Die Konferenz der schweizerischen Datenschutzbeauftragten (privatim) hat eine Resolution zur Auslagerung von Datenbearbeitungen in die Cloud herausgegeben.
Hierbei geht es darum, dass nicht nur Private, sondern auch Behörden immer mehr Anwendungen verwenden, welche in einer fremden Cloud laufen. Bei den sogenannten Software-as-a-Service Diensten (SaaS) läuft die Software nicht auf den eigenen Computern der Anwender, sondern in einer entfernten Cloud. Die Anwender nutzen dann die entfernte Software über den eigenen Webbrowser.
Privatim kommt nun zum Ergebnis, dass die Auslagerung von besonders schützenswerten Personendaten (und geheimen Daten) in SaaS-Lösungen datenschutzrechtlichen problematisch sein kann. Dies ist aber nicht immer zwangsläufig der Fall. Vielmehr ist im Einzelfall zu beurteilen, ob die Auslagerung zulässig ist.
Für die Behörden im Kanton Thurgau erlaubt § 12 TG DSG die Bearbeitung von Personendaten durch Dritte, wenn der Datenschutz vom verantwortlichen Organ durch Vertrag oder Verfügung sichergestellt werden kann.
Soweit ein SaaS-Anbieter einen Bezug zu einem Land aufweist, welches
- den Zugriff von US-Behörden aufgrund des CLOUD Acts oder
- den Zugriff anderer ausländischer Behörden aufgrund ähnlicher Rechtserlasse (z.B. China)
zulässt, kann die nötige Vertraulichkeit nicht rechtsgenüglich sichergestellt werden. Mit diesen Anbietern kann deshalb im Bereich von besonders schützenswerten Personendaten (und von geheimen Daten) keine Regelung zu SaaS-Diensten getroffen werden. Dies hat zur Folge, dass solche Daten höchstens verschlüsselt an diese Anbieter gelangen dürfen, wobei den Anbietern kein Zugriff auf die Schlüssel gewährt werden darf.
Die Resolution ist hier herunterladbar.
Privatim kommentiert die Resolution auf der eigenen Webseite wie folgt:
- Die Auslagerung von sensitiven Personendaten durch öffentliche Organe in Cloud-Lösungen internationaler Anbieter ist in den meisten Fällen unzulässig, wie privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in der heute publizierten Resolution festhält.
- Auch bei öffentlichen Organen steigt das Interesse an zur Nutzung bereit gestellter Anwendungen, sogenannter «Software-as-a-Service» («SaaS»). Öffentliche Organe tragen eine besondere Verantwortung für die Daten ihrer Bürgerinnen und Bürger. Werden Datenbearbeitungen an Dritte ausgelagert, müssen der Datenschutz und die Informationssicherheit gewährleistet bleiben. Besonderes Augenmerk liegt dabei auf besonders schützenswerten Personendaten oder solchen, die einer gesetzlichen Geheimhaltungspflicht unterstehen.
- Bei global operierenden Unternehmen ist es für Schweizer Behörden schwierig, die Einhaltung der vertraglich festgehaltenen Pflichten bezüglich Datenschutzvorgaben sowie die Umsetzung der technischen Massnahmen zu kontrollieren. Die Nutzung von SaaS-Lösungen stellt damit einen erheblichen Kontrollverlust dar. Unterstehen Daten einer gesetzlichen Geheimhaltungspflicht, kann nicht jeder Dritte für die Auslagerung als Hilfsperson beigezogen werden. Der seit 2018 geltende CLOUD Act kann US-Anbieter verpflichten, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die entsprechende internationale Rechtshilfe einzuhalten. Dies gilt auch für Daten, die in Schweizer Rechenzentren gespeichert sind.
- Privatim hält in der Resolution als Ergebnis fest, dass die Nutzung von SaaS-Lösungen internationaler Anbieter für öffentliche Organe nur dann zulässig ist, wenn die besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten vom entsprechenden Organ selbst verschlüsselt werden. Der Cloud-Anbieter darf dabei keinen Zugang zum Schlüssel haben.
(Anmerkung des Datenschutzbeauftragten des Kantons Thurgau zur letzten Ziffer: -> Was insbesondere gegenüber Anbietern mit US- oder China-Bezug richtig ist. Es geht somit nicht darum, alle SaaS-Lösungen internationaler Anbieter zu verbieten. Es soll nur dort eingegriffen werden, wo die Vertraulichkeit (etc.) wegen dem zu weit gehenden ausländischen Recht nicht eingehalten werden kann; Details s. oben.)
(Stand: 26.11.2025)