Suva Verwaltungsgebäude in Bern, erbaut v. Architekt Otto Rudolf Salvisberg (Bild: Ginkgo GNU Free Documentation License, Version 1.2)

Der eidgenössische Datenschutzbeauftragte (EDÖB) rät der schweizerischen Unfallversicherung Suva, die Auslagerung ihrer Personendaten in eine Cloud des US-Softwarekonzerns Microsoft neu zu beurteilen. Hintergrund dazu ist, dass die Suva plante, Inhaltsdaten und Daten von Mitarbeitenden in einer von Microsoft in der Schweiz betriebenen Cloud zu speichern.

Konkret handelt es sich bei den Inhaltsdaten um Daten zu Geschäftskorrespondenz, Fallmanagement-Dokumentationen, Projektunterlagen, Videokonferenzen, Telefonate, Termine sowie E-Mails. Von der Auslagerung wären alle Sparten betroffen gewesen, das heisst die Unfallversicherung, die Militärversicherung sowie die zwei Rehabilitationskliniken. Bisher waren diese Daten auf einer eigenen Suva-Infrastruktur bearbeitet worden.

Die Suva hatte den EDÖB von sich aus im Dezember letzten Jahres mit einer Risikobeurteilung beauftragt. Nicht betroffen von der Auslagerung wären demnach das Klinik-Informationssystem KIS und die Kernsysteme der Suva gewesen. In seiner Stellungnahme weist der EDÖB die Suva darauf hin, dass "gewisse Risiken nur partiell identifiziert und bewertet" worden seien. Zum Beispiel sei bekannt, dass gewisse Dienste in Microsoft 365 - wie Microsoft Teams - nicht end-to-end verschlüsselt seien. Zwar habe die Suva die Wahrscheinlichkeit einer Datenbekanntgabe in die USA auf "einen vernachlässigbar tiefen Wert gesenkt". Die Herleitung dieser Beurteilung sei aus Sicht des EDÖB aber "unzureichend begründet". Die USA gelten gemäss dem EDÖB als "Staat ohne angemessenes Datenschutzniveau". Der Datenschutzbeauftragte empfiehlt daher der Suva, die Risiken bei einer Auslagerung eines Teils ihrer Personendaten neu zu beurteilen und dabei die Entscheide im Rahmen der Cloud-Strategie des Bundes zu berücksichtigen.