Dünnes Eis - Datenschutzrechtliche Risiken Bei Der Nutzung Von Sharepoint / OneDrive Und Co - Grentis - Grenzverletzungen Einfach Sicher Dokumentieren

Das Risiko

Wer sensible Informationen speichert – etwa Daten von Klientinnen, Patienten oder Leistungsnutzenden – bewegt sich ohne besondere Schutzmassnahmen in einer rechtlichen Grauzone. Laut kantonalen Datenschutzbeauftragten kann dies gegen Schweizer Recht verstossen.

Vorweg: Ich bin aktiver Nutzer von Microsoft Diensten

Ich arbeite täglich mit Microsoft-Produkten wie Teams, OneDrive und Office – und schätze ihre Zuverlässigkeit. Dieser Beitrag ist keine Kritik an Anbietern wie Microsoft, Amazon oder Google. Es geht um den US Cloud Act und seine Folgen für den Umgang mit besonders schützenswerten Personendaten.

Was ist das Problem bei der Nutzung US-Cloud-Diensten?

Im Gesundheits- und Sozialwesen entstehen laufend sensible Daten durch Dokumentation und Korrespondenz. Werden diese bei US-Cloud-Anbietern gespeichert, greift der US Cloud Act:

US-Behörden können die Herausgabe von Daten verlangen – auch wenn diese in Europa oder der Schweiz gespeichert sind.
Das steht im Konflikt mit dem Schweizer Datenschutzrecht (z. B. revDSG).

Ob die Daten in Zürich, Frankfurt oder den USA liegen, spielt also rechtlich keine Rolle.

Mögliche Lösungswege für besonders schützenswerte Daten

Hybride Speicherung: besonders schützenswerte Daten im eigenen Rechenzentrum, übrige Daten in der Cloud.
Technische Verschlüsselung: Daten werden vor dem Upload verschlüsselt, der Schlüssel bleibt ausschliesslich bei der Organisation. Diese technischen Massnahmen lauten Double Key Encryption (DKE) und Access Security Broker (CASB).

Beides erfordert Disziplin, Fachwissen – und verursacht Kosten.

Was hat Grentis mit alledem zu tun?

Sehr viel 🙂

Wer Verlaufsdokumentationen in SharePoint, OneDrive oder Google Workspace ohne zusätzliche Verschlüsselung ablegt, erfüllt nach Ansicht vieler kantonaler Datenschutzstellen die gesetzlichen Anforderungen nicht. Papierdokumente oder Speicherung auf Servern in Schweizer Eigentum oder Speicherung auf dem internen Server sind diesbezüglich nicht problematisch.

Wie Grentis vorgeht, um die Anforderung an die Speicherung von besonders schützenswerte Daten einzuhalten?

Grentis speichert Daten ausschliesslich in Schweizer Rechenzentren, die nicht unter den US Cloud Act fallen. Die Firmen sind in Schweizer Besitz.

Wie es sich bei juristischen Themen gehört, gibt es auch andere Sichtweisen

Einige Experten schreiben, dass eine Speicherung unter bestimmten Voraussetzungen sehr wohl möglich ist.
Klar ist aber:

Ohne Schutzmassnahmen ist die Speicherung sensibler Daten bei US-Anbietern ein erhebliches Risiko.
Mit technischen und organisatorischen Massnahmen lässt sich das Risiko reduzieren – benötigt jedoch zusätzliche Serverstandorte, Fachwissen und verursacht weitere Kosten.

Disclaimer: Ich bin kein Jurist. Dieser Beitrag ist keine Rechtsberatung.

Weiterführender Link

Einen guten Beschrieb mit Erläuterungen finden Sie unter folgendem Link:
https://www.datenschutz.ch/mitteilungen/2024/neuer-leitfaden-microsoft-365-in-gemeinden