Die rechtliche Dimension ist zentral für jede Diskussion über souveräne Cloud-Infrastrukturen. Denn selbst die technologisch bestgesicherte Lösung kann an ihrer juristischen Angreifbarkeit scheitern. In Europa und der Schweiz wird deshalb zunehmend an Regelwerken gearbeitet, die Datenhoheit, Transparenz und Rechtskonformität garantieren sollen – national wie international.
Die NIS2-Richtlinie der EU verpflichtet zu besonderen Sicherheitsvorkehrungen.
Quelle: Shutterstock/Tommy Lee Walker
Datenschutzgesetze im Fokus Die EU-Datenschutz-Grundverordnung (DSGVO) bildet die Basis für die Datenverarbeitung in Europa. Sie verlangt unter anderem, dass personenbezogene Daten nur dann ausserhalb der EU verarbeitet werden dürfen, wenn ein gleichwertiges Datenschutzniveau gewährleistet ist. Die Schweiz hat mit dem revidierten Datenschutzgesetz (nDSG) nachgezogen, das seit September 2023 in Kraft ist und in vielen Punkten an die DSGVO angelehnt ist.
Schrems II und das Ende von Privacy Shield Mit dem Schrems II-Urteil des Europäischen Gerichtshofs (2020) wurde das transatlantische Datenschutzabkommen «Privacy Shield» für ungültig erklärt. Begründung: US-Behörden könnten auf europäische Daten zugreifen, ohne dass Betroffene dagegen rechtlich vorgehen können. Dieses Urteil hat das Vertrauen in US-basierte Cloud-Dienste stark erschüttert und einen Schub für europäische Alternativen ausgelöst.
Der US Cloud Act – ein juristisches Minenfeld Der 2018 verabschiedete CLOUD Act verpflichtet US-Unternehmen, Strafverfolgungsbehörden auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn sich diese physisch im Ausland befinden. Das stellt europäische Unternehmen und Behörden vor ein Dilemma: Selbst wenn die Daten in Rechenzentren in der Schweiz oder EU liegen, könnten sie unter Umständen von US-Behörden eingefordert werden – was im Widerspruch zu europäischem Datenschutzrecht steht.
Neue Rahmenwerke: EU-US Data Privacy Framework Als Reaktion auf Schrems II wurde 2023 das EU-US Data Privacy Framework eingeführt, das bestimmte Schutzmechanismen für transatlantische Datentransfers vorsieht. Dennoch bleibt es rechtlich und politisch umstritten – und wird derzeit bereits erneut juristisch angefochten.
Nationale Initiativen in der Schweiz Auch in der Schweiz nimmt das Thema an Bedeutung zu. Die Bundesverwaltung setzt zunehmend auf inländische Cloud-Dienste, insbesondere für sensible Daten. Mit dem Projekt «Public Cloud Bund» wurde ein Rahmen für den kontrollierten Einsatz externer Cloud-Services geschaffen – inklusive klarer Regeln zur Datenklassifikation, Verschlüsselung und Zugriffskontrolle.
“Digitale Souveränität ist gerade in der heutigen Zeit eine strategische Notwendigkeit.„
Janis Schultmann
Die rechtlichen Rahmenbedingungen für souveräne Cloud-Infrastrukturen sind in Bewegung. Organisationen müssen sich deshalb nicht nur mit Technologie, sondern auch mit Rechtssicherheit auseinandersetzen – und ihre Cloud-Strategie kontinuierlich an neue Gegebenheiten anpassen.
