Cloud-Dienste in der Schweizer Verwaltung

Wie sich die Diskussion um Microsoft 365 zuspitzt

Cloud-Dienste in der Schweizer Verwaltung – Wie sich die Diskussion um Microsoft 365 zuspitzt

In der Schweiz wird seit einiger Zeit intensiv darüber diskutiert, wie Behörden mit internationalen Cloud-Diensten umgehen sollen. Besonders im Mittelpunkt steht Microsoft 365, das in zahlreichen Kantonen und Gemeinden bereits im Einsatz ist. Gleichzeitig sprechen Datenschutzbehörden zunehmend deutliche Warnungen aus und empfehlen teilweise weitreichende Einschränkungen. Die Debatte wirft wichtige Fragen zur Datensicherheit, zum gesetzlichen Rahmen und zur digitalen Souveränität auf.

1. Ausgangslage: Nutzung internationaler Clouds in Behörden

Viele öffentliche Stellen nutzen moderne Cloud-Plattformen wie Microsoft 365, um Arbeitsprozesse zu vereinfachen und die interne Zusammenarbeit zu verbessern. Gleichzeitig unterliegen Behörden strengen Vorgaben, wenn es um den Umgang mit personenbezogenen und besonders schützenswerten Daten geht.

Ein wesentliches Thema ist der US CLOUD Act, der US-Unternehmen verpflichtet, Daten an amerikanische Behörden herauszugeben – selbst wenn diese in europäischen oder schweizerischen Rechenzentren gespeichert sind [Q1]. Für Schweizer Behörden entsteht dadurch eine rechtliche Unsicherheit, die unter dem neuen Datenschutzgesetz (nDSG) weiter an Bedeutung gewinnt [Q2].

2. Empfehlung der Datenschutzkonferenz: Einschränkungen für internationale Clouds

Ende 2025 veröffentlichte die schweizerische Datenschutzkonferenz (Privatim) eine richtungsweisende Empfehlung: Der Einsatz internationaler Cloud-Dienste – darunter Microsoft 365, Google Cloud oder AWS – sei bei besonders schützenswerten Daten in der Verwaltung nicht zulässig [Q3].

Dies betrifft insbesondere:

  • Gesundheitsdaten
  • Sozial- und Fürsorgedaten
  • Strafverfolgungsdaten
  • Daten, die dem Amtsgeheimnis unterliegen

Da Behörden bei internationalen Cloud-Diensten nicht sicherstellen können, dass keine unbefugten Zugriffe stattfinden, sprechen Medien von einem „faktischen Cloud-Verbot“ [Q4].

Eine Ausnahme besteht nur dann, wenn Behörden die Daten eigene Ende-zu-Ende-Verschlüsselung verwenden und die Schlüssel vollständig in ihrer Kontrolle bleiben. Da dies bei SaaS-Diensten wie Microsoft 365 technisch kaum vollständig möglich ist, gelten diese Lösungen als besonders kritisch [Q5][Q6].

3. Praktische Realität: Fortgesetzte Nutzung von Microsoft 365

Trotz der Empfehlungen bleibt Microsoft 365 in vielen Kantonen und Gemeinden im Einsatz. Mehrere öffentliche Stellen haben die Einführung bereits abgeschlossen oder befinden sich mitten in der Umstellung.

Die Zürcher Datenschutzbeauftragte warnte bereits 2023 vor den Risiken internationaler Cloud-Lösungen in Behörden [Q7]. In Luzern führte die Debatte sogar zu einem bekannten Vorfall, bei dem ein CISO entlassen wurde, nachdem er datenschutzrechtliche Bedenken äußerte [Q8].

Auch Regierungsratsbeschlüsse mussten aufgrund unzureichender Risikoabwägungen korrigiert werden [Q9].

4. Zentrale Datenschutzrisiken

4.1. Kontrollverlust über Datenzugriffe

Internationale Cloud-Anbieter arbeiten mit globalen Infrastrukturen und Subunternehmen. Für Behörden ist es schwierig, vollständig nachzuvollziehen, wer potenziell Zugriff auf welche Daten hat [Q6].

4.2. Fehlende Ende-zu-Ende-Verschlüsselung

Für die Verarbeitung sensibler Daten dürfte nur Technologie eingesetzt werden, bei denen die Behörde allein über die Schlüssel verfügt. Bei Microsoft 365 ist dies nicht vollständig umsetzbar [Q5].

4.3. Risiko durch den CLOUD Act

Da Anbieter wie Microsoft dem US-Recht unterliegen, kann ein externer Zugriff nicht ausgeschlossen werden [Q7].

4.4. Rechtliche Verantwortung der Behörden

Auch bei ausgelagerten Daten bleibt die Behörde für den Datenschutz verantwortlich. Fehler eines Cloud-Anbieters führen dennoch zu Haftungsrisiken [Q1].

4.5. Grundrechtsrelevante Risiken

Berichte weisen darauf hin, dass bei sensiblen Daten die Gefahr besteht, dass unbefugte Datenzugriffe Auswirkungen auf Grundrechte haben können [Q10].

5. Auswirkungen auf Verwaltung, Gemeinden und Schulen

Die Empfehlung der Datenschutzkonferenz führt zu konkreten Folgen:

  • Behörden müssen prüfen, ob ihre Cloud-Nutzung rechtlich zulässig ist.
  • Laufende Projekte könnten verzögert oder gestoppt werden.
  • Gemeinden müssen zusätzliche Schutzmaßnahmen umsetzen.
  • Schulen stehen vor der Frage, ob Schülerdaten über US-Clouds verarbeitet werden dürfen.

Ein Leitfaden unterstützt insbesondere Gemeinden bei der datenschutzkonformen Nutzung von Microsoft 365 [Q11].

6. Entwicklungsperspektiven

6.1. Politische Klarstellung

Der Bund könnte verbindliche Vorgaben zur Cloud-Nutzung erlassen.

6.2. Steigende Anforderungen an Cloud-Anbieter

Digitale Souveränität und Schlüsselhoheit werden künftig stärker im Fokus stehen.

6.3. Aufschwung souveräner Alternativen

Schweizer Hosting-Anbieter und Open-Source-Lösungen gewinnen an Bedeutung.

6.4. Bildungssektor unter Beobachtung

Schulen müssen prüfen, welche Plattformen für die Verarbeitung sensibler Daten geeignet sind.

Quellenverzeichnis

[Q1] Besondere Risiken für die Grundrechte – datenschutz.ch
https://www.datenschutz.ch/tb/2023/besondere-risiken-fuer-die-grundrechte-m365

[Q2] Teils erhebliche Mängel – datenschutz.ch
https://www.datenschutz.ch/tb/2024/teils-erhebliche-maengel-durch-kontrollen-aufgedeckt

[Q3] Privatim Resolution – Kanton Basel-Stadt
https://www.bs.ch/news/2025-privatim-resolution-zur-auslagerung-von-datenbearbeitungen-die-cloud

[Q4] Heise: Cloud-Verbot für Behörden
https://www.heise.de/news/Schweiz-Datenschuetzer-verhaengen-breites-Cloud-Verbot-fuer-Behoerden-11093438.html

[Q5] Steiger Legal: Cloud-Verbot
https://steigerlegal.ch/2025/11/24/cloud-verbot-privatim-schweiz

[Q6] Inside-IT: M365 unzulässig
https://www.inside-it.ch/privatim-auslagerung-sensibler-behoerdendaten-in-m365-unzulaessig-20251125

[Q7] SRF: Warnung vor US-Clouds
https://www.srf.ch/news/schweiz/datenschutz-cloud-zuercher-datenschuetzerin-warnt-vor-us-clouds-fuer-behoerden

[Q8] Heise: Entlassung CISO
https://www.heise.de/news/Schweizer-Kanton-feuert-CISO-im-Streit-um-Nutzung-der-Microsoft-Cloud-10451987.html

[Q9] Regierungsratsbeschluss Zürich
https://www.zh.ch/bin/zhweb/publish/regierungsratsbeschluss-unterlagen./2025/560/RRB-2025-0560.pdf

[Q10] Datenrecht.ch – Zusammenfassung
https://datenrecht.ch/privatim-resolution-zur-auslagerung-von-datenbearbeitungen-in-die-cloud

[Q11] Neuer Leitfaden für Gemeinden – datenschutz.ch
https://www.datenschutz.ch/mitteilungen/2024/neuer-leitfaden-microsoft-365-in-gemeinden

Andre Winkelmann Sommer 2025

Hilfe und Support:

Habt ihr Fragen zu Virtualisierung, Serverthemen oder Open-Source-Tools? Ich unterstütze euch gern mit individuellem, kostenpflichtigem Support – präzise, verständlich und sofort nutzbar. Wenn ihr möchtet, könnt ihr meine Arbeit auch über PayPal wertschätzen.

Tel.: 0 20 43 – 20 58 95
Kontaktformular
WhatsApp me
Unterstütze mich – PaypalMe