Unterschiedliche Rechtsauffassungen

EDÖB rät Suva von Microsoft 365 ab

Uhr
von Yannick Züllig und kfi

Die Suva will in die Microsoft-Cloud. Dazu holte sie eine Risikobeurteilung vom EDÖB ein. Dieser rät dem Versicherer, den Schritt zu überdenken.

Adrian Lobsiger, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter. (Source: Netzmedien)
Adrian Lobsiger, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter. (Source: Netzmedien)

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) rät der Suva, die Auslagerung seiner Personendaten auf ein von Microsoft betriebenes Rechenzentrum in der Schweiz zu überdenken. Dies schreibt der EDÖB in einer Mitteilung.

Die Suva selbst hatte eine Risikoanalyse für die Auslagerung erstellt und diese zum EDÖB zur Beurteilung weitergeleitet. Dieses Vorgehen begrüsst der Bundesbeamte, äussert jedoch Vorbehalte gegenüber dem Projekt.

Angesichts der "weiten Verbreitung der Produkte und Leistungen der Firma Microsoft in der Privatwirtschaft und den öffentlichen Verwaltungen der Schweiz" sei das Auslagerungsprojekt für eine breite Öffentlichkeit von Interesse, weshalb der Beauftragte seine summarische Stellungnahme zum Vorhaben publiziert.

Zugriff auf Schweizer Daten aus den USA möglich

Vor allem der theoretisch mögliche Zugriff auf Daten in einem Schweizer Microsoft-Rechenzentrum durch den US-Mutterkonzern im Rahmen des Cloud-Acts besorgt den EDÖB. Die Suva adressiere das Risiko in ihrer Analyse zwar, bezeichne es aber als "höchst unwahrscheinlich".

Die Suva verpflichtet Microsoft dazu, die ausgelagerten Daten nur in der Schweiz zu bearbeiten. Laut EDÖB ist es jedoch möglich, dass der Zugriff auf die Daten trotz Missbilligung des Verantwortlichen in der Schweiz erfolge. Er bezeichnet die Auslagerung als "grenzüberschreitende Datenbekanntgabe".

Suva nicht ganz einverstanden

Die Suva stimmt den Einschätzungen des EDÖB teilweise nicht zu und gibt in einem Antwortschreiben ihre Rechtsauffassung bekannt. Da in der Schweiz noch keine richterliche Rechtsprechung zur aufgeworfenen Problematik besteht, publiziert der EDÖB, mit Genehmigung der Suva, auch deren Antwortschreiben.

Für den Moment sieht der EDÖB keinen Grund, den Sachverhalt amtlich zu untersuchen. Dies könne sich jedoch ändern, falls die Rechtslage richterlich klargestellt wird.

Die Stellungnahme des EDÖB sowie das Antwortschreiben der SUVA sind öffentlich einsehbar.

Auch die Zürcher Kantonsverwaltung machte vor kurzem den Schritt in die Microsoft-Cloud. Die Einschätzung, dass ein "Lawful Access" durch US-Behörden höchst unwahrscheinlich sei, teilt der Kanton. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_259650