Plattform01 Sicherheit02 Branchen03 Preise04 Wissen05 Über uns06 FAQ07
Kostenlos starten

Branche · Juni 2026 · 6 Min. Lesezeit

Microsoft 365 ist kein Backup für Arztpraxen —
was die Schweigepflicht verlangt

Viele Praxen führen Dokumente, Korrespondenz und E-Mail über Microsoft 365 und OneDrive — und gehen davon aus, Microsoft sichere das alles ohnehin. Dieser Beitrag zeigt, warum das ein Trugschluss ist, was Berufsgeheimnis und revDSG von einer Arztpraxis verlangen, und wie ein eigenes Backup die Lücke schliesst — inklusive Wiederherstellung in 3 Klicks.

Die Shared-Responsibility-Lücke

Microsoft 365 ist ein zuverlässiger Dienst — aber die Verantwortung ist geteilt. Microsoft sorgt dafür, dass die Infrastruktur läuft: Server, Rechenzentren, Verfügbarkeit des Dienstes. Was Microsoft ausdrücklich nicht garantiert, ist die Sicherung Ihrer Daten gegen Ihre eigenen Fehler und gegen Angriffe. Dieses Prinzip nennt sich «Shared Responsibility» und steht so auch in den Servicebedingungen.

In der Praxis heisst das: Wird eine Patientenkorrespondenz versehentlich gelöscht, verschlüsselt eine Ransomware das Praxis-Notebook samt synchronisiertem OneDrive, verlässt eine Mitarbeiterin die Praxis und ihr Konto wird entfernt, oder wird ein Zugang kompromittiert — dann ist Microsoft nicht dafür zuständig, die verlorenen Inhalte wiederherzustellen. Nach Ablauf der Papierkorb- und Aufbewahrungsfristen, die je nach Konfiguration oft nur wenige Wochen betragen, sind gelöschte Daten endgültig weg. Es gibt dann keinen Knopf mehr, der sie zurückholt.

Was Microsoft 365 abdeckt

Infrastruktur, nicht Ihre Daten

  • Versehentliches Löschen.

    Gelöschte Dateien und E-Mails liegen nur befristet im Papierkorb. Danach lassen sie sich nicht mehr zurückholen.

  • Ransomware über OneDrive.

    Verschlüsselt Schadsoftware lokale Dateien, synchronisiert OneDrive die verschlüsselten Versionen brav mit.

  • Konto- oder Zugangsverlust.

    Wird ein Mitarbeiterkonto gelöscht oder ein Zugang kompromittiert, sind die daran hängenden Daten gefährdet.

Was ein eigenes Backup abdeckt

Eine zweite, unabhängige Kopie

  • Wiederherstellung über Monate.

    Versionierte Stände lassen sich auch lange nach dem Löschen gezielt zurückholen — weit über die Papierkorbfrist hinaus.

  • Unabhängig von Microsoft.

    Eine separate Kopie ausserhalb von Microsoft 365 bleibt erreichbar, selbst wenn ein Konto gesperrt oder ein Zugang verloren geht.

  • Datenstandort Schweiz.

    Die Sicherung liegt verschlüsselt auf gespiegelten Datenträgern in der Schweiz — nicht in einer fremden Cloud-Region.

Patientendaten: Berufsgeheimnis und revDSG

Was eine Arztpraxis verarbeitet, sind besonders schützenswerte Personendaten. Patientendaten unterliegen dem ärztlichen Berufsgeheimnis (Art. 321 StGB) und zusätzlich dem revidierten Datenschutzgesetz (revDSG). Beides verlangt, dass diese Daten vor unbefugtem Zugriff geschützt sind und nicht unkontrolliert abfliessen — und ein Datenverlust kann nicht nur den Praxisbetrieb lahmlegen, sondern auch Meldepflichten auslösen.

Genau hier setzen zwei technische Prinzipien an: Ein Datenstandort Schweiz hält die Daten innerhalb des Schweizer Rechtsraums, und eine Zero-Knowledge-Verschlüsselung stellt sicher, dass selbst der Anbieter die Inhalte nicht einsehen kann. Beides minimiert das Risiko eines Datenabflusses erheblich. Welche konkreten Pflichten in Ihrem Fall gelten, ist allerdings eine rechtliche Frage — diese Seite ersetzt keine Rechtsberatung und stellt keine Konformität fest. Mehr zum Zusammenspiel von Backup und revDSG lesen Sie unter revDSG und Backup für KMU.

Wie Archiv3 Microsoft 365 und Praxis-Geräte sichert

Archiv3 ist eine Schweizer Backup-Plattform für Betriebe ohne eigene IT-Abteilung. Sie schliesst die Shared-Responsibility-Lücke an beiden Stellen, an denen Praxisdaten entstehen — im Microsoft-365-Postfach und auf den Geräten in der Praxis.

Microsoft-365-Postfach-Sicherung (Add-on)

Mit dem Mailbox-Add-on sichert Archiv3 Ihre Microsoft-365-Postfächer automatisch und versioniert. So bleiben Patientenkorrespondenz, Befunde und Terminbestätigungen erhalten, auch wenn eine Nachricht im Postfach gelöscht wird oder ein Konto verschwindet. Die Sicherung läuft unabhängig von den Aufbewahrungseinstellungen in Microsoft 365.

Zero-Knowledge, AES-256-GCM, Datenstandort Schweiz

Alle Daten werden vor dem Hochladen auf Ihrem Gerät mit AES-256-GCM verschlüsselt — Zero-Knowledge bedeutet, dass nur Sie den Schlüssel halten und selbst Archiv3 die Inhalte nicht lesen kann. Gespeichert wird ausschliesslich redundant in der Schweiz, auf gespiegelten Datenträgern. Das stützt den Schutz von Patientendaten technisch ab, ohne dass Sie eigene IT betreiben müssen.

Versioniert und Restore in 3 Klicks

Jede Sicherung wird mit Zeitstempel als eigener Stand abgelegt. Geht etwas verloren — eine einzelne Datei, ein ganzer Ordner, ein Postfach —, holen Sie es in 3 Klicks zurück, ohne Wartezeit auf einen Dienstleister. Wie Archiv3 das im Praxisalltag abbildet, lesen Sie auf der Seite Archiv3 für Arztpraxen.

Checkliste für die Praxis

Diese Punkte helfen, die eigene Sicherung strukturiert zu prüfen. Sie ersetzen keine rechtliche Beurteilung, geben aber eine erste Orientierung:

  1. 1. Microsoft 365 separat sichern.

    Verlassen Sie sich nicht allein auf Papierkorb und Aufbewahrung — Postfächer und OneDrive gehören in ein eigenes Backup.

  2. 2. Praxis-Geräte einbeziehen.

    Lokale Dokumente, Scans und Praxissoftware-Exporte auf den Geräten ebenfalls in die Sicherung aufnehmen.

  3. 3. Verschlüsselung und Datenstandort klären.

    Sind die Daten Ende-zu-Ende verschlüsselt, liegen sie in der Schweiz, und wer hat technisch Zugriff?

  4. 4. Restore testen.

    Mindestens einmal jährlich eine Wiederherstellung ausprobieren — ein Backup zählt erst, wenn die Rückholung funktioniert.

  5. 5. Verbindliche Beurteilung einholen.

    Die konkreten Pflichten aus Berufsgeheimnis und revDSG mit Ihrer Rechtsberatung abschliessend klären.

Verwandte Beiträge: Warum OneDrive das Backup-Problem nicht löst, erklärt OneDrive ist kein Backup. Was ein Verschlüsselungsangriff ein KMU tatsächlich kostet, lesen Sie unter Ransomware-Kosten für KMU. Und wie Backup und Datenschutzgesetz zusammenspielen, behandelt revDSG und Backup für KMU.

Nur eingeschränkt. Microsoft sorgt für die Verfügbarkeit des Dienstes, nicht für die Wiederherstellung Ihrer Daten nach versehentlichem Löschen, Ransomware oder Kontoverlust. Nach Ablauf der Papierkorb- und Aufbewahrungsfristen — oft nur wenige Wochen — sind gelöschte Inhalte endgültig weg.
Nein, im Gegenteil: OneDrive synchronisiert von Ransomware verschlüsselte Dateien wie jede andere Änderung mit. Ein unabhängiges, versioniertes Backup ausserhalb von Microsoft 365 ist die zuverlässige Absicherung. Mehr dazu unter OneDrive ist kein Backup.
Nein. Durch Zero-Knowledge-Verschlüsselung (AES-256-GCM) werden Ihre Daten vor dem Hochladen auf Ihrem Gerät verschlüsselt. Nur Sie halten den Schlüssel — Archiv3 kann die Inhalte nicht lesen. Gespeichert wird ausschliesslich in der Schweiz.
Ein Backup ist ein wichtiger Baustein, aber keine Garantie für Konformität. Archiv3 unterstützt Sie technisch — mit Datenstandort Schweiz und Zero-Knowledge-Verschlüsselung. Ob Ihre Gesamtumsetzung den Anforderungen aus Berufsgeheimnis und revDSG genügt, beurteilt verbindlich Ihre Rechtsberatung.

Bereit?

Microsoft 365 und Praxis-Geräte gesichert.
Restore in 3 Klicks.

Sehen Sie, wie Archiv3 Arztpraxen bei der Datensicherung unterstützt — oder starten Sie direkt mit Ihrer ersten Sicherung.

Kostenlos starten Archiv3 für Arztpraxen

14 Tage gratisKeine KreditkarteMonatlich kündbar

← Zurück zur Wissen-Übersicht

Rechtlicher Hinweis: Diese Seite erklärt, wie Archiv3 Sie bei Aufbewahrungs- und Datenschutzpflichten technisch unterstützt — sie ist keine Rechtsberatung. Die verbindliche Beurteilung Ihrer konkreten Pflichten (Berufsgeheimnis nach Art. 321 StGB, DSG/revDSG) trifft Ihr Anwalt bzw. Ihre Rechtsberatung.