CLOUD Act, suwerenność danych i Szwajcaria: punkt zwrotny dla europejskich strategii IT?

24. grudzień 202528. listopad 2025 przez Markus Schall

W połowie listopada w Szwajcarii wydarzyło się coś, czego mało kto spodziewał się w takiej formie: Krajowi komisarze ds. ochrony danych przyjęli jasną, niemal historyczną rezolucję. Jej przesłanie jest proste - i jednocześnie bardzo kontrowersyjne: władze publiczne nie powinny już bez wahania powierzać swoich najbardziej wrażliwych danych międzynarodowym usługom w chmurze, takim jak Microsoft 365. Dlaczego?

Ponieważ odpowiedzialność za szczególnie poufne dane - dokumentację zdrowotną, sprawy socjalne, dochodzenia karne, dokumenty wewnętrzne - nie może być przekazywana firmom, które nigdy nie mogą technicznie całkowicie wykluczyć dostępu do tych danych. To jest właśnie sedno szwajcarskiej decyzji. Nie trzeba być głęboko zaangażowanym w IT, aby zrozumieć podstawową ideę. W przeszłości ważne pliki były przechowywane w zamkniętej szafce w ratuszu. Dziś te same dane są często przechowywane gdzieś za granicą - na serwerach dużych amerykańskich korporacji, które z kolei korzystają z własnych firm partnerskich i podwykonawców. I nawet jeśli ci dostawcy zapewniają nas, że wszystko jest bezpieczne, same władze nie mogą już tego tak naprawdę sprawdzić.

Kwestie społeczne teraźniejszości

Dieter Bohlen w rozmowie z Dominikiem Kettnerem

Dieter Bohlen prostym językiem: Dlaczego Niemcy upadają z powodu własnej biurokracji?

Step krymsko-tatarski

Tatarzy Krymscy - historia, pochodzenie i teraźniejszość zapomnianego ludu

Cyfrowa zależność od systemów w chmurze

Cyfrowa zależność: jak straciliśmy samostanowienie na rzecz chmury

Jan-Josef Liefers

Jan-Josef Liefers: Portret postawy, pochodzenia i wolności artystycznej

Istnieje również kwestia, która jest często pomijana w debacie publicznej: amerykańskie firmy mogą zostać zmuszone do przekazania danych na mocy amerykańskich przepisów, takich jak CLOUD Act - nawet jeśli dane te są faktycznie przechowywane w Europie. Dla krajów europejskich, a tym bardziej dla kraju takiego jak Szwajcaria, który tradycyjnie przywiązuje dużą wagę do niezależności, jest to duże obciążenie. W tym kontekście szwajcarskie organy ochrony danych jasno określiły swoje stanowisko:

Jeśli organ publiczny przechowuje dane, które są szczególnie chronione lub nawet objęte tajemnicą służbową, nikt inny - nawet dostawca usług w chmurze - nie może mieć do nich dostępu. I tak długo, jak nie ma prawdziwego szyfrowania end-to-end, w którym tylko organ zarządza kluczami, jest to po prostu niewykonalne w przypadku dzisiejszych usług w chmurze.

Szwajcaria pociąga więc za sznurki - z ostrożności, tradycji i głęboko zakorzenionego zrozumienia, że dane państwowe są szczególnie cennym zasobem. Co ciekawe, niemieckie władze, inspektorzy ochrony danych i menedżerowie IT również bardzo uważnie przyglądają się, czy pojawia się tutaj nowy standard.

Co naprawdę mówi szwajcarska rezolucja

Jak Heise Online oraz Inside IT Jak informowaliśmy w naszym raporcie, decyzja ta została podjęta przez Konferencję Ochrony Danych privatim, stowarzyszenie Federalnego Komisarza Ochrony Danych i wszystkich kantonalnych organów nadzorczych. Chociaż jej decyzje nie stanowią prawa, mają ogromną wagę. W praktyce wiele organów wdraża swoje wytyczne tak, jakby były one wiążące - ponieważ określają, co jest dozwolone i odpowiedzialne z punktu widzenia ochrony danych. Do kogo skierowana jest rezolucja? Grupą docelową są władze publiczne:

Władze federalne
Biura kantonalne
Gminy
Sądy
instytucje państwowe

Rezolucja formalnie nie dotyczy firm prywatnych. Jeśli jednak standardy dla instytucji państwowych zostaną ustalone tak rygorystycznie, sektor prywatny będzie miał trudności z przyjęciem bardziej pobłażliwego podejścia w przyszłości - zwłaszcza w obszarach takich jak opieka zdrowotna, edukacja i ubezpieczenia.

Kluczowe przesłanie: wrażliwe dane nie powinny znajdować się w międzynarodowych chmurach.

The Rozdzielczość formułuje to ostrożnie, ale jednoznacznie: najbardziej wrażliwe dane rządowe nie mogą być outsourcowane do usług w chmurze, o ile dostawcy mogą mieć dostęp techniczny. I nie dotyczy to tylko niszowych aplikacji, ale dokładnie tych produktów chmurowych, których wiele administracji używa obecnie jako standardu, w tym

Microsoft 365
Google Workspace
Różne aplikacje SaaS od międzynarodowych dostawców

Punkt sporny jest zawsze ten sam: nie ma prawdziwego szyfrowania end-to-end, w którym organ posiada klucze, a dostawca jest technicznie wykluczony. Dopóki sama usługa w chmurze wprowadza aktualizacje, przeprowadza konfiguracje lub ma uprawnienia administratora w przypadku wsparcia, teoretyczny dostęp pozostaje - i to jest więcej niż wystarczające ryzyko dla szwajcarskich ekspertów ds. ochrony danych.

Dlaczego Szwajcaria wyznacza tę linię

Szwajcarska decyzja opiera się na jasnej logice, którą można podsumować klasyczną, niemal staromodną zasadą:
Nie można tak naprawdę chronić tego, co nie znajduje się we własnej sferze wpływów. Trzy motywy leżą u podstaw tej sytuacji:

Ochrona suwerenności państwowejDane państwowe są podstawą suwerenności. Jeśli międzynarodowi dostawcy - być może nawet podlegający obcej jurysdykcji - mogą teoretycznie uzyskać do nich dostęp, państwo traci część tej suwerenności.
Ochrona tajemnicy służbowejTajemnica urzędowa jest szczególnie ważna w Szwajcarii. Ma ona na celu nie tylko zapobieganie intrygom politycznym, ale także zapewnienie zaufania obywateli. Gdy tylko dane opuszczą kraj, zaufanie to staje się trudniejsze do zagwarantowania.
Ochrona szczególnie wrażliwych danych osobowychDane dotyczące zdrowia, akta policyjne, sprawy socjalne - to wszystko są obszary, w których nieautoryzowany dostęp miałby poważne konsekwencje. Nawet najmniejsze ryzyko jest tutaj uważane za niedopuszczalne.

Które dane są szczególnie narażone?

Rezolucja wyraźnie mówi o:

szczególnie wrażliwe dane osobowe
Dane podlegające ustawowej poufności (tajemnica służbowa)
Dane z policji, wymiaru sprawiedliwości, służb socjalnych, służby zdrowia, administracji

W przypadku takich informacji rezolucja wymaga standardu, którego nie oferują dzisiejsze systemy SaaS: pełnego szyfrowania pod wyłączną kontrolą organu. Bez tego standardu outsourcing do międzynarodowych chmur jest „w większości przypadków niedopuszczalny“ - zgodnie z brzmieniem.

Co pozostaje władzom do zrobienia?

Technicznie rzecz biorąc, mają tylko wąski korytarz:

Magazyn w chmurze z własnym szyfrowaniem upstream
Obsługa własnej kluczowej infrastruktury
lub całkowicie lokalne rozwiązania, tj. lokalni lub szwajcarscy dostawcy.

Nie oznacza to, że władze nie mogą już w ogóle korzystać z chmury. Muszą jednak upewnić się, że dostawca nie ma możliwości odczytania danych w postaci zwykłego tekstu. I to jest właśnie to, co jest praktycznie niemożliwe do wdrożenia w praktyce z większością nowoczesnych narzędzi chmurowych, ponieważ systemy te mogą spełniać swoje funkcje tylko wtedy, gdy same przetwarzają dane. Szwajcaria mówi więc pośrednio:

„Korzystaj z chmury oszczędnie i tylko tam, gdzie naprawdę możesz ją kontrolować“.“

Samo w sobie jest to niezwykły krok, który wywołuje dyskusje także poza Szwajcarią.

Pięć głównych argumentów - od braku szyfrowania end-to-end po loterię kontraktową

1. brak prawdziwego szyfrowania typu end-to-end

Najważniejszy punkt jest również najprostszy: dopóki dostawca usług w chmurze ma techniczny dostęp do danych, nie może ich wykorzystywać do szczególnie wrażliwych informacji. I właśnie w tym miejscu praktycznie wszystkie międzynarodowe oferty SaaS zawodzą - nawet jeśli nazywają siebie „bezpiecznymi“, „certyfikowanymi“ lub „zgodnymi z ochroną danych“. Dlaczego? Ponieważ usługi takie jak Microsoft 365, Google Workspace lub inne duże platformy chmurowe działają tylko wtedy, gdy mogą przetwarzać dane z naszej pracy: Dokumenty, e-maile, kalendarze, spotkania, czaty. Systemy analizują, wyszukują, synchronizują i łączą treści - taki jest ich model biznesowy.

Prawdziwe szyfrowanie end-to-end, w którym tylko organ posiada klucz, a dostawca nie ma wglądu, w dużej mierze uniemożliwiłoby te funkcje. Właśnie dlatego dostawcy nie oferują pełnej separacji w tym zakresie. I właśnie dlatego szwajcarscy eksperci ds. ochrony danych twierdzą:

„Dopóki nie jest to możliwe, nie możemy używać takich systemów z czystym sumieniem“.“

2. nieprzejrzyste łańcuchy podwykonawców i brak kontroli

Duzi dostawcy usług w chmurze współpracują z ogromną siecią podwykonawców. Struktury te są często rozproszone globalnie, zmieniają się regularnie i są prawie niemożliwe do zrozumienia dla osób z zewnątrz. Nawet jeśli istnieje oficjalna umowa z Microsoft lub Google, w tle często obowiązują następujące zasady:

Inne firmy zapewniają wsparcie
Zewnętrzne zespoły wykonują prace konserwacyjne
inni dostawcy usług hostują lub zarządzają częściami infrastruktury

Dla organu publicznego oznacza to, że nie może on dokładnie wiedzieć, kto ma lub może mieć dostęp i kiedy. Jest to sprzeczne z zasadą, że organ publiczny musi być w stanie prześledzić, gdzie znajdują się jego dane przez cały czas i kto może potencjalnie uzyskać do nich dostęp. Władze szwajcarskie celowo podkreśliły tę kwestię, ponieważ przejrzystość i odpowiedzialność są ze sobą ściśle powiązane.

3. jednostronne zmiany umowy - chmura jako chwiejna podstawa prawna

Jednym z czynników ryzyka, który jest często pomijany, jest konstrukcja umowy. Wielu dostawców usług w chmurze zastrzega sobie prawo do zmiany swoich warunków w dowolnym momencie - czasami z bardzo krótkim czasem realizacji. Jest to w pewien sposób akceptowalne dla firm prywatnych, ale:

Zasada przewidywalności ma zastosowanie do organów publicznych. Administracja musi być w stanie udokumentować i uzasadnić, które dane są przetwarzane i w jaki sposób. Jeśli jednak warunki ramowe zmieniają się spontanicznie - ponieważ dostawca wprowadza nowe klauzule lub ogranicza istniejące - powstaje sytuacja, w której organ nie może już z całą pewnością ocenić własnej zgodności z prawem.

Szwajcarscy eksperci ds. ochrony danych uważają tę „loterię kontraktową“ za niezgodną z obowiązkami państwa. Państwo nie może polegać na modelach biznesowych, które można zmienić w dowolnym momencie - bez współdecydowania.

4. utrata kontroli i ryzyko związane z prawami podstawowymi

Gdy tylko dane opuszczają kraj lub są przetwarzane poza jego obszarem odpowiedzialności, pojawia się ryzyko: państwo traci część swojej kontroli.

Na pierwszy rzut oka może się to wydawać abstrakcyjne, ale jest to bardzo realne w codziennym życiu: jeśli wystąpi błąd, jeśli dane zostaną naruszone lub jeśli pojawi się spór prawny, organ publiczny nie może już zapewnić, że poradzi sobie bez pomocy z zewnątrz. I to właśnie jest sprzeczne z podstawową ideą sprawnej administracji publicznej:

Państwo musi być w stanie działać samodzielnie w nagłych przypadkach - bez uzależniania się od zewnętrznych firm lub zagranicznych systemów prawnych. Szwajcarscy obrońcy danych mają tutaj tradycyjne, niemal staromodne podejście - i właśnie to sprawia, że ich stanowisko jest tak spójne. Zadania państwowe pozostają zadaniami państwowymi. A dane państwowe powinny znajdować się w rękach państwa.

5 Amerykańska ustawa CLOUD - główny powód obaw

Ustawa CLOUD jest prawdopodobnie najważniejszym tłem dla całej tej dyskusji. To amerykańskie prawo zobowiązuje amerykańskie firmy do przekazywania danych władzom USA na żądanie - nawet jeśli dane te są przechowywane za granicą i faktycznie podlegają ochronie zagranicznych przepisów. Dla Szwajcarii jest to absolutny zakaz.

Teoretycznie umożliwiłoby to władzom USA uzyskanie dostępu do wrażliwych szwajcarskich danych administracyjnych bez angażowania szwajcarskich sądów lub władz. Nawet jeśli dostawcy usług w chmurze zapewnią, że udostępnią takie dane tylko na ściśle określonych warunkach, podstawowy problem pozostaje:

Władze tracą suwerenność nad swoimi danymi - po prostu wybierając dostawcę usług technicznych. Dla kraju, który tradycyjnie stoi na straży swojej niezależności, jest to ryzyko, którego nie warto podejmować. I właśnie ten punkt szwajcarscy eksperci ds. ochrony danych przedstawiają bardzo jasno.

Miniatura wideo YouTube

Obejrzyj ten film na YouTube

Szwajcaria kontra Microsoft 365 - a Niemcy uważnie się przyglądają | heise & c't

Szwajcaria kontra UE - dwa sposoby radzenia sobie z Microsoft 365

Podczas gdy Szwajcaria przyjmuje bardzo ostrożne podejście i wyraźnie ostrzega władze przed outsourcingiem wrażliwych danych do międzynarodowych usług SaaS, Unia Europejska przyjmuje inne podejście. Stara się ona znaleźć rozwiązanie pośrednie poprzez umowy, ulepszenia umowne i dostosowania techniczne - takie, które zasadniczo nie zakazuje usług w chmurze, ale raczej ma na celu uczynienie ich „użytecznymi“ poprzez nałożenie warunków.

Ta różnica jest niezwykła i wiele mówi o tym, jak różnie państwa radzą sobie z kwestią suwerenności cyfrowej.

Szwajcaria: ostrożność, suwerenność danych i wyraźna granica

Stanowisko Szwajcarii można podsumować jednym zdaniem:

„Czego nie mogę kontrolować, nie wypuszczę z rąk“.“

Szwajcaria trzyma się więc tradycyjnej zasady: dane państwowe - zwłaszcza te tajne lub szczególnie wrażliwe - pozostają w kraju lub są szyfrowane w taki sposób, by nikt poza samymi władzami nie miał do nich dostępu. Jest to celowy powrót do starych zasad, przeniesionych do teraźniejszości cyfrowego świata.

UE: traktaty, wyłączenia i rozwiązania kompromisowe

Unia Europejska przyjmuje inne podejście. Chce wykorzystać zalety dużych platform chmurowych bez ich całkowitego zakazywania. W tym celu:

Wynegocjowane nowe kontrakty
Dodano gwarancje ochrony danych
Wprowadzone mechanizmy kontroli i audyty
Gwarancje techniczne dostarczone w późniejszym terminie

Przykładem tego jest decyzja Europejskiego Inspektora Ochrony Danych, zgodnie z którą Komisja Europejska może korzystać z Microsoft 365 zgodnie z przepisami o ochronie danych pod pewnymi warunkami. Podobne oświadczenia są obecnie słyszane z kilku państw członkowskich - w tym z części Niemiec. Podstawowa idea:

„Regulujemy chmurę, zamiast jej zakazywać“.“

Podejście to opiera się jednak na zaufaniu do dostawców - oraz na fakcie, że złożoność pozostaje możliwa do opanowania. Krytycy argumentują przeciwko temu: Im większa platforma, tym trudniej ją kontrolować.

Niemcy między dwoma światami

Niemcy znalazły się między młotem a kowadłem. Niektóre krajowe organy ochrony danych są bardziej ostrożne, inne są bardziej zorientowane na praktykę.
Na przykład w sektorze szkolnym podjęto już surowe decyzje przeciwko Microsoft 365, podczas gdy na szczeblu federalnym trwają prace nad rozwiązaniami umożliwiającymi jego wykorzystanie. Rezultat: patchworkowa kołdra.

To właśnie dlatego wiele osób przygląda się teraz szwajcarskiej linii - ponieważ po raz pierwszy wyznacza ona jasny standard, zamiast pracować nad kompromisami.

Zderzenie dwóch filozofii

Krótko mówiąc, istnieją dwie przeciwstawne szkoły myślenia:

Szwajcarska tradycja: „Nasze dane pozostają z nami - lub pozostają zaszyfrowane i nikt inny ich nie widzi“.“
Europejska pragmatyka: „Potrzebujemy nowoczesnych platform - więc godzimy się z nimi najlepiej, jak potrafimy“.“

Oba podejścia mają swoje mocne strony. Szwajcaria wysyła jednak wyraźny sygnał: pokazuje, że państwo może świadomie skupić się na cyfrowej niezależności w XXI wieku bez uzależniania się od globalnych korporacji.

Już sama ta postawa sprawia, że władze, inspektorzy ochrony danych i działy IT w całej Europie przyglądają się bliżej, czy dotychczasowa praktyka jest rzeczywiście tak niepodważalna, jak się zawsze wydawało.

Kryterium / Temat	Szwajcarski widok (prywatny / władze)	Aktualna praktyka lub opinia UE/Niemiec
Grupa docelowa	Instytucje publiczne: Konfederacja, kantony, gminy, sądy itp.	Władze i administracje (częściowo), ale wiele organów nadal korzysta z chmur SaaS; przepisy są czasami niespójne w zależności od kraju i stanu federalnego.
Typ danych / czułość	Dane wymagające szczególnej ochrony lub poufności (zdrowie, policja, służby socjalne, dane urzędowe itp.) - wymagane restrykcyjne korzystanie z chmury.	Korzystanie z chmury jest również możliwe w przypadku danych wrażliwych - w zależności od oceny ryzyka, środków ochrony danych i umowy z dostawcą; często kompromisy i indywidualna obsługa.
Kompleksowe szyfrowanie / suwerenność klucza	Dopuszczalne tylko wtedy, gdy organ sam kontroluje klucz, a dostawca jest technicznie wykluczony; w przeciwnym razie użycie jest nieautoryzowane.	Standardowe chmury są używane, nawet bez własnej suwerenności kluczy; szyfrowanie dostawcy jest zwykle wystarczające, pod warunkiem, że istnieją umowy i wymagania dotyczące ochrony danych.
Podwykonawcy / przejrzystość infrastruktury	Łańcuchy podwykonawców są uważane za zbyt nieprzejrzyste - brak autoryzowanego wykorzystania krytycznych danych.	Łańcuchy podwykonawców są akceptowane - z dowodami zgodności, certyfikatami i regulacjami umownymi, ale przejrzystość jest często ograniczona.
Zmiany umowy / bezpieczeństwo prawne	Jednostronne zmiany w umowach wprowadzane przez dostawców są niedopuszczalne - nie można ryzykować zobowiązań państwa.	Usługi są wykorzystywane, nawet jeśli dostawcy mogą zmieniać umowy; władze/firmy podejmują ryzyko - często z umowami prawnymi i mechanizmami kontroli.
Zagrożenie ze strony amerykańskich przepisów (np. CLOUD Act)	Przepisy amerykańskie są uważane za niedopuszczalne ryzyko - korzystanie z chmury jest zabronione w przypadku danych wrażliwych, o ile dostawcy mogą podlegać amerykańskim zobowiązaniom sądowym.	Pomimo ustawy CLOUD, używane są międzynarodowe chmury; ryzyko jest często uważane za akceptowalne, w odniesieniu do mechanizmów ochrony, granic danych lub standardowych klauzul umownych UE.
Zalecane alternatywy	Lokalni, szwajcarscy / europejscy dostawcy z suwerennością kluczy, własną infrastrukturą lub silnie zaszyfrowanymi rozwiązaniami pamięci masowej.	Chmura hybrydowa, dostawcy z centrami danych w Europie, usługi w chmurze podlegające warunkom; częste korzystanie, o ile spełnione są standardy zgodności.
Filozofia / nastawienie	Zasada ostrożności, kontrola, suwerenność państwa i maksymalna suwerenność danych.	Pragmatyzm, zdolność do kompromisu, zarządzanie ryzykiem i zaufanie do warunków umownych/technicznych.

Spojrzenie przez granicę: dlaczego Niemcy muszą teraz przyjrzeć się temu bliżej?

Szwajcarska rezolucja pojawia się w momencie, gdy niemieckie władze i firmy są już coraz bardziej niepewne, jak radzić sobie z usługami w chmurze. Z jednej strony gospodarka pcha się w kierunku chmury - obiecując automatyzację, współpracę i efektywność kosztową. Z drugiej strony, nadrzędne pytanie brzmi: jak wiele kontroli musimy oddać?

Właśnie w tym kontekście decyzja Szwajcarii ma znaczenie sygnalizacyjne. Pokazuje ona Niemcom, co się stanie, jeśli wszystko zostanie przemyślane do końca. Dotyczy to nie tylko ministerstw i władz, ale także szkół, kancelarii prawnych, gabinetów lekarskich, MŚP i każdego, kto pracuje z wrażliwymi danymi. Szwajcarzy w zasadzie mówią:

„Korzystamy z nowoczesnych technologii - ale nie kosztem naszej niezależności“.“

To zdanie można by z łatwością napisać nad niemiecką strategią cyfrową. Jeszcze jej nie ma - ale dyskusja nabrała nowego impetu dzięki decyzji z Berna.

Pytanie, którego żadna firma nie może zignorować

Firmy muszą dziś zadać sobie pozornie proste pytanie - pytanie, które trudno byłoby zadać dziesięć czy piętnaście lat temu:

„Kto ma dostęp do naszych danych w razie wątpliwości?“.“

W przeszłości odpowiedź była jasna: sam. Dziś często brzmi: „To zależy“.“

I właśnie to „zależy od tego“ stanowi problem dla wielu organizacji. Gdy tylko dane są przechowywane w systemach chmurowych, to już nie tylko firma decyduje, kto może uzyskać do nich dostęp. To ona decyduje:

dostawca
jego podwykonawców
jego kontraktowy podmiot przetwarzający dane
organy zagraniczne (w przypadku dostawców amerykańskich nawet bez zgody europejskiej)

Jeśli spojrzymy na to trzeźwo, szybko zdamy sobie sprawę, że jest coraz mniej jasnych odpowiedzi na pytanie o prawdziwą suwerenność danych.
I właśnie dlatego szwajcarska linia nagle przestała wydawać się staromodna - ale zdecydowanie nowoczesna.

Klasa średnia między komfortem a utratą kontroli

Wiele średnich przedsiębiorstw w Niemczech znajduje się obecnie pomiędzy dwoma biegunami:

Wygoda nowoczesnych platform chmurowych
- Pliki zsynchronizowane wszędzie
- Wideokonferencje w kilka sekund
- Zintegrowane systemy poczty elektronicznej, kalendarza i komunikacji
Pragnienie kontroli, poufności i niezależności
- szczególnie w przypadku danych poufnych
- strategiczne tajemnice handlowe
- własność intelektualna
- Dane klientów lub pracowników

Decyzja Szwajcarii pokazuje jeden z możliwych kierunków: można korzystać z technologii, ale nie trzeba ślepo podążać za każdym trendem. Niektóre sposoby są wygodne, ale nie zawsze bezpieczne.

Aktualna ankieta na temat cyfryzacji w życiu codziennym

Mój własny moment w chmurze z HostEurope

Szczególnie uważnie śledziłem rozwój sytuacji w Szwajcarii, ponieważ jakiś czas temu znalazłem się w bardzo podobnej sytuacji. W HostEurope cały mój system poczty elektronicznej miał zostać wymieniony - bez konsultacji, bez zapytania. po prostu migrował do Microsoft 365 stać się. Oznaczałoby to, że moja komunikacja byłaby nagle przechowywana w międzynarodowej chmurze, w warunkach, których nie mogę kontrolować i z ryzykiem uzyskania dostępu przez zagraniczne władze w przypadku wątpliwości.

Dla mnie był to wyraźny punkt, w którym powiedziałem: Stop - nie w ten sposób. Świadomie zdecydowałem się na HostEurope, ponieważ nie chcę, aby moje dane zostały przeniesione do systemu, nad którym ostatecznie nie mam już żadnej realnej kontroli. Ten jeden moment po raz kolejny uświadomił mi, jak szybko można skończyć w strukturach, których nigdy nie chcieliśmy - i jak ważne jest, aby samemu pociągnąć za sznurek, zanim inni przejmą kontrolę nad naszymi danymi.

Co ten rozwój oznacza dla nas wszystkich

Jeśli trzeźwo spojrzeć na rozwój wydarzeń w ostatnich latach, można pomyśleć, że świat zmierza z pełną prędkością w kierunku zależności technologicznej. Wszystko jest centralizowane, standaryzowane i przenoszone do chmury - często bez analizowania długoterminowych konsekwencji.

A teraz pojawia się mały kraj w centrum Europy i przypomina wszystkim, że można działać inaczej: rozważnie, z szacunkiem, ostrożnie - i z jasnym spojrzeniem na własną odpowiedzialność. Ta szwajcarska postawa nie jest krokiem wstecz. Jest to powrót do starego pytania, o którym wielu prawie zapomniało w gorączkowym tempie cyfryzacji:

„Kto jest odpowiedzialny, jeśli coś się stanie?“

Jeśli odpowiedź nie jest już jasna, coś jest nie tak.

Co to oznacza dla każdej osoby

Ostatecznie decyzja ta ma wpływ nie tylko na organy publiczne lub duże firmy - dotyczy każdego, kto produkuje, przechowuje lub wymienia dane.

Nie trzeba być technikiem, aby zrozumieć, że każdy outsourcing kosztuje kawałek kontroli.
Nie trzeba być ekspertem w dziedzinie ochrony danych, aby zdawać sobie sprawę z tego, że wrażliwe informacje są lepiej chronione, jeśli wiadomo, gdzie są przechowywane.
Nie trzeba być prawnikiem, by zdawać sobie sprawę, że obce prawo jest problematyczne, jeśli może decydować o naszych danych.

Wystarczy zdrowy rozsądek. I to jest właśnie to, co Szwajcaria stara się przywrócić na pierwszy plan.

Decyzja Berna nie jest wezwaniem do wrogości wobec technologii, ale apelem o przestrzeganie naszych własnych standardów. To przypomnienie, że cyfryzacja nie oznacza ślepego oddania się w ręce największych dostawców - oznacza to zadanie sobie pytania, jak dużą odpowiedzialność przekazujemy. O temacie Chmura i suwerenność danych Napisałem już o tym artykuł w przeszłości.

Przedsiębiorcy, którzy popierają Oprogramowanie ERP bez chmury pomocne informacje można znaleźć w tym osobnym artykule.

W pewnym sensie Szwajcaria pokazuje nam coś, co wszyscy wiemy od dawna, ale często tłumimy: Suwerenność nie zaczyna się od technologii - zaczyna się od nastawienia. Od sposobu podejmowania decyzji. Z gotowością do krytycznej analizy rzeczy.

I z odwagą, by obrać inną ścieżkę, jeśli to konieczne, jeśli jest to bardziej rozsądne.

Aktualne artykuły na temat prawa UE

Jeffrey Sachs pisze list otwarty do kanclerza Merza

Jeffrey Sachs ostrzega Niemcy: Dlaczego należy przemyśleć bezpieczeństwo Europy?

Cyfrowy identyfikator UE

Cyfrowy identyfikator UE: łączenie, kontrola i ryzyko w życiu codziennym

Ceny energii w Niemczech

Zrozumienie wysokich cen energii w Niemczech: Gaz, elektryczność i benzyna wyjaśnione w prosty sposób

CBDC, kryptowaluty i stablecoiny

Zrozumieć cyfrowe pieniądze: Bitcoin, stablecoiny i CBDC wyjaśnione w prosty sposób

Nadchodzi cyfrowe euro

Nadchodzi cyfrowe euro - co to oznacza, czego nie wolno robić i co może zrobić

Wszystkie fakty dotyczące elektronicznych akt pacjentów

Weryfikacja elektronicznych akt pacjentów (EPR): ryzyko, prawa i zastrzeżenia

Często zadawane pytania

Dlaczego Szwajcaria przyjęła tak surowe stanowisko wobec międzynarodowych usług w chmurze, takich jak Microsoft 365?
Szwajcaria kieruje się jasną zasadą: dane państwowe muszą być chronione w taki sposób, aby nikt poza właściwym organem nie miał do nich dostępu. Międzynarodowi dostawcy usług w chmurze nie mogą technicznie i prawnie nigdy całkowicie wykluczyć możliwości dostępu do danych w sytuacji awaryjnej - czy to ze względów konserwacyjnych, z powodu praw administratora, czy też z powodu żądań rządowych z ich kraju macierzystego. Jest to niedopuszczalne ryzyko w przypadku szczególnie wrażliwych danych, takich jak te przetwarzane w administracji, wymiarze sprawiedliwości, policji lub systemach opieki zdrowotnej. Szwajcarskie organy ochrony danych wyciągają zatem logiczne wnioski i poważnie ograniczają korzystanie z chmury, o ile nie ma prawdziwego szyfrowania typu end-to-end pod wyłączną suwerennością klucza organu.
Czy decyzja ta dotyczy wszystkich danych, czy tylko niektórych kategorii?
Rezolucja dotyczy przede wszystkim danych, które są szczególnie wrażliwe lub podlegają poufności - w tym danych zdrowotnych, akt socjalnych, informacji dochodzeniowych i wewnętrznej komunikacji z władzami. Szwajcaria wymaga najwyższych standardów bezpieczeństwa dla tych kategorii, których międzynarodowe platformy SaaS obecnie nie spełniają. Mniej wrażliwe dane mogą być nadal zlecane na zewnątrz, ale tylko po dokładnej ocenie ryzyka i zgodnie z określonymi środkami ochronnymi.
Czy dotyczy to również firm w Szwajcarii?
Formalnie rezolucja skierowana jest wyłącznie do agencji rządowych. W praktyce jednak będzie ona miała również wpływ na firmy, zwłaszcza te, które przetwarzają dane wrażliwe lub prawnie chronione - na przykład szpitale, firmy ubezpieczeniowe, banki czy instytucje edukacyjne. Jeśli organy publiczne nie będą już mogły korzystać z niektórych usług, organizacjom prywatnym trudniej będzie sklasyfikować te same usługi jako „całkowicie nieproblematyczne“.
Jaki jest największy problem techniczny z Microsoft 365 z perspektywy Szwajcarów?
Głównym problemem jest brak prawdziwego szyfrowania end-to-end. Microsoft 365 wymaga dostępu do treści w celu włączenia funkcji takich jak wyszukiwanie, indeksowanie, czaty zespołowe, kalendarze, antyspam czy funkcje AI. Oznacza to, że serwery i administratorzy technicznie zawsze widzą zwykły tekst. Nawet jeśli Microsoft podkreśla, że tego nie robi, taka możliwość pozostaje - i to właśnie ta teoretyczna możliwość stanowi zagrożenie dla szwajcarskich władz.
Jaką rolę w tej decyzji odgrywa amerykańska ustawa CLOUD Act?
Ustawa CLOUD Act zobowiązuje amerykańskie firmy do przekazywania danych na żądanie amerykańskich władz - nawet jeśli dane te są przechowywane za granicą. Dla Szwajcarii oznacza to, że nawet jeśli Microsoft korzysta z europejskich lub szwajcarskich centrów danych, dane mogą zostać udostępnione władzom amerykańskim. Taki możliwy dostęp jest sprzeczny ze szwajcarskim rozumieniem suwerenności i tajemnicy urzędowej. Ustawa CLOUD jest zatem cytowana jako poważny kontrargument.
Dlaczego traktaty lub „granice danych UE“ nie są wystarczające dla Szwajcarii?
Umowy i techniczne środki ochrony są cennymi instrumentami, ale nie zmieniają rzeczywistości prawnej. Jeśli amerykańska firma jest zobowiązana do przekazania danych, nie ma na to żadnej umowy. Ponadto duzi dostawcy usług w chmurze mogą w każdej chwili zmienić swoje warunki. Szwajcarscy eksperci ds. ochrony danych twierdzą zatem, że pewność prawna nie wynika z obietnic, ale z faktycznej kontroli nad danymi - a ta nie jest w pełni zapewniona w chmurach SaaS.
Co konkretnie oznacza rezolucja dla władz?
W przyszłości władze będą musiały udowodnić, że nie outsourcują wrażliwych danych w taki sposób, aby dostawca usług w chmurze mógł uzyskać do nich dostęp. W praktyce oznacza to, że Microsoft 365 i inne międzynarodowe platformy SaaS nie mogą być już wykorzystywane do przechowywania takich danych. Organy muszą polegać na lokalnych rozwiązaniach, przejść na szwajcarskich dostawców lub korzystać z własnych mechanizmów szyfrowania, do których dostawca nie ma żadnego dostępu.
Czy władze mogą nadal korzystać z usług w chmurze, jeśli używają własnego szyfrowania?
Tak - ale tylko wtedy, gdy organ zachowuje pełną kontrolę nad kluczami, a dostawca jest technicznie wykluczony. Problem: wiele usług w chmurze w ogóle nie działa, jeśli zawartość jest szyfrowana przed przetworzeniem. W praktyce Microsoft 365 byłby więc użyteczny jedynie jako czyste rozwiązanie do przechowywania danych - bez narzędzi do współpracy, systemu poczty e-mail, kalendarza, Teams czy zautomatyzowanych funkcji Office.
Czym różni się stanowisko Szwajcarii od obecnego stanowiska UE?
UE stara się, aby korzystanie z Microsoft 365 było zgodne z przepisami o ochronie danych poprzez umowy, audyty i gwarancje umowne. Celem jest wykorzystanie zalet chmury bez ich fundamentalnego kwestionowania. Szwajcaria, z drugiej strony, faworyzuje zasadę ostrożności i wyznacza jasną granicę: bez pełnej kontroli nad danymi, korzystanie z nich jest niedozwolone. Tworzy to kontrast między europejskim pragmatyzmem a szwajcarską konsekwencją.
Jak niemieckie władze reagują na tę sytuację?
Wiele niemieckich państwowych organizacji ochrony danych bacznie przygląda się szwajcarskiej decyzji. Niektóre z nich już same krytykowały Microsoft 365 - na przykład w szkołach, gdzie krytykowano mechanizmy śledzenia i niejasne przepływy danych. Szwajcarska rezolucja może posłużyć jako wzmocnienie argumentacji: Jeśli kraj o wysokich standardach ogranicza korzystanie z usług, niemieckim władzom trudniej jest przyjąć bardziej liberalną linię, nie będąc w stanie jej dobrze uzasadnić.
Dlaczego przejrzystość odgrywa tak ważną rolę dla podwykonawców?
Duzi dostawcy usług w chmurze korzystają z globalnych sieci partnerów i podwykonawców w zakresie wsparcia, konserwacji i usług technicznych. Dla organu publicznego jest prawie niemożliwe, aby zrozumieć, które firmy mogą mieć dostęp i kiedy. To właśnie ten brak przejrzystości uniemożliwia właściwą ocenę ryzyka. Szwajcaria postrzega to jako podstawowy problem: organ publiczny musi wiedzieć, kto może uzyskać dostęp do jego danych - a jest to praktycznie niemożliwe w złożonych strukturach chmury.
Jak ta decyzja wpłynie na debatę na temat suwerenności cyfrowej w Europie?
Stanowisko Szwajcarii działa jak katalizator. Wiele krajów UE od lat mówi o suwerenności cyfrowej, ale często polega na tych samych globalnych dostawcach. Szwajcaria pokazuje teraz, że państwo może również konsekwentnie działać inaczej. Decyzja ta ożywi europejską debatę - zwłaszcza w obszarach wymiaru sprawiedliwości, administracji i danych zdrowotnych, gdzie ścisła granica może wydawać się szczególnie rozsądna.
Czego firmy mogą się nauczyć z tego rozwoju?
Firmy powinny zdawać sobie sprawę, że outsourcing danych zawsze oznacza utratę kontroli. Decyzja Szwajcarii przypomina, że ważne jest, aby dokładnie przeanalizować, które dane są gdzie przesyłane. Firmy powinny rozważyć, czy niektóre krytyczne obszary lepiej pozostawić lokalnie lub w suwerennej infrastrukturze - nawet jeśli chmura wydaje się wygodniejsza na pierwszy rzut oka.
Czy decyzja Szwajcarii to krok w przeszłość?
Nie - to raczej powrót do fundamentalnych zasad, które czasami gubią się w cyfryzacji: Odpowiedzialność, kontrola, identyfikowalność. Szwajcaria korzysta z nowoczesnych technologii, ale nie akceptuje utraty suwerenności nad swoimi najbardziej wrażliwymi danymi. Takie podejście wydaje się staroświeckie, ale w rzeczywistości jest zorientowane na przyszłość.
Jakie alternatywy mają władze lub firmy, jeśli chcą uniknąć usług w chmurze?
Istnieje kilka opcji: lokalne serwery, szwajcarscy lub europejscy dostawcy o ścisłej suwerenności danych, modele hybrydowe z własnym szyfrowaniem lub całkowicie samodzielnie obsługiwana infrastruktura. Opcje te nie są tak wygodne jak kliknięcie „Subskrybuj Microsoft 365“, ale wzmacniają kontrolę - i są całkowicie wystarczające dla wielu wrażliwych aplikacji.
Jaką rolę w tym kontekście odgrywa incydent HostEurope?
Incydent ten jest typowym przykładem tego, jak szybko można zostać wciągniętym w struktury, których się nie chciało. Jeśli dostawca chce migrować twoje e-maile do Microsoft 365 bez konsultacji z tobą, tracisz część swojej suwerenności w tym samym czasie - i całkowicie bez pytania. Decyzja o natychmiastowej rezygnacji była ostatecznie krokiem w tym samym kierunku, który oficjalnie podjęła Szwajcaria: Kontrola zamiast wygody. Z tego właśnie powodu historia ta jest dobrym przykładem praktycznego znaczenia stanowiska Szwajcarii.
Co to wszystko oznacza dla osób prywatnych, które nie pracują w sektorze publicznym?
Osoby prywatne powinny być również bardziej świadome tego, gdzie przechowywane są ich dane. Wiele osób automatycznie korzysta dziś z międzynarodowych platform, nie zastanawiając się nad tym, jak daleko firmy te mogą zajrzeć w ich cyfrowe życie. Decyzja Szwajcarii przypomina, że nie należy po prostu traktować własnych danych jako sprawy drugorzędnej - ponieważ bezpieczeństwo zawsze zaczyna się od osobistej decyzji, komu ufamy.
Jak może rozwinąć się sytuacja w ciągu najbliższych kilku lat?
Całkiem możliwe, że Szwajcaria wyznacza tą rezolucją trend, który zostanie później podjęty w UE. Dyskusja na temat suwerenności staje się coraz silniejsza, a nie słabsza. Państwa i firmy będą w coraz większym stopniu zdawać sobie sprawę, że chmura nie jest prawem natury, ale wyborem. I jak każdy wybór, można go ponownie rozważyć - zwłaszcza jeśli w pewnym momencie ryzyko wydaje się większe niż wygoda.

Aktualne artykuły na temat sztuki i kultury

Dlaczego Dieter Bohlen mówi, gdy inni milczą: Portret pracowitości i jasności

-

2. grudzień 2025

Decyzje w cieniu wstrząsów

Kariera, światopogląd, przyszłość: decyzje w cieniu wstrząsów

-

25. październik 2025

Grenlandia na celowniku: USA i Trump

Grenlandia, Trump i kwestia przynależności: historia, prawo i rzeczywistość

-

9. styczeń 2026

Teoria gier wyjaśnia 25 lat geopolityki

Teoria gier wyjaśnia 25 lat geopolityki: jak Europa straciła swoją strategiczną rolę

-

11. grudzień 2025

Zostaw komentarz Anuluj pisanie odpowiedzi

Czy zabijanie jest niegodne? Co zabijanie robi z osobą, która go dokonuje? To pytanie przewija się przez mój nowy artykuł na temat godności, przemocy i odpowiedzialności - od morderstw i terroru po żołnierzy w akcji. Tekst jest teraz uzupełniony imponującymi raportami wideo na temat PTSD i długoterminowych konsekwencji wojny. Każdy, kto chce zrozumieć, co naprawdę oznacza rozmieszczenie - poza sloganami i debatami - znajdzie tutaj spokojne, uczciwe podejście. #Dignity #War #PTBS #Bundeswehr #Ethics #Violence #Responsibility

24.01.2026 - @MarkusSchall

Aktualizacja artykułu Jeffreya Sachsa: Nowa rozmowa wideo na temat Davos, WEF 2026 i roli Europy w globalnej polityce. Jeffrey Sachs opisuje, dlaczego Europa coraz częściej tylko reaguje, podczas gdy inni gracze formułują swoje własne interesy. Bez oburzenia, bez sloganów - po prostu trzeźwa ocena rzeczywistości geopolitycznej. Każdy, kto chce zrozumieć, dlaczego Europa wydaje się obecnie tak zdezorientowana, znajdzie tu cenny materiał do przemyśleń. #JeffreySachs #WEF #Davos #Europe #Geopolitics #World politics #Classification

23.01.2026 - @MarkusSchall

„Detoksykacja“ nie jest trendem, ale tematem o wielu aspektach - od efektu wiązania w jelicie po procedury mobilizujące. Kwasy humusowe działają miejscowo i łagodnie, wchłaniając substancje w przewodzie pokarmowym, zanim spowodują one poważny stres dla organizmu. To sprawia, że są one interesujące dla wielu osób, które nie chcą poważnych skutków ubocznych. Detoksykacja nie musi być ekstremalna, ale może działać w tle - jak naturalny filtr, który ułatwia codzienne życie. 1TP24Detox #Detox #Health #Humic acids #HealthyLiving #Naturalne

23.01.2026 - @MarkusSchall

Co się dzieje, gdy postawa jest nie tylko indywidualna, ale ma trwały wpływ? Ten portret Niny Hagen i Cosmy Shivy Hagen pokazuje dwie bardzo różne ścieżki - a jednak wspólną wewnętrzną niezależność. Żadnej pozy, żadnego mitu, żadnego fanowskiego tekstu. Zamiast tego ich początki, zerwania, decyzje i pytanie, jak pozostać widocznym, nie pozwalając się zawłaszczyć. Dwa pokolenia, dwie formy ekspresji, jedna konsekwencja. #NinaHagen #CosmaShivaHagen #Portret #Hattitude #Chistoria współczesna

22.01.2026 - @MarkusSchall

Od czasu sabotażu Nord Stream dostawy energii w Europie nie stały się bardziej niezależne, ale raczej bardziej zależne. Gaz rurociągowy został zastąpiony przez LNG, kontrakty długoterminowe przez rynki spotowe, przewidywalność przez zmienność. Kwestią otwartą pozostaje to, czy ta nowa zależność - przede wszystkim od USA - jest bardziej stabilna w dłuższej perspektywie, czy tylko wygodniejsza politycznie. Ten artykuł trzeźwo kategoryzuje tło, teorie i konsekwencje. #NordStream #Energia #LNG #Europa #USA #Geopolityka

22.01.2026 - @MarkusSchall

Przegląd prywatności

Ta strona internetowa wykorzystuje pliki cookie w celu poprawy komfortu korzystania z niej. Spośród nich pliki cookie sklasyfikowane jako niezbędne są przechowywane w przeglądarce użytkownika, ponieważ są one niezbędne do działania podstawowych funkcji witryny. Używamy również plików cookie stron trzecich, które pomagają nam analizować i rozumieć sposób korzystania z tej witryny. Te pliki cookie będą przechowywane w przeglądarce użytkownika wyłącznie za jego zgodą. Użytkownik ma również możliwość rezygnacji z tych plików cookie. Jednak rezygnacja z niektórych z tych plików cookie może wpłynąć na wygodę przeglądania.

Niezbędny

Zawsze włączone

Niezbędne pliki cookie są absolutnie konieczne do prawidłowego funkcjonowania strony internetowej. Te pliki cookie zapewniają podstawowe funkcje i zabezpieczenia strony internetowej, anonimowo.

Ciasteczko	Czas trwania	Opis
cookielawinfo-checkbox-analytics	11 miesięcy	Ten plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii "Analytics".
cookielawinfo-checkbox-functional	11 miesięcy	Plik cookie jest ustawiany przez RODO w celu rejestrowania zgody użytkownika na pliki cookie w kategorii "Funkcjonalne".
cookielawinfo-checkbox-necessary	11 miesięcy	Ten plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent. Ten plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii "Niezbędne".
cookielawinfo-checkbox-others	11 miesięcy	Ten plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent. Ten plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii "Inne".
cookielawinfo-checkbox-performance	11 miesięcy	Ten plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii "Wydajność".
viewed_cookie_policy	11 miesięcy	Plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent i służy do przechowywania informacji o tym, czy użytkownik wyraził zgodę na korzystanie z plików cookie. Nie przechowuje on żadnych danych osobowych.

Reklama

Inne

↑