Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) hat mit einer wegweisenden Resolution vom 25. November 2025 die Nutzung internationaler Cloud-Dienste durch Behörden stark kritisiert und erhebliche Einschränkungen empfohlen. Diese Entscheidung betrifft insbesondere die grossen Cloud-Anbieter wie Amazon Web Services (AWS), Google Cloud und Microsoft Azure, deren Einsatz für die Verarbeitung sensibler Bürgerdaten aus Sicht von Privatim in der Regel unzulässig ist.
Inhaltsverzeichnis
Umfassende Einschränkungen für Software-as-a-Service-Lösungen
Die Resolution spricht sich faktisch gegen die Nutzung von SaaS-Lösungen internationaler Hyperscaler aus, sobald besonders schützenswerte oder gesetzlich geheimhaltungspflichtige Personendaten verarbeitet werden. Dies bedeutet konkret, dass weit verbreitete Dienste wie Microsoft 365 von Schweizer Behörden künftig nur noch als reine Online-Speicherlösungen genutzt werden dürfen, nicht jedoch für die eigentliche Datenverarbeitung – sofern keine besonderen technischen Massnahmen wie vollständige Verschlüsselung umgesetzt werden.
Die Datenschützer begründen ihre strikte Haltung mit der besonderen Verantwortung öffentlicher Stellen für den Schutz der Bürgerdaten. Während Cloud-Dienste durch ihre Skalierbarkeit und flexible Ressourcenzuweisung technisch und wirtschaftlich attraktiv erscheinen, identifiziert Privatim erhebliche datenschutzrechtliche Risiken bei der Auslagerung sensibler Informationen in internationale Public Clouds.
Technische und rechtliche Herausforderungen
Als zentrale Problembereiche nennt die Datenschutzkonferenz mehrere kritische Punkte:
Unzureichende Verschlüsselung: Die meisten SaaS-Angebote verfügen noch nicht über eine echte Ende-zu-Ende-Verschlüsselung. Dies würde bedeuten, dass die Daten bereits beim öffentlichen Organ verschlüsselt werden und der Cloud-Anbieter zu keinem Zeitpunkt Zugriff auf die Schlüssel oder Klartextdaten erhält. Diese technische Anforderung ist jedoch Grundvoraussetzung für eine datenschutzkonforme Nutzung.
Mangelnde Transparenz: Die Komplexität globaler Cloud-Infrastrukturen macht es für Schweizer Behörden nahezu unmöglich, die Einhaltung vertraglicher Datenschutz- und Sicherheitsverpflichtungen zu überprüfen. Dies betrifft sowohl technische Massnahmen als auch die Kontrolle von Mitarbeitenden und Subunternehmen, die oft lange Ketten externer Dienstleister bilden.
Einseitige Vertragsänderungen: Cloud-Anbieter passen ihre Vertragsbedingungen regelmässig und oft einseitig an, was für Behörden mit ihren langfristigen Planungshorizonten und rechtlichen Verpflichtungen problematisch ist.
Der US-CLOUD Act als Sicherheitsrisiko
Besondere Bedenken äussert Privatim bezüglich des US-amerikanischen CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieses Gesetz verpflichtet US-Unternehmen zur Herausgabe von Kundendaten an amerikanische Behörden - unabhängig davon, wo diese Daten physisch gespeichert sind. Selbst wenn die Daten in Schweizer Rechenzentren liegen, können US-Anbieter gezwungen werden, diese herauszugeben, ohne dass die üblichen internationalen Rechtshilfeverfahren eingehalten werden müssen.
Diese rechtliche Situation schafft insbesondere bei Daten mit gesetzlicher Geheimhaltungspflicht eine erhebliche Rechtsunsicherheit und potenzielle Konflikte mit schweizerischen Datenschutzbestimmungen.
Auswirkungen auf die behördliche IT-Infrastruktur
Der Zürcher Rechtsanwalt Martin Steiger weist darauf hin, dass die Mehrheit behördlicher Daten einer Geheimhaltungspflicht unterliegt. Eine praktikable Nutzung vieler Cloud-Dienste mit durchgehender Verschlüsselung sei zudem technisch kaum realisierbar, ohne deren Funktionalität erheblich einzuschränken.
Obwohl kantonale Datenschutzbehörden bereits in der Vergangenheit ähnliche Bedenken geäussert haben, blieben konkrete Konsequenzen oft aus. Die aktuelle Resolution stellt Behörden nun vor neue Herausforderungen bei der Gestaltung ihrer IT-Strategie und der Auswahl geeigneter Technologiepartner.
Sichere Alternativen für Schweizer Organisationen
Für Schweizer Behörden und Unternehmen, die auf datenschutzkonforme Lösungen angewiesen sind, gewinnen lokale Hosting-Anbieter mit Rechenzentren in der Schweiz an Bedeutung. METANET bietet hierfür professionelle Alternativen: Von sicheren Managed Cloud Servern über Virtual Data Center bis hin zu massgeschneiderten Server-Lösungen, die vollständig in der Schweiz betrieben werden und damit den strengen Datenschutzanforderungen entsprechen.
Besonders für sensible Datenverarbeitungen eignen sich dedizierte VPS-Lösungen oder eigene Server-Infrastrukturen, bei denen Sie die vollständige Kontrolle über Verschlüsselung und Zugriffsrechte behalten. Mit professionellem Hosting in Schweizer Rechenzentren umgehen Sie die rechtlichen Unsicherheiten internationaler Cloud-Anbieter und erfüllen gleichzeitig die Anforderungen der kantonalen Datenschutzbeauftragten.
Für weniger kritische Anwendungen bietet METANET zudem flexible Hosting-Lösungen und WordPress Hosting mit höchsten Sicherheitsstandards. Diese Dienste werden ausschliesslich in der Schweiz betrieben und unterliegen damit vollständig dem schweizerischen Datenschutzrecht - ohne die Risiken des CLOUD Act oder anderer extraterritorialer Zugriffsmöglichkeiten.
WhatsApp
