Schweiz: Datenschützer verhängen breites Cloud-Verbot für Behörden

Die Konferenz der schweizerischen Datenschutzbeauftragten, Privatim, hat in einer Resolution die Einsetzbarkeit internationaler Cloud-Dienste – insbesondere Hyperscaler wie AWS, Google oder Microsoft – für eidgenössische Behörden massiv eingeschränkt. Im Kern läuft die Entschließung vom Montag auf ein faktisches Verbot der Nutzung dieser Dienste als umfassende Software-as-a-Service (SaaS)-Lösungen hinaus, sobald besonders schützenswerte oder gesetzlich geheimhaltungspflichtige Personendaten im Spiel sind. Größtenteils dürften Ämter Anwendungen wie das verbreitete Microsoft 365 damit nur noch als Online-Speicher verwenden.

Hintergrund der Position ist die besondere Verantwortung öffentlicher Organe für die Daten ihrer Bürger. Während Cloud-Dienste durch ihre Skaleneffekte und dynamische Zuweisung von Ressourcen äußerst attraktiv erscheinen, sehen die Datenschützer bei der Auslagerung sensibler Daten in internationale Public Clouds erhebliche Risiken. Unabhängig von der Sensitivität der Informationen müssten Behörden zwar stets solche Gefahren analysieren und reduzieren, doch bei besonders schützenswerten oder geheimhaltungspflichtigen Daten in SaaS-Lösungen großer internationaler Anbieter hält Privatim die Auslagerung in den meisten Fällen für unzulässig.

Als Hauptgründe nennen die Experten den mangelnden Schutz durch unzureichende Verschlüsselung und den damit einhergehenden Kontrollverlust. Die meisten SaaS-Lösungen böten noch keine echte Ende-zu-Ende-Verschlüsselung, die einen Zugriff des Cloud-Anbieters auf Klartextdaten ausschließen würde. Dies ist jedoch die zentrale Forderung: Die Nutzung ist demnach nur zulässig, wenn die Daten vom öffentlichen Organ selbst verschlüsselt werden und der Cloud-Betreiber keinen Zugang zum Schlüssel hat.

Bedenken wegen Cloud Act

Weiterer Punkt ist die geringe Transparenz global operierender Firmen. Schweizer Behörden könnten die Einhaltung vertraglicher Pflichten hinsichtlich Datenschutz und -sicherheit kaum überprüfen, heißt es. Das betreffe sowohl die Implementierung technischer Maßnahmen als auch die Kontrolle von Mitarbeitenden und Subunternehmen, die teils lange Ketten externer Leistungserbringer bilden. Dazu komme erschwerend, dass Softwareanbieter die Vertragsbedingungen periodisch einseitig anpassen.

Besondere Sorge bereitet Privatim der US-Cloud-Act. Dieser kann dortige Anbieter zur Herausgabe von Kundendaten an nationale Behörden verpflichten, selbst wenn die Daten in Schweizer Rechenzentren gespeichert sind. Regeln der internationalen Rechtshilfe müssten dabei nicht eingehalten werden, monieren die Kontrolleure. Dies schaffe insbesondere bei Daten, die einer Geheimhaltungspflicht unterstehen, eine erhebliche Rechtsunsicherheit.

Nach Ansicht des Rechtsanwalts Martin Steiger unterliegen die meisten Behördendaten einer Geheimhaltungspflicht. Eine sinnvolle Nutzung vieler Cloud-Dienste mit durchgehender Verschlüsselung sei zudem kaum möglich. Es bleibe aber abzuwarten, ob die Aufsichtsbehörden diesmal ihren Worten Taten folgen lassen. Kantonale Kontrolleure hätten bereits in der Vergangenheit die Nutzung von Microsoft 365 grundsätzlich für unzulässig erklärt, was kaum Folgen gehabt habe. Dennoch stellt die Resolution die Behörden vor Herausforderungen rund um ihre IT-Strategie.

(mki)