Datenschutz-Aufsichtsbehörden verbieten Behörden die Nutzung internationaler Cloud-Dienste

Rechtsanwalt Martin Steiger
Logo: Konferenz der schweizerischen Datenschutzbeauftragten (Privatim)

Privatim, die Konferenz der schweizerischen Daten­schutzbeauftragten, hält in einer neuen Resolution fest, dass Behörden grundsätzlich keine internationalen Cloud-Dienste nutzen dürfen.

Die vereinigten Datenschutz-Aufsichtsbehörden in der Schweiz halten in ihrer Mitteilung vom heutigen 24. November 2025 insbesondere Folgendes fest:

«Privatim hält in der Resolution als Ergebnis fest, dass die Nutzung von SaaS-Lösungen internationaler Anbieter für öffentliche Organe nur dann zulässig ist, wenn die besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten vom entsprechenden Organ selbst verschlüsselt werden. Der Cloud-Anbieter darf dabei keinen Zugang zum Schlüssel haben.»

Die meisten Daten von Behörden unterliegen dem Amtsgeheimnis und damit einer gesetzlichen Geheim­haltungs­pflicht.

Gleichzeitig ist bei den meisten Cloud-Diensten keine sinnvolle Nutzung mit Ende-zu-Ende-Verschlüsselung möglich.

Bei jenen Cloud-Diensten, die mit durchgehender Ende- zu-Ende-Verschlüsselung sinnvoll genutzt werden können, ist es häufig nicht möglich, für den Cloud-Anbieter jeglichen Zugang zu den Schlüsseln der Nutzer auszuschliessen.

Bei den internationalen Cloud-Diensten, zum Beispiel bei Amazon Web Services (AWS), Google oder Microsoft 365 bleibt für Behörden im Wesentlichen nur noch die Nutzung als reiner Online-Speicher übrig.

Im Ergebnis verbieten die schweizerischen Datenschutz-Aufsichts­behörden faktisch den Behörden in der Schweiz die Nutzung internationaler Cloud-Dienste, wenn man ihre Resolution beim Wort immt.

Privatim: «Resolution zur Auslagerung von Daten­bearbeitungen in die Cloud»

Screenshot: «privatim verabschiedet Resolution zu internationalen Cloud-Lösungen» (24. November 2025)

Die vollständige Resolution von Privatim, die am 18. November 2025 verabschiedet und am 24. November 2025 veröffentlicht (PDF-Datei) wurde, lautet wie folgt:

«Cloudbasierte Software erscheint heute als so attraktiv wie nie. Infrastrukturen, die potenziell allen Internet-Usern zur Verfügung stehen (sog. ‹Public Clouds›), erlauben eine dynamische Zuweisung von Rechen- und Speicherleistungen nach dem jeweiligen Bedarf der Kunden. Dieser Skaleneffekt ist umso grösser, je weitreichender – und in der Regel auch internationaler – die Infrastruktur des Cloud-Anbieters ist (man denke an sogenannte ‹Hyperscaler› wie Microsoft, Google oder Amazon). Nebst Einzelpersonen und Privatunternehmen greifen auch immer mehr öffentliche Organe auf zur direkten Nutzung bereitgestellte Anwendungen (‹Software-as-a-Service›, kurz: SaaS) solcher Anbieter zurück. Auch lässt sich beobachten, dass Anbieter ihre Kunden vermehrt in die Cloud zu drängen versuchen.

Allerdings tragen öffentliche Organe eine besondere Verantwortung gegenüber den Daten ihrer Bürgerinnen und Bürger. Zwar dürfen sie deren Bearbeitung an Dritte auslagern, müssen dabei aber sicherstellen, dass der Datenschutz und die Informationssicherheit gewahrt bleiben. Vor einer Auslagerung von Personendaten in Cloud-Dienste müssen die Behörden deshalb unabhängig von der Sensitivität der Daten die besonderen Risiken im Einzelfall analysieren und mit geeigneten Massnahmen auf ein tragbares Mass reduzieren (vgl. Cloud-Merkblatt von privatim).

Und:

«Aus folgenden Gründen hält privatim die Auslagerung von besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten in SaaS-Lösungen von grossen internationalen Anbietern durch öffentliche Organe in den meisten Fällen (wie namentlich M365) für unzulässig:

  1. Die meisten SaaS-Lösungen bieten noch keine echte Ende-zu-Ende-Verschlüsselung, die einen Zugriff des Anbieters auf Klartextdaten ausschliessen würde.
  2. Global operierende Firmen bieten zu wenig Transparenz, als dass Schweizer Behörden die Einhaltung der vertraglichen Pflichten betreffend Datenschutz und -sicherheit überprüfen könnten. Dies gilt für die Implementierung technischer Massnahmen und das Change- / Release-Management gleichermassen wie für den Einsatz und die Kontrolle von Mitarbeitenden und Subunternehmen, die teils lange Ketten externer Leistungserbringer bilden. Erschwerend kommt hinzu, dass Softwareanbieter die Vertragsbedingungen periodisch einseitig anpassen können.
  3. Mit der Nutzung von SaaS-Anwendungen geht deshalb ein erheblicher Kontrollverlust einher. Das öffentliche Organ kann die Wahrscheinlichkeit einer Verletzung von Grundrechten nicht beeinflussen. Es kann nur die Schwere potenzieller Rechtsverletzungen mindern, indem es besonders schützenswerte Daten nicht aus dem von ihm kontrollierbaren Herrschaftsbereich herausgibt.
  4. Bei Daten, die unter einer gesetzlichen Geheimhaltungspflicht stehen, besteht teilweise eine erhebliche Rechtsunsicherheit, inwieweit diese überhaupt in Cloud-Dienste ausgelagert werden dürfen. Nicht jeder Dritte kann als Hilfsperson beigezogen werden, nur weil die Vorschriften des Strafrechts über das Amts- und das Berufsgeheimnis auch die Hilfspersonen von Geheimnisträgern zur Verschwiegenheit verpflichten.
  5. US-Anbieter können aufgrund des 2018 erlassenen CLOUD Act dazu verpflichtet werden, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die Regeln der internationalen Rechtshilfe einzuhalten – selbst, wenn diese Daten in Schweizer Rechenzentren gespeichert sind.

Fazit:

«Fazit: Die Nutzung internationaler SaaS-Lösungen für besonders schützenswerte oder einer gesetzlichen Geheimhaltungspflicht unterstehende Personendaten durch öffentliche Organe ist nur dann möglich, wenn die Daten vom verantwortlichen Organ selbst verschlüsselt werden und der Cloud-Anbieter keinen Zugang zum Schlüssel hat.»

Hinweis:

«Der Kanton Glarus hat von der Möglichkeit zum ‹opting out› nach Art. 18.2 der Statuten Gebrauch gemacht.»

Die Datenschutzbeauftragte des Kantons Glarus unterstützt die Resolution von Privatim demnach nicht.

Datenschutz-Aufsichtsbehörden: Folgen den Worten dieses Mal auch Taten?

Die Datenschutz-Aufsichtsbehörden in der Schweiz haben das Outsourcing an ausländische Cloud-Anbieter immer wieder kritisiert. Bislang verzichteten sie aber auf die Durchsetzung ihrer Meinung gegenüber den Behörden bei Bund und Kantonen.

Microsoft 365 im Besonderen wird von schweizerischen Behörden inzwischen im grossen Stil eingesetzt. Die Verträge für die «Public Clouds Bund» wurden erst gerade teilweise veröffentlicht.

Microsoft 365 wird im grossen Stil eingesetzt, obwohl kantonale Datenschutz-Aufsichtsbehörden die Nutzung immer wieder grundsätzlich für unzulässig erklärt hatten. Beispielhaft dafür steht die Fachstelle für Datenschutz im Kanton St.Gallen.

Bei der neuen Resolution stellen sich inhaltlich in jedem Fall verschiedene Fragen, unter anderem: Was ist überhaupt ein «internationaler» Cloud-Anbieter?

Gelten beispielsweise die green.ch AG und die Green Datacenter AG mit Sitz in Lupfig in der Schweiz als «internationale» Anbieter, weil sie dem IFM Global Infrastructure Fund mit Offshore-Sitz auf den Cayman Islands gehören?

Genauso stellt sich die Frage, ob die Datenschutz-Aufsichtsbehörden überhaupt ein faktisches Verbot für die Nutzung «internationaler» Cloud-Anbieter durch Behörden in der Schweiz beschliessen können.

Das eidgenössische und kantonale Datenschutzrecht gibt auch unter Berücksichtigung des Amtsgeheimnisses ein solches Verbot nicht her. Ein solches Verbot müsste politisch beschlossen werden, wofür aber keine Mehrheit in der Bundesversammlung in Sicht ist – auch mit Blick auf die Beziehungen zu den USA und teilweise auch zur Volksrepublik China.

Ich bezweifle, dass dieses Mal die Datenschutz-Aufsichtsbehörden ihren Worten auch Taten folgen lassen werden.

Im Kanton Zürich beispielsweise wäre ich überrascht, wenn die Datenschutzbeauftragte gegen die Nutzung von Microsoft 365 den verwaltungsrechtlichen Weg gemäss §36 f. IDG beschreiten würde.

Cloud: Datenschutz-Aufsichtsbehörden kritisieren Vorgehen der Verwaltung (2022)

Jetzt lesen!

(Via Anwaltskollege Daniel Kettiger bei LinkedIn, auch mit Verweis auf die Kritik von Anwaltskollege Sylvain Métille ebenfalls bei LinkedIn.)

2 Kommentare

  1. Lieber Martin. Danke für deinen Beitrag. Er geht in einem wesentlichen Punkt von einer unzutreffenden Annahme aus: «Die meisten Daten von Behörden unterliegen dem Amtsgeheimnis und damit einer gesetzlichen Geheim­haltungs­pflicht». Vor dem Hintergrund des beim Bund in den meisten Kantonen inzwischen geltenden Öffentlichkeitsprinzips trifft dies nicht zu. Dem Amtsgeheimnis unterliegen nur jene Daten, an deren Geheimhaltung ein überwiegendes öffentliches oder privates Interesse im Sinne der Informationsgesetzgebung besteht, andernfalls sind sie allgemein zugänglich und keine Geheimnisse.

    Und ja, im Kanton Bern kann ich die Haltung von privatim (bislang) erfolgreich durchsetzen. Die kantonalen Behörden setzen M365 nur für «normale» Personendaten ein. Nur gerade für die Teams-Telefonie ohne Aufzeichnung habe ich unlängst einer Aufweichung zugestimmt, weil die Verwaltung sonst nicht mehr sinnvoll telefonieren kann, siehe https://www.dsa.be.ch/de/start.html?newsID=737f6092-f00a-4567-8897-89b5f36d11cf.

    Liebe Grüsse, Ueli

    Antworten

    1. Vielen Dank für Deinen geschätzten Kommentar!

      Das Argument mit dem Öffentlichkeitsprinzip überzeugt mich nicht. Das beginnt schon damit, dass man zwar von einem «Prinzip» spricht, aber es sich im Rechtsalltag gerade nicht um ein Prinzip, sondern um eine seltene Ausnahme handelt, die häufig aufwendig erstritten werden muss. Ferner gibt es zahlreiche Ausnahmen, auf Bundesebene gemäss Art. 7 ff. BGÖ, welche dazu führen, dass der allergrösste Teil der «Dokumente» nicht einmal theoretisch dem Öffentlichkeitsprinzip unterliegt.

      Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.