Die Digitalisierung schreitet auch in Schweizer Verwaltungen rasch voran. Immer mehr Kantone und Gemeinden nutzen Cloud-Dienste grosser US-Technologiekonzerne wie Microsoft oder Amazon. Was auf den ersten Blick effizient erscheint, kann jedoch erhebliche datenschutzrechtliche Risiken bergen. Genau davor warnt die Zürcher Datenschutzbeauftragte Dominika Blonski – und ihre Einschätzung verdient Beachtung.
Warum US-Clouds für Behörden heikel sind
Während früher grössere Zurückhaltung gegenüber US-Anbietern bestand, greifen heute zahlreiche Verwaltungen selbstverständlich zu Microsoft-365-Paketen, Azure-Services oder anderen US-Lösungen. Für einfache, nicht-sensible Daten ist das meist unproblematisch. Doch sobald es um vertrauliche oder besonders schützenswerte Informationen geht – etwa Steuerdaten, Gesundheitsinformationen oder durch das Amtsgeheimnis geschützte Inhalte – verschiebt sich die Lage deutlich.
Das zentrale Risiko: Die Rechtslage
Der US CLOUD Act von 2018 verpflichtet amerikanische Cloud-Anbieter dazu, auf Grundlage einer US-Behördenanordnung Daten herauszugeben – auch dann, wenn diese ausserhalb der USA gespeichert sind.
Für Schweizer Behörden bedeutet das:
- Selbst bei Speicherung in europäischen Rechenzentren kann rechtlich nicht ausgeschlossen werden, dass US-Behörden Zugriff verlangen.
- Solche Anordnungen unterliegen häufig Vertraulichkeitsauflagen, sodass Betroffene nicht zwingend informiert werden.
- Damit entsteht eine rechtliche Unsicherheit, die mit Schweizer und europäischen Datenschutzanforderungen kollidieren kann.
Es geht also nicht darum, dass Zugriffe regelmässig erfolgen, sondern darum, dass das Risiko eines rechtlich durchsetzbaren Zugriffs besteht – und Behörden deshalb sorgfältig abwägen müssen.
«Viele denken nicht einmal darüber nach»
Blonski beobachtet, dass Verwaltungen die Implikationen solcher Dienste häufig nicht vollständig prüfen. Verträge werden teilweise zu wenig kritisch geprüft, technische Details wie Verschlüsselung oder Zugriffsszenarien nicht umfassend abgeklärt.
Zudem behalten grosse Anbieter sich vertraglich vor, Bedingungen einseitig anzupassen – was die langfristige Kontrolle über sensible Daten zusätzlich erschwert.
Was tun? – Wege zu mehr Sicherheit
Blonski hält den Einsatz von US-Clouds nicht für generell ausgeschlossen, aber für risikobehaftet. Sie empfiehlt zwei Strategien:
1. Sensible Daten konsequent selbst verschlüsseln
Behörden sollten sicherstellen, dass besonders schützenswerte Informationen nur verschlüsselt in die Cloud gelangen – idealerweise so, dass weder der Anbieter noch Drittstaaten Zugriff erhalten können.
2. Souveräne Alternativen bevorzugen
Schweizer oder europäische Cloud-Anbieter, die nicht dem US-Recht unterstehen, bieten für viele Anwendungen ein stabileres Verhältnis zwischen Funktionalität und Datenschutz.
Oder wie Blonski es formuliert: “Die Daten anderswo sicherer zu parkieren” ist oft der zuverlässigere Ansatz.
Fazit: Digitalisierung ja – aber verantwortungsvoll
Die Zürcher Warnungen machen deutlich: Moderne IT-Infrastruktur ist kein Selbstläufer. Wer Cloud-Dienste nutzt, trägt Verantwortung für den Schutz sensibler Informationen. Behörden benötigen klare Strategien, technisches Know-how und transparente Entscheidungswege.
Die zentrale Frage lautet nicht, ob Cloud-Technologien genutzt werden sollen – sondern wie.
Und ob die Daten am Ende wirklich dort liegen, wo sie hingehören: sicher, geschützt und unter Schweizer Kontrolle.
Quelle:
SRF News: Zürcher Datenschützerin warnt vor US-Clouds für Behörden
https://www.srf.ch/news/schweiz/datenschutz-cloud-zuercher-datenschuetzerin-warnt-vor-us-clouds-fuer-behoerden