Die Debatte um die Nutzung von Big (US) Tech durch den öffentlichen Sektor läuft bereits seit einigen Jahren. Während sie bis Ende 2024 eher eine Nischenerscheinung darstellte (ein Debätteli, könnte man auf Schweizerdeutsch sagen), so hat die seit einem Jahr herrschende internationale „Abrissbirnenpolitik“ (so die diesjährige Münchner Sicherheitskonferenz) dazu geführt, dass sich Regierungen überall fragen, ob es noch vertretbar sein kann, die gesamten Daten der Verwaltung, und damit auch der Bürgerinnen und Bürger eines Landes, US-Hyperscalern zu übergeben.
von Esther Zysset
Stand der digitalen (Un-)Souveränität
Wir alle kennen die Attacken auf den Rechtsstaat, die unter der Trump-Präsidentschaft zur Norm geworden sind. One of many cases in point: die angebliche Sperrung des Microsoft-E-Mail-Kontos von Karim Kahn, Chefankläger des Internationalen Strafgerichtshofs, durch Microsoft anfangs 2025.
Das Problem lässt sich für den öffentlichen Sektor unschwer als politisches Risiko erkennen, das sowohl international als auch auf Bundesebene und in verschiedenen Kantonen zu Auseinandersetzungen geführt hat. So tobt u.a. in Luzern ein politischer Streit um die Migration von Verwaltungsdaten in die Microsoft-Cloud (Luzerner Zeitung, Paywall), während der Armee-Chef Thomas Süssli im vergangenen Herbst verlauten liess, für Armeedaten käme Microsoft nicht in Frage (NZZ, Paywall). Der Bundesrat fragt sich in seinem Bericht zur digitalen Souveränität, ob die Vertraulichkeit der Daten bei der Speicherung in US-Clouds gewährleistet sei (p. 17), gleichzeitig sind unterdessen nun sämtliche der 54’000 Arbeitsplätze der Bundesverwaltung in die MS-Umgebung migriert worden.
Rechtsgutachten Uni Köln
Kürzlich wurde via das deutsche Öffentlichkeitsgesetz
ein Rechtsgutachten publiziert, das von der Uni Köln im Auftrag der Bundesrepublik Deutschland im März 2025 erstellt worden war und das Datenzugriffe durch US-Behörden bei der Nutzung von Cloud-Diensten adressiert. Das Gutachten enthält wenig Neues – die weitgehenden Zugriffsrechte nach US-Recht waren bereits seit Langem bekannt. Das Dokument geht aber auf ein noch unter Präsident Biden erlassenes, neueres Gesetz von 2024 ein, nämlich den Reforming Intelligence and Securing America Act (RISAA). Dieser trat nach dem letzten EU-Kommissionsbeschluss in Kraft,
mit der die USA datenschutzrechtlich trotz der erwähnten Behördenzugriffe für gut befunden wurden. Der RISAA erweitert den Kreis der Herausgabepflichtigen für den Zugriff auf Daten von nicht-US-Personen unter einem bestehenden Regelwerk, so dass nicht mehr nur Anbieterinnen von Telekommunikationsdienstleistungen in Frage kommen, sondern verschiedenste Dienstleisterinnen, unter ihnen auch Cloud-Computing-Anbieterinnen. In diesem Zusammenhang äussert sich der Gutachter sehr kritisch über die Vereinbarkeit des aktuell geltenden Rechtfertigungsmechanismus für die Übermittlung von Daten in die USA, das EU-US Data Privacy Framework, auf dem der erwähnte EU-Kommissionsbeschluss gründet, mit den Europäischen Menschenrechten. Auch die Schweiz ist mit den USA ein gleich gelagertes CH-US Data Privacy Framework eingegangen, worauf der Bundesrat den US-Datenschutz auf dieser Basis für die Übermittlung von Personendaten ebenfalls als ausreichend anerkannt hat. Deshalb sind die Ausführungen im Gutachten der Uni Köln auch für die Schweiz relevant.
Dem Gutachter wurde auch die Frage gestellt, ob die Herausgabepflicht für Daten ausserhalb der USA unter dem CLOUD Act, einem umstrittenen Regelwerk mit extraterritorialer Wirkung, das den US-Behörden Zugriff auf Daten ausserhalb der USA ermöglicht, dadurch umgangen werden könnte, dass sich die Cloud-Anbieterin selbst technisch „aus der Cloud ausschliesst“. Damit könnte die Cloud-Anbieterin die Personendaten, die von der Verwaltung in ihren Rechenzentren bearbeitet werden, nicht einsehen. Der Gutachter verneint dies mit der Begründung, dass für die Cloud-Anbieterin in solchen Fällen nach US-Recht Bussen drohen, wenn sie ihrer Herausgabepflicht nicht nachkommt, womit an der Umsetzung einer solchen Lösung durch die Cloud-Anbieterin gezweifelt werden kann. Es spricht aber unseres Erachtens weiterhin nichts dagegen, dass die öffentliche Verwaltung selbst eine Verschlüsselung vornimmt und es somit die Kundin ist, die eigenhändig die Cloud-Anbieterin von den verwalteten Daten ausschliesst (Bring Your Own Key, Hold Your Own Key, etc.). Eigentlich müsste auch nur eine solche Lösung zu einem echten Ausschluss der Anbieterin führen, weil sie in einem solchen Szenario nicht über die nötigen Schlüssel zur Aufhebung der Verschlüsselung verfügt. Diese Lösung wird aber als technisch anspruchsvoll bezeichnet.
Resolution der Konferenz der CH-Datenschutzbehörden
Als weitere Akteurin in der grossen Debatte hat auch privatim, die Konferenz der Datenschutzbehörden der Schweiz, im November 2025 eine
neue Resolution erlassen, in der sie die Zulässigkeit der Auslagerung von besonders schützenswerten Personendaten oder Daten, die gewissen Geheimhaltungspflichten unterstehen, in Clouds von US-Hyperscalern nur mit eigener Verschlüsselung durch die Behörde, also dem obenerwähnten, technisch sehr anspruchsvollen Vorgehen, überhaupt als zulässig erachtet. Obwohl wir der Meinung sind, dass sich diese Haltung von privatim rechtlich durchaus herleiten lässt (für eine mögliche Begründung siehe
hier – der öffentliche Sektor untersteht anderen Regeln als die Privatwirtschaft), so werden die juristischen Gründe in der Resolution nicht eingehend hergeleitet. Stattdessen werden sie ergänzt mit vertragsrechtlichen Problemen, so etwa die fehlende vertragliche Transparenz und der Kontrollverlust, die zwar sehr relevant sind, streng genommen aber nicht in die Zuständigkeit der Aufsichtsbehörden fallen.
Ausblick
Die grosse Debatte ist also noch nicht vorbei. Wir bei Public Sector Law warten daher gespannt auf folgende mögliche nächste Episoden im Drama um die Nutzung von US-Tech, Popcorn in der Hand, vor dem Laptop-Bildschirm, so z.B.:
Blogposts direkt in die Inbox erhalten? HIER können Sie sich für unseren Newsletter anmelden.
Bild: yousafbhutta on Pixabay
