privatim verabschiedet Resolution zu internationalen Cloud-Lösungen

Montag, 24. November 2025

Die Auslagerung von sensitiven Personendaten durch öffentliche Organe in Cloud-Lösungen internationaler Anbieter ist in den meisten Fällen unzulässig, wie privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in der heute publizierten Resolution festhält.

Auch bei öffentlichen Organen steigt das Interesse an zur Nutzung bereit gestellter Anwendungen, sogenannter «Software-as-a-Service» («SaaS»). Öffentliche Organe tragen eine besondere Verantwortung für die Daten ihrer Bürgerinnen und Bürger. Werden Datenbearbeitungen an Dritte ausgelagert, müssen der Datenschutz und die Informationssicherheit gewährleistet bleiben. Besonderes Augenmerk liegt dabei auf besonders schützenswerten Personendaten oder solchen, die einer gesetzlichen Geheimhaltungspflicht unterstehen.

Bei global operierenden Unternehmen ist es für Schweizer Behörden schwierig, die Einhaltung der vertraglich festgehaltenen Pflichten bezüglich Datenschutzvorgaben sowie die Umsetzung der technischen Massnahmen zu kontrollieren. Die Nutzung von SaaS-Lösungen stellt damit einen erheblichen Kontrollverlust dar. Unterstehen Daten einer gesetzlichen Geheimhaltungspflicht, kann nicht jeder Dritte für die Auslagerung als Hilfsperson beigezogen werden. Der seit 2018 geltende CLOUD Act kann US-Anbieter verpflichten, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die entsprechende internationale Rechtshilfe einzuhalten. Dies gilt auch für Daten, die in Schweizer Rechenzentren gespeichert sind.

Privatim hält in der Resolution als Ergebnis fest, dass die Nutzung von SaaS-Lösungen internationaler Anbieter für öffentliche Organe nur dann zulässig ist, wenn die besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten vom entsprechenden Organ selbst verschlüsselt werden. Der Cloud-Anbieter darf dabei keinen Zugang zum Schlüssel haben.

Link zur Resolution

Bern, 24. November 2025

Für Fragen stehen zur Verfügung:
Dr. iur. Dominika Blonski, Vizepräsidentin von privatim, Datenschutzbeauftragte des Kantons Zürich, datenschutz@dsb.zh.ch, 044 360 99 22
Martine Stoffel, membre du bureau de privatim, préposée cantonale à la transparence et à la protection des données du canton Fribourg, martine.stoffel@fr.ch, 079 123 58 95

Verwandte Artikel

digma 2014.2 Aus den Datenschutzbehörden Die zweiten News des Jahres 2014 berichten über den vom Kanton Basel-Stadt durchgeführten Passwort-Check, das neue Öffentlichkeitsgesetz des Kantons Zug und die Umfrage des

Oberster Datenschützer w... Der oberste Datenschützer, Adrian Lobsiger, fordert von Staat und Unternehmen, dass die Corona-Krise keine bleibenden Beeinträchtigungen der Selbstbestimmung und der Privatsphäre der Bevölkerung zur Folge haben dürfe.

Zwei neue Vorlagen zur Be... Der Bundesrat will mit dem Vorentwurf zu einem Bundesgesetz über Vorläuferstoffe für explosionsfähige Stoffe (Vorläuferstoffgesetz, VSG) und dem Vorentwurf zu einem Bundesgesetz über polizeiliche Massnahmen zur Bekämpfung

Vernehmlassung zur Genehm... Vernehmlassung von privatim, der Konferenz der schweizerischen Datenschutzbeauftragten, zur «Genehmigung und Umsetzung des Haager Unterhaltsübereinkommens und -protokolls von 2007 und Bundesgesetz zur Verbesserung der nationalen Inkassohilfe bei

Digitalisierung braucht w... Am heutigen ersten Schweizer Digitaltag werden zu Recht die Chancen der Digitalisierung hervorgehoben. privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, bekräftigt die Wichtigkeit der Digitalisierung für die Schweizer

Why Should Americans Care... We are all in this together, argues Tim Edgar in this opinion piece: In the digital age, the only way to protect the privacy of Americans is to protect

Digitale Zusammenarbeit: ... Der weitgehende Lockdown zur Bewältigung der Corona-Krise hatte (und hat teils noch immer) aus Datenschutzsicht zwei Abweichungen vom gewohnten Zustand zur Folge: Einerseits konnte die stets erforderliche

Publikation: Resolution z... Cloudbasierte Software erscheint heute als so attraktiv wie nie. Infrastrukturen, die potenziell allen Internet-Usern zur Verfügung stehen (sog. «Public Clouds»), erlauben eine dynamische Zuweisung von Rechen- und

digma 2011.1 Aus den Datenschutzbehörden Die News in digma 2011.1 berichten von der Stellungnahme der Joint Supervisory Authority of Schengen zum Thema «Hotelmeldescheine», berichten zum Thema «live@edu» und enthalten

Resolution: Fehlende Ress... Am 20. Dezember 2019 beschliesst nach dem Bundesrat auch die Konferenz der Kantonsregierungen (KdK) die neue E-Government-Strategie von Bund, Kantonen und Gemeinden für die Jahre 2020–2023. Damit