Seit geraumer Zeit kann ein kritischer Grundtenor der kantonalen Datenschutzbeauftragten zum Thema «Public Cloud» und insbesondere Microsoft 365 (M365) vernommen werden. Dazu gesellten sich auch politische Vorstösse, unter anderem in den Kantonen Luzern, St.Gallen, Aargau und Basel-Stadt.

Das Spannungsfeld zwischen Amtsgeheimnis, Datenschutz und dem U.S. CLOUD Act, welcher als mächtiges Mittel der amerikanischen Strafverfolgung Tür und Tor bei US-basierten Unternehmen öffnet, hat von Anfang an stark polarisiert. Der Amtsantritt von US-Präsident Trump hat das Vertrauen in die amerikanischen Intuitionen weiter geschwächt und so die kantonalen Datenschutzbeauftragten in ihrer Kritik bestärkt.

Die eben erst veröffentlichte Resolution von privatim, der Konferenz der Schweizer Datenschutzbeauftragten, bläst weiter genau in dieses Horn. Sie erklärt die «Auslagerung von sensitiven Personendaten durch öffentliche Organe in Cloud-Anbieter» als «in den meisten Fällen unzulässig». Damit werden SaaS-Anwendungen gemeint, namentlich z.B. explizit M365. Dasselbe wird auch bereits seit Jahren in der EU von der europäischen Agency for Cybersecurity (ENISA) gefordert. Die Resolution von privatim ist also weniger eine Momentaufnahme als vielmehr ein Trend, der zunehmend an Zugkraft gewinnt.

Die Interpretation dieser Resolution, ein nicht unmittelbar verbindlicher Beschluss aber eine dennoch öffentlich sehr wirksame und fachlich anerkannte Positionierung, lässt dabei laut prominenten Schweizer Juristen wenig Interpretationsspielraum. So bezeichnen die beiden Rechtsanwälte David Vasella und Martin Steiger die Publikation als drastischen Einschnitt in die Nutzung dieser internationalen Cloud-Dienste, wobei beide hervorheben, dass ein effektives Verbot nur durch Gesetzgebung möglich wäre. Vor diesem Hintergrund ist die Resolution vielmehr ein Impuls für verantwortungsvolle Weiterentwicklung als ein rechtlich zwingendes Hindernis. Sie fordert Sorgfalt, nicht Stillstand, ist aber ein klarer Indikator, in welche Richtung es in den Augen der Behörden gehen soll.

Die Resolution von Privatim ist ein Wachruf. Sie zwingt Behörden und Organisationen nicht zum abrupten Stopp sämtlicher Vorhaben, sondern zur Reife. Es reicht nicht mehr, Daten einfach «in die Cloud zu laden» und zu vertrauen, dass schon alles gut geht. Jetzt zählt, wer die Kompetenz hat, den sicheren Pfad zu definieren und umzusetzen. Auch eine formelle Datenschutz-Folgeabschätzung (DSFA) und die pauschale Akzeptanz sämtlicher Risiken genügt nicht. Der Weg in die Public Cloud muss organisatorisch und technisch Hand und Fuss haben, sensible Personendaten müssen geschützt sein. Souveränität wird bevorzugt.

Genau hier können wir Sie unterstützen: Wir bauen keine Meinungen, wir bauen Lösungen. Wir ermöglichen eine sichere Cloud-Nutzung durch wirksame technische und organisatorische Schutzmechanismen. Echte Kundenschlüsselkontrolle mit Vorverschlüsselung oder Doppelverschlüsselung (Double-Key-Encryption), Exit-Strategien, DLP-Mechanismen und natürlich souveräne Schweizer Cloud-Alternativen sind unsere Trümpfe.

Die Zukunft lautet nicht «Public Cloud verbieten», sondern «wenn Public Cloud, dann aber sicher, souverän und vertrauenswürdig».