Direkt zum Inhalt wechseln
Beitrag

Public Cloud als Governance-Projekt: Bundesrechtliche Leitplanken und ihre Relevanz für private Unternehmen

Datenschutzrecht IT-Recht Data-Compliance IT-Projekte IT-Sicherheit

Die Bundesverwaltung will in die Cloud – aber nicht um jeden Preis. Der Bericht vom März 2025, publiziert unter dem Titel „Rechtlicher Rahmen für die Nutzung von Public Cloud-Diensten in der Bundesverwaltung“ zeigt eine dezidierte Auseinandersetzung der Verantwortlichen mit dem Thema, insbesondere, welche Vorgaben bei Datenschutz, Amtsgeheimnis und Informationssicherheit in Public-Cloud-Projekten tatsächlich greifen und wo in der Praxis die grossen Stolpersteine liegen: Auslandbezug, Subunternehmerketten und Behördenzugriffe. Da die Digitalisierung der Verwaltung längst vom Vorhaben zur Daueraufgabe geworden ist, bleibt der Bericht auch rund ein Jahr noch hochaktuell: Er bildet die solide Grundlage für Entscheidungen auch im privaten Bereich, ob Public-Cloud-Projekte zügig umgesetzt werden können oder an Datenschutz-, Geheimnis- und Sicherheitsfragen ins Stocken geraten.

Gerade vor dem Hintergrund rasant fortschreitender Cloud-Technologien, neuer Betriebsmodelle (z.B. Sovereign Cloud, Confidential Computing) und verschärfter geopolitischer Rahmenbedingungen stellt sich die Frage, ob und wie die im Bericht formulierten Leitplanken heute strategisch richtig zugeordnet werden.  Wir ordnen die zugrundeliegenden Vorgaben ein, bewerten die Linie des Berichts und leiten daraus auch konkrete Compliance-Schritte für Projektverantwortliche, CISOs und Legal Teams in privaten Unternehmen ab, denn das Thema «Public Cloud» ist auch hier hoch relevant. Denn die im Bericht entwickelten Prüfkriterien, Risikokategorien und Steuerungsmechanismen lassen sich weitgehend auf regulierte private Organisationen übertragen, die vergleichbaren Anforderungen an Datenschutz, Informationssicherheit und Resilienz unterliegen.

Der «Rechtliche Rahmen» als Leitplanke für Cloud-Sourcing bei Bundesbehörden

Mit der Cloud-Strategie der Bundesverwaltung, die durch den Beschluss des Bundesrats vom 11. Dezember 2020 klar manifestiert ist, wurde die verstärkte Nutzung von Cloud-Diensten politisch und organisatorisch verankert. Der nun in Version 2.0 vorliegende Bericht „Rechtlicher Rahmen für die Nutzung von Public-Cloud-Diensten in der Bundesverwaltung“ verfolgt dabei ein klares Ziel: Ein einheitliches Rechtsverständnis schaffen und Cloud-Projekten eine juristische Methodik an die Hand geben, um Zulässigkeit und „Compliance“ strukturiert zu beurteilen.

Bemerkenswert ist der Ansatz als „living document“: Der Bericht beansprucht nicht, Spezialmaterien einzelner Ämter vollständig abzudecken, sondern setzt bewusst bei den querschnittlichen Themen an – allen voran Datenschutz, Datensicherheit, Informationsschutz und Amtsgeheimnis. Für technisch-juristisch geprägte Zielgruppen ist gerade diese Kombination aus rechtlicher Systematik und cloud-spezifischer Risikologik interessant: Der Bericht spricht explizit Projekt- und Führungsverantwortliche an, also gerade jene Rollen, die „shared responsibility“ praktisch ausbuchstabieren müssen (und sich damit regelmässig nicht leicht tun).

Um welche Fragen geht es konkret?

Im Vordergrund stehen drei praxisrelevante Fragen:

  1. Welche rechtlichen Kernvorgaben gelten für Public-Cloud-Projekte in der Bundesverwaltung (Datenschutz, Amtsgeheimnis, Informationssicherheit)?
  2. Welche Risikotreiber identifiziert der Bericht und welche Steuerungsinstrumente verlangt er (insb. Auslandbezug, Unterauftragnehmer, Abhängigkeiten)?
  3. Wie tragfähig ist die rechtliche Würdigung des Berichts – und welche zusätzlichen Überlegungen sollten Legal und Security in der Umsetzung zwingend ergänzen?

Juristische Grundlagen im Cloud-Kontext: die „Trilogie“ aus Datenschutz, Geheimnisschutz und Informationssicherheit

1) Datenschutzrecht des Bundes: Auftragsbearbeitung, Datenschutz-Folgenabschätzung und Auslandtransfer als Dreh- und Angelpunkte

Der Bericht arbeitet konsequent mit dem Datenschutz-Regelungsmodell: Die Bundesbehörde bleibt verantwortlich, der Cloud Service Provider wird typischerweise Auftragsbearbeiter (inkl. Subunternehmerkette). Zentral ist dabei, dass Auftragsbearbeitung nicht „rechtsfrei“ ist: Die Übertragung muss so ausgestaltet sein, dass der Anbieter Daten nur so bearbeitet, wie es der Verantwortliche selbst dürfte, und dass geeignete technische und organisatorische Massnahmen (TOM) zum Datenschutz bestehen.

Für Cloud-Projekte entscheidend: Der Bericht behandelt technische Schutzansätze nicht als „Nice-to-have“, sondern als rechtliche Risikohebel. Besonders deutlich wird dies bei Verschlüsselung und Schlüsselmanagement: Wenn der Provider keinen (oder nur streng eingeschränkten) Zugriff auf Schlüssel hat, verändert sich die rechtliche und faktische Risikolage bei Subunternehmern, Auslandsstandorten und Zugriffen.

Datenschutz-Folgenabschätzung (DSFA): Der Bericht positioniert die DSFA als vorgelagerte Prüfung, wenn ein Vorhaben voraussichtlich zu einem hohen Risiko führt – im Cloud-Kontext typischerweise bei sensiblen Daten, umfangreichen Bearbeitungen, systematischen Zugriffsmöglichkeiten oder komplexen Datenflüssen. Für die Praxis bedeutet dies: DSFA ist nicht als Formularübung verstehen, sondern als Dokumentations- und Entscheidungsinstrument, das Security-Architektur, Vertragsdesign (Audit, Weisungsrechte, Unterauftragnehmer) und Betriebsmodell zusammenführt. Die DSFA ist also ein zentrales Instrument bei der Evaluierung der zugrundeliegenden Risiken.

Auslandtransfer und „Datenbekanntgabe“: Der Bericht betont, dass im Einzelfall zu prüfen ist, ob eine Auslagerung als Datenbekanntgabe ins Ausland zu qualifizieren ist und dass dieser Befund u.a. von technischen Vorkehrungen (Anonymisierung, Verschlüsselung, Ausschluss von „Klartext“-Zugriffen) beeinflusst werden kann. Praktisch bedeutsam ist die geforderte Transparenz über den effektiven Leistungsort (inkl. Supportzugriffe): Datenbearbeitung „an einem ungewissen Ort“ sei nicht akzeptabel; der Provider soll offenlegen, wo welche Leistungen erbracht werden und von wo aus Zugriff erfolgt und dies ist vertraglich festzuhalten.

2) Behördenzugriffe im Ausland: CLOUD Act & Co. als Compliance-Härtetest

Einen gewichtigen Teil im Bericht nimmt der Abschnitt „Behördenzugriffen im Ausland“ ein; es werden verschiedene Szenarien (Justizverfahren, nationale Sicherheit/präventive Kriminalitätsbekämpfung, nachrichtendienstliche Auslandsüberwachung) genannt. Für die US-Perspektive sind insbesondere der US CLOUD Act und damit verbundene Herausgabepflichten gegenüber US-Anbietern (bzw. Anbietern unter US-Recht) relevant. Die juristische Kernfrage ist dabei weniger, ob ein Zugriff denkbar ist – sondern welche Restrisiken im Lichte schweizerischer Grundsätze (Legalität, Verhältnismässigkeit, Rechtsschutz) vertretbar sind und wie weit vertragliche, technische und organisatorische Massnahmen das Risiko tatsächlich reduzieren. Der Bericht setzt hier einen pragmatischen Ton: Nicht jedes Auslandrisiko ist per se ein No-Go, aber es verlangt eine nachvollziehbare Risikoprüfung und Mitigation.

Für technisch-juristische Entscheider ist daher wichtig: Verträge ersetzen keine Kryptographie. Vertragsklauseln zu Herausgabeverboten, Transparenz, Warrant Canaries oder Benachrichtigungsmechanismen sind zwar hilfreich, greifen aber dort zu kurz, wo zwingendes ausländisches Recht den Provider bindet. Der „härteste“ Hebel bleibt die Gestaltung von Datenflüssen und Zugriffsmöglichkeiten (Zero-Trust, Mandantentrennung, konsequente Verschlüsselung, kundenkontrollierte Schlüssel, „split knowledge“). Das ist in der Praxis konsequent umzusetzen.

Damit wird deutlich: Die Bewertung von Behördenzugriffsrisiken ist letztlich keine rein juristische oder technische Frage, sondern eine Governance-Entscheidung. Sie verlangt eine bewusste Akzeptanz oder Ablehnung verbleibender Restrisiken auf Management- oder Behördenleitungsebene – einschliesslich entsprechender Dokumentation und Verantwortungszuweisung.

3) Amtsgeheimnis: Outsourcing ohne „Offenbarung“?

Ein klassischer Stolperstein in der öffentlichen Hand ist der Geheimnisschutz. Der Bericht behandelt das Amtsgeheimnis als eigenständiges Risiko- und Tatbestandsfeld (insb. Verletzung des Amtsgeheimnisses gemäss dem Schweizerischen Strafgesetzbuch). Im Cloud-Kontext rückt die Frage in den Fokus, ob durch die Einbindung eines Providers (und seiner Hilfspersonen) eine „Offenbarung“ erfolgt bzw. ob der Provider als Hilfsperson so eingebunden ist, dass Geheimniswahrung rechtlich abgesichert werden kann. Hier zeigt sich deutlich eine Praxisimplikation: Die reine Vertragsklausel „Confidentiality“ genügt alleine nicht. Benötigt werden – je nach Datenkategorie – eine abgestufte Zugriffskontrolle (Need-to-know), lückenlose Protokollierung, strenge Subunternehmersteuerung und ein Betriebsmodell, das den Geheimnischarakter nicht faktisch entwertet (z.B. durch globalen Admin-Zugriff oder unkontrollierte Supportwege).

Dies sowohl technisch umzusetzen als auch im vertraglichen Kontext so abzusichern, dass solche Sicherheitsmassnahmen nicht umgangen werden können, ist in der Praxis oftmals eine echte Herausforderung, zumal durch neu eingespielte Updates oder Patches bestehende Sicherheitseinstellungen nicht selten wieder aufgehoben werden. Hier ist eine erhöhte Sensibilität der zuständigen IT-Verantwortlichen gefordert. Aus rechtlicher Sicht entsteht hier ein dauerhaftes Compliance-Risiko: Wird der effektive Zugriff auf geheimnisgeschützte Informationen faktisch nicht mehr kontrolliert, kann dies die strafrechtliche Verantwortlichkeit trotz formell korrekter Vertragslage nicht ausschliessen.

4) Informationssicherheit des Bundes: ISG/ISV als „Gatekeeper“ für Cloud-Projekte

Mit dem Informationssicherheitsgesetz (ISG) und der Informationssicherheitsverordnung (ISV) erhält der Bund ein verbindliches Sicherheitsregime, das Cloud-Projekte unmittelbar trifft: Auch eine Cloud-Anwendung gilt als Informatikmittel und unterliegt damit den ISG/ISV-Anforderungen. Der Bericht verweist insbesondere auf:

  • Sicherheitsverfahren (Art. 16–19 ISG): ein formalisierter Prozess zur Beurteilung des Schutzbedarfs, zur Umsetzung und Überprüfung von Massnahmen sowie zur Sicherheitsfreigabe.
  • Klassifizierung und Schutzstufen: Bei klassifizierten Informationen sind zusätzliche technische Sicherheitsmassnahmen erforderlich; besonders klar ist die Linie, dass GEHEIM klassifizierte Daten nur in einer spezifisch sicheren Umgebung verarbeitet werden dürfen (im Bericht als „Secure Private Cloud Bund“, Schutzstufe IV, genannt).
  • Personensicherheitsprüfung (PSP) und Betriebssicherheitsverfahren (BSV): Sobald sicherheitsempfindliche Tätigkeiten oder Aufträge im Spiel sind, werden Personal- und Betriebsprüfungen zum Bestandteil der Sicherheitsarchitektur – mit erheblichem organisatorischem und zeitlichem Impact.

Gerade dieser Teil zeigt deutlich: Cloud-Compliance in der Bundesverwaltung ist nicht nur Datenschutz plus Vertrag. Es ist ein integriertes Governance-System, in dem Informationsklassifizierung, Sicherheitsfreigabe, Lieferanten- und Personalprüfung sowie laufende Kontrollen zusammenspielen.

Rechtliche Würdigung des Berichts: Stärken, Grenzen und „blinde Flecken“

Stärke 1: Methodik statt Dogmatik. Der Bericht vermeidet kategorische „Cloud-ja/nein“-Aussagen und zwingt zur strukturierten Abwägung: Datenart, Schutzbedarf, Auslandbezug, Subunternehmer, Abhängigkeiten und daraus abgeleitete Massnahmen. Das ist für Public-Cloud-Realitäten überzeugend, weil technische Architekturen und Betriebsmodelle die juristische Bewertung wesentlich beeinflussen.

Stärke 2: Technische Massnahmen werden rechtlich ernst genommen. Die Ausführungen zur Verschlüsselung (inkl. Key Management, Double Key Encryption und HSM-Ansätzen) zeigen, dass der Bericht Cloud-Sourcing nicht auf Vertragsrecht reduziert, sondern Security-by-Design als Compliance-Baustein versteht.

Stärke 3: ISG/ISV als verbindlicher Rahmen. Die Einbindung des Informationssicherheitsrechts (Sicherheitsverfahren, Klassifizierung, PSP/BSV) ist ein entscheidender Schritt, um Cloud-Projekte in bundeseinheitliche Sicherheitsprozesse einzubetten.

Grenze 1: Auslandzugriffe bleiben trotz Mitigation ein Restrisiko. Der Bericht ist realistisch, aber in der Umsetzung droht offenbar ein Missverständnis: „Schweizer Recht als Gerichtsstand“ oder Standardklauseln können das Risiko zwingender ausländischer Zugriffe nicht vollständig eliminieren. Hier muss die Praxis konsequent zwischen Compliance-Massnahmen und Restrisikoentscheidung unterscheiden – und Letztere als Führungsentscheid dokumentieren (wie der Bericht es im Grundsatz verlangt).

Grenze 2: Subunternehmerketten als unterschätzte Komplexität. Cloud-Sourcing bedeutet typischerweise: Hyperscaler, Managed Service Provider, Support-Hubs, Telemetrie- und Security-Tools. Der Bericht adressiert Unterauftragnehmer als Risikofaktor, aber die praktische Durchsetzung (Genehmigungsvorbehalte, Transparenzpflichten, Auditierbarkeit, Exit) ist erfahrungsgemäss der härteste Teil der Vertrags- und Betriebsverhandlungen.

Insgesamt zeigt der Bericht exemplarisch, wie sich abstrakte Rechtsnormen, technische Architekturentscheidungen und organisatorische Governance zu einem konsistenten Entscheidungsrahmen verbinden lassen. Gerade diese interdisziplinäre Herangehensweise dürfte künftig an Bedeutung gewinnen – auch ausserhalb der Bundesverwaltung.

Praktische Auswirkungen und Empfehlungen: Was Projektteams jetzt konkret tun sollten

  1. Daten- und Workload-Klassifizierung als Startpunkt
    Ohne belastbare Klassifizierung (öffentlich / intern / vertraulich / geheim etc. nach bundesspezifischer Systematik) lässt sich weder Datenschutz- noch ISG-Compliance sauber beurteilen. Wo GEHEIM im Spiel ist, ist die Public Cloud als Zielarchitektur regelmässig ausgeschlossen.
  2. DSFA und Sicherheitsverfahren synchronisieren
    In der Praxis laufen Datenschutzprüfung und Security-Freigabe oft parallel – aber mit unterschiedlichen Artefakten. Diese Prozesse gehören jedoch zusammengeführt (ein gemeinsames Risikomodell, abgestimmte Kontrollen, klare Rollen).
  3. „Effective location & access“ vertraglich und technisch festnageln
    Verlangen Sie Klarheit über: Datenresidenz, Supportzugriffe, Admin-Modelle, Telemetrie, Remote Maintenance, Logging-Orte. „Ungewisser Ort“ ist keine akzeptable Betriebsannahme.
  4. Schlüsselhoheit als Compliance-Hebel
    Wenn der Provider technisch keinen Zugriff auf Schlüssel hat (oder nur unter kontrollierten Bedingungen), verändert dies die Risikolage bei Auslandszugriffen und Subunternehmern. Das ist im Cloud-Vertragsdesign und in der Sicherheitsarchitektur zu priorisieren.
  5. Exit und Abhängigkeiten früh adressieren
    Der Bericht nennt Abhängigkeiten als Risikotreiber; daraus folgt für die Praxis: Exit-Strategie, Datenportabilität, Migrationspfade, Notfallbetrieb und Beendigungsunterstützung sind nicht „Projektende“, sondern echte Zulässigkeitsvoraussetzung.

Fazit und Ausblick

Der Bericht liefert der Bundesverwaltung eine robuste Leitplanke: Cloud-Nutzung ist rechtlich möglich, aber nur bei sauberer Risiko- und Compliance-Architektur – und mit einem klaren Blick auf die drei Kernfelder Datenschutz, Geheimnisschutz und Informationssicherheit.

Die entscheidende Botschaft für Entscheider, gerade im privaten Sektor, lautet: Public Cloud ist kein Standard-IT-Einkauf, sondern ein Governance-Projekt. Wer Auslandbezug, Subunternehmerketten und Behördenzugriffe nicht als „Randthemen“, sondern als zentrale Designparameter behandelt, kann Cloud-Mehrwerte realisieren, ohne den rechtlichen Rahmen zu sprengen.

Mit Blick nach vorn dürfte die Bedeutung von Souveränitäts- und Resilienzkonzepten weiter steigen (z.B. Swiss Government Cloud-Initiativen bzw. bundesspezifische Cloud-Vorhaben). Für die Praxis heisst das: Rechts- und Sicherheitsanforderungen werden nicht „weicher“, sondern präziser – und Cloud-Compliance wird zunehmend zu einem messbaren Betriebsstandard. Für die digitale Transformation bedeutet dies: Rechtliche Vorgaben sind kein Innovationshemmnis, sondern Voraussetzung für skalierbare, vertrauenswürdige Cloud-Nutzung. Wer sie frühzeitig in Architektur- und Betriebsentscheidungen integriert, verschafft sich nicht nur Rechtssicherheit, sondern auch operative Stabilität.

Wenn Sie Fragen zu vergleichbaren Cloud-Projekten haben oder eine konkrete Umsetzung planen, stehen wir Ihnen gerne als Sparringspartner zur Seite und begleiten Sie bei der rechtlichen und organisatorischen Ausgestaltung.

Quellen