Ein fiktives Streitgespräch über digitale Souveränität, moderiert von Martin Lentz. Die Schweizer Position basiert auf der Privatim-Resolution vom November 2025, die deutsche auf der DSK-Orientierungshilfe von 2021/2022.
Martin Lentz: Guten Abend. Heute sprechen wir über ein Thema, das Behörden, Unternehmen und IT-Abteilungen gleichermaßen beschäftigt: US-Cloud-Dienste. Die Schweiz hat gerade mit einer bemerkenswerten Resolution Fakten geschaffen. Deutschland… nun ja, Deutschland macht das, was Deutschland am besten kann. Aber dazu gleich mehr.
Bei mir sind zwei Positionen: Die Schweizer Position von 2025 – vertreten durch die Empfehlungen der Konferenz der schweizerischen Datenschutzbeauftragten, kurz Privatim. Und die Deutsche Position von 2022 – vertreten durch die Orientierungshilfe der Datenschutzkonferenz, kurz DSK.
Beginnen wir mit den Fakten. Schweiz 2025 – was genau haben Sie beschlossen?
Die Ausgangslage
Schweiz 2025: Die Privatim-Resolution vom 18. November 2025 empfiehlt Behörden, Cloud-Lösungen nur dann zu nutzen, wenn schweizerisches Recht greift und US-Zugriffsansprüche ausgeschlossen sind. Für besonders schützenswerte Daten – Gesundheit, Justiz, Sozialdaten – gilt Microsoft 365 in den meisten Fällen als unzulässig, es sei denn, der Kunde kontrolliert vollständig die Verschlüsselung.
Martin Lentz: Das klingt nach einem De-facto-Verbot für Microsoft 365 bei Behörden.
Schweiz 2025: So kann man das lesen, ja.
Martin Lentz: Deutschland 2022, Sie hatten drei Jahre Vorsprung. Was ist Ihre Position?
Deutschland 2022: Wir haben eine Orientierungshilfe veröffentlicht, die Cloud-Dienste als zulässig betrachtet, wenn bestimmte Bedingungen erfüllt sind. Risikoabwägung, technische Maßnahmen wie Double-Key-Encryption, vertragliche Garantien. Wir setzen auf einen pragmatischen Ansatz.
Martin Lentz: “Pragmatisch” – interessantes Wort. Manche würden sagen: “unverbindlich”. Aber lassen Sie mich verstehen: Die Schweiz verbietet, Deutschland erlaubt unter Bedingungen. Richtig?
Deutschland 2022: Verbieten ist nicht unsere Aufgabe. Wir geben Orientierung.
Martin Lentz: Und die Schweiz orientiert sich an einem Verbot. Faszinierend, wie unterschiedlich man dasselbe Problem lösen kann.
Der US Cloud Act als Elefant im Raum
Martin Lentz: Kommen wir zum Kern. Der US Cloud Act von 2018 erlaubt US-Behörden, auf Daten zuzugreifen, die bei US-Unternehmen liegen – egal wo auf der Welt. Schweiz 2025, warum ist das für Sie ein Problem?
Schweiz 2025: Weil es schweizerisches Recht aushebelt. Ein Kanton lagert Gesundheitsdaten bei Microsoft aus. Ein US-Gericht verlangt Zugriff. Microsoft muss liefern – oder US-Recht brechen. Der Kanton erfährt davon möglicherweise nicht einmal.
Martin Lentz: Deutschland 2022, Sie sehen das entspannter?
Deutschland 2022: Wir sehen die Risiken durchaus. Deshalb fordern wir vertragliche Klauseln, die solche Zugriffe einschränken.
Martin Lentz: Moment, Moment. Stoppstoppstopp. Vertragliche Klauseln. Sie glauben ernsthaft, dass ein Vertrag zwischen einer deutschen Behörde und Microsoft einen US-Gerichtsbeschluss stoppt?
Deutschland 2022: Es geht um Risikominimierung, nicht um absolute Sicherheit.
Martin Lentz: Schweiz 2025, wie bewerten Sie diese… nennen wir es mal: Hoffnung?
Schweiz 2025: Ein Vertrag kann US-Recht nicht außer Kraft setzen. Das ist keine Meinung, das ist Rechtslogik. Der Cloud Act gilt, egal was im Vertrag steht.
Martin Lentz: Deutschland 2022, was sagen Sie dazu?
Deutschland 2022: Wir müssen die wirtschaftliche Realität berücksichtigen. Ein vollständiger Verzicht auf US-Cloud-Dienste ist für viele Organisationen nicht praktikabel.
Martin Lentz: Ah. Da ist es. Die wirtschaftliche Realität. Übersetzen wir das mal: Es ist zu aufwendig, Alternativen zu suchen.
Alternativen und Bequemlichkeit
Martin Lentz: Schweiz 2025, gibt es Alternativen zu Microsoft 365?
Schweiz 2025: Selbstverständlich. Europäische und schweizerische Anbieter, On-Premise-Lösungen, Open-Source-Produkte. Die Kantone prüfen derzeit entsprechende Migrationen.
Martin Lentz: Deutschland 2022, warum prüft Deutschland nicht?
Deutschland 2022: Wir prüfen durchaus. Es gibt Initiativen wie die Bundescloud, Sovereign Tech Fund, verschiedene Landesprojekte…
Martin Lentz: …die seit Jahren in Entwicklung sind. Ich frage mal direkt: Nutzt das Bundesinnenministerium Microsoft 365?
Deutschland 2022: Die Bundesbehörden nutzen verschiedene Lösungen, je nach Anforderung.
Martin Lentz: Das ist keine Antwort auf meine Frage.
Deutschland 2022: Es gibt keine pauschale Aussage, die hier zutrifft.
Martin Lentz: Schweiz 2025, ich wende mich an Sie. Warum handelt die Schweiz, während Deutschland diskutiert?
Schweiz 2025: Weil wir Datenschutz als Grundrecht ernst nehmen – nicht als Abwägungsmasse gegen Bequemlichkeit. Die Resolution schafft Klarheit: Wer schützenswerte Daten verarbeitet, muss die Hoheit über diese Daten behalten. Das ist keine radikale Position. Das ist eigentlich selbstverständlich.
Martin Lentz: Selbstverständlich. Deutschland 2022, warum ist das bei Ihnen nicht selbstverständlich?
Deutschland 2022: Weil die Situation komplexer ist, als sie hier dargestellt wird. Deutschland hat eine andere Verwaltungsstruktur, andere Abhängigkeiten, andere…
Martin Lentz: …andere Lobbys?
Deutschland 2022: Das ist polemisch.
Martin Lentz: Ist es das? Microsoft gibt in Deutschland jährlich zweistellige Millionenbeträge für Lobbyarbeit aus. Die Abhängigkeit deutscher Behörden von Microsoft-Produkten ist dokumentiert. Und Ihre Orientierungshilfe ermöglicht die Fortsetzung genau dieser Abhängigkeit. Ich frage mich nur, ob das ein Zufall ist.
Technische Lösungen und ihre Grenzen
Martin Lentz: Lassen Sie uns über Technik sprechen. Deutschland 2022, Sie empfehlen Double-Key-Encryption. Was ist das?
Deutschland 2022: Ein Verfahren, bei dem der Kunde einen zweiten Verschlüsselungsschlüssel kontrolliert. Microsoft kann die Daten nicht entschlüsseln, selbst wenn ein US-Gericht den Zugriff verlangt.
Martin Lentz: Schweiz 2025, klingt nach einer Lösung. Oder nicht?
Schweiz 2025: Theoretisch ja. Praktisch schränkt es die Funktionalität massiv ein. Keine Volltextsuche in E-Mails. Keine KI-Features in Teams. Keine automatische Dokumentenanalyse. Die meisten Organisationen deaktivieren die Verschlüsselung wieder, weil sie die Funktionen brauchen.
Martin Lentz: Deutschland 2022, stimmt das?
Deutschland 2022: Es gibt Einschränkungen, ja. Aber es ist eine Option.
Martin Lentz: Eine Option, die niemand nutzt, weil sie das Produkt unbrauchbar macht. Das ist ein bisschen so, als würde man sagen: “Autos sind sicher, solange man nicht schneller als 20 km/h fährt.” Technisch korrekt. Praktisch irrelevant.
Schweiz 2025: Genau das ist unser Punkt. Die technischen Lösungen sind Feigenblätter. Entweder man nutzt die Cloud mit allen Risiken – oder man nutzt sie nicht. Die Orientierungshilfe suggeriert einen sicheren Mittelweg, der nicht existiert.
Die Frage der Verantwortung
Martin Lentz: Ich möchte eine andere Frage stellen. Wer trägt die Verantwortung, wenn es schiefgeht? Angenommen, die USA greifen auf Gesundheitsdaten deutscher Bürger zu, die bei Microsoft liegen. Wer haftet?
Deutschland 2022: Die verantwortliche Stelle, also die Behörde oder das Unternehmen, das die Daten verarbeitet.
Martin Lentz: Nicht Microsoft?
Deutschland 2022: Microsoft ist Auftragsverarbeiter. Die Verantwortung liegt beim Auftraggeber.
Martin Lentz: Also bei der deutschen Behörde, die Ihrer Orientierungshilfe gefolgt ist und gedacht hat, sie macht alles richtig.
Deutschland 2022: Die Orientierungshilfe entbindet nicht von der eigenen Risikoprüfung.
Martin Lentz: Schweiz 2025, wie löst die Resolution dieses Problem?
Schweiz 2025: Indem sie Klarheit schafft. Wer sich an die Resolution hält, lagert keine schützenswerten Daten in US-Clouds aus. Das Risiko entsteht gar nicht erst.
Martin Lentz: Deutschland 2022, warum bieten Sie diese Klarheit nicht?
Deutschland 2022: Weil pauschale Verbote nicht zielführend sind. Die Situation muss im Einzelfall bewertet werden.
Martin Lentz: Einzelfallprüfung. Das klingt nach Arbeit. Viel Arbeit. Für jede Behörde, jedes Unternehmen, jedes Projekt. Und am Ende entscheidet jeder anders, weil die Kriterien schwammig sind. Könnte man fast meinen, das sei Absicht.
Ein Blick nach vorn
Martin Lentz: Letzte Frage an Sie beide. Wo stehen wir in fünf Jahren?
Deutschland 2022: Ich hoffe auf mehr europäische Alternativen, mehr Standardisierung, vielleicht ein europäisches Cloud-Ökosystem, das wettbewerbsfähig ist.
Martin Lentz: Sie hoffen. Schweiz 2025?
Schweiz 2025: Die Schweiz wird eigene Infrastrukturen aufbauen. Die Resolution zwingt die Kantone zum Handeln. Das kostet kurzfristig mehr, schafft aber langfristig Unabhängigkeit. In fünf Jahren werden wir souveräne Alternativen haben – oder zumindest auf dem Weg dorthin sein.
Martin Lentz: Deutschland?
Schweiz 2025: Deutschland wird vermutlich immer noch auf das nächste EU-US-Abkommen warten. Oder auf das übernächste, falls das aktuelle vom EuGH gekippt wird – wie die beiden davor.
Martin Lentz: Deutschland 2022, wollen Sie das kommentieren?
Deutschland 2022: Die Kritik ist überzogen. Deutschland arbeitet an Lösungen.
Martin Lentz: Arbeitet. Seit wie vielen Jahren?
Deutschland 2022: Es ist ein komplexer Prozess.
Martin Lentz: Komplex. Natürlich.
Das Wort des Moderators
Ich fasse zusammen, was wir heute gehört haben.
Die Schweiz hat im November 2025 eine klare Linie gezogen: US-Clouds sind für sensible Behördendaten problematisch, die Kontrolle muss beim Staat bleiben. Das ist unbequem, teuer und erfordert echte Veränderung. Aber es ist konsequent.
Deutschland hat 2022 eine Orientierungshilfe veröffentlicht, die alles ermöglicht und nichts vorschreibt. Pragmatisch nennt man das. Realistisch auch. Aber wenn Pragmatismus bedeutet, dass sich nichts ändert, während die Abhängigkeit wächst – dann ist Pragmatismus nur ein anderes Wort für Aufschub.
Die Frage ist nicht, ob der US Cloud Act ein Risiko darstellt. Das tut er, darüber sind sich beide Seiten einig. Die Frage ist, ob dieses Risiko Handlung erfordert oder nur Dokumentation.
Die Schweiz hat sich für Handlung entschieden. Deutschland hat sich für Dokumentation entschieden. In fünf Jahren werden wir wissen, welcher Weg der richtige war.
Oder, um es mit den Worten eines Schweizer Datenschützers zu sagen: “Ein Vertrag ersetzt keine Souveränität.”
Ich bedanke mich für das Gespräch. Einen schönen Abend.
Quellen
- Privatim Resolution zur Auslagerung von Datenbearbeitungen in die Cloud – Kanton Basel-Stadt, November 2025
- Cloud-Verbot Privatim Schweiz – Martin Steiger, November 2025
- Schweizer Kantone warnen vor US-Cloud-Act – OpenPR, November 2025
- Microsoft 365 im Einsatz in der Schweiz – RA Köllner, Dezember 2025
- Schweiz bremst Microsoft 365 – Folgen für EU und Deutschland – Markus Schall, November 2025
- Wichtige Neuerungen zum Thema Datenschutz 2022 – Taylor Wessing, Dezember 2021