Das Swiss Chapter der Cloud Security Alliance als auch die globale Organisation engagieren sich seit Jahren für eine angemessene Informationssicherheit in der Cloud. Die Cloud Security Alliance (CSA) ist eine der grössten weltweit agierenden gemeinnützigen Organisationen im Bereich der Cloud Sicherheit, die sich mittels Working Groups einzelnen Themen widmet und durch lokale Chapters in vielen Ländern aktiv ist. Mit z.B. den CSA STAR und den CSA Enterprise Authority To Operate Controls Framework (EATO) hat die CSA anerkannte Standards für die Evaluierung von Cloud Anbietern etabliert.

Das Swiss Chapter der CSA begrüsst, dass Privatim und die kantonalen Datenschutzbeauftragten erkannt haben, dass ein angemessener Datenschutz und ein Schutz der Privatsphäre erst durch ausreichende Datensicherheit möglich wird und besondere Risiken im Einzelfall analysiert und mit geeigneten Massnahmen auf ein tragbares Mass reduziert werden müssen.

Die Privatim-Resolution vom 18. November 2025 ist rechtlich unverbindlich, spiegelt aber dennoch die Haltung vieler kantonaler Datenschutzbehörden wider. Einige Aufsichtsbehörden haben sich bereits explizit zur Cloud-Nutzung geäussert (zum Beispiel Zürich, Basel und Luzern). Aus diesem Grund lohnt sich eine Analyse dieser Resolution und ein Praxischeck aus Sicht des CSA Swiss Chapters.

Welche Cloud-Anbieter sind wirklich gemeint?

Neben internationalen Hyperscalers wird in der Einführung der Privatim Resolution von «Cloudbasierter-Software» und «Anwendungen» bzw. «SaaS-Anwendungen» gesprochen. Das Fazit allerdings bezieht sich ausschliesslich auf «internationale SaaS-Lösungen». Eine klarere Differenzierung nach den bekannten Modellen IaaS, PaaS und SaaS wäre wünschenswert, um die Aussagen der Resolution präziser interpretieren zu können (z.B. NISTSP 800-145 oder Rechtlicher Rahmen Public‑Cloud‑Dienste Bundesverwaltung, S.7ff).

Die Definition von «international» bleibt unklar:

Bezieht sie sich der Begriff auf den Eigentümer (z.B. Firma «Green.ch», d.h. Unternehmen mit ausländischen Eigentümern?) oder ist hierbei der Betriebssitz oder die Herkunft von Tech-Stack-Komponenten gemeint? Gilt bereits ein Schweizer Anbieter als international, wenn dieser mehr als 50 % ausländische Komponenten (Services) nutzt oder die Daten in Rechenzentren von ausländischen Anbietern gespeichert sind (wie bspw. bei den Hyperscalern)? Zudem lässt die Privatim-Resolution ausser Acht, dass bei Cloud Computing diverse Subunternehmer eingebunden sind. Es wäre daher wichtig auf die gesamte Lieferkette zu achten. Kürzliche Ausfälle von grösseren internationalen IT-Anbietern haben gezeigt, dass viel mehr Anbieter von ausländischen Subunternehmern abhängig sind, als gedacht und oft ein Schweizer Anbieter nur auf den ersten Blick souverän ist. Diese Konzentrations- und Resilienz-Risiken gilt es zu berücksichtigen. Es bleibt vorliegend unklar, ob das ebenfalls gemeint ist oder wo hier die Grenze liegen soll.

Die Resolution verzichtet auf den in der Informationssicherheit üblichen risikobasierten Ansatz. Einerseits herrscht Null-Risiko-Toleranz gegenüber ausländischen Herausgabeforderungen von Strafbehörden, andererseits werden andere Risiken ausgeblendet. Diese Einseitigkeit wirkt für das CSA Swiss Chapter unausgewogen und praxisfern. Es lässt den risikobasierten Ansatz vermissen (vgl. Rechtlicher Rahmen Public‑Cloud‑Dienste Bundesverwaltung).

‍

Zu den konkreten Punkten:

Zu Punkt 1: Ende-zu-Ende-Verschlüsselung ist nur eine von zahlreichen technischen Massnahmen und sollte nicht alleine im Fokus stehen. Vielmehr braucht es ein durchgängiges, risikobasiertes Konzept mit Zero-Trust-Prinzipien für Access- und Identity-Management, Temporary Privileged Access Management, Segregation of Duties, starke Multi-Faktor-Authentifizierung, kundenspezifisches Key- und Key-Process-Management sowie standort- und jurisdiktionsgerechte Speicherung und Prozessimplementierung für alle Cloud-Services über die gesamte Lieferkette. Die jeweils passenden Massnahmen sind anhand der Risiken sowie der technischen und betrieblichen Anforderungen an die Lösung zu wählen. Die ausschliessliche Forderung nach BYOK oder HYOK verkennt, dass die Vorteile vieler SaaS-Anwendungen dann nicht mehr genutzt werden können. Für das Funktionieren ist vielfach ein Zugriff durch den Anbieter auf technischer Ebene notwendig. Eine echte Ende-zu-Ende-Verschlüsselung würde zudem zentrale Sicherheits- und Betriebsfunktionen wie Malware-Scans, Threat Protection, Data Loss Prevention, forensische Analysen und moderne Kollaboration unmöglich machen Aus Sicht des CSA Swiss Chapter fehlt hier eine angemessene Risikoabwägung.

‍

Zu Punkt 2: Grundsätzlich sollten jedoch alle Anbieter, die Leistungen für öffentliche Einrichtungen erbringen, unabhängig von ihrem Sitz, zu Transparenz und Vertragstreue verpflichtet werden. Das CSA Swiss Chapter teilt die Ansicht, dass auch bei internationalen Anbietern ein Recht auf Auditierung gewährleistet sein muss. Zwar können nationale Gesetze eine Prüfung oder den Zugriff auf Anbieter und deren Subunternehmer erschweren oder sogar verhindern, dennoch ist dieses Prüfungsrecht für öffentliche Institutionen unabdingbar. Es muss bereits im Beschaffungsprozess verbindlich verankert werden.

Erfahrene und etablierte Anbieter gehen längst über reine Selbstauskünfte hinaus und stellen ihren Kunden umfassende, standardisierte Prüfberichte, Zertifikate und Attestierungen zur Verfügung, darunter beispielsweise:

• SOC 2- und CSA STAR-Level 2 Reports

• C5-Zertifizierung

• NIST SP 800-53

• PCI-DSS, PCI-3DS, PCI-PIN

• ISO-27001-Zertifikate (Zur Erfüllung der regulatorischen Anforderungen meist nicht ausreichend)

• CSA-Self-Assessments zur Abfrage technischer und organisatorischer Kontrollen

• Ausführliche Security Whitepapers

• Vollständige Auflistung aller Subprozessoren inklusive Nachweise zu Standardvertragsklauseln, TOMs sowie bisherigen Auditergebnissen

Vor diesem Hintergrund ist nicht ersichtlich, welche spezifischen Transparenzdefizite Privatim bemängelt. Zwar existiert aktuell keine Zertifizierung oder Attestierung, die explizit auf öffentliche Institutionen oder die Verarbeitung besonders schützenswerter Daten zugeschnitten ist; dennoch decken bestehende Prüfmechanismen bereits heute einen wesentlichen Teil der Anforderungen ab. Öffentliche Einrichtungen kommen jedoch um eine fundierte Risikoanalyse nicht herum, die dafür relevanten Informationen sind allerdings verfügbar.

An dieser Stelle setzt das neue CSA Enterprise Authority to Operate Controls Framework (EATO) an: Es definiert ein festes Controls-Framework, das die gesamte Lieferkette, nicht nur den unmittelbaren Vertragspartner, hinsichtlich regulatorischer Anforderungen bei der Bearbeitung besonders schützenswerten Daten prüft. Einschliesslich eines auf KPCi basierenden kontinuierlichen Monitorings, das auf allen Stufen der Lieferkette greift und über geeignete Vertragsbedingungen nachgewiesen werden muss. Damit könnte für öffentliche und andere regulierte Organisationen ein gemeinschaftlich nutzbares, tiefgehendes Prüfsystem entstehen, das jede Stufe der Lieferkette abdeckt, ohne dass jede Institution sämtliche Einzelschritte eigenständig verifizieren muss.

Es gibt somit durchaus die Möglichkeit Anbieter wirksam zu prüfen und zu überwachen. Fehlende Transparenz ist dabei nicht das Problem, sondern oft eine Frage der Ressourcen und der konsequenten vertraglichen und organisatorischen Umsetzung.

‍

Zu Punkt 3: Jede Form der Auslagerung führt naturgemäss zu einer gewissen Einschränkung der eigenen Kontrollmöglichkeiten, sei es bei Cloud‑Diensten oder anderen ausgelagerten Leistungen wie etwa Scanning‑Zentren. Einem Kontrollverlust muss das Organ mit angemessenen Massnahmen gegensteuern. Zentrale Grundlage ist eine fundierte Risikoanalyse, deren Durchführung in der Verantwortung des öffentlichen Organs selbst liegt und nicht an die Aufsichtsbehörde delegiert werden kann. Eine genaue Prüfung der Auslagerung betrifft nicht nur internationale, sondern ebenso lokale Anbieter. Für eine effektive Kontrolle ist entscheidend, mit Anbietern und deren gesamter Lieferkette rechtlich bindende Vereinbarungen abzuschliessen. Diese müssen ausdrücklich festlegen, dass sowohl Speicherung als auch Bearbeitung der Daten innerhalb des relevanten rechtlichen bzw. regulatorischen Hoheitsgebiets erfolgen. Gerade bei Cloud‑basierten Diensten ist dies nicht automatisch gewährleistet und muss durch das öffentliche Organ aktiv bestimmt und vertraglich durchgesetzt werden sowie dann auch technisch so eingestellt werden. Solche Kontrollmechanismen sind technisch und rechtlich bereits heute umsetzbar, erfordern jedoch entsprechendes Fachwissen, personelle Ressourcen und die Bereitschaft, diese Vorgaben konsequent in der Praxis anzuwenden. Im Weiteren ist ein Vendor‑Lock‑in zu vermeiden. Als Bestandteil der Business‑Continuity‑Management‑Strategie (BCM) sollte jedes öffentliche Organ einen belastbaren Exit‑Plan für geplante wie auch ungeplante Beendigungen des Services entwickeln.

Ein generelles Verbot der Auslagerung von Auftragsbearbeitungen, die besonders schützenswerte Personendaten betreffen, ist aktuell in keinem kantonalen Datenschutzgesetz vorgesehen; hierfür wäre eine explizite Gesetzesänderung notwendig. Sofern die gesetzlichen Pflichten eingehalten sind, können auch besonders schützenswerte Personendaten in der Cloud bearbeitet werden.

‍

Zu Punkt 4: In der öffentlichen Diskussion werden Personendaten und Amtsgeheimnisse häufig gleichbehandelt, obwohl sie unterschiedlichen gesetzlichen Anforderungen unterliegen. Während die kantonalen Datenschutzaufsichtsbehörden sowie der EDÖB die Einhaltung der Datenschutzbestimmungen überwachen, verfolgen und ahnden Strafverfolgungsbehörden unrechtmässige Offenbarungen von Amtsgeheimnissen. Das ist insofern wichtig, als alle kantonalen Datenschutzgesetze eine Regelung zur Auftragsbearbeitung beinhalten und eine Auslagerung zulässig ist. Aus datenschutzrechtlicher Sicht ist eine Cloud-Nutzung daher grundsätzlich zulässig (vgl. Rechtlicher Rahmen Public‑Cloud‑Dienste Bundesverwaltung, S.5), sofern angemessene vertragliche, technische und organisatorische Massnahmen getroffen werden. Es stellt sich zudem die Frage, ob überhaupt eine Personendatenbearbeitung stattfindet, wenn im Normalbetrieb kein Klartextzugriff stattfindet und dieser bspw. via Customer Lockbox, Defend-your-data-Klauseln, Standardvertragsklauseln, Audit- und Zugriffskontrollen verhindert und vertraglich verboten ist. Die Risikoanalyse zur Einhaltung des Amtsgeheimnisses obliegt dem öffentlichen Organ, da es eben nicht in den Aufsichtsbereich der Datenschutzaufsichtsbehörden fällt. Um eine Auslagerung zu ermöglichen, müssen öffentliche Organe insbesondere vertraglich sicherstellen, dass besonders schützenswerte Daten ausschliesslich im relevanten rechtlichen bzw. regulatorischen Hoheitsgebiet gespeichert und bearbeitet werden und dies operativ überprüfbar ist. Zugriffsrechte , reguläre wie privilegierte, sind strikt zu steuern und durch geo‑location‑basierte Kontrollen, starke Multi‑Faktor‑Authentisierung sowie bei Bedarf temporäre Freigaben zu regeln.

‍

Zu Punkt 5: Die pauschale Behauptung, der CLOUD Act verpflichte US Anbieter ausnahmslos zur Herausgabe von Kundendaten an US Behörden, selbst wenn diese in der Schweiz gespeichert sind, ist juristisch nicht haltbar. Der CLOUD Act findet ausschliesslich im Rahmen strafrechtlicher Ermittlungen Anwendung und eröffnet US‑Strafverfolgungsbehörden die Möglichkeit, bei US‑Unternehmen auch im Ausland gespeicherte Daten anzufordern (vgl. Bericht des Bundesrates zum CLOUD Act sowie Kann Donald Trump effektiv auf alle unsere Daten zugreifen?) . Diese Pflicht ist jedoch durch die sogenannte comity analysis eingeschränkt, bei der eine Abwägung mit kollidierendem ausländischem Recht erfolgt (vgl. Bericht des Bundesrates zum CLOUD Act sowie Demystifying the U.S. CLOUD Act: Assessing the law’s compatibility with international norms and the GDPR). Ein Zugriffsbegehren ist stets einer richterlichen Prüfung unterworfen und erfolgt nicht willkürlich.

Mehrere renommierte Juristen ((vgl. Rosenthal, Frequently Asked Questions (FAQ) on the Risk Of Foreign Lawful Access and the Statistical"Rosenthal" Method For Assessing It, FAQ 32 und 35 sowie Demystifying the U.S. CLOUD Act: Assessing the law’s compatibility with international norms and the GDPR) vertreten zudem die Auffassung, dass keine Herausgabepflicht besteht, wenn Custody und Control vollständig im europäischen Rechtsraum verbleiben (z. B. unabhängige europäische Tochtergesellschaften, Treuhandlösungen oder Customer Lockbox), vorausgesetzt, dass geeignete technische, organisatorische und vertragliche Schutzmassnahmen implementiert sind. Die genaue Analyse des Zusammenspiels von technischem und vertraglichem Setup ist hierbei zentral. Bei der Prüfung von Custody und Control ist entscheidend, ob etwa Support und Verwaltungsleistungen direkt aus den USA erbracht werden (indizierend für eine Control dort) oder ob technische Mechanismen wie eine Customer Lockbox den Zugriff aus den USA wirksam ausschliessen.

Auf vertraglicher Ebene sollten robuste Defend Your Data-Klauseln vorgesehen sein. Diese sind inzwischen bei allen grossen Anbietern üblich und verpflichten sie, gegen Behördenanfragen rechtlich vorzugehen. In der internationalen Praxis erfolgt der Zugriff auf Auslanddaten weiterhin überwiegend über das Rechtshilfeverfahren im Rahmen von MLATs, insbesondere in komplexen oder politisch sensiblen Fällen. Die vereinfachte Aussage von Privatim blendet diese Nuancen aus und kann den irreführenden Eindruck erwecken, ein direkter, ungehinderter Zugriff US amerikanischer Behörden sei jederzeit möglich und ohne wirksamen Rechtsschutz. Dem widerspricht die differenzierte Beurteilung durch EU und Schweiz im Rahmen ihrer Angemessenheitsbeschlüsse, die zu dem Ergebnis gelangen, dass ein ausreichender Rechtsschutz besteht. Zudem ist seit Inkrafttreten des CLOUD Act kein einziger dokumentierter Fall einer Herausgabe von EU/EFTA Public Sector Daten bei Microsoft bekannt. Die Eintrittswahrscheinlichkeit eines solchen Szenarios ist nachweislich extrem gering und liegt deutlich unter realen Bedrohungen wie Ransomware, die täglich auftreten. Würde man dieselben Massstäbe auf vergleichbare Rechtsinstrumente anderer Länder übertragen, etwa die E-Evidence Verordnung (vgl. BJ Bericht zur e-Evidence-Vorlage der EU), müssten folgerichtig auch zahlreiche nicht-amerikanische Anbieter kritisch geprüft werden, und nicht ausschliesslich solche aus den USA.

Fazit: Eine differenziertere Betrachtung der privatim-Resolution ist angezeigt, um eine unvoreingenommene und konstruktive Diskussion über risikobasierte Sicherheitsmassnahmen zu fördern.

‍

‍