Cloud Computing

Bei Cloud Computing befinden sich die Anwendungen und Daten nicht mehr im Netzwerk des öffentlichen Organs (z.B. Kanton, Gemeinde), sondern in der Cloud. Der Zugang zu Daten, Services und Infrastruktur, die in der Cloud zur Verfügung gestellt werden, erfolgt mittels Fernzugriff. Dadurch ergeben sich für öffentliche Organe zwar Chancen aber auch viele Risiken.

Adressaten dieser Information

alle öffentlichen Organe der Kantone Schwyz, Obwalden, Nidwalden

Herausgeber

Privatim (Vereinigung der schweizerischen Datenschutzbeauftragten)
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
(Öffentlichkeits- und) Datenschutzbeauftrage der Kantone Schwyz, Obwalden, Nidwalden (ÖDB)

Resolution von Privatim

Am 18. November 2025 hat Privatim eine Resolution zum Thema Auslagerung von Datenbearbeitungen in die Cloud herausgegeben.

Die Resolution legt dar, warum Privatim die Auslagerung von besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten in SaaS-Lösungen von grossen internationalen Anbietern durch öffentliche Organe in den meisten Fällen (wie namentlich M365) für unzulässig hält.

Merkblatt von Privatim

Privatim hat zudem ein Merkblatt zu Cloud-spezifischen Risiken und Massnahmen erstellt.

Dieses Merkblatt und die darin erwähnten weiteren Beilagen (mit Links) können

einen Beitrag zur Risikoanalyse leisten, welche durch die öffentlichen Organe vor einer Auslagerung der Daten in die Cloud durchzuführen ist.
den öffentlichen Organen eine Hilfestellung für eine allfällige rechtliche und tatsächliche Ausgestaltung bieten (z.B. bezüglich anwendbarem Recht, Serverstandorten und Geheimnisschutz / Schlüsselmanagement).

Wer trägt die Verantwortung bei einer Auslagerung von Daten in die Cloud?

Die öffentlichen Organe bleiben auch bei einer Auslagerung für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich.

Relevante Datenschutzbestimmungen

Für die Vereinbarungskantone sind insbesondere folgende Bestimmungen in den jeweiligen kantonalen Gesetzgebungen datenschutzrechtlich relevant:

Datenbearbeitung durch Dritte [§ 20 ÖDSG (SZ), Art. 2 Abs. 1 kDSG (OW) in Verbindung mit Art. 9 DSG, Art. 9 kDSG (NW)]
Datensicherheit [§ 8 Abs. 4 ÖDSG (SZ), Art. 7 DSG (OW) in Verbindung mit Art. 8 DSG, Art. 7 kDSG (NW)]
Evtl. Datenbekanntgabe ins Ausland [§ 18 ÖDSG (SZ), Art. 2 Abs. 1 kDSG (OW) in Verbindung mit Art. 16 f. DSG, Art. 6 kDSG(NW)]

Erläuterungen des EDÖB zu Cloud Computing

Auch der EDÖB informiert auf seiner Seite über die Cloud. Es wird unter anderem auf Organisationsformen, Servicemodelle, Risiken sowie datenschutzrechtlichen Anforderung Stellung genommen.

Hier gelangen Sie zu den «Erläuterungen zu Cloud Computing», EDÖB:
https://www.ncsc.admin.ch/ncsc/de/home/strategie/ziele-massnahmen/ncs-ziel-sichere-verfuegbare-digitale-dl-infrastruktur.html

Nachfolgend finden Sie eine Auflistung von Risiken bei der Verwendung von Clouddiensten (nicht abschliessend): Risiken bei der Verwendung von Clou1.pdf