Verbietet die Schweiz Microsoft 365 in Behörden?

Die schweizerische Datenschutzkonferenz Privatim schränkt die Nutzung von US-Hyperscalern wie AWS, Google oder Microsoft massiv ein. Wir beleuchten die Hintergründe der Resolution – und erklären, was das für den Datenschutz bedeutet.

Warum warnen Schweizer Datenschützer vor US-Cloud-Diensten?

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) sieht erhebliche Risiken bei der Auslagerung sensibler Daten in internationale Public Clouds. In einer aktuellen Resolution bewerten die Expertinnen und Experten den Einsatz von Software-as-a-Service (SaaS)-Lösungen faktisch als unzulässig, sobald besonders schützenswerte oder geheimhaltungspflichtige personenbezogene Daten (in der Schweiz „Personendaten“ genannt) betroffen sind.

Der Hauptgrund liegt im technischen Zugriff: Viele SaaS-Lösungen bieten noch keine echte Ende-zu-Ende-Verschlüsselung. Dies bedeutet, dass der Cloud-Anbieter theoretisch Zugriff auf Klartextdaten hat. Eine zulässige Nutzung setzt voraus, dass die Behörde die Daten selbst verschlüsselt und der Betreiber keinen Schlüssel besitzt.

Welche Rolle spielt der US CLOUD Act?

Zentrale Kritikpunkte sind die mangelnde Transparenz und der weitreichende Zugriff durch US-Behörden. Der sogenannte US Cloud Act verpflichtet US-amerikanische Anbieter zur Herausgabe von Kundendaten, selbst wenn diese physisch in Schweizer Rechenzentren liegen. Internationale Rechtshilfeabkommen finden dabei oft keine Anwendung.

Für Schweizer Behörden entsteht hierdurch eine erhebliche Rechtsunsicherheit, da sie die Einhaltung vertraglicher Pflichten kaum überprüfen können. Auch die langen Ketten von Subunternehmen entziehen sich oft einer wirksamen Kontrolle. Dies ist auch aus Sicht der DSGVO relevant, die in Art. 44 DSGVO und Art. 46 DSGVO strenge Anforderungen an Datentransfers in Drittländer stellt.

Wie reagieren die Behörden und ist eine Nutzung noch möglich?

Die Resolution stellt Behörden vor große Herausforderungen in ihrer IT-Strategie. Anwendungen wie Microsoft 365 dürften demnach vielfach nur noch als reiner Online-Speicher genutzt werden. Die Möglichkeiten im Überblick:

• Verbot: Umfassende SaaS-Lösungen für besonders schützenswerte Daten ohne eigene Verschlüsselungshoheit.
• Erlaubt: Nutzung als Speicher, sofern eine Verschlüsselung durch die Behörde erfolgt und der Schlüssel beim Nutzer verbleibt.
• Reaktion: Die Schweizer Bundeskanzlei weist darauf hin, dass die Resolution rechtlich nicht bindend für die Bundesverwaltung sei, betont jedoch, dass sensible Daten dort ohnehin nicht in der Public Cloud bearbeitet werden.

FAQ

Gilt das sofort als Verbot für alle Cloud-Dienste?

Nein. Der Kern betrifft laut Text vor allem umfassendes SaaS bei besonders schützenswerten oder geheimhaltungspflichtigen Personendaten.

Reicht „EU-Region“ als Absicherung?

Allein der Speicherort löst das Schlüssel- und Zugriffsthema nicht, da der Anbieter weiter technisch oder rechtlich Zugriff erhalten kann.

Fazit: Die Schweiz und Microsoft 365

Die Empfehlung der Schweizer Datenschützer unterstreicht die Problematik: Wie lassen sich Datenschutzstandards mit der Nutzung globaler US-Hyperscaler vereinen?

Als WS Datenschutz GmbH beobachten wir diese Entwicklungen genau. Denn die Thematik betrifft zwar aktuell nur die Schweiz, kann aber auch deutsche Aufsichtsbehörden dazu veranlassen, diesen Schritt zu prüfen.

Wir unterstützen Sie dabei, Ihre Cloud-Strategie rechtssicher zu gestalten und notwendige Sicherheitsmaßnahmen wie Verschlüsselungskonzepte oder Standardvertragsklauseln zu implementieren.