-Firma für einen starken Datenschutz gesorgt. Wichtige Aspekte stünden nun im Vertrag, zum Beispiel gilt der Gerichtsstand Schweiz und es muss Schweizer Recht angewendet werden. Die Juristin kritisiert jedoch: «Wenn man wirklich eine gute Lösung will, muss der Kanton selbst eine Verwaltungs-Cloud betreiben.» Der Kanton Zürich sei gross genug, «es würde sich lohnen, es selbst zu machen». Eine eigene Cloud könnte auch der Bund für alle öffentlichen Institutionen in der Schweiz organisieren. Die Schweiz habe enormes Fachwissen in diesem Bereich, allein schon an den Universitäten und technischen Hochschulen. «All die Fragen rund um externe Zugriffsrechte würden sich gar nicht mehr stellen», so Blonski.
Datenschützerin könnte Sanktionen aussprechen
Auch andere Kantone speichern sensible Daten ihrer Bürger in der Microsoft-Cloud. Einige Datenschutzbeauftragte sehen dies kritischer als Blonski: «Wir können mit Microsoft zwar Vertraulichkeit vereinbaren, diese aber nicht durchsetzen», sagt der Thurgauer Fritz Tanner. Sein rechtliches Fazit gegenüber der Zeitschrift saldo: «Die Kantone sind nicht berechtigt, Microsoft 365 zum Bearbeiten von Personendaten einzusetzen.»
Blonski hätte bei der Zürcher Verwaltung also auch Nein sagen können. Seit das Gesetz über die Information und den Datenschutz des Kantons Zürich (IDG) vor zwei Jahren revidiert wurde, kann sie Sanktionen aussprechen oder Verfügungen erlassen, die durch die öffentlichen Institutionen vor Gericht angefochten werden können. Bis heute sei es noch zu keinem Verfahren gekommen. «Ich bin aber bereit, diesen Weg zu gehen», betont die Zürcher Datenschützerin gegenüber plädoyer.
In IT- und Datenschutzkreisen wird die Juristin als «hervorragende Expertin» wahrgenommen. Anwalt Steiger sieht sie «als Fürsprecherin für einen starken Datenschutz». Ihr Vorgänger Bruno Baeriswyl muss sie geprägt haben. Er war über 25 Jahre lang Datenschutzbeauftragter im Kanton. Blonski arbeitete sechs Jahre in seinem Team, bevor sie Datenschutzbeauftragte wurde. Ihre Dissertation an der Uni Bern trägt den Titel «Biometrische Daten als Gegenstand des informationellen Selbstbestimmungsrechts».
Diese Selbstbestimmung geht von Jahr zu Jahr mehr verloren. Personalisierte Daten, die beispielsweise im Gesundheitsbereich zu Forschungszwecken anonymisiert wurden, «lassen sich sehr leicht wieder entziffern», sagt Blonski. Man müsse sie nur mit weiteren Daten verknüpfen. «Eine echte Anonymisierung ist somit in vielen Fällen unmöglich.» Forscherinnen und Forscher, Datenschutzbehörden und Ethikkommissionen stünden vor einem ungelösten Problem: «Wir wissen nicht, wie diese Anonymisierung ausgestaltet werden soll.»
Mit Blick in die Zukunft hält Blonski kritisch fest: «Es gibt viel zu viele und immer mehr Informationen – eine Rückverfolgung wird stets irgendwie möglich sein.»