(Schweizerische) DSK warnt vor internationalen Cloud-Lösungen
privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, hat am 24. November 2025 eine »Resolution zur Auslagerung von Datenbearbeitungen in die Cloud« verabschiedet. Damit sprechen sich die Datenschutzbehörden gegen die Nutzung internationaler Public Clouds bzw. SaaS-Dienste durch öffentliche Stellen aus, wenn besonders schützenswerte oder gesetzlich geheimhaltungspflichtige Personendaten betroffen sind.
Wesentliche Kritikpunkte
- Viele etablierte Cloud- und SaaS-Anbieter, etwa die großen „Hyperscaler“, bieten derzeit keine echte Ende-zu-Ende-Verschlüsselung. Damit bleibt der Anbieter in der Lage, auf Klartextdaten zuzugreifen.
- Die Kontrolle über technische und organisatorische Schutzmaßnahmen, Subunternehmerketten und Release- bzw. Change-Management bleibt globalen Anbietern oft unüberschaubar – was öffentliche Stellen nicht verlässlich beurteilen können.
- Zudem besteht das Risiko, dass US-Anbieter auf Grundlage des CLOUD Act verpflichtet werden könnten, Daten an US-Behörden herauszugeben – selbst wenn die Daten in Schweizer oder EU-Rechenzentren gespeichert sind.
Bedingungen für eine zulässige Nutzung
Die Resolution stellt klar: Eine Auslagerung sensibler oder geheimhaltungspflichtiger Daten sei nur dann akzeptabel, wenn die verantwortliche Behörde die Daten selbst verschlüsselt und der Cloud-Anbieter keinen Zugang zu den Entschlüsselungsschlüsseln erhält. Andernfalls sei die Nutzung solcher internationalen Cloud-Dienste in der Regel unzulässig.
Bedeutung für Datenschutzpraxis und Behörden
Die Stellungnahme von privatim sendet ein deutliches Signal für Behörden und öffentliche Stellen: Der Datenschutz und die Informationssicherheit personenbezogener Daten müssen Vorrang haben – insbesondere, wenn es sich um besonders schützenswerte Informationen handelt. Für Datenschutzverantwortliche bedeutet das: Vor dem Einsatz von SaaS- oder Public-Cloud-Diensten ist eine sorgfältige Risikoanalyse erforderlich. Wo technische und organisatorische Garantien wie Verschlüsselung nicht zweifelsfrei gegeben sind, sollte auf Cloud-Outsourcing verzichtet oder auf Alternativen wie Private Clouds bzw. eigene On-Premises-Lösungen ausgewichen werden.
(Foto: john – stock.adobe.com)
Verwandte Produkte
-
0,00 € Mehr erfahren
-
0,00 € Mehr erfahren
-
0,00 € Mehr erfahren
Das könnte Sie auch interessieren
-
Folge 93: Digitale Souveränität in menschlicher Hoheit
Die Digitale Souveränität Europas ist ein Gebot dieser Zeit. Die menschliche Hoheit in Zeiten zu behalten, in denen KI-Systeme uns das Denken abnehmen können, ist ein anderes. Die Menschen in Europa müssen nun beweisen, dass sie den Herausforderungen gewaschen sind. Die EU und ihre Mitgliedstaaten müssen einen regulatorischen Rahmen schaffen, der Menschenrechte und gute wirtschaftliche
Mehr erfahren -
Einheitliches DSFA-Muster zur öffentlichen Konsultation veröffentlicht
Der Europäische Datenschutzausschuss (EDSA) hat am 10. März 2026 ein standardisiertes Muster für Datenschutz-Folgenabschätzungen (DSFA/DPIA) nach Art. 35 DS-GVO verabschiedet und am 14. April 2026 zur öffentlichen Konsultation gestellt. Rückmeldungen können bis zum 9. Juni 2026 eingereicht werden. Ziel ist eine europaweit einheitliche DSFA-Dokumentation: Nach Abschluss der Konsultation sollen alle nationalen Datenschutzbehörden das Template als
Mehr erfahren -
Transportverschlüsselung reicht aus: Anforderungen an E-Mail-Sicherheit nach Art. 32 DS-GVO
Mit Urteil vom 2. April 2026 (Az. 29 K 7351/23) hat das Verwaltungsgericht Düsseldorf entschieden, dass die Übermittlung personenbezogener Daten per E-Mail mittels Transportverschlüsselung grundsätzlich ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 DS-GVO gewährleistet. Eine Ende-zu-Ende-Verschlüsselung ist nicht generell erforderlich. Sachverhalt Dem Verfahren lag ein Verkehrsunfall zugrunde, bei dem ein Busunternehmen den
Mehr erfahren
