Zentraler Telefondienst für Gewaltopfer
Die Datenschutzbeauftragte führte beim 2025 in Betrieb genommenen zentralen Telefondienst für Gewaltopfer der Opferberatung Zürich einer Vorabkontrolle durch. Sie legte ihr Hauptaugenmerk dabei auf die Auslagerung von Datenbearbeitungen an externe Dienstleistende. Solche Auslagerungen unterliegen im Bereich des Opferhilfegeheimnisses strengen Voraussetzungen.
Seit dem 1. November 2025 betreibt die Opferberatung Zürich im Auftrag des Kantons einen zentralen 24/7-Telefonberatungsdienst für Gewaltopfer. Dieser Telefondienst nimmt rund um die Uhr Anrufe entgegen und leitet bei Bedarf und mit dem Einverständnis der Anrufenden diese an eine geeignete Opferberatungsstelle im Kanton weiter. Das Angebot stellt einen ersten Schritt auf dem Weg zur schweizweiten Einführung der dreistelligen Notfallnummer für Gewaltopfer (142) dar. Dies ist eine Vorgabe der Istanbul-Konvention, dem Übereinkommen des Europarats zur Verhütung und Bekämpfung von Gewalt gegen Frauen und häuslicher Gewalt.
Die Datenschutzbeauftragte überprüfte den Einsatz des für das Projekt beschafften Systems im Rahmen einer Vorabkontrolle auf seine Konformität mit den Vorgaben des Datenschutzes. Beim beschafften System handelt es sich um eine Clientanwendung, über die aus dem Gebiet des Kantons Zürich eingehende Anrufe entgegengenommen werden können. Eine Applikation Gesprächsleitfaden dient zudem zur Unterstützung der Telefongespräche und zur Weiterleitung an die anerkannten Opferberatungsstellen des Kantons Zürich.
Die Datenschutzbeauftragte hat festgehalten, dass Datenbearbeitungen unter dem Opferhilfegeheimnis nur dann ausgelagert werden dürfen, wenn die geschützten Daten gegenüber dem Dienstleister vollständig verschlüsselt werden. Ebenfalls möglich ist eine Auslagerung, wenn Mitarbeitende des Dienstleisters explizit für die konkrete Datenbearbeitung bestimmt sowie in die funktionale Hierarchie des auslagernden öffentlichen Organs eingebunden und seinem Kontroll- und Weisungsrecht unterstellt werden.
Da im Bereich der Opferberatung mit dem Opferhilfegeheimnis ein besonders strenges Amtsgeheimnis gilt, hat die Datenschutzbeauftragte bei dieser Vorabkontrolle ein spezifisches Augenmerk auf die Auslagerung von Datenbearbeitungen an externe Dienstleistende gelegt. Sie hat festgehalten, dass Datenbearbeitungen unter dem Opferhilfegeheimnis nur dann ausgelagert werden dürfen, wenn die geschützten Daten gegenüber diesen Dienstleistenden vollständig verschlüsselt werden. Ebenfalls möglich ist eine Auslagerung, wenn Mitarbeitende des Dienstleisters explizit für die konkrete Datenbearbeitung bestimmt sowie in die funktionale Hierarchie des auslagernden öffentlichen Organs eingebunden und seinem Kontroll- und Weisungsrecht unterstellt werden. Die so bestimmten Mitarbeitenden haben sich zudem zur Wahrung des Opferhilfegeheimnisses zu verpflichten.
Mit Blick auf die Informationssicherheit sind vom externen Dienstleister zusätzlich Nachweise einzufordern, dass angemessene Massnahmen zum Schutz der Daten vorhanden sind. Dies kann durch den Nachweis einer Zertifizierung oder zusätzliche Evidenzen erfolgen. Dabei sind zum Beispiel folgende Themen zu berücksichtigen: Verwaltung aller Informationssicherheitsmassnahmen im Rahmen eines Informationssicherheits-Managementsystem, Sicherheit der Softwareentwicklung, Sicherheit der Konfiguration sowie Umsetzung des Privacy-by-Designs- und Privacy-by-Default-Prinzips, Verschlüsselung der Datenablage (Datenbank und Speicher) sowie aller externen Verbindungen, Protokollierung und Überwachung, Sicherheit der Patch- und Schwachstellenmanagement-Prozesse, Sicherheit der Authentifizierung und Autorisierung, wirksame Mandantentrennung, Netzwerksicherheit, datenschutzkonforme Nutzung von Drittdiensten sowie Behandlung von Anwendungsrisiken.
Darüber hinaus hat die Datenschutzbeauftragte im Rahmen der Vorabkontrolle darauf hingewiesen, dass durch die Opferberatung Zürich sicherzustellen ist, dass die notwendigen fernmeldedienstrechtlichen Rechtsgrundlagen für den Betrieb der Notrufnummer vorliegen. Für die Aufbewahrung und sichere Löschung aller Daten sind Prozesse zu definieren und zu dokumentieren. Zudem ist sicherzustellen, dass mit den festzulegenden Löschfristen die Rechenschaftsfähigkeit gewährleistet werden kann. Schliesslich hat die Datenschutzbeauftragte festgehalten, dass Betroffene auf Verlangen Zugang zu den sie betreffenden Datenbearbeitungen erhalten und die weiteren Rechte gemäss IDG geltend machen können müssen und entsprechende Prozesse festzulegen sind.
Chat-Beratung bei der Opferberatung Zürich
Die Opferberatung Zürich bietet gemäss Leistungsvereinbarung Beratungsleistungen neu auch via Chatfunktion an. Damit soll das Dienstleistungsangebot mit einem zusätzlichen Kanal zur Kontaktaufnahme niederschwellig zugänglich gemacht werden.
Da die im Chat bearbeiteten Inhalte in aller Regel besonderen Personendaten sind und durch die Schweigepflicht nach Opferhilfegesetz einem besonderen Amtsgeheimnis unterliegen, wurde der zur Realisierung der Chatfunktion beigezogene IT-Anbieter eingehend beurteilt. Die Datenschutzbeauftragte hat im Rahmen ihrer Vorabkontrolle festgehalten, dass die Inhalte der Beratung zur Wahrung des besonderen Amtsgeheimnisses gegenüber dem Anbieter (und den seinerseits beigezogenen Unternehmen) zu verschlüsseln sind. Die Kontrolle über den Schlüssel hat dabei bei der Opferberatung Zürich zu verbleiben. Alternativ kann sie auch je nach Unternehmensstruktur des Anbieters beziehungsweise seiner Unterauftragnehmer eine Einbindung von Mitarbeitenden in das besondere Amtsgeheimnis erwägen.