Die Konferenz der schweizerischen Datenschutzbeauftragten „privatim“ nahm in einer Publikation nun Stellung zu der Nutzung von Cloud-Diensten wie MS365, AWS und Google und sprach eine klare Empfehlung gegen die Nutzung solcher Dienste aus.
Privatim spricht das Thema an aufgrund dessen an, dass immer mehr Privatpersonen, Privatunternehmen, aber auch öffentliche Organe wie Behörden auf Cloud-Dienste als „Software-as-a-Service“ (SaaS), und dabei in der Regel auf große internationale Anbieter, zurückgreifen, wie etwa Google, Microsoft und Amazon Web Services.
Dabei betont privatim, dass gerade öffentliche Organe eine besondere Verantwortung tragen, wenn es um den Umgang von (personenbezogenen) Daten von Bürger*innen geht. Auch bei der Nutzung von Cloud-Diensten müssten die Behörden sicherstellen, dass bei der Nutzung von Cloud-Diensten der Schutz der sensiblen Daten ausreichend gewährleistet wird, und dass Risiken, die mit einer solchen Nutzung einhergehen, in den Einzelfällen durch verschiedene Maßnahmen auf ein Minimum beschränkt werden können.
Privatim führt folgende Gründe auf, weshalb aus ihrer Sicht die Auslagerung von besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten in SaaS-Lösungen von großen internationalen Anbietern durch öffentliche Organe in den meisten Fällen (wie bspw. MS365) unzulässig sei:
„1. Die meisten SaaS-Lösungen bieten noch keine echte Ende-zu-Ende-Verschlüsselung, die einen Zugriff des Anbieters auf Klartextdaten ausschliessen würde.
2. Global operierende Firmen bieten zu wenig Transparenz, als dass Schweizer Behörden die Einhaltung der vertraglichen Pflichten betreffend Datenschutz und -sicherheit überprüfen könnten. Dies gilt für die Implementierung technischer Massnahmen und das Change-/ Release-Management gleichermassen wie für den Einsatz und die Kontrolle von Mitarbeitenden und Subunternehmen, die teils lange Ketten externer Leistungserbringer bilden. Erschwerend kommt hinzu, dass Softwareanbieter die Vertragsbedingungen periodisch einseitig anpassen können.
3. Mit der Nutzung von SaaS-Anwendungen geht deshalb ein erheblicher Kontrollverlust einher. Das öffentliche Organ kann die Wahrscheinlichkeit einer Verletzung von Grundrechten nicht beeinflussen. Es kann nur die Schwere potenzieller Rechtsverletzungen mindern, indem es besonders schützenswerte Daten nicht aus dem von ihm kontrollierbaren Herrschaftsbereich herausgibt.
4. Bei Daten, die unter einer gesetzlichen Geheimhaltungspflicht stehen, besteht teilweise eine erhebliche Rechtsunsicherheit, inwieweit diese überhaupt in Cloud-Dienste ausgelagert werden dürfen. Nicht jeder Dritte kann als Hilfsperson beigezogen werden, nur weil die Vorschriften des Strafrechts über das Amts- und das Berufsgeheimnis auch die Hilfspersonen von Geheimnisträgern zur Verschwiegenheit verpflichten.
5. US-Anbieter können aufgrund des 2018 erlassenen CLOUD Act dazu verpflichtet werden, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die Regeln der internationalen Rechtshilfe einzuhalten – selbst, wenn diese Daten in Schweizer Rechenzentren gespeichert sind.
Fazit: Die Nutzung internationaler SaaS-Lösungen für besonders schützenswerte oder einer gesetzlichen Geheimhaltungspflicht unterstehende Personendaten durch öffentliche Organe ist nur dann möglich, wenn die Daten vom verantwortlichen Organ selbst verschlüsselt werden und der Cloud- Anbieter keinen Zugang zum Schlüssel hat.“
Die Schweiz ist zwar nicht Mitglied der EU und untersteht damit auch nicht direkt den Vorschriften der DSGVO. Für die Schweiz besteht jedoch ein Angemessenheitsbeschluss der EU-Kommission, der bescheinigt, dass die Schweiz ein – mit Blick auf die DSGVO – angemessenes Datenschutzniveau aufweist. Die Beurteilung und Empfehlung der Konferenz der schweizerischen Datenschutzbeauftragten privatim kann damit auch einen Ausblick und Einblick geben, wie die Nutzung durch öffentliche Behörden oder auch Privatunternehmen solcher (internationalen) Cloud-Dienste in Deutschland und anderen EU-Ländern ebenfalls bewertet werden könnte.
Quelle: privatim, Publikation vom 24.11.2025 – Resolution zur Auslagerung von Datenbearbeitungen in die Cloud