Was bedeutet die Schweizer Cloud-Resolution für Europa

CLOUD-Act, Datenhoheit und die Schweiz: Ein Wendepunkt für europäische IT-Strategien?

von

In der Schweiz ist Mitte November etwas passiert, das in dieser Form kaum jemand erwartet hat: Die Datenschutzbeauftragten des Landes haben eine klare, beinahe schon historische Resolution verabschiedet. Die Botschaft dahinter ist einfach – und gleichzeitig hoch brisant: Behörden sollen ihre sensibelsten Daten nicht mehr bedenkenlos in internationale Cloud-Dienste wie Microsoft 365 auslagern. Warum das?

Weil die Verantwortung für besonders vertrauliche Daten – Gesundheitsakten, Sozialfälle, strafrechtliche Ermittlungen, interne Dokumente – nicht an Unternehmen abgegeben werden darf, die den Zugriff auf diese Daten technisch niemals vollständig ausschließen können. Genau das ist der Kern der Schweizer Entscheidung. Man muss nicht tief im IT-Thema stecken, um die Grundidee zu verstehen. Früher lagen wichtige Akten in einem verschlossenen Aktenschrank im Rathaus. Heute stehen dieselben Daten oft irgendwo im Ausland – auf Servern großer US-Konzerne, die wiederum eigene Partnerfirmen und Sub-Unternehmen einbeziehen. Und selbst wenn diese Anbieter versichern, alles sei sicher: Die Behörde selbst kann das nicht mehr wirklich überprüfen.

Gesellschaftsthemen der Gegenwart

Dazu kommt ein Punkt, der in der öffentlichen Debatte oft untergeht: US-Unternehmen können durch amerikanische Gesetze wie den sogenannten CLOUD Act gezwungen werden, Daten herauszugeben – selbst dann, wenn diese Daten eigentlich in Europa gespeichert sind. Für europäische Staaten, und erst recht für ein Land wie die Schweiz, das traditionell großen Wert auf Unabhängigkeit legt, ist das ein schweres Geschütz. Vor diesem Hintergrund haben die Schweizer Datenschutzbehörden nun deutlich gesagt:

Wenn eine Behörde Daten speichert, die besonders geschützt sind oder sogar unter das Amtsgeheimnis fallen, dann darf kein anderer – auch kein Cloud-Anbieter – darauf zugreifen können. Und solange es keine echte Ende-zu-Ende-Verschlüsselung gibt, bei der die Behörde allein die Schlüssel verwaltet, ist das mit den heutigen Cloud-Diensten schlicht nicht machbar.

Die Schweiz zieht damit die Reißleine – aus Vorsicht, aus Tradition und aus einem tief verankerten Verständnis dafür, dass staatliche Daten ein besonders hohes Gut sind. Und interessanterweise schauen nun auch deutsche Behörden, Datenschutzbeauftragte und IT-Verantwortliche sehr genau hin, ob sich hier ein neuer Standard abzeichnet.

Was die Schweizer Resolution wirklich sagt

Wie Heise Online und Inside IT berichteten, ist der Träger dieser Entscheidung die Datenschutzkonferenz privatim, ein Zusammenschluss aus dem eidgenössischen Datenschutzbeauftragten und allen kantonalen Aufsichtsstellen. Ihre Beschlüsse sind zwar keine Gesetze, aber sie haben enormes Gewicht. In der Praxis setzen viele Behörden ihre Vorgaben so um, als wären sie verbindlich – denn sie geben an, was aus Sicht des Datenschutzes zulässig und verantwortbar ist. An wen richtet sich die Resolution? Die Zielgruppe sind öffentliche Stellen:

  • Bundesbehörden
  • kantonale Ämter
  • Gemeinden
  • Gerichte
  • staatliche Institutionen

Private Unternehmen sind von der Resolution formal nicht betroffen. Aber: Wenn die Maßstäbe für staatliche Einrichtungen so streng angesetzt werden, wird sich die Privatwirtschaft künftig schwer tun, deutlich laxer vorzugehen – gerade in Bereichen wie Gesundheit, Bildung oder Versicherungen.

Die Kernbotschaft: Sensible Daten gehören nicht in internationale Clouds

Die Resolution formuliert es zwar vorsichtig, aber unmissverständlich: Die meisten sensiblen Behördendaten dürfen nicht in Cloud-Dienste ausgelagert werden, solange die Anbieter technisch Zugriff haben könnten. Und das betrifft nicht irgendwelche Nischenanwendungen, sondern genau jene Cloud-Produkte, die viele Verwaltungen inzwischen als Standard nutzen, darunter:

  • Microsoft 365
  • Google Workspace
  • diverse SaaS-Anwendungen internationaler Anbieter

Der Knackpunkt ist immer derselbe: Es fehlt eine echte Ende-zu-Ende-Verschlüsselung, bei der die Behörde die Schlüssel besitzt und der Anbieter technisch ausgeschlossen ist. Solange der Cloud-Dienst selbst Updates ausrollt, Konfigurationen vornimmt oder im Supportfall Administratorrechte hat, bleibt ein theoretischer Zugriff bestehen – und der reicht den Schweizer Datenschützern als Risiko völlig aus.

Warum die Schweiz diese Linie zieht

Die Schweizer Entscheidung folgt einer klaren Logik, die man mit einem klassischen, fast altmodischen Grundsatz zusammenfassen könnte:
Was nicht im eigenen Machtbereich ist, kann man auch nicht wirklich schützen. Drei Motive stehen dabei im Mittelpunkt:

  • Schutz staatlicher Hoheit: Staatliche Daten sind ein Fundament der Souveränität. Wenn internationale Anbieter – womöglich noch unter ausländischer Gerichtsbarkeit – theoretisch darauf zugreifen könnten, verliert der Staat ein Stück dieser Souveränität.
  • Schutz des Amtsgeheimnisses: Gerade in der Schweiz hat das Amtsgeheimnis einen hohen Stellenwert. Es soll nicht nur politische Intrigen verhindern, sondern auch das Vertrauen der Bürger sichern. Sobald Daten das Land verlassen, wird dieses Vertrauen schwieriger zu gewährleisten.
  • Schutz besonders sensibler Personendaten: Gesundheitsdaten, Polizeiakten, Sozialfälle – all das sind Bereiche, in denen ein unbefugter Zugriff gravierende Folgen hätte. Und selbst das geringste Risiko wird hier als untragbar bewertet.

Welche Daten sind besonders betroffen?

Die Resolution spricht ausdrücklich von:

  • besonders schützenswerten Personendaten
  • Daten mit gesetzlicher Geheimhaltungspflicht (Amtsgeheimnis)
  • Daten aus Polizei, Justiz, Sozialwesen, Gesundheit, Verwaltung

Für solche Informationen fordert die Resolution einen Standard, den heutige SaaS-Systeme nicht bieten: vollständige Verschlüsselung unter alleiniger Kontrolle der Behörde. Ohne diesen Standard ist die Auslagerung in internationale Clouds „in den meisten Fällen unzulässig“ – so die Formulierung.

Was bleibt Behörden überhaupt noch?

Rein technisch bleibt ihnen nur ein schmaler Korridor:

  • Cloud-Speicher mit eigener, vorgelagerter Verschlüsselung
  • Betrieb eigener Schlüssel-Infrastruktur
  • oder vollständig lokale Lösungen, also On-Premise oder Schweizer Anbieter

Das bedeutet nicht, dass Behörden gar keine Cloud mehr nutzen dürfen. Aber sie müssen sicherstellen, dass der Anbieter keine Möglichkeit hat, die Daten im Klartext zu lesen. Und genau das ist in der Praxis bei den meisten modernen Cloud-Tools so gut wie nicht umsetzbar, weil diese Systeme ihre Funktionen nur entfalten können, wenn sie die Daten selbst verarbeiten. Damit sagt die Schweiz indirekt:

„Nutzt die Cloud sparsam, und nur dort, wo ihr sie wirklich kontrollieren könnt.“

Und das ist, für sich genommen, schon ein bemerkenswerter Schritt – einer, der auch außerhalb der Schweiz für Diskussionen sorgt.

Die fünf Kernargumente – von fehlender Ende-zu-Ende-Verschlüsselung bis zur Vertragslotterie

1. Fehlende echte Ende-zu-Ende-Verschlüsselung

Der wichtigste Punkt ist zugleich der einfachste: Solange ein Cloud-Anbieter technisch auf Daten zugreifen kann, ist die Nutzung für besonders sensible Informationen nicht zulässig. Und genau hier scheitern praktisch alle internationalen SaaS-Angebote – selbst dann, wenn sie sich „sicher“, „zertifiziert“ oder „datenschutzkonform“ nennen. Warum? Weil Dienste wie Microsoft 365, Google Workspace oder andere große Cloud-Plattformen nur funktionieren, wenn sie die Daten unserer Arbeit verarbeiten können: Dokumente, Mails, Kalender, Besprechungen, Chats. Die Systeme analysieren, durchsuchen, synchronisieren und verbinden Inhalte – das ist ihr Geschäftsmodell.

Eine echte Ende-zu-Ende-Verschlüsselung, bei der die Behörde allein den Schlüssel besitzt und der Anbieter keinen Einblick hat, würde diese Funktionen weitgehend unmöglich machen. Genau deshalb bieten die Anbieter in diesem Punkt keine vollständige Trennung an. Und deshalb sagen die Schweizer Datenschützer:

„Solange das nicht möglich ist, können wir solche Systeme nicht guten Gewissens einsetzen.“

2. Intransparente Subunternehmerketten und fehlende Kontrolle

Große Cloud-Anbieter arbeiten mit einem riesigen Netzwerk an Subunternehmen. Diese Strukturen sind oft global verteilt, verändern sich regelmäßig und sind für Außenstehende kaum nachvollziehbar. Selbst wenn ein Behördenvertrag mit Microsoft oder Google vorliegt, gilt im Hintergrund oft Folgendes:

  • weitere Firmen liefern Support
  • externe Teams übernehmen Wartungsarbeiten
  • andere Dienstleister hosten oder verwalten Teile der Infrastruktur

Für eine Behörde bedeutet das: Sie kann nicht genau wissen, wer wann Zugriff hat oder haben könnte. Und das widerspricht dem Grundsatz, dass eine öffentliche Stelle jederzeit nachvollziehen können muss, wo ihre Daten liegen und wer darauf potenziell zugreifen kann. Die Schweizer Behörden haben diesen Punkt bewusst betont, weil Transparenz und Verantwortlichkeit eng miteinander verbunden sind.

3. Einseitige Vertragsänderungen – die Cloud als juristische Wackelbasis

Ein oft übersehener Risikofaktor ist die Vertragsgestaltung. Viele Cloud-Anbieter behalten sich vor, ihre Geschäftsbedingungen jederzeit zu ändern – teils mit sehr kurzer Vorlaufzeit. Für private Unternehmen kann man das noch irgendwie akzeptieren, aber:

Für Behörden gilt das Prinzip der Vorhersehbarkeit. Die Verwaltung muss dokumentieren und rechtfertigen können, welche Daten wie verarbeitet werden. Wenn sich die Rahmenbedingungen aber spontan ändern – weil der Anbieter neue Klauseln einfügt oder bestehende einschränkt – entsteht eine Situation, in der die Behörde ihre eigene Rechtskonformität nicht mehr sicher beurteilen kann.

Diese „Vertragslotterie“ empfinden die Schweizer Datenschützer als unvereinbar mit staatlichen Pflichten. Ein Staat kann sich nicht auf Geschäftsmodelle verlassen, die jederzeit – ohne Mitbestimmung – verändert werden können.

4. Kontrollverlust und Grundrechtsrisiko

Sobald Daten das Land verlassen oder außerhalb des eigenen Verantwortungsbereichs verarbeitet werden, entsteht ein Risiko: Der Staat verliert einen Teil seiner Kontrolle.

Das mag auf den ersten Blick abstrakt erscheinen, ist aber im Alltag sehr konkret: Wenn ein Fehler passiert, wenn Daten kompromittiert werden oder wenn eine juristische Auseinandersetzung entsteht, kann eine Behörde nicht mehr sicherstellen, dass sie ohne fremde Hilfe auskommt. Und genau das widerspricht der Grundidee einer funktionierenden öffentlichen Verwaltung:

Ein Staat muss im Ernstfall selbst handeln können – ohne von externen Unternehmen oder fremden Rechtsordnungen abhängig zu sein. Die Schweizer Datenschützer denken hier traditionell, fast altmodisch – und gerade das macht ihre Position so konsequent. Staatliche Aufgaben bleiben staatliche Aufgaben. Und staatliche Daten gehören in staatliche Hände.

5. Der US CLOUD Act – das Herzstück der Bedenken

Der CLOUD Act ist der vielleicht wichtigste Hintergrund dieser ganzen Diskussion. Dieses US-Gesetz verpflichtet amerikanische Unternehmen, auf Anfrage Daten an US-Behörden herauszugeben – auch dann, wenn diese Daten im Ausland gespeichert sind und eigentlich dem Schutz ausländischer Gesetze unterliegen. Für die Schweiz ist das ein absolutes No-Go.

Denn damit wäre es theoretisch möglich, dass US-Behörden Zugang zu sensiblen Schweizer Verwaltungsdaten erhalten, ohne Schweizer Gerichte oder Behörden einzubeziehen. Selbst wenn die Cloud-Anbieter beteuern, dass sie solche Daten nur unter strengen Auflagen herausgeben, bleibt das Grundproblem bestehen:

Die Behörde verliert die Hoheit über ihre Daten – allein durch die Wahl des technischen Dienstleisters. Für ein Land, das seine Unabhängigkeit traditionell hochhält, ist das ein Risiko, das man nicht eingehen will. Und genau diesen Punkt bringen die Schweizer Datenschützer sehr klar zur Sprache.


Schweiz gegen Microsoft 365 – und Deutschland schaut genau hin | heise & c’t

Schweiz versus EU – zwei Wege im Umgang mit Microsoft 365

Während die Schweiz eine sehr zurückhaltende Linie fährt und Behörden explizit davor warnt, sensible Daten in internationale SaaS-Dienste auszulagern, verfolgt die Europäische Union einen anderen Ansatz. Man versucht dort, durch Abkommen, vertragliche Nachbesserungen und technische Anpassungen einen Mittelweg zu finden – einen, der Cloud-Dienste nicht grundsätzlich verbietet, sondern sie durch Auflagen „brauchbar“ machen soll.

Dieser Unterschied ist bemerkenswert und sagt viel darüber aus, wie unterschiedlich Staaten mit der Frage der digitalen Souveränität umgehen.

Die Schweiz: Vorsicht, Datenhoheit und eine klare Grenze

Die Schweizer Position lässt sich in einem Satz zusammenfassen:

„Was ich nicht kontrollieren kann, gebe ich nicht aus der Hand.“

Damit bleibt die Schweiz bei einem traditionellen Grundsatz: Staatliche Daten – insbesondere geheime oder besonders schützenswerte – bleiben im Land oder werden so verschlüsselt, dass niemand außer der Behörde selbst Zugriff hat. Es ist eine bewusste Rückbesinnung auf alte Prinzipien, übertragen auf die Gegenwart der digitalen Welt.

Die EU: Verträge, Ausnahmegenehmigungen und Kompromisslösungen

Die Europäische Union geht einen anderen Weg. Sie will die Vorteile großer Cloud-Plattformen nutzen, ohne sie völlig zu verbannen. Dafür werden:

  • neue Verträge ausgehandelt
  • Datenschutzzusicherungen ergänzt
  • Kontrollmechanismen und Audits eingeführt
  • technische Garantien nachgeliefert

Beispielhaft ist die Entscheidung des Europäischen Datenschutzbeauftragten, dass die EU-Kommission Microsoft 365 unter bestimmten Bedingungen datenschutzkonform einsetzen darf. Ähnliches hört man inzwischen aus mehreren Mitgliedstaaten – darunter auch aus Teilen Deutschlands. Der Grundgedanke:

„Wir regulieren die Cloud, statt sie zu verbieten.“

Aber dieser Ansatz beruht auf Vertrauen in die Anbieter – und darauf, dass die Komplexität beherrschbar bleibt. Kritiker halten dagegen: Je größer die Plattform, desto schwerer die Kontrolle.

Deutschland zwischen beiden Welten

Deutschland steht zwischen Stuhl und Bank. Manche Landesdatenschutzbehörden sind eher vorsichtig, andere praktischer orientiert.
Im Schulbereich etwa gab es schon strenge Entscheidungen gegen Microsoft 365, während auf Bundesebene eher an Lösungen gearbeitet wird, die den Einsatz ermöglichen. Ergebnis: ein Flickenteppich.

Genau deshalb schauen viele nun auf die Schweizer Linie – weil sie erstmals einen klaren Maßstab setzt, statt sich durch Kompromisse zu arbeiten.

Zwei Philosophien prallen aufeinander

Wenn man es auf den Punkt bringt, stehen sich zwei Denkschulen gegenüber:

  1. Die Schweizer Tradition: „Unsere Daten bleiben bei uns – oder sie bleiben verschlüsselt, und niemand sonst sieht sie.“
  2. Die europäische Pragmatik: „Wir brauchen moderne Plattformen – also arrangieren wir uns mit ihnen, so gut es geht.“

Beide Wege haben ihre Stärken. Aber die Schweiz setzt ein deutliches Zeichen: Sie zeigt, dass ein Staat auch im 21. Jahrhundert bewusst auf digitale Unabhängigkeit setzen kann, ohne sich von globalen Konzernen abhängig zu machen.

Und allein diese Haltung sorgt jetzt schon dafür, dass Behörden, Datenschutzbeauftragte und IT-Abteilungen in ganz Europa genauer hinsehen, ob die bisherige Praxis wirklich so unumstößlich ist, wie sie immer erschien.

Kriterium / Thema Schweizer Sicht (privatim / Behörden) Derzeitige EU-/deutsche Praxis bzw. Auffassung
Zielgruppe Öffentliche Institutionen: Bund, Kantone, Gemeinden, Gerichte etc. Behörden & Verwaltungen (teilweise), aber auch viele Behörden nutzen SaaS-Clouds weiterhin; teils uneinheitliche Regelungen je nach Land und Bundesland.
Datenart / Sensibilität Besonders schützenswerte oder geheimhaltungspflichtige Daten (Gesundheit, Polizei, Sozialwesen, Amtspflichtdaten etc.) – restriktive Cloud-Nutzung gefordert. Cloud-Nutzung auch bei sensiblen Daten möglich – je nach Risikobewertung, Datenschutzmaßnahmen und Anbieter-Vertrag; oft Kompromisse und individuell unterschiedliche Handhabung.
Ende-zu-Ende Verschlüsselung / Schlüsselhoheit Nur akzeptabel, wenn Behörde selbst Schlüssel kontrolliert und Anbieter technisch ausgeschlossen ist; ansonsten Nutzung unzulässig. Standard-Clouds werden genutzt, auch ohne eigene Schlüsselhoheit; Anbieter-verschlüsselt reicht meist aus, sofern Datenschutzverträge und Auflagen bestehen.
Subunternehmer / Transparenz der Infrastruktur Subunternehmerketten gelten als zu undurchsichtig – kein zulässiger Einsatz mit kritischen Daten. Subunternehmerketten sind akzeptiert – mit Compliance-Nachweisen, Zertifizierungen und vertraglichen Regelungen, Transparenz aber oft eingeschränkt.
Vertragsänderungen / rechtliche Sicherheit Einseitige Vertragsänderungen durch Anbieter sind ein No-Go – staatliche Verpflichtungen dürfen nicht riskiert werden. Dienste werden genutzt, auch wenn Anbieter Verträge ändern können; Behörden/Unternehmen gehen Risiko ein – oft mit juristischen Vereinbarungen und Kontrollmechanismen.
Gefahr durch US-Gesetze (z. B. CLOUD Act) US-Gesetze gelten als inakzeptables Risiko – Cloud-Nutzung bei sensiblen Daten verboten, solange Anbieter US-gerichtlich verpflichtet sein können. Trotz CLOUD Act werden internationale Clouds eingesetzt; Risiko oft als akzeptabel eingeschätzt, mit Hinweis auf Schutzmechanismen, Data-Boundary- oder EU-Standardvertragsklauseln.
Empfohlene Alternativen On-Premise, schweizerische/europäische Anbieter mit Schlüsselhoheit, eigene Infrastruktur oder stark verschlüsselte Storage-Lösungen. Hybrid-Cloud, Anbieter mit Data-Center in Europa, Cloud-Dienste unter Auflagen; häufiger Einsatz, solange Compliance-Standards erfüllt sind.
Philosophie / Grundhaltung Vorsorgeprinzip, Kontrolle, staatliche Souveränität und maximale Datenhoheit. Pragmatismus, Kompromissfähigkeit, Risikomanagement und Vertrauen in vertragliche/technische Rahmenbedingungen.

Ein Blick über die Grenze: Warum Deutschland jetzt genauer hinschauen muss

Die Schweizer Resolution fällt in eine Zeit, in der deutsche Behörden und Unternehmen ohnehin zunehmend unsicher sind, wie sie mit Cloud-Diensten umgehen sollen. Einerseits drängt die Wirtschaft in die Cloud – verspricht Automatisierung, Zusammenarbeit, Kosteneffizienz. Andererseits steht über allem die Frage: Wie viel Kontrolle geben wir ab?

Genau an dieser Stelle entfaltet die Schweizer Entscheidung ihre Signalwirkung. Sie hält Deutschland einen Spiegel vor und zeigt, was passiert, wenn man die Sache einmal konsequent zu Ende denkt. Das betrifft nicht nur Ministerien und Behörden, sondern ebenso Schulen, Anwaltskanzleien, Arztpraxen, mittelständische Unternehmen und jeden, der mit sensiblen Daten arbeitet. Die Schweizer sagen im Grunde:

„Wir nutzen moderne Technik – aber nicht um den Preis unserer Unabhängigkeit.“

Dieser Satz könnte ohne weiteres auch über einer deutschen Digitalstrategie stehen. Noch tut er das nicht – aber die Diskussion bekommt durch die Entscheidung aus Bern neuen Schwung.

Die Frage, die kein Unternehmen ausklammern darf

Unternehmen müssen sich heute eine scheinbar einfache Frage stellen – eine Frage, die man vor zehn oder fünfzehn Jahren kaum gestellt hätte:

„Wer hat im Zweifelsfall Zugriff auf unsere Daten?“

Früher war die Antwort klar: Man selbst. Heute lautet sie oft: „Das hängt davon ab.“

Und genau dieses „Hängt davon ab“ ist für viele Organisationen ein Problem. Sobald Daten in Cloud-Systemen liegen, entscheidet nicht mehr allein das Unternehmen darüber, wer darauf zugreifen könnte. Es entscheiden:

  • der Anbieter
  • dessen Subunternehmen
  • dessen Auftragsdatenverarbeiter
  • ausländische Behörden (im Fall von US-Anbietern sogar ohne europäische Zustimmung)

Wenn man das nüchtern betrachtet, merkt man schnell: Auf die Frage nach der echten Datenhoheit gibt es immer weniger klare Antworten.
Und deshalb wirkt die Schweizer Linie plötzlich gar nicht mehr altmodisch – sondern ausgesprochen modern.

Der Mittelstand zwischen Komfort und Kontrollverlust

Viele mittelständische Unternehmen in Deutschland stehen gerade zwischen zwei Polen:

  • Der Komfort moderner Cloud-Plattformen
    – Dateien überall synchronisiert
    – Videokonferenzen in Sekunden
    – integrierte E-Mail-, Kalender- und Kommunikationssysteme
  • Der Wunsch nach Kontrolle, Vertraulichkeit und Unabhängigkeit
    – besonders bei vertraulichen Daten
    – strategischen Geschäftsgeheimnissen
    – geistigem Eigentum
    – Kunden- oder Mitarbeiterdaten

Die Schweizer Entscheidung zeigt eine mögliche Richtung: Man kann Technologie nutzen, aber man muss nicht jeden Trend blind mitgehen. Manche Wege sind bequem, aber bequem ist nicht immer sicher.

Aktuelle Umfrage zur Digitalisierung im Alltag

Wie bewertest Du den Einfluss der Digitalisierung auf Deinen Alltag?
Abstimmen

Mein eigener Cloud-Moment mit HostEurope

Ich habe diese Schweizer Entwicklung besonders aufmerksam verfolgt, weil ich selbst vor einiger Zeit in eine ganz ähnliche Situation geraten bin. Bei HostEurope sollte mein komplettes E-Mail-System – ohne Absprache, ohne Rückfrage – einfach auf Microsoft 365 migriert werden. Das hätte bedeutet, dass meine Kommunikation plötzlich in einer internationalen Cloud liegt, unter Bedingungen, die ich nicht kontrollieren kann, und mit dem Risiko, dass ausländische Behörden im Zweifel Zugriff erhalten.

Für mich war das ein klarer Punkt, an dem ich gesagt habe: Stop – so nicht. Ich habe mich bewusst gegen HostEurope entschieden, weil ich meine Daten nicht in ein System verschieben lasse, über das ich am Ende keine echte Hoheit mehr habe. Dieser eine Moment hat mir noch einmal deutlich vor Augen geführt, wie schnell man in Strukturen hineingeraten kann, die man nie wollte – und wie wichtig es ist, selbst die Reißleine zu ziehen, bevor andere über die eigenen Daten bestimmen.

Was die Entwicklung für uns alle bedeutet

Wenn man die Entwicklungen der letzten Jahre nüchtern betrachtet, könnte man meinen, die Welt bewege sich mit voller Geschwindigkeit in eine technologische Abhängigkeit hinein. Alles wird zentralisiert, standardisiert, in die Cloud verlagert – oft ohne wirklich zu prüfen, welche Konsequenzen das langfristig hat.

Und jetzt kommt ein kleines Land mitten in Europa und erinnert alle daran, dass man auch anders handeln kann: bedächtig, respektvoll, vorsichtig – und mit einem klaren Blick auf die eigene Verantwortung. Diese Schweizer Haltung ist kein Rückschritt. Sie ist eine Rückbesinnung auf die alte Frage, die viele in der Hektik der Digitalisierung beinahe vergessen haben:

„Wer trägt die Verantwortung, wenn etwas passiert?“

Wenn die Antwort darauf nicht mehr klar ist, dann stimmt etwas nicht.

Was das für jeden Einzelnen bedeutet

Am Ende betrifft diese Entscheidung nicht nur Behörden oder große Unternehmen – sie betrifft jeden Menschen, der Daten produziert, speichert oder austauscht.

  • Man muss kein Techniker sein, um zu verstehen, dass jede Auslagerung ein Stück Kontrolle kostet.
  • Man muss kein Datenschützer sein, um zu begreifen, dass sensible Informationen besser aufgehoben sind, wenn man weiß, wo sie liegen.
  • Und man muss kein Jurist sein, um zu erkennen, dass ausländische Gesetze problematisch sind, wenn sie über die eigenen Daten entscheiden könnten.

Es reicht gesunder Menschenverstand. Und genau diesen versucht die Schweiz gerade wieder ins Bewusstsein zu rufen.

Die Entscheidung aus Bern ist kein Aufruf zur Technikfeindlichkeit, sondern ein Appell an unseren eigenen Anspruch. Es ist eine Erinnerung daran, dass Digitalisierung nicht bedeutet, sich blind den größten Anbietern zu überlassen – sondern dass man sich selbst fragt, wie viel Verantwortung man aus der Hand gibt. Über das Thema Cloud und Datenhoheit hatte ich bereits in der Vergangenheit einen Artikel geschrieben.

Wer sich als Unternehmer für ERP-Software ohne Cloud interessiert, findet in diesem separaten Artikel hilfreiche Informationen.

In gewisser Weise zeigt die Schweiz uns etwas, das wir alle längst wissen, aber oft verdrängen: Souveränität beginnt nicht mit der Technik – sie beginnt mit der Haltung. Mit der Art, wie man entscheidet. Mit der Bereitschaft, Dinge kritisch zu hinterfragen.

Und mit dem Mut, notfalls einen anderen Weg zu gehen, wenn es vernünftiger ist.

Aktuelle Themen zu Künstlicher Intelligenz

Häufig gestellte Fragen

  1. Warum hat die Schweiz überhaupt diese strenge Haltung gegenüber internationalen Cloud-Diensten wie Microsoft 365 eingenommen?
    Die Schweiz folgt einem klaren Grundsatz: Staatliche Daten müssen so geschützt werden, dass niemand außer der zuständigen Behörde darauf zugreifen kann. Internationale Cloud-Anbieter können technisch und juristisch niemals vollständig ausschließen, dass Daten im Ernstfall für sie zugänglich sind – sei es aus Wartungsgründen, durch Administratorenrechte oder durch staatliche Anfragen aus ihrem Heimatland. Für besonders sensible Daten, wie sie in Verwaltung, Justiz, Polizei oder Gesundheitssystemen verarbeitet werden, ist das ein inakzeptables Risiko. Die Schweizer Datenschützer ziehen daher die logische Konsequenz und schränken Cloud-Nutzung stark ein, solange keine echte Ende-zu-Ende-Verschlüsselung unter alleiniger Schlüsselhoheit der Behörde vorliegt.
  2. Gilt diese Entscheidung für alle Daten oder nur für bestimmte Kategorien?
    Die Resolution richtet sich vor allem an besonders schützenswerte oder geheimhaltungspflichtige Daten – darunter Gesundheitsdaten, Sozialakten, Ermittlungsinformationen und interne Behördenkommunikation. Für diese Kategorien verlangt die Schweiz höchste Sicherheitsstandards, die internationale SaaS-Plattformen aktuell nicht erfüllen. Weniger sensible Daten dürfen weiterhin ausgelagert werden, aber nur nach sorgfältiger Risikoabwägung und unter Wahrung bestimmter Schutzmaßnahmen.
  3. Sind Unternehmen in der Schweiz ebenfalls betroffen?
    Formell richtet sich die Resolution ausschließlich an staatliche Stellen. Praktisch wird sie aber auch auf Unternehmen ausstrahlen, insbesondere auf solche, die sensible oder gesetzlich geschützte Daten bearbeiten – zum Beispiel Krankenhäuser, Versicherungen, Banken oder Bildungseinrichtungen. Wenn Behörden bestimmte Dienste nicht mehr nutzen dürfen, wird es für private Organisationen schwieriger, dieselben Dienste als „völlig unproblematisch“ einzustufen.
  4. Was ist das größte technische Problem bei Microsoft 365 aus Schweizer Sicht?
    Das zentrale Problem ist die fehlende echte Ende-zu-Ende-Verschlüsselung. Microsoft 365 benötigt Zugriff auf Inhalte, um Funktionen wie Suche, Indexierung, Team-Chats, Kalender, Anti-Spam oder KI-Features zu ermöglichen. Dadurch können Server und Administratoren den Klartext technisch immer sehen. Selbst wenn Microsoft betont, dies nicht zu tun, bleibt die Möglichkeit bestehen – und genau diese theoretische Möglichkeit reicht den Schweizer Behörden als Risiko aus.
  5. Welche Rolle spielt der US CLOUD Act in der Entscheidung?
    Der CLOUD Act verpflichtet US-Unternehmen, auf Anfrage amerikanischer Behörden Daten herauszugeben – selbst dann, wenn diese Daten im Ausland gespeichert sind. Für die Schweiz bedeutet das: Selbst wenn Microsoft europäische oder schweizerische Rechenzentren nutzt, kann es sein, dass Daten amerikanischen Behörden zugänglich gemacht werden müssen. Dieser mögliche Zugriff widerspricht dem schweizerischen Verständnis von Souveränität und Amtsgeheimnis. Daher wird der CLOUD Act als schwerwiegendes Gegenargument angeführt.
  6. Warum reichen Verträge oder „EU-Datengrenzen“ für die Schweiz nicht aus?
    Verträge und technische Schutzmaßnahmen sind wertvolle Instrumente, aber sie ändern nichts an der juristischen Realität. Wenn ein US-Unternehmen verpflichtet wird, Daten herauszugeben, steht kein Vertrag darüber. Zudem können große Cloud-Anbieter ihre Geschäftsbedingungen jederzeit ändern. Die Schweizer Datenschützer sagen deshalb: Rechtssicherheit entsteht nicht durch Versprechen, sondern durch tatsächliche Kontrolle über die Daten – und diese Kontrolle ist in SaaS-Clouds nicht vollständig gegeben.
  7. Was bedeutet die Resolution konkret für Behörden?
    Behörden müssen künftig nachweisen, dass sie sensible Daten nicht so auslagern, dass ein Cloud-Anbieter darauf zugreifen könnte. Praktisch heißt das: Microsoft 365 und andere internationale SaaS-Plattformen dürfen für solche Daten nicht mehr genutzt werden. Behörden müssen entweder auf lokale Lösungen setzen, auf Schweizer Anbieter ausweichen oder eigene Verschlüsselungsmechanismen einsetzen, bei denen der Anbieter keinerlei Zugriff hat.
  8. Können Behörden weiterhin Cloud-Dienste nutzen, wenn sie eigene Verschlüsselung einsetzen?
    Ja – aber nur dann, wenn die Behörde die vollständige Kontrolle über die Schlüssel behält und der Anbieter technisch ausgeschlossen ist. Das Problem: Viele Cloud-Dienste funktionieren gar nicht mehr, wenn Inhalte vor der Verarbeitung verschlüsselt werden. Somit wäre Microsoft 365 in der Praxis nur als reiner Datenspeicher verwendbar – ohne Zusammenarbeitstools, E-Mail-System, Kalender, Teams oder automatisierte Office-Funktionen.
  9. Wie unterscheidet sich die Schweizer Haltung von der aktuellen Linie der EU?
    Die EU versucht, den Einsatz von Microsoft 365 durch Vereinbarungen, Audits und vertragliche Garantien datenschutzkonform zu gestalten. Man möchte die Vorteile der Cloud nutzen, ohne sie grundsätzlich in Frage zu stellen. Die Schweiz hingegen setzt auf das Vorsichtsprinzip und zieht eine klare Grenze: Ohne vollständige Kontrolle über die Daten ist die Nutzung unzulässig. Dadurch entsteht ein Gegensatz zwischen europäischer Pragmatik und schweizerischer Konsequenz.
  10. Wie reagieren deutsche Behörden auf diese Entwicklung?
    Viele deutsche Landesdatenschützer beobachten die Schweizer Entscheidung aufmerksam. Einige waren selbst schon kritisch gegenüber Microsoft 365 – etwa in Schulen, wo Tracking-Mechanismen und unklare Datenflüsse bemängelt wurden. Die Schweizer Resolution könnte als Argumentationsverstärker dienen: Wenn ein Land mit hohen Standards die Nutzung einschränkt, wird es für deutsche Behörden schwieriger, eine liberalere Linie zu vertreten, ohne dies gut zu begründen.
  11. Warum spielt Transparenz bei den Subunternehmern eine so große Rolle?
    Große Cloud-Anbieter nutzen globale Netzwerke von Partnern und Subunternehmen für Support, Wartung und technische Leistungen. Für eine Behörde ist kaum nachvollziehbar, welche Firmen wann Zugriff haben könnten. Genau diese Intransparenz macht es unmöglich, Risiken sauber zu bewerten. Die Schweiz sieht darin ein fundamentales Problem: Eine Behörde muss wissen, wer auf ihre Daten zugreifen könnte – und das ist in komplexen Cloud-Strukturen kaum möglich.
  12. Wie beeinflusst die Entscheidung die Diskussion über digitale Souveränität in Europa?
    Die Schweizer Haltung wirkt wie ein Katalysator. Viele EU-Länder sprechen seit Jahren über digitale Souveränität, setzen aber häufig auf dieselben globalen Anbieter. Die Schweiz zeigt nun, dass ein Staat auch konsequent anders handeln kann. Diese Entscheidung wird die europäische Debatte neu befeuern – vor allem in den Bereichen Justiz, Verwaltung und Gesundheitsdaten, in denen eine strenge Linie besonders sinnvoll erscheinen könnte.
  13. Was können Unternehmen aus dieser Entwicklung lernen?
    Unternehmen sollten sich bewusst machen, dass die Auslagerung von Daten immer auch ein Verlust an Kontrolle bedeutet. Die Schweizer Entscheidung erinnert daran, dass man genau prüfen muss, welche Daten man wohin gibt. Unternehmen sollten überlegen, ob manche kritischen Bereiche besser lokal oder in souveränen Infrastrukturen verbleiben sollten – selbst wenn die Cloud auf den ersten Blick bequemer erscheint.
  14. Ist die Schweizer Entscheidung ein Rückschritt in die Vergangenheit?
    Nein – sie ist vielmehr eine Rückbesinnung auf grundlegende Prinzipien, die in der Digitalisierung manchmal untergehen: Verantwortung, Kontrolle, Nachvollziehbarkeit. Die Schweiz nutzt moderne Technologien, aber sie akzeptiert nicht, wenn sie dabei die Hoheit über ihre sensibelsten Daten verliert. Diese Haltung wirkt altmodisch, ist aber in Wahrheit zukunftsorientiert.
  15. Welche Alternativen haben Behörden oder Unternehmen, wenn sie Cloud-Dienste meiden wollen?
    Es gibt mehrere Möglichkeiten: lokale Server, Schweizer oder europäische Anbieter mit strenger Datenhoheit, hybride Modelle mit eigener Verschlüsselung oder vollständig selbst betriebene Infrastruktur. Diese Varianten sind nicht so bequem wie ein Klick auf „Microsoft 365 abonnieren“, aber sie stärken die Kontrolle – und sind für viele sensible Anwendungen völlig ausreichend.
  16. Welche Rolle spielt Dein eigener HostEurope-Vorfall in diesem Zusammenhang?
    Der Vorfall ist ein typisches Beispiel dafür, wie schnell man in Strukturen hineingeraten kann, die man gar nicht wollte. Wenn ein Anbieter ohne Rücksprache deine E-Mails auf Microsoft 365 migrieren will, verlierst du im selben Moment einen Teil deiner Souveränität – und das völlig ungefragt. Deine Entscheidung, sofort auszusteigen, war letztlich ein Schritt in dieselbe Richtung, die die Schweiz jetzt offiziell eingeschlagen hat: Kontrolle statt Bequemlichkeit. Genau aus diesem Grund ist die Geschichte ein gutes Beispiel für die praktische Relevanz der Schweizer Position.
  17. Was bedeutet all das für Privatpersonen, die nicht im Behördenbereich arbeiten?
    Auch Privatpersonen sollten bewusster wählen, wo ihre Daten liegen. Viele nutzen heute automatisch internationale Plattformen, ohne zu bedenken, wie weit diese Unternehmen in ihr digitales Leben hineinschauen können. Die Schweizer Entscheidung erinnert daran, dass man seine eigenen Daten nicht einfach als Nebensache betrachten sollte – denn Sicherheit beginnt immer bei der persönlichen Entscheidung, wem man vertraut.
  18. Wie könnte sich die Situation in den nächsten Jahren entwickeln?
    Es ist gut möglich, dass die Schweiz mit dieser Resolution einen Trend setzt, der später auch in der EU aufgegriffen wird. Die Diskussion über Souveränität wird stärker, nicht schwächer. Staaten und Unternehmen werden zunehmend realisieren, dass die Cloud kein Naturgesetz ist, sondern eine Wahl. Und wie jede Wahl kann man sie überdenken – vor allem dann, wenn die Risiken irgendwann größer wirken als der Komfort.

Schreibe einen Kommentar