Digitale Souveränität auf einer Big-Tech-Plattform nicht sichergestellt?

Die Fernsehsendung «Arena» vom 5. September 2025 auf «SRF» zum Thema E-ID hat die zentrale Bedeutung der «digitalen Souveränität» deutlich aufgezeigt und dass jeder davon betroffen ist. So war es von den Befürwortern und Gegnern grundsätzlich unbestritten, dass wir in der Schweiz eine E-ID einführen sollten. Umstritten war jedoch, ob beim aktuellen Lösungsvorschlag zur E-ID die «digitale Souveränität» auch wirklich gewahrt bleibt oder eben nicht.
 

Was bedeutet «digitale Souveränität» konkret?

Im Kern geht es bei der «digitalen Souveränität» darum, dass ich die volle Kontrolle darüber habe, was mit meinen Daten geschieht. Was auf den ersten Blick einfach und logisch erscheint, ist in der heutigen digitalen Realität immer undurchsichtiger und unklarer.

Wenn nun also etwa eine Kantonsregierung vor dem Entscheid steht, ob zukünftig das Cloud-Angebot von Microsoft 365 genutzt werden soll, bedeutet das, dass automatisch die über Microsoft 365 verarbeiteten Daten auf der Plattform von Micro­soft gespeichert werden. Da die Betreiberin der Plattform ein amerikanisches Unternehmen ist, gilt für dieses amerikanische Unternehmen der US-Cloud-Act. Der US-Cloud-Act (ein Gesetz aus der ersten Amtszeit von Präsident Donald Trump) erlaubt es dem amerikanischen Staat, auf die Daten von Plattformen US-amerikanischer Unternehmen zuzugreifen. Egal, ob der Serverstandort etwa in der Schweiz liegt. Das bedeutet also, dass die Nutzung eines Cloud-Angebots eines amerikanischen Unternehmens immer gleichzeitig bedeutet, dass die USA auf diese Daten (aus deren Sicht legal) zugreifen können. Und genau deswegen gehen die hiesigen Datenschützerinnen und Datenschützer auf die Barrikaden.

Ein Beispiel dafür stellt der Kanton Luzern dar. In diversen politischen Vorstössen wird die Luzerner Regierung aufgefordert, die Nutzung von Microsoft 365 zu überdenken und Alternativen zu prüfen.
 

Wie begründen Verwaltungen (dennoch) die ­Nutzung von Microsoft 365?

Ein Blick in die publizierten Entscheide von diversen Behörden zur Einführung von Microsoft 365 zeigt ein auffälliges Muster: Die Begründungen ähneln sich stark und greifen häufig auf dieselben Argumentationsketten zurück. Wiederholt genannt werden unter anderem:

• eingeschränkte Zukunftsfähigkeit bestehender Systeme
• eingeschränkte Kollaborationsmöglichkeiten
• geringere Attraktivität als Arbeitgeber
• Einschränkungen für die Digitalisierung
• Einbussen im Bereich der Cybersecurity
• Geringes Risiko eines «Lawfull Access» gemäss Risiko­analysemodell

Gleichzeitig ist den Entscheidungsträgern bewusst, dass die Nutzung einer US-basierten Plattform aus schweizerischer Perspektive rechtlich umstritten ist. Deshalb wird die Verantwortung an die Mitarbeitenden delegiert – etwa in Bezug darauf, welche Daten wie klassifiziert, geteilt oder verarbeitet werden dürfen. So heisst es etwa im Entscheid des Kantons Zürich (RRB 542/2022 vom 30. März 2022/Punkt 6) wörtlich: «Die Verantwortung für den Schutz von Personendaten und anderen Informationen durch angemessene Massnahmen liegt bei den einzelnen Verwaltungseinheiten» – also bei den Mitarbeitenden.

Im Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich vom 21. Mai 2025 steht weiter (Anfrage von Kantonsrätin Selma L’Orange Seigo zu Frage 3): «… Diese Nutzungsrichtlinie gibt in Abhängigkeit von der Klassifikation der zu bearbeitenden Daten vor, welche Anwendungen beziehungsweise Funktionen von Microsoft 365 genutzt werden dürfen. Die Daten sind sowohl aus geschäftlicher als auch aus datenschutzrechtlicher Sicht zu klassifizieren. Damit wird sichergestellt, dass der Datenschutz und die Informationssicherheit in der verwaltungsinternen Kommunikation und Zusammenarbeit angemessen gewahrt werden.»

Diese Vorgehensweise bringt jedoch grosse Herausforderungen mit sich. Detaillierte Reglemente und Anwendungsvorgaben sind in der Praxis nicht handhabbar und bergen das Risiko von menschlichen Fehlern, die weitreichende Folgen haben können.

Erhalten Mitarbeitende zum Beispiel per E-Mail einen Anhang mit schützenswerten Daten, kann die erforderliche Datenklassifizierung aber erst vorgenommen werden, wenn sich die Daten bereits im System und somit auf der Plattform befinden. Ein Widerspruch in sich.
 

Geschäftsmodell der Big Techs

Um zu verstehen, was mit den gespeicherten Daten auf den Plattformen der Big Techs wirklich geschieht, lohnt sich ein Blick auf die Geschäftsmodelle dieser Firmen. Diese sind so ausgelegt, dass die Daten das eigentliche Gold des Unternehmens sind. So gehört es zum Kern des Geschäftsmodells, dass riesige Mengen an Kundendaten gesammelt, analysiert und zielgerichtet verwendet, beziehungsweise verkauft werden. Genau vor diesem Hintergrund sind auch die Milliardeninvestitionen in künstliche Intelligenz der Big Techs zu betrachten.

Es stellt sich nun die Frage, ob es vor diesem Hintergrund noch verantwortet werden kann, sensible Daten auf solchen Plattformen zu speichern und zur Verfügung zu stellen. Umso mehr drängt sich diese Frage bei Daten von öffentlichen Verwaltungen auf, die naturgemäss besonders sensibel und sicherheitsrelevant sind.
 

Alternative Geschäftsmodelle

Anbieter, bei denen die Wahrung der «digitalen Souveränität» ihrer Kunden im Zentrum steht, verdienen mit den Daten ihrer Kunden kein Geld, sondern mit den zur Verfügung gestellten Services. Die Kundendaten sind dabei immer tabu.

Ein gutes Beispiel dafür ist der sichere und kostenpflichtige Chatdienst Threema. Dies im Gegensatz zu vermeintlich kostenlosen Chatdiensten wie Whatsapp, Telegram oder ähnlichen. Während man bei Threema für den Service bezahlt und damit sicherstellt, dass die Daten eben nicht Teil des Geschäftsmodells sind, finanzieren sich kostenlose Dienste über Werbung, Datenanalyse und Weitergabe von Metadaten. Der viel zitierte Satz «Wenn ein Produkt kostenlos ist, bist du das Produkt» bringt diesen fundamentalen Unterschied auf den Punkt.

Verfügbarkeit als Druckmittel

Die Abhängigkeit gegenüber den Big Techs ist nicht nur eine theoretische Frage des Datenschutzes, sondern auch eine ganz konkrete Machtfrage. Wer seine gesamte Infrastruktur und Kommunikation auf die Plattformen eines einzigen ausländischen Konzerns auslagert, begibt sich in ein massives Abhängigkeitsverhältnis. Monopolartige Marktstellungen, geopolitische Spannungen und nationale Interessenlagen können dazu führen, dass die Verfügbarkeit von Diensten plötzlich als politisches Druckmittel eingesetzt wird.

Was bedeutet das im Alltag? Man stelle sich vor, dass dem VBS, einem Bundesgericht, einer Kantonsverwaltung, einer Stadtverwaltung, einer Polizeiorganisation oder einer anderen systemrelevanten Institution aufgrund einer durch den amerikanischen Präsidenten unpässlich empfundenen Bemerkung einer Bundesrätin einfach der Stecker gezogen würde und die Systeme und Daten ab sofort nicht mehr zur Verfügung stünden. Die aktuell sehr volatile Weltlage hat wohl jedem und jeder das massive Ausgeliefertsein vor Augen geführt.

Aufgrund des US-Cloud-Acts können US-amerikanische Behörden auf die Daten auf den Plattformen von US-Big-Techs zugreifen, also auf alle Daten, die etwa auf Microsoft 365 gespeichert werden. Hinzu kommt, dass diese Daten durch entsprechende künstliche Intelligenz laufend analysiert und für eigene Zwecke ausgewertet werden. Der Kontrollverlust ist damit nicht nur juristisch, sondern auch technisch vollständig – und im Zweifel unumkehrbar.
 

Fazit

Kommen wir abschliessend zurück auf die Ausgangsfrage, ob die digitale Souveränität bei der Nutzung einer Plattform eines Big Techs wie Microsoft oder Google wirklich nicht sichergestellt ist. Die Antwort ist eindeutig: Die digitale Souveränität auf Cloud-Plattformen der Big Techs ist nicht sichergestellt. Gerade in sensiblen Bereichen wie den öffentlichen Verwaltungen ist folglich ein Einsatz von solchen Cloud-Plattformen abzulehnen. Die existierenden alternativen Lösungen zu den Plattformen der Big Techs entkräften das vielfach erwähnte Argument der Alternativlosigkeit und sind ernsthaft zu prüfen.