Schweizer Firmen & Verwaltungen dürfen Ihre Daten «offiziell» bei Google halten
Mit dem Inkraftreten des Swiss-U.S. Data Privacy Framework (DPF) am 15. September 2024 ist es datenschutzrechtlich «safe», seine Daten bei Google, Microsoft, Apple, etc. zu halten.
Der Bundesrat hat am 14. August 2024 die USA auf die Liste der Länder mit angemessenem Datenschutzniveau gesetzt. Dies bedeutet, dass der Datenaustausch zwischen der Schweiz und zertifizierten US-Unternehmen nun auch «offiziell» als sicher gilt.
Seit dem 15. September 2024 gilt das Swiss-U.S. Data Privacy Framework (DPF), dessen Anforderungen sowohl Google als auch Microsoft erfüllen: Google hat bestätigt, dass es mit dem Swiss-U.S. DPF übereinstimmt, und Microsoft hat ebenfalls seine Konformität erklärt.
Obwohl diesbezüglich oft Bedenken geäussert oder gar «Verbote» erlassen wurden, war die Nutzung der Cloud-Services amerikanischer Anbieter auch bisher datenschutzrechtlich grundsätzlich unbedenklich – sofern sichergestellt war, dass die Daten in einem europäischen Rechenzentrum abgelegt wurden (eine Option, die bei Google und Microsoft schon seit Längerem verfügbar ist). Interessanterweise wurden deswegen – zwar nach bestem Wissen, aber z. T. trotzdem fragwürdig – viel komplexere (und teurere) vermeintlich lokale oder europäische Lösungen als Alternativen genutzt. Dabei wurde jedoch z. T. übersehen, dass auch diese Lösungen auf Ebene «Rechenzentrum» letztlich wieder sehr oft auf Cloud-Services amerikanischer Anbieter angewiesen waren.
Wie dem auch sei bzw. war: Seit dem Inkrafttreten des DPF verpflichten sich US-amerikanische Unternehmen mit ihrer Zertifizierung dazu, die Bestimmungen des Schweizer Datenschutzgesetzes (revDSG) einzuhalten. Damit gilt nun definitiv:
Ja, Schweizer Firmen, Verwaltungen und Schulen dürfen ihre Daten rechtskonform z. B. im Google Workspace speichern. Wer jetzt noch irgendwas von wegen «dürfen wir halt nicht» behauptet, ist vermutlich nicht mehr up to date!
Natürlich gibt es nach wie vor Daten von grösster Vertraulichkeit und mit allerhöchstem Schutzbedarf (z. B. bei Bundesinstitutionen), die generell mit keiner ICT-Komponenten ausländischer Anbieter verarbeitet werden sollten (was allerdings eine wirklich grosse und in den meisten Fällen sehr teure Herausforderung mit oft schlechter Nutzererfahrung ist).