Die Bundesverfassung garantiert in Art. 13 BV den Schutz der Privatsphäre und das Recht auf informationelle Selbstbestimmung. Jede elektronische Verarbeitung von Personendaten muss verhältnismässig, zweckgebunden und transparent erfolgen.
Das revidierte Datenschutzgesetz (DSG) verlangt in Art. 4 Abs. 1 DSG die Zweckbindung, in Art. 5 DSG die Rechtmässigkeit und Treu und Glauben sowie in Art. 7a DSG geeignete technische und organisatorische Massnahmen zum Schutz vor unbefugtem Zugriff. Verantwortliche müssen jederzeit nachweisen können, wer, wann und auf welcher Rechtsgrundlage auf welche Daten zugreift.
Exterritoriale Zugriffsmöglichkeiten US-amerikanischer Gesetze
- US CLOUD Act: US-Anbieter von Kommunikationsdiensten (Communication Service Providers) sind verpflichtet, Daten auf Verlangen US-Strafverfolgungsbehörden herauszugeben – unabhängig davon, ob die Daten auf US-Servern oder im Ausland gespeichert sind.
- FISA Section 702: Geheimdienste dürfen für Nachrichtendienstzwecke Daten von Nicht-US-Personen ohne richterlichen Durchsuchungsbeschluss abfragen. Diese Befugnisse gelten auch für Daten, die bei US-Cloud-Anbietern liegen.
- Data Privacy Framework: Eine freiwillige Zertifizierung nach dem neuen Rahmenwerk bietet keine verlässliche Kontrolle, da US-Executive Orders jederzeit aufgehoben werden können und unabhängige Kontrollorgane politischer Einflussnahme unterliegen.
Konflikt der Rechtsordnungen
Der direkte Zugriff US-behördlicher Stellen auf in der Schweiz gespeicherte Daten umgeht die klassischen Rechtshilfewege (MLAT) und verletzt damit das Prinzip der Gegenseitigkeit und Transparenz. Schweizer Firmen können weder technisch noch vertraglich garantieren, dass US-Behörden keinen Zugriff erhalten.
Diese unkontrollierbare Fremdüberwachung widerspricht der Kontrolle über die Datenverarbeitung nach Art. 7a DSG und dem Erkennbarkeitsprinzip: Betroffene müssten informiert werden, können es aber nicht, wenn eine US-Instanz heimlich Daten abruft. Ebenso kann eine rechtsstaatliche Prüfung nicht stattfinden, da US-Geheimdienstanordnungen geheim bleiben.
Konsequenzen für Schweizer Unternehmen
- Fehlende gesetzliche Grundlage: Schweizer Recht kennt keine generelle Ermächtigung, Daten ohne internationale Rechtshilfe direkt zu übermitteln.
- Verletzung datenschutzrechtlicher Pflichten: Zweckbindung, Kontrolle und Transparenz nach DSG lassen sich bei verdecktem US-Zugriff nicht erfüllen.
- Sanktionelle Risiken: Nichteinhaltung der DSG-Vorgaben kann zu Ordnungsbussen und Reputationsschäden führen.
- Rechtsunsicherheit: Selbst ein risikobasierter Ansatz kann nur eine Restunsicherheit verringern, aber nicht beseitigen.
Technische und organisatorische Alternativen ohne Swisscom oder ELCA
Unternehmen sollten Lösungen wählen, die keine unkontrollierbaren Zugriffsmöglichkeiten durch Dritte zulassen:
| Lösung | Betreiber | Standort | Typ | Verschlüsselung |
|---|---|---|---|---|
| Nextcloud | Open Source | Selbst gehostet/EU | Private Cloud | Client-seitig |
| Internxt | Internxt | Spanien/EU | Zero-Knowledge Cloud | Client-seitig |
- Nextcloud lässt sich on-premises oder in einem europäischen Rechenzentrum selbst betreiben und bietet volle Kontrolle über Schlüssel und Updates.
- Internxt setzt auf Zero-Knowledge-Architektur, bei der selbst Betreiber keinen Zugriff auf Klartextdaten haben.
Zusätzlich empfiehlt sich ein Hybrid-Modell: Kritische Geschäfts- und Personaldaten bleiben on-premises in einer privaten Nextcloud-Umgebung, während weniger sensible Workloads auf europäische Public-Clouds ausgelagert werden. Schlüsselverwaltungsdienste (KMS) sollten strikt bei der eigenen Organisation verbleiben.
Über diese Alternativen hinaus lohnt sich die laufende Beobachtung politischer Entwicklungen und technischer Innovationen wie homomorpher Verschlüsselung oder Multi-Party Computation, die künftig noch stärkere Souveränität bei Cloud-Diensten ermöglichen können.
