Die Auslagerung von sensitiven Personendaten durch öffentliche Organe in Cloud-Lösungen internationaler Anbieter ist in den meisten Fällen unzulässig, wie privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in der heute publizierten Resolution festhält.

Auch bei öffentlichen Organen steigt das Interesse an zur Nutzung bereit gestellter Anwendungen, sogenannter «Software-as-a-Service» («SaaS»). Öffentliche Organe tragen eine besondere Verantwortung für die Daten ihrer Bürgerinnen und Bürger. Werden Datenbearbeitungen an Dritte ausgelagert, müssen der Datenschutz und die Informationssicherheit gewährleistet bleiben. Besonderes Augenmerk liegt dabei auf besonders schützenswerten Personendaten oder solchen, die einer gesetzlichen Geheimhaltungspflicht unterstehen.

Bei global operierenden Unternehmen ist es für Schweizer Behörden schwierig, die Einhaltung der vertraglich festgehaltenen Pflichten bezüglich Datenschutzvorgaben sowie die Umsetzung der technischen Massnahmen zu kontrollieren. Die Nutzung von SaaS-Lösungen stellt damit einen erheblichen Kontrollverlust dar. Unterstehen Daten einer gesetzlichen Geheimhaltungspflicht, kann nicht jeder Dritte für die Auslagerung als Hilfsperson beigezogen werden. Der seit 2018 geltende CLOUD Act kann US-Anbieter verpflichten, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die entsprechende internationale Rechtshilfe einzuhalten. Dies gilt auch für Daten, die in Schweizer Rechenzentren gespeichert sind.

Privatim hält in der Resolution als Ergebnis fest, dass die Nutzung von SaaS-Lösungen internationaler Anbieter für öffentliche Organe nur dann zulässig ist, wenn die besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten vom entsprechenden Organ selbst verschlüsselt werden. Der Cloud-Anbieter darf dabei keinen Zugang zum Schlüssel haben.

Link zur Resolution

Bern, 24. November 2025

Für Fragen stehen zur Verfügung:
Dr. iur. Dominika Blonski, Vizepräsidentin von privatim, Datenschutzbeauftragte des Kantons Zürich, datenschutz@dsb.zh.ch, 044 360 99 22
Martine Stoffel, membre du bureau de privatim, préposée cantonale à la transparence et à la protection des données du canton Fribourg, martine.stoffel@fr.ch, 079 123 58 95

Cloudbasierte Software erscheint heute als so attraktiv wie nie. Infrastrukturen, die potenziell allen Internet-Usern zur Verfügung stehen (sog. «Public Clouds»), erlauben eine dynamische Zuweisung von Rechen- und Speicherleistungen nach dem jeweiligen Bedarf der Kunden. Dieser Skaleneffekt ist umso grösser, je weitreichender – und in der Regel auch internationaler – die Infrastruktur des Cloud-Anbieters ist (man denke an sogenannte «Hyperscaler» wie Microsoft, Google oder Amazon).
Nebst Einzelpersonen und Privatunternehmen greifen auch immer mehr öffentliche Organe auf zur direkten Nutzung bereitgestellte Anwendungen («Software-as-a-Service», kurz: SaaS) solcher Anbieter zurück. Auch lässt sich beobachten, dass Anbieter ihre Kunden vermehrt in die Cloud zu drängen versuchen.

Allerdings tragen öffentliche Organe eine besondere Verantwortung gegenüber den Daten ihrer Bürgerinnen und Bürger. Zwar dürfen sie deren Bearbeitung an Dritte auslagern, müssen dabei aber sicherstellen, dass der Datenschutz und die Informationssicherheit gewahrt bleiben. Vor einer Auslagerung von Personendaten in Cloud-Dienste müssen die Behörden deshalb unabhängig von der Sensitivität der Daten die besonderen Risiken im Einzelfall analysieren und mit geeigneten Massnahmen auf ein tragbares Mass reduzieren (vgl. Cloud-Merkblatt von privatim).

Aus folgenden Gründen hält privatim die Auslagerung von besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten in SaaS-Lösungen von grossen internationalen Anbietern durch öffentliche Organe in den meisten Fällen (wie namentlich M365) für unzulässig:

1. Die meisten SaaS-Lösungen bieten noch keine echte Ende-zu-Ende-Verschlüsselung, die einen Zugriff des Anbieters auf Klartextdaten ausschliessen würde.
2. Global operierende Firmen bieten zu wenig Transparenz, als dass Schweizer Behörden die Einhaltung der vertraglichen Pflichten betreffend Datenschutz und -sicherheit überprüfen könnten. Dies gilt für die Implementierung technischer Massnahmen und das Change-/ Release-Management gleichermassen wie für den Einsatz und die Kontrolle von Mitarbeitenden und Subunternehmen, die teils lange Ketten externer Leistungserbringer bilden. Erschwerend kommt hinzu, dass Softwareanbieter die Vertragsbedingungen periodisch einseitig anpassen können.
3. Mit der Nutzung von SaaS-Anwendungen geht deshalb ein erheblicher Kontrollverlust einher. Das öffentliche Organ kann die Wahrscheinlichkeit einer Verletzung von Grundrechten nicht beeinflussen. Es kann nur die Schwere potenzieller Rechtsverletzungen mindern, indem es besonders schützenswerte Daten nicht aus dem von ihm kontrollierbaren Herrschaftsbereich herausgibt.
4. Bei Daten, die unter einer gesetzlichen Geheimhaltungspflicht stehen, besteht teilweise eine erhebliche Rechtsunsicherheit, inwieweit diese überhaupt in Cloud-Dienste ausgelagert werden dürfen. Nicht jeder Dritte kann als Hilfsperson beigezogen werden, nur weil die Vorschriften des Strafrechts über das Amts- und das Berufsgeheimnis auch die Hilfspersonen von Geheimnisträgern zur Verschwiegenheit verpflichten.
5. US-Anbieter können aufgrund des 2018 erlassenen CLOUD Act dazu verpflichtet werden, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die Regeln der internationalen Rechtshilfe einzuhalten – selbst, wenn diese Daten in Schweizer Rechenzentren gespeichert sind.

Fazit: Die Nutzung internationaler SaaS-Lösungen für besonders schützenswerte oder einer gesetzlichen Geheimhaltungspflicht unterstehende Personendaten durch öffentliche Organe ist nur dann möglich, wenn die Daten vom verantwortlichen Organ selbst verschlüsselt werden und der Cloud- Anbieter keinen Zugang zum Schlüssel hat.

Resolution als PDF lesen.

Bern, 18. November 2025
Der Kanton Glarus hat von der Möglichkeit zum «opting out» nach Art. 18.2 der Statuten Gebrauch gemacht.

Private Organisationen, die gemäss dem zwischen der Schweiz und den USA geltenden Data Privacy Framework zertifiziert sind, haben ein angemessenes Datenschutzniveau.

Privatim gibt für kantonale und kommunale Öffentliche Organisationen Empfehlungen im Zusammenhang mit der Auslagerung von Daten an zertifizierte Organisationen ab.

Übermittlung von Personendaten an Organisationen in den USA auf der Grundlage des Swiss-US Data Privacy Framework

Aufgrund der Datenschutzrevisionen in Europa – vor allem die Modernisierung der Europarats-Konvention 108+ und der Erlass der schengen-relevanten EU-Richtlinie 2016/680 für die justizielle und polizeiliche Zusammenarbeit – müssen auch die Datenschutzgesetze der Kantone den neuen Anforderungen angepasst werden. Einen Überblick über den Stand der Revisionen gibt diese periodisch aktualisierte Liste.

Der Regierungsrat des Kantons Basel-Stadt hat sich für die Nutzung der Microsoft 365 Cloud in der kantonalen Verwaltung entschieden. Die Datenschutzbeauftragte des Kantons Basel-Stadt hat den Regierungsrat in mehreren Stellungnahmen zur Microsoft 365 Cloud beraten und damit verbundene Risiken aufgezeigt. In einer Medienmitteilung äussert sich die Datenschutzbeauftragte zum Entscheid des Regierungsrates.

Aufgrund der Datenschutzrevisionen in Europa – vor allem die Modernisierung der Europarats-Konvention 108+ und der Erlass der schengen-relevanten EU-Richtlinie 2016/680 für die justizielle und polizeiliche Zusammenarbeit – müssen auch die Datenschutzgesetze der Kantone den neuen Anforderungen angepasst werden. Einen Überblick über den Stand der Revisionen gibt diese periodisch aktualisierte Liste.

Bern, 15.12.2022 – Wahlen und Abstimmungen auf allen föderalen Stufen der Schweiz spielen sich in der globalen Realität der Digitalisierung ab. Die Akteure der politischen Meinungsbildung nutzen deren Potentiale, um ihre Botschaften bei den Stimmberechtigten möglichst adressatenspezifisch abzusetzen. Dies ist mit hohen Risiken für die Selbstbestimmung und Privatsphäre der Betroffenen verbunden. Ein aktualisierter Leitfaden sorgt rechtzeitig vor den Eidgenössischen Wahlen 2023 für Orientierung.

Wer Daten im Kontext von Wahlen und Abstimmungen bearbeitet, muss sich bewusst sein, dass Informationen zu politischen und weltanschaulichen Ansichten sowohl im geltenden, als auch im neuen Bundesgesetz über den Datenschutz als besonders schützenswert eingestuft werden. Das neue Gesetz wird am 1. September 2023 – also kurz vor Durchführung der anstehenden eidgenössischen Erneuerungswahlen – in Kraft treten.

Mit der Aktualisierung ihres Leitfadens unterstreichen der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und die Konferenz der schweizerischen Datenschutzbeauftragten (privatim) insbesondere die herausragende Bedeutung, die dem datenschutzrechtlichen Grundsatz der Transparenz im Kontext mit Wahlen und Abstimmungen zukommt: Die Stimmberechtigten haben ein Recht darauf, nachvollziehen zu können, aufgrund welcher digitaler Bearbeitungsmethoden und Technologien sie angesprochen werden.

Leitfaden Wahlen und Abstimmungen – Aktualisierung Dezember 2022

In den vergangenen Monaten haben verschiedene kantonale Regierungen Entscheide zur Nutzung von «Microsoft 365» (M365) in der Verwaltung publiziert. Der Beschluss des Regierungsrats des Kantons Zürich (RRB 542/2022 vom 30. März 2022) hat dabei eine breite Aufmerksamkeit gefunden.

privatim hat im Februar 2022 ein «Merkblatt Cloud-spezifische Risiken und Massnahmen» publiziert, das den öffentlichen Organen insbesondere auch die Beurteilung des Einsatzes von M365 ermöglichen soll. Der Entscheid des Regierungsrates des Kantons Zürich bedeutet für die öffentlichen Organe grundsätzlich nicht, dass sie vom Inhalt und dem empfohlenen Vorgehen in diesem Merkblatt abweichen können. Dies wird in Äusserungen zum Entscheid suggeriert, weshalb privatim sich veranlasst sieht, zu einigen Punkten des RRB, die in diesem Sinne eine Wirkung über den Kanton Zürich hinaus haben, Stellung zu beziehen.

privatim hat die neuen Entwicklungen und Erkenntnisse im Zusammenhang mit Cloud Computing zum Anlass genommen, sein Merkblatt zu den cloud-spezifischen Risiken und Massnahmen gründlich zu überarbeiten. Am 3. Februar 2022 hat das Büro von privatim die neue Version 3.0 verabschiedet. Sie ersetzt die Version 2.1 vom 17. Dezember 2019.

Das überarbeitete Merkblatt findet sich hier.

Bern, 28.01.2021 – Das revidierte Datenschutzgesetz (DSG) wirft seine Schatten voraus. Es wird voraussichtlich im Jahr 2022 in Kraft treten und führt schon heute zu einem Modernisierungsdruck auf die kantonalen Datenschutzgesetze. Beim Übergang zum neuen Recht arbeiten die Datenschutzorgane von Bund und Kantonen eng und pragmatisch zusammen. Im dynamischen Spannungsfeld der Pandemie wirken sie darauf hin, die Einschränkungen auf das private und selbstbestimmte Leben, welches durch die Digitalisierung bereits unter Druck steht, möglichst gering zu halten.

Die Bevölkerung ist heute einer immer weitreichenderen sowie stärker automatisierten und personalisierten Datenbearbeitung ausgesetzt. War bislang die globale Digitalisierung aller Lebensbereiche der zentrale Treiber dieser Entwicklung, so gesellte sich im Jahr 2020 die Pandemie hinzu, welche das Gros der Bevölkerung hinter die Bildschirme der digitalen Heimarbeit verbannte. In diesem spannungsgeladenen Umfeld setzen sich die Datenschutzbeauftragten von Bund und Kantonen für den Erhalt des privaten und selbstbestimmten Lebens ein, welches die Bundesverfassung der Bevölkerung garantiert. 

(weiterlesen…)

Die Auslagerung von sensitiven Personendaten durch öffentliche Organe in Cloud-Lösungen internationaler Anbieter ist in den meisten Fällen unzulässig, wie privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in der heute publizierten Resolution festhält.

Auch bei öffentlichen Organen steigt das Interesse an zur Nutzung bereit gestellter Anwendungen, sogenannter «Software-as-a-Service» («SaaS»). Öffentliche Organe tragen eine besondere Verantwortung für die Daten ihrer Bürgerinnen und Bürger. Werden Datenbearbeitungen an Dritte ausgelagert, müssen der Datenschutz und die Informationssicherheit gewährleistet bleiben. Besonderes Augenmerk liegt dabei auf besonders schützenswerten Personendaten oder solchen, die einer gesetzlichen Geheimhaltungspflicht unterstehen.

Bei global operierenden Unternehmen ist es für Schweizer Behörden schwierig, die Einhaltung der vertraglich festgehaltenen Pflichten bezüglich Datenschutzvorgaben sowie die Umsetzung der technischen Massnahmen zu kontrollieren. Die Nutzung von SaaS-Lösungen stellt damit einen erheblichen Kontrollverlust dar. Unterstehen Daten einer gesetzlichen Geheimhaltungspflicht, kann nicht jeder Dritte für die Auslagerung als Hilfsperson beigezogen werden. Der seit 2018 geltende CLOUD Act kann US-Anbieter verpflichten, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die entsprechende internationale Rechtshilfe einzuhalten. Dies gilt auch für Daten, die in Schweizer Rechenzentren gespeichert sind.

Privatim hält in der Resolution als Ergebnis fest, dass die Nutzung von SaaS-Lösungen internationaler Anbieter für öffentliche Organe nur dann zulässig ist, wenn die besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten vom entsprechenden Organ selbst verschlüsselt werden. Der Cloud-Anbieter darf dabei keinen Zugang zum Schlüssel haben.

Link zur Resolution

Bern, 24. November 2025

Für Fragen stehen zur Verfügung:
Dr. iur. Dominika Blonski, Vizepräsidentin von privatim, Datenschutzbeauftragte des Kantons Zürich, datenschutz@dsb.zh.ch, 044 360 99 22
Martine Stoffel, membre du bureau de privatim, préposée cantonale à la transparence et à la protection des données du canton Fribourg, martine.stoffel@fr.ch, 079 123 58 95

Cloudbasierte Software erscheint heute als so attraktiv wie nie. Infrastrukturen, die potenziell allen Internet-Usern zur Verfügung stehen (sog. «Public Clouds»), erlauben eine dynamische Zuweisung von Rechen- und Speicherleistungen nach dem jeweiligen Bedarf der Kunden. Dieser Skaleneffekt ist umso grösser, je weitreichender – und in der Regel auch internationaler – die Infrastruktur des Cloud-Anbieters ist (man denke an sogenannte «Hyperscaler» wie Microsoft, Google oder Amazon).
Nebst Einzelpersonen und Privatunternehmen greifen auch immer mehr öffentliche Organe auf zur direkten Nutzung bereitgestellte Anwendungen («Software-as-a-Service», kurz: SaaS) solcher Anbieter zurück. Auch lässt sich beobachten, dass Anbieter ihre Kunden vermehrt in die Cloud zu drängen versuchen.

Allerdings tragen öffentliche Organe eine besondere Verantwortung gegenüber den Daten ihrer Bürgerinnen und Bürger. Zwar dürfen sie deren Bearbeitung an Dritte auslagern, müssen dabei aber sicherstellen, dass der Datenschutz und die Informationssicherheit gewahrt bleiben. Vor einer Auslagerung von Personendaten in Cloud-Dienste müssen die Behörden deshalb unabhängig von der Sensitivität der Daten die besonderen Risiken im Einzelfall analysieren und mit geeigneten Massnahmen auf ein tragbares Mass reduzieren (vgl. Cloud-Merkblatt von privatim).

Aus folgenden Gründen hält privatim die Auslagerung von besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten in SaaS-Lösungen von grossen internationalen Anbietern durch öffentliche Organe in den meisten Fällen (wie namentlich M365) für unzulässig:

1. Die meisten SaaS-Lösungen bieten noch keine echte Ende-zu-Ende-Verschlüsselung, die einen Zugriff des Anbieters auf Klartextdaten ausschliessen würde.
2. Global operierende Firmen bieten zu wenig Transparenz, als dass Schweizer Behörden die Einhaltung der vertraglichen Pflichten betreffend Datenschutz und -sicherheit überprüfen könnten. Dies gilt für die Implementierung technischer Massnahmen und das Change-/ Release-Management gleichermassen wie für den Einsatz und die Kontrolle von Mitarbeitenden und Subunternehmen, die teils lange Ketten externer Leistungserbringer bilden. Erschwerend kommt hinzu, dass Softwareanbieter die Vertragsbedingungen periodisch einseitig anpassen können.
3. Mit der Nutzung von SaaS-Anwendungen geht deshalb ein erheblicher Kontrollverlust einher. Das öffentliche Organ kann die Wahrscheinlichkeit einer Verletzung von Grundrechten nicht beeinflussen. Es kann nur die Schwere potenzieller Rechtsverletzungen mindern, indem es besonders schützenswerte Daten nicht aus dem von ihm kontrollierbaren Herrschaftsbereich herausgibt.
4. Bei Daten, die unter einer gesetzlichen Geheimhaltungspflicht stehen, besteht teilweise eine erhebliche Rechtsunsicherheit, inwieweit diese überhaupt in Cloud-Dienste ausgelagert werden dürfen. Nicht jeder Dritte kann als Hilfsperson beigezogen werden, nur weil die Vorschriften des Strafrechts über das Amts- und das Berufsgeheimnis auch die Hilfspersonen von Geheimnisträgern zur Verschwiegenheit verpflichten.
5. US-Anbieter können aufgrund des 2018 erlassenen CLOUD Act dazu verpflichtet werden, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die Regeln der internationalen Rechtshilfe einzuhalten – selbst, wenn diese Daten in Schweizer Rechenzentren gespeichert sind.

Fazit: Die Nutzung internationaler SaaS-Lösungen für besonders schützenswerte oder einer gesetzlichen Geheimhaltungspflicht unterstehende Personendaten durch öffentliche Organe ist nur dann möglich, wenn die Daten vom verantwortlichen Organ selbst verschlüsselt werden und der Cloud- Anbieter keinen Zugang zum Schlüssel hat.

Resolution als PDF lesen.

Bern, 18. November 2025
Der Kanton Glarus hat von der Möglichkeit zum «opting out» nach Art. 18.2 der Statuten Gebrauch gemacht.

A new report by the Irish Council for Civil Liberties (ICCL) uncovers a paralysis at the heart of the EU General Data Protection Regulation (GDPR) and reveals why data protection authorities (DPAs) are unable to police how big tech firms use people’s data. Its conclusion: The European Commission has the duty to intervene. 
Report: The Irish Council for Civil Liberties (ICCL), September 2021
Video: https://vimeo.com/601138490

In Europa, aber auch in den USA werden immer mehr kartellrechtliche Verfahren gegen Plattformkonzerne wie Google, Facebook, Apple oder Amazon lanciert. Internationale Kooperation würde sie noch effektiver machen.

28.5.21, Tages-Anzeiger

We can have democracy, or we can have a surveillance society, but we cannot have both, writes Shoshana Zuboff, professor emeritus at Harvard Business School and author of “The Age of Surveillance Capitalism.

29.01.2021, New York Times