Vor einem Jahr war das fast undenkbar. Digitale Souveränität wird derzeit in den TV-Sendungen „Tagesschau“ und „10 vor 10“ diskutiert. Immer mehr Menschen fragen sich ernsthaft, was mit ihren Daten passiert und machen sich Sorgen über ihre Abhängigkeit von Big Tech.
Die TV-Sendung „Arena“ von „SRF“ zum Thema E-ID am 5. September 2025 zeigte deutlich, wie zentral die „digitale Souveränität“ ist und wie alle davon betroffen sind. Es gab grundsätzlich keine Meinungsverschiedenheiten zwischen Befürwortern und Gegnern, dass elektronische Ausweise in der Schweiz eingeführt werden sollten. Es ist jedoch umstritten, ob die derzeit vorgeschlagenen E-ID-Lösungen tatsächlich die „digitale Souveränität“ wahren.
Was genau bedeutet „digitale Souveränität“?
Der Kern der „digitalen Souveränität“ besteht darin, die vollständige Kontrolle darüber zu haben, was mit meinen Daten passiert. Was auf den ersten Blick einfach und logisch erscheinen mag, wird in der heutigen digitalen Realität immer undurchsichtiger und unklarer.
Steht beispielsweise eine Landesregierung vor der Entscheidung, ob sie zukünftig die Cloud-Dienste von Microsoft 365 nutzen möchte, bedeutet dies, dass über Microsoft 365 verarbeitete Daten automatisch auf der Plattform von Microsoft gespeichert werden. Da der Betreiber der Plattform ein US-amerikanisches Unternehmen ist, gilt für dieses US-Unternehmen das US-amerikanische Cloud-Recht. Der U.S. Cloud Act, ein Gesetz aus der ersten Amtszeit von Präsident Donald Trump, ermöglicht der US-Regierung den Zugriff auf Daten auf Plattformen von US-Unternehmen. Dabei spielt es keine Rolle, ob der Server in der Schweiz steht oder nicht. Dies bedeutet, dass die Nutzung eines Cloud-Produkts eines US-Unternehmens den USA immer Zugriff auf diese Daten verschafft (aus US-Sicht rechtlich gesehen). Und genau deshalb gehen die örtlichen Datenschutzbeauftragten auf die Barrikaden.
Ein Beispiel ist der Kanton Luzern. In verschiedenen politischen Initiativen wird die Luzerner Regierung aufgefordert, den Einsatz von Microsoft 365 zu überdenken und Alternativen in Betracht zu ziehen.
Wie rechtfertigen Administratoren den Einsatz von Microsoft 365?
Betrachtet man die von verschiedenen Behörden veröffentlichten Entscheidungen zur Einführung von Microsoft 365, so zeigt sich ein auffälliges Muster. Die Gründe sind sehr ähnlich und beruhen oft auf derselben Argumentationskette. Insbesondere werden immer wieder genannt:
Eingeschränkte Zukunftsfähigkeit bestehender Systeme. Eingeschränkte Möglichkeiten der Zusammenarbeit. Geringe Attraktivität als Arbeitgeber. Eingeschränkte Digitalisierung. Verluste im Bereich Cybersicherheit. Geringe Gefahr von „rechtmäßigen Zugriffen“ aufgrund von Risikoanalysemodellen
Gleichzeitig sind sich die Entscheidungsträger bewusst, dass die Nutzung US-basierter Plattformen aus Schweizer Sicht rechtlich umstritten ist. So wird beispielsweise die Verantwortung dafür, welche Daten klassifiziert, weitergegeben oder verarbeitet werden dürfen, an die Mitarbeiter delegiert. So heißt es im Beschluss des Kantons Zürich (RRB 542/2022/Ausgabe 6 vom 30. März 2022) wörtlich: „Die Verantwortung für den Schutz personenbezogener Daten und anderer Informationen durch geeignete Mittel liegt bei der einzelnen Verwaltungseinheit, also dem Arbeitnehmer.“
In einem Auszug aus dem Protokoll des Regierungsrats des Kantons Zürich vom 21. Mai 2025 heißt es weiter (Frage der Kantonsrätin Thelma L’Orange Seigo zu Frage 3): „…Diese Nutzungsrichtlinien erfordern, dass Microsoft 365-Daten je nach Klassifizierung der verarbeiteten Daten sowohl aus betriebswirtschaftlicher als auch aus datenschutzrechtlicher Sicht klassifiziert werden müssen.“ Dadurch wird sichergestellt, dass Datenschutz und Informationen in der internen Verwaltungskommunikation und Zusammenarbeit ordnungsgemäß geschützt sind. ”
Allerdings bringt dieser Ansatz erhebliche Herausforderungen mit sich. Detaillierte Vorschriften und Anwendungsvorgaben sind in der Praxis nicht umsetzbar, bergen das Risiko menschlicher Fehler und können weitreichende Auswirkungen haben.
Erhält ein Mitarbeiter beispielsweise per E-Mail einen Anhang mit sensiblen Daten, kann die erforderliche Datenklassifizierung nur durchgeführt werden, wenn die Daten bereits im System und damit auf der Plattform vorhanden sind. Es ist ein Widerspruch in der Terminologie.
Big-Tech-Geschäftsmodell
Um zu verstehen, was wirklich mit den auf Big-Tech-Plattformen gespeicherten Daten passiert, lohnt sich ein Blick auf die Geschäftsmodelle dieser Unternehmen. Sie sind darauf ausgelegt, Daten zu einem echten Mehrwert für Ihr Unternehmen zu machen. Der Kern des Geschäftsmodells besteht darin, dass große Mengen an Kundendaten gesammelt, analysiert und gezielt genutzt oder verkauft werden. Vor diesem Hintergrund sind die milliardenschweren Investitionen der Big Tech in künstliche Intelligenz zu erwähnen.
Vor diesem Hintergrund stellt sich die Frage, ob sie weiterhin für die Speicherung sensibler Daten und deren Bereitstellung auf solchen Plattformen verantwortlich gemacht werden können. Noch wichtiger wird dieses Thema, wenn es um Daten staatlicher Stellen geht, die verständlicherweise besonders sensibel und sicherheitsrelevant sind.
alternatives Geschäftsmodell
Anbieter, die sich auf die Wahrung der „digitalen Souveränität“ ihrer Kunden konzentrieren, verdienen ihr Geld nicht mit den Daten ihrer Kunden, sondern mit den von ihnen bereitgestellten Diensten. Kundendaten sind immer tabu.
Ein gutes Beispiel hierfür ist der sichere kostenpflichtige Chat-Dienst Threema. Dies steht im Gegensatz zu Chat-Diensten wie WhatsApp, Telegram usw., die angeblich kostenlos sind. Threema bezahlt seine Dienste und stellt sicher, dass Ihre Daten nicht Teil des Geschäftsmodells von Threema sind. Die kostenlosen Dienste werden jedoch durch Werbung, Datenanalyse und den Austausch von Metadaten finanziert. Der oft zitierte Satz „Wenn das Produkt kostenlos ist, sind Sie das Produkt“ bringt diesen grundlegenden Unterschied auf den Punkt.
Verfügbarkeit als Druckmittel
Die Abhängigkeit von Big Tech ist nicht nur eine theoretische Frage des Datenschutzes, sondern auch eine ganz konkrete Machtfrage. Wer seine gesamte Infrastruktur und Kommunikation auf die Plattform eines einzigen ausländischen Unternehmens auslagert, schafft eine enorme Abhängigkeit. Aufgrund monopolistischer Marktpositionen, geopolitischer Spannungen und nationaler Interessen kann die Inanspruchnahme von Dienstleistungen plötzlich als politisches Druckmittel eingesetzt werden.
Was bedeutet das im Alltag? Stellen Sie sich vor, das DDPS, Bundesgerichte, Landesregierungen, Stadtverwaltungen, Strafverfolgungsbehörden oder andere systemrelevante Institutionen würden aufgrund von Äußerungen eines Kongressmitglieds, die der Präsident der Vereinigten Staaten als unangenehm empfand, einfach entfernt und ihre Systeme und Daten nicht mehr verfügbar gemacht. Jeder sollte sich darüber im Klaren sein, wie tief er von der aktuellen, höchst volatilen globalen Situation betroffen ist.
Durch den U.S. Cloud Act erhalten US-Behörden Zugriff auf Daten auf den Plattformen von US-Big Techs, also auf alle in Microsoft 365 gespeicherten Daten. Darüber hinaus werden diese Daten kontinuierlich durch entsprechende künstliche Intelligenz analysiert und für eigene Zwecke ausgewertet. Der Kontrollverlust ist daher nicht nur rechtlich, sondern auch technisch vollständig und im Zweifel unwiderruflich.
Abschluss
Kehren wir abschließend zur ursprünglichen Frage zurück: Ist die digitale Souveränität bei der Nutzung von Big-Tech-Plattformen wie Microsoft und Google wirklich nicht gewährleistet? Die Antwort liegt auf der Hand. Die digitale Souveränität auf den Cloud-Plattformen von Big Tech ist nicht garantiert. Daher ist der Einsatz solcher Cloud-Plattformen insbesondere in sensiblen Bereichen wie der öffentlichen Verwaltung abzulehnen. Bestehende alternative Lösungen zu Big-Tech-Plattformen entkräften das oft zitierte Argument, dass es keine Alternativen gibt und ernsthaft in Betracht gezogen werden sollten.
