privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, hat am 24.11.2025 eine “Resolution zur Auslagerung von Datenbearbeitungen in die Cloud” veröffentlicht. privatim hat sich bereits früher wiederholt zum Thema Cloud geäussert.
Die Motivation dazu ist wohl in den Entwicklungen in den letzten Monaten zu suchen, insbesondere in den Kantonen Luzern oder Basel-Stadt oder Zürich. Dass sich die unabhängigen Datenschutzbeauftragten nun via privatim zum Thema äussern, dürfte also auch der politischem Drucksituation zuzuschreiben sein (und auch der kürzliche Deal der USA mit der Schweiz bzw. dessen datenbezogenen Inhalte kann dabei eine Rolle gespielt haben). Bemerkenswert ist immerhin, dass der Kanton Glarus – aus bisher unbekannten Gründen – die Resolution nicht mitträgt.
Inhaltlich dürfte die strenge Haltung von privatim von Zürich beeinflusst sein (die Zürcher Datenschutzbeauftragte ist auch Ansprechperson für Rückfragen). Es drängen sich aber Anmerkungen auf:
- Anwendungsbereich und faktisches Verbot: Die Resolution versucht augenscheinlich, nicht zu apodiktisch zu klingen, wirkt in der Sache aber sehr absolut und scheint fast eine Lex Microsoft etablieren zu wollen – jedenfalls wird nur M365 als Technologie bzw Angebot namentlich genannt. In der Sache trifft die Resolution allerdings alle SaaS-Angebote mit potentieller Kenntnisnahme durch ausländische Provider. Immerhin: Die Resolution sagt nicht explizit, der Einsatz der Cloud durch kantonale Organe sei verboten. Im Umkehrschluss bestätigt sie vielmehr, dass der Einsatz der Cloud rechtlich grundsätzlich zulässig ist. Sie verlangt bei besonders schützenswerten Personendaten oder besonderen Amtsgeheimnissen aber, dass die entsprechenden Daten vom Organ verschlüsselt werden und der Anbieter keinen Zugriff auf den Schlüssel hat. Das entspricht einem Verbot von SaaS-Lösungen für solche Daten.
- Verabsolutierung des Schutzbedarfs: Dass besonders schützenswerte Personendaten in der Cloud besonders gefährdet sind, kann nicht behauptet werden. US-Geheimdienste werden sich eher etwa für Zahlungs- oder Telekommunikationsdaten als für Gesundheitsdaten interessieren. Die Resolution geht auch darüber hinweg, dass der Bundesrat den Schutz für nach dem “Swiss-US Data Privacy Framework” zertifizierte US-Unternehmen bewusst als angemessen anerkennt.
- Fehlende rechtliche Begründung: Die Resolution begründet ihre Aussagen nicht. Sie arbeitet mit einer petitio principii, wenn sie behauptet, das auslagernde Organ könne nur “die Schwere potenzieller Rechtsverletzungen” mildern. Die Frage wäre ja, ob eine Rechtsverletzung überhaupt vorliegt. Dazu wäre die Frage zu beantworten, ob Kontrolle und Datensicherheit bei einem Hyperscaler trotz theoretisch möglichem Behördenzugriff nicht höher einzustufen sind als bei realistischen Alternativen mit allen Schwächen, die diese aufweisen können. Das Ergebnis einer solchen beidseits realistischen Nettobetrachtung wäre auf seine rechtliche Zulässigkeit zu prüfen. Diese Frage kann nicht mit einem Hinweis auf mögliche Zugriffe durch US-Behörden beiseitegewischt werden. Grundrechte haben einen Kerngehalt, der in die Rechtsanwendung ausstrahlt. Ausserhalb des Kernbereichs sind Kompromisse unvermeidlich und zulässig. Das gilt auch im Rahmen der Verwaltungsführung. Ein Eingriff ausserhalb des Kerngehalts ist nur dann grundsätzlich ausgeschlossen, wenn eine gleichwertige Alternative ohne solchen Eingriff zur Verfügung steht.
- Beizug von Hilfspersonen: Der Beizug von Hilfspersonen ist auch bei Amtsgeheimnissen grundsätzlich nicht verboten. Dass dabei nicht alle Fragen klar sind, heisst noch lange nicht, dass “erhebliche Rechtsunsicherheit” herrscht. Auch ist die Haltung der Zürcher Behörde schlecht begründet, die sich in der Resolution spiegelt, ein grosser Anbieter könne nicht als Hilfsperson beigezogen werden. Das mag eine Fernwirkung der verfehlten, historisch bedingten Bestimmung von § 3 Abs. 1 des Zürcher Gesetzes über die Auslagerung von Informatikdienstleistungen sein. Und dass die wachsende Zahl kantonaler Angestellter Geheimnisse so viel besser wahrt als Mitarbeitende der Hyperscaler, wird man kaum behaupten dürfen.
Ein per se-Verbot von Lösungen mit Auslandsbezug für bestimmte Daten wäre ein politischer Entscheid. Ein solches Verbot obläge dem Gesetzgeber und nicht etwa die Inkaufnahme gewisser Risiken, die auch bei Binnenlösungen unvermeidbar sind und die in einem gewissen Mass selbstverständlich hingenommen werden.