privatim verabschiedet Resolution zu internationalen Cloud-Lösungen

Die Auslagerung von sensitiven Personendaten durch öffentliche Organe in Cloud-Lösungen internationaler Anbieter ist in den meisten Fällen unzulässig, wie privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in der heute publizierten Resolution festhält.

Auch bei öffentlichen Organen steigt das Interesse an zur Nutzung bereit gestellter Anwendungen, sogenannter «Software-as-a-Service» («SaaS»). Öffentliche Organe tragen eine besondere Verantwortung für die Daten ihrer Bürgerinnen und Bürger. Werden Datenbearbeitungen an Dritte ausgelagert, müssen der Datenschutz und die Informationssicherheit gewährleistet bleiben. Besonderes Augenmerk liegt dabei auf besonders schützenswerten Personendaten oder solchen, die einer gesetzlichen Geheimhaltungspflicht unterstehen.

Bei global operierenden Unternehmen ist es für Schweizer Behörden schwierig, die Einhaltung der vertraglich festgehaltenen Pflichten bezüglich Datenschutzvorgaben sowie die Umsetzung der technischen Massnahmen zu kontrollieren. Die Nutzung von SaaS-Lösungen stellt damit einen erheblichen Kontrollverlust dar. Unterstehen Daten einer gesetzlichen Geheimhaltungspflicht, kann nicht jeder Dritte für die Auslagerung als Hilfsperson beigezogen werden. Der seit 2018 geltende CLOUD Act kann US-Anbieter verpflichten, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die entsprechende internationale Rechtshilfe einzuhalten. Dies gilt auch für Daten, die in Schweizer Rechenzentren gespeichert sind.

Privatim hält in der Resolution als Ergebnis fest, dass die Nutzung von SaaS-Lösungen internationaler Anbieter für öffentliche Organe nur dann zulässig ist, wenn die besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten vom entsprechenden Organ selbst verschlüsselt werden. Der Cloud-Anbieter darf dabei keinen Zugang zum Schlüssel haben.

Link zur Resolution

 

Bern, 24. November 2025

 

Für Fragen stehen zur Verfügung:
Dr. iur. Dominika Blonski, Vizepräsidentin von privatim, Datenschutzbeauftragte des Kantons Zürich, datenschutz@dsb.zh.ch, 044 360 99 22
Martine Stoffel, membre du bureau de privatim, préposée cantonale à la transparence et à la protection des données du canton Fribourg, martine.stoffel@fr.ch, 079 123 58 95

Verwandte Artikel

Amazon setzt Polizei-Koop... Der Konzern fordert einen angemessenen Umgang mit seinem Produkt. Zuvor hatte es Kritik an der Gesichtserkennung gegeben. Die Software könnte Schwarze benachteiligen. 11.6.20, Die Zeit
Medienmitteilung Datensch... Zunehmende Vermessung der Privatsphäre bei der Mobilität – neues Datenschutzgesetz überfällig Unsere Gesellschaft stellt hohe Ansprüche an eine multimodale und zugleich nachhaltige Mobilität. Digitale Grossprojekte stossen indessen
digma 2015.2 Schlusstakt Ehrenwert vielleicht – aber auch korrekt? Über den grundrechtlich geschützten Anspruch jeder Person auf Zugang zu ihren eigenen Personendaten. Von Beat Rudin, Artikel als PDF
Eidgenössische Wahlen 2... Bern, 15.12.2022 – Wahlen und Abstimmungen auf allen föderalen Stufen der Schweiz spielen sich in der globalen Realität der Digitalisierung ab. Die Akteure der politischen Meinungsbildung nutzen
Oberster Datenschützer w... Der oberste Datenschützer, Adrian Lobsiger, fordert von Staat und Unternehmen, dass die Corona-Krise keine bleibenden Beeinträchtigungen der Selbstbestimmung und der Privatsphäre der Bevölkerung zur Folge haben dürfe.
Smartphone: Weg aus der C... Von unseren Smartphones erhobene Geo- und Gesundheitsdaten könnten wesentlich zur Überwindung der Corona-Krise beitragen. NZZ, 14.4.20
Zweite Vernehmlassung zur... Stellungnahme von privatim, der Konferenz der schweizerischen Datenschutzbeauftragten, zur zweiten Vernehmlassung zur interkantonalen Vereinbarung über den Informationsaustausch im Freiheitsentzug. Für allfällige Fragen steht Ihnen der Präsident von
Überarbeitetes privatim-... privatim hat sein im Februar 2019 veröffentlichtes Merkblatt zu den cloud-spezifischen Risiken und Massnahmen ergänzt um Ausführungen zum US CLOUD Act. Nach diesem Erlass müssen dem CLOUD
Vernehmlassung zur Änder... Stellungnahme von privatim, der Konferenz der schweizerischen Datenschutzbeauftragten, zur Änderung der Verordnung über die Krankenversicherung und Totalrevision der Verordnung über die Kostenermittlung und die Leistungserfassung durch Spitäler,
Warum wir gerade jetzt ei... Corona provoziert eine Reihe politischer Tabubrüche, auch beim Datenschutz. Das alles geschieht unglaublich schnell, die gesellschaftliche Diskussion kann kaum mithalten. Deshalb müssen digitale Grundrechte jetzt auf der