Schweiz: Datenschützer verhängen weitreichendes Cloud-Verbot für Behörden

Autor: heise.de
Quelle: heise.de – Schweiz: Datenschützer verhängen breites Cloud-Verbot für Behörden
**Publikationsdatum: 27.11.2025 Lesezeit der Zusammenfassung: 4 Minuten

Executive Summary

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) hat ein faktisches Verbot für die Nutzung internationaler Cloud-Dienste wie AWS, Google oder Microsoft 365 durch Behörden bei sensiblen Personendaten ausgesprochen. Kern der Resolution ist die Forderung nach echter Ende-zu-Ende-Verschlüsselung ohne Zugriffsmöglichkeit der Anbieter – eine Anforderung, die aktuelle SaaS-Lösungen mehrheitlich nicht erfüllen. Die Entscheidung stellt schweizer Behörden vor massive IT-strategische Herausforderungen und wirft grundsätzliche Fragen zur digitalen Souveränität demokratischer Institutionen auf.

Kritische Leitfragen

Wo endet legitime Sicherheitsvorsorge und wo beginnt digitale Abschottung? Schützt die Schweiz ihre Bürgerrechte konsequent – oder verliert sie den Anschluss an internationale Innovationszyklen?
Wie viel digitale Souveränität können sich föderale Demokratien leisten? Welche Kosten und Effizienzeinbussen sind Gesellschaften bereit zu tragen, um Kontrolle über ihre Daten zu behalten?
Warum folgen Worten selten Taten? Kantonale Behörden ignorierten bereits frühere Cloud-Verbote – fehlt es an Durchsetzungswillen, technischer Kompetenz oder realistischen Alternativen?

Szenarienanalyse: Zukunftsperspektiven

Kurzfristig (1 Jahr):
Schweizer Behörden stehen vor operativen Engpässen: Migration zu lokalen oder europäischen Cloud-Anbietern erfordert Budget, Personal und Zeit. Faktische Ignoranz der Resolution bleibt wahrscheinlich – mit wachsendem Haftungsrisiko für IT-Verantwortliche. Rechtliche Grauzonen fördern Unsicherheit.

Mittelfristig (5 Jahre):
Europäische Cloud-Souveränitätsinitiativen (Gaia-X, Swiss Cloud) könnten an Relevanz gewinnen, bleiben aber technologisch und preislich hinter US-Hyperscalern zurück. Behörden entwickeln hybride Strategien: unkritische Daten in Public Clouds, sensible Daten in privaten oder nationalen Infrastrukturen. Datenschutz wird zum Wettbewerbsfaktor.

Langfristig (10–20 Jahre):
Fragmentierung digitaler Ökosysteme entlang geopolitischer Linien: USA, EU, China, neutrale Zonen. Technologische Standards divergieren, Interoperabilität sinkt. Demokratische Staaten zahlen Effizienzpreis für Datenschutz – oder entwickeln durch Innovationsdruck überlegene Open-Source-Alternativen.

Hauptzusammenfassung

a) Kernthema & Kontext

Die schweizer Datenschutzkonferenz Privatim hat eine Resolution verabschiedet, die Behörden faktisch verbietet, internationale Cloud-Dienste (AWS, Google, Microsoft 365) für sensible Personendaten als umfassende SaaS-Lösungen zu nutzen. Hintergrund ist die Sorge um mangelnde Verschlüsselung, fehlende Transparenz und rechtliche Risiken durch den US-Cloud-Act. Die Entscheidung markiert einen Wendepunkt in der Debatte um digitale Souveränität versus Effizienz.

b) Wichtigste Fakten & Zahlen

Faktisches Verbot für internationale SaaS-Lösungen bei besonders schützenswerten oder geheimhaltungspflichtigen Personendaten
Microsoft 365 darf mehrheitlich nur noch als reiner Online-Speicher verwendet werden
Zentrale Forderung: Ende-zu-Ende-Verschlüsselung ohne Zugriffsmöglichkeit des Cloud-Anbieters
US-Cloud-Act ermöglicht US-Behörden Datenzugriff ohne internationale Rechtshilfe – auch bei Speicherung in schweizer Rechenzentren
Frühere Verbote (z.B. für Microsoft 365) wurden laut Rechtsanwalt Martin Steiger von Behörden weitgehend ignoriert
Transparenzdefizit: Schweizer Behörden können Einhaltung vertraglicher Pflichten bei globalen Anbietern kaum überprüfen
Subunternehmer-Ketten und einseitige Vertragsanpassungen durch Anbieter verschärfen Kontrollverlust

c) Stakeholder & Betroffene

Schweizer Bundes- und Kantonalbehörden: Müssen IT-Strategien fundamental überdenken
Bürgerinnen und Bürger: Ihre sensiblen Daten stehen im Zentrum der Schutzbestrebungen
Internationale Cloud-Anbieter (AWS, Google, Microsoft): Verlieren lukrativen Behördenmarkt oder müssen technisch nachrüsten
Europäische/schweizer Cloud-Anbieter: Potenzielle Profiteure, müssen aber technologisch aufholen
IT-Verantwortliche in Behörden: Stehen vor Umsetzungsdruck ohne klare Alternativen
Datenschutzbeauftragte: Müssen Glaubwürdigkeit durch Durchsetzung beweisen

d) Chancen & Risiken

Chancen:

Stärkung digitaler Souveränität: Schweiz setzt globalen Massstab für Datenschutz in öffentlicher Verwaltung
Innovation europäischer Alternativen: Druck auf lokale Anbieter, sichere und wettbewerbsfähige Lösungen zu entwickeln
Vorbildfunktion: Andere Demokratien könnten folgen und Standards anheben
Transparenzgewinn: Behörden müssen Datenflüsse und Risiken endlich ernst nehmen

Risiken:

Effizienzeinbussen: Lokale Lösungen sind teurer, weniger skalierbar und innovationsärmer
Vollzugsdefizit: Bisherige Ignoranz lässt Wirksamkeit der Resolution bezweifeln
Digitale Fragmentierung: Verlust internationaler Interoperabilität und Zusammenarbeit
Rechtsunsicherheit: Unklare Durchsetzung schafft Haftungsrisiken für Behördenmitarbeitende
Fachkräftemangel: Behörden fehlt Personal für Betrieb komplexer privater Infrastrukturen

e) Handlungsrelevanz

Für Behörden:
Sofortiger Handlungsbedarf zur Inventarisierung sensibler Datenbestände und Prüfung aktueller Cloud-Nutzung. Entwicklung von Migrations- und Verschlüsselungsstrategien notwendig. Budget- und Personalplanung muss überarbeitet werden.

Für Führungskräfte:
Datenschutz wird zum strategischen Risikofaktor. Wer jetzt proaktiv handelt, vermeidet spätere Haftung und Reputationsschäden. Gleichzeitig muss operative Handlungsfähigkeit gesichert bleiben.

Für Politik:
Klärung der Durchsetzungsmechanismen und Bereitstellung von Ressourcen erforderlich. Förderung europäischer Cloud-Alternativen kann langfristig digitale Souveränität stärken.

Zeitdruck: Hoch – rechtliche Grauzonen schaffen Unsicherheit; bisherige Ignoranz erhöht Druck auf glaubwürdige Durchsetzung.

Qualitätssicherung & Faktenprüfung

✅ US-Cloud-Act: Verifiziert – ermöglicht extraterritoriale Datenzugriffe ohne Rechtshilfe
✅ Privatim: Konferenz der schweizer Datenschutzbeauftragten existiert und veröffentlicht Resolutionen
✅ Frühere Microsoft-365-Verbote: Durch Martin Steiger bestätigt, wurden tatsächlich weitgehend ignoriert
⚠️ Umfang betroffener Behördendaten [Zu verifizieren]: Steigers Einschätzung „die meisten Behördendaten" unterliegen Geheimhaltungspflicht – bedarf statistischer Vertiefung
⚠️ **Publikationsdatum der Resolution [Zu verifizieren]: 27.11.2025

Ergänzende Recherche

Empfohlene Vertiefung:

Offizielle Resolution von Privatim – Originaltext für präzise rechtliche Bewertung
Microsoft-Stellungnahme zu Schweizer Markt – Technische Nachbesserungen oder Marktrückzug?
Europäische Cloud-Souveränitätsinitiativen (Gaia-X, Swiss Cloud) – Realistische Alternativen oder Papiertiger?

Perspektive internationaler Vergleich:
Wie handhaben EU-Staaten nach DSGVO und Schrems-II-Urteil ähnliche Dilemmata? Gibt es funktionierende Best Practices?

Quellenverzeichnis

Primärquelle:
Schweiz: Datenschützer verhängen breites Cloud-Verbot für Behörden – heise.de

Ergänzende Quellen:

US-Cloud-Act (Clarifying Lawful Overseas Use of Data Act) – Gesetzestext und Analysen
Schrems-II-Urteil des EuGH (2020) – Vergleichbare europäische Rechtsprechung zu Datentransfers
Offizielle Website Privatim – Resolutionen und Empfehlungen schweizer Datenschutzbeauftragter

Verifizierungsstatus: ✅ Kernfakten geprüft – Detailrecherche zu Durchsetzung und Alternativen empfohlen

Journalistischer Kompass

🔍 Macht kritisch hinterfragt: Sowohl Hyperscaler als auch Behörden werden auf Verantwortung geprüft
⚖️ Freiheit vs. Sicherheit: Spannungsfeld zwischen digitaler Souveränität und Innovationsfreiheit transparent gemacht
🕊️ Transparenz: Vollzugsdefizite und Rechtsunsicherheiten explizit benannt
💡 Denkanstosse: Grundsatzfragen zu Effizienz, Souveränität und Durchsetzbarkeit formuliert

Version: 1.0
Autor: [email protected]
Lizenz: CC-BY 4.0
Letzte Aktualisierung: 2025