Die Schweiz zeigt, wie digitale Souveränität funktioniert: Faktisches Cloud-Verbot für Behörden -

Am 24. November 2025 setzte die Schweiz ein Zeichen, das in ganz Europa Wellen schlagen dürfte. Privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, verabschiedete eine Resolution, die auf ein faktisches Verbot internationaler Cloud-Dienste für Behörden hinausläuft. Insbesondere die Hyperscaler Microsoft, Google und Amazon sind betroffen. Die Botschaft ist eindeutig: Wer Bürgerdaten ernst nimmt, darf sie nicht in die Hände US-amerikanischer Konzerne legen.

Was heise online als “breites Cloud-Verbot” titelt, ist bei genauerer Betrachtung noch drastischer. Die Resolution lässt praktisch keine Möglichkeit mehr, Software-as-a-Service (SaaS)-Lösungen wie Microsoft 365 datenschutzkonform zu nutzen – zumindest nicht, wenn besonders schützenswerte oder gesetzlich geheimhaltungspflichtige Daten verarbeitet werden. Und das betrifft praktisch alle Behördendaten, denn die meisten unterliegen dem Amtsgeheimnis.

Die Resolution im Klartext: Ende-zu-Ende oder gar nicht

Die Kernaussage der Resolution ist glasklar: Öffentliche Organe dürfen sensible Personendaten nur dann in internationale Cloud-Lösungen auslagern, wenn die Daten vom Organ selbst verschlüsselt werden – und der Cloud-Anbieter keinen Zugang zum Schlüssel hat. Diese Forderung nach echter Ende-zu-Ende-Verschlüsselung klingt zunächst vernünftig. Das Problem: Bei den meisten SaaS-Lösungen ist genau das technisch unmöglich.

Microsoft 365, Google Workspace, AWS – all diese Dienste funktionieren nur, wenn der Anbieter Zugriff auf die Daten hat. Sonst kann er keine Indexierung durchführen, keine Suchfunktionen anbieten, keine Kollaborationsfeatures bereitstellen. Dominika Blonski, Datenschutzbeauftragte des Kantons Zürich, bringt es auf den Punkt: Schweizer Behörden können die Kontrolle über kritische Informationen verlieren, und Betroffene erfahren oft gar nicht, wenn auf ihre Daten zugegriffen wird.

Die Resolution führt drei zentrale Begründungen an:

Erstens: Die meisten SaaS-Lösungen bieten keine echte Ende-zu-Ende-Verschlüsselung. Der Anbieter kann auf Klartextdaten zugreifen – technisch, organisatorisch, rechtlich. Microsofts vielgerühmte „Customer Key"-Funktion ist hier keine Lösung, denn die Schlüssel verbleiben innerhalb des Microsoft-Netzwerks. Microsoft hat jederzeit Zugriff.

Zweitens: Global operierende Firmen bieten zu wenig Transparenz. Schweizer Behörden können die Einhaltung vertraglicher Pflichten bezüglich Datenschutz und Sicherheit nicht überprüfen. Weder die Implementierung technischer Maßnahmen, noch das Change-Management, noch den Einsatz von Mitarbeitenden und Subunternehmen, die teils lange Ketten externer Leistungserbringer bilden. Erschwerend kommt hinzu, dass Softwareanbieter die Vertragsbedingungen periodisch einseitig anpassen können.

Drittens: Der US CLOUD Act. Dieser kann US-Anbieter verpflichten, Daten ihrer Kunden an US-Behörden herauszugeben, ohne die Regeln der internationalen Rechtshilfe einzuhalten – selbst wenn diese Daten in Schweizer Rechenzentren gespeichert sind. Ein Microsoft-Manager räumte vor dem französischen Senat ein, dass Microsoft Zugriffe durch US-Behörden nicht verhindern kann. Diese Aussage ist entlarvend.

Der CLOUD Act: Amerikas extraterritoriales Datenzugriffsgesetz

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wurde im März 2018 verabschiedet. Er ermöglicht es US-Strafverfolgungsbehörden, auf Daten zuzugreifen, die von US-Unternehmen weltweit gespeichert werden. Egal wo die Server stehen – in der Schweiz, in Deutschland, in Frankreich – amerikanische Behörden können die Herausgabe verlangen. US-Unternehmen müssen folgen.

Das steht in direktem Konflikt mit europäischem und Schweizer Datenschutzrecht. Die DSGVO und das Schweizer Datenschutzgesetz verbieten die unkontrollierte Datenübermittlung ins Ausland. Der CLOUD Act hebelt diese Schutzbestimmungen faktisch aus. Juristisch gesehen können sich US-Behörden Zugang zu praktisch allen Daten verschaffen, die bei US-Unternehmen gespeichert sind – unabhängig von Datenschutzabkommen und Verträgen.

Die Datenschutzbeauftragte des Kantons Zürich warnt deutlich: Der CLOUD Act verstößt gegen den „ordre public" der Schweiz. Wenn Personendaten, die einem besonderen Amtsgeheimnis oder Berufsgeheimnis unterstehen, an einen US-amerikanischen Cloud-Anbieter ausgelagert werden, darf der Anbieter keinen Zugang zu den Daten haben. Das muss mit technischen Lösungen sichergestellt werden – Verschlüsselung, wobei der Schlüssel beim öffentlichen Organ verbleibt.

Doch genau das ist bei Microsoft 365, Google Workspace oder AWS in der Praxis kaum umsetzbar. Die Dienste sind nicht dafür konzipiert. Sie basieren auf dem Geschäftsmodell, Daten zu verarbeiten, zu analysieren, zu durchsuchen. Ende-zu-Ende-Verschlüsselung würde die meisten Funktionen unbrauchbar machen.

Microsoft 365: Der Elefant im Raum

Microsoft 365 ist in Schweizer Behörden weit verbreitet. Die Verträge für die „Public Clouds Bund" wurden kürzlich teilweise veröffentlicht. Kantone wie Zürich, Bern, Aargau, Basel-Stadt setzen Microsoft-Programme ein – oft ohne umfassende Prüfung, wie Dominika Blonski beobachtet: „Wir sehen, dass immer mehr Institutionen, sei das auf Kantonsstufe oder auch auf Gemeindestufen, diese Produkte einsetzen und sich dabei auch häufig nicht viele Gedanken vorab machen."

Kantonale Datenschutzbehörden hatten die Nutzung von Microsoft 365 in der Vergangenheit immer wieder grundsätzlich für unzulässig erklärt. Beispielhaft steht dafür die Fachstelle für Datenschutz im Kanton St. Gallen. Doch diese Warnungen hatten kaum Folgen. Die Regierungsräte entschieden sich trotzdem für Microsoft – oft mit dem Argument, es gebe keine Alternative.

Die neue Resolution von Privatim stellt diese Praxis nun infrage. Sie macht deutlich: Die bisherige Praxis ist nicht haltbar. Entweder die Behörden finden technische Lösungen für echte Ende-zu-Ende-Verschlüsselung – oder sie müssen auf internationale Cloud-Dienste verzichten.

Warum diese Resolution so wichtig ist

Die Schweizer Resolution ist mehr als eine nationale Randnotiz. Sie ist ein Signal an ganz Europa. Sie zeigt, dass Datenschutzbehörden bereit sind, Konsequenzen zu ziehen. Sie zeigt, dass die Abhängigkeit von US-Tech-Konzernen nicht hinnehmbar ist. Sie zeigt, dass digitale Souveränität kein abstrakter Begriff sein muss, sondern konkret durchsetzbar ist.

Erstens: **Klarheit statt Vag

heit.** Jahrelang haben Datenschutzbehörden in Europa vorsichtig formuliert, Risiken „erwähnt", zu „Vorsicht geraten". Die Schweizer Resolution ist unmissverständlich: Internationale Cloud-Dienste sind für Behörden in den meisten Fällen unzulässig. Kein Wenn, kein Aber. Diese Klarheit ist überfällig.

Zweitens: Druck auf Behörden und Anbieter. Die Resolution zwingt Schweizer Behörden, ihre IT-Strategien zu überdenken. Sie können nicht mehr einfach Microsoft 365 einsetzen und hoffen, dass niemand genau hinschaut. Gleichzeitig setzt sie die Cloud-Anbieter unter Druck, echte Ende-zu-Ende-Verschlüsselung anzubieten – oder den europäischen Markt zu verlieren.

Drittens: Vorbild für andere Länder. Was die Schweiz beschließt, beobachtet Europa. Deutschland, Österreich, Frankreich – überall gibt es ähnliche Diskussionen über Microsoft 365, Google Workspace, US-Cloud-Dienste. Die Schweizer Resolution könnte einen Dominoeffekt auslösen. Andere Datenschutzbehörden könnten nachziehen.

Viertens: Förderung europäischer Alternativen. Wenn US-Cloud-Dienste faktisch verboten sind, müssen Alternativen her. Das schafft Nachfrage für europäische Lösungen, für Open-Source-Software, für souveräne Infrastruktur. OpenDesk, Nextcloud, Collabora – diese Projekte bekommen Rückenwind.

Das Peertube-Video: Warum digitale Souveränität überlebenswichtig ist

Ein Video auf Peertube fasst die Problematik anschaulich zusammen und zeigt, warum die Schweizer Entscheidung nicht nur richtig, sondern notwendig ist. Die zentrale Botschaft: Digitale Souveränität ist keine Wohlfühl-Rhetorik für Sonntagsreden. Sie ist eine Frage des Überlebens als selbstbestimmte Demokratie.

Das Video verdeutlicht mehrere Punkte:

Kontrolle über Daten bedeutet Kontrolle über Bürger. Wer Zugriff auf Gesundheitsdaten, Steuerdaten, Sozialdaten, Polizeidaten hat, hat Macht. Diese Macht gehört nicht in die Hände ausländischer Konzerne und schon gar nicht in die Hände ausländischer Regierungen.

Der CLOUD Act ist nur die Spitze des Eisbergs. US-Gesetze wie der Patriot Act, FISA, der CLOUD Act – sie alle zielen darauf ab, US-Behörden maximalen Zugriff auf Daten zu verschaffen. Auch wenn die Server in Europa stehen. Auch wenn Verträge etwas anderes versprechen. Im Zweifelsfall gilt US-Recht.

Vendor Lock-in ist gefährlich. Wer einmal auf Microsoft 365 setzt, kommt so leicht nicht mehr raus. Die Daten, die Workflows, die Gewohnheiten – alles ist auf das Microsoft-Ökosystem ausgerichtet. Ein Wechsel kostet Zeit, Geld, Nerven. Microsoft weiß das. Genau darauf basiert das Geschäftsmodell.

Alternativen existieren bereits. OpenDesk, Nextcloud, OnlyOffice, Collabora, Matrix – europäische Open-Source-Lösungen sind verfügbar, funktionsfähig, skalierbar. Was fehlt, ist der politische Wille zur Umstellung. Die Schweizer Resolution schafft diesen Willen.

Die Reaktionen: Zwischen Applaus und Panik

Die Reaktionen auf die Resolution sind gemischt. Datenschutzaktivisten, IT-Sicherheitsexperten, Open-Source-Befürworter applaudieren. Endlich, sagen sie, endlich zieht jemand Konsequenzen. Zu lange haben Datenschutzbehörden zugesehen, wie Behörden und Unternehmen sensible Daten in US-Clouds laden.

Behörden und Verwaltungen hingegen reagieren mit Besorgnis. Viele haben bereits Millionen in Microsoft-Lizenzen investiert. Sie haben Schulungen durchgeführt, Prozesse umgestellt, Mitarbeiter geschult. Nun sollen sie wieder umstellen? Auf was denn? Die Fragen sind berechtigt – aber die Antwort ist klar: auf souveräne, europäische, überprüfbare Lösungen.

Interessant ist auch die Reaktion aus dem Kanton Glarus. Er hat von der Möglichkeit zum „Opting-out" Gebrauch gemacht. Die Datenschutzbeauftragte des Kantons Glarus unterstützt die Resolution nicht. Das zeigt: Selbst in der Schweiz gibt es Widerstand. Selbst dort, wo Datenschutzbehörden vergleichsweise mächtig sind, gibt es Kräfte, die lieber beim Status quo bleiben wollen.

Doch Steiger Legal fasst die Konsequenz klar zusammen: „Im Ergebnis verbieten die schweizerischen Datenschutz-Aufsichtsbehörden faktisch den Behörden in der Schweiz die Nutzung internationaler Cloud-Dienste, wenn man ihre Resolution beim Wort nimmt."

Was Deutschland davon lernen kann

Während die Schweiz handelt, laviert Deutschland. Hessen hat Microsoft 365 für Behörden freigegeben – ohne technische Prüfung. Nordrhein-Westfalen duldet Microsoft 365 an Schulen. Bayern plant, fast eine Milliarde Euro über fünf Jahre in Microsoft-Produkte zu investieren.

Die deutsche Datenschutzkonferenz (DSK) hat 2022 ähnliche Kritikpunkte formuliert wie die Schweizer Privatim. Doch die Konsequenzen blieben aus. Statt klarer Verbote gibt es vage Empfehlungen, Merkblätter, Handreichungen. Die Behörden machen weiter wie bisher.

Die Schweizer Resolution zeigt, wie es anders geht. Sie zeigt, dass Datenschutzbehörden durchaus in der Lage sind, klare Kante zu zeigen. Sie zeigt, dass Datenschutz mehr sein kann als Papiertiger-Politik. Sie zeigt, dass digitale Souveränität durchsetzbar ist – wenn man den Mut hat.

Deutschland sollte diesen Mut aufbringen. Die Bundesregierung sollte sich die Schweizer Resolution zum Vorbild nehmen. Sie sollte eine ähnliche Regelung für deutsche Behörden beschließen. Sie sollte das Zentrum für Digitale Souveränität (ZenDiS) massiv ausbauen, OpenDesk flächendeckend ausrollen, europäische Alternativen fördern.

Die technische Realität: Ende-zu-Ende ist komplex

Es wäre naiv zu behaupten, die Umsetzung der Schweizer Resolution sei trivial. Ende-zu-Ende-Verschlüsselung bei gleichzeitiger Nutzbarkeit von SaaS-Features ist technisch anspruchsvoll. Nicht unmöglich – aber anspruchsvoll.

Es gibt Ansätze. Nextcloud bietet Ende-zu-Ende-Verschlüsselung für bestimmte Funktionen. Tresorit ist ein europäischer Cloud-Anbieter mit Zero-Knowledge-Verschlüsselung. Matrix, das Protokoll hinter Element und anderen Messengern, nutzt Ende-zu-Ende-Verschlüsselung standardmäßig.

Doch diese Lösungen haben Grenzen. Volltextsuche funktioniert nicht, wenn der Server die Daten nicht lesen kann. Kollaborative Bearbeitung ist kompliziert, wenn jeder Client separat entschlüsseln muss. KI-Features, wie sie Microsoft mit Copilot bewirbt, sind unmöglich, wenn der Anbieter die Daten nicht analysieren kann.

Die Schweizer Resolution nimmt diese Einschränkungen bewusst in Kauf. Sie sagt: Datenschutz ist wichtiger als Komfort. Souveränität ist wichtiger als Features. Die Kontrolle über Bürgerdaten ist wichtiger als die neueste KI-Spielerei.

Das ist eine politische Entscheidung. Eine richtige Entscheidung.

Alternativen: Open Source und europäische Anbieter

Die gute Nachricht: Es gibt Alternativen. Sie sind vielleicht nicht so bekannt wie Microsoft 365, vielleicht nicht so durchintegriert wie Google Workspace – aber sie existieren, sie funktionieren, sie sind datenschutzkonform.

OpenDesk kombiniert LibreOffice, Nextcloud, Element, Thunderbird und weitere Open-Source-Tools zu einer funktionsfähigen Office-Suite. Der Internationale Strafgerichtshof ist auf OpenDesk umgestiegen. Die Bundeswehr hat einen Rahmenvertrag mit ZenDiS. Schleswig-Holstein stellt seine Verwaltung um.

Nextcloud bietet Cloud-Speicher, Kollaboration, Kalender, Kontakte, Videokonferenzen – alles aus einer Hand, alles Open Source, alles auf eigenen Servern oder bei vertrauenswürdigen europäischen Hostern betreibbar.

Collabora Online und OnlyOffice sind Open-Source-Office-Suiten, die im Browser laufen und mit gängigen Dateiformaten kompatibel sind. Sie können in Nextcloud oder andere Plattformen integriert werden.

Matrix ist ein offenes Protokoll für Echtzeitkommunikation. Ende-zu-Ende-Verschlüsselung ist Standard. Der BundesMessenger, das deutsche Gesundheitswesen, die Bundeswehr – sie alle setzen auf Matrix.

Diese Lösungen haben einen entscheidenden Vorteil: Sie sind überprüfbar. Der Quellcode ist offen. Unabhängige Experten können ihn analysieren, auf Sicherheitslücken überprüfen, auf Hintertüren kontrollieren. Bei Microsoft, Google, Amazon ist das unmöglich. Ihre Software ist eine Black Box.

Die wirtschaftliche Dimension: Milliarden für US-Konzerne

Die finanziellen Implikationen sind erheblich. Schweizer Behörden zahlen jährlich Millionen für Microsoft-Lizenzen. Deutsche Behörden zahlen Hunderte Millionen. Europaweit gehen Milliarden an US-Konzerne.

Geld, das in Europa bleiben könnte. Geld, das in die Weiterentwicklung von OpenDesk, Nextcloud, Collabora fließen könnte. Geld, das europäische Arbeitsplätze schaffen könnte, europäische IT-Unternehmen stärken könnte, europäische Souveränität aufbauen könnte.

Die Schweizer Resolution ist auch ein wirtschaftspolitisches Signal. Sie sagt: Wir wollen unsere IT-Infrastruktur nicht von US-Konzernen abhängig machen. Wir wollen europäische Lösungen fördern. Wir wollen Souveränität – technisch, rechtlich, wirtschaftlich.

Die politische Dimension: Mut zur Konfrontation

Die Schweizer Resolution ist politisch brisant. Sie legt sich mit den mächtigsten Tech-Konzernen der Welt an. Microsoft, Google, Amazon – sie werden nicht tatenlos zusehen, wie ein lukrativer Markt wegbricht. Sie werden lobbyieren, drohen, verhandeln.

Doch die Schweiz hat den Mut, sich dieser Konfrontation zu stellen. Sie sagt: Unser Datenschutz ist nicht verhandelbar. Unsere Souveränität ist nicht verhandelbar. Wir nehmen Einschränkungen in Kauf, um unsere Werte zu schützen.

Dieser Mut ist beeindruckend. Er ist auch notwendig. Denn ohne Mut wird sich nichts ändern. Ohne Mut werden Behörden weiter Microsoft 365 nutzen, werden Schulen weiter Google Classroom nutzen, werden Krankenhäuser weiter AWS nutzen. Und die Abhängigkeit wird immer größer.

Fazit: Ein Weckruf für Europa

Die Schweizer Resolution ist ein Weckruf. Sie zeigt, dass Datenschutzbehörden durchaus Zähne haben – wenn sie sie zeigen wollen. Sie zeigt, dass digitale Souveränität mehr ist als ein Schlagwort. Sie zeigt, dass Alternativen existieren.

Ob die Resolution tatsächlich umgesetzt wird, ist eine andere Frage. Privatim kann Behörden nicht direkt zwingen – sie kann nur warnen, empfehlen, Druck aufbauen. Die eigentlichen Entscheidungen treffen die kantonalen Regierungen. Und die stehen unter Druck: von Mitarbeitern, die Microsoft gewohnt sind; von IT-Dienstleistern, die Microsoft verkaufen; von Microsoft selbst, das alles daran setzen wird, den Schweizer Markt nicht zu verlieren.

Doch die Resolution hat bereits jetzt Wirkung. Sie verschiebt die Diskussion. Sie macht klar: Der Status quo ist nicht akzeptabel. Schweizer Behörden können nicht einfach weitermachen wie bisher. Sie müssen Alternativen prüfen, Risiken minimieren, Souveränität aufbauen.

Deutschland sollte aufmerksam zusehen. Und dann nachziehen. Denn was für die Schweiz gilt, gilt auch für Deutschland, für Österreich, für ganz Europa: Wer digitale Souveränität ernst nimmt, muss sich von US-Cloud-Diensten emanzipieren. Es gibt keine Abkürzung. Es gibt keine einfache Lösung. Es gibt nur den steinigen Weg der Unabhängigkeit.

Die Schweiz ist diesen Weg jetzt gegangen. Europa sollte folgen.

Quellen und weiterführende Links:

heise online: Schweiz: Datenschützer verhängen breites Cloud-Verbot für Behörden
Privatim: Resolution zur Auslagerung von Datenbearbeitungen in die Cloud (PDF)
Privatim: Medienmitteilung zur Cloud-Resolution
Steiger Legal: Datenschutz-Aufsichtsbehörden verbieten Behörden die Nutzung internationaler Cloud-Dienste
SRF: Zürcher Datenschützerin warnt vor US-Clouds für Behörden
Kanton Basel-Stadt: Privatim Resolution zur Auslagerung von Datenbearbeitungen in die Cloud
Kanton Freiburg: Privatim verabschiedet Resolution zu Cloud-Diensten
Grosser Rat Basel: Interpellation Nr. 120 zu Microsoft 365 und CLOUD Act (PDF)
Datenschutzbeauftragte Kanton Zürich: Risiken und Regeln bei Cloud-Nutzung
KMU Digitalisierung: Der US Cloud Act und seine Auswirkungen auf Unternehmen in der Schweiz und Europa
eyevip cloud Blog: Der Cloud Act: Welche Gefahren für Schweizer Firmen hinsichtlich Datenschutz?
Administrator.de: Schweiz: Datenschützer verhängen breites Cloud-Verbot für Behörden - Diskussion
Peertube Video: Warum digitale Souveränität wichtig ist
OpenDesk: Offizielle Website
Nextcloud: Offizielle Website
Matrix: Offizielle Website
ZenDiS: Zentrum für Digitale Souveränität
Handelsblatt: Strafgerichtshof ersetzt Microsoft durch deutsche Lösung

Schweiz Cloud Datenschutz Microsoft Privatim CLOUD Act Digitale Souveränität