Public-Cloud-Infrastrukturen ermöglichen eine flexible Zuweisung von Rechen- und Speicherressourcen und profitieren von den Skaleneffekten grosser internationaler Anbieter. Diese Dynamik führt laut dem Schweizer Datenschutzverbund Privatim dazu, dass immer mehr öffentliche Stellen auf Software-as-a-Service-Lösungen (SaaS) setzen – teilweise auch, weil Anbieter ihre Kunden aktiv in die Cloud drängen. Aktuell plant beispielsweise der Kanton Luzern, Behördendaten in Microsoft 365 zu speichern.

Doch während Privatunternehmen weitgehend frei entscheiden können, sind Behörden gegenüber den Daten ihrer Bürgerinnen und Bürger besonders verpflichtet. In einer Resolution listet Privatim daher zentrale Gründe auf, weshalb die Auslagerung besonders schützenswerter oder geheimhaltungspflichtiger Daten an grosse internationale SaaS-Anbieter aus Sicht des Datenschutzes heute "in den meisten Fällen unzulässig" sei.

Die Mehrheit der verbreiteten SaaS-Angebote, darunter auch Microsoft 365, bietet laut Privatim keine echte Ende-zu-Ende-Verschlüsselung. Damit bleibe ein Zugriff des Anbieters auf Klartextdaten technisch möglich. Auch würden global operierende Firmen ihre Plattformen mit komplexen Strukturen, wechselnden Dienstleistern und langen Subunternehmerketten betreiben. Die unzureichende Transparenz bietet gemäss Privatim Schweizer Behörden kaum Möglichkeiten, die Einhaltung von Sicherheits- und Datenschutzpflichten zu kontrollieren.

Mit der Nutzung internationaler SaaS-Dienste gehe ausserdem ein erheblicher Kontrollverlust einher, befindet der Datenschutzverbund. Behörden könnten die Wahrscheinlichkeit von Grundrechtsverletzungen zwar nicht beeinflussen, jedoch deren Schwere mindern, indem sensible Daten im eigenen Kontrollbereich bleiben. Bei Daten, die einer gesetzlichen Geheimhaltung unterstehen, bleibe zudem unklar, inwieweit eine Auslagerung an Cloud-Dienste überhaupt zulässig ist. Nicht jeder externe Anbieter könne als Hilfsperson im Sinne des Strafrechts gelten, betont Privatim.

Zusätzlich könnten US-Anbieter aufgrund des amerikanischen Cloud Acts verpflichtet werden, Kundendaten an US-Behörden herauszugeben – auch dann, wenn die Daten in Schweizer Rechenzentren gespeichert sind und ohne Einhaltung des internationalen Rechtshilfeverfahrens.

Privatim kommt in der Resolution zum Schluss, dass besonders schützenswerte oder geheimhaltungspflichtige Daten nur dann in internationalen SaaS-Lösungen verarbeitet werden dürfen, wenn die Behörden diese Daten vollständig selbst verschlüsseln und der Cloud-Anbieter keinen Zugriff auf die Schlüssel hat.