Die Suva plante, Inhaltsdaten und Daten von Mitarbeitenden in eine von Microsoft in der Schweiz betriebene Cloud auszulagern, wie der EDÖB in einer am Montag veröffentlichten Stellungnahme mitteilte. Bei den Inhaltsdaten geht es um Daten zu Geschäftskorrespondenz, Fallmanagement-Dokumentationen, Projektunterlagen, Videokonferenzen, Telefonate, Termine sowie E-Mails.

Von der Auslagerung wären alle Sparten betroffen gewesen, das heisst die Unfallversicherung, die Militärversicherung sowie die zwei Rehabilitationskliniken. Bisher waren diese Daten auf einer eigenen Suva-Infrastruktur bearbeitet worden.

Die Suva hatte den EDÖB von sich aus im Dezember letzten Jahres mit einer Risikobeurteilung beauftragt. Nicht betroffen von der Auslagerung wären demnach das Klinik-Informationssystem KIS und die Kernsysteme der Suva gewesen.

In seiner Stellungnahme weist der EDÖB die Suva darauf hin, dass "gewisse Risiken nur partiell identifiziert und bewertet" worden seien. Zum Beispiel sei bekannt, dass gewisse Dienste in Microsoft 365 - wie Microsoft Teams - nicht end-to-end verschlüsselt seien.

Zwar habe die Suva die Wahrscheinlichkeit einer Datenbekanntgabe in die USA auf "einen vernachlässigbar tiefen Wert gesenkt". Die Herleitung dieser Beurteilung sei aus Sicht des EDÖB aber "unzureichend begründet". Die USA gelten gemäss dem EDÖB als "Staat ohne angemessenes Datenschutzniveau".

Der EDÖB rät deshalb der Suva, die Risiken bei einer Auslagerung eines Teils ihrer Personendaten neu zu beurteilen und dabei die Entscheide im Rahmen der Cloud-Strategie des Bundes zu berücksichtigen.

