Informationsklassifizierung und M365

Microsoft 365 kann die Verwaltung effizienter machen – vorausgesetzt, sensible Informationen werden gezielt geschützt. Die Klassifizierung von Informationen legt dafür das Fundament: Sie definiert, wie mit welchen Daten umzugehen ist – technisch wie organisatorisch. Abraxas Datenschützer Sandro Schefer ordnet ein.

Von Sandro Schefer, Datenschutzberater Abraxas · 11. August 2025

Digitale Arbeitsumgebungen wie Microsoft 365 bieten Gemeinden grosse Chancen, ihre Aufgaben effizienter wahrzunehmen. Doch je leistungsfähiger die Werkzeuge, desto höher die Anforderungen an den sorgfältigen Umgang mit Informationen. Eine zentrale Grundlage dafür ist die Informationsklassifizierung – oft unterschätzt, aber entscheidend um die Compliance sicherzustellen.

Was ist Informationsklassifizierung?

Informationsklassifizierung bedeutet, dass sämtliche Informationen systematisch nach ihrem Schutzbedarf eingestuft werden – etwa als öffentlich, intern, vertraulich oder streng vertraulich. Für jede Stufe gelten spezifische Regeln für Speicherung, Bearbeitung, Weitergabe und Vernichtung.

Eine öffentliche Baustelleninformation hat einen anderen Schutzbedarf als ein KESB-Dossier oder ein Fall aus der Sozialhilfe. Auch Kommunikationssysteme wie E-Mail oder Telefonie können ein höheren Schutzbedarf aufweisen. Somit steuert die Klassifizierung technische Massnahmen wie Zugriffsbeschränkungen, Verschlüsselung oder die bewusste Entscheidung, bestimmte Informationen nicht über Cloud-Dienste zu verarbeiten. Genau diese differenzierte Handhabung fordert z. B. auch die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim).

Warum ist das in M365 relevant? 

M365 ist leistungsfähig – aber nicht ohne Weiteres datenschutzkonform einsetzbar. Ohne klare Vorgaben, Prozesse und Grenzen landen Informationen oft dort, wo es gerade praktisch erscheint. Das kann zu Complianceverstössen führen, insbesondere wenn sensible Informationen unbeabsichtigt ausserhalb der Schweiz bearbeitet werden.

Eine sorgfältige Klassifizierung schafft hier Abhilfe:

  • Sie definiert, welche Informationen in M365 bearbeitet werden dürfen – und welche besser
  • Sie bildet die Basis für automatisierte Regeln, wie etwa zur Ablage in geschützten Systemen oder zur Verhinderung der Weitergabe vertraulicher Inhalte.

Was verlangt das revidierte Datenschutzgesetz?

Das revidierte Datenschutzgesetz (revDSG) verpflichtet auch öffentliche Stellen, Personendaten nach deren Sensibilität angemessen und wirksam zu schützen. Besonders schützenswerte Daten – etwa aus Sozial-, Gesundheits- oder Bildungswesen – erfordern erhöhte Sorgfalt. Diese beginnt nicht bei der Technik, sondern bei der Einschätzung des Schutzbedarfs. Klassifizierung ist daher nicht Kür, sondern Pflicht – und zugleich der erste Schritt zu einer datenschutzkonformen Nutzung moderner Werkzeuge wie Microsoft 365. Sie muss aber ergänzt werden durch gesetzliche Geheimhaltungspflichten, vertragliche Vereinbarungen, Aspekte der Datenhoheit und technische Schutzmassnahmen wie Verschlüsselung. Erst das Zusammenspiel dieser – und weiterer – Elemente ermöglicht einen sicheren und rechtskonformen Einsatz von Cloud-Systemen.

Sandro Schefer
Datenschutzberater Abraxas
«Wer Cloud sagt, muss auch Kontrolle sagen – insbesondere im öffentlichen Sektor. »

Datenhoheit: Kontrolle bleibt entscheidend

Datenhoheit bedeutet: Die Kontrolle über Speicherort, Zugriff und Verarbeitung bleibt bei der Verwaltung. Wer Cloud sagt, muss auch Kontrolle sagen – insbesondere im öffentlichen Sektor. Die aktuelle Debatte um digitale Souveränität zeigt: Informationsklassifizierung ist Voraussetzung für jede Strategie, die Autonomie bewahren und gesetzeskonform bleiben will.

Man sollte sich überlegen, welche Daten bei einem US-Unternehmen und welche bei einem Schweizer Provider liegen. Denn selbst bei Speicherung in Schweizer Rechenzentren bleibt Microsoft dem US-Recht unterstellt – mit möglichen Zugriffen via Cloud Act oder FISA (Foreign Intelligence Surveillance Act). Dies kann im Widerspruch stehen zu Datenhoheit und dem Schutz besonders sensibler Informationen.

Wie starten – und was hilft konkret? 

Abraxas unterstützt mit praxiserprobten Konzepten zur Informationsklassifizierung und bietet Lösungen für deren Umsetzung – etwa mit Multi-Cloud-Modellen und sicheren Alternativen für sensible Inhalte.

Intern setzen wir diese Prinzipien erfolgreich ein – von der einfachen Regel bis zum klaren Klassifikationsmodell.

Fazit: Informationsklassifizierung ist der erste Schritt – nicht der letzte.
Wer seine Informationen und deren Schutzbedarf kennt, schafft die Grundlage für datenschutzkonforme und souveräne Entscheidungen – auch im Umgang mit M365. Klassifizierung schafft Orientierung, reduziert Risiken und ermöglicht gezielte technische und organisatorische Schutzmassnahmen. Sie ist kein Hindernis, sondern der zentrale Hebel für eine sichere Digitalisierung in der öffentlichen Verwaltung.

Sandro Schefer

Über Sandro Schefer

Sandro Schefer verstärkt seit Februar 2025 das #TeamAbraxas als Datebschutzberater. Der Informatiker besitzt eine Weiterbildung zum Data Protection Officer. Er unterstützt die Fachbereiche mit seinem Know-how bei der Umsetzung datenschutzkonformer Prozesse.

Lesen Sie auch

0 / 0