Nutzung von MS Teams beim Online-Polizeiposten
Die Datenschutzbeauftragte führte im Jahr 2025 beim Projekt Online-Polizeiposten der Kantonspolizei Zürich (Kapo) eine Vorabkontrolle durch. Mit der eingeschränkten Nutzung der Videotelefonie-App MS Teams und weiteren technischen und organisatorischen Massnahmen liegen angemessene Massnahmen zum Schutz der Vertraulichkeit der im Rahmen des Online-Polizeipostens bearbeiteten Daten vor.
Die Datenschutzbeauftragte führte im Jahr 2025 beim laufenden Projekt Online-Polizeiposten der Kapo eine Vorabkontrolle durch. Im Rahmen dieses Projekts bündelte, ergänzte und richtete die Kapo die Arten der digitalen Anzeigeerstattung und Auskunftserteilung durch die Kapo neu aus. Der Online-Polizeiposten ermöglicht es, mittels Videokonferenz mit einer Polizistin oder einem Polizisten gewisse Deliktarten wie einfache Diebstähle, Cyberdelikte, Sexualdelikte und Telefonbetrug anzuzeigen. Technisch handelt es sich beim Online-Polizeiposten um verschiedene miteinander agierende Einzelkomponenten. Die zentralen Elemente sind dabei die Cloud-Lösungen für Terminvereinbarungen sowie für Videotelefonie.
Die Datenschutzbeauftragte beurteilte den Online-Polizeiposten als geeignetes Instrument für die Terminvereinbarung und Videotelefonie mit der Kapo zur digitalisierten Anzeige von Straftaten sowie zur Auskunftserteilung. Im Sinne des Verhältnismässigkeitsgrundsatzes hielt sie fest, dass durch Prozesse und Kontrollen sicherzustellen ist, dass ausschliesslich die für die genannten Zwecke notwendigen Datenbearbeitungen durchgeführt werden. Ebenso wies sie darauf hin, dass Prozesse für die Aufbewahrung und sichere Löschung der anfallenden Daten, für den Zugang der betroffenen Personen zu den sie betreffenden Datenbearbeitungen sowie für die weiteren Rechte gemäss IDG zu definieren sind.
Im Sinne des Verhältnismässigkeitsgrundsatzes hielt die Datenschutzbeauftragte fest, dass durch Prozesse und Kontrollen sicherzustellen ist, dass ausschliesslich die für die genannten Zwecke notwendigen Datenbearbeitungen durchgeführt werden.
Da im Rahmen der Anzeigen und Auskunftserteilung über den Online-Polizeiposten regelmässig besondere Personendaten bearbeitet werden und für die Videotelefonie die Applikation MS Teams verwendet wird, richtete die Datenschutzbeauftragte ein besonderes Augenmerk auf die Auslagerungskonstellation. Als US-amerikanisches Unternehmen unterliegt Microsoft als Anbieter von MS Teams dem CLOUD Act. Der CLOUD Act ist ein Gesetz der USA und ermöglicht bestimmten US-Behörden, amerikanische Unternehmen zu verpflichten, Daten ihrer Kundinnen und Kunden herauszugeben, selbst wenn diese Daten nicht in Datenzentren in den USA gespeichert sind. Im Kontext des CLOUD Act sind daher für besondere Personendaten effektive Massnahmen zu ergreifen, die eine mögliche Kenntnisnahme durch US-Behörden ausschliessen. Dies können technische Lösungen wie eine Verschlüsselung mit Schlüsselmanagement bei der Kapo, eine Anonymisierung oder eine Pseudonymisierung der Daten sein. Die Kapo wählte dabei eine lediglich eingeschränkte Nutzung von MS Teams und deaktivierte die Funktionen für Aufzeichnung, Chat und Dokumentenaustausch. Damit sollte vermieden werden, dass Microsoft Zugriff auf besondere Personendaten erhält.
Schliesslich wies die Datenschutzbeauftragte darauf hin, dass allen Verträgen mit externen Dienstleistenden die AGB des Regierungsrates über die Auslagerung von Informatikleistungen zugrunde gelegt werden müssen. Damit und dank weiterer technischer und organisatorischer Massnahmen liegen angemessene Massnahmen zum Schutz der Vertraulichkeit der im Rahmen des Online-Polizeipostens bearbeiteten Daten vor.