Cloudbasierte Software gilt heute als effizienter Standard für digitale Verwaltung. Öffentliche Clouds ermöglichen flexible Rechenleistung, schnelle Skalierung und globale Verfügbarkeit — Vorteile, die insbesondere durch international operierende Hyperscaler wie Microsoft, Google oder Amazon entstehen. Genau diese internationale Struktur wird jedoch zunehmend zum Problem für staatliche Stellen. Denn mit der Auslagerung von Datenverarbeitungen verlieren Behörden einen Teil ihrer technischen und rechtlichen Kontrolle über sensible Informationen. Privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, warnt deshalb vor systemischen Risiken bei der Nutzung internationaler SaaS-Lösungen durch öffentliche Organe — darüber berichtet Nume unter Bezug auf die aktuelle Resolution von Privatim.
Besondere Verantwortung öffentlicher Organe
Anders als private Unternehmen tragen staatliche Stellen eine verfassungsrechtlich verankerte Verantwortung für die Daten ihrer Bürgerinnen und Bürger. Zwar erlaubt das Schweizer Datenschutzrecht grundsätzlich die Auslagerung von Datenbearbeitungen an Dritte, doch nur unter der Voraussetzung, dass Datenschutz und Informationssicherheit vollumfänglich gewährleistet bleiben. Vor jeder Cloud-Auslagerung sind Behörden verpflichtet, eine individuelle Risikoanalyse vorzunehmen und identifizierte Gefahren durch geeignete technische und organisatorische Massnahmen zu reduzieren — unabhängig davon, ob die Daten als sensibel eingestuft werden oder nicht.
Diese Pflicht ergibt sich nicht nur aus dem Datenschutzgesetz, sondern auch aus dem Grundsatz der staatlichen Sorgfaltspflicht. Genau hier sehen die Datenschützer ein strukturelles Defizit bei internationalen SaaS-Angeboten.
Warum SaaS-Lösungen oft als unzulässig gelten
Nach Einschätzung von Privatim ist die Auslagerung besonders schützenswerter oder gesetzlich geheimhaltungspflichtiger Personendaten in SaaS-Lösungen grosser internationaler Anbieter in den meisten Fällen unzulässig. Dies betrifft ausdrücklich weit verbreitete Anwendungen wie Microsoft 365. Der Kern des Problems liegt darin, dass Behörden die tatsächliche Datenverarbeitung nicht mehr vollständig kontrollieren können.
Die Datenschützer argumentieren, dass öffentliche Organe zwar die Eintrittswahrscheinlichkeit einer Datenschutzverletzung kaum beeinflussen können, wohl aber deren potenzielle Schwere. Diese lasse sich nur dadurch begrenzen, dass besonders sensible Daten den behördlich kontrollierten Herrschaftsbereich nicht verlassen.
Fehlende Ende-zu-Ende-Verschlüsselung
Ein zentrales technisches Argument betrifft die Verschlüsselung. Die meisten SaaS-Lösungen bieten nach aktuellem Stand keine echte Ende-zu-Ende-Verschlüsselung, bei der ausschliesslich das verantwortliche Organ Zugriff auf die Klartextdaten und die Schlüssel besitzt. Solange der Cloud-Anbieter technisch in der Lage ist, auf Inhalte zuzugreifen, bleibt ein strukturelles Risiko bestehen — unabhängig von vertraglichen Zusicherungen.
Privatim formuliert hier eine klare Mindestanforderung: Die Nutzung internationaler SaaS-Dienste ist nur dann zulässig, wenn die Verschlüsselung vollständig durch das öffentliche Organ erfolgt und der Anbieter keinen Zugang zu den Schlüsseln hat.
Transparenzdefizite globaler Anbieter
Hinzu kommt ein erhebliches Transparenzproblem. Global agierende Cloud-Konzerne operieren mit komplexen Strukturen, internationalen Subunternehmerketten und dynamischen Release- und Change-Prozessen. Schweizer Behörden können weder die konkrete Umsetzung technischer Sicherheitsmassnahmen noch den Zugriff von Mitarbeitenden oder Drittunternehmen zuverlässig überprüfen. Zusätzlich behalten sich viele Anbieter das Recht vor, Vertragsbedingungen einseitig und periodisch anzupassen.
Aus Sicht der Datenschutzaufsicht ist diese Kombination aus Intransparenz und Vertragsasymmetrie mit den Anforderungen an staatliche Rechenschaftspflicht kaum vereinbar.
US Cloud Act als rechtliches Risiko
Besonders kritisch bewerten die Datenschützer den Einfluss ausländischer Rechtsordnungen. Der US-amerikanische Cloud Act aus dem Jahr 2018 erlaubt es US-Behörden, Daten von amerikanischen Cloud-Anbietern anzufordern — selbst dann, wenn diese Daten in Rechenzentren in der Schweiz gespeichert sind. Internationale Rechtshilfeverfahren müssen dabei nicht zwingend eingehalten werden.
Für Daten, die einer gesetzlichen Geheimhaltungspflicht unterliegen, entsteht dadurch eine erhebliche Rechtsunsicherheit. Nicht jeder Cloud-Anbieter kann rechtlich als Hilfsperson im Sinne des Amts- oder Berufsgeheimnisses betrachtet werden, selbst wenn vertragliche Verschwiegenheitsklauseln bestehen.
Was die Resolution für Behörden bedeutet
Die Resolution von Privatim ist rechtlich nicht bindend, entfaltet jedoch erheblichen strategischen Druck. Sie zwingt Bundes-, Kantons- und Gemeindebehörden dazu, ihre Cloud-Strategien neu zu bewerten und Alternativen zu prüfen — etwa nationale oder souveräne Cloud-Modelle, private Clouds oder hybride Infrastrukturen mit strikter Verschlüsselung.
Die Kernaussage der Datenschützer ist eindeutig: Digitale Effizienz darf nicht auf Kosten der staatlichen Kontrolle über besonders schützenswerte Daten gehen. Für die Schweizer Verwaltung markiert die Empfehlung damit keinen technischen Rückschritt, sondern eine bewusste Priorisierung von Rechtssicherheit und Grundrechtsschutz.
Bleiben Sie informiert – Relevantes. Jeden Tag. Lesen Sie, worum es heute wirklich geht – in der Schweiz und der Welt: Wird Pragmata am 24. April 2026 das nächste große Science-Fiction-Epos der PS5