Executive Summary: Cloud-Verbot für Schweizer Behörden?
Lange hat’s gedauert, aber nun haben auch unsere Schweizer Nachbarn ein Machtwort gesprochen: Die Schweizer Datenschutzkonferenz Privatim hat am 24. November eine weitreichende Resolution verabschiedet, die den Einsatz internationaler Cloud- und SaaS-Dienste für Behörden massiv einschränkt. Dienste wie Microsoft 365, Amazon AWS oder Google Cloud gelten für viele behördliche Datenverarbeitungen künftig als unzulässig, wenn die Daten nicht vollständig und vor allem clientseitig verschlüsselt werden, und zwar so, dass der Anbieter keinen Zugriff auf die Schlüssel hat. Ohne diese technische Voraussetzung dürfen die meisten behördlichen Datenbestände nicht mehr in einer solchen Cloud verarbeitet werden. Laut Privatim ist beispielsweise der US-Cloud Act ein nicht kontrollierbares Risiko für Schweizer Behörden, da US-Anbieter verpflichtet sein könnten, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die entsprechende internationale Rechtshilfe einzuhalten. Dies gilt dann auch für Daten, die in Schweizer Rechenzentren gespeichert sind.
Die Schweizer Behörden sollen Cloud-Dienste daher nur noch nutzen, wenn die Verarbeitung mit einer eigenen, vorgelagerten Verschlüsselung ausgestattet ist und der Anbieter keinerlei Zugriffsmöglichkeiten auf Daten oder Schlüssel erhält. Ist das nicht sichergestellt, bleibt ein Dienst wie Microsoft 365 oder AWS lediglich für unkritische Prozesse oder als reiner Speicherort ohne vertrauliche Inhalte denkbar. Wie aber ein Betrieb von etwa Microsoft Teams oder Google Cloud Diensten mit vorgelagerter Verschlüsselung aussehen soll, ist natürlich schwer vorstellbar.
Wesentliche Gründe: Cloud-Verbot für Schweiz Behörden
Die Datenschutzbeauftragten kritisieren, dass internationale Cloud-Anbieter strukturell nicht gewährleisten können, dass behördliche Daten unter schweizerischer Hoheit bleiben. Besonders problematisch ist, dass weder bei Microsoft 365 noch bei anderen großen Public-Cloud-Anbietern eine echte Ende-zu-Ende-Verschlüsselung mit vollständiger Schlüsselhoheit des Kunden gewährleistet ist. Hinzu kommen komplexe Anbieterstrukturen, mangelnde Transparenz über interne Zugriffsmöglichkeiten sowie die extraterritoriale Anwendung ausländischer Gesetze wie dem US Cloud Act, durch den US-Behörden unter bestimmten Umständen Zugriff auf Daten verlangen können, selbst wenn diese auf Servern in der Schweiz lagern. Für Schweizer Behörden widerspricht dies den Anforderungen an Geheimhaltung, Amtsgeheimnis und Informationsschutz.
Die Datenschutzkonferenz betont außerdem, dass die Prüfung globaler Anbieter kaum zuverlässig möglich sei und dass die Risiken bei hoheitlichen oder sensiblen Daten deutlich höher sind als in rein privaten Nutzungskontexten. Dadurch entstehe ein Sicherheits- und Vertrauensdefizit, das ein breites Cloud-Verbot für Schweizer Behörden notwendig gemacht habe.
Auswirkungen auf Behörden und Unternehmen in der Schweiz
Behörden in der Schweiz müssen nach dieser umfangreichen Resolution ihre Cloud-Strategien neu ausrichten. Viele bisher eingesetzte Public-Cloud-Dienste sind für sensible Daten künftig nicht mehr zulässig, was neue Anforderungen an Infrastruktur, Hosting-Modelle und IT-Architekturen mit sich bringt. Private Clouds, lokal gehostete Lösungen oder Modelle mit voller Schlüsselhoheit rücken stärker in den Fokus. Für Unternehmen, die mit Behörden zusammenarbeiten oder Dienstleistungen mit personenbezogenen oder vertraulichen Daten anbieten, steigen die Anforderungen an Hosting, Architektur und Compliance also drastisch, zumindest, wenn sie mit den Schweizer Behörden weiterhin zusammenarbeiten möchten. Was das für Governance, Risk und Compliance bedeutet, schauen wir uns gleich noch an.
Die Entscheidung zeigt zudem, dass der Trend in Richtung stärkerer staatlicher Kontrolle, Datenhoheit und restriktiverer Nutzung globaler Plattformdienste geht. Für alle Organisationen, die in regulatorischen oder datensensiblen Umfeldern arbeiten, werden Souveränität, Verschlüsselungsarchitektur und transparente Datenflüsse zu zentralen Kriterien.
Bedeutung für Governance, Risk und Compliance
Für Governance, Risk und Compliance entsteht durch das Cloud-Verbot eine deutlich höhere Verbindlichkeit für alle Unternehmen, die mit Schweizer Behörden zusammenarbeiten oder Dienstleistungen mit personenbezogenen, vertraulichen oder sicherheitsrelevanten Daten erbringen. Sie müssen nachweisen können, dass ihre eigenen Cloud- und IT-Architekturen den gleichen Anforderungen genügen wie jene der Behörden selbst: Datenhoheit, überprüfbare Verschlüsselung, klare Schlüsselverwaltung, nachvollziehbare Zugriffsprozesse und vollständige Transparenz der Datenflüsse.
Gleichzeitig steigen die Risiken bei Ausschreibungen, Audits und Vertragsprüfungen, weil jede nicht souveräne Cloud-Komponente zum Ausschlusskriterium werden kann. Unternehmen benötigen daher robuste interne Governance-Strukturen, eine klare Risikoanalyse für alle eingesetzten Dienste sowie dokumentierte Compliance-Nachweise, um weiterhin rechts- und auftragsfähig im Schweizer Behördenumfeld zu bleiben.
Beratung zum Einsatz von Cloud- und SaaS-Software in der Schweiz durch Elsen GRC
Elsen GRC unterstützt Unternehmen, öffentliche Stellen und SaaS-Anbieter in der Schweiz beim Aufbau sicherer, compliance-konformer Cloud-Strategien und Cloud-Implementierungen. Dazu gehören die Bewertung der bestehenden Cloud-Architektur, die Entwicklung datenschutzkonformer Alternativen, die Prüfung von Verschlüsselungs- und Schlüsselhoheitsmodellen sowie die Begleitung bei Migration, Governance, Risikoanalyse und technischen Schutzmaßnahmen. Ziel ist es, eine tragfähige, rechtssichere und zukunftsfähige IT-Umgebung aufzubauen, die den schweizerischen Datenschutzanforderungen entspricht. Melden Sie sich gerne für ein unverbindliches Erstgespräch.
Foto: Janosch Diggelmann – Unsplash
Quellen:
