Die Suva hat bisher On Premises bearbeitete Personendaten in die Microsoft Cloud ausgelagert. Nun rät der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) dem Unfallversicherer, die Auslagerung der Personendaten aufgrund teilweise unterschiedlicher Rechtsauffassungen noch einmal neu zu beurteilen.
Zum Hintergrund: Im Dezember 2021 hat die Suva dem EDÖB aus eigenem Antrieb eine Dokumentation rund um die unmittelbar bevorstehende Auslagerung der bis anhin auf einer eigenen Infrastruktur bearbeiteten Personendaten wie Geschäftskorrespondenz, Fallmanagement-Dokumentationen, Projektunterlagen, Videokonferenzen, Telefonate, Weiterbildungsinhalte, Termine sowie E-Mails in ein von Microsoft betriebenes Rechenzentrum in der Schweiz zugestellt. Nach Lektüre dieser Dokumentation rät der EDÖB der Suva nun zu einer zeitnahen Neubeurteilung der Auslagerung. Als Grund dafür nennt er, dass gewisse Risiken von der Suva nur partiell identifiziert und bewertet worden seien. So sei etwa bekannt, dass gewisse Dienste der Redmonder nicht end-to-end verschlüsselt seien.
Die gesamte Stellungnahme des EDÖB findet sich
hier, ebenso wie die Antwort der Suva darauf. Je nach Entwicklung der Situation und Rechtslage behält sich der EDÖB vor, zu einem späteren Zeitpunkt von Amtes wegen aufsichtsrechtlich tätig zu werden.
(abr)
