privatim verabschiedet Resolution zu internationalen Cloud-Lösungen

Die Auslagerung von sensitiven Personendaten durch öffentliche Organe in Cloud-Lösungen internationaler Anbieter ist in den meisten Fällen unzulässig, wie privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in der heute publizierten Resolution festhält.

Auch bei öffentlichen Organen steigt das Interesse an zur Nutzung bereit gestellter Anwendungen, sogenannter «Software-as-a-Service» («SaaS»). Öffentliche Organe tragen eine besondere Verantwortung für die Daten ihrer Bürgerinnen und Bürger. Werden Datenbearbeitungen an Dritte ausgelagert, müssen der Datenschutz und die Informationssicherheit gewährleistet bleiben. Besonderes Augenmerk liegt dabei auf besonders schützenswerten Personendaten oder solchen, die einer gesetzlichen Geheimhaltungspflicht unterstehen.

Bei global operierenden Unternehmen ist es für Schweizer Behörden schwierig, die Einhaltung der vertraglich festgehaltenen Pflichten bezüglich Datenschutzvorgaben sowie die Umsetzung der technischen Massnahmen zu kontrollieren. Die Nutzung von SaaS-Lösungen stellt damit einen erheblichen Kontrollverlust dar. Unterstehen Daten einer gesetzlichen Geheimhaltungspflicht, kann nicht jeder Dritte für die Auslagerung als Hilfsperson beigezogen werden. Der seit 2018 geltende CLOUD Act kann US-Anbieter verpflichten, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die entsprechende internationale Rechtshilfe einzuhalten. Dies gilt auch für Daten, die in Schweizer Rechenzentren gespeichert sind.

Privatim hält in der Resolution als Ergebnis fest, dass die Nutzung von SaaS-Lösungen internationaler Anbieter für öffentliche Organe nur dann zulässig ist, wenn die besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten vom entsprechenden Organ selbst verschlüsselt werden. Der Cloud-Anbieter darf dabei keinen Zugang zum Schlüssel haben.

Link zur Resolution

 

Bern, 24. November 2025

 

Für Fragen stehen zur Verfügung:
Dr. iur. Dominika Blonski, Vizepräsidentin von privatim, Datenschutzbeauftragte des Kantons Zürich, datenschutz@dsb.zh.ch, 044 360 99 22
Martine Stoffel, membre du bureau de privatim, préposée cantonale à la transparence et à la protection des données du canton Fribourg, martine.stoffel@fr.ch, 079 123 58 95

Verwandte Artikel

Publikation: Übermittlun... Private Organisationen, die gemäss dem zwischen der Schweiz und den USA geltenden Data Privacy Framework zertifiziert sind, haben ein angemessenes Datenschutzniveau. Privatim gibt für kantonale und kommunale
Amazon setzt Polizei-Koop... Der Konzern fordert einen angemessenen Umgang mit seinem Produkt. Zuvor hatte es Kritik an der Gesichtserkennung gegeben. Die Software könnte Schwarze benachteiligen. 11.6.20, Die Zeit
Das revidierte Datenschut... Es ist bedauerlich, dass der Bundesrat nicht den Mut gehabt hat, souverän einen schweizerischen Weg zu suchen und einfache Datenschutzregeln aufzustellen. Beat Rudin, Bruno Baeriswyl und Claudia
Bundesgesetz über Vorlä... Vernehmlassungsantwort privatim
Datenschützer fordern Sc...             Oldenburg (dpa) – Der verantwortungsvolle Umgang mit persönlichen Daten im Internet muss aus Sicht von Datenschützern von klein auf gelernt werden.
Vernehmlassung Publikatio... privatim begrüsst es, dass die Publikation von Personendaten auf einer online zugänglichen Plattform nur dann zulässig sein soll, wenn dies in einem Gesetz im formellen Sinne vorgesehen
Die 10 Gebote der neuen D... Gesetzestexte sind nicht gerade dafür bekannt leicht verständlich zu sein. Insbesondere dann nicht, wenn es sich um europaweites Datenschutzrecht handelt. Allerdings schützt Unwissenheit vor Strafe nicht! In
Vernehmlassung Erwachsene... Mit den vorgeschlagenen Änderungen im Erwachsenenschutzrecht sollen Einschränkungen der Handlungsfähigkeit im Betreibungsregisterauszug ersichtlich werden. privatim lehnt diese Änderungen ab. Vernehmlassungsantwort als PDF
digma 2013.1 Aus den Datenschutzbehörden Die News in digma 2013.1 berichten unter anderem über die Revision der Europaratskonvention 108 sowie über die Zusammenlegung der Datenschutzbehörden der Kantone Jura und
digma 2012.2 Aus den Datenschutzbehörden Die News in digma 2012.2 berichten unter anderem von den Budgetkürzungen im Kanton Genf sowie über die Zuger Gesetzgebung zur verdeckten Chatroom Überwachung durch