privatim verabschiedet Resolution zu internationalen Cloud-Lösungen

Die Auslagerung von sensitiven Personendaten durch öffentliche Organe in Cloud-Lösungen internationaler Anbieter ist in den meisten Fällen unzulässig, wie privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in der heute publizierten Resolution festhält.

Auch bei öffentlichen Organen steigt das Interesse an zur Nutzung bereit gestellter Anwendungen, sogenannter «Software-as-a-Service» («SaaS»). Öffentliche Organe tragen eine besondere Verantwortung für die Daten ihrer Bürgerinnen und Bürger. Werden Datenbearbeitungen an Dritte ausgelagert, müssen der Datenschutz und die Informationssicherheit gewährleistet bleiben. Besonderes Augenmerk liegt dabei auf besonders schützenswerten Personendaten oder solchen, die einer gesetzlichen Geheimhaltungspflicht unterstehen.

Bei global operierenden Unternehmen ist es für Schweizer Behörden schwierig, die Einhaltung der vertraglich festgehaltenen Pflichten bezüglich Datenschutzvorgaben sowie die Umsetzung der technischen Massnahmen zu kontrollieren. Die Nutzung von SaaS-Lösungen stellt damit einen erheblichen Kontrollverlust dar. Unterstehen Daten einer gesetzlichen Geheimhaltungspflicht, kann nicht jeder Dritte für die Auslagerung als Hilfsperson beigezogen werden. Der seit 2018 geltende CLOUD Act kann US-Anbieter verpflichten, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die entsprechende internationale Rechtshilfe einzuhalten. Dies gilt auch für Daten, die in Schweizer Rechenzentren gespeichert sind.

Privatim hält in der Resolution als Ergebnis fest, dass die Nutzung von SaaS-Lösungen internationaler Anbieter für öffentliche Organe nur dann zulässig ist, wenn die besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten vom entsprechenden Organ selbst verschlüsselt werden. Der Cloud-Anbieter darf dabei keinen Zugang zum Schlüssel haben.

Link zur Resolution

 

Bern, 24. November 2025

 

Für Fragen stehen zur Verfügung:
Dr. iur. Dominika Blonski, Vizepräsidentin von privatim, Datenschutzbeauftragte des Kantons Zürich, datenschutz@dsb.zh.ch, 044 360 99 22
Martine Stoffel, membre du bureau de privatim, préposée cantonale à la transparence et à la protection des données du canton Fribourg, martine.stoffel@fr.ch, 079 123 58 95

Verwandte Artikel

Vernehmlassung zur Euroda... Stellungnahme von privatim, der Konferenz der schweizerischen Datenschutzbeauftragten, zur Eurodac-Verordnung im Zusammenhang mit der Übernahme und der Umsetzung des europäischen Pakts über Migration und Asyl (Weiterentwicklung des
Staaten sind nicht machtl... In Europa, aber auch in den USA werden immer mehr kartellrechtliche Verfahren gegen Plattformkonzerne wie Google, Facebook, Apple oder Amazon lanciert. Internationale Kooperation würde sie noch effektiver
Eine Chance zur Stärkung... Stellungnahme von privatim zum Vernehmlassungs­entwurf für ein totalrevidiertes Datenschutzgesetz des Bundes privatim begrüsst den Vorentwurf zur Totalrevision des Datenschutzgesetzes (DSG). Er ist eine Chance, das Datenschutzrecht den
digma 2011.2 Aus den Datenschutzbehörden Die News in digma 2011.2 berichten über SwissDRG und enthalten Informationen über personelle Änderungen in den Datenschutzbehörden der Kantone sowie über zahlreiche Gesetzgebungsprojekte (Artikel
Digitale Zusammenarbeit w... Zurzeit suchen Verwaltungen und Schulen dringend nach digitalen Lösungen, mit denen die Zusammenarbeit während der ausserordentlichen Lage aufgrund der Corona-Krise gewährleistet werden kann. Ausserordentliche Lagen verlangen auch
L’utilisation du numér... Communiqué de presse       Dans plus de 14’000 bases de données gouvernementales le numéro d’AVS (AVSN13) est utilisé comme identificateur personnel supplémentaire. Une expertise de
Leitfaden Biometrische Ve... Der Einsatz biometrischer Verfahren darf nur im Rahmen verfassungsmässiger Grundsätze erfolgen. Die Erfassung biometrischer Daten ist an enge Zweckbindungsregeln zu knüpfen – auch auf technischer Ebene muss
Medienmitteilung Datensch... Der Regierungsrat des Kantons Basel-Stadt hat sich für die Nutzung der Microsoft 365 Cloud in der kantonalen Verwaltung entschieden. Die Datenschutzbeauftragte des Kantons Basel-Stadt hat den Regierungsrat
Vernehmlassung Carrier Sa... privatim begrüsst es, dass die Nutzung des API-Systems durch das Bundesamt für Migration bzw. durch die zuständigen Grenzkontrollbehörden in einem Gesetz im formellen Sinne verankert werden soll.
Zürcher O-Bike-Daten fli... Eine Datenanalyse des «Tages-Anzeigers» zeigt, dass der Velo-Leihdienst O-Bike ist nicht nur am Geld ihrer Kunden interessiert ist, sondern auch fleissig ihre Nutzerdaten sammelt und in regelmässigen Abständen