Die Suva soll die Auslagerung von Personendaten in die Microsoft Cloud neu beurteilen. Das rät der Schweizerische Datenschutzbeauftragte (Edöb) der Unfallversicherung. Ursprünglich plante Suva, Inhaltsdaten und Daten von Mitarbeitenden in eine von Microsoft in der Schweiz betriebene Cloud auszulagern, wie der Edöb in einer am Montag veröffentlichten Stellungnahme mitteilte. Bei den Inhaltsdaten geht es um Daten zu Geschäftskorrespondenz, Fallmanagement-Dokumentationen, Projektunterlagen, Videokonferenzen, Telefonate, Termine sowie E-Mails.

Von der Auslagerung wären alle Sparten betroffen gewesen, das heisst die Unfallversicherung, die Militärversicherung sowie 2 Rehakliniken. Bisher waren diese Daten auf der eigenen Infrastruktur bearbeitet worden. Die Suva hatte den Edöb im Dezember 2021 von sich aus mit einer Risikobeurteilung beauftragt. Nicht betroffen von der Auslagerung wären das Klinik-Informationssystem KIS und die Kernsysteme der Suva gewesen.

In seiner Stellungnahme weist der Edöb die Suva darauf hin, dass "gewisse Risiken nur partiell identifiziert und bewertet" worden seien. Zum Beispiel sei bekannt, dass gewisse Dienste in Microsoft 365 – wie Microsoft Teams – nicht end-to-end verschlüsselt seien. Zwar habe die Suva die Wahrscheinlichkeit einer Datenbekanntgabe in die USA auf "einen vernachlässigbar tiefen Wert gesenkt". Die Herleitung dieser Beurteilung sei aus Sicht des Edöb aber "unzureichend begründet". Amerika gilt gemäss dem Datenschutzbeauftragten als "Staat ohne angemessenes Datenschutzniveau".

Der Edöb rät deshalb der Suva, die Risiken bei einer Auslagerung eines Teils ihrer Personendaten neu zu beurteilen und dabei die Entscheide im Rahmen der Cloud-Strategie des Bundes zu berücksichtigen.