{"id":349120,"date":"2026-02-25T15:52:17","date_gmt":"2026-02-25T15:52:17","guid":{"rendered":"https:\/\/publicsector.ch\/?p=349120"},"modified":"2026-02-25T16:16:50","modified_gmt":"2026-02-25T16:16:50","slug":"nutzung-von-big-us-tech-im-oeffentlichen-sektor-un-peu-de-contexte","status":"publish","type":"post","link":"https:\/\/publicsector.ch\/en\/nutzung-von-big-us-tech-im-oeffentlichen-sektor-un-peu-de-contexte\/","title":{"rendered":"Nutzung von Big US Tech im \u00f6ffentlichen Sektor: un peu de contexte"},"content":{"rendered":"

Die Debatte um die Nutzung von Big (US) Tech durch den \u00f6ffentlichen Sektor l\u00e4uft bereits seit einigen Jahren. W\u00e4hrend sie bis Ende 2024 eher eine Nischenerscheinung darstellte (ein Deb\u00e4tteli, k\u00f6nnte man auf Schweizerdeutsch sagen), so hat die seit einem Jahr herrschende internationale „Abrissbirnenpolitik“<\/a> (so die diesj\u00e4hrige M\u00fcnchner Sicherheitskonferenz) dazu gef\u00fchrt, dass sich Regierungen \u00fcberall fragen, ob es noch vertretbar sein kann, die gesamten Daten der Verwaltung, und damit auch der B\u00fcrgerinnen und B\u00fcrger eines Landes, US-Hyperscalern zu \u00fcbergeben.<\/strong><\/p>\n

von Esther Zysset<\/strong><\/p>\n

Stand der digitalen (Un-)Souver\u00e4nit\u00e4t<\/h4>\n

Wir alle kennen die Attacken auf den Rechtsstaat, die unter der Trump-Pr\u00e4sidentschaft zur Norm geworden sind. One of many cases in point: die angebliche Sperrung des Microsoft-E-Mail-Kontos von Karim Kahn, Chefankl\u00e4ger des Internationalen Strafgerichtshofs<\/a>, durch Microsoft anfangs 2025<\/span>.<\/p>\n

Das Problem l\u00e4sst sich f\u00fcr den \u00f6ffentlichen Sektor unschwer als politisches Risiko erkennen, das sowohl international als auch auf Bundesebene und in verschiedenen Kantonen zu Auseinandersetzungen gef\u00fchrt hat. So tobt u.a. in Luzern ein politischer Streit um die Migration von Verwaltungsdaten in die Microsoft-Cloud (Luzerner Zeitung, Paywall<\/a>), w\u00e4hrend der Armee-Chef Thomas S\u00fcssli im vergangenen Herbst verlauten liess, f\u00fcr Armeedaten k\u00e4me Microsoft nicht in Frage (NZZ, Paywall<\/a>). Der Bundesrat fragt sich in seinem Bericht zur digitalen Souver\u00e4nit\u00e4t<\/a>, ob die Vertraulichkeit der Daten bei der Speicherung in US-Clouds gew\u00e4hrleistet sei (p. 17), gleichzeitig sind unterdessen nun s\u00e4mtliche der 54’000 Arbeitspl\u00e4tze der Bundesverwaltung in die MS-Umgebung migriert<\/a> worden.<\/p>\n

Rechtsgutachten Uni K\u00f6ln<\/h4>\n
K\u00fcrzlich wurde via das deutsche \u00d6ffentlichkeitsgesetz ein Rechtsgutachten publiziert<\/a>, das von der Uni K\u00f6ln im Auftrag der Bundesrepublik Deutschland im M\u00e4rz 2025 erstellt worden war und das Datenzugriffe durch US-Beh\u00f6rden bei der Nutzung von Cloud-Diensten adressiert. Das Gutachten enth\u00e4lt wenig Neues – die weitgehenden Zugriffsrechte nach US-Recht waren bereits seit Langem bekannt. Das Dokument geht aber auf ein noch unter Pr\u00e4sident Biden erlassenes, neueres Gesetz von 2024 ein, n\u00e4mlich den Reforming Intelligence and Securing America Act (RISAA). Dieser trat nach dem letzten EU-Kommissionsbeschluss in Kraft, mit der die USA datenschutzrechtlich trotz der erw\u00e4hnten Beh\u00f6rdenzugriffe f\u00fcr gut befunden wurden<\/a>. Der RISAA erweitert den Kreis der Herausgabepflichtigen f\u00fcr den Zugriff auf Daten von nicht-US-Personen unter einem bestehenden Regelwerk, so dass nicht mehr nur Anbieterinnen von Telekommunikationsdienstleistungen in Frage kommen, sondern verschiedenste Dienstleisterinnen, unter ihnen auch Cloud-Computing-Anbieterinnen. In diesem Zusammenhang \u00e4ussert sich der Gutachter sehr kritisch \u00fcber die Vereinbarkeit des aktuell geltenden Rechtfertigungsmechanismus f\u00fcr die \u00dcbermittlung von Daten in die USA, das EU-US Data Privacy Framework, auf dem der erw\u00e4hnte EU-Kommissionsbeschluss gr\u00fcndet, mit den Europ\u00e4ischen Menschenrechten. Auch die Schweiz ist mit den USA ein gleich gelagertes CH-US Data Privacy Framework eingegangen, worauf der Bundesrat den US-Datenschutz auf dieser Basis f\u00fcr die \u00dcbermittlung von Personendaten ebenfalls als ausreichend anerkannt hat. Deshalb sind die Ausf\u00fchrungen im Gutachten der Uni K\u00f6ln auch f\u00fcr die Schweiz relevant.<\/div>\n
<\/div>\n
<\/div>\n
Dem Gutachter wurde auch die Frage gestellt, ob die Herausgabepflicht f\u00fcr Daten ausserhalb der USA unter dem CLOUD Act, einem umstrittenen Regelwerk mit extraterritorialer Wirkung, das den US-Beh\u00f6rden Zugriff auf Daten ausserhalb der USA erm\u00f6glicht, dadurch umgangen werden k\u00f6nnte, dass sich die Cloud-Anbieterin selbst technisch „aus der Cloud ausschliesst“. Damit k\u00f6nnte die Cloud-Anbieterin die Personendaten, die von der Verwaltung in ihren Rechenzentren bearbeitet werden, nicht einsehen. Der Gutachter verneint dies mit der Begr\u00fcndung, dass f\u00fcr die Cloud-Anbieterin in solchen F\u00e4llen nach US-Recht Bussen drohen, wenn sie ihrer Herausgabepflicht nicht nachkommt, womit an der Umsetzung einer solchen L\u00f6sung durch die Cloud-Anbieterin gezweifelt werden kann. Es spricht aber unseres Erachtens weiterhin nichts dagegen, dass die \u00f6ffentliche Verwaltung selbst eine Verschl\u00fcsselung vornimmt und es somit die Kundin ist, die eigenh\u00e4ndig die Cloud-Anbieterin von den verwalteten Daten ausschliesst (Bring Your Own Key, Hold Your Own Key, etc.). Eigentlich m\u00fcsste auch nur eine solche L\u00f6sung zu einem echten Ausschluss der Anbieterin f\u00fchren, weil sie in einem solchen Szenario nicht \u00fcber die n\u00f6tigen Schl\u00fcssel zur Aufhebung der Verschl\u00fcsselung verf\u00fcgt. Diese L\u00f6sung wird aber als technisch anspruchsvoll bezeichnet.<\/div>\n

Resolution der Konferenz der CH-Datenschutzbeh\u00f6rden<\/h4>\n
Als weitere Akteurin in der grossen Debatte hat auch privatim, die Konferenz der Datenschutzbeh\u00f6rden der Schweiz, im November 2025 eine neue Resolution erlassen<\/a>, in der sie die Zul\u00e4ssigkeit der Auslagerung von besonders sch\u00fctzenswerten Personendaten oder Daten, die gewissen Geheimhaltungspflichten unterstehen, in Clouds von US-Hyperscalern nur mit eigener Verschl\u00fcsselung durch die Beh\u00f6rde, also dem obenerw\u00e4hnten, technisch sehr anspruchsvollen Vorgehen, \u00fcberhaupt als zul\u00e4ssig erachtet. Obwohl wir der Meinung sind, dass sich diese Haltung von privatim rechtlich durchaus herleiten l\u00e4sst (f\u00fcr eine m\u00f6gliche Begr\u00fcndung siehe hier<\/a> – der \u00f6ffentliche Sektor untersteht anderen Regeln als die Privatwirtschaft), so werden die juristischen Gr\u00fcnde in der Resolution nicht eingehend hergeleitet. Stattdessen werden sie erg\u00e4nzt mit vertragsrechtlichen Problemen, so etwa die fehlende vertragliche Transparenz und der Kontrollverlust, die zwar sehr relevant sind, streng genommen aber nicht in die Zust\u00e4ndigkeit der Aufsichtsbeh\u00f6rden fallen.<\/div>\n

Ausblick<\/h4>\n
Die grosse Debatte ist also noch nicht vorbei. Wir bei Public Sector Law warten daher gespannt auf folgende m\u00f6gliche n\u00e4chste Episoden im Drama um die Nutzung von US-Tech, Popcorn in der Hand, vor dem Laptop-Bildschirm, so z.B.:<\/div>\n