privatim verabschiedet Resolution zu internationalen Cloud-Lösungen

Die Auslagerung von sensitiven Personendaten durch öffentliche Organe in Cloud-Lösungen internationaler Anbieter ist in den meisten Fällen unzulässig, wie privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in der heute publizierten Resolution festhält.

Auch bei öffentlichen Organen steigt das Interesse an zur Nutzung bereit gestellter Anwendungen, sogenannter «Software-as-a-Service» («SaaS»). Öffentliche Organe tragen eine besondere Verantwortung für die Daten ihrer Bürgerinnen und Bürger. Werden Datenbearbeitungen an Dritte ausgelagert, müssen der Datenschutz und die Informationssicherheit gewährleistet bleiben. Besonderes Augenmerk liegt dabei auf besonders schützenswerten Personendaten oder solchen, die einer gesetzlichen Geheimhaltungspflicht unterstehen.

Bei global operierenden Unternehmen ist es für Schweizer Behörden schwierig, die Einhaltung der vertraglich festgehaltenen Pflichten bezüglich Datenschutzvorgaben sowie die Umsetzung der technischen Massnahmen zu kontrollieren. Die Nutzung von SaaS-Lösungen stellt damit einen erheblichen Kontrollverlust dar. Unterstehen Daten einer gesetzlichen Geheimhaltungspflicht, kann nicht jeder Dritte für die Auslagerung als Hilfsperson beigezogen werden. Der seit 2018 geltende CLOUD Act kann US-Anbieter verpflichten, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die entsprechende internationale Rechtshilfe einzuhalten. Dies gilt auch für Daten, die in Schweizer Rechenzentren gespeichert sind.

Privatim hält in der Resolution als Ergebnis fest, dass die Nutzung von SaaS-Lösungen internationaler Anbieter für öffentliche Organe nur dann zulässig ist, wenn die besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten vom entsprechenden Organ selbst verschlüsselt werden. Der Cloud-Anbieter darf dabei keinen Zugang zum Schlüssel haben.

Link zur Resolution

 

Bern, 24. November 2025

 

Für Fragen stehen zur Verfügung:
Dr. iur. Dominika Blonski, Vizepräsidentin von privatim, Datenschutzbeauftragte des Kantons Zürich, datenschutz@dsb.zh.ch, 044 360 99 22
Martine Stoffel, membre du bureau de privatim, préposée cantonale à la transparence et à la protection des données du canton Fribourg, martine.stoffel@fr.ch, 079 123 58 95

Verwandte Artikel

Überarbeitetes privatim-... privatim hat die neuen Entwicklungen und Erkenntnisse im Zusammenhang mit Cloud Computing zum Anlass genommen, sein Merkblatt zu den cloud-spezifischen Risiken und Massnahmen gründlich zu überarbeiten. Am 3. Februar 2022 hat das
Swiss health authority ha... Decentralized Privacy-Preserving Proximity Tracing would enable coronavirus contact tracing without compromising user privacy. Decrypt, 21.4.20
Click dystopia This recent TED Talk offers a clear-eyed look at the implications that artificial intelligence and big data have for democracy and privacy. Zeynep Tufekci, a techno-sociologist, contends
Vernehmlassung zur Teilre... Stellungnahme von privatim, der Konferenz der schweizerischen Datenschutzbeauftragten, zur Teilrevision der Bundesverfassung und Änderung des Bundesgesetzes über die polizeilichen Informationssysteme des Bundes. Für allfällige Fragen steht Ihnen
Vernehmlassung zur Euroda... Stellungnahme von privatim, der Konferenz der schweizerischen Datenschutzbeauftragten, zur Eurodac-Verordnung im Zusammenhang mit der Übernahme und der Umsetzung des europäischen Pakts über Migration und Asyl (Weiterentwicklung des
Vernehmlassung zur interk... Stellungnahme von privatim, der Konferenz der schweizerischen Datenschutzbeauftragten, zur interkantonalen Vereinbarung zur polizeilichen Informationshilfe mittels gemeinsamer Abfrageplattform «POLAP+». Für allfällige Fragen steht Ihnen der Präsident von privatim
Verwendung der AHV-Versic... Generelle Verwendung der AHV-Versichertennummer Aus Sicht des Datenschutzes ist die Verwendung der AHV-Versichertennummer in den Kantonen als genereller Personenidentifikator durch eine sorgfältige Gesetzgebungsarbeit demokratisch zu legitimieren. Der
Unabhängige Datenschutza... Eine unabhängige Datenschutzaufsicht im Staatsschutz fehlt nach wie vor Im Bereich des Staatsschutzes ist eine unabhängige und wirksame Datenschutzkontrolle nicht möglich. privatim, die Vereinigung der schweizerischen Datenschutzbeauftragten
Vernehmlassung Statistike... Für privatim ist die Datenverknüpfungsverordnung aus rechtsstaatlicher Sicht in verschiedenen Punkten problematisch. Vernehmlassungsantwort als PDF
Stand der Revisionen der ... Aufgrund der Datenschutzrevisionen in Europa – vor allem die Modernisierung der Europarats-Konvention 108+ und der Erlass der schengen-relevanten EU-Richtlinie 2016/680 für die justizielle und polizeiliche Zusammenarbeit –