Kt. ZH: Total­re­vi­dier­tes IDG an den Kan­tons­rat überwiesen

In sei­ner Sit­zung vom 5. Juli 2023 hat der Regie­rungs­rat des Kan­tons Zürich den Antrag über die Total­re­vi­si­on des Geset­zes über die Infor­ma­ti­on und den Daten­schutz (IDG) zuhan­den des Kan­tons­ra­tes ver­ab­schie­det. Im Anhang fin­den sich der Ent­wurf des neu­en IDG und der Bericht des Regie­rungs­rats, also gewis­ser­ma­ssen die Bot­schaft dazu.

Der Bericht des Regie­rungs­rats greift u.a. fol­gen­de Neue­run­gen heraus:

• Auf­bau des IDG: Neu wer­den die Gemein­sam­kei­ten von des Daten­schut­zes und des Öffent­lich­keits­prin­zips in einem gemein­sa­men Abschnitt, die Beson­der­hei­ten in eige­nen Abschnit­ten geregelt.
• Ein gro­sses The­ma war das The­ma Künst­li­che Intel­li­genz. Der Regie­rungs­rat hat ent­spre­chen­de Anlie­gen punk­tu­ell ein­flie­ssen las­sen, aber auf eine über­grei­fen­de Rege­lung ver­zich­tet, weil KI-Anwen­dun­gen im Kan­ton zwar brei­te­re Ver­wen­dung fin­den (vgl. dazu den RRB Nr. 1059/2021). “ ‘Künst­li­che Intel­li­genz’ an sich exi­stiert nicht”; die­ser Begriff umfas­se viel­mehr unter­schied­lich­ste Ver­fah­ren, Tech­no­lo­gien und Kon­zep­te. Dabei gel­ten all­ge­mei­nen Grund­sät­ze des Daten­schut­zes und auch die Anfor­de­run­gen an die Daten­si­cher­heit; immer­hin wird der risi­ko­ba­sier­te Ansatz stär­ker betont. Einer Stu­die zufol­ge wür­de eine umfas­sen­de Rege­lung fer­ner Ände­run­gen im Ver­wal­tungs­rechts­pfle­ge­ge­setz (VRG) ver­lan­gen, bspw. mit Blick auf Ver­fah­rens­ga­ran­tien. Gere­gelt ist zudem das Pro­fil­ing, das eine Rechts­grund­la­ge in einem Gesetz vor­aus­setzt. Damit “wer­den KI-Anwen­dun­gen im Zusam­men­hang mit der Bear­bei­tung von Per­so­nen­da­ten durch die öffent­li­chen Orga­ne wei­test­ge­hend auf­ge­fan­gen”; es bestehe ent­spre­chend kei­ne Not­wen­dig­keit, neue Rechts­in­stru­men­te im IDG vor­zu­se­hen. Soweit KI im Kan­ton zum Ein­satz kommt, ver­langt fer­ner schon die Pro­jekt­vor­ga­be HERMES eine ent­spre­chen­de recht­li­che Prü­fung in einem recht frü­hen Sta­di­um. Punk­tu­el­le Rege­lun­gen fin­den sich aber. Öffent­li­che Orga­ne wer­den etwa ver­pflich­tet, ein Ver­zeich­nis der von ihnen ver­wen­de­ten algo­rith­mi­schen Ent­scheid­sy­ste­me, die sich auf die Grund­rech­te von Per­so­nen aus­wir­ken, öffent­lich zugäng­lich zu machen.
• Gerich­te wer­den nicht mehr all­ge­mein von der Gel­tung des Daten­schutz­rechts aus­ge­nom­men wer­den, weil dies gegen die Schen­gen-Richt­li­nie ver­stie­sse. Sie wer­den aber von der Gel­tung des Öffent­lich­keits­prin­zips ausgenommen.
• Das Öffent­lich­keits­prin­zip soll ten­den­zi­ell gestärkt wer­den. Neu ist zudem die Funk­ti­on einer oder eines Beauf­trag­ten für das Öffent­lich­keits­prin­zip ein­ge­führt, die in Per­so­nal­uni­on von der Daten­schutz­be­auf­trag­ten wahr­ge­nom­men wür­de. Dafür sind schät­zungs­wei­se zwei wei­te­re Voll­zeit­stel­len erfor­der­lich. Ange­passt wird fer­ner die Kosten- bzw. Gebüh­ren­re­ge­lung für den Informationszugang.
• Neu sind Rege­lun­gen zu Behör­den­da­ten (Open Govern­ment Data) geschaf­fen wer­den. Dabei müs­sen offe­ne Behör­den­da­ten zunächst iden­ti­fi­ziert und mit Meta­da­ten beschrie­ben und kata­lo­gi­siert wer­den müssen.
• Neu ist eine Rege­lung für Pilot­ver­su­che ana­log zum DSG.
• Bei den Rechts­grund­la­gen soll es unter bestimm­ten Vor­aus­set­zun­gen genü­gen, wenn ein Gesetz eine Auf­ga­be zuweist, zu deren Erfül­lung die Bear­bei­tung beson­de­rer Per­so­nen­da­ten unent­behr­lich ist. Zudem kann eine Ein­wil­li­gung als Rechts­grund­la­ge der Bear­bei­tung beson­de­rer Per­so­nen­da­ten aus­rei­chen, eben­falls unter bestimm­ten Voraussetzungen.